31 OWi 315 Js 18340/23

Leitsatz: 1. Die bußgeldrechtliche Zuständigkeitskonzentration nach § 25 Abs. 1 LDSG BW i.V.m. § 68 Abs. 1 OWiG hinsichtlich datenschutzrechtlicher Verstöße in Baden-Württemberg beim Amtsgericht Stuttgart ist weder verfassungs- noch europarechtswidrig.(Rn.15) 2. Fragt ein Behördenmitarbeiter von seinem Dienstrechner Daten zu privaten Zwecken ab, so ist dieser Vorgang nach der DSGVO und nicht nach der JI-RL zu beurteilen.(Rn.62) 3. Gem. Art. 4 Ziffer 2 DSGVO stellt bereits das Abrufen oder Abfragen von Daten eine Verarbeitung von Daten im Sinne der DSGVO dar.(Rn.66) 4. Fragt ein Behördenmitarbeiter von seinem Dienstrechner Daten zu privaten Zwecken ab, so ist er hierfür gem. Art. 4 Ziffer 7 DSGVO verantwortlich und die Geldbuße kann gegen ihn verhängt werden (sog. Mitarbeiter-Exzess).(Rn.69) Der Betroffene ist schuldig der vorsätzlichen Ordnungswidrigkeit der rechtswidrigen Verarbeitung personenbezogener Daten. Er wird deshalb zu der Geldbuße von 1.500 € verurteilt. Dem Betroffenen wird nachgelassen, die Geldbuße in monatlichen Raten zu je 300 € zu bezahlen, zahlbar jeweils am 15. eines Monats, beginnend am 15. des auf die Rechtskraft des Urteils folgenden Monats. Der Betroffene trägt die Kosten des Verfahrens. Angewendete Vorschriften: Art. 83 Abs. 5, 5 Abs. 1 lit a), b), 6 Abs. 1 DSGVO 0. Entscheidungskompetenz Das Gericht war zur Entscheidung über den Einspruch gegen den Bußgeldbescheid vom 24.10.2022 befugt. Der Bußgeldbescheid ist wirksam (1.) und das Gericht zuständig (2.). 1. Wirksamkeit des Bußgeldbescheids Der Bußgeldbescheid ist entgegen der Behauptung des Verteidigers wirksam. Insbesondere enthält er einen sowohl in objektiver als auch subjektiver Hinsicht konkreten Sachverhalt. Soweit der Verteidiger hinsichtlich dieses Arguments auf Art. 83 Abs. 2 S. 2 lit. a) der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO) verweist, geht dieser Verweis fehl. Zum einen betrifft diese Norm die Rechtsfolge und nicht den Sachverhalt. Zum anderen setzt sich der Bußgeldbescheid geradezu in vorbildlicher Weise mit den in Art. 83 Abs. 2 S. 2 DSGVO genannten Aspekten hinsichtlich der Bemessung der Geldbuße auseinander. Soweit der Verteidiger meint, der Sachverhalt richte sich nach anderen Normen, so betrifft dies die rechtliche Würdigung (siehe hierzu unter IV.), nicht jedoch die Wirksamkeit des Bußgeldbescheids. 2. Zuständigkeit Zuständig für die Entscheidung war das Amtsgericht Stuttgart (a)), konkret Referat 31 (b)). a) Zuständigkeit des Amtsgerichts Stuttgart Das Amtsgericht Stuttgart ist zuständig (aa)). Insbesondere sind die zugrundeliegenden Normen weder verfassungs- noch europarechtswidrig (bb)). aa) Zuständigkeit Die Zuständigkeit des Amtsgerichts Stuttgart ergibt sich aus § 68 Abs. 1 OWiG, wonach das Amtsgericht am Sitz der Verwaltungsbehörde zuständig ist. Der Bußgeldbescheid wurde vom Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) erlassen, dessen Sitz im Bezirk des Amtsgerichts Stuttgarts liegt. Die Zuständigkeit des LfDI ergibt sich aus Art. 51 Abs. 1 DSGVO i.V.m. § 25 Abs. 1 LDSG BW. bb) Verfassungs- und Europarechtskonformität Entgegen den Ausführungen des Verteidigers ist weder § 25 Abs. 1 LDSG BW noch § 68 Abs. 1 OWiG verfassungs- oder europarechtswidrig. Der Verteidiger meint, die aus den Normen folgende Zuständigkeitskonzentration am Amtsgericht Stuttgart verstoße gegen das Recht auf einen effektiven Rechtsschutz aus Art. 78 und Art. 83 DSGVO sowie aus Art. 47 der Charta der Grundrechte der Europäischen Union, da es eine unzumutbare Erschwerung des Rechtsschutzes sei, dass das Amtsgericht Stuttgart unabhängig vom Tatort und vom Wohnort des Betroffenen zuständig ist. Angesichts