DATENSCHUTZ UND HAFTUNGSRISIKEN IM ARBEITSRECHT: WORAUF ARBEITGEBER ACHTEN MÜSSEN

Datenschutz ist mehr als nur ein lästiges Anhängsel zur DSGVO. Für Arbeitgeber bedeutet er konkret: Wer Mitarbeiterdaten falsch verarbeitet, kann abgemahnt, verklagt – oder richtig teuer zur Kasse gebeten werden.
In diesem Beitrag zeigen wir, worauf Arbeitgeber unbedingt achten sollten, um Bußgelder, Schadensersatzforderungen und Imageschäden zu vermeiden.

Die DSGVO regelt den Umgang mit personenbezogenen Daten. Auch Arbeitnehmerdaten zählen dazu – vom Lebenslauf in der Bewerbung über Krankmeldungen bis hin zur Leistungsbeurteilung.

Doch im Arbeitsrecht gibt es Sonderregelungen, z. B. nach § 26 BDSG. Arbeitgeber dürfen Daten nur verarbeiten, wenn dies zur Begründung, Durchführung oder Beendigung eines Arbeitsverhältnisses erforderlich ist.

Problem: Was „erforderlich“ ist, bleibt oft Auslegungssache. Genau hier beginnt das Haftungsrisiko.

• Unverschlüsselte Kommunikation: Gesundheitsdaten per E-Mail ohne Schutz? Ein klarer DSGVO-Verstoß.

• Offene Personalakten: Wer Zugang zu sensiblen Unterlagen hat, obwohl er nicht befugt ist, riskiert Schadensersatz.

• Überwachung ohne Rechtsgrundlage: Kameras im Lager oder GPS-Tracking im Dienstwagen – ohne Betriebsvereinbarung oder Einwilligung ein echtes Problem.

• Keine oder veraltete Datenschutzerklärung für Mitarbeiter.

Die Datenschutzaufsichtsbehörden können Bußgelder von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes verhängen. In der Praxis sind es oft fünfstellige Summen – aber auch der Reputationsschaden wiegt schwer.

Zusätzlich können Mitarbeiter*innen auf Schadensersatz klagen, wenn ihre Rechte verletzt wurden. Die Rechtsprechung wird zunehmend strenger.

• Klare Prozesse: Wer darf was sehen? Wer verwaltet welche Daten? Wer darf löschen?

• Verarbeitungsverzeichnisse: Pflicht für jeden Arbeitgeber.

• Datenschutzbelehrungen: Alle Mitarbeitenden regelmäßig schulen.

• Verträge mit Dienstleistern: Cloud-Dienste, HR-Software, Steuerberater – alle müssen DSGVO-konform sein.

• Datenschutzbeauftragter: Ab 20 Personen mit automatisierter Datenverarbeitung Pflicht.

Ein Berliner Logistikunternehmen kündigt einem Mitarbeiter krankheitsbedingt. Die Kündigung landet im falschen E-Mail-Postfach – offen sichtbar für Kolleg:innen. Der Gekündigte verklagt den Arbeitgeber nicht nur wegen der Kündigung, sondern fordert 7.000 € DSGVO-Schadensersatz. Die Aufsichtsbehörde verhängt zusätzlich ein Bußgeld von 12.000 €.

Fazit: Ein einfacher Zustellungsfehler mit massiven Folgen.

Muss ich jeden Mitarbeiter über die Datenverarbeitung aufklären?
Ja – in klarer, verständlicher Sprache, am besten beim Arbeitsbeginn.

Darf ich Bewerbungsunterlagen behalten?
Nur, wenn Sie eine schriftliche Einwilligung haben – sonst max. 6 Monate.

Was passiert, wenn ich keinen Datenschutzbeauftragten habe?
Dann haften Sie als Geschäftsführung persönlich – bei Pflichtverletzung.

Gilt die DSGVO auch für Minijobber?
Ja – jede Form von personenbezogenen Daten ist betroffen, unabhängig vom Beschäftigungsstatus.

Datenschutz ist Chefsache. Wer als Arbeitgeber die DSGVO nicht ernst nimmt, riskiert mehr als nur ein Bußgeld. Neben Imageschäden drohen reale Haftungen – auch persönlich.
Sichern Sie sich jetzt rechtlich ab – bevor es teuer wird.

SUMMARY (ENGLISH)
Data Protection and Liability Risks in Employment Law: What Employers Must Know

Mishandling employee data can be costly for employers – financially and reputationally. Under the GDPR and German labor law, even small errors in data processing, storage, or access can lead to fines, damages, and legal disputes.

This article highlights the most common pitfalls, from unsecured communication to unauthorized access, and offers clear advice on how employers can protect themselves – with proper documentation, employee training, and internal compliance.

Bottom line: Data protection is a leadership responsibility. Don’t wait for a fine to review your processes.