Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Audit ChatGPT Checklisten Muster Vorlagen EuGH Homeoffice KI KRITIS Microsoft 365 NIS-2 Rechenschaftspflicht Urteil
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 04/26

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Audit ChatGPT Checklisten Muster Vorlagen EuGH Homeoffice KI KRITIS Microsoft 365 NIS-2 Rechenschaftspflicht Urteil
21. Juli 2025

Mitarbeiterexzesse – Teil 2: Verantwortlichkeiten, Prävention

DP+
Arbeitgeber stecken in einem Dilemma: Einerseits liegt ihnen an einer Kultur des Vertrauens im Unternehmen, andererseits müssen sie Maßnahmen gegen mögliche Mitarbeiterexzesse ergreifen.
Bild: iStock.com/skynesher
0,00 (0)
drucken
Haftung bei Datenschutzverstößen im Beschäftigtenverhältnis
Der erste Teil dieser kurzen Reihe stellte das Phänomen der Mitarbeiterexzesse dar. Der zweite Teil beschreibt nun die jeweiligen datenschutzrechtlichen Verantwortlichkeiten und gibt Hinweise für Arbeitgeber, wie sie hier präventiv tätig werden können.

Die Folgen eines vorsätzlichen Pflichtverstoßes von Mitarbeitenden, also des sogenannten Mitarbeiterexzesses, beschränken sich nicht auf arbeitsrechtliche Konsequenzen. Sie können auch datenschutzrechtlich erhebliche Haftungsrisiken auslösen – sowohl für die handelnde Person als auch für das Unternehmen.

Wer als Verantwortlicher nachweisen kann, dass er alle organisatorischen Pflichten erfüllt hat, kann sich in bestimmten Fällen entlasten. Doch die Hürden für diesen Nachweis liegen hoch. Umso wichtiger ist es, die eigene Datenschutz­organisation regelmäßig auf Schwachstellen zu überprüfen.

Betroffenenrechte

Wird ein Beschäftigter im Rahmen eines Mitarbeiterexzesses selbst zum Verantwortlichen, gelten für ihn die Pflichten der Datenschutz-Grundverordnung (DSGVO) in vollem Umfang. Da es sich nicht um eine rein private Tätigkeit handelt, greift die Ausnahme von Art. 2 Abs. 2 Buchst. c DSGVO nicht. Zwar sind einige Pflichten – wie das Führen eines Verzeichnisses oder die Benennung eines Datenschutzbeauftragten – regelmäßig nicht einschlägig, zentrale Betroffenenrechte jedoch sehr wohl.

Auskunftsanspruch auch bei unbefugtem Datenzugriff durch Beschäftigte

Betroffene haben gegenüber einem Mitarbeitenden, der durch eigenes Handeln zum Verantwortlichen wird, einen vollständigen Auskunftsanspruch nach Art. 15 DSGVO. Daneben kann auch das Unternehmen verpflichtet sein, Auskunft darüber zu geben, welcher Beschäftigte unbefugt auf personenbezogene Daten zugegriffen hat , so der EuGH in C-154/21 zum Umfang eines Auskunftsanspruch…

Olga Diesendorf Rudi Kramer
+

Weiterlesen mit Abo

Basic 299 € pro Jahr

1 Online-Zugang
12 PDF-Ausgaben pro Jahr inklusive
Zugriff auf alle Ausgaben und DP+ Arbeitshilfen

Perfekt für alle internen oder externen Datenschutzbeauftragten und Datenschutzkoordinatoren, die im Homeoffice oder mobil arbeiten.

Jetzt testen
Pro 333,95 € pro Jahr
TOP SELLER

1 Online-Zugang
12 Hefte + 12 PDF-Ausgaben pro Jahr inkl. Versand
Zugriff auf alle Ausgaben und DP+ Arbeitshilfen

Perfekt für alle internen oder externen Datenschutzbeauftragten und Datenschutzkoordinatoren, die im Homeoffice oder mobil arbeiten.

Jetzt testen
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
EuGH
drucken
Verfasst von
Olga Diesendorf
Olga Diesendorf
Olga Diesendorf ist externe Datenschutzbeauftragte und spezialisiert sich u.a. auf die Beratung von Kunden im Gesundheitswesen.
DP
Rudi Kramer
Rudi Kramer ist Syndikusanwalt in Nürnberg und engagiert sich als Dozent bei der Initiative „Datenschutz geht zur Schule“ des BvD e.V.
Verwandte Beiträge
18. März 2026
DP+
Verantwortliche sollten das berechtigte Interesse als Verarbeitungsgrund nicht nur auf dem Papier nachweisen können, sondern mit organisatorischen und technischen Maßnahmen in die Tat umsetzen
Bild: iStock.com/BlackJack3D

Berechtige Interessen: aktuelle Praxisfragen

Praxisbericht
DSGVO EuGH
29. Januar 2026
DP+
Nutzen Software-Tests personenbezogene Daten, die sich den Personen zuordnen lassen, dann gelten auch hier die Grundsätze des Datenschutzes
Bild: iStock.com/olm26250

Softwaretests mit Echtdaten

Urteil
EuGH Urteil
23. Dezember 2025
DP+
Der EuGH hat die Definition personenbezogener Daten im Kontext der Übermittlung pseudonymisierter Daten an Dritte präzisiert
Bild: iStock.com/agsandrew

EuGH: Relativer Ansatz zur Bestimmung des Personenbezugs

Urteil
EuGH Urteil
24. September 2025
DP+
Machen Betroffene – ob Externe oder Beschäftigte – Auskunftsansprüche gemäß DSGVO geltend, ist die Bearbeitung für die jeweilige Organisation oft mit erheblichem Aufwand verbunden
Bild: iStock.com/SrdjanPav

So verschaffen sich Beschäftigte Einblick in ihre Daten

Praxisbericht
EuGH Urteil
18. September 2025
Bewerbungsverfahren müssen vertraulich ablaufen. Ansonst drohen rechtliche Folgen.
Bild: z_wei / iStock / Getty Images Plus

Tratsch über eine Bewerbung

Urteil
EuGH Urteil
weitere Beiträge laden
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.