DSGVO-Schadensersatz gegen Arbeitgeber – wenn Mitarbeiterdaten missbraucht werden

Wenn Arbeitgeber Mitarbeiterdaten missbrauchen oder unrechtmäßig verarbeiten, drohen Schadensersatzforderungen nach der DSGVO – schon geringfügige Datenschutzverstöße können zu Ansprüchen führen, wie dieser Beitrag zu rechtlichen Grundlagen und Praxisfällen zeigt.

Einleitung: Wenn der eigene Arbeitgeber zur Datenquelle wird

Die Vorstellung, dass vertrauliche persönliche Informationen am Arbeitsplatz missbraucht werden, ist für viele Arbeitnehmer ein Albtraum – und leider Realität. Ob die unbefugte Einsicht in Personalakten, die Weitergabe sensibler Gesundheitsdaten oder gar die Veröffentlichung privater E-Mail-Inhalte: Wenn Arbeitgeber personenbezogene Daten rechtswidrig verarbeiten, kann das für Betroffene gravierende Folgen haben.

Was viele nicht wissen: Schon kleinere Datenschutzverstöße können nach der Datenschutz-Grundverordnung (DSGVO) zu Schadensersatzansprüchen führen. Arbeitnehmer haben mit Art. 82 DSGVO ein wirkungsvolles Instrument in der Hand, um gegen den Missbrauch ihrer Daten vorzugehen – auch gegen den eigenen Arbeitgeber.

Rechtliche Grundlage: Art. 82 DSGVO und Verantwortlichkeit des Arbeitgebers

Arbeitgeber als Verantwortlicher

Gemäß Art. 4 Nr. 7 DSGVO ist der Arbeitgeber als Verantwortlicher für die Verarbeitung der personenbezogenen Daten seiner Beschäftigten anzusehen. Damit trägt er die rechtliche Verantwortung dafür, dass sämtliche Datenverarbeitungen – von der Lohnabrechnung bis zur internen Kommunikation – den Vorgaben der DSGVO entsprechen.

Rechtsgrundlage und Zweckbindung

Nach Art. 6 DSGVO ist jede Datenverarbeitung nur dann zulässig, wenn sie auf einer rechtlichen Grundlage beruht. Im Arbeitsverhältnis kommen insbesondere folgende Rechtsgrundlagen in Betracht:

• Art. 6 Abs. 1 lit. b DSGVO: zur Durchführung des Arbeitsvertrags
• Art. 6 Abs. 1 lit. f DSGVO: zur Wahrung berechtigter Interessen
• § 26 BDSG: speziell für Datenverarbeitung im Beschäftigungskontext

Zudem gilt das Prinzip der Zweckbindung: Daten dürfen nur für denjenigen Zweck verwendet werden, für den sie erhoben wurden. Ein Verstoß hiergegen – etwa wenn Gesundheitsdaten für arbeitsrechtliche Entscheidungen verwendet werden, obwohl sie ursprünglich nur zur Gehaltsfortzahlung erfasst wurden – ist unzulässig.

Beweislastumkehr nach Art. 82 Abs. 3 DSGVO

Kommt es zu einem Datenschutzverstoß, ist der Arbeitgeber grundsätzlich schadensersatzpflichtig – sofern er nicht beweisen kann, dass ihn kein Verschulden trifft. Diese sogenannte Beweislastumkehr stellt eine Besonderheit der DSGVO dar: Nicht der Arbeitnehmer muss nachweisen, dass der Arbeitgeber vorsätzlich oder fahrlässig gehandelt hat – sondern der Arbeitgeber muss aktiv seine Unschuld belegen.

Gerade in großen Organisationen, wo viele Stellen auf personenbezogene Daten zugreifen, ist das für Arbeitgeber besonders herausfordernd. Datenschutzverletzungen durch Vorgesetzte oder Kolleg:innen werden dem Unternehmen in aller Regel zugerechnet.

‍

Typische Fallgruppen aus der Praxis

Die Praxis zeigt, dass Datenschutzverstöße im Arbeitsverhältnis häufiger vorkommen, als vielen bewusst ist. Oft sind es alltägliche Situationen, in denen personenbezogene Daten von Beschäftigten unzulässig verarbeitet werden – sei es aus Nachlässigkeit, Unwissenheit oder vorsätzlichem Fehlverhalten. Diese Fälle sind nicht nur ein Compliance-Problem, sondern können auch Schadensersatzansprüche nach Art. 82 DSGVO auslösen.

