Mitarbeiterdaten an Dritte weitergegeben – droht ein Bußgeld?
Dieser Beitrag dient der allgemeinen Information. Zugunsten der Verständlichkeit orientiert er sich inhaltlich vereinfacht am Regelfall. Er stellt keine Rechtsberatung dar und ersetzt keine individuelle anwaltliche Beratung. Durch die Nutzung der Inhalte kommt kein Mandatsverhältnis zustande. Beiträge geben die Rechtslage zum Aktualisierungsdatum wieder. Spätere Gesetzesänderungen, Rechtsprechung oder Einzelfallumstände können Inhalte überholen. Eine fortlaufende Aktualisierung erfolgt nicht. Maßgeblich ist der Rechtsstand des Aktualisierungsdatums. Haftung für Richtigkeit, Vollständigkeit und Aktualität ist ausgeschlossen, ausgenommen Vorsatz und grobe Fahrlässigkeit.
Ein Dienstleister hat Zugriff auf Personalakten bekommen, ohne dass ein Vertrag vorlag. Oder Gehaltsdaten sind intern an eine Abteilung geflossen, die damit nichts zu tun hat. Vielleicht hat sich auch ein Ex-Mitarbeiter bei der Aufsichtsbehörde beschwert. Jetzt steht die Frage im Raum: War das ein Datenschutzverstoß – und was kann das kosten?
Typische Ausgangslage
- Ein externer IT-Dienstleister hatte Zugriff auf Personalstammdaten, ohne dass ein Auftragsverarbeitungsvertrag abgeschlossen war
- Gehaltslisten oder Krankmeldungen wurden versehentlich per E-Mail an einen falschen Verteiler geschickt
- Nach einer Kündigung hat ein ehemaliger Mitarbeiter bei der Datenschutzbehörde Beschwerde eingelegt – jetzt liegt ein Anhörungsschreiben vor
- Im Rahmen eines Betriebsübergangs wurden Mitarbeiterdaten an den Erwerber übermittelt, ohne die Beschäftigten zu informieren
- Eine Führungskraft hat Gesundheitsdaten eines Mitarbeiters an Kollegen weitergegeben, und nun droht eine Klage
- Ein Personalvermittler hat Bewerbungsunterlagen ohne Einwilligung an ein Partnerunternehmen weitergeleitet
Warum die Situation ernster ist als gedacht
Mitarbeiterdaten genießen besonderen Schutz
Beschäftigtendaten gehören zu den sensibelsten Kategorien personenbezogener Daten überhaupt. Gehaltsabrechnungen, Krankmeldungen, Beurteilungen, Abmahnungen – all das unterliegt strengen Vorgaben, die weit über die allgemeinen Datenschutzregeln hinausgehen. Besonders heikel wird es, wenn Gesundheitsdaten betroffen sind: Diese gelten als besondere Kategorien personenbezogener Daten und unterliegen einem noch strengeren Schutzregime. Wer hier Daten weitergibt, ohne eine tragfähige Rechtsgrundlage zu haben, bewegt sich auf sehr dünnem Eis – unabhängig davon, ob die Weitergabe absichtlich erfolgte oder auf einem organisatorischen Versehen beruhte.
Die Aufsichtsbehörde unterscheidet nicht nach guter Absicht
Viele Geschäftsführer gehen davon aus, dass ein Versehen milder bewertet wird als ein absichtlicher Verstoß. Das ist ein gefährlicher Irrtum. Die Aufsichtsbehörden prüfen nicht nur, ob ein Verstoß vorlag, sondern auch, ob im Unternehmen ausreichende technische und organisatorische Maßnahmen bestanden, um solche Vorfälle zu verhindern. Fehlende interne Richtlinien, nicht geschulte Mitarbeiter oder unklare Zuständigkeiten können den Vorwurf erheblich verschärfen. Das Bußgeld bemisst sich nach einer Vielzahl von Faktoren, die für Laien kaum durchschaubar sind.
- Art, Schwere und Dauer des Verstoßes
- Anzahl der betroffenen Personen
- Kategorien der weitergegebenen Daten (besonders: Gesundheitsdaten)
- Ob und wie schnell Gegenmaßnahmen ergriffen wurden
- Grad der Verantwortung unter Berücksichtigung getroffener Schutzmaßnahmen
Beschwerden von Mitarbeitern lösen Ermittlungen aus
Häufig kommt der Stein durch eine Beschwerde eines (ehemaligen) Mitarbeiters bei der zuständigen Landesdatenschutzbehörde ins Rollen. Was intern vielleicht als Bagatelle wahrgenommen wurde, wird von der Behörde mit einem förmlichen Anhörungsschreiben beantwortet. Ab diesem Moment läuft ein Verwaltungsverfahren, in dem jede Äußerung des Unternehmens dokumentiert wird und Konsequenzen haben kann. Wer hier ohne anwaltliche Begleitung antwortet, riskiert, sich selbst zu belasten oder Verteidigungsmöglichkeiten zu verschenken.
