BFH Beschluss v. - II B 93/21

Rechtsweg für Schadenersatz nach der DSGVO

Leitsatz

NV: Für die Geltendmachung von Schadenersatzansprüchen gegen Finanzbehörden wegen behaupteter Verstöße gegen die DSGVO ist der Finanzrechtsweg gegeben.

Gesetze: DSGVO Art. 4 Nr. 2, Nr. 7; DSGVO Art. 79; DSGVO Art. 82; AO § 32i Abs. 2; FGO § 33 Abs. 1 Nr. 1, Nr. 4; FGO § 135; VwGO § 40 Abs. 2

Instanzenzug:

Tatbestand

I.

1 Der Kläger und Beschwerdeführer zu 1. (Kläger) machte mit seiner Klage beim Finanzgericht (FG) unter Berufung auf die Datenschutz-Grundverordnung (DSGVO) verschiedene datenschutzrechtliche Ansprüche gegen den Beklagten und Beschwerdeführer zu 2. (Finanzamt —FA—) geltend, darunter einen Schadenersatzanspruch (Schmerzensgeld) nach Art. 82 DSGVO .

2 Nach Anhörung beider Beteiligter hat das FG das Verfahren betreffend Geltendmachung des Schmerzensgeldes abgetrennt, den Finanzrechtsweg für unzulässig erklärt und das Verfahren unter Zulassung der Beschwerde nach § 17a Abs. 1 des Gerichtsverfassungsgesetzes (GVG) an das örtliche Landgericht verwiesen. Der Finanzrechtsweg sei nicht nach § 33 Abs. 1 Nr. 1 der Finanzgerichtsordnung (FGO) gegeben, da das Schadenersatzbegehren keine Abgabenangelegenheit sei, vielmehr nach der ausdrücklichen Zuständigkeitsregelung des § 40 Abs. 2 der Verwaltungsgerichtsordnung (VwGO) der Rechtsweg zu den ordentlichen Gerichten, d.h. den Zivilgerichten, gegeben sei. Etwas anderes folge auch nicht aus § 33 Abs. 1 Nr. 4 FGO i.V.m. § 32i Abs. 2 der Abgabenordnung (AO). Letztere Vorschrift beschränke sich auf (öffentlich-rechtliche) Klagen betroffener Personen gegen Finanzbehörden hinsichtlich der Verarbeitung personenbezogener Daten wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen. Selbst wenn sie dem Wortlaut nach auch Schadenersatzansprüche wegen Verletzung der DSGVO meinte, wäre sie verfassungskonform (Art. 34 Satz 3 des GrundgesetzesGG—) dahingehend auszulegen, dass sie Schadenersatzansprüche gegen den Staat wegen Verletzung der DSGVO nicht erfasse. Die Verfassung nehme die Rechtswegspaltung in Kauf. Art. 82 Abs. 6 DSGVO i.V.m. Art. 79 Abs. 2 DSGVO stehe nicht einer innerstaatlichen Rechtswegspaltung entgegen, sondern regele nur die internationale Zuständigkeit.

3 Beide Beteiligte haben Beschwerde eingelegt, denen das FG nicht abgeholfen hat. Sie vertreten übereinstimmend die Auffassung, § 32i Abs. 2 AO erfasse auch Schadenersatzansprüche (hier: Schmerzensgeld).

Gründe

II.

4 Die nach § 17a Abs. 4 Satz 4 GVG zulässigen Beschwerden sind begründet. Für die Klage gegen das FA, mit der Schadenersatzansprüche nach Art. 82 DSGVO geltend gemacht werden, ist der Finanzrechtsweg gegeben (ebenso Krumm in Tipke/Kruse, § 32i AO Rz 5; so schließlich auch die in dem zum Datenschutz im Steuerverwaltungsverfahren seit dem , BStBl I 2020, 143, Rz 106, zum Ausdruck gekommene Verwaltungsauffassung). Einer Vorlage an den Gerichtshof der Europäischen Union (EuGH) bedarf es nicht.

5 1. Einfachgesetzlich ist der Finanzrechtsweg für den Schadenersatzanspruch aus Art. 82 DSGVO gemäß § 33 Abs. 1 Nr. 4 FGO i.V.m. § 32i Abs. 2 Satz 1 AO eröffnet.

