OLG Stuttgart: Folgen eines datenschutzrechtlichen Mitarbeiterexzesses

OLG Stuttgart, Urteil vom 25.02.2025, 2 ORbs 16 Ss 336/24

Das Oberlandesgericht (OLG) Stuttgart hat in einem Urteil zum Ordnungswidrigkeitenrecht die Verantwortlichkeit eines Polizeibeamten für die unzulässige Verarbeitung personenbezogener Daten bestätigt. Der Beamte hatte ohne dienstlichen Anlass Daten eines Kollegen im polizeilichen Informationssystem "POLAS" abgerufen. Das Gericht stellte fest, dass der Beamte als "Verantwortlicher" gemäß Art. 4 Nr. 7 DS-GVO und sein Verhalten als "Verarbeitung" gemäß Art.4 Nr. 2 DS-GVO einzustufen ist. Das Gericht erachtete eine Geldbuße von EUR 1.500 als angemessen.  Erst kürzlich hatte der Landesbeauftragte für den Datenschutz und die Informationssicherheit Baden-Württemberg einem anderen Polizeibeamten ein Bußgeld von EUR 3.500 auferlegt, weil dieser unbefugt Daten aus dem Melderegister abrief.

Kernaussagen des Urteils

Das Gericht stufte den Polizeibeamten als datenschutzrechtlichen Verantwortlichen gemäß Art.  4 Nr. 7 DS-GVO ein, da er personenbezogene Daten für eigene Zwecke und nicht im Rahmen seiner dienstlichen Aufgaben verarbeitet hatte. Die Entscheidung folgte den Leitlinien des Europäischen Datenschutzausschusses, wonach sich ein Mitarbeiter, der Daten für eigene Zwecke verarbeitet, zum Verantwortlichen aufschwingt. Zudem wurde das bloße Abfragen von Daten als Verarbeitung gemäß Art. 4 Nr. 2 DS-GVO anerkannt, wobei eine einschränkende Auslegung des Begriffs der "Verarbeitung" abgelehnt wurde. Das Gericht erachtete die Verhängung einer Geldbuße in Höhe von EUR 1.500 für angemessen, um Verstöße gegen den Datenschutz wirksam zu sanktionieren und abschreckend zu ahnden.

Folgen des Urteils für private Arbeitgeber

Die Entscheidung hat nicht nur Folgen für Beamte und Angestellte im öffentlichen Dienst. Auch in der Privatwirtschaft sind Mitarbeiterexzesse keine Seltenheit. Arbeitgeber sollten ihre Mitarbeiter regelmäßig über die datenschutzrechtlichen Bestimmungen und die Konsequenzen von Verstößen informieren. Klare Richtlinien und Verfahren für den Zugriff auf und die Verarbeitung von personenbezogenen Daten helfen hierbei. Darüber hinaus sollten interne Kontrollen und Audits regelmäßig durchgeführt werden, um sicherzustellen, dass die Richtlinien eingehalten werden.

Kommt es dennoch zum Mitarbeiterexzess, liegt darin regelmäßig eine ernsthafte arbeitsrechtliche Verfehlung, die disziplinarische und arbeitsrechtliche Konsequenzen – bis hin zur Kündigung – nach sich ziehen kann. Mitarbeitern sollte aufgrund der Praxis der Datenschutzbehörden in Baden-Württemberg und des Urteils des OLG Stuttgart vor Augen geführt werden, dass sie darüber hinaus von den Datenschutzbehörden persönlich haftbar gemacht werden können und nicht unerhebliche Bußgelder drohen, wenn sie Daten für eigene Zwecke missbrauchen.