Zum Hauptinhalt springen

Personenbezogene Daten: Mitarbeiterexzess: Ist der Arbeitnehmer Verantwortlicher im Sinne der Datenschutz-Grundverordnung?

Geschrieben am .

Verarbeitet ein Beschäftigter personenbezogene Daten bewusst und ohne dienstlichen Anlass zu eigenen Zwecken, handelt er außerhalb des Verantwortungsbereichs seines Arbeitgebers. Er wird damit selbst zum Verantwortlichen im Sinne der Datenschutz-Grundverordnung (hier:  Art. 4 Nr. 7 DS-GVO).

Polizeibeamter fragte Daten eines Kollegen ab

Dem Polizeibeamten wurde vorgeworfen, im Jahr 2021 mittels dienstlicher Zugriffsberechtigung im polizeilichen Informationssystem „POLA“ personenbezogene Daten eines ebenfalls bei der Polizei beschäftigten Kollegen abgefragt zu haben, obwohl kein dienstlicher Anlass hierfür bestand. Das Amtsgericht (AG) Stuttgart verurteilte den Beamten wegen vorsätzlicher rechtswidriger Verarbeitung personenbezogener Daten gemäß Art. 83 Abs. 1, 2, 5 Buchst. a DS-GVO zu einer Geldbuße von 1.500 Euro. Dieser legte dagegen Rechtsbeschwerde ein.

Oberlandesgericht bestätigte Bußgeldbescheid

Das Oberlandesgericht (OLG) Stuttgart wies die Rechtsbeschwerde als unbegründet zurück. Es bestätigte den Bußgeldbescheid in vollem Umfang.

Nach dem OLG sei ein Beschäftigter grundsätzlich kein Verantwortlicher, wenn er im Rahmen seiner dienstlichen Tätigkeit Daten verarbeite. Dies gelte jedoch nicht, wenn ein Beschäftigter bewusst und willentlich außerhalb des dienstlichen Aufgabenbereichs personenbezogene Daten zu eigenen Zwecken verarbeite (sog. „Mitarbeiterexzess“). In einem solchen Fall entscheide der Beschäftigte faktisch selbst über Zweck und Mittel der Datenverarbeitung. Dadurch übernehme er datenschutzrechtlich Verantwortung im eigenen Namen. Diese Auslegung folge den Leitlinien des Europäischen Datenschutzausschusses. Sie schließe eine Regelungslücke, die andernfalls zu einem fehlenden Sanktionsregime für vorsätzliche Datenmissbräuche durch Beschäftigte führen würde.

Das OLG stellte weiterhin klar, dass der Verarbeitungsbegriff der DS-GVO sehr weit gefasst sei. Bereits das reine Abfragen oder Auslesen von Daten erfülle den Tatbestand der „Verarbeitung“, da Art. 4 Nr. 2 DS-GVO dies ausdrücklich erfasse. Eine engere Auslegung komme insbesondere nicht zugunsten des bewusst zweckwidrig agierenden Mitarbeiters in Betracht. Dem Wortlaut der Norm sowie der einschlägigen Rechtsprechung des EuGH folgend sei das Abrufen personenbezogener Daten ohne dienstlichen Anlass als unzulässige Datenverarbeitung zu qualifizieren.Quelle — OLG Stuttgart, Urteil vom 25.2.2025, 2 Orbs 16 Ss 336/24