23.01.2026 · IWW-Abrufnummer 252226
Oberlandesgericht Stuttgart: Beschluss vom 25.02.2025 – 2 ORbs 16 Ss 336/24
Die nicht dienstlich veranlasste Datenbankabfrage durch Behördenmitarbeiter (hier: Polizeiauskunftssystem "POLAS") begründet eine Verantwortlichkeit gem. Art. 4 Nr. 7 DS-GVO und stellt eine (unzulässige) Verarbeitung gem. Art. 4 Nr. 2 DS-GVO dar.
Oberlandesgericht Stuttgart, Beschluss vom 25.02.2025, Az. 2 ORbs 16 Ss 336/24
1. Die Rechtsbeschwerde des Betroffenen gegen das Urteil des Amtsgerichts Stuttgart vom 22. November 2023 wird als unbegründet verworfen.
2. Der Betroffene hat die Kosten seines Rechtsmittels zu tragen.
Gründe
I.
Das Amtsgericht Stuttgart hat den Betroffenen am 22. November 2023 wegen der vorsätzlichen Ordnungswidrigkeit der rechtswidrigen Verarbeitung personenbezogener Daten zu der Geldbuße von 1.500 Euro verurteilt.
Nach den Feststellungen des Amtsgerichts rief der als Polizeibeamter beschäftigte Betroffene am 2. März 2021, 1:41 Uhr, von seinem Dienstrechner auf dem Polizeirevier [.] im polizeilichen Informationssystem "POLAS" Daten über einen damaligen Kollegen ab, der sich zu dieser Zeit in Untersuchungshaft befand, ohne - wie der Betroffene wusste - dass es für die Abfrage einen dienstlichen Anlass gab.
II.
Die hiergegen eingelegte Rechtsbeschwerde ist zulässig, jedoch unbegründet. Zur Fortbildung des Rechts und zur Sicherung einer einheitlichen Rechtsprechung ist die Entscheidung gem. § 80a Abs. 3 OWiG dem Bußgeldsenat in der Besetzung mit drei Richtern übertragen worden.
Die vom Betroffenen erhobene Verfahrensrüge ist aus den zutreffenden Gründen in der Antragschrift der Generalstaatsanwaltschaft Stuttgart vom 29. Juli 2024 unzulässig bzw. unbegründet. Der Sachrüge bleibt der Erfolg ebenfalls versagt. Im Einzelnen:
1.
Das Amtsgericht Stuttgart hat den Betroffenen aufgrund seiner rechtsfehlerfrei getroffenen Feststellungen zu Recht und mit zutreffender Begründung wegen vorsätzlich rechtswidriger Verarbeitung personenbezogener Daten gem. Art. 83 Abs. 1, 2, 5 lit. a) DS-GVO verurteilt. Insbesondere ist die Einordnung des Betroffenen als "Verantwortlicher" gem. Art. 4 Ziff. 7 Hs. 1 DS-GVO (a.) und seines Verhaltens als rechtswidrige "Verarbeitung" gem. Art. 4 Ziff. 2 DS-GVO (b.) nicht zu beanstanden.
a.
Nach Art. 4 Ziff. 7 Hs. 1 DS-GVO ist Verantwortlicher jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Was natürliche Personen anbelangt, besteht Einigkeit darin, dass Mitarbeiter ohne Leitungsfunktion nach dieser Definition keine Verantwortlichen sind (BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, Rn. 87 ff.). In der Diskussion steht jedoch, ob sich unterstellte Mitarbeiter, die bei der Datenverarbeitung ihre Befugnisse überschreiten (sog. "Mitarbeiterexzess"), sich zu Verantwortlichen aufschwingen und damit Adressaten der Haftungs- und Bußgeldvorschriften gem. Art. 82, 83 DS-GVO werden.
