Ein Verstoß gegen Datenschutz durch Mitarbeiter kann für Unternehmen erhebliche rechtliche und wirtschaftliche Folgen haben. Die DSGVO verpflichtet Arbeitgeber und Beschäftigte gleichermaßen zum sorgfältigen Umgang mit personenbezogenen Daten. Bereits kleine Fehler – etwa das Weiterleiten sensibler Informationen oder der unsachgemäße Umgang mit Kundendaten – können zu hohen Bußgeldern führen. Auch arbeitsrechtliche Konsequenzen können folgen. Dieser Artikel zeigt, was als Datenschutzverstoß gilt, welche Haftungsrisiken bestehen und wie Unternehmen solche Verstöße durch gezielte Maßnahmen frühzeitig verhindern können.
Inhaltsverzeichnis
- Was gilt als Verstoß gegen den Datenschutz durch Mitarbeiter?
- Beispiele für Datenschutzverstöße im Arbeitsverhältnis:
- Wann haftet der Arbeitnehmer für einen Datenschutzverstoß?
- Sonderfall: Mitarbeiterexzess – Wenn der Arbeitgeber nicht mehr haftet
- Datenschutzverstoß als Kündigungsgrund gegenüber Mitarbeiter?
- Typische Ursachen für Datenschutzverstöße durch Mitarbeiter
- Checkliste für Arbeitgeber: So minimieren Sie Risiken und Haftung
- FAQ Verstoß gegen Datenschutz durch Mitarbeiter
Was gilt als Verstoß gegen den Datenschutz durch Mitarbeiter?
Ein Datenschutzverstoß durch Mitarbeiter liegt vor, wenn personenbezogene Daten im Widerspruch zu den Grundsätzen des Art. 5 Abs. 1 DSGVO verarbeitet werden. Dazu gehören unter anderem Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit.
Im Arbeitsverhältnis können solche Verstöße in vielfältiger Weise auftreten, zum Beispiel durch:
- Einsichtnahme in personenbezogene Daten ohne dienstlichen Anlass (Verstoß gegen Zweckbindung)
- Weitergabe von Kundendaten an unbefugte Dritte (Verstoß gegen Vertraulichkeit)
- Speicherung unnötiger oder veralteter Daten (Verstoß gegen Datenminimierung und Richtigkeit)
- Nichtlöschung von Daten nach Ablauf der Speicherfrist (Verstoß gegen Speicherbegrenzung)
- Versand personenbezogener Daten ohne ausreichende Absicherung (z. B. unverschlüsselte E-Mails)
- Nutzung personenbezogener Daten zu privaten Zwecken (Verstoß gegen Rechtmäßigkeit)
- Fehlender Schutz vor unbefugtem Zugriff, z. B. durch offene Bildschirme oder geteilte Passwörter (Verstoß gegen Integrität und Vertraulichkeit)
Ein Verstoß gegen Datenschutz durch einen Mitarbeiter muss nicht vorsätzlich erfolgen – auch fahrlässiges Verhalten kann rechtliche und finanzielle Konsequenzen nach sich ziehen.
Beispiele für Datenschutzverstöße im Arbeitsverhältnis:
Im Arbeitsalltag kommt es häufig zu Datenschutzverstößen – oft unbeabsichtigt, aber dennoch mit rechtlichen Konsequenzen. Hier einige typische Beispiele aus der Praxis:
- Versand einer E-Mail mit Kundendaten an den falschen Empfänger
- Offenlassen des Arbeitsplatzes mit sichtbaren personenbezogenen Daten auf dem Bildschirm
- Ablage von Personalakten in öffentlich zugänglichen Bereichen
- Weiterleitung sensibler Informationen (z. B. Krankmeldungen) über private Messenger-Dienste
- Einblick in Kundendaten ohne dienstlichen Grund („neugieriges Lesen“)
- Nutzung echter Kundendaten zu Testzwecken in der IT
- Speicherung personenbezogener Daten auf unverschlüsselten USB-Sticks oder privaten Geräten
- Unbefugte Weitergabe von Mitarbeiterdaten an Dritte, z. B. an Kollegen oder Geschäftspartner
Solche Fehler zeigen: Ein Verstoß gegen Datenschutz durch Mitarbeiter kann auch durch Unwissenheit oder Nachlässigkeit entstehen – nicht nur durch Vorsatz. Umso wichtiger sind klare Richtlinien, regelmäßige Schulungen und technische Schutzmaßnahmen.
