BGH: Für Datenschutzverstöße haften in der Regel die Unternehmen – nicht die Mitarbeiter

Aktuelle Rechtsprechung, Allgemein, Arbeitsvertragsrecht, Aus der Praxis, Was Sie sonst noch wissen sollten

Arbeitnehmer sind keine „Verantwortlichen“ nach DSGVO – Was Unternehmen jetzt wissen müssen

Die Frage taucht in der Praxis ständig auf: Wer ist Ansprechpartner und Anspruchsgegner bei Datenschutzpannen – der einzelne Sachbearbeiter oder das Unternehmen? Der Bundesgerichtshof hat das nun klar herausgestellt: Mitarbeiter handeln im Datenschutzrecht normalerweise nicht als „Verantwortliche“. Ansprüche – etwa auf Auskunft oder Schadensersatz – richten sich grundsätzlich gegen das Unternehmen bzw. die Behörde.

Das hat der BGH klargestellt

Arbeitnehmer sind dem „Verantwortlichen“ (dem Unternehmen/der Behörde) unterstellte Personen und handeln weisungsgebunden. Deshalb sind sie in aller Regel nicht selbst „Verantwortliche“ im Sinne der DSGVO. Folge: Primärer Anspruchsgegner ist das Unternehmen, nicht der einzelne Mitarbeiter.
Diese Linie deckt sich mit der Rechtsprechung des Europäischen Gerichtshofs zu Art. 29 DSGVO und der Definition des „Verantwortlichen“ in Art. 4 Nr. 7 DSGVO (EuGH, Urteile vom 11. April 2024 – C‑741/21 „juris GmbH“; vom 22. Juni 2023 – C‑579/21 „Pankki S“).
Der BGH hat eine Nichtzulassungsbeschwerde zurückgewiesen und dabei betont, dass diese Grundsätze klar sind (BGH, Beschluss vom 7. Oktober 2025 – VI ZR 297/24).

Kurz gesagt: Für Datenschutzverstöße in betrieblichen Prozessen haftet grundsätzlich der Verantwortliche – also das Unternehmen oder die Behörde – und nicht die einzelne Bearbeiterin am Telefon oder der Sachbearbeiter im Backoffice.

Was bedeutet das für Betroffene?

Wenn Sie Ihre Datenschutzrechte durchsetzen möchten, gehen Sie gegen den Verantwortlichen vor – nicht gegen einzelne Mitarbeiter. Das gilt etwa für:

Auskunft und Kopie Ihrer Daten (Art. 15 DSGVO)
Berichtigung, Löschung, Einschränkung (Art. 16–18 DSGVO)
Widerspruch (Art. 21 DSGVO)
Schadensersatz (Art. 82 DSGVO)

Wichtig beim Schadensersatz nach Art. 82 DSGVO:

Sie müssen konkrete negative Folgen schildern, die der Verstoß bei Ihnen ausgelöst hat (z. B. messbare Belastungen, Nachteile, Beeinträchtigungen). Reine Unzufriedenheit oder abstrakter Ärger genügen in der Regel nicht.
Eine „Vorstufenpflicht“ zur vorherigen Einlegung bestimmter Rechtsmittel gibt es bei Art. 82 DSGVO grundsätzlich nicht. Der BGH hat ausdrücklich klargestellt, dass der nationale Rechtsgedanke des § 839 Abs. 3 BGB (zunächst Rechtsmittel ergreifen) auf Art. 82 DSGVO nicht übertragen wird.

Was bedeutet das für Unternehmen und Behörden?

Die Entscheidung unterstreicht: Datenschutz-Compliance ist Chefsache. Mitarbeiter handeln weisungsgebunden – die Verantwortung für rechtmäßige Verarbeitung, sichere Prozesse und korrekte Antworten liegt beim Verantwortlichen.

Prioritäten für Verantwortliche:

Klare Verantwortlichkeiten: Benennen Sie intern, wer Auskunfts- und Betroffenenrechte koordiniert (DSB/Privacy Team/Legal).
Weisungen und Schulung: Dokumentierte Arbeitsanweisungen (Art. 29 DSGVO), regelmäßige Schulungen, „Do’s & Don’ts“ für Mitarbeitende.
Prozesse und Fristen: Standardisierte Workflows für Auskunft, Berichtigung, Löschung; Fristenmanagement; Prüf- und Freigabeprozesse.
Datensparsamkeit und Sicherheit: Aktuelle TOMs, Berechtigungskonzepte, Löschkonzepte, Protokollierung.
Antwortqualität: Auskünfte vollständig, verständlich und fristgerecht; bei Schadensfällen strukturierte Darstellung, ggf. Wiedergutmachung.

Risikosteuerung:

Ein einzelner Verarbeitungsfehler wird in der Außenhaftung dem Verantwortlichen zugerechnet. Gute Schulungen, klare Weisungen und gelebte Prozesse senken Fehlerquoten – und damit Haftungs- und Reputationsrisiken.
Und stets Betriebsrat beziehungsweise Personalrat bei der Einführung, Änderung oder Konsolidierung von Prozessen und Systemen zur Verarbeitung von Beschäftigtendaten frühzeitig und strukturiert einbinden. (s. auch Arbeitnehmerdatenschutz)

Unser Fazit: Datenschutz ist Chefsache

Die Linie ist klar: Datenschutzpannen sind Organisationssache – und damit Haftungssache des Verantwortlichen. Betroffene sollten ihre Rechte zielgerichtet gegenüber dem Unternehmen/der Behörde geltend machen und bei Schadensersatz konkrete Folgen darlegen. Verantwortliche sollten ihre Datenschutzorganisation belastbar aufstellen: klare Weisungen, starke Prozesse, gute Schulung.

Sie haben Fragen zum arbeitsrechtlichen Datenschutz im Unternehmen oder benötigen Unterstützung bei der Umsetzung der DSGVO? Schildern Sie uns Ihren Fall: eMail an MEIDES Rechtsanwälte. Wir prüfen zügig, empfehlen das passende Vorgehen und formulieren die nötigen Schreiben.

Das in diesem Beitrag verwendete Foto stammt von geralt @pixabay.com. Herzlichen Dank!