Rechtsweg für Schadenersatz nach der DSGVO – BFH-Beschluss vom 28. Juni 2022, II B 92/21

ECLI:DE:BFH:2022:B.280622.IIB92.21.0

BFH II. Senat

EUV 2016/679 Art 4 Nr 2, EUV 2016/679 Art 4 Nr 7, EUV 2016/679 Art 79, EUV 2016/679 Art 82, AO § 32i Abs 2, FGO § 33 Abs 1 Nr 1, FGO § 33 Abs 1 Nr 4, FGO § 135, GVG § 17a, VwGO § 40 Abs 2, AEUV Art 267, SGB 10 § 81b Abs 1

vorgehend Finanzgericht Berlin-Brandenburg , 27. Oktober 2021, Az: 16 K 16155/21

Leitsätze

Für die Geltendmachung von Schadenersatzansprüchen gegen Finanzbehörden wegen behaupteter Verstöße gegen die DSGVO ist der Finanzrechtsweg gegeben.

Tenor

Auf die Beschwerden des Klägers und des Beklagten wird der Verweisungsbeschluss des Finanzgerichts Berlin-Brandenburg vom 27.10.2021 – 16 K 16155/21 aufgehoben.

Tatbestand

I.

  1. Der Kläger und Beschwerdeführer zu 1. (Kläger) machte mit seiner Klage beim Finanzgericht (FG) unter Berufung auf die Datenschutz-Grundverordnung (DSGVO) verschiedene datenschutzrechtliche Ansprüche gegen den Beklagten und Beschwerdeführer zu 2. (Finanzamt ‑‑FA‑‑) geltend, darunter einen Schadenersatzanspruch nach Art. 82 DSGVO.
  2. Nach Anhörung beider Beteiligter hat das FG das Verfahren betreffend Schadenersatz abgetrennt, den Finanzrechtsweg für unzulässig erklärt und das Verfahren unter Zulassung der Beschwerde nach § 17a Abs. 1 des Gerichtsverfassungsgesetzes (GVG) an das örtliche Landgericht verwiesen. Der Finanzrechtsweg sei nicht nach § 33 Abs. 1 Nr. 1 der Finanzgerichtsordnung (FGO) gegeben, da das Schadenersatzbegehren keine Abgabenangelegenheit sei, vielmehr nach der ausdrücklichen Zuständigkeitsregelung des § 40 Abs. 2 der Verwaltungsgerichtsordnung (VwGO) der Rechtsweg zu den ordentlichen Gerichten, d.h. den Zivilgerichten, gegeben sei. Etwas anderes folge auch nicht aus § 33 Abs. 1 Nr. 4 FGO i.V.m. § 32i Abs. 2 der Abgabenordnung (AO). Letztere Vorschrift beschränke sich auf (öffentlich-rechtliche) Klagen betroffener Personen gegen Finanzbehörden hinsichtlich der Verarbeitung personenbezogener Daten wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen. Selbst wenn sie dem Wortlaut nach auch Schadenersatzansprüche wegen Verletzung der DSGVO meinte, wäre sie verfassungskonform (Art. 34 Satz 3 des Grundgesetzes ‑‑GG‑‑) dahingehend auszulegen, dass sie Schadenersatzansprüche gegen den Staat wegen Verletzung der DSGVO nicht erfasse. Die Verfassung nehme die Rechtswegspaltung in Kauf. Art. 82 Abs. 6 DSGVO i.V.m. Art. 79 Abs. 2 DSGVO stehe nicht einer innerstaatlichen Rechtswegspaltung entgegen, sondern regele nur die internationale Zuständigkeit. Der Beschluss ist in Entscheidungen der Finanzgerichte 2022, 123 veröffentlicht.
  3. Beide Beteiligte haben Beschwerde eingelegt, denen das FG nicht abgeholfen hat. Sie vertreten übereinstimmend die Auffassung, § 32i Abs. 2 AO erfasse auch Schadenersatzansprüche.
  4. Der Kläger trägt vor, die prozessuale Trennung etwa des Auskunftsanspruchs und des Schadenersatzanspruchs schmälere den effektiven Rechtsschutz. Er beantragt, den Finanzrechtsweg für zulässig zu erklären und dem Gerichtshof der Europäischen Union (EuGH) nach Art. 267 Abs. 2 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) folgende Frage zur Vorabentscheidung vorzulegen: „Ist der Art. 82 DSGVO dahin auszulegen, dass er einer nationalen Regelung, wie dem im Ausgangsverfahren streitigen § 32i Abs. 2 AO des deutschen Rechts nicht entgegensteht, wonach ein aus Art. 82 DSGVO erwachsender Schadenersatz ganzheitlich vor einem Gericht der Finanzgerichtsbarkeit gemeinsam mit anderen datenschutzrechtlichen Anspruchsgrundlagen geltend gemacht werden kann?“
  5. Das FA geht davon aus, dass § 32i Abs. 2 AO in der ersten Alternative hauptsächlich auf die Abwehr einer der DSGVO nicht entsprechenden Verarbeitung personenbezogener Daten abziele, aber auch Schadenersatzansprüche nach Art. 82 DSGVO erfassen könne. Eine verfassungskonforme Auslegung, die die Schadenersatzansprüche gegen den Staat dem Zivilrechtsweg zuweise, sei nicht geboten, da die Gesamtzuständigkeit der Finanzgerichte den Rechtsschutz des Betroffenen vereinfache und abweichende Entscheidungen von Finanz- und Zivilgerichten verhindere.