Wann haftet der Arbeitnehmer für einen Datenschutzverstoß?
Die Haftung bei einem Verstoß gegen Datenschutz durch Mitarbeiter richtet sich nach dem innerbetrieblichen Schadensausgleich. Dieser berücksichtigt das Verschulden und das wirtschaftliche Risiko des Arbeitnehmers. Die Haftung ist in der Regel gestaffelt – abhängig davon, ob der Verstoß leicht, mittel oder grob fahrlässig begangen wurde. Ziel ist es, Arbeitnehmer nicht unangemessen zu belasten, aber dennoch Verantwortung einzufordern, wo sie gerechtfertigt ist.
Leicht fahrlässig begangenen Verstoß gegen Datenschutz durch Mitarbeiter
Bei leichter Fahrlässigkeit haftet der Arbeitnehmer in der Regel nicht. Dies ist der Fall, wenn ein Versehen passiert, das auch bei gewisser Sorgfalt nicht völlig ausgeschlossen werden kann – etwa ein einmaliges, nachvollziehbares Versehen im Stress des Arbeitsalltags. Der Arbeitgeber trägt in diesem Fall den entstandenen Schaden allein.
Mittlere Fahrlässigkeit
Liegt eine mittlere Fahrlässigkeit vor – also ein erkennbarer, aber nicht gravierender Pflichtverstoß – kann eine anteilige Haftung erfolgen. Die genaue Aufteilung hängt vom Einzelfall ab, z. B. vom Einkommen des Mitarbeiters, der Schadenshöhe oder organisatorischen Schwächen des Arbeitgebers.
Grob fahrlässig von Mitarbeiter begangenen Datenschutzverstoß
Bei grober Fahrlässigkeit hat der Arbeitnehmer seine Sorgfaltspflichten in erheblichem Maße verletzt – etwa durch bewusstes Ignorieren klarer Vorschriften oder mehrfaches Fehlverhalten trotz Schulung. In solchen Fällen kann der Arbeitnehmer voll haftbar gemacht werden. Dennoch kann die Haftung gemindert werden, wenn ein auffälliges Missverhältnis zwischen Schaden und Einkommen besteht.
Vorsätzlich von Arbeitnehmer begangenen Verstoß gegen Datenschutz
Handelt ein Mitarbeiter vorsätzlich, also bewusst und gewollt mit dem Ziel, gegen Datenschutzvorgaben zu verstoßen oder einen Schaden zu verursachen, haftet er vollumfänglich für den entstandenen Schaden. In solchen Fällen entfällt der Schutz durch den innerbetrieblichen Schadensausgleich vollständig.
Ein vorsätzlicher Verstoß liegt beispielsweise vor, wenn ein Mitarbeiter absichtlich Kundendaten verkauft, gezielt Daten löscht, um dem Unternehmen zu schaden, oder sensible Informationen bewusst an unbefugte Dritte weitergibt. Auch die Nutzung personenbezogener Daten für eigene Zwecke (z. B. für Nebengeschäfte oder persönliche Interessen) kann vorsätzliches Handeln darstellen.
Wichtig: Ein vorsätzlich handelnder Mitarbeiter gilt in diesem Zusammenhang nicht mehr als betrieblich veranlasst. Er wird rechtlich wie ein externer Angreifer behandelt. Das kann neben Schadensersatzforderungen auch strafrechtliche Konsequenzen haben und rechtfertigt in der Regel eine fristlose Kündigung.
Sonderfall: Mitarbeiterexzess – Wenn der Arbeitgeber nicht mehr haftet
In der Regel haftet ein Unternehmen für Datenschutzverstöße seiner Mitarbeiter, wenn diese im Rahmen ihrer dienstlichen Tätigkeit handeln. Doch im sogenannten Mitarbeiterexzess kann sich das ändern: Wenn ein Mitarbeiter bewusst und eigenmächtig außerhalb seines Aufgabenbereichs handelt – etwa aus persönlichen Motiven oder mit Schädigungsabsicht – liegt kein betrieblich veranlasstes Verhalten mehr vor. Der Arbeitgeber kann in solchen Fällen unter bestimmten Voraussetzungen von der Haftung freigestellt werden.
Ein typisches Beispiel wäre die absichtliche Weitergabe von Kundendaten an unbefugte Dritte zu privaten Zwecken, ohne jeden Bezug zur Arbeitsaufgabe.