der guten Verkehrsanbindung, sowohl mit den öffentlichen Verkehrsmitteln als auch mit dem Auto, ist es jedoch nicht unzumutbar, für einen Gerichtstermin in Stuttgart zu erscheinen. Dies gilt umso mehr, als dass der Betroffene - wie im vorliegenden Verfahren geschehen - die Möglichkeit hat, sich gem. § 73 Abs. 2 OWiG von der Verpflichtung zum persönlichen Erscheinen entbinden zu lassen. Ob eine solche Zuständigkeitskonzentration sinnvoll ist - was angesichts der Möglichkeit zur Spezialisierung naheliegt -, spielt keine Rolle. Verfassungs- oder europarechtswidrig ist sie jedenfalls nicht (vgl. zu einer ähnlichen Konstellation im Wettbewerbsrecht EuGH, Urteil vom 15.07.2021 - C-30/20 = BeckRS 2021, 18344, Rn. 35 f.). Der Verteidiger meint weiter, die Bundesrepublik Deutschland bzw. das Land Baden-Württemberg hätten ihr Ermessen hinsichtlich der Zuständigkeit nicht ausgeübt, da die Regelung des § 68 Abs. 1 OWiG älter ist als die DSGVO. Ob ein solches Ermessen ausgeübt wurde - was angesichts der umfangreichen Diskussionen um die DSGVO naheliegt - spielt jedoch keine Rolle. Da mit § 68 Abs. 1 OWiG bereits eine Vorschrift vorlag, die die gerichtliche Zuständigkeit regelt, bestand weder die Notwendigkeit, noch die Pflicht, die Zuständigkeit (neu) zu regeln und ein entsprechendes Ermessen auszuüben. Gem. Art. 51 Abs. 1 DSGVO musste nur entschieden werden, welche Behörde als Aufsichtsbehörde und dementsprechend auch als Bußgeldbehörde zuständig ist. Dies ist mit der Regelung in Art. 25 Abs. 1 LDSG BW geschehen. Da hieran unmittelbar die gerichtliche Zuständigkeit aus § 68 OWiG anknüpft, ist auch davon auszugehen, dass dies bei der Gesetzgebung mitbedacht wurde. b) Zuständigkeit des Referats 31 Innerhalb des Amtsgerichts Stuttgarts war nach der turnusmäßigen Verteilung (vgl. im Detail Abschnitt IV, B. I. des Geschäftsverteilungsplans des Amtsgerichts Stuttgart) das Referat 31 zuständig. Soweit der Verteidiger rügt, eine Verteilung im Turnus sei verfassungswidrig, kann dem nicht gefolgt werden (vgl. nur BGH, Beschluss vom 16.06.2021 - StB 25 und 26/21 = BeckRS 2021, 18244, Rn. 9 ff. m.w.N.). Der Verweis des Verteidigers auf den Beschluss des BVerfG vom 08.04.1997 - 1 PBvU 1/95 geht ersichtlich fehl, weil es dort um überbesetzte Spruchkörper geht. Das Referat 31 des Amtsgerichts Stuttgarts ist und war jedoch stets nur mit einer Person besetzt. Gleiches gilt für den Verweis des Verteidigers auf den Beschluss des BVerfG vom 20.02.2018 - 2 BvR 2675/17, da es dort um die Umverteilung von Verfahren auf andere Spruchkörper ging. Vorliegend wurde das Verfahren jedoch nicht auf einen anderen Spruchkörper übertragen, sondern war stets bei Referat 31 anhängig. I. persönliche Verhältnisse Der Betroffene ist [...] Jahre alt und deutscher Staatsangehöriger. Er ist Polizeibeamter im Streifendienst beim Polizeirevier [...]. Er ist verheiratet und hat [...] Kinder. Nach Angaben des Verteidigers seien die wirtschaftlichen Verhältnisse des Betroffenen schlecht, ohne dass dies näher konkretisiert wurde. Der Betroffene ist weder vorbestraft, noch bereits datenschutzrechtlich in Erscheinung getreten. II. festgestellter Sachverhalt Der Betroffene fragte am 02.03.2021 um 01:14 Uhr von seinem Dienstrechner auf dem Polizeirevier [...] im polizeilichen Informationssystem POLAS die Daten des Geschädigten [...] ab. Hierzu gab er zunächst dessen Vor- und Nachnamen in der Suchmaske ein, betätigte die Suche und klickte sodann auf dessen Namen. Hierdurch gelangte er auf den Datenbestand des Geschädigten, in dem insbesondere dessen vollständige Personalien, bestehende sowie vergangene Ermittlungsverfahren gegen ihn sowie Informationen zu seiner Inhaftierung ersichtlich