Zu Beginn des Inkraftretens der DS-GVO wurde für die Frage, ob ein entsprechendes Fehlverhalten von Mitarbeitern des öffentlichen Dienstes datenschutzrechtlich sanktioniert werden könne, vereinzelt vertreten, dass durch die die bisherigen Datenschutzvorschriften ersetzende DS-GVO eine Regelungslücke entstanden sei (Landtag von Baden-Württemberg, Drucksache 16/3930, S. 76, Haltung der Landesregierung). Dabei wurde argumentiert, dass weisungsgebundene Personen keine Entscheidungsmacht über Zweck und Mittel der Datenverarbeitung hätten und damit nicht als Verantwortliche gem. Art. 4 Ziff. 7 Hs. 1 DS-GVO angesehen werden könnten (Dieterle, ZD 2020, 135). Darüber hinaus wurde der Umkehrschluss aus Art. 28 Abs. 10 DS-GVO gezogen, wonach der Auftragsverarbeiter bei einem Verstoß gegen die DS-GVO als Verantwortlicher gelte, eine entsprechende Regelung jedoch für sonstige weisungsgebundene Personen fehle. Aus diesem Grund haben einzelne Bundesländer ergänzende Regelungen in ihre Datenschutzgesetze aufgenommen, um eine vermeintliche Regelungslücke zu schließen (vgl. Übersicht bei Dieterle, ZD 2020, 135). Baden-Württemberg gehört jedoch nicht dazu. § 28 LDSG-BW schließt vielmehr Geldbußen gegen öffentliche Stellen und deren Beschäftigte aus. Bei Letzteren gilt dies jedoch für dienstliches Verhalten. Handeln die Beschäftigten dagegen am Arbeitsplatz für private Zwecke, kommt eine ordnungswidrigkeitsrechtliche Ahndung grundsätzlich in Betracht (vgl. Debus/Sicko, Landesdatenschutzgesetz Baden-Württemberg, Rn. 11).
Die rechtliche Behandlung von sog. "Mitarbeiterexzessen" ist auch auf europäischer Ebene Gegenstand juristischer Erörterungen geworden.
Am 7. Juli 2021 hat der Europäische Datenschutzausschuss (European Data Protection Board) Leitlinien zu den Begriffen "Verantwortlicher" und "Auftragsverarbeiter" (Guidelines 07/2020 on the concept of controller and processor in the GDPR) erlassen. Dort heißt es in Rn. 88 zu der in Rede stehenden Problematik: "Soweit der Beschäftigte personenbezogene Daten für eigene Zwecke verarbeitet, die sich von denen seines Arbeitgebers unterscheiden, wird er als Verantwortlicher betrachtet und übernimmt alle sich daraus ergebenden Konsequenzen und Pflichten in Bezug auf die Verarbeitung personenbezogener Daten." Diese Vorgaben fanden bereits Berücksichtigung in europäischen Gerichtsverfahren (Österreichisches Bundesverwaltungsgericht, Erkenntnis vom 21. Dezember 2021, ZD 2022, 439; Generalanwalt beim EuGH, Schlussantrag 15. Dezember 2022 - C 579/21, BeckRS 2022, 36106 Rn. 65).
Der Senat schließt sich den Leitlinien des Europäischen Datenschutzausschusses ebenfalls an. Erfolgt der Datenschutzverstoß - wie vorliegend - bewusst und gewollt aus arbeits- bzw. dienstfremden Gründen, handelt der Mitarbeiter in diesem Fall nicht weisungswidrig, sondern überhaupt nicht betrieblich bzw. behördlich veranlasst und somit nicht als unterstellte Person (vgl. Bauer/Sura, ZD 2025, 7). Der gezogene Umkehrschluss zu Art. 28 Abs. 10 DS-GVO überzeugt ebenfalls nicht. Denn die eigenständige Verantwortlichkeit als Folge des "Mitarbeiterexzesses" lässt sich zwanglos unter Art. 4 Nr. 7 DS-GVO subsumieren. Denn in dieser Situation entzieht sich der Mitarbeiter der Aufsicht und Leitung seiner Vorgesetzten und begründet damit eine eigene Entscheidungsmacht über Zweck und Mittel der Datenverarbeitung (a.A. Dieterle, Anmerkung zur Entscheidung des österreichischen Bundesverwaltungsgerichts, ZD 2022, 439) Eine explizite Regelung ist daher nicht erforderlich (vgl. Ambrock, ZD 2020, 492). Im Übrigen würde eine andere - weder vom Wortlaut noch aus sonstigen Gründen gebotenen - Auslegung zu einem Ahndungsdefizit führen und den in Art. 83 Abs. 1 DSGVO formulierten Auftrag, Datenschutzverstöße durch die Verhängung von Geldbußen "wirksam" und "abschreckend" zu ahnden, zuwiderlaufen, weil zumindest der vorsätzliche "Mitarbeiterexzess" den übergeordneten Stellen nicht ohne weiteres zurechenbar sein dürfte (vgl. Bauer/Sura, a.a.O.).
b.
Nach Art. 4 Ziff. 2 DS-GVO ist eine "Verarbeitung" jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Damit fällt bereits nach dem ausdrücklichen Wortlaut dieser Vorschrift das bloße Abfragen von Daten unter dem Begriff der Verarbeitung (dies übersehend LG Freiburg, Urteil vom 3. Dezember 2018 - 21/18 17 Ns 230 Js 24749/16 (2) -, juris). Darüber hinaus hat der EuGH nicht nur eine weite Auslegung der Definition vorgegeben (EuGH, NJW 2023, 2253, Rn. 24), sondern nunmehr auch den Fall entschieden, dass das Abrufen von Kundendaten durch Bankmitarbeiter Art. 4 Ziff. 2 DS-GVO unterfällt (EuGH, NZA 2023, 889). Dies ist auf den vorliegenden Fall übertragbar. Für eine engere Auslegung des Begriffs der "Verarbeitung" gerade im Falle des Mitarbeiterexzesses ist kein Raum (a.A. Dieterle, Anmerkung zur Entscheidung des österreichischen Bundesverwaltungsgerichts, ZD 2022, 439). Denn eine solche Wechselwirkung zwischen den Merkmalen "Verantwortliche" und "Verarbeitung" ist nicht ersichtlich. Es ist schließlich auch nicht einzusehen, warum der bewusst außerhalb seiner Aufgaben und Befugnisse handelnde Mitarbeiter in den privilegierenden Genuss einer einschränkenden Auslegung kommen sollte.
2.
Da auch bei der Zumessung der Geldbuße nichts zu erinnern gilt, ist die Rechtsbeschwerde insgesamt als unbegründet zu verwerfen.
III.
Die Kostenentscheidung beruht auf §§ 79 Abs. 3 OWiG, 473 Abs. 1 S. 1 StPO.
Tenor:
2. Der Betroffene hat die Kosten seines Rechtsmittels zu tragen.
Gründe
I.
Das Amtsgericht Stuttgart hat den Betroffenen am 22. November 2023 wegen der vorsätzlichen Ordnungswidrigkeit der rechtswidrigen Verarbeitung personenbezogener Daten zu der Geldbuße von 1.500 Euro verurteilt.
Nach den Feststellungen des Amtsgerichts rief der als Polizeibeamter beschäftigte Betroffene am 2. März 2021, 1:41 Uhr, von seinem Dienstrechner auf dem Polizeirevier [.] im polizeilichen Informationssystem "POLAS" Daten über einen damaligen Kollegen ab, der sich zu dieser Zeit in Untersuchungshaft befand, ohne - wie der Betroffene wusste - dass es für die Abfrage einen dienstlichen Anlass gab.
II.
Die hiergegen eingelegte Rechtsbeschwerde ist zulässig, jedoch unbegründet. Zur Fortbildung des Rechts und zur Sicherung einer einheitlichen Rechtsprechung ist die Entscheidung gem. § 80a Abs. 3 OWiG dem Bußgeldsenat in der Besetzung mit drei Richtern übertragen worden.
Die vom Betroffenen erhobene Verfahrensrüge ist aus den zutreffenden Gründen in der Antragschrift der Generalstaatsanwaltschaft Stuttgart vom 29. Juli 2024 unzulässig bzw. unbegründet. Der Sachrüge bleibt der Erfolg ebenfalls versagt. Im Einzelnen:
1.