Datenschutzrechtlich Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist grundsätzlich das Unternehmen – und somit auch der Adressat eines möglichen Bußgelds. Im Fall eines klar nachgewiesenen Verstoß gegen Datenschutz durch Mitarbeiter im Exzess (Mitarbeiterexzesses) kann die Aufsichtsbehörde jedoch zu dem Ergebnis kommen, dass der Verstoß nicht dem Unternehmen zurechenbar ist – etwa, weil es alle erforderlichen technischen, organisatorischen und rechtlichen Maßnahmen ergriffen hatte.
In einem solchen Ausnahmefall kann das Unternehmen von Sanktionen verschont bleiben. Eine direkte Bußgeldverhängung gegen den Mitarbeiter ist zwar rechtlich umstritten, kommt in der Praxis aber nur bei vorsätzlichem und besonders gravierendem Fehlverhalten in Betracht.
Datenschutzverstoß als Kündigungsgrund gegenüber Mitarbeiter?
Ein Verstoß gegen Datenschutz durch Mitarbeiter kann unter bestimmten Umständen eine arbeitsrechtliche Kündigung rechtfertigen – insbesondere, wenn das Verhalten pflichtwidrig, rücksichtslos oder vorsätzlich war. Entscheidend ist dabei der Einzelfall: Wurde der Verstoß fahrlässig oder absichtlich begangen? Lag eine vorherige Abmahnung vor? Und wie schwer wiegt die Pflichtverletzung?
Bereits bei mittlerer oder grober Fahrlässigkeit kann eine Abmahnung erfolgen – bei wiederholtem Fehlverhalten droht eine ordentliche Kündigung. In besonders schweren Fällen, etwa bei vorsätzlicher Weitergabe personenbezogener Daten, kann auch eine fristlose Kündigung ohne vorherige Abmahnung zulässig sein.
Gerichte prüfen in solchen Fällen stets die Verhältnismäßigkeit. Arbeitgeber sind deshalb gut beraten, Verstöße zu dokumentieren, die Mitarbeiter nachweislich zu schulen und klare Verhaltensregeln vorzugeben – das stärkt nicht nur die Compliance, sondern auch die arbeitsrechtliche Position im Konfliktfall.
Typische Ursachen für Datenschutzverstöße durch Mitarbeiter
Datenschutzverstöße im Arbeitsalltag entstehen häufig nicht aus böser Absicht, sondern durch Unwissenheit, Routinefehler oder unzureichende organisatorische Vorgaben. Viele Mitarbeitende sind sich der Konsequenzen ihrer Handlungen im Umgang mit personenbezogenen Daten schlicht nicht bewusst.
Typische Ursachen sind:
- Fehlende oder unklare Anweisungen zum Umgang mit sensiblen Daten
- Mangelndes Datenschutzbewusstsein, insbesondere bei neuen oder fachfremden Mitarbeitenden
- Zeitdruck und Stress, die zu Flüchtigkeitsfehlern führen
- Technische Versäumnisse, z. B. fehlende Zugriffsbeschränkungen oder unsichere Systeme
- Unzureichende Schulungen oder seltene Wiederholungen von Datenschutzunterweisungen
- Verwechslung von Kommunikationskanälen, z. B. private Messenger oder E-Mail-Adressen
- Vertrauensirrtümer, wie der Glaube, Kollegen dürften „zur Vereinfachung“ alle Daten einsehen
Um diese Risiken zu minimieren, sind regelmäßige Schulungen, klare Prozesse und technische Schutzmaßnahmen unerlässlich – denn Datenschutz beginnt im Alltag jedes einzelnen Mitarbeiters.