Entscheidungsgründe

II.

  1. Die nach § 17a Abs. 4 Satz 4 GVG zulässigen Beschwerden sind begründet. Für die Klage gegen das FA, mit der Schadenersatzansprüche nach Art. 82 DSGVO geltend gemacht werden, ist der Finanzrechtsweg gegeben (ebenso Krumm in Tipke/Kruse, § 32i AO Rz 5; so schließlich auch die in dem Schreiben des Bundesministeriums der Finanzen vom 13.01.2020 zum Datenschutz im Steuerverwaltungsverfahren seit dem 25. Mai 2018, BStBl I 2020, 143, Rz 106, zum Ausdruck gekommene Verwaltungsauffassung). Einer Vorlage an den EuGH bedarf es nicht.
  2. 1. Einfachgesetzlich ist der Finanzrechtsweg für den Schadenersatzanspruch aus Art. 82 DSGVO gemäß § 33 Abs. 1 Nr. 4 FGO i.V.m. § 32i Abs. 2 Satz 1 AO eröffnet.
  3. a) Nach § 33 Abs. 1 Nr. 4 FGO ‑‑Nrn. 1 bis 3 kommen ersichtlich nicht in Betracht‑‑ ist in anderen als den in den Nrn. 1 bis 3 bezeichneten öffentlich-rechtlichen Streitigkeiten der Finanzrechtsweg gegeben, soweit er für diese durch Bundesgesetz oder Landesgesetz eröffnet ist. Nach § 32i Abs. 2 Satz 1 AO (vormals § 32i Abs. 2 AO) ist für Klagen der betroffenen Person hinsichtlich der Verarbeitung personenbezogener Daten gegen Finanzbehörden oder gegen deren Auftragsverarbeiter wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der DSGVO oder der darin enthaltenen Rechte der betroffenen Person der Finanzrechtsweg gegeben.
  4. b) Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ‑‑mithin die DSGVO‑‑ ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
  5. c) Eine Klage auf Schadenersatz nach Art. 82 Abs. 1 DSGVO ist eine Klage „hinsichtlich der Verarbeitung personenbezogener Daten … wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der [DSGVO]“ i.S. des § 32i Abs. 2 Satz 1 Alternative 1 AO.
  6. aa) Die Wendungen in Art. 82 Abs. 1 DSGVO einerseits („Verstoß gegen diese Verordnung“) und in § 32i Abs. 2 Satz 1 Alternative 1 AO andererseits („Verstoß gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der DSGVO“) sind gleichbedeutend, denn die DSGVO enthält nur datenschutzrechtliche Bestimmungen.
  7. bb) Die Schadenersatzklage ist auch eine Klage „hinsichtlich der Verarbeitung personenbezogener Daten …“, wie es der erste Satzteil des § 32i Abs. 2 Satz 1 Alternative 1 AO erfordert. Nach Art. 4 Nr. 2 DSGVO ist „Verarbeitung“ jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Der Begriff umfasst, wie die folgende beispielhafte Aufzählung verdeutlicht, jeglichen Umgang mit Daten. Ein Verstoß gegen die DSGVO, wie ihn Art. 82 DSGVO verlangt, ist deshalb ohne Verarbeitung nicht denkbar.