sind. Der Geschädigte war ebenfalls Polizeibeamter und verbüßte zum Tatzeitpunkt wegen des Verdachts [...] in Untersuchungshaft. Der Betroffene hatte für die Abfrage - wie er wusste - weder eine dienstliche noch sonstige berechtigte Veranlassung. Es lag auch kein Einverständnis des Geschädigten vor, was der Betroffene ebenfalls wusste. III. Beweiswürdigung 1. Zur Person Die Feststellungen zur Person beruhen auf den glaubhaften, wenn auch spärlichen, Angaben des Verteidigers, die dieser in der Hauptverhandlung für den gem. § 73 Abs. 2 OWiG entbundenen Betroffenen tätigte, auf der verlesenen Auskunft aus dem Bundeszentralregister vom 14.11.2023 sowie auf den Angaben der Vertreterin der Bußgeldbehörde. 2. Zum Sachverhalt Die Feststellungen zum Sachverhalt beruhen auf der durchgeführten Beweisaufnahme, insbesondere auf der Vernehmung der Zeuginnen KHKin W und KOKin O, auf der verlesenen Übersicht der ausgewerteten Protokolldaten (Bl. 4), auf dem verlesenen und in Augenschein genommenen WhatsApp-Chat (Bl. 5a ff.), auf dem verlesenen und in Augenschein genommenen POLAS-Auszug bezüglich des Geschädigten (Bl. 54), auf dem verlesenen und in Augenschein genommenen Beispiels-Auszug aus POLAS (Bl. 57 ff.) sowie auf dem verlesenen und in Augenschein genommenen Schichtplan des Polizeireviers [...] vom Tattag (Anlage 5 zum Hauptverhandlungsprotokoll vom 22.11.2023). Der Betroffene hat zum Sachverhalt keine Angaben gemacht. Das Gericht ist jedoch nach der durchgeführten Beweisaufnahme davon überzeugt, dass der Betroffene die Abfrage durchführte (a)), dass hierzu kein berechtigter Anlass bestand (b)) und dass der Betroffene vorsätzlich handelte (c)). Den Beweisanträgen des Verteidigers musste nicht nachgegangen werden (d)). a) Abfrage durch den Betroffenen Dass der Betroffene die Abfrage durchführte, ergibt sich insbesondere aus den Zeugenaussagen, aus der verlesenen Übersicht der ausgewerteten Protokolldaten sowie aus dem verlesenen und in Augenschein genommenen Schichtplan. Aus den Aussagen der KHKin W und KOKin O sowie aus der verlesenen Übersicht der ausgewerteten Protokolldaten ergibt sich, dass am 02.03.2021 um 01:14 Uhr mit der POLAS-Zugangskennung „[...] und der IP-Adresse [...] eine POLAS-Abfrage mit den Daten des Geschädigten durchgeführt wurde. Die Zeugin KHKin W schilderte, dass sie die Auswertung der POLAS-Protokolldaten in Auftrag gegeben hatte, da der Verdacht bestand, dass mehrere Polizeibeamte ohne dienstlichen Anlass POLAS-Abfragen mit den Daten des Geschädigten getätigt hatten. Dieser Verdacht beruhte darauf, dass in einem WhatsApp-Chat von Polizeibeamten über das Strafverfahren gegen den Geschädigten gesprochen wurde und hierin angedeutet wurde, dass einige Teilnehmer des Chats entsprechende POLAS-Abfragen getätigt hatten. Letzteres wird durch den verlesenen und in Augenschein genommenen Chatverlauf bestätigt. Ob der Betroffene Mitglied der Chatgruppe war - was der Verteidiger bestreitet -, ist unerheblich, da der Chatverlauf für den eigentlichen Tatnachweis keine Rolle spielt, sondern lediglich der Anlass für die späteren Ermittlungen war. Die Zeugin schilderte weiter, dass ihr dann vom Präsidium Technik, Logistik, Service der Polizei die ausgewerteten Protokolldaten zur Verfügung gestellt wurden, aus denen sich ergibt, mit welcher Zugangskennung und welcher IP-Adresse zu welcher Uhrzeit POLAS-Abfragen mit den Daten des Geschädigten getätigt wurden. Hieraus ergaben sich insbesondere die oben genannten Daten, die auf den Betroffenen schließen lassen. Die Tabelle habe noch weitere Daten enthalten, die jedoch als Verschlusssache - Nur für den Dienstgebrauch gekennzeichnet sind, sodass die Zeugin hierzu keine weiteren