BGH stellt klar: Beschäftigte sind in der Regel keine Verantwortlichen im Sinne der DSGVO

Der Bundesgerichtshof hat in einem aktuellen Beschluss (Az.: VI ZR 297/24) entschieden, dass Arbeitnehmerinnen und Arbeitnehmer grundsätzlich nicht als Verantwortliche nach Art. 4 Nr. 7 DSGVO gelten. Die Entscheidung bringt wichtige Klarheit für Organisationen, die personenbezogene Daten verarbeiten, und für Menschen, die im beruflichen Alltag mit solchen Daten umgehen. Dieser Beitrag erklärt, was das Urteil bedeutet und welche praktischen Folgen sich daraus ergeben.

Was genau hat der BGH entschieden?

Beschäftigte bestimmen im Regelfall weder Zweck noch Mittel der Datenverarbeitung. Diese Verantwortung liegt somit eindeutig bei der verantwortlichen Stelle, also bei dem Unternehmen oder der Behörde selbst. Mitarbeitende handeln also innerhalb der vorgegebenen Strukturen und Weisungen und gelten nicht als eigenständige Verantwortliche.

Diese Entscheidung entspricht somit der Systematik der DSGVO: Verantwortlich ist die Stelle, die die Verarbeitung gestaltet und über sie entscheidet. Dazu gehören die Wahrnehmung von Dokumentationspflichten, die Umsetzung von Sicherheitsmaßnahmen sowie die Bearbeitung von Betroffenenrechten.

Warum ist diese Einordnung für die Praxis relevant?

In vielen Organisationen bestand bislang Unsicherheit darüber, wer datenschutzrechtlich Verantwortung trägt. Der BGH schafft hier Klarheit und bestätigt, dass die Haftung grundsätzlich bei der verantwortlichen Stelle liegt. Das schützt Beschäftigte vor ungerechtfertigten, persönlichen Risiken und erleichtert Unternehmen die klare Zuordnung von Zuständigkeiten. Für betroffene Personen wird zudem transparenter, an wen sie sich bei Anliegen rund um ihre Daten wenden müssen. Die richtige Ansprechstelle ist immer die Organisation selbst.

Welche Folgen ergeben sich für Organisationen?

Unternehmen und Behörden sollten ihre internen Rollen und Abläufe eindeutig dokumentieren. Wichtig sind vor allem eine klare Festlegung der Verantwortlichkeiten, nachvollziehbare Datenflüsse und regelmäßige Schulungen. Ebenso entscheidend ist, dass Verantwortlichkeit nicht auf Mitarbeitende übertragen werden kann, wenn diese keine tatsächliche Entscheidungsbefugnis haben.

Was bedeutet das Urteil für Beschäftigte?

Arbeitnehmer müssen weiterhin sorgfältig und entsprechend den Vorgaben ihrer Organisation mit Daten arbeiten. Sie haften jedoch nicht automatisch für Datenschutzverstöße, die auf strukturelle oder organisatorische Entscheidungen zurückgehen. Das stärkt ihre Rechtssicherheit und unterstreicht zugleich die Pflicht der Arbeitgeber, funktionierende Datenschutzstrukturen bereitzustellen.

Was Unternehmen und Beschäftigte jetzt mitnehmen sollten

Das Urteil stellt unmissverständlich klar, dass die Verantwortung für die Einhaltung der DSGVO bei der Organisation liegt. Für Unternehmen und Behörden ist es daher zentral, ihre internen Zuständigkeiten sauber zu definieren und datenschutzkonforme Prozesse zuverlässig umzusetzen.