Das Amtsgericht Stuttgart hat den Betroffenen aufgrund seiner rechtsfehlerfrei getroffenen Feststellungen zu Recht und mit zutreffender Begründung wegen vorsätzlich rechtswidriger Verarbeitung personenbezogener Daten gem. Art. 83 Abs. 1, 2, 5 lit. a) DS-GVO verurteilt. Insbesondere ist die Einordnung des Betroffenen als "Verantwortlicher" gem. Art. 4 Ziff. 7 Hs. 1 DS-GVO (a.) und seines Verhaltens als rechtswidrige "Verarbeitung" gem. Art. 4 Ziff. 2 DS-GVO (b.) nicht zu beanstanden.
a.
Nach Art. 4 Ziff. 7 Hs. 1 DS-GVO ist Verantwortlicher jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Was natürliche Personen anbelangt, besteht Einigkeit darin, dass Mitarbeiter ohne Leitungsfunktion nach dieser Definition keine Verantwortlichen sind (BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, Rn. 87 ff.). In der Diskussion steht jedoch, ob sich unterstellte Mitarbeiter, die bei der Datenverarbeitung ihre Befugnisse überschreiten (sog. "Mitarbeiterexzess"), sich zu Verantwortlichen aufschwingen und damit Adressaten der Haftungs- und Bußgeldvorschriften gem. Art. 82, 83 DS-GVO werden.
Zu Beginn des Inkraftretens der DS-GVO wurde für die Frage, ob ein entsprechendes Fehlverhalten von Mitarbeitern des öffentlichen Dienstes datenschutzrechtlich sanktioniert werden könne, vereinzelt vertreten, dass durch die die bisherigen Datenschutzvorschriften ersetzende DS-GVO eine Regelungslücke entstanden sei (Landtag von Baden-Württemberg, Drucksache 16/3930, S. 76, Haltung der Landesregierung). Dabei wurde argumentiert, dass weisungsgebundene Personen keine Entscheidungsmacht über Zweck und Mittel der Datenverarbeitung hätten und damit nicht als Verantwortliche gem. Art. 4 Ziff. 7 Hs. 1 DS-GVO angesehen werden könnten (Dieterle, ZD 2020, 135). Darüber hinaus wurde der Umkehrschluss aus Art. 28 Abs. 10 DS-GVO gezogen, wonach der Auftragsverarbeiter bei einem Verstoß gegen die DS-GVO als Verantwortlicher gelte, eine entsprechende Regelung jedoch für sonstige weisungsgebundene Personen fehle. Aus diesem Grund haben einzelne Bundesländer ergänzende Regelungen in ihre Datenschutzgesetze aufgenommen, um eine vermeintliche Regelungslücke zu schließen (vgl. Übersicht bei Dieterle, ZD 2020, 135). Baden-Württemberg gehört jedoch nicht dazu. § 28 LDSG-BW schließt vielmehr Geldbußen gegen öffentliche Stellen und deren Beschäftigte aus. Bei Letzteren gilt dies jedoch für dienstliches Verhalten. Handeln die Beschäftigten dagegen am Arbeitsplatz für private Zwecke, kommt eine ordnungswidrigkeitsrechtliche Ahndung grundsätzlich in Betracht (vgl. Debus/Sicko, Landesdatenschutzgesetz Baden-Württemberg, Rn. 11).
Die rechtliche Behandlung von sog. "Mitarbeiterexzessen" ist auch auf europäischer Ebene Gegenstand juristischer Erörterungen geworden.
Am 7. Juli 2021 hat der Europäische Datenschutzausschuss (European Data Protection Board) Leitlinien zu den Begriffen "Verantwortlicher" und "Auftragsverarbeiter" (Guidelines 07/2020 on the concept of controller and processor in the GDPR) erlassen. Dort heißt es in Rn. 88 zu der in Rede stehenden Problematik: "Soweit der Beschäftigte personenbezogene Daten für eigene Zwecke verarbeitet, die sich von denen seines Arbeitgebers unterscheiden, wird er als Verantwortlicher betrachtet und übernimmt alle sich daraus ergebenden Konsequenzen und Pflichten in Bezug auf die Verarbeitung personenbezogener Daten." Diese Vorgaben fanden bereits Berücksichtigung in europäischen Gerichtsverfahren (Österreichisches Bundesverwaltungsgericht, Erkenntnis vom 21. Dezember 2021, ZD 2022, 439; Generalanwalt beim EuGH, Schlussantrag 15. Dezember 2022 - C 579/21, BeckRS 2022, 36106 Rn. 65).
