Haftet Ihr Mitarbeiter für einen DSGVO-Verstoß?

Wer ist rechtlich verantwortlich, wenn in Ihrem Unternehmen ein Datenschutzfehler passiert – der einzelne Mitarbeiter oder die Firma als Ganzes? Der Bundesgerichtshof (BGH) hat in einem wichtigen Beschluss vom 7. Oktober 2025 (Az.: VI ZR 297/24) für Klarheit gesorgt. Die Entscheidung stärkt die unternehmerische Verantwortung und definiert die Rolle von Angestellten im Datenschutzrecht neu.

Der rechtliche Hintergrund zur Verantwortlichkeit

Die DSGVO legt in Art. 4 Nr. 7 fest, wer der „Verantwortliche“ für eine Datenverarbeitung ist. Dies ist die Person oder Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet. Der Verantwortliche trägt die volle rechtliche Verantwortung, haftet für Verstöße und ist der primäre Adressat für Bußgelder und Schadensersatzforderungen. In der Praxis war oft unklar, inwieweit ein Mitarbeiter, der einen Fehler begeht, selbst zum Verantwortlichen werden kann.

Die Entscheidung des BGH im Detail

Der BGH hat nun unmissverständlich klargestellt, dass Arbeitnehmer in der Regel nicht selbst als „Verantwortliche“ im Sinne der DSGVO angesehen werden können. Die Richter folgten damit der herrschenden Meinung in der Rechtswissenschaft und der Rechtsprechung des Europäischen Gerichtshofs (EuGH).

Die zentrale Begründung des BGH lautet:

• Mitarbeiter sind dem Verantwortlichen (also dem Arbeitgeber) „unterstellte Personen“ im Sinne von Art. 29 DSGVO.
• Sie handeln auf Anweisung und unter der Autorität ihres Arbeitgebers.
• Sie entscheiden nicht selbst über die grundlegenden Zwecke und Mittel der Datenverarbeitung (das „Warum“ und das „Wie“), sondern führen lediglich die ihnen zugewiesenen Aufgaben aus.

Somit ist und bleibt der Arbeitgeber der alleinige Verantwortliche, der die Einhaltung der DSGVO sicherstellen muss.

Was das Urteil für Ihr Unternehmen bedeutet

Diese Klarstellung hat erhebliche praktische Konsequenzen für die Organisation des Datenschutzes in jedem Unternehmen.

• Die Verantwortung liegt klar bei der Unternehmensführung
  Der BGH zementiert, dass die Datenschutz-Compliance eine Managementaufgabe ist. Die Geschäftsführung kann die Verantwortung nicht auf einzelne Mitarbeiter abwälzen, auch wenn diese den operativen Fehler gemacht haben.
• Die Bedeutung von Weisungen und Schulungen steigt
  Wenn das Unternehmen die volle Verantwortung trägt, hat es eine umso größere Pflicht, seine Mitarbeiter zu befähigen, datenschutzkonform zu handeln. Klare Arbeitsanweisungen, verständliche Datenschutzrichtlinien und regelmäßige Schulungen sind keine Option mehr, sondern eine zwingende Notwendigkeit, um der eigenen Verantwortung gerecht zu werden.
• Mitarbeiter sind nicht aus der Pflicht entlassen
  Das Urteil ist kein Freibrief für fahrlässiges Handeln von Mitarbeitern. Während sie gegenüber Behörden oder externen Klägern nicht als DSGVO-Verantwortliche haften, bleiben sie im Innenverhältnis gegenüber ihrem Arbeitgeber rechenschaftspflichtig. Bei grober Fahrlässigkeit oder Vorsatz kann das Unternehmen den Mitarbeiter im Rahmen des Arbeitsrechts in Regress nehmen.
• Der Fokus liegt auf der Organisation nicht auf dem Individuum
  Die Entscheidung zwingt Unternehmen dazu, den Fokus von der Suche nach einzelnen „Schuldigen“ auf die Schaffung eines robusten Datenschutz-Managementsystems zu lenken. Funktionierende technische und organisatorische Maßnahmen (TOMs) sind der beste Schutz vor Verstößen.

FAQ zur Haftung von Mitarbeitern im Datenschutz

• Haftet ein Mitarbeiter also niemals persönlich für einen DSGVO-Verstoß?
  Gegenüber externen Dritten oder Behörden in der Regel nicht mit einem DSGVO-Bußgeld. Im Innenverhältnis zum Arbeitgeber kann er bei schuldhaftem Verhalten aber für den entstandenen Schaden (z.B. ein gezahltes Bußgeld) haften.
• Was ist wenn ein Mitarbeiter absichtlich Daten stiehlt oder missbraucht?
  In diesem Fall handelt der Mitarbeiter außerhalb seiner Befugnisse und kann sich sowohl strafbar machen als auch persönlich vollumfänglich haften. Hier greift nicht mehr der Schutz des weisungsgebundenen Angestellten.
• Wer ist dann für die Daten im Home-Office verantwortlich?
  Auch im Home-Office bleibt das Unternehmen der datenschutzrechtlich Verantwortliche. Es muss jedoch durch klare Regeln und technische Vorgaben (z.B. für die IT-Sicherheit) sicherstellen, dass der Mitarbeiter seine Pflichten erfüllen kann.
• Wie kann ich als Unternehmen meine Verantwortung am besten wahrnehmen?
  Durch die Implementierung eines soliden Datenschutz-Managementsystems, die Benennung eines Datenschutzbeauftragten, die regelmäßige Schulung der Mitarbeiter und die Schaffung klarer interner Richtlinien.
• Wo erhalte ich professionelle Unterstützung bei der Zuweisung von Datenschutz-Rollen?
  Eine klare Struktur ist der Schlüssel zur Haftungsminimierung. Die Experten von sofortdatenschutz.de helfen Ihnen, Ihre Organisation datenschutzkonform aufzustellen. Kontaktieren Sie uns.

Ein klares Urteil zur unternehmerischen Verantwortung

Der BGH-Beschluss bringt eine lang ersehnte Klarheit in eine zentrale Frage des betrieblichen Datenschutzes. Er beendet die theoretische Diskussion über eine mögliche Haftung von Mitarbeitern und rückt die ungeteilte Verantwortung der Unternehmensführung in den Fokus. Für Unternehmen ist die Botschaft eindeutig: Datenschutz ist Chefsache und kann nur durch eine gute Organisation, klare Regeln und geschulte Mitarbeiter erfolgreich umgesetzt werden.