Beschluss vom 25.02.2025 – Az. 2 ORbs 16 Ss 336/24
1. Hintergrund der Entscheidung
Im Mittelpunkt des Beschlusses des Oberlandesgerichts Stuttgart steht ein klassischer „Mitarbeiterexzess“: Ein Behördenmitarbeiter nutzte das polizeiliche Auskunftssystem „POLAS“ für eine nicht dienstlich veranlasste Recherche. Die Abfrage stand in keinerlei Zusammenhang mit seinen dienstlichen Aufgaben, sondern erfolgte aus rein privatem Interesse.
Das Gericht hatte zu klären, ob und in welchem Umfang die Behörde als Verantwortliche i.S.d. Art. 4 Nr. 7 DSGVOfür diese unzulässige Datenverarbeitung haftet – obwohl die konkrete Handlung des Mitarbeiters außerhalb des dienstlichen Rahmens lag.
2. Kernaussagen des OLG Stuttgart
a) Verantwortlichkeit nach Art. 4 Nr. 7 DSGVO
Das Gericht stellte klar:
Auch wenn ein Mitarbeiter in erheblichem Maße von seinen dienstlichen Aufgaben abweicht („Mitarbeiterexzess“), bleibt die Behörde grundsätzlich Verantwortliche im Sinne der DSGVO, sofern die Verarbeitung im Rahmen der organisatorischen und technischen Zugriffsmöglichkeiten der Behörde stattfindet.
Mit anderen Worten: Die Verantwortlichkeit knüpft nicht nur an die formale Anweisung an, sondern auch daran, dass der Verantwortliche den Zugriff ermöglicht und kontrollieren muss.
b) Unzulässige Verarbeitung nach Art. 4 Nr. 2 DSGVO
Die private Nutzung des POLAS-Systems stellte eine „Verarbeitung“ personenbezogener Daten dar – und zwar ohne Rechtsgrundlage nach Art. 6 DSGVO.
Eine solche Abfrage dient nicht den Zwecken der Aufgabenerfüllung der Behörde und ist daher unzulässig.
c) Keine Exkulpation durch Hinweis auf Exzess
Das OLG widerspricht damit einer Argumentationslinie, die sich in der Praxis immer wieder findet:
Der Hinweis, es habe sich um eine „eigenmächtige“ Handlung eines Mitarbeiters gehandelt, befreit nicht automatisch von der Verantwortlichkeit.
Dies gilt insbesondere dann, wenn die Zugriffsmöglichkeiten organisatorisch nicht hinreichend begrenzt oder kontrolliert werden.
3. Rechtliche Einordnung und Bedeutung für die Praxis
Die Entscheidung reiht sich ein in eine strenge Auslegung der Verantwortlichkeit nach der DSGVO.
Sie verdeutlicht:
Weite Auslegung der „Verantwortlichkeit“: Maßgeblich ist nicht nur die Weisungsgebundenheit, sondern auch die faktische Verfügungsgewalt über Datenverarbeitungssysteme.
Organisationspflichten im Fokus: Behörden (und Unternehmen!) müssen technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO so gestalten, dass Missbrauch möglichst ausgeschlossen wird.
Audit- und Protokollierungspflichten: Regelmäßige Protokollauswertungen und Schulungen der Mitarbeitenden sind unverzichtbar, um Haftungsrisiken zu minimieren.
4. Handlungsempfehlungen für Verantwortliche
Aus der Entscheidung ergeben sich konkrete To-Dos:
Zugriffskonzepte schärfen
Nur berechtigten Personen Zugriff geben, der streng zweckgebunden ist.
Rollen- und Rechtekonzepte regelmäßig überprüfen.
Protokollierung & Monitoring
Jede Abfrage sensibler Daten systemseitig protokollieren.
Regelmäßige Auswertung der Logs durch Datenschutzbeauftragte oder interne Revision.
Sensibilisierung der Mitarbeitenden
Pflichtschulungen zu Datenschutz und Zweckbindung durchführen.
Konsequenzen unzulässiger Abfragen transparent machen.
Incident-Response-Prozesse
Klare Meldewege für Datenschutzverstöße etablieren.
Interne Disziplinarmaßnahmen vorbereiten.
5. Fazit
Das OLG Stuttgart stellt mit deutlicher Klarheit fest:
Ein „Mitarbeiterexzess“ entbindet den Arbeitgeber bzw. die Behörde nicht von der Verantwortlichkeit nach der DSGVO, wenn der Zugriff über die eigene Infrastruktur möglich war.
Für die Praxis bedeutet dies eine noch stärkere Betonung auf präventive Zugriffs- und Kontrollmaßnahmen.
Insbesondere öffentliche Stellen müssen bei hochsensiblen Systemen wie POLAS sicherstellen, dass jede Abfrage sowohl technisch kontrollierbar als auch organisatorisch gerechtfertigt ist.