6 a) Nach § 33 Abs. 1 Nr. 4 FGO ist in anderen als den in den Nrn. 1 bis 3 bezeichneten öffentlich-rechtlichen Streitigkeiten der Finanzrechtsweg gegeben, soweit er für diese durch Bundesgesetz oder Landesgesetz eröffnet ist. Nach § 32i Abs. 2 Satz 1 AO (vormals § 32i Abs. 2 AO) ist für Klagen der betroffenen Person hinsichtlich der Verarbeitung personenbezogener Daten gegen Finanzbehörden oder gegen deren Auftragsverarbeiter wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der DSGVO oder der darin enthaltenen Rechte der betroffenen Person der Finanzrechtsweg gegeben.

7 b) Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung —mithin die DSGVO— ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

8 c) Eine Klage auf Schadenersatz nach Art. 82 Abs. 1 DSGVO ist eine Klage „hinsichtlich der Verarbeitung personenbezogener Daten…wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der [DSGVO]“ i.S. des § 32i Abs. 2 Satz 1 Alternative 1 AO.

9 aa) Die Wendungen in Art. 82 Abs. 1 DSGVO einerseits („Verstoß gegen diese Verordnung“) und in § 32i Abs. 1 Satz 1 Alternative 1 AO andererseits („Verstoß gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der DSGVO“) sind gleichbedeutend, denn die DSGVO enthält nur datenschutzrechtliche Bestimmungen.

10 bb) Die Schadenersatzklage ist auch eine Klage „hinsichtlich der Verarbeitung personenbezogener Daten ...“, wie es der erste Satzteil des § 32i Abs. 2 Satz 1 Alternative 1 AO erfordert. Nach Art. 4 Nr. 2 DSGVO ist „Verarbeitung“ jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Der Begriff umfasst, wie die folgende beispielhafte Aufzählung verdeutlicht, jeglichen Umgang mit Daten. Ein Verstoß gegen die DSGVO, wie ihn Art. 82 DSGVO verlangt, ist deshalb ohne Verarbeitung nicht denkbar.

11 d) Aus § 40 Abs. 2 Satz 1 VwGO, der für Schadenersatzansprüche aus der Verletzung öffentlich-rechtlicher Pflichten, die nicht auf einem öffentlich-rechtlichen Vertrag beruhen, den ordentlichen Rechtsweg vorsieht, folgt einfachgesetzlich schon deshalb nichts Gegenteiliges, weil § 32i Abs. 2 AO nur als lex specialis zu dieser Vorschrift verstanden werden kann.

12 2. Auch aus verfassungsrechtlichen Gründen ergibt sich keine Zuständigkeit der ordentlichen Gerichte für den streitigen Schadenersatzanspruch. Es handelt sich nicht um einen Amtshaftungsanspruch i.S. des Art. 34 Satz 1 GG.

13 a) Verletzt jemand in Ausübung eines ihm anvertrauten öffentlichen Amtes die ihm einem Dritten gegenüber obliegende Amtspflicht, so trifft nach Art. 34 Satz 1 GG die Verantwortlichkeit grundsätzlich den Staat oder die Körperschaft, in deren Dienst er steht. Art. 34 Satz 3 GG verbietet es, für Amtshaftungsansprüche die Zuständigkeit der allgemeinen ordentlichen Gerichte auszuschließen (Dagtoglou in: Kahl/Waldhoff/Walter, Bonner Kommentar zum Grundgesetz, 1. Aufl. 2021, Art. 34, Rz 359).

14 b) Der Anspruch aus Art. 82 Abs. 1 DSGVO ist auch dann, wenn er sich gegen eine Behörde richtet, kein Anspruch aus der Verletzung von Amtspflichten i.S. des Art. 34 Satz 1 GG, da es sich nicht um eine auf die Behörde übergeleitete Haftung des Amtsträgers, sondern um eine originäre Haftung der Behörde handelt.