Unbefugter Zugriff auf Personalakten

Ein Klassiker: Ein Kollege oder eine Führungskraft verschafft sich Einsicht in Personalakten, obwohl keine dienstliche Notwendigkeit besteht. Werden darin Informationen zu Abmahnungen, Gehältern oder Gesundheitsdaten eingesehen, liegt eine unzulässige Datenverarbeitung vor. Auch die Einsichtnahme durch die Personalabteilung selbst kann problematisch sein, wenn kein konkreter Anlass vorliegt.

Weitergabe sensibler Gesundheits- oder Leistungsdaten

Immer wieder kommt es vor, dass Informationen über Krankheiten, psychische Belastungen oder ärztliche Diagnosen – etwa aus Arbeitsunfähigkeitsbescheinigungen – im Kollegenkreis oder an unbeteiligte Dritte weitergegeben werden. Solche Gesundheitsdaten unterliegen dem besonderen Schutz nach Art. 9 DSGVO. Ihre Weitergabe ist nur unter engen Voraussetzungen erlaubt und zieht bei Verstößen regelmäßig hohe Schadensersatzforderungen nach sich.

Auch Bewertungen zur Arbeitsleistung, Zielvereinbarungen oder Feedbackgespräche dürfen nicht ohne Einwilligung an Dritte oder überflüssige Hierarchieebenen weitergegeben werden.

Veröffentlichung interner Kommunikationsdaten

Besonders brisant sind Fälle, in denen interne Chatverläufe, E-Mails, Fotos oder gar Standortdaten aus digitalen Zeiterfassungssystemen ohne Wissen der Betroffenen weitergegeben oder öffentlich gemacht werden. Ein Beispiel: Die Weiterleitung eines privaten E-Mail-Austauschs zwischen zwei Mitarbeitern an Vorgesetzte oder eine Veröffentlichung im Intranet – häufig mit dem Ziel, „disziplinarische“ Konsequenzen anzustoßen.

In all diesen Fällen gilt: Der Eingriff in das Persönlichkeitsrecht und die Vertraulichkeit der Kommunikation wiegt schwer. Schon der Umstand, dass Betroffene keine Kontrolle mehr darüber haben, wer welche Daten wann gesehen hat, kann als immaterieller Schaden gewertet werden.

‍

Schadensbegriff und Bemessung

Die Datenschutz-Grundverordnung schützt nicht nur die Integrität personenbezogener Daten – sie gibt Betroffenen auch einen echten Hebel in die Hand: den Anspruch auf Schadensersatz. Doch was genau gilt als Schaden, und wie wird er bemessen?

Materielle und immaterielle Schäden

Art. 82 Abs. 1 DSGVO eröffnet ausdrücklich den Anspruch auf Ersatz sowohl materieller als auch immaterieller Schäden.

• Materielle Schäden sind leicht bezifferbar: etwa Kosten für anwaltliche Beratung, Verdienstausfall infolge einer unrechtmäßigen Kündigung aufgrund eines Datenschutzverstoßes oder entgangene Aufstiegschancen durch unzulässige Weitergabe von Leistungsdaten.
• Immaterielle Schäden hingegen sind weniger greifbar, aber in der Praxis besonders relevant. Hierzu zählen Verletzungen des allgemeinen Persönlichkeitsrechts, Vertrauensverluste, seelische Belastungen oder bloßer Kontrollverlust über die eigenen Daten.

Kontrollverlust als Schaden

Ein häufig diskutierter Aspekt ist der sogenannte Kontrollverlust: Der Betroffene weiß nicht mehr, wer welche Informationen über ihn besitzt, wo sie kursieren und wie sie verwendet werden. Dieser Verlust der Datensouveränität kann für sich genommen ein ersatzfähiger immaterieller Schaden sein – so die Rechtsprechung mehrerer Landesarbeitsgerichte sowie des EuGH.

Wichtig ist aber: Nicht jeder Kontrollverlust begründet automatisch einen Anspruch. Gerichte verlangen zunehmend eine konkrete, individuelle Beeinträchtigung – etwa Stress, Reputationsschäden im Betrieb oder soziale Ausgrenzung infolge der Datenoffenbarung. Reine „Bagatellen“ werden nicht mehr ohne Weiteres entschädigt.

