Arbeitnehmer sind in der Regel keine Verantwortlichen iSd. DSGVO

Wer trägt im Unternehmen die datenschutzrechtliche Verantwortung? Diese Frage entscheidet, an wen sich Aufsichtsbehörden richten, wer Bußgelder riskiert und wie Sie Prozesse steuern. Aktuelle Entscheidungen des Bundesgerichtshofs verdeutlichen: Arbeitnehmer sind regelmäßig keine „Verantwortlichen“ im Sinne von Art. 4 Nr. 7 DSGVO, sondern handeln als unterstellte Personen nach Art. 29 DSGVO. Verantwortlich ist in der Praxis das Unternehmen, das über Zwecke und Mittel der Verarbeitung entscheidet.

Warum diese Einordnung praxisrelevant ist

Die Rollenklärung erleichtert Compliance, Haftungssteuerung und Schulung. Sie zeigt, wo Pflichten organisatorisch zu verankern sind – und wann ausnahmsweise Einzelpersonen mit eigener Zweck- und Mittelfestlegung in den Fokus geraten können.

Rechtlicher Ausgangspunkt: Art. 4 Nr. 7 DSGVO und Art. 29 DSGVO

Art. 4 Nr. 7 DSGVO definiert den Verantwortlichen als die Stelle, die allein oder gemeinsam über Zwecke und Mittel der Verarbeitung entscheidet. Maßgeblich ist Steuerung und Vorgabe, nicht die einzelne Handhabung am Arbeitsplatz. Art. 29 DSGVO ordnet Mitarbeiter als der verantwortlichen Stelle unterstellte Personen ein. Daraus folgt: Die Organisation steuert, Mitarbeiter führen weisungsgemäß aus.

Aktuelle BGH-Linie zur Verantwortlichkeit von Arbeitnehmern

Der BGH (III ZR 147/24; VI ZR 297/24) hat klargestellt, dass Arbeitnehmer in der Regel nicht als Verantwortliche anzusehen sind. Sie handeln innerhalb der von der verantwortlichen Stelle gesetzten Zwecke und Mittel und unterliegen Weisungen und Kontrolle. Diese Sicht fügt sich in die unionsrechtliche Rechtsprechung und behördliche Leitlinien ein. Wichtig ist dabei die Differenzierung: Wo eigene Zwecke verfolgt und eigene Mittel festgelegt werden, kann eine Einzelverantwortlichkeit in Betracht kommen.

Das BGH‑Urteil vom 23.10.2025 (III ZR 147/24) im Detail

Das Urteil behandelt eine AGB‑Klausel eines Telekommunikationsunternehmens zur Sperrung einer SIM‑Karte. Obwohl es um AGB‑Recht geht, setzt die Entscheidung maßgebliche Leitplanken für sicherheitsrelevante Prozesse, die auch datenschutzrechtliche Abläufe prägen.

Sachverhalt kompakt und verständlich

Ein Verbraucherschutzverband wandte sich gegen mehrere Klauseln. Streitentscheidend war die Vorgabe, dass Kunden zur Sperrung einer SIM‑Karte neben der Rufnummer zwingend ihr persönliches Kennwort nennen müssen. Die einschlägige Passage lautete auszugsweise:

„7. Sperre

Der Diensteanbieter darf Sprachkommunikationsdienste und Internetzugangsdienste nach Maßgabe des § 61 TKG ganz oder teilweise sperren.

8. Verpflichtung und Haftung des Kunden

Der Kunde hat dem Diensteanbieter eine missbräuchliche Nutzung oder den Verlust der SIM unter Nennung der Rufnummer und des persönlichen Kennwortes zwecks Sperrung der SIM unverzüglich mitzuteilen. Dies kann telefonisch bei der Hotline oder elektronisch im Kundenportal erfolgen.“

Das Landgericht hatte die Klausel zunächst durchgehen lassen. Das Oberlandesgericht stufte sie später als unwirksam ein. Die hiergegen gerichtete Revision des Telekommunikationsunternehmens blieb vor dem BGH ohne Erfolg. Der III. Zivilsenat bestätigte, dass die Klausel gemäß § 307 Abs. 1 Satz 1 BGB unwirksam ist.

Entscheidungsgründe – die zentralen Leitgedanken des BGH

Auslegung der Klausel

Die Klausel ist so zu verstehen, dass der Anbieter eine Sperre nur vornimmt, wenn das Kennwort genannt wird. Damit wird die Sperrung in Notlagen von einem zusätzlichen Ident-Merkmal abhängig gemacht, das nicht immer verfügbar ist.

Interessenabwägung

Der BGH erkennt beidseitige Interessen an: Missbrauchsvermeidung auf Seiten des Anbieters und schnelle, unkomplizierte Sperre auf Seiten der Kunden. Das Kennwort-Erfordernis beeinträchtigt nach Ansicht des Gerichts das berechtigte Kundeninteresse unzumutbar. In realistischen Alltagssituationen ist es nicht selbstverständlich, dass das Kennwort präsent ist oder mitgeführt wird. Gerade im Verlust- oder Diebstahlsfall besteht akuter Handlungsdruck.

Zumutbare Alternativen

Dem Anbieter ist es nach Auffassung des BGH zuzumuten, andere Authentifizierungsmöglichkeiten zuzulassen, die einen vergleichbaren Schutz bieten, ohne präsentes Wissen abzufragen. Genannt werden etwa Hinterlegungsfragen zu persönlichen Umständen oder vergleichbare Verfahren. Entscheidend ist, dass die Sperrung nicht an einem einzelnen Merkmal scheitert, das im Ernstfall nicht verfügbar ist.

