Arbeitnehmer sind grundsätzlich keine Verantwortlichen im Sinne der Datenschutz-Grundverordnung. Die Haftung für Datenschutzverstöße trifft in der Regel den Arbeitgeber nicht den einzelnen Beschäftigten.
Erst kürzlich bestätigte der Bundesgerichtshof im Beschlusswege (Beschl. v. 07.10.2025, Az. VI ZR 297/24), dass die Verantwortung für die Verarbeitung personenbezogener Daten klar beim Arbeitgeber liegt. Denn Beschäftigte handeln typischerweise nach Weisung und entscheiden weder über Zweck noch Mittel der Verarbeitung. Sie gelten in der Regel als „unterstellte Personen“ nach Art. 29 DSGVO.
Hieraus folgt, dass für Datenschutzverstöße von Beschäftigten primär der Arbeitgeber haftet. Um dieses Haftungsrisiko zu minimieren muss der Arbeitgeber hinreichende technische und organisatorische Maßnahmen bereitstellen, klare Arbeitsanweisungen erteilen und deren Einhaltung regelmäßig überprüfen. Insbesondere müssen Prozesse, Zuständigkeiten und Zugriffsrechte eindeutig geregelt und die Beschäftigten regelmäßig geschult werden, damit diese datenschutzkonform handeln können.
Eine Haftung des Arbeitnehmers aus datenschutzrechtlicher Sicht ist nur in Ausnahmefällen gegeben, Hierfür müsste der Arbeitnehmer jedenfalls eigenständig über Zweck und Mittel der Verarbeitung entscheiden, also gerade nicht weisungsgebunden handeln (z. B. bei einem sog. Mitarbeiterexzess).
Wir stehen bei der rechtlichen Beratung an Ihrer Seite. Rufen Sie uns gerne unter + 49 211 – 5997770 an oder senden uns eine E-Mail an info@wmrg.de
Dieser Beitrag wurde verfasst von Mathias Iking | Rechtsanwalt | LL.M. Medienrecht