OLG Stuttgart: Mitarbeiterexzess kann zu persönlichem DSGVO-Bußgeld führen

Veröffentlicht am 4. Juni 2026 von SWinkler

Warum Unternehmen und Beschäftigte dieses Urteil kennen sollten

Datenschutzverstöße werden häufig mit Unternehmen, Behörden oder großen Datenpannen in Verbindung gebracht. Doch was passiert eigentlich, wenn ein einzelner Mitarbeiter seine Zugriffsrechte missbraucht und personenbezogene Daten aus rein privaten Gründen abruft?

Mit Beschluss vom 25. Februar 2025 (Az. 2 ORbs 16 Ss 336/24) hat das Oberlandesgericht Stuttgart eine für die Praxis äußerst bedeutsame Entscheidung getroffen. Das Gericht stellte klar, dass ein sogenannter „Mitarbeiterexzess“ einen eigenständigen Datenschutzverstoß darstellen kann und der betreffende Mitarbeiter selbst als Verantwortlicher im Sinne der DSGVO angesehen werden kann.

Die Entscheidung dürfte weit über den öffentlichen Dienst hinaus Bedeutung haben und betrifft letztlich jedes Unternehmen, dessen Beschäftigte Zugriff auf personenbezogene Daten haben.

Worum ging es im Verfahren?

Dem Verfahren lag ein Vorfall bei der Polizei zugrunde.

Ein Polizeibeamter hatte während seines Dienstes das polizeiliche Informationssystem POLAS genutzt, um Daten über einen ehemaligen Kollegen abzurufen. Der Betroffene wusste dabei, dass für die Abfrage kein dienstlicher Anlass bestand. Die Datenabfrage erfolgte ausschließlich aus persönlichem Interesse.

Das Amtsgericht Stuttgart wertete dieses Verhalten als vorsätzliche rechtswidrige Verarbeitung personenbezogener Daten und verhängte eine Geldbuße in Höhe von 1.500 Euro. Gegen diese Entscheidung legte der Polizeibeamte Rechtsbeschwerde ein.

Das OLG Stuttgart bestätigte jedoch die Entscheidung des Amtsgerichts vollständig.

Was ist ein Mitarbeiterexzess?

Unter einem Mitarbeiterexzess versteht man Situationen, in denen Beschäftigte ihre dienstlichen Zugriffsrechte für private Zwecke missbrauchen.

Typische Beispiele sind:

  • Einsichtnahme in Personalakten von Kollegen
  • Abruf von Kundendaten aus Neugier
  • Zugriff auf Gesundheitsdaten von Bekannten
  • Recherche über Familienangehörige oder Nachbarn
  • Abfragen in behördlichen Datenbanken ohne dienstlichen Anlass

Der Mitarbeiter nutzt dabei zwar technische Zugriffsrechte, handelt jedoch außerhalb seiner dienstlichen Aufgaben und Befugnisse.

Genau diese Konstellation bezeichnet die datenschutzrechtliche Literatur als Mitarbeiterexzess.

Die zentrale Frage: Wer ist in solchen Fällen verantwortlich?

Bislang war umstritten, wie solche Fälle datenschutzrechtlich zu behandeln sind.

Normalerweise gelten Mitarbeiter nicht als „Verantwortliche“ im Sinne der DSGVO. Verantwortlicher ist vielmehr das Unternehmen oder die Behörde, für die die Daten verarbeitet werden.

Das OLG Stuttgart stellt jedoch klar:

Wenn ein Mitarbeiter personenbezogene Daten ausschließlich für eigene Zwecke verarbeitet und sich damit von den Weisungen seines Arbeitgebers löst, handelt er nicht mehr im Rahmen seiner beruflichen Tätigkeit. In diesem Moment begründet er eine eigene Entscheidungsmacht über Zweck und Mittel der Verarbeitung und wird selbst zum Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO.

Das OLG folgt den Leitlinien des Europäischen Datenschutzausschusses

Besonders bemerkenswert ist, dass sich das Gericht ausdrücklich auf die Leitlinien des Europäischen Datenschutzausschusses (EDSA) stützt.

Danach gilt:

Verarbeitet ein Beschäftigter personenbezogene Daten für eigene Zwecke, die sich von den Zwecken seines Arbeitgebers unterscheiden, übernimmt er selbst die Rolle des Verantwortlichen und trägt die datenschutzrechtlichen Konsequenzen seines Handelns.