15 aa) Die Rechtsweggarantie des Art. 34 Satz 3 GG hat, soweit sie den Anspruch gegen die Anstellungskörperschaft betrifft, allein die übergeleitete Haftung des Amtsträgers zum Gegenstand, nicht hingegen Ansprüche aus unmittelbarer Staatshaftung. Die in Art. 34 Satz 1 GG angesprochene Amtspflicht ist die Pflicht des Amtsträgers persönlich. Art. 34 GG leitet die durch § 839 des Bürgerlichen Gesetzbuchs (BGB) begründete persönliche Haftung des Beamten auf den Staat über. § 839 BGB ist die haftungsbegründende Vorschrift, während Art. 34 GG die haftungsverlagernde Norm darstellt. Der Staat wird durch die Übernahme der persönlichen Beamtenhaftung nach § 839 BGB zwar Haftungssubjekt, aber nicht Zurechnungssubjekt ( „Amtshaftung“, BVerfGE 61, 149, BGBl I 1982, 1493, unter C.I.2.b dd (1)). Das bedeutet, dass Art. 34 Satz 3 GG neben dem Rückgriffsanspruch gegen den Amtsträger auch nur die Ansprüche des Art. 34 Satz 1 GG erfasst, namentlich den Schadenersatzanspruch gegen den Amtsträger selbst sowie den übergeleiteten Haftungsanspruch gegen den Staat. Art. 34 GG verbietet es zwar nicht, unmittelbare Staatshaftungsansprüche einzuführen (BVerfG-Urteil in BVerfGE 61, 149, BGBl I 1982, 1493, unter C.I.2.b dd (1)), trifft dafür aber auch keine Regelung.

16 bb) Der Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO richtet sich gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Sowohl der Begriff des Verantwortlichen als auch des Auftragsverarbeiters ist mithin institutionell zu verstehen. Soweit in einer Behörde Daten verarbeitet werden, ist damit nicht der jeweilige Amtsträger persönlich Verantwortlicher i.S. der DSGVO und folglich auch nicht Adressat des Anspruchs. Der Anspruch richtet sich vielmehr unmittelbar gegen den Staat bzw. eine seiner Institutionen. Damit handelt es sich um einen gegenüber den in Art. 34 GG erfassten Amtshaftungsansprüchen grundlegend anders gearteten Anspruch.

17 cc) Der Schadenersatzanspruch nach der DSGVO kann in Anspruchskonkurrenz neben einen Amtshaftungsanspruch aus § 839 BGB i.V.m. Art. 34 GG treten (vgl. , Monatsschrift für Deutsches Recht 2022, 435, Rz 69; BeckOK DatenschutzR/Quaas, 39. Ed. , DS-GVO Art. 82 Rz 8; Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung/Bundesdatenschutzgesetz, Stand April 2022, Art. 82, Rz 34a; Gola DSGVO/Gola/Piltz, 2. Aufl. 2018, DSGVO Art. 82 Rz 28; Paal/Pauly/Frenzel, 3. Aufl. 2021, DSGVO Art. 82 Rz 20). Davon geht die DSGVO ausweislich Erwägungsgrund 146 Satz 4 selbst aus (vgl. Ehmann/Selmayr/Nemitz, 2. Aufl. 2018, DSGVO Art. 82 Rz 7). Das entspricht dem Grundsatz, dass auch sonst zwischen einem Amtshaftungsanspruch und einem auf demselben Tatsachenkomplex beruhenden Entschädigungsanspruch Anspruchskonkurrenz bestehen kann (so zu einem enteignungsgleichen Eingriff , BGHZ 170, 260, Neue Juristische Wochenschrift 2007, 830, unter B.II.2.a; ausdrücklich für den unionsrechtlichen Staatshaftungsanspruch BeckOK GG/Grzeszick, 51. Ed. , GG Art. 34 Rz 4).

18 Das bedeutet jedoch nicht, dass die Rechtswegzuweisung des Art. 34 Satz 3 GG sich auch auf den jeweils konkurrierenden Anspruch erstreckt. Ebenso wenig gilt die Rechtswegzuweisung nach § 32i Abs. 2 AO für den Amtshaftungsanspruch. Nach § 17 Abs. 2 Satz 2 GVG tritt vielmehr eine Rechtswegspaltung ein.