Ergebnis

Die starre Pflicht zur Kennwortnennung führt zu einer unangemessenen Benachteiligung der Kunden. Die Klausel hält der Inhaltskontrolle nach § 307 Abs. 1 Satz 1 BGB nicht stand.

Bedeutung für Datenschutz- und Sicherheitsprozesse

Auch wenn es sich nicht um ein klassisches Datenschutzurteil handelt, ist die Signalwirkung deutlich: Sicherheitsprozesse müssen handhabbar sein. Verfahren zur Identifizierung bei Betroffenenbegehren, Sperr- oder Entsperrprozessen und im Incident‑Response sollten so gestaltet werden, dass praxisnahe Alternativen bestehen und Notfälle abgedeckt sind. Überzogene Hürden gefährden die Wirksamkeit von Schutzmechanismen.

Der BGH‑Beschluss vom 07.10.2025 (VI ZR 297/24): Arbeitnehmer als „unterstellte Personen“

Der VI. Zivilsenat hat in einem Nichtzulassungsbeschwerdeverfahren hervorgehoben, dass Arbeitnehmer regelmäßig nicht Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO sind. Er verweist darauf, dass Mitarbeiter nach Art. 29 DSGVO unterstellte Personen sind und setzt sich mit der einschlägigen unionsrechtlichen Rechtsprechung auseinander. Die Kernaussage: Die Verantwortung liegt grundsätzlich beim Arbeitgeber, der Zwecke und Mittel der Verarbeitung festlegt.

Einordnung und praktische Konsequenzen

Die Entscheidung schärft die Außenhaftung: Maßnahmen der Aufsichtsbehörden, Verwarnungen und Bußgelder richten sich im Regelfall an die verantwortliche Stelle. Intern bleiben arbeitsrechtliche Pflichten, Sorgfaltsanforderungen und Weisungsbindung maßgeblich. Für die Praxis bedeutet das: Rollen, Weisungen und Kontrollen müssen so dokumentiert sein, dass die Verantwortlichkeit organisationsseitig eindeutig zugeordnet ist.

Ausnahmen: Wann kann eine Einzelperson doch Verantwortlicher sein?

Grenzfälle können entstehen, wenn jemand eigenständig und außerhalb der Organisationszwecke eigene Zwecke und Mittel festlegt. Denkbar sind private Schatten‑Datenbanken, eigenmächtige Einführung von Tracking‑Tools für eigene Ziele oder externe Nebentätigkeiten mit eigener Datenverarbeitung. Je stärker Weisungen, Rollenkonzepte und Kontrollen greifen, desto eher bleibt es bei der Verantwortlichkeit des Unternehmens.

Organisatorische Leitplanken für Unternehmen

Rollen sauber definieren

Legen Sie fest, wer Zwecke und Mittel bestimmt (Geschäftsführung, Fachbereiche) und wer ausführt. Halten Sie dies schriftlich fest.

Verbindliche Weisungen

Erstellen Sie klare Verarbeitungsanweisungen und Arbeitsrichtlinien. Diese sind der Dreh‑ und Angelpunkt der Verantwortlichkeitsverteilung.

Rechte‑ und Rollenkonzepte

Arbeiten Sie mit Need‑to‑know und Vier‑Augen‑Prinzip. Beschränken Sie Zugriffe konsequent.

Usability und Notfallwege

Gestalten Sie sicherheitsrelevante Abläufe benutzerfreundlich. Halten Sie Alternativen bereit, damit Prozesse auch ohne ein einzelnes Merkmal funktionieren.

Schulung und Awareness

Setzen Sie auf regelmäßige, praxisnahe Trainings. Vermitteln Sie, was weisungsgemäß zu tun ist – und was nicht.

Auftragsverarbeitung klar trennen

Dienstleister, die im Auftrag handeln, sind keine Verantwortlichen. Prüfen Sie Verträge, TOMs und Kontrollrechte.

Incident‑Response und Eskalation

Definieren Sie klare Meldewege. So melden Mitarbeiter Vorfälle sofort, statt im Graubereich zu improvisieren.

Dokumentation

Pflegen Sie Verzeichnis von Verarbeitungstätigkeiten, Schutzbedarfsanalysen und Risikoabwägungen. Das erleichtert die Kommunikation mit Behörden.

Praxisbeispiele und häufige Fehlerquellen

Auskunftsbegehren eines Kunden

Wenn die Identität mangels Passworts nicht sicher bestätigt werden kann, sollten alternative Prüfpfade bestehen, etwa hinterlegte Sicherheitsfragen oder Rückruf an bekannte Nummern. Eine starre Passwortpflicht birgt Risiken – das zeigt III ZR 147/24 deutlich.

Eigenmächtige Datenanalyse einer Führungskraft

Wer ohne Weisung eigene Ziele verfolgt und Tools einführt, kann sich der Eigenverantwortlichkeit nähern. Vorbeugend helfen Genehmigungsprozesse und Technikfreigaben.

E-Mail‑Weiterleitung an private Postfächer

Solche Praktiken entziehen Daten der organisationalen Kontrolle. Klare Verbote, Schulungen und technische Sperren sind sinnvoll.

Fazit: Verantwortung dort bündeln, wo Prozesse gesteuert werden

Die jüngste BGH‑Rechtsprechung stärkt die klare Zuordnung: Unternehmen sind verantwortlich, Arbeitnehmer handeln weisungsgebunden. Das Urteil III ZR 147/24 unterstreicht zudem, dass Sicherheits‑ und Identprozesse nicht an unpraktikablen Hürden scheitern dürfen. Wer Rollen, Weisungen und Alternativen durchdacht umsetzt, reduziert Bußgeld‑ und Haftungsrisiken spürbar und schützt die Belegschaft.