Bemessung der Schadenshöhe

Die Höhe des Schadensersatzes richtet sich nach folgenden Kriterien:

• Art und Sensibilität der betroffenen Daten (z. B. Gesundheitsdaten vs. Kontaktdaten)
• Dauer und Reichweite des Verstoßes (einmalige Einsicht vs. dauerhafte Offenlegung)
• Verhalten des Arbeitgebers (sofortige Reaktion und Abhilfe oder Ignorieren des Verstoßes)
• Grad des Verschuldens (Fahrlässigkeit vs. Vorsatz)

Die Spannweite in der Praxis reicht von wenigen hundert Euro bei einmaligem Kontrollverlust bis zu mehreren tausend Euro bei systematischen oder grob fahrlässigen Verstößen.

‍

Vorgehensweise und Beweissicherung

Arbeitnehmer, die eine Datenschutzverletzung vermuten oder einen Missbrauch ihrer personenbezogenen Daten durch den Arbeitgeber festgestellt haben, sollten überlegt und strukturiert vorgehen. Der Schlüssel zum Erfolg liegt in der frühzeitigen Beweissicherung und der Nutzung der Rechte, die die DSGVO bietet.

1. Auskunft nach Art. 15 DSGVO einfordern

Der erste Schritt besteht darin, eine Datenauskunft beim Arbeitgeber zu beantragen. Nach Art. 15 DSGVO haben betroffene Personen das Recht zu erfahren:

• welche Daten über sie verarbeitet werden,
• zu welchem Zweck,
• an wen diese übermittelt wurden
• und wie lange sie gespeichert werden.

Die Auskunft ist kostenlos und muss innerhalb eines Monats erteilt werden. Sie bietet oft den entscheidenden Hinweis darauf, ob und wie ein Datenschutzverstoß stattgefunden hat.

2. Verstoß dokumentieren und Beweise sichern

Datenschutzverletzungen müssen nachweisbar sein. Wichtig ist daher eine lückenlose Dokumentation aller relevanten Vorgänge:

• E-Mails oder Nachrichten mit rechtswidrigem Inhalt
• Namen von Personen, die Daten weitergeleitet oder unbefugt darauf zugegriffen haben
• Screenshots, Protokolle oder Gesprächsnotizen
• Zeugenaussagen von Kolleg:innen

Je genauer die Verletzung dokumentiert ist, desto höher die Erfolgsaussichten im Streitfall. Denn obwohl die DSGVO eine Beweislastumkehr kennt (Art. 82 Abs. 3 DSGVO), muss der Arbeitnehmer die Tatsachenbasis des Verstoßesglaubhaft machen.

3. Fristen wahren und rechtzeitig handeln

Schadensersatzansprüche nach der DSGVO unterliegen der regelmäßigen Verjährungsfrist von drei Jahren (§ 195 BGB). Sie beginnt mit dem Ende des Jahres, in dem der Betroffene von der Verletzung Kenntnis erlangt hat oder ohne grobe Fahrlässigkeit hätte erlangen müssen.

Wer einen Datenschutzverstoß entdeckt, sollte daher zügig handeln:

• Kontakt zur Datenschutzbeauftragten Person oder Rechtsberatung aufnehmen
• Mögliche außergerichtliche Einigung versuchen
• Bei fehlender Reaktion: Klageweg vor dem Arbeitsgericht beschreiten

Eine Meldung an die zuständige Datenschutzaufsichtsbehörde kann parallel erfolgen – sie kann Sanktionen verhängen, führt aber keine individuellen Schadensersatzverfahren durch.

Fazit: Datenschutz ernst nehmen – Rechte kennen und durchsetzen

Die DSGVO hat den Schutz personenbezogener Daten erheblich gestärkt – auch im Arbeitsverhältnis. Arbeitgeber, die leichtfertig oder systematisch gegen Datenschutzvorgaben verstoßen, riskieren mehr als nur ein schlechtes Betriebsklima: Sie setzen sich echten Schadensersatzansprüchen aus.

Für Arbeitnehmer gilt: Sie sind dem Machtgefälle im Unternehmen nicht schutzlos ausgeliefert. Mit Auskunftsansprüchen, Beweissicherung und rechtlicher Unterstützung lassen sich auch gegenüber dem eigenen Arbeitgeber Ansprüche auf Ersatz immaterieller Schäden durchsetzen – oft mit guten Erfolgsaussichten.

Datenschutz ist längst kein „Compliance-Thema“ mehr, sondern ein arbeitsrechtliches Risiko – und gleichzeitig ein Werkzeug für Beschäftigte, ihre Rechte zu verteidigen.

👉 Lassen Sie Ihre internen Datenschutzprozesse rechtssicher überprüfen – jetzt unverbindlich Kontakt aufnehmen: www.hortmannlaw.com/contact

‍

‍