Der BGH hat in einer aktuellen Entscheidung klargestellt, dass Arbeitnehmer idR. keine Verantwortlichen iSd. DSGVO sind (BGH, Beschl. v. 07.10.2025 - Az.: VI ZR 297/24).
Die DSGVO definiert in Art. 4 Nr. 7 DSGVO den Verantwortlichen wie folgt:
“”Verantwortlicher" die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden"
Wie der Name schon sagt, ist der DSGVO-Verantwortliche im rechtlichen Sinne verantwortlich für die Datenverarbeitung und für die Einhaltung aller rechtlichen Vorschriften verantwortlich. Gegen ihn können auch entsprechende Maßnahmen seitens der Datenschutzbehörden ergriffen werden (z.B. Verwarnung, Untersagung oder Bußgelder), und er steht in der Haftung.
Der BGH hat nun klargestellt, dass grundsätzlich nicht Arbeitnehmer eines Unternehmens verantwortlich iSd. DSGVO sein können:
"Die Beschwerde legt schon nicht ausreichend dar, inwiefern die von ihr aufgeworfenen Fragen in der Rechtsprechung des Gerichtshofs ungeklärt und auch nicht ohne Weiteres klar zu beantworten wären. Sie setzt sich insbesondere nicht mit der Rechtsprechung des Gerichtshofs auseinander, nach der Arbeitnehmer des Verantwortlichen diesem "unterstellte Personen" im Sinne von Art. 29 DSGVO sind (EuGH, Urteile vom 11. April 2024 - C-741/21, VersR 2024, 1147 Rn. 47-53 - juris GmbH; vom 22. Juni 2023 - C-579/21, NJW 2023, 2555 Rn. 72, 73 - Pankki S), weshalb sie in der Regel nicht selbst als "Verantwortliche" im Sinne des Art. 4 Nr. 7 DSGVO angesehen werden können (vgl. hierzu Jóri in Spiecker gen. Döhmann u.a., General Data Protection Regulation, 2023, GDPR Art. 4 (7) Rn. 7; Petri/Stief in Simitis u.a., Datenschutzrecht, 2. Aufl., DSGVO Art. 4 Nr. 7 Rn. 15, 17; Hartung in Kühling/Buchner, DS-GVO BDSG, 4. Aufl., DS-GVO Art. 4 Nr. 7 Rn. 9; Gola in Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Aufl., DS-GVO Art. 4 Rn. 63; European Data Protection Board - edpb, Leitlinien 07/2020 zu den Begriffen "Verantwortlicher" und "Auftragsverarbeiter" in der DSGVO, Version 2.0, Rn. 18 f.)."