  8. d) Aus § 40 Abs. 2 Satz 1 VwGO, der für Schadenersatzansprüche aus der Verletzung öffentlich-rechtlicher Pflichten, die nicht auf einem öffentlich-rechtlichen Vertrag beruhen, den ordentlichen Rechtsweg vorsieht, folgt einfachgesetzlich schon deshalb nichts Gegenteiliges, weil § 32i Abs. 2 AO nur als lex specialis zu dieser Vorschrift verstanden werden kann.
  9. 2. Auch aus verfassungsrechtlichen Gründen ergibt sich keine Zuständigkeit der ordentlichen Gerichte für den streitigen Schadenersatzanspruch. Es handelt sich nicht um einen Amtshaftungsanspruch i.S. des Art. 34 Satz 1 GG.
  10. a) Verletzt jemand in Ausübung eines ihm anvertrauten öffentlichen Amtes die ihm einem Dritten gegenüber obliegende Amtspflicht, so trifft nach Art. 34 Satz 1 GG die Verantwortlichkeit grundsätzlich den Staat oder die Körperschaft, in deren Dienst er steht. Art. 34 Satz 3 GG verbietet es, für Amtshaftungsansprüche die Zuständigkeit der allgemeinen ordentlichen Gerichte auszuschließen (Dagtoglou in: Kahl/Waldhoff/Walter, Bonner Kommentar zum Grundgesetz, 1. Aufl. 2021, Art. 34, Rz 359).
  11. b) Der Anspruch aus Art. 82 Abs. 1 DSGVO ist auch dann, wenn er sich gegen eine Behörde richtet, kein Anspruch aus der Verletzung von Amtspflichten i.S. des Art. 34 Satz 1 GG, da es sich nicht um eine auf die Behörde übergeleitete Haftung des Amtsträgers, sondern um eine originäre Haftung der Behörde handelt.
  12. aa) Die Rechtsweggarantie des Art. 34 Satz 3 GG hat, soweit sie den Anspruch gegen die Anstellungskörperschaft betrifft, allein die übergeleitete Haftung des Amtsträgers zum Gegenstand, nicht hingegen Ansprüche aus unmittelbarer Staatshaftung. Die in Art. 34 Satz 1 GG angesprochene Amtspflicht ist die Pflicht des Amtsträgers persönlich. Art. 34 GG leitet die durch § 839 des Bürgerlichen Gesetzbuchs (BGB) begründete persönliche Haftung des Beamten auf den Staat über. § 839 BGB ist die haftungsbegründende Vorschrift, während Art. 34 GG die haftungsverlagernde Norm darstellt. Der Staat wird durch die Übernahme der persönlichen Beamtenhaftung nach § 839 BGB zwar Haftungssubjekt, aber nicht Zurechnungssubjekt (Urteil des Bundesverfassungsgerichts ‑‑BVerfG‑‑ vom 19.10.1982 – 2 BvF 1/81 „Amtshaftung“, BVerfGE 61, 149, BGBl I 1982, 1493, unter C.I.2.b dd (1)). Das bedeutet, dass Art. 34 Satz 3 GG neben dem Rückgriffsanspruch gegen den Amtsträger auch nur die Ansprüche des Art. 34 Satz 1 GG erfasst, namentlich den Schadenersatzanspruch gegen den Amtsträger selbst sowie den übergeleiteten Haftungsanspruch gegen den Staat. Art. 34 GG verbietet es zwar nicht, unmittelbare Staatshaftungsansprüche einzuführen (BVerfG-Urteil in BVerfGE 61, 149, BGBl I 1982, 1493, unter C.I.2.b dd (1)), trifft dafür aber auch keine Regelung.
