Praxiswissen auf den Punkt gebracht.
Kundenservice: 0931 4170-472 | Hilfe
logo
  • Meine Produkte
    Bitte melden Sie sich an, um Ihre Produkte zu sehen.
Menu Menu
MyIww MyIww

    • · Datenschutz

    Erste Entscheidung zum Mitarbeiterexzess: Wann wird der ArbN zum Verantwortlichen?

    Bild: © Jearu – stock.adobe.com / KI-generiert

    Verarbeitet ein Beschäftigter personenbezogene Daten bewusst und ohne dienstlichen Anlass zu eigenen Zwecken, handelt er außerhalb des Verantwortungsbereichs seines ArbG. Er wird damit selbst zum Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO.

     

    Sachverhalt

    Dem Polizeibeamten wurde vorgeworfen, im Jahr 2021 mittels dienstlicher Zugriffsberechtigung im polizeilichen Informationssystem „POLA“ personenbezogene Daten eines ebenfalls bei der Polizei beschäftigten Kollegen abgefragt zu haben, obwohl kein dienstlicher Anlass hierfür bestand. Das Amtsgericht Stuttgart verurteilte den Beamten wegen vorsätzlicher rechtswidriger Verarbeitung personenbezogener Daten gemäß Art. 83 Abs. 1, 2, 5 lit. a DSGVO zu einer Geldbuße von 1.500 EUR. Dieser legte dagegen Rechtsbeschwerde ein.

     

    Entscheidungsgründe

    Das OLG Stuttgart (25.2.25, 2 Orbs 16 Ss 336/24, Abruf-Nr. 252226) wies die Rechtsbeschwerde als unbegründet zurück und bestätigte den Bußgeldbescheid in vollem Umfang. Dabei stellte es sich zwei Rechtsfragen:

    • Ist der Polizeibeamte als „Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO anzusehen und
    • ist das bloße Abfragen personenbezogener Daten bereits eine „Verarbeitung“ nach Art. 4 Nr. 2 DSGVO?

     

    Nach dem OLG sei ein Beschäftigter grundsätzlich kein Verantwortlicher, wenn er im Rahmen seiner dienstlichen Tätigkeit Daten verarbeite. Dies gelte jedoch nicht, wenn ein Beschäftigter bewusst und willentlich außerhalb des dienstlichen Aufgabenbereichs personenbezogene Daten zu eigenen Zwecken verarbeite (sog. „Mitarbeiterexzess“). In einem solchen Fall entscheide der Beschäftigte faktisch selbst über Zweck und Mittel der Datenverarbeitung. Dadurch übernehme er datenschutzrechtlich Verantwortung im eigenen Namen. Diese Auslegung folge den Leitlinien des Europäischen Datenschutzausschusses. Sie schließe eine Regelungslücke, die andernfalls zu einem fehlenden Sanktionsregime für vorsätzliche Datenmissbräuche durch Beschäftigte führen würde.

     

    Zur zweiten Frage stellte das OLG Stuttgart klar, dass der Verarbeitungsbegriff der DSGVO sehr weit gefasst sei. Bereits das reine Abfragen oder Auslesen von Daten erfülle den Tatbestand der „Verarbeitung“, da Art. 4 Nr. 2 DSGVO dies ausdrücklich erfasse. Eine engere Auslegung komme insbesondere nicht zugunsten des bewusst zweckwidrig agierenden Mitarbeiters in Betracht. Dem Wortlaut der Norm sowie der einschlägigen Rechtsprechung des EuGH folgend sei das Abrufen personenbezogener Daten ohne dienstlichen Anlass als unzulässige Datenverarbeitung zu qualifizieren.

     

    Relevanz für die Praxis

    Die Entscheidung des OLG Stuttgart hat weitreichende praktische Bedeutung für die arbeits- und datenschutzrechtliche Beurteilung von Mitarbeiterverstößen. Sie bestätigt, dass Beschäftigte – auch ohne Leitungsfunktion – unter den besonderen Umständen des „Mitarbeiterexzesses“ selbst zum Verantwortlichen im datenschutzrechtlichen Sinne werden können, wenn sie personenbezogene Daten zu eigenen Zwecken und außerhalb dienstlicher Veranlassung verarbeiten. Damit eröffnet das OLG die Möglichkeit, personenbezogene Verstöße einzelner Mitarbeiter nicht allein der verantwortlichen Stelle (ArbG/Behörde) zuzurechnen, sondern auch eine persönliche Haftung des Mitarbeiters zu begründen.

     

    Nach der Rechtsprechung des OLG Stuttgart ist für das Vorliegen eines solchen „Mitarbeiterexzesses“ entscheidend:

    • die bewusste und willentliche Handlung des Mitarbeiters außerhalb dienstlicher Aufgaben,
    • das Fehlen jeglicher dienstlicher Veranlassung für den Datenzugriff sowie
    • die Eigenbestimmung über Zweck und Mittel der Verarbeitung durch den Mitarbeiter selbst.

     

    Der Mitarbeiterexzess als Konzeption ist rechtlich nicht nur ein Schlagwort. Er bringt zum Ausdruck, dass nicht jede missbräuchliche Datenverarbeitung im Beschäftigtenverhältnis automatisch dem ArbG zuzurechnen ist. Vielmehr kann der ArbN selbst zum datenschutzrechtlich Verantwortlichen werden, wenn er durch sein Verhalten die zumutbare Bindung an die Zwecke der Organisation vollständig verlässt.

     

    Für die arbeitsrechtliche Praxis bedeutet dies, dass ArbG und Vorgesetzte ihre internen Regelungen, Sensibilisierungs- und Kontrollmaßnahmen im Hinblick auf den Umgang mit personenbezogenen Daten besonders schärfen müssen. Explizite Hinweise auf die datenschutzrechtlichen Konsequenzen einer rechtswidrigen Datenverarbeitung – einschließlich der Möglichkeit persönlicher Bußgelder – sollten in Weisungen und Compliance-Schulungen verankert sein. Darüber hinaus setzt die Entscheidung ein deutliches Signal, dass datenschutzrechtliche Verstöße von Beschäftigten nicht durch eine rein organisationsbezogene Verantwortungszuschreibung abgefangen werden können, sondern im Einzelfall auch individuell sanktionierbar sind.

     

    Bild: IWW
    Quelle: Ausgabe 02 / 2026 | Seite 22 | ID 50686928
    print print email email email_comp email_comp twitter twitter facebook facebook xing xing

    Mehr zum Thema