Mitarbeiterexzess im Datenschutz: Haftung nur für den Angestellten?

Der Zugriff auf personenbezogene Daten durch Mitarbeiter ohne dienstlichen Anlass stellt Unternehmen vor eine heikle Frage: Wer haftet für den Datenschutzverstoß? Die aktuelle Entscheidung des OLG Stuttgart (Beschl. v. 25.2.2025 – 2 Orbs 16Ss 336/24) bringt neue Klarheit in das juristisch und praktisch relevante Feld des sogenannten Mitarbeiterexzesses. Sie bejaht eine eigenständige Verantwortlichkeit des handelnden Mitarbeiters nach Art. 4 Nr. 7 DSGVO und bestätigt ein gegen diesen verhängtes Bußgeld von 1.500 Euro. Die Entscheidung hat weitreichende Implikationen für Unternehmen, Datenschutzbeauftragte und Strafverteidiger.

Dr. Maik Bunzel, Fachanwalt für Strafrecht, Verkehrsrecht und zertifizierter Berater für Steuerstrafrecht mit Kanzleistandorten in Cottbus, Berlin und Kiel, verteidigt regelmäßig Mandanten, die mit Vorwürfen wegen unbefugter Datenverarbeitung konfrontiert sind. Er warnt davor, die Verantwortung zu schnell allein beim Unternehmen zu suchen.

Der Fall: Exzessiver Zugriff eines Polizeibeamten

Dem Verfahren lag der Fall eines Polizeibeamten zugrunde, der ohne dienstlichen Anlass aus dem internen Informationssystem personenbezogene Daten eines ehemaligen Kollegen abgerufen hatte. Die Daten stammten aus dem Haftvollzug. Der Zugriff erfolgte vom Dienstcomputer aus und unter Ausnutzung dienstlich eingeräumter Zugriffsrechte. Das OLG Stuttgart bestätigte die gegen den Beamten persönlich verhängte Geldbuße mit der Begründung, dass der Mitarbeiter in diesem konkreten Verarbeitungsakt selbst Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO war.

Die zentrale Begründung: Zwar stellte der Dienstherr das System zur Verfügung, über den Zweck des Datenzugriffs entschied jedoch allein der Beamte in eigenem Interesse. Damit überschritt er den dienstlichen Rahmen der Datenverarbeitung.

Dogmatik: Wann ist der Mitarbeiter selbst Verantwortlicher?

Nach Art. 4 Nr. 7 DSGVO ist Verantwortlicher, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet. Regelmäßig wird diese Verantwortung dem Unternehmen oder der Behörde zugewiesen, für die der Mitarbeiter handelt. Doch dieser Grundsatz kennt Ausnahmen.

Entscheidend ist nicht die technische Inhaberschaft des IT-Systems, sondern die konkrete Verarbeitungsaktivität. Verwendet ein Mitarbeiter ein System für private oder sonstige sachfremde Zwecke, überschreitet er seine dienstliche Rolle. In einem solchen Fall kann er selbst Verantwortlicher werden, mit allen sich daraus ergebenden Pflichten und Sanktionsrisiken.

Das OLG Stuttgart folgt damit der herrschenden europarechtlichen Literatur und Rechtsprechung (z. B. EuGH, C-579/21, Pankki-Entscheidung). Dr. Bunzel bestätigt aus seiner Verteidigungspraxis: Die Zuweisung der datenschutzrechtlichen Rolle ist entscheidend für die Beurteilung des Bußgeldrisikos.

Unternehmen weiterhin in der Pflicht

Auch wenn der Mitarbeiter im Einzelfall eigenverantwortlich handelt, entbindet dies das Unternehmen nicht von seinen allgemeinen Pflichten nach Art. 5, 24, 25 und 32 DSGVO. Der Arbeitgeber muss geeignete technische und organisatorische Maßnahmen treffen, um unbefugte Datenzugriffe zu verhindern. Kommt es zu einem Missbrauch, wird auch geprüft, ob die Sicherheitsvorkehrungen des Unternehmens ausreichend waren.

Dr. Bunzel empfiehlt daher, bereits im Vorfeld potenzielle Risikobereiche wie die Zugriffsrechte im HR-, Medizin- oder IT-Bereich zu identifizieren und klare Verfahrensanweisungen sowie Kontrollmechanismen zu etablieren. Nur wer nachweisen kann, angemessen vorgesorgt zu haben, kann sich im Ernstfall entlasten.

Graubereich: Familiäre oder private Motivation?

Nicht jeder private Zugriff führt automatisch zu einer Verantwortlichkeit nach DSGVO. Die Verordnung kennt Ausnahmen, etwa für rein private oder familiäre Datenverarbeitung (Art. 2 Abs. 2 lit. c DSGVO). Diese Ausnahme greift jedoch nur bei eindeutigem Nachweis persönlicher Motive, nicht bei beruflicher oder geschäftlicher Nutzung. Im entschiedenen Fall wurde nicht näher ausgeführt, ob der Beamte aus rein persönlichem Interesse handelte. Bei reiner Neugier oder Sensationslust bleibt die DSGVO anwendbar.

Dr. Bunzel weist darauf hin, dass hier in der Verteidigung im Einzelfall anzusetzen ist: Wenn etwa nachweisbar ein familiäres Interesse an den Daten bestand, kann unter Umständen ein Bußgeld vermieden werden.

Praxisfolgen und Verteidigungsansätze

Die Entscheidung des OLG Stuttgart stellt klar: Mitarbeiter haften für exzessive Datenzugriffe unter Umständen selbst. Für die Verteidigung bedeutet dies, dass genau analysiert werden muss, ob ein dienstlicher Bezug bestand, wer die Zwecke und Mittel der Verarbeitung bestimmt hat und ob die technische Umsetzung dem Stand der Sicherheit entsprach.

Dr. Maik Bunzel, der bundesweit Mandanten im Datenschutzstrafrecht vertritt, nutzt in solchen Fällen regelmäßig Angriffspunkte bei der Unklarheit der internen Verfahrensregelungen, fehlender Schulung der Mitarbeiter oder der unzureichenden Protokollierung von Zugriffen. Oft gelingt es so, eine Buße zumindest abzumildern oder ganz abzuwenden.

Fazit: Datenschutzverstöße sind keine Bagatelle

Mit dem OLG-Beschluss wird deutlich: Datenschutzverstöße durch Mitarbeiter sind kein Kavaliersdelikt. Unternehmen müssen sowohl ihre organisatorischen Strukturen als auch die individuelle Schulung ihrer Angestellten im Blick haben. Zugleich kann der einzelne Mitarbeiter bei exzessivem Verhalten persönlich zur Verantwortung gezogen werden.

Wenn Ihnen oder einem Ihrer Mitarbeiter ein Datenschutzverstoß zur Last gelegt wird, zögern Sie nicht, rechtzeitig Kontakt mit Dr. Maik Bunzel aufzunehmen. Als Fachanwalt für Strafrecht und zertifizierter Berater für Steuerstrafrecht analysiert er Ihre Situation umfassend und entwickelt mit Ihnen eine individuelle Verteidigungsstrategie. Nutzen Sie das Kontaktformular auf strafverteidiger-cottbus.de – im Datenschutzrecht ist Vorsorge besser als Reue.