Unerlaubter Kundenkontakt über privaten Social-Media-Kanal

Auskunftsanspruch und Unterlassungsanspruch gegen Unternehmen nach eigenmächtiger Verarbeitung von Kundendaten auf privatem Account einer Mitarbeiterin – das Landgericht Baden-Baden hat mit Urteil vom 24.08.2023, Az. 3 S 13/23, ein Unternehmen dazu verpflichtet, einer Kundin die Namen ihrer Mitarbeiter zu benennen, die in dem Unternehmen erhobene Kundendaten privat verarbeitet haben. Darüber hinaus ist das Unternehmen dazu verurteilt worden, ihren Mitarbeitern die fortgesetzte Verwendung der personenbezogenen Kundendaten auf ihren privaten Kommunikationsgeräten zu untersagen.

Sachverhalt: Was war geschehen?

Die Kundin hatte im Juni 2022 bei dem beklagten Unternehmen einen Fernseher und eine Wandhalterung erworben. In diesem Zusammenhang wurden ihr Name und ihre Anschrift erfasst. Wenige Tage darauf gab sie die Wandhalterung wieder zurück. Hierbei wurde ihr versehentlich der wesentlich höhere Kaufpreis für den Fernseher erstattet.

Als das Versehen in dem Unternehmen bemerkt wurde, verfasste eine Mitarbeiterin des Unternehmens über ihren privaten Account eines sozialen Netzwerks noch am gleichen Tag eine Nachricht an die Kundin, mit der sie auf das Versehen aufmerksam machte und um Rückmeldung bat. Darüber hinaus erhielt die Kundin ebenfalls noch an diesem Tag über Instagram eine weitere Nachricht, in der sie aufgefordert wurde, sich deshalb mit dem „Chef“ der Instagram-Nutzerin in Verbindung zu setzen.

Mit ihrer gegen das Unternehmen gerichteten Klage verlangte die Kundin Auskunft, an welche Mitarbeiter ihre personenbezogenen Daten herausgegeben oder übermittelt wurden. Darüber hinaus beantragte die Kundin, das beklagte Unternehmen zu verurteilen, den Mitarbeitern die Nutzung der personenbezogenen Daten der Kundin auf privaten Kommunikationsgeräten zu untersagen.

Das erstinstanzlich zuständige Amtsgericht Bühl wies die Klage mit Urteil vom 21.02.2023, Az. 3 C 210/22, ab. Zur Begründung führte es unter anderem aus, der Auskunftsanspruch bestehe nicht, da Mitarbeiter eines Unternehmens keine „Empfänger“ im Sinne von Art. 15 Abs. 1 lit. c) DSGVO, Art. 4 Nr. 9 DSGVO seien. Die begehrte Verurteilung, den Mitarbeiter der Beklagten die Nutzung der personenbezogenen Daten der Kundin auf ihren privaten Kommunikationsgeräten zu untersagen, sei nicht begründet.

Mit ihrer Berufung zum übergeordneten Landgericht Baden-Baden verfolgte die Klägerin ihre erstinstanzlichen Anträge weiter.

Ergebnis: Wie entschied das Landgericht Baden-Baden?

Das Landgericht Baden-Baden gab der Klägerin recht.

Auskunftsanspruch der Kundin

Die Datenschutzgrundverordnung (DSGVO) sehe einen Auskunftsanspruch der Kundin nach Art. 15 Abs. 1 lit. c) DSGVO vor. Dieser erstrecke sich vorliegend auch darauf, ihr die Mitarbeiter der Beklagten als Empfänger im Sinne von Art. 4 Ziff. 9 DSGVO zu benennen, denen gegenüber die personenbezogenen Daten der Klägerin offengelegt worden sind und die diese privat verarbeitet haben, etwa weil sie diese auf einem privaten Account eines sozialen Netzwerks genutzt haben.

Zwar seien Arbeitnehmer eines für die Datenverarbeitung Verantwortlichen grundsätzlich nicht als Empfänger anzusehen. Dies gelte aber nach der Rechtsprechung des Europäischen Gerichtshofs (EuGH, Urteil vom 22.06.2023, C-579/21, Rn. 75) nur dann, wenn sie unter der Aufsicht des Verantwortlichen und im Einklang mit seinen Weisungen die Daten verarbeiteten.

