DSFA

Das Warten hat ein Ende
Ailance™ DSFA ist da!
Mehr erfahren

Mitarbeiterexzess: Wenn der Mitarbeiter zum (DSGVO-)Verantwortlichen wird

Ein Mitarbeiterexzess kann nicht nur arbeitsrechtliche Folgen haben - der Mitarbeiter muss bei einem DSGVO-Verstoß mit Bußgeld rechnen.
Kategorien:
,

Ist ein Polizeibeamter, der ohne dienstlichen Anlass eine Datenbankabfrage durchführt, als Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) anzusehen? Mit dieser Frage hat sich das Oberlandesgericht Stuttgart eingehend befasst – und ist zu einem eindeutigen Ergebnis gekommen. Warum ein Mitarbeiterexzess richtig teuer werden kann.

Polizeibeamter nutzt polizeiliches Informationssystem für private Zwecke

Der betroffene Polizeibeamte hatte im Polizeirevier Zugriff auf das polizeiliche Informationssystem “POLAS”. Dies wird zur Speicherung und Abfrage personenbezogener Daten von Verdächtigen, Beschuldigten und anderen relevanten Personen im Rahmen polizeilicher Ermittlungen genutzt.

Am 2. März 2021 gegen 1:41 Uhr nutzte der Beamte seinen Dienstrechner, um Informationen über einen damaligen Kollegen abzurufen, der sich zu dieser Zeit in Untersuchungshaft befand. Dabei handelte der Beamte nicht aus dienstlichen Gründen, sondern aus privatem Interesse, was ihm bewusst war. Nach den Feststellungen des Amtsgerichts hatte der Beamte ohne dienstlichen Anlass gezielt nach persönlichen und strafrechtlich relevanten Daten seines Kollegen gesucht.

Der Vorfall wurde durch interne Kontrollmechanismen aufgedeckt, woraufhin die zuständige Dienststelle eine Untersuchung einleitete. In der Folge wurde der Beamte vom Amtsgericht Stuttgart wegen vorsätzlicher und rechtswidriger Verarbeitung personenbezogener Daten gem. Art. 83 Abs. 1, 2, 5 lit. a DSGVO zu einer Geldbuße von 1.500 Euro verurteilt. Gegen diese Entscheidung legte der Polizeibeamte Rechtbeschwerde ein.

Lese-Tipp: Datenschutzrechtliche Risiken bei Kundenbestandsdaten

Mitarbeiterexzess: Mitarbeiter als Verantwortlicher

Das Oberlandesgericht Stuttgart hat sich eingehend mit der Frage befasst, ob ein Polizeibeamter, der eigenmächtig Daten abfragt, als Verantwortlicher im Sinne der DSGVO angesehen werden kann.

Das Gericht stellte zunächst fest, dass der Beamte wissentlich und willentlich eine Datenbankabfrage vorgenommen hatte, die nicht zu seinen dienstlichen Aufgaben gehörte. In diesem Zusammenhang betonte das OLG, dass der Beamte seine dienstlichen Befugnisse überschritten und sich damit außerhalb seiner beruflichen Rolle bewegt habe. Der Beamte habe damit außerhalb der behördlichen Kontrolle gehandelt. Seine Abfrage sei daher nicht dem dienstlichen Verantwortungsbereich der Polizei zuzurechnen.

Der Senat stützte sich dabei auf die so genannte “Mitarbeiterexzess-Theorie”. Diese beschreibt, dass Mitarbeiter, die eigenmächtig und weisungsfrei personenbezogene Daten verarbeiten, als eigenständig Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO gelten. Das Gericht betonte, dass sich die Eigenverantwortlichkeit in solchen Fällen daraus ergibt, dass der Mitarbeiter eigenmächtig über Zweck und Mittel der Verarbeitung entscheidet.

Das OLG Stuttgart folgte dabei den Leitlinien des Europäischen Datenschutzausschusses (EDSA). Diese besagen, dass Mitarbeiter als Verantwortliche gelten, wenn sie personenbezogene Daten zu privaten Zwecken und ohne dienstliche Weisung verarbeiten.

Die Richter wiesen die Auffassung zurück, dass es einer Sonderregelung für Übergriffe von Mitarbeitern bedürfe, und verwiesen darauf, dass sich die Verantwortlichkeit für solche Handlungen unmittelbar aus der DSGVO ergebe. Der Polizeibeamte könne sich auch nicht auf eine privilegierende Ausnahmeregelung berufen, da sein Handeln weder dem Arbeitgeber zurechenbar noch durch dienstliche Weisungen gedeckt gewesen sei.

