Mit Beschluss vom 7. Oktober 2025 (Az. VI ZR 297/24) hat der Bundesgerichtshof eine grundlegende Frage geklärt: Arbeitnehmer sind im Rahmen ihrer Tätigkeit grundsätzlich keine datenschutzrechtlich Verantwortlichen nach Art. 4 Nr. 7 DSGVO. Vielmehr gelten sie als „unterstellte Personen“ im Sinne von Art. 29 DSGVO.
Was bedeutet das konkret?
Verantwortlicher ist das Unternehmen
Mitarbeiter handeln auf Anweisung und unter der Autorität ihres Arbeitgebers. Sie entscheiden nicht selbst über die grundlegenden Zwecke und Mittel der Datenverarbeitung, sondern führen die ihnen zugewiesenen Aufgaben aus. Der Arbeitgeber bleibt alleiniger Verantwortlicher für die Einhaltung der DSGVO.
Haftung liegt beim Unternehmen
Ansprüche auf Auskunft, Löschung oder Schadensersatz sind gegen das Unternehmen zu richten, nicht gegen einzelne Mitarbeiter. Ausnahmen gibt es nur bei sogenannten „Mitarbeiterexzessen“, etwa vorsätzlichem Datendiebstahl oder grober Fahrlässigkeit.
Geschäftsführer haften persönlich
Geschäftsführer oder Vorstände können persönlich haftbar gemacht werden, wenn sie ihrer Organisationspflicht nicht nachkommen, etwa keine ausreichenden Schulungen durchführen oder keine geeigneten technischen Maßnahmen implementieren.
Schulungspflicht wird dadurch wichtiger, nicht unwichtiger
Die Tatsache, dass Mitarbeiter keine Verantwortlichen sind, entbindet Arbeitgeber nicht von der Pflicht zur regelmäßigen Schulung. Im Gegenteil:
Gesetzliche Grundlagen
- Art. 5 Abs. 2 DSGVO: Rechenschaftspflicht über das datenschutzkonforme Verhalten der Mitarbeiter
- Art. 32 Abs. 1 DSGVO: Schulungen sind Teil der technischen und organisatorischen Maßnahmen
- Art. 83 Abs. 5 DSGVO: Bei fehlenden Schulungen drohen Bußgelder
Warum Schulungen unverzichtbar sind
Die häufigste Ursache für DSGVO Verstöße sind Mitarbeiter, nicht aus Böswilligkeit, sondern aufgrund mangelndem Know how. Im Falle eines Verstoßes kann der Verantwortliche persönlich haftbar gemacht werden, wenn Schulungsmaßnahmen fehlen.
Was geschult werden sollte
- Grundprinzipien der DSGVO und Sensibilisierung für Datenschutzrisiken
- Umgang mit personenbezogenen Daten im Arbeitsalltag
- Erkennen und Melden von Datenpannen
- Sichere Nutzung von IT Systemen, Passwörtern, E Mails und Cloud Diensten
- Betroffenenrechte und Bearbeitung von Auskunftsanfragen
Dokumentationspflicht
Aufsichtsbehörden können im Falle eines Verstoßes Nachweise über Schulungen verlangen. Wichtig ist daher:
- Schulungen mindestens einmal jährlich und bei neuen Mitarbeitern durchführen
- Teilnahmelisten, Zertifikate oder Bestätigungen dokumentieren
- Schulungen praxisnah gestalten und auf tatsächliche Arbeitsprozesse ausrichten
Arbeitgeber bleiben in der Pflicht
Der BGH hat bestätigt: Die datenschutzrechtliche Verantwortung liegt beim Arbeitgeber, nicht beim einzelnen Mitarbeiter. Das bedeutet:
- Ansprüche richten sich an das Unternehmen
- Schulungen sind Pflicht und müssen dokumentiert werden
- Unternehmen müssen zuverlässige Strukturen, Prozesse und technische Maßnahmen schaffen
- Geschäftsführer haften persönlich bei Organisationsverschulden
Wer seine Mitarbeiter nicht regelmäßig schult, riskiert nicht nur Bußgelder, sondern auch persönliche Haftung der Geschäftsführung.