Datenschutz-Haftung: Mitarbeiter haften jetzt persönlich für Datenabgriff

Wer private Daten abgreift, haftet künftig persönlich – das zeigen aktuelle Gerichtsurteile.

Die Durchsetzung des Datenschutzes in Deutschland nimmt zunehmend einzelne Mitarbeiter in die Pflicht. Während die Datenschutz-Grundverordnung (DSGVO) bislang vor allem mit Millionenstrafen für Unternehmen assoiiert wurde, haben Gerichte nun klargestellt: Wer personenbezogene Daten aus privatem Interesse verarbeitet, kann als sogenannter „Verantwortlicher“ persönlich haftbar gemacht werden.

Das Urteil aus Stuttgart: Privates Datenabgreifen ist keine Bagatelle

Das Oberlandesgericht Stuttgart hat die Grenzen der institutionellen Haftung in einem richtungsweisenden Urteil vom 25. Februar 2025 präzisiert. Ein Polizeibeamter hatte die POLAS-Datenbank genutzt, um aus privatem Interesse Informationen abzurufen – ohne dienstliche Notwendigkeit. Das Gericht bestätigte eine Geldbuße von 1.500 Euro gegen den Beamten und stellte klar: Ein solcher unbefugter Zugriff stellt eine eigenständige DSGVO-Verletzung dar.

DSGVO-Bußgelder treffen längst nicht mehr nur Großkonzerne, sondern zunehmend auch Verantwortliche in kleineren Strukturen. Dieser kostenlose Leitfaden zeigt Ihnen in 5 Schritten, wie Sie die gesetzlichen Pflichten rechtssicher umsetzen und Haftungsrisiken minimieren. 5 sofort umsetzbare DSGVO-Schutzmaßnahmen entdecken

Entscheidend war die Definition des „Verantwortlichen“ nach Artikel 4 Nr. 7 DSGVO. Das Gericht urteilte, dass ein Mitarbeiter, der außerhalb seiner zugewiesenen Aufgaben aus persönlichen Gründen handelt, den Schutzschirm der Arbeitgeberverantwortung verlässt. Er wird selbst zur verarbeitenden Stelle. Der bloße Zugriff auf Daten gilt dabei bereits als Verarbeitung im rechtlichen Sinne.

Aufsichtsbehörden verschärfen die Gangart

Der Trend zu strengerer Durchsetzung spiegelt sich auch im 34. Tätigkeitsbericht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) für das Jahr 2025 wider. Die Behörde verzeichnete einen Anstieg der Eingänge um 36 Prozent im Vergleich zu 2024 – insgesamt 11.824 Meldungen. Innerhalb von zwei Jahren hat sich die Zahl der Beschwerden damit verdoppelt.

Die Aufsichtsbehörde führte 2025 umfangreiche Maßnahmen durch: 80 Vor-Ort-Kontrollen und 40 schriftliche Prüfungen. Daraus resultierten 129 aufsichtsrechtliche Maßnahmen. Besonders ins Gewicht fällt eine Geldbuße von 45 Millionen Euro gegen Vodafone. Zu den Schwerpunktthemen zählten Künstliche Intelligenz, die elektronische Patientenakte (ePA) und die europäische Digital Identity Wallet (EUDI).

Unternehmen in der Pflicht: Technische Maßnahmen und Meldefristen

Trotz der Möglichkeit individueller Mitarbeiterhaftung bleiben Unternehmen in der Verantwortung. Artikel 32 DSGVO verpflichtet sie zu technischen und organisatorischen Maßnahmen (TOM). Experten empfehlen regelmäßige Wirksamkeitstests wie Penetrationstests und Tabletop-Übungen, um auf mögliche Verstöße vorbereitet zu sein.

Die Meldefristen für Datenlecks sind knapp bemessen: Nach Artikel 33 DSGVO muss eine Datenpanne innerhalb von 72 Stunden nach Entdeckung gemeldet werden. Im Telekommunikationssektor gilt mit Paragraf 169 TKG sogar eine 24-Stunden-Frist. Wer dagegen verstößt, riskiert Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes.

Die neuen regulatorischen Anforderungen durch den EU AI Act stellen Unternehmen vor zusätzliche komplexe Dokumentationspflichten. Sichern Sie sich diesen kostenlosen Umsetzungsleitfaden, um Fristen, Risikoklassen und die neuen Compliance-Regeln rechtzeitig zu verstehen. Kostenlosen Leitfaden zur KI-Verordnung herunterladen

Ein aktueller Vorfall zeigt das Risiko: Ein Cyberangriff auf einen externen Abrechnungsdienstleister mehrerer deutscher Universitätskliniken – darunter Einrichtungen in Hamburg, Köln und Düsseldorf – betraf über 100.000 Personen. Am Universitätsklinikum Hamburg-Eppendorf (UKE) waren 5.244 Menschen betroffen, davon fast 1.500 mit sensiblen Gesundheitsdaten wie Diagnosen und Behandlungen.

Haftung für Führungskräfte und KI-Systeme

Der Trend zur persönlichen Verantwortung erfasst zunehmend auch Führungsetagen und KI-Entwickler. Anfang Juni 2026 reichte der US-Bundesstaat Florida eine Zivilklage gegen OpenAI und dessen CEO Sam Altman ein. Die 83-seitige Klage wirft Betrug und Fahrlässigkeit vor – mit dem Ziel, Altman persönlich haftbar zu machen. Der Vorwurf: KI-Tools seien trotz interner Warnungen als sicher vermarktet worden, während Daten Minderjähriger unrechtmäßig gesammelt wurden.

In Europa verschärft sich der regulatorische Rahmen für Künstliche Intelligenz weiter. Ab dem 2. August 2026 schreibt Artikel 4 des EU AI Act formelle KI-Schulungen für Mitarbeiter vor. Bei Verstößen drohen Geldbußen von bis zu 35 Millionen Euro. In Kombination mit DSGVO und NIS-2 könnten Strafen für umfassende Verstöße auf bis zu 13 Prozent des weltweiten Jahresumsatzes eines Unternehmens anwachsen.

Marktforschungen zeigen: 88 Prozent der Unternehmen nutzen bereits KI, aber nur zwölf Prozent der CEOs berichten von einer Rendite. Dennoch erhöhen fast die Hälfte der deutschen Personalabteilungen ihre Investitionen in KI. Die Schnittstelle zwischen Datenschutz, Mitarbeiterschulung und Führungskräftehaftung wird damit in den kommenden Monaten ein zentrales Compliance-Thema bleiben.

de | wirtschaft | 69482927 |