Checkliste für Arbeitgeber: So minimieren Sie Risiken und Haftung
Arbeitgeber tragen die datenschutzrechtliche Hauptverantwortung – auch für Fehler ihrer Mitarbeitenden. Um Haftungsrisiken infolge von Organisationsverschulden zu minimieren und sich im Ernstfall nach Art. 82 Abs. 3 DSGVO entlasten zu können, kommt es auf konkrete organisatorische Maßnahmen an. Gerichte und Aufsichtsbehörden erwarten mehr als formale Vorgaben: Es zählt ein nachweisbares Datenschutzmanagement, das Auswahl, Schulung, Kontrolle und Reaktion auf Verstöße abdeckt. Praxisnahe Maßnahmen für eine haftungsfeste Datenschutzorganisation:
| ✓ | Maßnahme |
| ✓ | Verpflichtung auf Vertraulichkeit: Sie sollten alle Mitarbeiter bei Einstellung vor Arbeitsbeginn schriftlich zur Wahrung der Vertraulichkeit zu verpflichten. |
| ✓ | Regelmäßige Schulungen: Schulen Sie alle Mitarbeitenden zu DSGVO-Grundlagen, datenschutzkonformem Verhalten und konkreten Fallbeispielen – idealerweise jährlich und bei Neueinstellungen. |
| ✓ | Klare Richtlinien und Verhaltensanweisungen: Datenverarbeitungen dürfen nur auf dokumentierter Weisung erfolgen. Klare interne Richtlinien, Zuständigkeiten und Prozesse sind unerlässlich – und deren Einhaltung muss kontrolliert werden. |
| ✓ | Regelmäßige Kontrolle und Überwachung: Arbeitgeber müssen stichprobenartige oder anlassbezogene Kontrollen durchführen, ob Mitarbeitende personenbezogene Daten im Rahmen ihrer Befugnisse verarbeiten. Datenschutz- und arbeitsrechtliche Vorgaben zur Mitarbeiterüberwachung sind dabei zu beachten. |
| ✓ | Technische Zugriffsbeschränkungen: Stellen Sie sicher, dass Mitarbeitende nur Zugriff auf die Daten erhalten, die sie für ihre Aufgaben tatsächlich benötigen („Need-to-know-Prinzip“). |
| ✓ | Dokumentierte TOMs: Zugangsbeschränkungen, Rollen- und Rechtekonzepte, regelmäßige Software-Updates, Protokollierung – alle technisch-organisatorischen Maßnahmen (TOMs) müssen dem Stand der Technik entsprechen und dokumentiert sein (Art. 32 DSGVO). |
| ✓ | Meldesysteme und Reaktion auf Vorfälle: Interne Prozesse zur Meldung, Bewertung und Reaktion auf Datenschutzverstöße sind verpflichtend – inklusive Eskalationswegen, Sofortmaßnahmen und Feedback an betroffene Mitarbeitende. |
| ✓ | Externer Datenschutzbeauftragter: Ziehen Sie bei Unsicherheiten professionelle Unterstützung hinzu, um Haftungsrisiken wirksam zu minimieren. |
Ein strukturiertes Datenschutzmanagement schützt nicht nur Betroffene, sondern auch Ihr Unternehmen – rechtlich, finanziell und reputativ.
FAQ Verstoß gegen Datenschutz durch Mitarbeiter
Ist ein Mitarbeiter zugleich als interner Datenschutzbeauftragter tätig, gelten für ihn die gleichen Maßstäbe. Aufgrund seiner besonderen Rolle (Art. 39 DSGVO) ist sein Pflichtenprofil erweitert. Ein Schadensersatzanspruch entsteht aber in der Regel nur bei Vorsatz oder grober Fehlberatung.
Ein Verstoß gegen Datenschutz durch Mitarbeiter liegt vor, wenn personenbezogene Daten im Widerspruch zur DSGVO verarbeitet werden – etwa durch unbefugtes Einsehen, Weitergabe oder fehlerhafte Speicherung.
Ein Datenschutzverstoß bezeichnet das regelwidrige Verhalten – z. B. unerlaubter Datenzugriff. Eine Datenschutzverletzung hingegen meint den konkreten Vorfall, etwa Datenverlust oder unbefugte Offenlegung.
Grundsätzlich haftet der Arbeitgeber als datenschutzrechtlich Verantwortlicher. Nur bei grober Fahrlässigkeit oder vorsätzlich begangenem Verstoß gegen Datenschutz kann auch der Mitarbeiter haftbar gemacht werden.
Ja. Je nach Schwere kann ein Verstoß abgemahnt werden oder – insbesondere bei Vorsatz – sogar eine fristlose Kündigung rechtfertigen.
Unbedingt. Regelmäßige Schulungen sind erforderlich, um Verstöße gegen Datenschutz durch Mitarbeiter zu vermeiden und die Haftung des Unternehmens zu begrenzen.
Ein Mitarbeiterexzess liegt vor, wenn ein Mitarbeiter bewusst und ohne dienstlichen Bezug gegen Weisungen verstößt – etwa Daten zu privaten Zwecken verwendet. In solchen Fällen haftet unter Umständen nicht mehr der Arbeitgeber.
