Und damit kann gegen diese auch ein Bußgeld wegen einer unzulässigen Verarbeitung von personenbezogenen Daten verhangen werden. So das Gericht in seinem Beschluss vom 25. Februar 2025 (Az.: 2 ORbs 16 Ss 336/24), mit dem ein Bußgeldbescheid gegen einen Polizeibeamten in Höhe von 1.500 EUR rechtskräftig beschieden wurde. Dieser hatte über einen Kollegen, der sich in Untersuchungshaft befand, ohne dienstlichen Anlass im m polizeilichen Informationssystem „POLAS“ Daten abgerufen. Das Gericht sah eine Verantwortlichkeit des Polizisten im Sinne des Art. 4 Nr.7 DSGVO und führt dazu in den Entscheidungsgründen unter anderem aus:
„..Nach Art. 4 Ziff. 7 Hs. 1 DS-GVO ist Verantwortlicher jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Was natürliche Personen anbelangt, besteht Einigkeit darin, dass Mitarbeiter ohne Leitungsfunktion nach dieser Definition keine Verantwortlichen sind (BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, Rn. 87 ff.). In der Diskussion steht jedoch, ob sich unterstellte Mitarbeiter, die bei der Datenverarbeitung ihre Befugnisse überschreiten (sog. „Mitarbeiterexzess“), sich zu Verantwortlichen aufschwingen und damit Adressaten der Haftungs- und Bußgeldvorschriften gem. Art. 82, 83 DS-GVO werden.
Zu Beginn des Inkrafttretens der DS-GVO wurde für die Frage, ob ein entsprechendes Fehlverhalten von Mitarbeitern des öffentlichen Dienstes datenschutzrechtlich sanktioniert werden könne, vereinzelt vertreten, dass durch die die bisherigen Datenschutzvorschriften ersetzende DS-GVO eine Regelungslücke entstanden sei (Landtag von Baden-Württemberg, Drucksache 16/3930, S. 76, Haltung der Landesregierung). Dabei wurde argumentiert, dass weisungsgebundene Personen keine Entscheidungsmacht über Zweck und Mittel der Datenverarbeitung hätten und damit nicht als Verantwortliche gem. Art. 4 Ziff. 7 Hs. 1 DS-GVO angesehen werden könnten (Dieterle, ZD 2020, 135). Darüber hinaus wurde der Umkehrschluss aus Art. 28 Abs. 10 DS-GVO gezogen, wonach der Auftragsverarbeiter bei einem Verstoß gegen die DS-GVO als Verantwortlicher gelte, eine entsprechende Regelung jedoch für sonstige weisungsgebundene Personen fehle. Aus diesem Grund haben einzelne Bundesländer ergänzende Regelungen in ihre Datenschutzgesetze aufgenommen, um eine vermeintliche Regelungslücke zu schließen (vgl. Übersicht bei Dieterle, ZD 2020, 135). Baden-Württemberg gehört jedoch nicht dazu. § 28 LDSG-BW schließt vielmehr Geldbußen gegen öffentliche Stellen und deren Beschäftigte aus. Bei Letzteren gilt dies jedoch für dienstliches Verhalten. Handeln die Beschäftigten dagegen am Arbeitsplatz für private Zwecke, kommt eine ordnungswidrigkeitsrechtliche Ahndung grundsätzlich in Betracht (vgl. Debus/Sicko, Landesdatenschutzgesetz Baden-Württemberg, Rn. 11).
Die rechtliche Behandlung von sog. „Mitarbeiterexzessen“ ist auch auf europäischer Ebene Gegenstand juristischer Erörterungen geworden.
Am 7. Juli 2021 hat der Europäische Datenschutzausschuss (European Data Protection Board) Leitlinien zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ (Guidelines 07/2020 on the concept of controller and processor in the GDPR) erlassen. Dort heißt es in Rn. 88 zu der in Rede stehenden Problematik: „Soweit der Beschäftigte personenbezogene Daten für eigene Zwecke verarbeitet, die sich von denen seines Arbeitgebers unterscheiden, wird er als Verantwortlicher betrachtet und übernimmt alle sich daraus ergebenden Konsequenzen und Pflichten in Bezug auf die Verarbeitung personenbezogener Daten.“ Diese Vorgaben fanden bereits Berücksichtigung in europäischen Gerichtsverfahren (Österreichisches Bundesverwaltungsgericht, Erkenntnis vom 21. Dezember 2021, ZD 2022, 439; Generalanwalt beim EuGH, Schlussantrag 15. Dezember 2022 – C 579/21, BeckRS 2022, 36106 Rn. 65).
Der Senat schließt sich den Leitlinien des Europäischen Datenschutzausschusses ebenfalls an. Erfolgt der Datenschutzverstoß – wie vorliegend – bewusst und gewollt aus arbeits- bzw. dienstfremden Gründen, handelt der Mitarbeiter in diesem Fall nicht weisungswidrig, sondern überhaupt nicht betrieblich bzw. behördlich veranlasst und somit nicht als unterstellte Person (vgl. Bauer/Sura, ZD 2025, 7). Der gezogene Umkehrschluss zu Art. 28 Abs. 10 DS-GVO überzeugt ebenfalls nicht. Denn die eigenständige Verantwortlichkeit als Folge des „Mitarbeiterexzesses“ lässt sich zwanglos unter Art. 4 Nr. 7 DS-GVO subsumieren. Denn in dieser Situation entzieht sich der Mitarbeiter der Aufsicht und Leitung seiner Vorgesetzten und begründet damit eine eigene Entscheidungsmacht über Zweck und Mittel der Datenverarbeitung (a.A. Dieterle, Anmerkung zur Entscheidung des österreichischen Bundesverwaltungsgerichts, ZD 2022, 439) Eine explizite Regelung ist daher nicht erforderlich (vgl. Ambrock, ZD 2020, 492). Im Übrigen würde eine andere – weder vom Wortlaut noch aus sonstigen Gründen gebotenen – Auslegung zu einem Ahndungsdefizit führen und den in Art. 83 Abs. 1 DSGVO formulierten Auftrag, Datenschutzverstöße durch die Verhängung von Geldbußen „wirksam“ und „abschreckend“ zu ahnden, zuwiderlaufen, weil zumindest der vorsätzliche „Mitarbeiterexzess“ den übergeordneten Stellen nicht ohne weiteres zurechenbar sein dürfte (vgl. Bauer/Sura, a.a.O.)…“