BGH-Urteil entlastet Beschäftigte bei Datenschutzverstößen im öffentlichen Dienst
Verena Kramer
BGH-Urteil entlastet Beschäftigte bei Datenschutzverstößen im öffentlichen Dienst
Der Bundesgerichtshof (BGH) hat entschieden, dass Beschäftigte in der Regel nicht als "Verantwortliche" im Sinne der Datenschutz-Grundverordnung (DSGVO) gelten. Das Urteil klärt, wer die rechtliche Verantwortung für Datenschutzverstöße trägt. Es folgt auf eine Reihe von Bußgeldern, die gegen Mitarbeiter des öffentlichen Dienstes wegen des Missbrauchs personenbezogener Daten verhängt wurden.
Am 7. Oktober 2025 fällte der BGH sein Urteil in der Sache VI ZR 297/24. Das Gericht bestätigte, dass Beschäftigte in der Regel im Auftrag ihres Arbeitgebers handeln und nicht als eigenständige "Verantwortliche". Diese Einordnung ist entscheidend, da sie bestimmt, wer für Datenschutzverletzungen haftet.
Noch in diesem Jahr hatte der Hamburger Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) sechs Mitarbeiter des öffentlichen Dienstes mit Bußgeldern belegt. Sie hatten ohne berechtigten Grund auf persönliche Daten von Bürgern zugegriffen. In einem Fall wurde im März 2025 eine Polizistin mit 3.500 Euro bestraft, weil sie unrechtmäßig die Daten einer Frau im Melderegister abgefragt hatte. Das BGH-Urteil unterstreicht, dass Beschäftigte in der Regel Weisungen ihrer Organisation folgen und nicht eigenständig handeln. Damit verschiebt sich die rechtliche Verantwortung in den meisten Fällen auf den Arbeitgeber.
Das Urteil zieht eine klarere Trennlinie zwischen dem Handeln von Mitarbeitern und der Haftung von Arbeitgebern nach der DSGVO. Im öffentlichen Dienst Hamburgs gab es bereits Strafen wegen Datenmissbrauchs. Künftige Fälle werden sich nun an dieser Rechtsprechung orientieren, um die Verantwortung für Verstöße zu klären.
