Bußgelder und BGH-Urteil: Wer haftet bei Datenschutzverstößen im öffentlichen Dienst?
Brigitta Schüler
Bußgelder und BGH-Urteil: Wer haftet bei Datenschutzverstößen im öffentlichen Dienst?
Deutsche Behörden haben in diesem Jahr Bußgelder gegen Beschäftigte im öffentlichen Dienst wegen des Missbrauchs von Datenbanken verhängt. In Hamburg wurden sechs Strafen gegen Polizisten und andere Mitarbeiter verhängt, die ohne berechtigten Grund auf private Informationen zugegriffen hatten. Gleichzeitig hat ein richtungsweisendes Gerichtsurteil geklärt, wer nach den Datenschutzgesetzen rechtlich verantwortlich ist.
Im März 2025 erhielt ein Polizist in Baden-Württemberg ein Bußgeld in Höhe von 3.500 Euro, weil er unbefugt die Daten einer Frau im Melderegister abgefragt hatte. Später verhängte der Hamburger Datenschutzbeauftragte (HmbBfDI) sechs ähnliche Strafen gegen Mitarbeiter, die ohne triftigen Grund persönliche Daten abgefragt hatten.
Am 7. Oktober 2025 entschied der Bundesgerichtshof (BGH), dass Beschäftigte in der Regel nicht als "Verantwortliche" im Sinne der Datenschutz-Grundverordnung (DSGVO) gelten. Stattdessen handeln sie im Auftrag ihres Arbeitgebers, der die primäre rechtliche Verantwortung trägt. Diese Einstufung bestimmt, wer für die Einhaltung der Vorschriften, Transparenz und Sicherheit beim Umgang mit personenbezogenen Daten sorgen muss. Der Europäische Datenschutzausschuss (EDSA) gibt Leitlinien vor, um zwischen "Verantwortlichen" und den in ihrem Auftrag Handelnden zu unterscheiden. Seine Empfehlungen zielen darauf ab, die Durchsetzung der DSGVO in der gesamten EU zu vereinheitlichen.
Die Urteile und Bußgelder unterstreichen die strenge Kontrolle des Datenzugriffs in öffentlichen Funktionen. Für Beschäftigte gelten nun klarere Grenzen ihrer Verantwortung, während die Arbeitgeber weiterhin die Hauptverantwortung für die DSGVO-Konformität tragen. Die Behörden überwachen weiterhin unbefugte Datenabfragen und ahnden diese konsequent.