Angaben machen durfte. Nach Angaben der Zeugin spielen die weiteren Daten jedoch keine relevante Rolle für den Tatvorwurf. Auch nach Ansicht des Gerichts sind die oben genannten Daten ausreichend, um den Tatvorwurf zu prüfen. Welche Relevanz weitere Daten haben sollten, ist weder vorgetragen noch sonst ersichtlich. Daher besteht weder hinsichtlich der Daten noch der Zeugenaussage ein Beweisverwertungsverbot. Auch der Verteidiger hat weder die Beiziehung der weiteren Daten noch die Erteilung einer (erweiterten) Aussagegenehmigung beantragt. Beides ist aus den genannten Gründen für die Prüfung des Tatvorwurfs auch nicht von Bedeutung. Die Zeugin schilderte zudem, dass die IP-Adresse einem festen Standort zugeteilt ist. Im vorliegenden Fall sei dies der Standort das Polizeirevier [...] gewesen. Die Zeuginnen KHKin W und KOKin O erklärten beide, dass die Zugangskennung jeweils aus [...] Buchstaben, nämlich dem Nachnamen und ggf. den ersten Buchstaben des Vornamens, bestehe. Jede Zugangskennung sei nur einmal vergeben. Die Zeugin KHKin W schilderte, dass sie über Outlook überprüft habe, dass die o.g. Zugangskennung dem Betroffenen zuzuordnen ist. Die Zeugin KOKin O erklärte darüber hinaus, dass es zwar noch einen weiteren Polizeibeamten namens [...] gibt, dieser jedoch einen anderen Vornamen und daher auch eine andere Zugangskennung habe. Es steht somit fest, dass die POLAS-Abfrage bezüglich des Geschädigten am 02.03.2021 um 01:14 Uhr auf einem Dienstrechner des Polizeireviers [...] getätigt wurde. Hierbei wurde die Zugangskennung des Betroffenen verwendet. Das Gericht ist auch davon überzeugt, dass es auch der Betroffene war, der diese Abfrage tätigte. Wie sich aus der Aussage der Zeugin KOKin O sowie dem verlesenen und in Augenschein genommenen Schichtplan ergibt, arbeitete der Betroffene zum Tatzeitpunkt und befand sich im Innendienst. Er hatte also die Möglichkeit, die Abfrage durchzuführen. Zudem hatte niemand anderes die Möglichkeit, die Abfrage mit den Daten des Betroffenen durchzuführen. Die Zeugin KHKin W schilderte, dass jeder Windows-Benutzer eine eigene Kennung und ein eigenes Passwort hat, das der jeweilige Benutzer selbst vergeben muss. Ebenso hat jeder Benutzer von POLAS eine eigene Zugangskennung und ein selbst vergebenes Passwort. Die Passwörter verfügen über einen hohen Sicherheitsstandard, da mindestens [...] verwendet werden müssen. Mit den Zugangsdaten des Betroffenen konnte daher nur der Betroffene selbst die Abfrage durchführen. Es gibt keinen Grund, an der Richtigkeit der Aussagen der Zeuginnen zu zweifeln, die den Sachverhalt neutral, sachlich und ohne Belastungseifer schilderten und deren Aussage sowohl durch die jeweils andere Aussage, als auch durch die weiteren objektiven Beweismittel bestätigt wurden. b) Fehlende Berechtigung Dass der Betroffene weder einen dienstlichen noch sonstigen berechtigten Anlass für die Abfrage hatte und dass keine Einwilligung des Geschädigten vorlag, ergibt sich insbesondere aus den Aussagen der Zeugin KHKin W. Der Verteidiger meinte in der Hauptverhandlung, ein Anlass könnte gewesen sein, dass der Betroffene und der Geschädigte einen gemeinsamen Einsatz gehabt haben könnten und dass sich der Betroffene über den Geschädigten hätte informiert haben können, ob von diesem eventuell Risiken für den Einsatz ausgehen. Dies kann jedoch ausgeschlossen werden, da der Geschädigte zum Zeitpunkt der Abfrage Untersuchungshaft verbüßte. Der einzig denkbare berechtigte Anlass wäre, dass der Betroffene an den Ermittlungen gegen den Geschädigten beteiligt gewesen wäre. Dies kann jedoch nach dem Ergebnis der Beweisaufnahme ausgeschlossen werden. Nach der Aussage der KHKin W betraf das Ermittlungsverfahren gegen den Geschädigten [...]