05 January 2026, 20:24

BGH-Urteil entlastet Mitarbeiter im öffentlichen Dienst bei Datenschutzverstößen

Eine Werbung mit einer Frau, die an einem Schreibtischcomputer arbeitet.

BGH-Urteil entlastet Mitarbeiter im öffentlichen Dienst bei Datenschutzverstößen

Ein aktuelles Urteil des Bundesgerichtshofs (BGH) hat geklärt, wer im öffentlichen Sektor die rechtliche Verantwortung für Datenschutzverstöße trägt. In der am 7. Oktober 2025 ergangenen Entscheidung heißt es, dass Beschäftigte in der Regel nicht als "Verantwortliche" im Sinne der Datenschutz-Grundverordnung (DSGVO) gelten – selbst wenn sie missbräuchlich auf personenbezogene Daten zugreifen. Dies folgt auf mehrere Bußgelder gegen Mitarbeiter wegen unrechtmäßiger Datenbankabfragen.

Der BGH bestätigte in seinem Urteil (Aktenzeichen VI ZR 297/24), dass Beschäftigte üblicherweise im Auftrag ihres Arbeitgebers handeln und nicht als eigenständige Verantwortliche agieren. Nach der DSGVO ist der "Verantwortliche" diejenige Stelle, die rechtlich für die Datenverarbeitung verantwortlich ist und bei Verstößen haftet. Das Gericht bezog sich in seiner Entscheidung nicht auf eine bestimmte öffentliche Behörde.

Bereits in diesem Jahr hatte der Hamburger Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) sechs Mitarbeiter des öffentlichen Dienstes wegen unzulässigen Zugriffs auf private Daten von Bürgern mit Bußgeldern belegt. In diesen Fällen wurden Abfragen ohne berechtigten dienstlichen Anlass vorgenommen. Im März 2025 verhängte auch der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) eine Strafe gegen einen Polizisten, der ohne Rechtfertigung persönliche Daten einer Frau abgerufen hatte und dafür mit 3.500 Euro belegt wurde.

Mit dem BGH-Urteil verlagert sich die Haftung für Datenschutzverletzungen von den einzelnen Mitarbeitern zurück auf ihre Arbeitgeber. Zwar können Beschäftigte im öffentlichen Dienst weiterhin disziplinarische Maßnahmen oder Bußgelder erwarten, doch das Urteil stellt klar, dass sie nicht automatisch als Verantwortliche im Sinne der DSGVO eingestuft werden. Die Entscheidung reiht sich ein in eine Serie von Sanktionen wegen unbefugter Datenzugriffe bei deutschen Behörden.

Ein Plakat, das einen Zug auf Schienen zeigt, der Rauch ausstößt, umgeben von Pflanzen auf der linken Seite und einem Himmel im Hintergrund, mit dem Text "Das Gefahrensignal" unten.

Laserangriff auf Zugführer: Notbremsung nach Blendung am Bahnhof Ludwigsburg

Ein greller Laserstrahl trifft das Führerhaus – der Lokführer verliert kurz die Sicht. Nun suchen Ermittler nach den flüchtigen Tätern. Wer hat Hinweise?

Eine Gruppe von Menschen, die mit Laptops, Kameras und Taschen in einem Konferenzraum mit Lampen und Lautsprechern im Hintergrund sitzen.

enterJS startet Frühbucher-Tickets für 2026 und bereitet Web Security Day vor

Früh buchen lohnt sich: Die enterJS lockt mit Rabatten für 2026 und einem exklusiven Security-Event. Entwickler:innen aufgepasst!