Ja. Auch vermeintlich „kleine“ Verstöße – etwa falscher E-Mail-Versand – können meldepflichtig sein und zu Sanktionen führen, wenn organisatorische Schutzmaßnahmen fehlen.
Durch dokumentierte Maßnahmen wie Schulungen, Zugriffskontrollen und klare Weisungen kann das Unternehmen im Einzelfall belegen, dass es seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachgekommen ist.
Nein, eine pauschale Obergrenze gibt es nicht. Gerichte berücksichtigen jedoch bei grober Fahrlässigkeit oder Vorsatz das Verhältnis zwischen Schaden und Einkommen.
Der Arbeitgeber muss den Vorfall prüfen, ggf. melden (Art. 33 DSGVO), intern aufarbeiten und Maßnahmen zur Wiederholungsvorbeugung treffen – von Schulungen bis hin zu organisatorischen Änderungen.
Unwissenheit, Zeitdruck, unklare Prozesse, fehlende Schulungen, technische Fehler oder die Nutzung privater Geräte/Dienste sind häufige Ursachen.
Der externe Datenschutzbeauftragte unterstützt bei der Aufklärung von Verstößen, der Kommunikation mit Behörden und der Umsetzung organisatorischer Schutzmaßnahmen im Unternehmen.
Nein. Es kommt auf die Gesamtbewertung der Datenschutzmaßnahmen an. Ein einzelner Fehler führt nicht zwangsläufig zu einer Sanktion – wenn das Unternehmen nachweisen kann, dass es angemessene Vorkehrungen getroffen hat.
Wenn der Mitarbeiter vorsätzlich handelt und das Unternehmen nachweisen kann, dass es alle notwendigen organisatorischen und präventiven Maßnahmen umgesetzt hat.
Zugriffsrechte, Meldewege, Löschfristen, Verhalten im Homeoffice, Umgang mit mobilen Geräten, Datenübermittlung und Konsequenzen bei Verstößen – klar und verständlich dokumentiert.
Ein Datenschutzverstoß oder DSGVO-Verstoß kann zugleich auch eine Datenschutzverletzung darstellen. Voraussetzung hierfür ist, dass sich infolge der unbefugten Vernichtung, Veränderung, Offenlegung oder Verlust der Daten ein Risiko für die betroffene Person nicht ausschließen lässt (gem. Art. 33 DSGVO).
Grundsätzlich ist eine Datenschutzverletzung innerhalb von 72 Stunden durch das Unternehmer (“Verantwortlicher” oder ehemals “verantwortliche Stelle”) an die zuständige Aufsichtsbehörde zu melden (Art. 33 DSGVO). Es gibt aber auch Ausnahmen von diesem Grundsatz: So kann eine Meldung an die Datenschutz-Aufsichtsbehörde unterbleiben, wenn der Vorfall voraussichtlich nicht zu einem Risiko für die Betroffene/n führt. Für die Entscheidung, ob ein Vorfall oberhalb oder unterhalb der Meldeschwelle liegt, ist eine schnellstmögliche Risikobewertung erforderlich.
Eine Datenschutzverletzung muss unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls an die zuständige Datenschutz-Aufsichtsbehörde gemeldet werden (Art. 33 DSGVO).
Bei einer Datenpanne muss grundsätzlich eine Meldung an die Datenschutz-Aufsichtsbehörde erfolgen. Bei einer Datenpanne mit hohem Risiko müssen zusätzlich die Betroffenen informiert werden
Typische Beispiele für Datenschutzverletzungen sind:
– Endgeräte (Handys, Laptops) oder mobile Datenträger (USB-Sticks, Speicherkarten) werden gestohlen oder werden in den öffentlichen Verkehrsmitteln vergessen
– Werblicher E-Mail-Versand mit offenem Mailverteiler (cc statt bcc)
– Fremder Zugriff auf Datenbestände infolge einer Cyber-Attacke
– Programmierfehler in der eigenen Plattform, wodurch Nutzer fälschlicherweise Daten anderer Nutzer einsehen können
– Verschlüsselte Daten infolge einer Ransomware-Attacke
– Diebstahl persönlicher Daten mithilfe von gefälschten Webseiten, E-Mails oder Kurznachrichten (Phishing-Attacken)
– Kein Zugriff auf Systeme infolge eines Stromausfalls
