Vodafone Griechenland muss 20.000 Euro zahlen – weil eine Ex-Mitarbeiterin nicht wusste, dass ihre E-Mails noch existierten, und keinen Datenzugang bekam
Eine ehemalige Mitarbeiterin von Vodafone Griechenland (ΠΑΝΑΦΟΝ Α.Ε.Ε.Τ.) beantragte im Jahr 2020 Zugang zu ihrer beruflichen E-Mail-Korrespondenz. Das Unternehmen teilte ihr mit, die Daten seien gelöscht. Zwei Jahre später tauchten genau diese E-Mails vor Gericht auf – eingereicht von Vodafone selbst. Die griechische Datenschutzbehörde (ΑΠΔΠΧ) hat daraufhin mit Entscheidung 6/2026 vom 21. April 2026 Bußgelder gegen Vodafone und einen weiteren Beteiligten verhängt.
Was passierte: E-Mails angeblich gelöscht – aber vor Gericht vorhanden
Die Frau war jahrelang bei Hellas Online und später bei Vodafone beschäftigt, bis ihr Vertrag vom Unternehmen aufgelöst wurde. Im Jahr 2020 reichte sie Klage wegen eines Arbeitsrechtsstreits ein. Gleichzeitig stellte sie einen Antrag auf Datenzugang nach Art. 15 DS-GVO – sie wollte ihre berufliche E-Mail-Korrespondenz einsehen. Vodafone antwortete, der Account sei bereits rund 90 Tage nach ihrem Ausscheiden gelöscht worden. Eine Suche nach den E-Mails sei ohne genauere Angaben nicht zumutbar. Das Auskunftsersuchen blieb unbeantwortet, soweit es die E-Mails betraf. Im Dezember 2022, also zwei Jahre nach dem Auskunftsantrag, legte Vodafone vor dem Erstgericht Athen genau jene E-Mails als Beweisstücke vor. Sie stammten aus dem Privatarchiv eines ehemaligen Vorgesetzten der Frau, der das Unternehmen bereits 2017 verlassen hatte. Er hatte bei seinem Abgang mündlich Zugang zu seiner Korrespondenz beantragt und eine Kopie erhalten – inklusive E-Mails, in denen die Klägerin als Absenderin oder Empfängerin erschien. Davon hatte die Klägerin nichts gewusst.
Die Frau wandte sich daraufhin erneut an die griechische Datenschutzbehörde. Sie legte die Gerichtsdokumente als Beleg vor und machte geltend, Vodafone habe die Existenz dieser Daten bei der ursprünglichen Untersuchung verschwiegen. Die Behörde nahm den Fall erneut auf und lud alle Beteiligten zur Anhörung vor.
Die Prüfung der Behörde: Drei Beteiligte, zwei Verstöße
Die ΑΠΔΠΧ untersuchte zwei Fragen getrennt: Erstens, ob Vodafone bei der Datenweitergabe an den Ex-Vorgesetzten im Jahr 2017 korrekt gehandelt hatte. Zweitens, ob der Ex-Vorgesetzte selbst als Verantwortlicher nach der DS-GVO einzustufen ist.
Vodafone und die Weitergabe von 2017: Als der Vorgesetzte das Unternehmen verließ, gab Vodafone ihm eine Kopie seiner gesamten E-Mail-Korrespondenz. Diese E-Mails enthielten auch personenbezogene Daten der Klägerin, da sie in vielen dieser Nachrichten als Absenderin oder Empfängerin auftrat. Vodafone hätte sie vor dieser Weitergabe informieren müssen. Das schrieb damals § 11 Abs. 3 des griechischen Datenschutzgesetzes (N. 2472/1997) vor. Diese Pflicht erfüllte Vodafone nicht. Die Behörde wertete das als Verstoß und verhängte ein Bußgeld von 20.000 Euro.
Der Ex-Vorgesetzte als eigener Verantwortlicher: Der ehemalige Vorgesetzte bestritt, als Verantwortlicher im Sinne der DS-GVO zu gelten. Er berief sich auf die sogenannte Haushaltsausnahme nach Art. 2 Abs. 2 lit. c DS-GVO: Wer Daten ausschließlich für persönliche oder häusliche Zwecke verarbeite, falle nicht in den Anwendungsbereich der DS-GVO.
Die Behörde lehnte das ab. Der Mann hatte die E-Mails zwar ursprünglich aus persönlichen Gründen aufbewahrt, laut eigener Aussage als Dokumentation seiner langjährigen Arbeit. Doch tatsächlich hatte er sie 2022 gezielt ausgewählt und an Vodafone übermittelt, damit diese sie vor Gericht einreichen konnte. Damit diente das Archiv einem rechtlichen Zweck – und nicht mehr einem ausschließlich persönlichen. Die Haushaltsausnahme greift nach Einschätzung der Behörde nicht, sobald Daten in einem öffentlichen Verfahren wie einem Gerichtsverfahren eingesetzt werden.
