Urteil des OLG Stuttgart zum sog. Mitarbeiterexzess

Ein Polizeibeamter nutzte während seiner Dienstzeit ohne dienstlichen Anlass das polizeiliche Informationssystem "POLAS", um Daten über einen Kollegen abzurufen, der sich zu dieser Zeit in Untersuchungshaft befand. Das Amtsgericht Stuttgart verhängte daraufhin eine Geldbuße von 1.500 Euro gegen den Beamten wegen unrechtmäßiger Verarbeitung personenbezogener Daten. Der Beamte legte Rechtsbeschwerde ein, doch das OLG Stuttgart bestätigte die Entscheidung der Vorinstanz und wies die Beschwerde als unbegründet zurück. 

Diese Entscheidung ist deshalb so bedeutsam, weil sie klärt, dass Mitarbeiter, die personenbezogene Daten für private Zwecke nutzen, als eigenständige Verantwortliche gemäß der Datenschutz-Grundverordnung (DSGVO) gelten. Das bedeutet, dass sie persönlich für Verstöße haftbar gemacht werden können. Das OLG Stuttgart folgte hierbei den Leitlinien des Europäischen Datenschutzausschusses, die besagen, dass ein Mitarbeiter, der Daten für eigene Zwecke verarbeitet, sich der Kontrolle und Leitung seines Arbeitgebers entzieht und eigene Entscheidungen über die Zwecke und Mittel der Datenverarbeitung trifft. 

Der Begriff "Mitarbeiterexzess" beschreibt Situationen, in denen Beschäftigte ihre Befugnisse überschreiten und personenbezogene Daten für private oder nicht dienstlich veranlasste Zwecke nutzen. Ein klassisches Beispiel hierfür ist der Zugriff auf Kundendatenbanken, um Informationen über Freunde oder Familienmitglieder zu erhalten, ohne dass ein dienstlicher Grund vorliegt. Solche Handlungen sind nicht nur ein Verstoß gegen interne Unternehmensrichtlinien, sondern auch gegen datenschutzrechtliche Bestimmungen.

Mitarbeiter, die sich eines solchen Exzesses schuldig machen, müssen mit verschiedenen Konsequenzen rechnen:

1. Bußgelder: Wie im vorliegenden Fall können Geldbußen verhängt werden. In einem anderen Fall wurde einem Polizeibeamten ein Bußgeld von 3.500 Euro auferlegt, weil er unbefugt Daten aus dem Melderegister abrief. 
2. Arbeitsrechtliche Maßnahmen: Neben finanziellen Strafen können auch disziplinarische Maßnahmen wie Abmahnungen oder sogar Kündigungen folgen.
3. Strafrechtliche Konsequenzen: In schwerwiegenden Fällen kann es zu strafrechtlichen Ermittlungen kommen, insbesondere wenn der Datenschutzverstoß mit anderen Delikten wie Betrug oder Identitätsdiebstahl verbunden ist.

Arbeitgeber stehen vor der Herausforderung, solche Mitarbeiterexzesse zu verhindern und gleichzeitig sicherzustellen, dass sie selbst nicht für die Handlungen ihrer Mitarbeiter haftbar gemacht werden. Das OLG Stuttgart betonte, dass eine Haftungsbefreiung für den Arbeitgeber möglich ist, wenn alle erforderlichen Maßnahmen ergriffen wurden, um solche Verstöße zu verhindern. 

1. Schulung und Sensibilisierung: Regelmäßige Schulungen zum Datenschutz und den Konsequenzen von Verstößen sind essenziell. Mitarbeiter sollten verstehen, welche Daten sie wie nutzen dürfen und welche Sanktionen bei Missbrauch drohen.
2. Klare Richtlinien und Zugriffsrechte: Es sollten klare Unternehmensrichtlinien zum Umgang mit personenbezogenen Daten etabliert werden. Zudem ist es wichtig, die Zugriffsrechte so zu gestalten, dass Mitarbeiter nur auf die Daten zugreifen können, die sie für ihre Arbeit benötigen.
3. Technische Schutzmaßnahmen: Der Einsatz von technischen Lösungen wie Zugriffskontrollen, Protokollierung von Datenzugriffen und regelmäßigen Audits kann helfen, unautorisierte Datenzugriffe frühzeitig zu erkennen und zu verhindern.
4. Interne Kontrollmechanismen: Regelmäßige Überprüfungen und Audits können sicherstellen, dass die Datenschutzrichtlinien eingehalten werden.
5. Klare Konsequenzen bei Verstößen: Es sollte ein transparentes Verfahren geben, das festlegt, welche Schritte bei Verstößen eingeleitet werden, um sowohl präventiv als auch reaktiv handeln zu können.

Die Entscheidung des OLG Stuttgart verdeutlicht die Ernsthaftigkeit, mit der Datenschutzverstöße behandelt werden, insbesondere wenn Mitarbeiter ihre Befugnisse überschreiten und Daten für private Zwecke nutzen. Für Mitarbeiter bedeutet dies, dass sie sich der möglichen Konsequenzen bewusst sein und verantwortungsvoll mit personenbezogenen Daten umgehen sollten. Arbeitgeber sind angehalten, durch präventive Maßnahmen und klare Richtlinien solche Verstöße zu verhindern und sich selbst vor Haftungsrisiken zu schützen. Ein proaktiver Ansatz im Datenschutzmanagement ist unerlässlich, um das Vertrauen von Kunden und Partnern zu erhalten und rechtliche Konsequenzen zu vermeiden.

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz