Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Audit ChatGPT Checklisten Muster Vorlagen EuGH Homeoffice KI KRITIS Microsoft 365 NIS-2 Rechenschaftspflicht Urteil
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 12/25

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Audit ChatGPT Checklisten Muster Vorlagen EuGH Homeoffice KI KRITIS Microsoft 365 NIS-2 Rechenschaftspflicht Urteil
21. Juli 2025

Mitarbeiterexzesse – Teil 2: Verantwortlichkeiten, Prävention

DP+
Arbeitgeber stecken in einem Dilemma: Einerseits liegt ihnen an einer Kultur des Vertrauens im Unternehmen, andererseits müssen sie Maßnahmen gegen mögliche Mitarbeiterexzesse ergreifen.
Bild: iStock.com/skynesher
0,00 (0)
drucken
Haftung bei Datenschutzverstößen im Beschäftigtenverhältnis
Der erste Teil dieser kurzen Reihe stellte das Phänomen der Mitarbeiterexzesse dar. Der zweite Teil beschreibt nun die jeweiligen datenschutzrechtlichen Verantwortlichkeiten und gibt Hinweise für Arbeitgeber, wie sie hier präventiv tätig werden können.

Die Folgen eines vorsätzlichen Pflichtverstoßes von Mitarbeitenden, also des sogenannten Mitarbeiterexzesses, beschränken sich nicht auf arbeitsrechtliche Konsequenzen. Sie können auch datenschutzrechtlich erhebliche Haftungsrisiken auslösen – sowohl für die handelnde Person als auch für das Unternehmen.

Wer als Verantwortlicher nachweisen kann, dass er alle organisatorischen Pflichten erfüllt hat, kann sich in bestimmten Fällen entlasten. Doch die Hürden für diesen Nachweis liegen hoch. Umso wichtiger ist es, die eigene Datenschutz­organisation regelmäßig auf Schwachstellen zu überprüfen.

Betroffenenrechte

Wird ein Beschäftigter im Rahmen eines Mitarbeiterexzesses selbst zum Verantwortlichen, gelten für ihn die Pflichten der Datenschutz-Grundverordnung (DSGVO) in vollem Umfang. Da es sich nicht um eine rein private Tätigkeit handelt, greift die Ausnahme von Art. 2 Abs. 2 Buchst. c DSGVO nicht. Zwar sind einige Pflichten – wie das Führen eines Verzeichnisses oder die Benennung eines Datenschutzbeauftragten – regelmäßig nicht einschlägig, zentrale Betroffenenrechte jedoch sehr wohl.

Auskunftsanspruch auch bei unbefugtem Datenzugriff durch Beschäftigte

Betroffene haben gegenüber einem Mitarbeitenden, der durch eigenes Handeln zum Verantwortlichen wird, einen vollständigen Auskunftsanspruch nach Art. 15 DSGVO. Daneben kann auch das Unternehmen verpflichtet sein, Auskunft darüber zu geben, welcher Beschäftigte unbefugt auf personenbezogene Daten zugegriffen hat , so der EuGH in C-154/21 zum Umfang eines Auskunftsanspruch…

Olga Diesendorf Rudi Kramer
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Jetzt testen

Sie sind bereits Abonnentin oder Abonnent? Dann melden Sie sich bitte hier an.

zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
EuGH
drucken
Verfasst von
Olga Diesendorf
Olga Diesendorf
Olga Diesendorf ist externe Datenschutzbeauftragte und spezialisiert sich u.a. auf die Beratung von Kunden im Gesundheitswesen.
DP
Rudi Kramer
Rudi Kramer ist Syndikusanwalt in Nürnberg und engagiert sich als Dozent bei der Initiative „Datenschutz geht zur Schule“ des BvD e.V.
Verwandte Beiträge
24. September 2025
DP+
Machen Betroffene – ob Externe oder Beschäftigte – Auskunftsansprüche gemäß DSGVO geltend, ist die Bearbeitung für die jeweilige Organisation oft mit erheblichem Aufwand verbunden
Bild: iStock.com/SrdjanPav

So verschaffen sich Beschäftigte Einblick in ihre Daten

Praxisbericht
EuGH Urteil
18. September 2025
Bewerbungsverfahren müssen vertraulich ablaufen. Ansonst drohen rechtliche Folgen.
Bild: z_wei / iStock / Getty Images Plus

Tratsch über eine Bewerbung

Urteil
EuGH Urteil
18. Juni 2025
DP+
Datenschutzbeauftragte (DSB) sollten in Schulungen auf ein Risiko hinweisen: Schon scheinbar harmlose private Zugriffe auf Daten sind Datenschutzverstöße. Dies hat eine persönliche Haftung zur Folge.
Bild: iStock.com/Yutthana Gaetgeaw

Mitarbeiterexzesse erkennen und einordnen – Teil 1: Grundlagen

Praxisbericht
EuGH Tätigkeitsbericht
22. Mai 2025
DP+
Fordern betroffene Personen Auskunft (Art. 15 DSGVO), verursacht dies mitunter viel Arbeit. So gilt die Rechenschaftspflicht auch für Auskunftsersuchen. Deren rechtmäßige Beantwortung muss per Dokumentation nachweisbar sein.
Bild: iStock.com/Wipada Wipawin

Herausgabe von Mitarbeiter­daten bei Auskunftsersuchen

Ratgeber
EuGH
17. April 2025
Betriebsvereinbarung als Basis für Datenverarbeitungen: Auch Betriebs- und Dienstvereinbarungen müssen sich zu Fragen des Datenschutzes in dem Rechtsrahmen bewegen, den die DSGVO vorgibt, so der EuGH
Bild: iStock.com/metamorworks

Die Betriebsvereinbarung als Basis für Daten­verarbei­tungen

Urteil
Betriebsrat EuGH
weitere Beiträge laden
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.