. Die Ermittlungen wurden hierbei von der Kriminalpolizei durchgeführt. Das Polizeirevier [...] war nach Angaben der Zeugin nicht in die Ermittlungen eingebunden. Somit ist ausgeschlossen, dass der Betroffene die Abfrage in POLAS in diesem Zusammenhang tätigte. Es kann auch ausgeschlossen werden, dass der Betroffene im Rahmen seiner Tätigkeit als Polizist im Streifendienst eine (Neu-)Anzeige aufnahm, die diesen Komplex betrifft und aufgrund derer er Anlass hatte, die Daten des Geschädigten abzufragen. Die Zeugin KHKin W schilderte, dass der hier Geschädigte bei seinen [...]taten nicht seine eigenen Daten angegeben hatte, sondern stets die von Dritten oder Fake-Personalien. Hätte der Betroffene eine (Neu-)Anzeige in diesem Komplex aufgenommen - was um die Uhrzeit bereits sehr unwahrscheinlich ist -, so wäre hier der Name des hier Geschädigten nicht aufgetaucht, sodass der Betroffene weder einen Grund, noch die Möglichkeit gehabt hätte, nach dem hier Geschädigten als Täter in POLAS zu recherchieren. Auch hier gibt es keinen Grund, an den Angaben der Zeugin zu zweifeln. Das Gericht ist daher davon überzeugt, dass der Betroffene keinen dienstlichen oder sonstigen berechtigten Anlass für die POLAS-Abfrage hatte und dass auch keine Einwilligung des Geschädigten vorlag. Der Betroffen handelte vielmehr rein aus privatem Interesse. Zudem ist eine entsprechende Berechtigung weder vorgetragen noch sonst ersichtlich. Das Gericht ist weder gehalten, noch darf es jeder theoretischen Möglichkeit nachzugehen, wenn hierfür keinerlei konkreter Anhaltspunkt besteht (vgl. BGH, Urteil vom 13.12.2012 - 4 StR 33/12 = BeckRS 2013, 984, Rn. 16, 28; BGH, Urteil vom 02.09.2009 - 2 StR 229/09 = BeckRS 2009, 26568, Rn. 11; BGH, Urteil vom 02.10.1996 - 2 StR 332/96 = BeckRS 1996, 7336 = juris, Rn. 16 f.; BGH, Urteil vom 06.11.1987 - 2 StR 390/87 = BeckRS 1987, 31095017 = juris, Rn. 16 m.w.N.; BGH, Urteil vom 27.10.1969 - 2 StR 636/68 = BeckRS 1969, 106800 = juris, Rn. 46). c) Vorsatz Der Betroffene handelte sowohl hinsichtlich der Abfrage als auch hinsichtlich seiner fehlenden Berechtigung vorsätzlich. Dass der Betroffene versehentlich die Daten des Geschädigten eingab, ist ausgeschlossen. Dies wird zudem dadurch bestätigt, dass nach der Aussage der Zeugin KHKin W die Abfrage erst protokolliert wird, wenn der Datensatz nach der Suche angeklickt wird. Der Betroffene wusste auch, dass er mangels dienstlichen Anlasses nicht dazu berechtigt war, die Anfrage durchzuführen. Dies wird zudem dadurch bestätigt, dass nach den Angaben der Zeugin KHKin W eine POLAS-Abfrage zu privaten Zwecken explizit verboten ist. Hierzu gibt es eine entsprechende Dienstvorschrift, über die alle Polizeibeamten einmal jährlich belehrt werden und deren Kenntnisnahme sie mittels Unterschrift bestätigen müssen. Auch hier besteht kein Grund, an der Richtigkeit der Zeugenaussage zu zweifeln. d) Anträge des Verteidigers Soweit der Verteidiger in der Hauptverhandlung die Vernehmung einer Vielzahl von Zeugen beantragte, um nachzuweisen, dass der Betroffene nicht Mitglied der genannten Chatgruppe oder der entsprechenden Ausbildungsklasse war, konnten diese Beweisanträge abgelehnt werden, da diese Tatsachen für die Entscheidung ohne Bedeutung sind. Gleiches gilt für die Frage, ob alle Mitglieder der genannten Chatgruppe in der gleichen Ausbildungsklasse waren. Die Tat wurde durch die Abfrage in POLAS begangen. Ob der Betroffene Mitglied in der Chatgruppe oder der entsprechenden Ausbildungsklasse war, spielt hierfür keine Rolle. Der konkrete Tatverdacht gegen den Betroffenen beruht zudem auf der Auswertung der Protokolldaten, aus denen sich