DE

Mitarbeiterdaten an Dritte weitergegeben – droht ein Bußgeld?

Zuletzt aktualisiert: 27.02.2026 | Lesezeit: 7 Minuten

Dieser Beitrag dient der allgemeinen Information. Zugunsten der Verständlichkeit orientiert er sich inhaltlich vereinfacht am Regelfall. Er stellt keine Rechtsberatung dar und ersetzt keine individuelle anwaltliche Beratung. Durch die Nutzung der Inhalte kommt kein Mandatsverhältnis zustande. Beiträge geben die Rechtslage zum Aktualisierungsdatum wieder. Spätere Gesetzesänderungen, Rechtsprechung oder Einzelfallumstände können Inhalte überholen. Eine fortlaufende Aktualisierung erfolgt nicht. Maßgeblich ist der Rechtsstand des Aktualisierungsdatums. Haftung für Richtigkeit, Vollständigkeit und Aktualität ist ausgeschlossen, ausgenommen Vorsatz und grobe Fahrlässigkeit.

Ein Dienstleister brauchte die Kontaktdaten Ihrer Mitarbeiter, ein Steuerberater hat einen Datenexport erhalten, oder bei der Zusammenarbeit mit einem IT-Anbieter wurden Personalstammdaten übermittelt – und jetzt meldet sich ein Beschäftigter, der davon erfahren hat und mit einer Beschwerde bei der Datenschutzaufsicht droht. Vielleicht hat sich die Behörde auch bereits gemeldet. Plötzlich steht die Frage im Raum: War das überhaupt erlaubt? Und wenn nicht – was kann jetzt passieren?

Typische Ausgangslage

  • Sie haben Mitarbeiterdaten an einen externen Lohndienstleister, eine Personalvermittlung oder einen IT-Dienstleister übermittelt und sind unsicher, ob die vertragliche Grundlage dafür ausreicht.
  • Ein ausgeschiedener Mitarbeiter hat erfahren, dass seine Daten noch bei einem Drittanbieter gespeichert sind – und verlangt Auskunft und Löschung.
  • Ein Beschäftigter hat sich bei der zuständigen Datenschutzaufsichtsbehörde beschwert, weil Gesundheitsdaten, Gehaltsangaben oder private Kontaktdaten ohne sein Wissen an Dritte gelangt sind.
  • Sie haben Bewerberdaten an einen Kooperationspartner weitergeleitet – etwa an ein anderes Unternehmen in der gleichen Branche – und fragen sich nachträglich, ob die Bewerber dem hätten zustimmen müssen.
  • Ein Geschäftspartner hat im Rahmen einer Due-Diligence-Prüfung Zugang zu Personalunterlagen erhalten, und nun steht die Frage der Rechtmäßigkeit im Raum.
  • Die Datenschutzaufsicht hat ein Auskunftsersuchen an Ihr Unternehmen geschickt – und Sie wissen nicht, wie Sie darauf reagieren sollen, ohne sich selbst zu belasten.

Warum die Situation häufig komplizierter ist als gedacht

Mitarbeiterdaten genießen besonderen Schutz

Beschäftigtendaten zählen zu den sensibelsten Informationen, die ein Unternehmen verarbeitet. Das umfasst nicht nur offensichtlich persönliche Angaben wie Gesundheitsdaten oder Religionszugehörigkeit, sondern auch Gehaltsabrechnungen, Leistungsbeurteilungen oder schlichte Kontaktinformationen. Die Regeln zum Beschäftigtendatenschutz gehen über die allgemeinen Grundsätze der DSGVO hinaus – und die Anforderungen an eine rechtmäßige Weitergabe an Dritte sind entsprechend hoch. Schon die Frage, ob eine bestimmte Übermittlung auf eine Einwilligung, eine vertragliche Notwendigkeit oder ein berechtigtes Interesse gestützt werden kann, erfordert eine sorgfältige rechtliche Bewertung, die von zahlreichen Einzelfallumständen abhängt.

Die Grenze zwischen erlaubter und unerlaubter Weitergabe ist schmal

Nicht jede Datenübermittlung an einen Dienstleister ist automatisch rechtswidrig – aber auch nicht automatisch erlaubt. Das Gesetz verlangt je nach Konstellation unterschiedliche Rechtsgrundlagen und organisatorische Vorkehrungen. Ob ein Vertrag zur Auftragsverarbeitung (AVV) erforderlich ist, ob eine gemeinsame Verantwortlichkeit vorliegt oder ob eine eigenständige Übermittlung stattfindet – all das hat erhebliche Auswirkungen darauf, welche Pflichten Sie treffen und welche Fehler ein Bußgeld auslösen können. Für Laien ist diese Abgrenzung in der Praxis kaum zu treffen, zumal die Datenschutzaufsichtsbehörden strenge Maßstäbe anlegen.

Bußgelder können auch kleine Unternehmen empfindlich treffen

Die möglichen Bußgelder und Sanktionen nach der DSGVO orientieren sich unter anderem am Jahresumsatz des Unternehmens. Das bedeutet: Auch für Selbständige, kleine GmbHs oder Startups können die finanziellen Folgen erheblich sein. Hinzu kommen mögliche Schadensersatzansprüche betroffener Beschäftigter, die in den vergangenen Jahren zunehmend geltend gemacht werden. Die Höhe solcher Ansprüche ist für Unternehmer schwer einzuschätzen, weil die Rechtsprechung noch in Bewegung ist und sich die Maßstäbe je nach Gericht unterscheiden.