Gleichzeitig stellte die Behörde fest: Die Verarbeitung war durch ein berechtigtes Interesse gedeckt. Der Ex-Vorgesetzte hatte ein legitimes Interesse daran, sich gegen die seiner Ansicht nach ehrverletzenden Vorwürfe in der Klageschrift zu verteidigen. Das überwiege das Interesse der Klägerin. Die Verarbeitung war also dem Grunde nach rechtmäßig – aber die Informationspflicht gegenüber der Klägerin hätte trotzdem erfüllt werden müssen.
Konkret lagen zwei Verstöße vor: Bei der Entgegennahme der Daten im Jahr 2017 hätte der Ex-Vorgesetzte die Klägerin nach § 11 Abs. 1 N. 2472/1997 informieren müssen. Und vor der Weitergabe an Vodafone im Jahr 2022 hätte er sie nach Art. 14 Abs. 3 lit. c DS-GVO informieren müssen. Beides unterblieb. Die Behörde verhängte gegen ihn ein Bußgeld von 2.000 Euro.
Was die Entscheidung für Unternehmen bedeutet
Der Fall zeigt ein häufig unterschätztes Problem: Wenn ausscheidende Mitarbeiter im Rahmen eines Auskunftsrechts Kopien ihrer Korrespondenz erhalten, kann diese Korrespondenz personenbezogene Daten Dritter enthalten. Vodafone hätte die betroffene Person vor der Weitergabe benachrichtigen müssen. Dass die Daten dem Empfänger als Teil seiner eigenen Kommunikation bekannt waren, änderte daran nichts.
Besonders relevant ist auch die Situation, in der ein Unternehmen einem Auskunftsantrag mit dem Hinweis auf Löschung begegnet – und gleichzeitig weiß oder wissen muss, dass die Daten an anderer Stelle noch vorhanden sind. Die Behörde bewertete es als erschwerenden Umstand, dass Vodafone gegenüber der Klägerin erklärte, die Daten seien gelöscht, ohne darauf hinzuweisen, dass Kopien bei einem ehemaligen Mitarbeiter vorlagen.
Unsere Empfehlungen
Unternehmen und KMU
Wer ausscheidenden Mitarbeitern Kopien ihrer E-Mail-Korrespondenz aushändigt, gibt möglicherweise auch Daten Dritter weiter. Prüfen Sie, ob die Korrespondenz personenbezogene Daten weiterer Personen enthält. Falls ja, informieren Sie diese Personen vor der Weitergabe. Dokumentieren Sie den Vorgang. Beantworten Sie Auskunftsanträge vollständig. Wenn Daten an Dritte weitergegeben wurden, gehört das zur vollständigen Antwort. Ein Hinweis auf interne Löschung reicht nicht, wenn Kopien bei ehemaligen Mitarbeitern oder Dienstleistern noch vorhanden sind. Regeln Sie in Austrittsvereinbarungen und Unternehmensrichtlinien klar, welche Daten ausscheidende Mitarbeiter mitnehmen dürfen. Verlassen Sie sich nicht auf mündliche Absprachen.
Behörden und öffentliche Stellen
Auch im öffentlichen Sektor verlassen Mitarbeiter regelmäßig ihre Stellen. Die Pflicht zur Vorabinformation Betroffener bei Datenweitergaben gilt auch hier. Prüfen Sie bestehende Austrittsverfahren auf datenschutzkonforme Handhabung von E-Mail-Archiven und ähnlicher Korrespondenz.
Gesundheitseinrichtungen
In Gesundheitseinrichtungen enthält interne Korrespondenz oft besonders sensible Informationen über Patienten oder andere Mitarbeiter. Wenn ausscheidende Mitarbeiter Datenkopien erhalten, ist die Sensibilität der enthaltenen Drittdaten besonders hoch. Stellen Sie sicher, dass interne Löschfristen und Weitergaberegeln auch für solche Fälle greifen.
Kanzleien und Freiberufler
Freiberufler und Kanzleimitarbeiter, die ein Unternehmen verlassen, können im Rahmen eines Auskunftsrechts Daten erhalten, die auch Mandanten oder Klienten betreffen. Klären Sie vorab, welche Unterlagen weitergegeben werden dürfen und wie die Informationspflicht gegenüber betroffenen Dritten erfüllt wird.
Quelle: Hellenic Data Protection Authority (ΑΠΔΠΧ), Entscheidung 6/2026 vom 21. April 2026
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Art. 17 DS-GVO – Recht auf Löschung (Recht auf Vergessenwerden)
- Meldung von Datenschutzverletzungen nach Art. 33 DS-GVO
- Nachweis der Datenlöschung – So dokumentieren Sie korrekt
- Datenschutzrisiko E-Mails – Was Unternehmen wissen müssen
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking – Blickschutz hilft
Dieser Absatz enthält Affiliatelinks/Werbelinks