Das OLG übernimmt diese Sichtweise vollständig.

Bereits die Datenabfrage ist eine Datenverarbeitung

Ein weiterer wichtiger Punkt der Entscheidung betrifft die Definition der Datenverarbeitung.

Der Polizeibeamte hatte argumentiert, dass er die Daten lediglich angesehen habe.

Das OLG weist dieses Argument zurück.

Nach Art. 4 Nr. 2 DSGVO umfasst die Verarbeitung ausdrücklich bereits das Abfragen oder Auslesen personenbezogener Daten. Es kommt daher nicht darauf an, ob die Daten gespeichert, weitergegeben oder anderweitig genutzt wurden. Schon der bloße Abruf genügt für einen Datenschutzverstoß.

Für die Praxis bedeutet dies:

Bereits ein kurzer, neugieriger Blick in ein Kundensystem oder eine Personalakte kann einen vollständigen Datenschutzverstoß darstellen.

Welche Folgen kann ein Mitarbeiterexzess haben?

Die Folgen eines Mitarbeiterexzesses werden häufig unterschätzt.

Für den Mitarbeiter

Je nach Sachverhalt kommen in Betracht:

  • Bußgelder nach der DSGVO
  • arbeitsrechtliche Maßnahmen
  • Abmahnungen
  • Kündigungen
  • Schadensersatzansprüche
  • strafrechtliche Konsequenzen

Das OLG Stuttgart hat nun ausdrücklich bestätigt, dass auch eine persönliche datenschutzrechtliche Ahndung möglich sein kann.

Für das Unternehmen

Auch Unternehmen sollten sich nicht in Sicherheit wiegen.

Denn selbst wenn ein Mitarbeiter aus rein privaten Motiven handelt, müssen Unternehmen nachweisen können, dass sie angemessene technische und organisatorische Maßnahmen getroffen haben.

Hierzu gehören insbesondere:

  • Berechtigungskonzepte
  • Protokollierung von Zugriffen
  • regelmäßige Kontrollen
  • Datenschutzschulungen
  • Sensibilisierung der Beschäftigten
  • konsequente Sanktionierung von Verstößen

Fehlen solche Maßnahmen, kann zusätzlich eine Verantwortlichkeit des Unternehmens in Betracht kommen.

Warum das Urteil für Unternehmen wichtig ist

Die Entscheidung macht deutlich, dass Datenschutz nicht allein ein organisatorisches Thema ist.

Viele Datenschutzverletzungen entstehen nicht durch Hackerangriffe oder technische Fehler, sondern durch menschliches Verhalten.

Gerade in Unternehmen mit umfangreichen Kundendatenbanken, Personalverwaltungssystemen, Gesundheitsdaten oder behördlichen Registern besteht die Gefahr, dass Mitarbeiter ihre Zugriffsrechte missbrauchen.

Das Urteil unterstreicht daher die Bedeutung von Berechtigungskonzepten, Protokollierungen und regelmäßigen Datenschutzschulungen.

Fazit

Mit seinem Beschluss vom 25. Februar 2025 schafft das OLG Stuttgart mehr Klarheit beim Umgang mit sogenannten Mitarbeiterexzessen. Beschäftigte, die personenbezogene Daten aus rein privaten Motiven abrufen, verlassen den Rahmen ihrer dienstlichen Tätigkeit und können selbst als Verantwortliche im Sinne der DSGVO angesehen werden.

Besonders wichtig ist die Feststellung des Gerichts, dass bereits das bloße Abrufen personenbezogener Daten eine Datenverarbeitung darstellt und damit einen Datenschutzverstoß begründen kann.

Für Unternehmen ist die Entscheidung ein weiterer Hinweis darauf, dass technische Schutzmaßnahmen, Zugriffsbeschränkungen und regelmäßige Datenschutzschulungen unverzichtbar sind. Wir unterstützen Unternehmen gern bei der Gestaltung datenschutzkonformer Berechtigungskonzepte, der Durchführung von Datenschutzschulungen sowie bei der Entwicklung wirksamer Compliance- und Kontrollmaßnahmen.

Dieser Beitrag wurde unter Datenschutz, Unternehmen abgelegt und mit , , , , , , , verschlagwortet. Setze ein Lesezeichen für den Permalink.