19 dd) Der Senat folgt nicht der Auffassung des Hessischen Landessozialgerichts (LSG) in seinem Beschluss vom  - L 6 SF 7/21 DS (Beschwerde anhängig unter B 1 SF 1/22 R), wonach der Anspruch aus Art. 82 Abs. 1 DSGVO ein Amtshaftungsanspruch ist, für den die Rechtswegzuweisung des Art. 34 Satz 3 GG der spezialgesetzlichen Zuweisung der DSGVO-Sachen zur Sozialgerichtsbarkeit gemäß § 81b Abs. 1 des Zehnten Buchs Sozialgesetzbuch, einer mit § 32i Abs. 2 Satz 1 AO weitgehend wortgleichen Vorschrift, vorgehe. Das Hessische LSG geht davon aus, Art. 34 Satz 3 GG umfasse (jegliche) schadenersatzrechtliche Haftungsregelungen des Staates, wenn hoheitliches Handeln eines seiner Amtswalter rechtswidrig einen kompensationsfähigen Schaden verursacht habe (Rz 23). Der Senat erachtet dieses Verständnis sowohl angesichts des Wortlauts des Art. 34 Satz 3GG als auch angesichts des Urteils des BVerfG in BVerfGE 61, 149, BGBl I 1982, 1493 für zu weitgehend. Es ist zwar zutreffend, dass Art. 34 GG für sich genommen kein Verschuldenserfordernis kennt, worauf das Hessische LSG abstellt. Damit allein wird die Amtspflicht jedoch nicht definiert. Die vom Hessischen LSG in diesem Zusammenhang zitierten Literaturauffassungen gehen in Übereinstimmung mit dem BVerfG davon aus, dass die Staatshaftung nach aktueller Rechtslage lediglich durch Überleitung der Eigenhaftung des Amtsträgers auf den Staat entsteht (Papier/ Shirvani in Dürig/Herzog/Scholz, Komm. z. GG, Art. 34 Rz 17, 218; BeckOK GG/Grzeszick, a.a.O. Rz 19 bis 20.1).

20 3. Eine Vorlage des Rechtsstreits an den EuGH nach Art. 267 des Vertrags über die Arbeitsweise der Europäischen Union ist nicht veranlasst. Es ist nicht im Ansatz erkennbar, warum Art. 82 DSGVO einer nationalen Regelung entgegenstehen könnte, die den Schadenersatzanspruch ebenso wie andere datenschutzrechtliche Ansprüche der Finanzgerichtsbarkeit zuweist. Ob umgekehrt unionsrechtliche Bedenken bestünden und deshalb ggf. eine Vorlage angezeigt wäre, wenn das nationale Recht die allgemeinen datenschutzrechtlichen Ansprüche einerseits und den Schadenersatzanspruch andererseits unterschiedlichen Gerichten zuwiese —so wie es der Auffassung des FG, aber auch des Hessischen LSG entspricht—, muss nicht mehr entschieden werden.

21 4. Eine Kostenentscheidung ergeht nicht. §§ 135 bis 138 FGO bieten bei erfolgreicher Rechtswegbeschwerde keine Rechtsgrundlage für eine Kostengrundentscheidung (ähnlich für das Sozialgerichtsgesetz Beschlüsse des LSG für das Land Nordrhein-Westfalen vom  - L 7 AS 2024/18 B, Rz 13 f., und des , Rz 24 ff.). Insbesondere ist § 135 Abs. 1 FGO nicht anwendbar, da es keinen unterliegenden Beteiligten gibt, § 135 Abs. 2 FGO nicht, da kein Rechtsmittel ohne Erfolg eingelegt wurde. Dem entspricht es, dass das Kostenverzeichnis in Anlage 1 zu § 3 Abs. 2 des Gerichtskostengesetzes, dort insbesondere Nr. 6500 bis 6502, für die erfolgreiche Beschwerde keinen Gebührentatbestand vorsieht.

Auf diese Entscheidung wird Bezug genommen in folgenden Gerichtsentscheidungen:


ECLI Nummer:
ECLI:DE:BFH:2022:B.280622.IIB93.21.0

Fundstelle(n):
BFH/NV 2022 S. 931 Nr. 9
WAAAJ-17947