ergibt, dass der Betroffene die Abfrage getätigt hatte. Auch dies ist unabhängig von den entsprechenden Mitgliedschaften. Hierbei ist insbesondere zu berücksichtigen, dass die Polizei bei ihren Ermittlungen nicht anlasslos beim Betroffenen selbst überprüfte, wen dieser in POLAS abgefragt hat, sondern allgemein im POLAS überprüfte, wer den Geschädigten abgefragt hatte. Erst hierdurch fiel der Tatverdacht auf den Betroffenen und erst hiernach wurden weitere Ermittlungen gegen den Betroffenen getätigt. IV. rechtliche Würdigung Der Betroffene ist daher der vorsätzlichen Ordnungswidrigkeit der rechtswidrigen Verarbeitung personenbezogener Daten gem. Art. 83 Abs. 5, 5 Abs. 1 lit a), b), 6 Abs. 1 DSGVO schuldig. Der Sachverhalt richtet sich nach der DSGVO (1.). Es liegt ein bußgeldbewehrter Verstoß gegen die DSGVO vor (2.). Der Betroffene ist hierfür verantwortlich und somit richtiger Adressat der Geldbuße (3.). 1. Anwendbarkeit der DSGVO Der geschilderte Sachverhalt unterfällt der DSGVO und nicht der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (JI-RL). Nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 JI-RL gilt die JI-RL für die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit. Der Betroffene handelte hier jedoch, wie unter III. 2. b) dargelegt, nicht aus dienstlichem Anlass zu einem der genannten Zwecke, sondern nur aus privatem Interesse. Damit handelte er nicht als Behörde, die der JI-RL unterfallen würde, sondern als Privatperson, die nicht der JI-RL unterfallen kann. Der Anwendungsbereich der JI-RL ist daher nicht eröffnet. Hingegen ist der Anwendungsbereich des Art. 2 Abs. 1 DSGVO eröffnet, da der Betroffene personenbezogene Daten, die in einem Dateisystem gespeichert sind, verarbeitete. Insbesondere stellt das Abfragen der Daten gem. Art. 4 Ziff. 2 DSGVO bereits eine Verarbeitung von Daten dar. Spiegelbildlich zu der o.g. Argumentation ist der Anwendungsbereich der DSGVO nicht gem. Art. 2 Abs. 2 lit. d) DSGVO ausgeschlossen. 2. Bußgeldbewehrter Verstoß Der Betroffene verarbeitete somit vorsätzlich personenbezogene Daten rechtswidrig. Durch das Abrufen (vgl. Art. 4 Ziff. 2 DSGVO) der Daten ohne berechtigten Anlass wurde gegen die Rechtmäßigkeit der Datenverarbeitung (Art. 5 Abs. 1 lit. a) DSGVO) sowie die Zweckbindung (Art. 5 Abs. 1 lit. b) DSGVO) verstoßen, da keine der in Art. 6 Abs. 1 DSGVO genannten Bedingungen (z.B. Einwilligung oder Wahrnehmung einer Aufgabe im öffentlichen Interesse) erfüllt sind. Dies stellt eine bußgeldbewehrte Ordnungswidrigkeit im Sinne des Art. 83 Abs. 1, Abs. 2, Abs. 5 lit. a) DSGVO dar. Soweit das LG Freiburg (Urteil vom 03.12.2018 - 17 Ns 230 Js 24749/16 = BeckRS 2018, 49828, Rn. 53 = juris, Rn. 80) meint, dass das bloße Abrufen ohne anschließende Weitergabe nicht ordnungswidrig ist, kann dem nicht gefolgt werden. Insbesondere ergibt sich aus Art. 4 Ziff. 2 DSGVO, dass bereits das Abrufen eine Verarbeitung von Daten im Sinne der DSGVO ist, das somit anhand der Art. 5, 6 und 83 DSGVO zu messen ist. Diesbezüglich führt auch der Verweis des LG Freiburg (a.a.O.) auf die gegenteilige Auffassung der Landesregierung nicht weiter. Da es sich bei der DSGVO nicht um Landesrecht handelt, ist die genannte Auffassung der Landesregierung lediglich eine Rechtsansicht, die durch die genannten Argumente widerlegt ist. 3. Verantwortlichkeit des Betroffenen Ob ein Mitarbeiter eine Behörde als Verantwortlicher angesehen werden kann, und ob gegen ihn eine Geldbuße verhängt werden kann, ist umstritten. Die besseren Argumente sprechen jedoch dafür, dass dies der Fall ist. Wer Verantwortlicher ist, richtet sich nach Art. 4 Ziff. 7 DSGVO. Hiernach ist Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Nach