Demgegenüber habe in dem zu entscheidenden Fall zumindest eine Mitarbeiterin der Beklagten zur Klärung von Fragen im Zusammenhang mit dem Kauf eines Fernsehers den Kontakt zu einer Kundin eigenmächtig über ihren privaten Account hergestellt. Für die Kundin sei die Nennung der Mitarbeiter erforderlich, um die Rechtmäßigkeit der Verarbeitung ihrer personenbezogenen Daten zu überprüfen und ggf. weitere nach der DSGVO zustehende Ansprüche gegen die Mitarbeiter geltend machen zu können. Deshalb bestehe vorliegend ein Auskunftsanspruch auf Nennung der Mitarbeiter.

Eine vorzunehmende Abwägung der in Rede stehenden Rechte und Freiheiten der Kundin einerseits und der Mitarbeiter andererseits führe im Hinblick darauf, dass die Nutzung der Kundendaten auf privaten Accounts entgegen den Weisungen und den üblichen Gepflogenheiten des Unternehmens eigenmächtig durch die Mitarbeiterin der Beklagten erfolgt sei, dazu, dass das Interesse der Mitarbeiter, anonym zu bleiben, nicht schutzwürdig sei und gegenüber den Interessen der Kundin auf Geltendmachung ihrer Ansprüche nach der DSGVO zurückzustehen habe.

Unterlassungsanspruch der Kundin

Darüber hinaus stehe der Kundin nach §§ 823 Abs. 2, 1004 BGB analog in Verbindung mit Art. 6 Abs. 1 DSGVO ein Anspruch darauf zu, dass das beklagte Unternehmen ihren Mitarbeitern, die bei der Beklagten erhobene personenbezogene Daten der Klägerin auf privaten Kommunikationsgeräten verwendet haben, die fortgesetzte Verwendung untersage. Die Beklagte sei als mittelbare Handlungsstörerin verantwortlich und verpflichtet, die ihren Weisungen unterliegenden Mitarbeiter der Beklagten dazu anzuhalten, die weisungswidrige fortgesetzte Verwendung der in dem Unternehmen erhobenen personenbezogenen Daten der Kundin zu unterlassen.

Auswirkung auf die Praxis

Gut gemeint, aber schlecht gemacht – „Das Ergebnis zählt“, dachte sich wohl die Mitarbeiterin, als sie die Kundin über ihren privaten Account anschrieb. War sie es vielleicht selbst, die der Kundin versehentlich den wesentlich höheren Kaufpreis für den Fernseher anstelle des Preises der Wandhalterung ausbezahlte? Befürchtete sie, ihr Versehen würde auffliegen, wenn sie die Kundin über die „offiziellen Kanäle“ des Unternehmens anschreiben würde?

Der Volltext des Urteils ist bislang nicht veröffentlicht. Die Pressemitteilung des Landgerichts Baden-Baden klärt hierüber nicht weiter auf.

Das Urteil aus Baden-Baden schlägt die Brücke von Datenschutzrecht zur Compliance im Unternehmen. Private wie auch geschäftliche Daten der Kundschaft haben auf den privaten Geräten der Beschäftigten und in deren privaten Accounts grundsätzlich nichts zu suchen. Dies gilt auch dann, wenn es sich nur um eine einmalige und ganz kurze Ausnahme, womöglich gar im Interesse des Unternehmens handeln soll. Die Datenbanken des Unternehmens sind kein Selbstbedienungsladen.

Aufgabe der Verantwortlichen im Unternehmen, und damit an erster Stelle unmittelbare Aufgabe der Geschäftsführung, ist es, bei den Beschäftigten für die erforderliche Sensibilität im Umgang mit fremden personenbezogenen Daten zu sorgen.

Nicht zuletzt ist gelebter Datenschutz auch immer ein Marketinginstrument.

 

© RA Stefan Loebisch | Kontakt