BGH-Urteil entlastet Mitarbeiter bei DSGVO-Verstößen – wer haftet wirklich?

BGH-Urteil entlastet Mitarbeiter bei DSGVO-Verstößen – wer haftet wirklich?

Ein aktuelles Urteil des Bundesgerichtshofs (BGH) hat geklärt, wer nach der Datenschutz-Grundverordnung (DSGVO) rechtlich haftet, wenn personenbezogene Daten unsachgemäß behandelt werden. Die im Oktober 2025 ergangene Entscheidung bestätigt, dass Beschäftigte in der Regel nicht als "Verantwortliche" eingestuft werden – eine Klassifizierung, die über die Haftung bei Datenschutzverstößen entscheidet. Dies folgt auf eine Reihe von Bußgeldern gegen Mitarbeiter im öffentlichen Dienst wegen unrechtmäßigen Datenzugriffs und unterstreicht die anhaltende Unsicherheit über die Zuständigkeiten.

Mit seinem Urteil vom 7. Oktober 2025 (Aktenzeichen VI ZR 297/24) beendete der BGH eine langjährige Debatte und stellte klar, dass Beschäftigte in der Regel im Auftrag ihres Arbeitgebers handeln und nicht als eigenständige "Verantwortliche" gelten. Diese Unterscheidung ist entscheidend, da Verantwortliche für die Einhaltung der DSGVO sorgen müssen – etwa in puncto Transparenz, Betroffenenrechte und Sicherheitsmaßnahmen. Ohne diesen Status sind Mitarbeiter meist vor direkter Haftung für Verstöße geschützt.

Bereits im Jahr 2025 hatte der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg einen Polizisten mit einem Bußgeld von 3.500 Euro belegt, weil dieser unrechtmäßig auf die persönlichen Daten einer Frau zugegriffen hatte. Ebenfalls verhängte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) in diesem Jahr sechs Bußgelder gegen Beschäftigte des öffentlichen Dienstes, die ohne berechtigten Anlass private Daten von Bürgern abgefragt hatten. Diese Fälle spiegelten die Unklarheit wider, ob Mitarbeiter persönlich für DSGVO-Verstöße belangt werden können.

Das BGH-Urteil knüpft an eine Entscheidung aus dem Jahr 2024 an, die die Position des Landgerichts Düsseldorf stützte und bestätigte, dass Beschäftigte nicht automatisch als Verantwortliche gelten. Stattdessen werden sie als "in Auftrag des Verantwortlichen handelnde Personen" betrachtet, was die Haftung zurück auf die Arbeitgeber verlagert.

Die Entscheidung schafft klarere rechtliche Rahmenbedingungen für Datenschutzverantwortlichkeiten am Arbeitsplatz. Arbeitgeber als Verantwortliche tragen nun eine größere Verantwortung für die Compliance, während Mitarbeiter seltener für individuelles Fehlverhalten bestraft werden. Das Urteil folgt auf mehrere Bußgelder gegen öffentliche Bedienstete und markiert einen Wandel in der Anwendung der DSGVO-Durchsetzung.