Cybernotfall
Pillar-Ratgeber Datenpanne · Stand: Juni 2026

Datenpanne durch Mitarbeiterfehler: Pflichten, Haftung, Schulung

Falsche E-Mail-Empfänger, verlegte USB-Sticks, versehentliche Veröffentlichungen: Mitarbeiterfehler sind die häufigste Ursache von Datenpannen. Verantwortlich bleibt das Unternehmen — und seine Möglichkeiten, intern zu reagieren, sind begrenzt.

Die Verantwortlichkeit bleibt beim Unternehmen

Die DSGVO kennt nur den Verantwortlichen — das Unternehmen — und den Auftragsverarbeiter. Beschäftigte sind in diesem System keine eigenständigen Adressaten datenschutzrechtlicher Pflichten. Wenn ein Mitarbeiter datenschutzwidrig handelt, ist dies eine Pflichtverletzung des Unternehmens — entweder, weil die Schulung unzureichend war, weil die technischen Schutzmaßnahmen gefehlt haben oder weil die Prozesse den Fehler ermöglicht haben. Die Meldepflichten nach Art. 33 und 34 DSGVO treffen das Unternehmen, das Bußgeld ebenfalls. Eine Weiterreichung der Verantwortung an den Mitarbeiter ist rechtlich unmöglich.

Arbeitsrecht: enge Grenzen für Sanktionen

Im Arbeitsverhältnis sind die Sanktionsmöglichkeiten begrenzt. Eine verhaltensbedingte Kündigung setzt eine erhebliche und schuldhafte Pflichtverletzung voraus, regelmäßig eine vorherige Abmahnung. Ein versehentlicher Fehler — falscher E-Mail-Empfänger, vergessener Anhang, fehlgeleiteter Brief — erfüllt diese Voraussetzungen nicht. Eine Abmahnung kommt in Betracht, wenn der Mitarbeiter zuvor in der datenschutzkonformen Verarbeitung geschult worden ist und konkrete Hinweise auf die Datenschutzwidrigkeit vorlagen. Wer ohne diese Vorgeschichte abmahnt oder kündigt, riskiert eine erfolgreiche Kündigungsschutzklage.

Innerbetrieblicher Schadensausgleich

Die vom Bundesarbeitsgericht entwickelten Grundsätze des innerbetrieblichen Schadensausgleichs gelten auch für Datenschutzverstöße. Bei leichter Fahrlässigkeit haftet der Arbeitnehmer überhaupt nicht. Bei mittlerer Fahrlässigkeit erfolgt eine Quotenteilung, in der Praxis selten über 25 Prozent. Bei grober Fahrlässigkeit kann die volle Haftung in Betracht kommen, ist aber durch die Verdienstmöglichkeit des Arbeitnehmers begrenzt. Vorsatz ist der einzige Fall, der eine unbegrenzte Haftung trägt — und arbeitsrechtlich regelmäßig eine außerordentliche Kündigung rechtfertigt.

Schulungspflicht als zentrale Verteidigung

Die wichtigste Aufgabe nach einem Mitarbeiterfehler liegt nicht in der Sanktion, sondern in der Aufarbeitung der eigenen Organisationsdefizite. Aus Art. 32 und Art. 39 DSGVO ergibt sich eine Pflicht zur regelmäßigen Sensibilisierung der Beschäftigten. Wer keine Schulungen nachweist, kann den Mitarbeiter im Innenverhältnis kaum belangen und sieht sich im Aufsichtsverfahren mit dem Vorwurf konfrontiert, die eigene Organisation sei nicht datenschutzkonform gewesen. Die Aufsichtsbehörden fragen nach einem Vorfall regelmäßig nach Schulungsplan, Teilnahmequoten und Lernerfolgsmessungen.

Technische und organisatorische Maßnahmen

Neben der Schulung ist die technische Schutzmaßnahme die zweite Verteidigungslinie. Beispiele aus der Praxis: ein Warnhinweis im Mail-Client, wenn an externe Empfänger versendet wird; eine Verzögerung beim Versand, die das Zurückziehen ermöglicht; eine Verschlüsselung von Anhängen mit personenbezogenen Daten; eine Vier-Augen-Prüfung bei Massendatenexporten. Diese Maßnahmen sind aus Sicht der Aufsicht oft die einzigen Anhaltspunkte dafür, dass das Unternehmen Art. 32 DSGVO ernst genommen hat. Sie schützen außerdem effektiv vor den häufigsten Fehlerquellen.

Empfehlung: Aufarbeitung statt Schuldzuweisung

In unserer Beratungspraxis empfehlen wir, die Frage nach individueller Schuld nicht in der Krise zu beantworten. Die DSGVO-Meldung läuft, die Betroffenen müssen ggf. benachrichtigt werden, die Geschäftsleitung ist auf Auskünfte angewiesen. In dieser Phase Konflikte mit dem betroffenen Mitarbeiter zu entfachen, lenkt vom eigentlichen Ziel ab. Die Aufarbeitung — Schulung, technische Schutzmaßnahmen, Prozessgestaltung — erfolgt strukturiert nach Abschluss des Vorfalls, idealerweise gemeinsam mit dem Betriebsrat und dem Datenschutzbeauftragten.

Häufige Fragen

Können wir den Mitarbeiter abmahnen?
Eine Abmahnung setzt eine arbeitsvertragliche Pflichtverletzung voraus, die regelmäßig nur bei vorheriger Schulung zur datenschutzkonformen Verarbeitung tragfähig ist. Ein versehentlich falscher E-Mail-Empfänger reicht in der Regel nicht.
Bekommt der Mitarbeiter die DSGVO-Meldung zu Gesicht?
Nein. In der Meldung an die Aufsichtsbehörde ist die konkrete Person nicht zu benennen. Erforderlich ist der Sachverhalt, nicht die individuelle Schuldzuweisung.
Können wir Regress nehmen?
Die Grundsätze des innerbetrieblichen Schadensausgleichs begrenzen den Regress stark. Bei leichter Fahrlässigkeit haftet der Mitarbeiter gar nicht, bei mittlerer Fahrlässigkeit anteilig.
Welche Schulungspflicht trifft uns?
Aus Art. 32 DSGVO und Art. 39 DSGVO ergibt sich eine Pflicht zur regelmäßigen Sensibilisierung der Beschäftigten in Datenschutzfragen. Wer keine Schulungen nachweist, kann den Mitarbeiter im Innenverhältnis kaum belangen.
Was, wenn ein Mitarbeiter vorsätzlich Daten weitergibt?
Hier ist die Lage anders: Vorsatz kann eine Kündigung und volle Haftung tragen. Daneben sind strafrechtliche Aspekte (§ 42 BDSG, §§ 202a ff. StGB) zu prüfen.

Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.

Google
4.7 ★★★★★
50 Bewertungen
ProvenExpert
4.78 ★★★★★
156 Bewertungen · 100% Empfehlungen
Der SpiegelTagesspiegelMannheimer MorgenAllgemeine ZeitungDarmstädter Echo
Thomas Kolb LL.M.
Über den Autor
Thomas Kolb LL.M.

Fachanwalt für Urheber- und Medienrecht, externer Datenschutzbeauftragter, CIPP/E. Partner bei Kolb Blickhan Partner Rechtsanwälte (Mannheim und Mainz).

Thomas Kolb begleitet Unternehmen seit über einem Jahrzehnt bei Cybervorfällen, einschließlich der Verhandlung mit Erpressern über Lösegeldforderungen, und berät zu NIS2, DSGVO-Meldepflichten und Geschäftsführerhaftung.

Zum vollständigen Autorenprofil