Die Geldbuße von 1.500 Euro hielt das OLG für angemessen und abschreckend. Der Beamte habe insbesondere vorsätzlich und in bewusster Missachtung seiner Pflichten gehandelt. Abschließend betonte das Gericht die Bedeutung konsequenter Sanktionen bei Datenschutzverstößen, um die in Art. 83 Abs. 1 DSGVO geforderte Abschreckungswirkung zu erzielen.

Bußgeld nach Mitarbeiterexzess

Die Entscheidung des OLG Stuttgart macht deutlich:  Datenschutzverstöße müssen nicht ausschließlich einer Institution oder einem Unternehmen zugerechnet werden. Sie können auch eine individuelle Verantwortung von Mitarbeitern begründen. Insbesondere Mitarbeiter, die eigenmächtig und ohne dienstlichen Anlass auf personenbezogene Daten zugreifen, handeln nach Auffassung des Gerichts eigenverantwortlich und können unmittelbar zur Rechenschaft gezogen werden.

Das Gericht hat in seiner Entscheidung ausdrücklich die sogenannte “Mitarbeiterexzess-Theorie” bestätigt. Nach dieser Rechtsauffassung tritt ein Mitarbeiter, der sich bewusst und absichtlich außerhalb seiner dienstlichen Aufgaben bewegt, aus der Weisungsgebundenheit seines Arbeitgebers heraus und wird selbst zum Verantwortlichen gemäß Art. 4 Nr. 7 DSGVO. Diese Einordnung hat zur Folge, dass Betroffene bei Verstößen nicht nur mit disziplinar- oder arbeitsrechtlichen Konsequenzen rechnen müssen, sondern auch bußgeldrechtlich belangt werden können.

Die Entscheidung des OLG Stuttgart schafft damit Klarheit in der Frage der Verantwortlichkeit bei Datenschutzverstößen durch Einzelpersonen und zeigt, dass datenschutzrechtliche Verstöße nicht allein von der Organisation als verantwortliche Stelle getragen werden. Für Unternehmen und Behörden bedeutet dies, dass sie ihre Mitarbeiter noch intensiver im Bereich des Datenschutzes schulen und sensibilisieren müssen, da die Zurechnung von Fehlverhalten an Einzelpersonen erhebliche finanzielle und rechtliche Konsequenzen nach sich ziehen kann.

Die Verhängung eines Bußgeldes in Höhe von 1.500 Euro verdeutlicht zudem die abschreckende Wirkung, die Datenschutzverstöße auch auf einzelne Verantwortliche haben sollen. Damit wird die Intention der DSGVO, Datenschutzverstöße effektiv zu sanktionieren und eine abschreckende Wirkung zu erzielen, konsequent umgesetzt.

Empfehlungen für die Praxis

Vor diesem Hintergrund sollten Organisationen folgende Maßnahmen in Betracht ziehen:

  1. Schulung und Sensibilisierung: Regelmäßige Schulungen der Mitarbeiter zum Datenschutzrecht und den Konsequenzen rechtswidriger Datenverarbeitung sind essenziell.
  2. Technische und organisatorische Maßnahmen: Der Zugang zu sensiblen Datenbanken sollte streng reglementiert und dokumentiert werden. Technische Vorkehrungen wie Logging-Mechanismen und Zugriffskontrollen können dabei helfen, unbefugte Datenabfragen zu verhindern.
  3. Interne Richtlinien und Kontrollmechanismen: Klare interne Richtlinien zur Datenverarbeitung und eine wirksame Kontrolle der Einhaltung dieser Vorgaben sind unverzichtbar.

Die Entscheidung des OLG Stuttgart unterstreicht die Notwendigkeit einer konsequenten Ahndung von Datenschutzverstößen, um die in Art. 83 Abs. 1 DSGVO verankerte Forderung nach “wirksamen, verhältnismäßigen und abschreckenden” Sanktionen umzusetzen.

Quelle: Beschluss des OLG Stuttgarts vom 25.02.2025 (2 ORbs 16 Ss 336/24)

Unser Tipp: Ailance™ setzt im Integrated Risk Management neue Standards und lässt sich ganz leicht an die Anforderungen in Ihrem Unternehmen anpassen. Nehmen Sie Kontakt zu uns auf und wir zeigen Ihnen, was mit Ailance™ möglich ist.
☎️ +49 (228) 926165-100
📧  info@2b-advice.com

Kontakt aufnehmen
Tags:
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge

de_DEGerman
en_USEnglish it_ITItalian fr_FRFrench de_DEGerman