Die Frage, wer im Unternehmen datenschutzrechtlich Verantwortung trägt, bestimmt, wer für die Einhaltung der Datenschutzgrundverordnung (DSGVO) einsteht, wer haftet und gegenüber wem Betroffene Ansprüche geltend machen können. Mit seinem Beschluss vom 07.10.2025 (VI ZR 297/24) hat der Bundesgerichtshof (BGH) erneut klargestellt, dass Arbeitnehmer grundsätzlich keine Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO sind.
Einordnung der Verantwortlichkeit im Datenschutzrecht
Die Figur des „Verantwortlichen“ ist der zentrale Ankerpunkt der DSGVO. Nach Art. 4 Nr. 7 DSGVO ist Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Der Verantwortliche trägt die volle Verantwortung, von der Information der Betroffenen über die Gewährleistung der Betroffenenrechte bis hin zu technischen und organisatorischen Schutzmaßnahmen. Da hiermit auch die Haftung einhergeht, ist die genaue Einordnung besonders bedeutsam.
Verantwortliche im Arbeitsverhältnis
In datenverarbeitenden Unternehmen sind es regelmäßig die Unternehmen selbst, und damit im Arbeitsverhältnis die Arbeitgeber, die die datenschutzrechtliche Verantwortung tragen. Es stellt sich aber die Frage, inwiefern die Verantwortlichkeit von Mitarbeitern bei Datenschutzverletzungen angenommen werden kann. Das ist regelmäßig zweifelhaft, denn Mitarbeiter verarbeiten Daten üblicherweise nicht eigenständig. Eine Ausnahme kann jedoch dann vorliegen, wenn ein Beschäftigter in eigener Entscheidung und bewusst entgegen interner Vorgaben handelt. Dann entscheidet er selbst über das ob und wie der Datenverarbeitung, womit es sich um einen sogenannten Mitarbeiterexzess handelt. In letzter Zeit gab es etwa vermehrt Fälle, in denen Polizisten zu eigenen Zwecken aus Registern Daten abgefragt haben und deshalb datenschutzrechtlich belangt wurden.
Entscheidung des BGH
Der BGH bestätigt nun erneut, dass Beschäftigte regelmäßig nicht zur Gruppe der Verantwortlichen gehören, und verweist auf die Rechtsprechung des Europäischen Gerichtshofs (EuGH). Dieser hatte in der Vergangenheit bereits vermehrt entschieden, dass Arbeitnehmer im Normalfall nicht selbstbestimmt, sondern im Auftrag und nach Weisung ihres Arbeitgebers handeln. Damit fallen sie unter Art. 29 DSGVO, der „unterstellte Personen“ beschreibt, die ausschließlich auf dokumentierte Weisung des Verantwortlichen tätig werden.
Auswirkungen für die Compliance-Praxis
Die Entscheidung fügt sich in die Diskussion um Meldepflichten bei Datenpannen ein. Wo ein Mitarbeiter exzessiv handelt, ist ein Verantwortlicher zwar vielleicht nicht haftbar, aber gegebenenfalls dennoch verpflichtet, den Vorfall zu melden, etwa weil der unbefugte Zugriff systemische Schwächen offenbart. Unternehmen müssen daher darauf achten, nicht nur die Verantwortlichkeitsfrage formal zu klären, sondern zugleich die organisatorischen Schutzmechanismen zu überprüfen, die derartige Exzesse verhindern oder zumindest frühzeitig sichtbar machen.
Die Rechtsprechung unterstreicht, dass Fehlverhalten einzelner Beschäftigter nicht automatisch die eigene Verantwortlichkeit des Unternehmens entfallen lässt. Vielmehr bleibt der Arbeitgeber verpflichtet, interne Kontrollmechanismen, Schulungen und technische Zugriffsbeschränkungen vorzuhalten, die den Missbrauch personenbezogener Daten erschweren.
Fazit
Der BGH stimmt dem EuGH zu und entscheidet, dass Arbeitnehmer in der Regel keine Verantwortlichen sind. Die datenschutzrechtliche Verantwortung bleibt insofern in einer Vielzahl der Fälle bei den Arbeitgebern, die zuverlässige Strukturen schaffen müssen, um gesetzliche Pflichten einzuhalten und Risiken zu minimieren. Mitarbeiterexzesse bleiben haftungsrechtlich ein Sonderfall, der aber zeigt, dass individuelle Verstöße ernsthafte rechtliche Folgen haben können.
