Bundesfinanzhof stellt Datenschutzklagen gegen Finanzämter neue Hürde

Der Bundesfinanzhof verlangt von Bürgern, dass sie Datenschutzansprüche zunächst direkt beim Finanzamt geltend machen, bevor sie vor Gericht ziehen. Diese prozessuale Vorfilterung könnte viele Klagen bereits im Ansatz stoppen.

Klare Zwei-Stufen-Struktur für Betroffene

Die Richter des höchsten deutschen Finanzgerichts haben mit einem Grundsatzurteil den Weg für Schadensersatzklagen nach der Datenschutz-Grundverordnung (DSGVO) gegen Finanzbehörden neu justiert. Kern der Entscheidung: Wer wegen eines Datenschutzverstoßes durch ein Finanzamt klagen will, muss seinen Anspruch zuerst direkt bei der verantwortlichen Behörde anmelden. Erst nach einer ausdrücklichen Ablehnung ist der Gang zum Finanzgericht zulässig.

Eine Klage, die ohne diesen vorgeschalteten Schritt eingereicht wird, ist laut dem Beschluss vom September 2025 (Az. IX R 11/23) als unzulässig abzuweisen. Damit stärkt der BFH den Grundsatz der Prozessökonomie und gibt der Verwaltung die Chance, berechtigte Forderungen außergerichtlich zu erfüllen.

Datenschutzverstöße durch Behörden können sich schnell zu komplexen Haftungsfragen entwickeln – vor allem, wenn es um die Bewertung immaterieller Schäden geht. Ein kostenloser Praxisleitfaden zur Datenschutz-Folgenabschätzung (DSFA) erklärt, wie Sie Verarbeitungsrisiken systematisch erkennen, dokumentieren und gegenüber Behörden sachlich begründen. Ideal für Datenschutzbeauftragte, Rechtsabteilungen und Behörden, die sich auf künftige Prüf- und Klageverfahren vorbereiten möchten. Kostenlose DSFA-Vorlagen & Anleitung herunterladen

Der Fall: Mobilfunknummer weitergegeben

Hinter dem Urteil steht ein konkreter Streit. Eine Steuerpflichtige war der Ansicht, ihr zuständiges Finanzamt habe unrechtmäßig die Mobilfunknummer eines Mitarbeiters weitergegeben. Statt den immateriellen Schadensersatzanspruch gemäß Artikel 82 DSGVO zunächst beim Amt geltend zu machen, brachte das Unternehmen ihn direkt als Klageerweiterung in einem laufenden Gerichtsverfahren vor.

Genau dieses Vorgehen kippte der BFH. Die für eine Klage notwendige rechtliche “Beschwer” im Sinne der Finanzgerichtsordnung liege erst vor, wenn die Behörde Gelegenheit zur Prüfung und Ablehnung hatte. Diese Möglichkeit war im konkreten Fall nicht gegeben, da das Finanzamt in der mündlichen Verhandlung nicht anwesend war und sich somit nie äußern konnte.

Nationales Prozessrecht setzt den Rahmen

Die Entscheidung unterstreicht einen wichtigen Grundsatz: Die in der europäischen DSGVO verankerten Rechte müssen im Einklang mit den nationalen Verfahrensvorschriften durchgesetzt werden. Der BFH stellte klar, dass die DSGVO keine abweichenden Regeln vorsieht, die eine vorherige Geltendmachung bei der Behörde ausschließen würde.

Eine Ausnahme könnte nur gelten, wenn die Behörde bereits eindeutig signalisiert hat, einen Antrag definitiv abzulehnen – eine Konstellation, die hier nicht vorlag. Frühere Urteile hatten bereits den Finanzrechtsweg für DSGVO-Schadensersatzansprüche gegen Finanzbehörden eröffnet; nun wird der Weg dorthin genauer definiert.

Folgen für Verwaltung und Bürger

Für die Finanzämter bedeutet das Urteil mehr Arbeit am grünen Tisch. Sie müssen sich auf eine Zunahme formeller Schadensersatzforderungen einstellen und interne Prozesse zur Prüfung etablieren. Die Verwaltung wird gezwungen, sich inhaltlich mit Datenschutzvorwürfen auseinanderzusetzen, bevor diese vor Gericht landen.

Für betroffene Bürger und Unternehmen entsteht eine klare Handlungsabfolge: Erst der Dialog mit dem Amt, dann gegebenenfalls die Klage. Diese Filterfunktion könnte unbegründete Forderungen frühzeitig aussieben, birgt aber auch die Gefahr, dass berechtigte Ansprüche in der Bürokratie der Behörden stecken bleiben.

Offene Fragen zur Schadenshöhe

Während der BFH eine wichtige verfahrensrechtliche Hürde geklärt hat, bleiben zentrale inhaltliche Fragen offen. Noch nicht höchstrichterlich entschieden sind die Erheblichkeitsschwelle eines Datenschutzverstoßes und die konkrete Höhe des Schadensersatzes, besonders bei immateriellen Schäden wie dem Kontrollverlust über persönliche Daten.

Künftige Verfahren, die die neue prozessuale Hürde nehmen, werden dem Gericht Gelegenheit geben, auch diese Punkte zu klären. Bis dahin bietet das Urteil einen klaren, wenn auch für Kläger beschwerlicheren, Fahrplan im Spannungsfeld zwischen Steuerrecht und Datenschutz.

PS: Wenn Sie als Behörde oder Unternehmen künftig Datenschutz-Anliegen rechtssicher dokumentieren wollen, hilft ein vollständiges Verarbeitungsverzeichnis nach Art. 30 DSGVO. Es zeigt, welche Verarbeitungstätigkeiten relevant sind, welche Rechtsgrundlagen gelten und wie sich Anfragen oder Schadensersatzforderungen nachvollziehbar belegen lassen. Praktische Vorlagen erleichtern die Erstellung erheblich. Verarbeitungsverzeichnis jetzt downloaden