Wenn ein Mitarbeiter Kundendaten für eigene Zwecke entwendet, stellt sich die Frage: Haftet das Unternehmen dafür nach der DSGVO? Das Oberlandesgericht Brandenburg hat im März 2026 eine wegweisende Antwort gegeben und dabei eine Linie bestätigt, die für alle Unternehmen und Auftragsverarbeiter mit Kundendatenzugang unmittelbar relevant ist.
Der Sachverhalt
Gegenstand des Verfahrens (OLG Brandenburg, Urt. v. 02.03.2026, 1 U 1/24) war ein Datenschutzvorfall aus dem Jahr 2020 bei einem Hersteller von Hardware-Wallets für Kryptowährungen. Es kam zu zwei voneinander unabhängigen Vorfällen: Zum einen griff ein Mitarbeiter des beauftragten E-Commerce-Dienstleisters unberechtigt auf die Kundendatenbank zu und exportierte Datensätze für eigene Zwecke. Zum anderen nutzten unbekannte Hacker eine fehlerhaft konfigurierte API-Schnittstelle, um auf Kundendaten zuzugreifen, die anschließend im Internet veröffentlicht wurden. Betroffen waren Name, Adresse, Telefonnummer und E-Mail-Adresse. Ein geschädigter Kunde klagte auf 1.500 Euro Schadensersatz nach Art. 82 DSGVO.
Die Entscheidung: Haftungsbefreiung nach Art. 82 Abs. 3 DSGVO
Das OLG Brandenburg wies die Klage vollständig ab. Der Senat bejahte zwar dem Grunde nach einem Verstoß gegen die DSGVO (unbefugter Datenzugang i. S. v. Art. 4 Nr. 12 DSGVO). Jedoch sei das beklagte Unternehmen nach Art. 82 Abs. 3 DSGVO von der Haftung befreit, weil es in keinerlei Hinsicht für die Vorfälle verantwortlich sei.
Für den Mitarbeiterexzess stellte das Gericht fest: Der eingesetzte E-Commerce-Dienstleister habe seine Support-Mitarbeiter eingehend geprüft, nämlich fachliche Qualifikation, frühere Tätigkeiten und Führungszeugnis. Ein weitergehendes „Vier-Augen-Prinzip“ für Supportzugriffe sei unverhältnismäßig. Die Kernaussage des Senats lautet:
„Der Fall des sog. Mitarbeiterexzesses, bei dem ein Mitarbeiter Daten für eigene Zwecke missbraucht oder entwendet, führt deshalb – wenn die Mitarbeiter wie hier sorgfältig ausgewählt sind – nicht zur Haftung des nach der DSGVO Verantwortlichen oder seines Auftragsdatenverarbeiters. Anerkannt ist vielmehr, dass der Mitarbeiter durch diese Form der Datenverarbeitung selbst zum Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO wird und in der Folge unmittelbar gegenüber den von seinem Verstoß Betroffenen haftet.“
Für den Hacker-Angriff über die fehlerhafte API-Konfiguration gelangte das Gericht zu demselben Ergebnis: Das Unternehmen habe einen vom Marktführer empfohlenen Spezialdienstleister eingesetzt. Mehr sei nicht erforderlich, insbesondere bestünde keine Pflicht zur Einholung von Sicherheitszertifizierungen.
Verhältnis zu anderen Entscheidungen
Das OLG Brandenburg stützt seinen Ansatz ausdrücklich auf den Beschluss des OLG Stuttgart vom 25.02.2025 (Az. 2 ORbs 16 Ss 336/24). Dort hatte ein Polizeibeamter ohne dienstlichen Anlass über das Polizeiinformationssystem „POLAS“ Daten über einen Kollegen abgerufen. Das OLG Stuttgart stufte den Beamten selbst als datenschutzrechtlichen Verantwortlichen i. S. v. Art. 4 Nr. 7 DSGVO ein und bestätigte ein Bußgeld von 1.500 Euro. Wer personenbezogene Daten vollständig außerhalb seiner dienstlichen Aufgaben und für eigene Zwecke verarbeitet, trifft eine autonome Entscheidung über Zweck und Mittel und haftet dafür persönlich.
Zu beachten ist allerdings, dass es ähnlich gelagerte Sachverhalte gibt, bei denen Gerichte zu einer anderen Bewertung gekommen sind: So hat das OLG Hamm in einer Entscheidung vom 24.07.2024 (Az. 11 U 69/23) eine auf § 831 BGB gestützte Exkulpation im DSGVO-Kontext ausdrücklich abgelehnt: Die sorgfältige Auswahl und Überwachung von Mitarbeitern genüge nicht, um die Haftung nach Art. 82 DSGVO zu beseitigen. Ein direkter Widerspruch zur Entscheidung des OLG Brandenburg ergibt sich daraus jedoch nicht. Im Fall des OLG Hamm lag kein echter Mitarbeiterexzess vor: Eine Mitarbeiterin eines Impfzentrums hatte versehentlich die Daten von rund 13.000 Personen in einem ungeschützten Excel-Anhang versendet. Dabei handelte sie innerhalb ihres dienstlichen Aufgabenrahmens, jedoch fahrlässig. Dieser Unterschied ist entscheidend:
- Fahrlässiger Fehler im Dienst (OLG Hamm): Mitarbeiter handelt für das Unternehmen, aber fehlerhaft. Keine -Exkulpation gemäß § 831 BGB, die Haftung des Unternehmens nach Art. 82 DSGVO bleibt bestehen.
- Vorsätzlicher Datenmissbrauch für eigene Zwecke (OLG Brandenburg): Mitarbeiter handelt vollständig außerhalb seines dienstlichen Rahmens. Er wird selbst zum Verantwortlichen i. S. v. Art. 4 Nr. 7 DSGVO, während das Unternehmen sich nach Art. 82 Abs. 3 DSGVO exkulpieren kann, wenn es sorgfältige Personalauswahl nachweist.
Die Abgrenzungslinie folgt damit nicht der Unterscheidung zwischen „Mitarbeiter“ und „Vorgesetztem“, sondern der Frage, ob die schädliche Handlung noch in der Sphäre des Arbeitgebers stattfindet oder vollständig aus ihr heraustritt.
Fazit und Praxishinweis
Die Entscheidung des OLG Brandenburg schafft eine wichtige Verteidigungslinie, setzt aber voraus, dass Unternehmen diese im Ernstfall auch belegen können. Unternehmen sollten ihre Personalauswahlverfahren (Qualifikationsprüfung, Führungszeugnisabfrage usw.) dokumentieren, Auswahlkriterien für externe Dienstleister schriftlich festhalten und sicherstellen, dass Auftragsverarbeitungsverträge und technisch-organisatorische Maßnahmen nach Art. 32 DSGVO stets aktuell und nachweisbar sind. Andernfalls dürfte eine Exkulpation nach Art. 82 Abs. 3 DSGVO im Streitfall häufig ins Leere gehen.
Kontakt:
Jens Borchardt