Der Senat schließt sich den Leitlinien des Europäischen Datenschutzausschusses ebenfalls an. Erfolgt der Datenschutzverstoß - wie vorliegend - bewusst und gewollt aus arbeits- bzw. dienstfremden Gründen, handelt der Mitarbeiter in diesem Fall nicht weisungswidrig, sondern überhaupt nicht betrieblich bzw. behördlich veranlasst und somit nicht als unterstellte Person (vgl. Bauer/Sura, ZD 2025, 7). Der gezogene Umkehrschluss zu Art. 28 Abs. 10 DS-GVO überzeugt ebenfalls nicht. Denn die eigenständige Verantwortlichkeit als Folge des "Mitarbeiterexzesses" lässt sich zwanglos unter Art. 4 Nr. 7 DS-GVO subsumieren. Denn in dieser Situation entzieht sich der Mitarbeiter der Aufsicht und Leitung seiner Vorgesetzten und begründet damit eine eigene Entscheidungsmacht über Zweck und Mittel der Datenverarbeitung (a.A. Dieterle, Anmerkung zur Entscheidung des österreichischen Bundesverwaltungsgerichts, ZD 2022, 439) Eine explizite Regelung ist daher nicht erforderlich (vgl. Ambrock, ZD 2020, 492). Im Übrigen würde eine andere - weder vom Wortlaut noch aus sonstigen Gründen gebotenen - Auslegung zu einem Ahndungsdefizit führen und den in Art. 83 Abs. 1 DSGVO formulierten Auftrag, Datenschutzverstöße durch die Verhängung von Geldbußen "wirksam" und "abschreckend" zu ahnden, zuwiderlaufen, weil zumindest der vorsätzliche "Mitarbeiterexzess" den übergeordneten Stellen nicht ohne weiteres zurechenbar sein dürfte (vgl. Bauer/Sura, a.a.O.).
b.
Nach Art. 4 Ziff. 2 DS-GVO ist eine "Verarbeitung" jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Damit fällt bereits nach dem ausdrücklichen Wortlaut dieser Vorschrift das bloße Abfragen von Daten unter dem Begriff der Verarbeitung (dies übersehend LG Freiburg, Urteil vom 3. Dezember 2018 - 21/18 17 Ns 230 Js 24749/16 (2) -, juris). Darüber hinaus hat der EuGH nicht nur eine weite Auslegung der Definition vorgegeben (EuGH, NJW 2023, 2253, Rn. 24), sondern nunmehr auch den Fall entschieden, dass das Abrufen von Kundendaten durch Bankmitarbeiter Art. 4 Ziff. 2 DS-GVO unterfällt (EuGH, NZA 2023, 889). Dies ist auf den vorliegenden Fall übertragbar. Für eine engere Auslegung des Begriffs der "Verarbeitung" gerade im Falle des Mitarbeiterexzesses ist kein Raum (a.A. Dieterle, Anmerkung zur Entscheidung des österreichischen Bundesverwaltungsgerichts, ZD 2022, 439). Denn eine solche Wechselwirkung zwischen den Merkmalen "Verantwortliche" und "Verarbeitung" ist nicht ersichtlich. Es ist schließlich auch nicht einzusehen, warum der bewusst außerhalb seiner Aufgaben und Befugnisse handelnde Mitarbeiter in den privilegierenden Genuss einer einschränkenden Auslegung kommen sollte.
2.
Da auch bei der Zumessung der Geldbuße nichts zu erinnern gilt, ist die Rechtsbeschwerde insgesamt als unbegründet zu verwerfen.
III.
Die Kostenentscheidung beruht auf §§ 79 Abs. 3 OWiG, 473 Abs. 1 S. 1 StPO.
VorschriftenArt. 4 Nr. 2, 7 Hs. 1 DSGVO