  13. bb) Der Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO richtet sich gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Sowohl der Begriff des Verantwortlichen als auch der des Auftragsverarbeiters ist mithin institutionell zu verstehen. Soweit in einer Behörde Daten verarbeitet werden, ist damit nicht der jeweilige Amtsträger persönlich Verantwortlicher i.S. der DSGVO und folglich auch nicht Adressat des Anspruchs. Der Anspruch richtet sich vielmehr unmittelbar gegen den Staat bzw. eine seiner Institutionen. Damit handelt es sich um einen gegenüber den in Art. 34 GG erfassten Amtshaftungsansprüchen grundlegend anders gearteten Anspruch.
  14. cc) Der Schadenersatzanspruch nach der DSGVO kann in Anspruchskonkurrenz neben einen Amtshaftungsanspruch aus § 839 BGB i.V.m. Art. 34 GG treten (vgl. Urteil des Oberlandesgerichts Düsseldorf vom 28.10.2021 – 16 U 275/20, Monatsschrift für Deutsches Recht 2022, 435, Rz 69; BeckOK DatenschutzR/Quaas, 39. Ed. 01.11.2021, DSGVO Art. 82 Rz 8; Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung/Bundesdatenschutzgesetz, Stand April 2022, Art. 82, Rz 34a; Gola DSGVO/Gola/Piltz, 2. Aufl. 2018, DSGVO Art. 82 Rz 28; Paal/Pauly/Frenzel, 3. Aufl. 2021, DSGVO Art. 82 Rz 20). Davon geht die DSGVO ausweislich Erwägungsgrund 146 Satz 4 selbst aus (vgl. Ehmann/Selmayr/Nemitz, 2. Aufl. 2018, DSGVO Art. 82 Rz 7). Das entspricht dem Grundsatz, dass auch sonst zwischen einem Amtshaftungsanspruch und einem auf demselben Tatsachenkomplex beruhenden Entschädigungsanspruch Anspruchskonkurrenz bestehen kann (so zu einem enteignungsgleichen Eingriff Urteil des Bundesgerichtshofs vom 11.01.2007 – III ZR 302/05, BGHZ 170, 260, Neue Juristische Wochenschrift 2007, 830, unter B.II.2.a; ausdrücklich für den unionsrechtlichen Staatshaftungsanspruch BeckOK GG/Grzeszick, 51. Ed. 15.05.2022, GG Art. 34 Rz 4).
  15. Das bedeutet jedoch nicht, dass die Rechtswegzuweisung des Art. 34 Satz 3 GG sich auch auf den jeweils konkurrierenden Anspruch erstreckt. Ebenso wenig gilt die Rechtswegzuweisung nach § 32i Abs. 2 AO für den Amtshaftungsanspruch. Nach § 17 Abs. 2 Satz 2 GVG tritt vielmehr eine Rechtswegspaltung ein.
  16. dd) Soweit das Hessische Landessozialgericht (LSG) in seinem Beschluss vom 26.01.2022 – L 6 SF 7/21 DS (juris, Beschwerde beim Bundessozialgericht anhängig unter B 1 SF 1/22 R) in dem Anspruch aus Art. 82 Abs. 1 DSGVO einen Amtshaftungsanspruch sieht, für den die Rechtswegzuweisung des Art. 34 Satz 3 GG der spezialgesetzlichen Zuweisung der DSGVO-Sachen zur Sozialgerichtsbarkeit gemäß § 