dem Wortlaut kann der Betroffene daher Verantwortlicher sein. Er ist eine natürliche Person. Durch seine Abfrage der Daten des Geschädigten hat der Betroffene sowohl über den Zweck (hier: rein private Zwecke) als auch über das Mittel (hier: Abrufen in POLAS) der Verarbeitung (vgl. hierzu Art. 4 Ziff. 2 DSGVO) von personenbezogenen Daten entschieden. Hierdurch wird er selbst zum Verantwortlichen (insoweit zutreffend LG Freiburg, Urteil vom 03.12.2018 - 17 Ns 230 Js 24749/16 = BeckRS 2018, 49828, Rn. 52 m.w.N. = juris, Rn. 79). Umgekehrt hat die Behörde keinen Einfluss darauf, zu welchem Zweck und mit welchem Mittel der Mitarbeiter Daten aus privatem Interesse abfragt und verarbeitet. Die Behörde kann in diesem Fall daher nicht Verantwortlicher im Sinne des Art. 4 Ziff. 7 DSGVO sein (so zu Recht Ambrock, ZD 2020, 492 (494)). Soweit der Verteidiger vorträgt, der Betroffene könne kein Verantwortlicher sein, da er keine „Stelle“ sei, übersieht er, dass in Art. 4 Ziff. 7 DSGVO die natürliche Person ebenso als Adressat genannt ist. In systematischer Hinsicht könnte man - auch aufgrund der öffentlichen Diskussion bei Erlass und Inkrafttreten der DSGVO - zunächst meinen, die DSGVO richte sich nur an Unternehmen. Dies ist jedoch wie gezeigt bereits aufgrund des eindeutigen Wortlauts des Art. 4 Ziff. 7 DSGVO nicht richtig. Auch die Differenzierung in Art. 83 Abs. 5 DSGVO zwischen Unternehmen und Nicht-Unternehmen zeigt, dass sich die DSGVO auch an natürliche Personen richtet. Im Hinblick auf Auskunftsansprüche nach Art. 15 Abs. 1 DSGVO hat der EuGH (Urteil vom 22.06.2023 - C-579/21 = BeckRS 2023, 14515, Rn. 73) angedeutet, dass sich dieser Anspruch jedenfalls dann auch gegen den Arbeitnehmer richten kann, wenn er entgegen der Weisungen seines Arbeitgebers gehandelt hat. Daraus folgt, dass ein sog. Mitarbeiterexzess, bei dem der Arbeitnehmer als Verantwortlicher gilt, im Rahmen der DSGVO grundsätzlich anerkannt ist (vgl. auch die entsprechenden Urteilsanmerkungen von Brandt, NJW 2023, 2555 (2560) und Reuters, IWRZ 2023, 230 (233 f.)). Es ist kein Grund ersichtlich, warum dies nur im Rahmen von Art. 15 Abs. 1 DSGVO der gelten soll und nicht auch bei der hier vorliegenden Konstellation nach den Art. 83, 5 und 6 DSGVO. Auch im vorliegenden Fall handelte der Betroffene aus rein privatem Interesse entgegen den Weisungen und Vorschriften seines Dienstherren. Sinn und Zweck der DSGVO ist ein möglichst umfassender Schutz personenbezogener Daten (vgl. Art. 1 DSGVO sowie Erwägungsgründe 1 und 2 zur DSGVO). Ein entsprechend hohes Schutzniveau kann im Ausgangspunkt unabhängig davon erreicht werden, ob die Behörde oder der Mitarbeiter als Verantwortlicher angesehen wird. Von der Behörde bzw. dem Arbeitgeber wird daher verlangt, dass er Vorkehrungen für den Schutz und gegen den Missbrauch personenbezogener Daten trifft (vgl. auch Erwägungsgrund 74 zur DSGVO). Mehr als das kann aber auch nicht verlangt werden, da ein hundertprozentiger Schutz nie erreicht werden kann. Dementsprechend hat der EuGH (Urteil vom 05.12.2023 - C-807/21 = BeckRS 2023, 34616, Rn. 61 ff.) jüngst entschieden, dass eine Geldbuße nach der DSGVO gegen ein Unternehmen nur verhängt werden kann, wenn das Unternehmen selbst hinsichtlich des Verstoßes vorsätzlich oder fahrlässig gehandelt hat. Diese Rechtsprechung ist auf Behörden übertragbar, da kein Grund ersichtlich ist, warum Behörden im Gegensatz zu Unternehmen verschuldensunabhängig haften sollten. Im vorliegenden Fall hat die (Polizei-)Behörde alles in ihrer Macht Stehende getan, um Datenschutzverstöße möglichst zu verhindern. Die Polizeibeamten werden jährlich hinsichtlich den datenschutzrechtlichen Bestimmungen geschult