Datenschutzverletzungen entstehen nicht nur durch Hackerangriffe oder fehlerhafte IT‑Systeme. Manchmal können die Risiken mitten im Unternehmen verortet sein. Ein aktueller Fall aus Großbritannien zeigt eindrücklich, welche Gefahren von internen Zugriffen auf personenbezogene Daten ausgehen können. Worum geht es? Ein ehemaliger Mitarbeiter von Meta steht unter Verdacht, während seiner Beschäftigung ca. 30.000 private Facebook‑Bilder unbefugt heruntergeladen […]
Mitarbeiterexzess
Das neue Recruiting-Video – und gleich eine Datenpanne
In vielen Bereichen ringen Unternehmen und Behörden um geeignete Kandidat*innen für bestehende oder neue Stellen. Häufig wird dann durch Recruiting-Videos versucht, auf Jobs aufmerksam zu machen und sich als Arbeitgeber gut zu präsentieren. Um Einblicke in die „echte“ Arbeitswelt zu geben, entstehen solche Videos, die dann später auf der eigenen Website oder dem Social-Media-Auftritt veröffentlicht […]
Mitarbeiterexzess: Unzulässige Videoaufnahme einer Patientin durch Pflegepersonal
Mitarbeiterexzesse sind in der Praxis nicht unüblich, jedoch gestaltet sich die rechtliche Einordnung oft als schwierig. Dies liegt daran, dass sich die Handlungen nicht selten im Graubereich zwischen privatem Fehlverhalten und dienstlichem Kontext bewegen und detaillierte Abgrenzungen in der datenschutzrechtlichen Bewertung notwendig machen. In der Vergangenheit berichteten wir bereits über Fälle, bei denen Mitarbeitende betrieblich […]
Mitarbeiterexzess – erstes deutsches Urteil durch OLG Stuttgart
Mitarbeitende können in der Regel nicht als „Verantwortliche“ im Sinne des Art. 4 Nr. 7 DSGVO angesehen werden, sondern sind dem Verantwortlichen „unterstellte Personen“ im Sinne von Art 29 DSGVO. So bestätigte es auch der BGH (wir berichteten). Jede Regel hat jedoch Ausnahmen – doch was bedeutet das? Das OLG Stuttgart entschied Anfang dieses Jahres […]
BGH: Arbeitnehmer sind grundsätzlich nicht als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO anzusehen
In seinem Beschluss vom 07.10.2025 (Az.: VI ZR 297/24) hat der Bundesgerichtshof (BGH) klargestellt, dass Arbeitnehmer grundsätzlich keine Verantwortlichen im Sinne der DSGVO sind. Bedeutung des BGH-Beschlusses Die Einordnung als Verantwortlicher ist im Datenschutzrecht zentral, weil sie bestimmt, wer für die Verarbeitung personenbezogener Daten rechtlich verantwortlich ist. Der Verantwortliche trägt die Hauptverantwortung für die Einhaltung […]
Mitarbeiterexzesse und Meldepflichten bei Datenpannen
Heute möchten wir aufgrund der Relevanz für die Beratungspraxis näher auf einen Fall eingehen, über den wir bereits in einem englischsprachigen Beitrag berichteten. Die belgische Datenschutzaufsichtsbehörde hat sich kürzlich mit zwei häufig auftretenden Fragen beschäftigt (Entscheidung 64/2025 vom 01.04.2025, abrufbar hier): Wann ist ein Beschäftigter für sein Handeln selbst verantwortlich und wem obliegt in diesen […]
Die persönliche Haftung des Arbeitnehmers bei einem DSGVO Verstoß
Im deutschen Recht gilt grundsätzlich, dass derjenige, der einen Schaden zu vertreten hat, auch den entstandenen Schaden ersetzen muss (§ 276 BGB). Jeder ist also für sein eigenes Verhalten verantwortlich, egal ob in der Freizeit oder im Beruf. Das Bürgerliche Gesetzbuch (BGB) differenziert prinzipiell nicht nach dem Ort oder der Zeit, sondern, wenn überhaupt, nach […]