Mitarbeitende können in der Regel nicht als „Verantwortliche“ im Sinne des Art. 4 Nr. 7 DSGVO angesehen werden, sondern sind dem Verantwortlichen „unterstellte Personen“ im Sinne von Art 29 DSGVO. So bestätigte es auch der BGH (wir berichteten).
Jede Regel hat jedoch Ausnahmen – doch was bedeutet das?
Das OLG Stuttgart entschied Anfang dieses Jahres über eine solche „Ausnahme“. Nach dem Beschluss des Gerichts (OLG Stuttgart, – 25.02.2025, Az.: ORbs 16 Ss 336/24) begründet die nicht dienstlich veranlasste Datenbankabfrage im Polizeiauskunftssystem „POLAS“ durch Behördenmitarbeitende eine Verantwortlichkeit gem. Art. 4 Nr. 7 DSGVO und stellt eine unzulässige Datenverarbeitung dar.
Hintergrund der Entscheidung war, dass der Polizeibeamte auf seinem Dienstrechner Daten über einen damaligen Kollegen abfragte, welcher sich zu dieser Zeit in Untersuchungshaft befand. Einen dienstlichen Anlass hierfür gab es jedoch nicht, dies war dem Polizeibeamten auch bewusst. Für die vorsätzlich rechtswidrige Verarbeitung von personenbezogenen Daten wurde der Polizeibeamte vom AG Stuttgart zu einer Geldbuße in Höhe von 1.500 € verurteilt. Dies sah auch das OLG Stuttgart so, weshalb es die Rechtsbeschwerde des Polizeibeamten als unbegründet abgewiesen hat. In seinem Beschluss beschäftigte sich das OLG ausgiebig mit der Frage, wann ein Mitarbeiter im Rahmen der Überschreitung seiner Befugnisse – dem Mitarbeiterexzess – zum Verantwortlichen wird. Das OLG ist damit das erste deutsche Gericht, das über einen Mitarbeiterexzess entschieden und diesen bestätigt hat. Es greift den Begriff „Mitarbeiterexzesses“ dabei ausdrücklich auf und stellt dar, wann eine eigene Verantwortlichkeit des Mitarbeiters gegeben ist:
„Die rechtliche Behandlung von sog. „Mitarbeiterexzessen“ ist auch auf europäischer Ebene Gegenstand juristischer Erörterungen geworden. […] Erfolgt der Datenschutzverstoß – wie vorliegend – bewusst und gewollt aus arbeits- bzw. dienstfremden Gründen, handelt der Mitarbeiter in diesem Fall nicht weisungswidrig, sondern überhaupt nicht betrieblich bzw. behördlich veranlasst und somit nicht als unterstellte Person (vgl. Bauer/Sura, ZD 2025, 7). […] Denn in dieser Situation entzieht sich der Mitarbeiter der Aufsicht und Leitung seiner Vorgesetzten und begründet damit eine eigene Entscheidungsmacht über Zweck und Mittel der Datenverarbeitung (a.A. Dieterle, Anmerkung zur Entscheidung des österreichischen Bundesverwaltungsgerichts, ZD 2022, 439)“
Jegliche andere Auslegung würde laut dem OLG zu einem Ahndungsdefizit führen, weil vorsätzliche Mitarbeiterexzesse dem Arbeitgeber nur sehr schwer zugerechnet werden könnten. Das OLG berücksichtigte bei seiner Entscheidung insbesondere auch die Leitlinien der EDSA.
Folgen der Entscheidung
Für Arbeitgeber und Arbeitnehmer ist dieses Urteil wichtig, da es zeigt, dass die Arbeitnehmer persönlich für etwaige Verfehlungen haftbar gemacht werden können, wenn diese ohne dienstliche Veranlassung und ausschließlich für eigene Zwecke erfolgen. Ein bloßes weisungswidriges Verhalten oder eine Verarbeitung in Unkenntnis des Arbeitgebers begründet nicht die Verantwortlichkeit des Arbeitnehmers, solange es im betrieblichen Kontext erfolgt und der Arbeitgeber weiterhin über die Zwecke und Mittel der Verarbeitung entscheidet. In diesem Fall würde das Verhalten dem Arbeitgeber als Verantwortlichem zugerechnet werden.
Fazit
Der Beschluss des OLG ist ein wichtiger Meilenstein der deutschen Rechtsprechung zum Thema Mitarbeiterexzess und bietet damit Gerichten, Aufsichtsbehörden und Unternehmen eine erste Orientierung für die Einordnung solcher Fälle. Trotzdem handelt es sich bei dem Thema Mitarbeiterexzess weiterhin um ein sehr umstrittenes Thema, bei dem sich insbesondere die Literatur und Aufsichtsbehörden uneinig sind. Hier bleibt abzuwarten, ob das Urteil zu einer Änderung der Ansichten führen wird.
Festzuhalten bleibt, so oder so sollten Unternehmen vorbeugend handeln, um das Risiko eines Datenmissbrauchs durch Arbeitnehmer zu reduzieren. Hierzu gehören insbesondere geeignete technische und organisatorische Maßnahmen, sowie Schulungen und Sensibilisierungsmaßnahmen für Arbeitnehmer.