und die Dienstrechner sind über die jeweiligen Windows- und POLAS-Kennungen samt den dazugehörigen Passwörtern doppelt gesichert. Der (Polizei-)Behörde kann somit weder Vorsatz noch Fahrlässigkeit hinsichtlich des Verstoßes vorgeworfen werden, sodass gegen sie nach der genannten Rechtsprechung des EuGH keine Geldbuße verhängt werden kann und sie somit nicht Verantwortliche ist. Ein hohes Schutzniveau (auch im Hinblick auf andere Ansprüche nach der DSGVO, z.B. die Auskunftsansprüche nach Art. 15 Abs. 1 DSGVO) kann daher nur gewahrt werden, wenn in diesen Fällen des sog. Mitarbeiterexzesses der Mitarbeiter als Verantwortlicher angesehen wird (so auch ÖBVwG, Erkenntnis vom 21.12.2021 - W258 2238615-1/16E = BeckRS 2021, 50637, Rn. 22 ff. = ZD 2022, 439, mit zustimmender Anmerkung Dieterle; Ambrock, ZD 2020, 492 (493 ff.); im Ergebnis ebenso, jeweils ohne nähere Begründung: Franzen in: Franzen/Gallner/Oetker, Kommentar zum europäischen Arbeitsrecht, 5. Auflage 2024, Art. 4 DSGVO, Rn. 12a; Drewes in: Besgen, Rechtshandbuch Leitende Angestellte, Geschäftsführer und Vorstände, 2. Auflage 2023, Teil 6 Compliance und Datenschutz, Rn. 216). Nach alldem war der Betroffene Verantwortlicher im Sinne des Art. 4 Ziff. 7 DSGVO, sodass sich Bußgeldbescheid und Geldbuße zu Recht gegen ihn richten. Angesichts dieser Argumentation sowie der zitierten Entscheidungen des EuGH sah sich das Gericht nicht dazu veranlasst, die Rechtsfrage dem EuGH gem. Art. 267 AEUV vorzulegen, zumal es als Instanzgericht hierzu nicht verpflichtet ist. V. Bemessung der Geldbuße Gegen den Betroffenen wird eine Geldbuße von 1.500 EUR festgesetzt. Hierbei wird der Bußgeldrahmen des Art. 83 Abs. 5 DSGVO zugrunde gelegt, der eine Geldbuße von bis zu 20.000.000 EUR vorsieht. Hierbei wurde berücksichtigt, dass die Verhängung der Geldbuße gem. Art. 83 Abs. 1 DSGVO wirksam, verhältnismäßig und abschreckend sein muss. Weiter wurden die in Art. 83 Abs. 2 S. 2 DSGVO genannten Kriterien berücksichtigen. Diese Vorschrift ist vorrangig gegenüber § 17 OWiG, der jedoch aufgrund der gleichgelagerten Kriterien zum selben Ergebnis führen würde. Bei der Bemessung der Geldbuße wurde zu Gunsten des Betroffenen berücksichtigt, dass dieser nicht vorbestraft ist und auch sonst noch nicht datenschutzrechtlich in Erscheinung getreten ist. Es handelt sich um eine einmalige Abfrage der Daten einer einzigen Person. Zudem hat er die erlangten Informationen nicht weitergegeben. Somit ist dem Geschädigten weder ein wirtschaftlicher Nachteil entstanden, noch dem Betroffenen ein wirtschaftlicher Vorteil. Zu Gunsten des Betroffenen wird auch berücksichtigt, dass die Tat inzwischen über 2,5 Jahre zurückliegt. Mindernd wirkt sich auch aus, dass dem Betroffenen disziplinarrechtliche Maßnahmen drohen. Bei der Bemessung der Geldbuße wurde auch berücksichtigt, dass der Betroffene als Polizeibeamter zwar nicht unbedingt gut, aber zumindest auskömmlich verdient. Zudem wurde berücksichtigt, dass er unterhaltspflichtig gegenüber […] Kindern und seiner Ehefrau ist. Inwieweit die wirtschaftliche Situation des Betroffenen darüber hinaus besonders schlecht sein soll, ist weder vorgetragen noch sonst ersichtlich. Zu seinen Lasten wurde berücksichtigt, dass es sich bei den abgefragten Daten, insbesondere denen zur Inhaftierung, um hochsensible personenbezogene Daten handelt. Die besondere Schutzwürdigkeit dieser Daten wird auch in Art. 10 DSGVO deutlich. Erhöhend wirkt sich zudem aus, dass der Betroffene vorsätzlich gehandelt hat. Dem Betroffenen konnte gem. § 18 S. 1 OWiG eine monatliche Ratenzahlung von 300 EUR gewährt werden. VI. Kosten Die Entscheidung über die Kosten folgt aus § 465 StPO i.V.m. § 46 Abs. 1 OWiG.