81b Abs. 1 des Zehnten Buchs Sozialgesetzbuch, einer mit § 32i Abs. 2 Satz 1 AO weitgehend wortgleichen Vorschrift, vorgehe, teilt der Senat diese Auffassung nicht. Das Hessische LSG geht davon aus, Art. 34 Satz 3 GG umfasse (jegliche) schadenersatzrechtliche Haftungsregelungen des Staates, wenn hoheitliches Handeln eines seiner Amtswalter rechtswidrig einen kompensationsfähigen Schaden verursacht habe (Rz 23). Der Senat erachtet dieses Verständnis sowohl angesichts des Wortlauts des Art. 34 Satz 3 GG als auch angesichts des Urteils des BVerfG in BVerfGE 61, 149, BGBl I 1982, 1493 für zu weitgehend. Es ist zwar zutreffend, dass Art. 34 GG für sich genommen kein Verschuldenserfordernis kennt, worauf das Hessische LSG abstellt. Damit allein wird die Amtspflicht jedoch nicht definiert. Die vom Hessischen LSG in diesem Zusammenhang zitierten Literaturauffassungen gehen in Übereinstimmung mit dem BVerfG davon aus, dass die Staatshaftung nach aktueller Rechtslage lediglich durch Überleitung der Eigenhaftung des Amtsträgers auf den Staat entsteht (Papier/Shirvani in Dürig/Herzog/Scholz, Komm. z. GG, Art. 34 Rz 17, 218; BeckOK GG/Grzeszick, a.a.O., Rz 19 bis 20.1).
  17. 3. Eine Vorlage des Rechtsstreits an den EuGH nach Art. 267 AEUV ist nicht veranlasst. Es ist nicht im Ansatz erkennbar, warum Art. 82 DSGVO einer nationalen Regelung entgegenstehen könnte, die den Schadenersatzanspruch ebenso wie andere datenschutzrechtliche Ansprüche der Finanzgerichtsbarkeit zuweist. Ob umgekehrt unionsrechtliche Bedenken bestünden und deshalb ggf. eine Vorlage angezeigt wäre, wenn das nationale Recht die allgemeinen datenschutzrechtlichen Ansprüche einerseits und den Schadenersatzanspruch andererseits unterschiedlichen Gerichten zuwiese ‑‑so wie es der Auffassung des FG, aber auch des Hessischen LSG entspricht‑‑, muss nicht mehr entschieden werden.
  18. 4. Eine Kostenentscheidung ergeht nicht. §§ 135 bis 138 FGO bieten bei erfolgreicher Rechtswegbeschwerde keine Rechtsgrundlage für eine Kostengrundentscheidung (ähnlich für das Sozialgerichtsgesetz Beschlüsse des LSG für das Land Nordrhein-Westfalen vom 20.02.2019 – L 7 AS 2024/18 B, juris, Rz 13 f., und des LSG Sachsen-Anhalt vom 08.10.2021 – L 4 AS 341/21 B, juris, Rz 24 ff.). Insbesondere ist § 135 Abs. 1 FGO nicht anwendbar, da es keinen unterliegenden Beteiligten gibt, § 135 Abs. 2 FGO nicht, da kein Rechtsmittel ohne Erfolg eingelegt wurde. Dem entspricht es, dass das Kostenverzeichnis in Anlage 1 zu § 3 Abs. 2 des Gerichtskostengesetzes, dort insbesondere Nr. 6500 bis 6502, für die erfolgreiche Beschwerde keinen Gebührentatbestand vorsieht.