DSGVO: Verantwortlichkeit bei privater Datenbankabfrage durch Polizeibeamte

Mit seinem Beschluss vom 25. Februar 2025 (Az. 2 ORbs 16 Ss 336/24) hat das Oberlandesgericht Stuttgart eine bedeutsame Entscheidung zur datenschutzrechtlichen Verantwortlichkeit von Behördenmitarbeitern gefällt, die ohne dienstlichen Anlass abrufen.

Der Fall betrifft einen Polizeibeamten, der sich aus rein persönlichem Interesse Zugang zu Informationen über einen inhaftierten Kollegen verschaffte – ein Verhalten, das zwar auf den ersten Blick als bloße Grenzüberschreitung erscheinen mag, rechtlich jedoch eine vollständige datenschutzrechtliche Verantwortlichkeit nach der begründet. Die Entscheidung setzt ein starkes Signal für den Umgang mit sog. „Mitarbeiterexzessen“ und verdeutlicht, dass auch unterstellte Mitarbeiter im Einzelfall zu datenschutzrechtlich verantwortlichen Personen werden können – mit allen Konsequenzen.

Der Sachverhalt: Abfrage aus Neugier

Dem Betroffenen – einem Polizeibeamten – wurde zur Last gelegt, am frühen Morgen des 2. März 2021 über seinen Dienstrechner auf das polizeiliche Auskunftssystem „POLAS“ zugegriffen zu haben, um personenbezogene Daten eines damaligen Kollegen abzurufen, der sich zu dieser Zeit in befand. Es bestand für diese Abfrage kein dienstlicher Anlass; der Beamte wusste das auch. Das Amtsgericht Stuttgart hatte hierin eine vorsätzliche, unzulässige Datenverarbeitung gesehen und eine Geldbuße in Höhe von 1.500 Euro verhängt. Der Beamte legte Rechtsbeschwerde ein – ohne Erfolg.

Die juristische Einordnung: Verantwortlichkeit trotz Unterstellung?

Im Zentrum der Entscheidung steht die Frage, ob ein einfaches Behördenmitglied – also ein weisungsgebundener Beamter ohne Leitungsfunktion – datenschutzrechtlich als „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO eingestuft werden kann. Der Wortlaut der Vorschrift scheint dies zunächst nicht nahezulegen, da die Entscheidung über Zwecke und Mittel der Datenverarbeitung typischerweise den Behörden selbst – nicht aber ihren Bediensteten – zukommt.

Das OLG Stuttgart folgt jedoch einer differenzierten Betrachtung, die auch vom Europäischen Datenschutzausschuss (EDSA) vertreten wird: Wenn ein Beschäftigter personenbezogene Daten für eigene Zwecke verarbeitet, die sich von denen der Behörde unterscheiden, wird er datenschutzrechtlich zum „Verantwortlichen“. Dies gelte insbesondere bei bewusstem, zweckfremdem Handeln – wie im entschiedenen Fall. Der Beamte habe sich mit seiner Handlung außerhalb des dienstlichen Aufgabenbereichs gestellt und damit eine autonome Entscheidung über Zweck und Mittel der Datenverarbeitung getroffen. Die Einordnung als „Verantwortlicher“ ist damit nicht Ausdruck institutioneller Position, sondern funktionaler Eigenständigkeit in der konkreten Verarbeitungssituation.

Die Entscheidung widerspricht damit der teils vertretenen Ansicht, es bestehe eine Regelungslücke, da unterstellte Mitarbeiter keine „Verantwortlichen“ im Sinne der DSGVO sein könnten. Vielmehr betont das Gericht, dass ein solcher Ausschluss von Sanktionen mit dem Ziel der DSGVO – insbesondere dem Gebot wirksamer und abschreckender Sanktionen nach Art. 83 Abs. 1 – unvereinbar wäre. Der „Mitarbeiterexzess“, also das bewusste Verlassen des dienstlichen Aufgabenkreises, rechtfertigt eine eigenständige Verantwortlichkeit, weil der betreffende Mitarbeiter nicht mehr als unterstellte Person, sondern als eigenständig Handelnder agiert.

Verarbeitung als datenschutzrechtlicher Tatbestand

Ebenso wenig ließ das OLG Zweifel daran, dass das bloße Abfragen von Daten bereits eine „Verarbeitung“ im Sinne von Art. 4 Nr. 2 DSGVO darstellt.

Damit folgt das Gericht sowohl dem ausdrücklichen Wortlaut der Vorschrift als auch der Rechtsprechung des Europäischen Gerichtshofs, der in mehreren Entscheidungen eine weite Auslegung des Verarbeitungsbegriffs vorgenommen hat. Die Tatsache, dass keine Speicherung, Weitergabe oder Nutzung der Daten erfolgte, ändert an der datenschutzrechtlichen Relevanz des bloßen Abrufs nichts. Entscheidend sei allein, dass ein Vorgang mit Bezug zu personenbezogenen Daten automatisiert ausgeführt wird – was hier zweifelsfrei vorlag.

Bemerkenswert ist die Klarstellung des OLG, dass der Beamte gerade nicht in den Genuss einer privilegierenden Auslegung des Verarbeitungsbegriffs kommt. Ein bewusst zweckwidrig handelnder Mitarbeiter darf sich nicht auf den Schutz berufen, der gerade für unterstellte und im Rahmen ihrer Aufgaben agierende Personen vorgesehen ist. Wer absichtlich eigene Ziele verfolgt, unterwirft sich auch der damit verbundenen datenschutzrechtlichen Verantwortung.

Der ordnungswidrigkeitsrechtliche Zugriff

Auf der Grundlage dieser rechtlichen Einordnung war es folgerichtig, dass der Beamte nach Art. 83 Abs. 5 lit. a DSGVO wegen eines vorsätzlichen Verstoßes sanktioniert wurde. Die Höhe der Geldbuße (1.500 Euro) spiegelt die Bewertung als gravierenden Verstoß wider – zugleich aber auch, dass es sich um einen Einzelfall ohne Weiterverwendung der Daten handelte. Die Sanktion ist Ausdruck des Erfordernisses, Datenschutzverstöße auch in scheinbar marginalen Konstellationen effektiv zu ahnden, um das Vertrauen in den Umgang mit sensiblen Informationen zu wahren – insbesondere im hoheitlichen Bereich.

Abschluss

In der Schlussbetrachtung verdeutlicht die Entscheidung des OLG Stuttgart auf eindrückliche Weise, dass das Datenschutzrecht in Fällen bewusster Zweckentfremdung keine institutionellen Schutzhüllen kennt. Wer im öffentlichen Dienst tätig ist, trägt eine besondere Verantwortung im Umgang mit personenbezogenen Daten – und kann sich nicht hinter seiner dienstlichen Rolle verstecken, wenn er aus persönlicher Neugier oder privaten Motiven handelt.

Der rechtliche Zugriff auf das System „POLAS“ war nicht nur ein technischer Vorgang, sondern ein datenschutzrechtlich relevantes Verhalten mit eigenständiger Verantwortlichkeit. Der Beschluss schafft damit nicht nur Rechtsklarheit im Bereich des Datenschutzes, sondern formuliert zugleich ein klares ethisches Signal: Der Zugriff auf Informationen darf im Dienst nicht zur privaten Spielwiese werden – auch nicht im Schutze der Uniform.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.