Anhörungsschreiben der Datenschutzbehörde erhalten?
Antworten Sie nicht vorschnell. Jede Stellungnahme gegenüber der Aufsichtsbehörde kann die Grundlage für ein Bußgeld bilden. Auch Schweigen kann problematisch sein, wenn es als mangelnde Kooperationsbereitschaft gewertet wird. In dieser Situation kommt es auf die richtige Strategie an – und die lässt sich nicht pauschal bestimmen.
Persönliche Haftung des Geschäftsführers ist kein Randthema
Was viele nicht wissen: Datenschutzverstöße können nicht nur das Unternehmen, sondern unter bestimmten Umständen auch die Geschäftsführung persönlich treffen. Die Frage, ob und wann eine persönliche Haftung bei Datenschutzverstößen in Betracht kommt, hängt von den konkreten Umständen ab. Daneben stehen zivilrechtliche Schadensersatzansprüche der betroffenen Mitarbeiter im Raum – und diese werden zunehmend gerichtlich geltend gemacht.
- Bußgelder der Aufsichtsbehörde gegen das Unternehmen
- Schadensersatzansprüche betroffener Beschäftigter
- Mögliche persönliche Haftung der Geschäftsführung
- Reputationsschäden – insbesondere bei Bekanntwerden durch Gerichtsverfahren
- Anordnungen der Behörde, die in den Geschäftsbetrieb eingreifen können
Nicht jede Datenweitergabe ist automatisch ein Verstoß
Es gibt durchaus Konstellationen, in denen die Weitergabe von Mitarbeiterdaten an Dritte rechtlich zulässig sein kann – etwa auf Basis eines Auftragsverarbeitungsvertrags oder einer gesetzlichen Grundlage. Ob das in Ihrem Fall zutrifft, lässt sich nur anhand der konkreten Umstände beurteilen. Genau das macht eine individuelle Einschätzung so wichtig.
Wie die Kanzlei Sie unterstützt
Wenn Mitarbeiterdaten an Dritte gelangt sind und ein Bußgeld im Raum steht, zählt eine fundierte Einschätzung der Lage – bevor gegenüber Behörden, Mitarbeitern oder Geschäftspartnern Stellung genommen wird. Die Kanzlei bietet eine kostenlose Ersteinschätzung über Kontakt: Schildern Sie Ihren Fall, und Sie erfahren, ob und wie anwaltliche Unterstützung in Ihrer Situation sinnvoll ist. Der Kanzleistandort liegt im Raum Kiel, die Betreuung erfolgt bundesweit. Nach einer Mandatierung stehen Videocall, eine eingehende Sachverhaltsprüfung und die vollständige Betreuung des Verfahrens zur Verfügung – inklusive, sodass Sie jederzeit den Überblick behalten. Ob Stellungnahme gegenüber der Aufsichtsbehörde, Abwehr von Schadensersatzforderungen oder Prüfung der internen Beschäftigtendatenschutz-Strukturen – die Beratung richtet sich nach dem, was Ihr Fall erfordert.
- Kostenlose Ersteinschätzung über Kontakt
- Bundesweite Betreuung, Kanzleistandort im Raum Kiel
- Nach Mandatierung: z. B. per Videocall, umfassende Betreuung
- Unterstützung bei Behördenverfahren, Schadensersatzforderungen und internen Maßnahmen
Weiterführende Themen
- Bußgeld & Sanktionen nach der DSGVO
- Datenpanne & Meldepflicht
- Datenschutzrecht – Überblick für Unternehmen
- Geschäftsführerhaftung – wann Sie persönlich zahlen
- Betroffenenrechte (Auskunft, Löschung, Widerspruch)
Mitarbeiterdaten weitergegeben – klären Sie jetzt Ihr Risiko
Ob Anhörungsschreiben der Behörde, Beschwerde eines Mitarbeiters oder interne Unsicherheit nach einer Datenpanne: Schildern Sie Ihren Fall über Kontakt. Sie erhalten eine kostenlose Ersteinschätzung, ob und wie anwaltliche Unterstützung in Ihrer Situation sinnvoll ist – bundesweit, vertraulich und unverbindlich.