Behördliche Anfragen nicht unüberlegt beantworten

Wenn sich die Datenschutzaufsichtsbehörde bei Ihnen meldet – sei es nach einer Beschwerde eines Beschäftigten oder im Rahmen einer eigenen Prüfung –, ist die Art und Weise Ihrer Reaktion entscheidend. Jede Äußerung gegenüber der Behörde kann sich auf den weiteren Verlauf des Verfahrens und auf die Höhe eines möglichen Bußgelds auswirken. Holen Sie vor einer Stellungnahme anwaltliche Unterstützung ein.

Die persönliche Haftung des Geschäftsführers steht im Raum

Was viele Geschäftsführer kleinerer Unternehmen nicht auf dem Schirm haben: Ein Datenschutzverstoß kann nicht nur das Unternehmen treffen, sondern unter bestimmten Voraussetzungen auch eine persönliche Haftung des Geschäftsführers auslösen. Die Frage, wann ein Geschäftsführer für die Verletzung datenschutzrechtlicher Pflichten persönlich einstehen muss, ist rechtlich komplex und hängt von zahlreichen Faktoren ab. Klar ist: Das Risiko ist real und sollte nicht unterschätzt werden.

Nachträgliche Heilung ist nur eingeschränkt möglich

Ein häufiger Irrtum: Viele Unternehmer glauben, dass eine einmal rechtswidrige Datenübermittlung dadurch geheilt werden kann, dass man nachträglich eine Einwilligung einholt oder einen fehlenden Vertrag aufsetzt. So einfach ist es in der Regel nicht. Die Datenschutzgrundverordnung stellt auf den Zeitpunkt der Verarbeitung ab. Was bereits geschehen ist, lässt sich nicht ohne Weiteres rückwirkend legitimieren. Entscheidend ist vielmehr, wie mit der Situation umgegangen wird – und ob möglicherweise eine meldepflichtige Datenpanne vorliegt, die innerhalb enger gesetzlicher Fristen gegenüber der Behörde angezeigt werden muss.

Beschwerde eines Mitarbeiters ≠ automatisches Bußgeld

Nicht jede Beschwerde bei der Aufsichtsbehörde führt zwangsläufig zu einem Bußgeld. Die Behörde prüft den Sachverhalt und hat einen Ermessensspielraum. Wie das Unternehmen auf die Situation reagiert – ob kooperativ und professionell begleitet oder unvorbereitet und widersprüchlich – kann den Ausgang erheblich beeinflussen. Gerade deshalb ist eine frühzeitige anwaltliche Begleitung sinnvoll.

Warum die Sache selten so eindeutig ist, wie sie erscheint

Zahlreiche Rechtsgrundlagen, jede mit eigenen Voraussetzungen

Die DSGVO kennt verschiedene Rechtsgrundlagen, auf die eine Datenverarbeitung gestützt werden kann. Welche im konkreten Fall einschlägig ist und ob deren Voraussetzungen tatsächlich vorliegen, hängt von einer Vielzahl von Umständen ab: von der Art der Daten, dem Zweck der Weitergabe, der Beziehung zum Empfänger und vielem mehr. Selbst erfahrene Datenschutzbeauftragte stoßen bei dieser Bewertung regelmäßig an Grenzen. Für Unternehmer, die sich nebenbei um diese Fragen kümmern müssen, ist eine verlässliche Einschätzung ohne anwaltliche Unterstützung kaum möglich.

Dokumentation entscheidet über die Verteidigungslage

Im Datenschutzrecht gilt der Grundsatz der Rechenschaftspflicht: Nicht nur muss die Datenverarbeitung rechtmäßig sein – das Unternehmen muss dies im Zweifel auch nachweisen können. Fehlt ein ordnungsgemäßes Verarbeitungsverzeichnis, eine dokumentierte Rechtsgrundlage oder ein nachvollziehbarer Entscheidungsprozess, verschlechtert das die Position gegenüber der Aufsichtsbehörde erheblich – selbst wenn die Datenübermittlung im Ergebnis vielleicht gar nicht rechtswidrig war.

Wie die Kanzlei Sie unterstützt

Die Kanzlei berät Selbständige, GmbH-Geschäftsführer und Gründer im gesamten Bundesgebiet zu datenschutzrechtlichen Fragen – vom Kanzleistandort im Raum Kiel aus. Schildern Sie Ihren Fall über die Kontaktseite. Sie erhalten eine kostenlose Ersteinschätzung, ob und wie anwaltliche Unterstützung in Ihrer Situation sinnvoll ist. Nach einer Mandatierung ist eine umfassende Beratung auch per Videokonferenz möglich – Sie sind also nicht auf die Region Kiel beschränkt.

Weiterführende Themen

  • Datenschutz & DSGVO – Überblick für Unternehmen
  • Beschäftigtendatenschutz
  • Bußgeld & Sanktionen nach DSGVO
  • Datenpanne & Meldepflicht
  • Haftung bei Datenschutzverstößen

Mitarbeiterdaten weitergegeben? Lassen Sie die Lage einschätzen.

Ob Beschwerde eines Beschäftigten, Anfrage der Aufsichtsbehörde oder nachträgliche Zweifel an einer Datenübermittlung – schildern Sie Ihren Fall über die Kontaktseite. Sie erhalten eine erste Einschätzung, ob anwaltliche Unterstützung in Ihrer Situation sinnvoll ist. Kostenlos, unverbindlich und bundesweit.