LG Baden-Baden: Datenschutzverstoß durch private Nutzung von Kundendaten | 24.08.2023 (Az. 3 S 13/23)

Das Landgericht (LG) Baden-Baden hatte sich mit der Frage auseinanderzusetzen, welche Ansprüche Kunden zustehen, wenn sie von Mitarbeitenden eines Unternehmens über deren privaten Social-Media-Kanal kontaktiert werden.

Anlass zur Klageerhebung lieferte der folgende Sachverhalt:

Die Klägerin wurde als Kundin von einer Mitarbeiterin eines Unternehmens über ihren privaten Instagram-Account kontaktiert. Die Mitarbeiterin hatte die personenbezogenen Daten der Kundin aus dem betrieblichen CRM-System abgerufen und auf ihrem privaten Gerät gespeichert. Dies geschah, nachdem die Kundin bei dem besagten Unternehmen einen Fernseher und eine Wandhalterung erworben hatte. Bei der Rückerstattung des Kaufpreises für den Fernseher unterlief ein Fehler, was dazu führte, dass die Mitarbeiterin die Kundin über ihren privaten Instagram-Account kontaktierte und sie darum bat, sich bei ihrem Chef zu melden. Dies führte zu einem Rechtsstreit, in dem die Kundin umfassend Auskunft forderte. Sie verlangte unter anderem Auskunft darüber, wer Zugriff auf ihre persönlichen Daten hatte, einschließlich der Namen der Angestellten.

Das Amtsgericht Bühl wies die Klage als erstinstanzliches Gericht zunächst ab. Zur Begründung führte es aus, dass Art. 15 DSGVO keinen Anspruch auf Auskunft über die Mitarbeiter:innen, an die die Daten der Klägerin herausgegeben wurden, gewähre, weil diese nicht „Empfänger“ im Sinne der Norm seien. Ein – allgemeiner – Anspruch auf Auskunft gemäß § 242 BGB bestehe ebenfalls nicht, da zwischen den Parteien keine besondere rechtliche Beziehung bestehe.

Dieser Begründung trat das LG Baden-Baden in der Berufung entgegen und gab der Kundin recht. Das LG urteilte, dass die Nutzung der Kundendaten auf dem privaten Gerät der Mitarbeiterin gegen die Datenschutz-Grundverordnung verstieß und hieraus ein Auskunftsanspruch der Kundin entstand.

Art. 15 Auskunftsrecht der betroffenen Person
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
a) – b) […]
c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
[…]

Gründe

Das Gericht entschied, dass die Klägerin gemäß Art. 15 Abs. 1 c) DSGVO das Recht auf Auskunft darüber habe, welche Mitarbeiter:innen des Unternehmens ihre persönlichen Daten erhalten und privat verarbeitet haben, einschließlich deren Vor- und Nachnamen.
Obwohl Mitarbeiter:innen, die Daten im Auftrag des Unternehmens und gemäß dessen Anweisungen verarbeiten, normalerweise nicht als “Empfänger” im Sinne von Art. 15 Abs. 1 c) DSGVO gelten, kann dennoch ein Auskunftsanspruch bestehen, wenn diese Informationen notwendig sind, um die Rechtmäßigkeit der Datenverarbeitung zu überprüfen und sicherzustellen, dass die Verarbeitung den Vorschriften der DSGVO und den Anweisungen des Unternehmens entspricht.

Diese Voraussetzungen bejahte das LG vorliegend und ging noch einen Schritt weiter: Der Auskunftsanspruch umfasst auch die Nennung der konkreten Mitarbeitenden, welche die Daten verwendet hatten. Diese Pflicht bestünde zumindest immer dann, wenn die Benennung möglich sei.

Das Gericht erklärte: Wenn die bereitgestellte Auskunft ihrerseits personenbezogene Daten eines Mitarbeitenden enthalte, müssen die jeweiligen Interessen abgewogen werden. Die Interessenabwägung fiel vorliegend zugunsten der Kundin aus. Die Pflicht entfalle nur dann, wenn der Verantwortliche nachweisen kann, dass der Auskunftsanspruch offenkundig unbegründet oder exzessiv ist.

Zusätzlich dazu urteilte das Gericht, dass die Mitarbeiterin verpflichtet war, die personenbezogenen Daten der Klägerin von ihren privaten Kommunikationsgeräten zu löschen und nicht weiter zu verwenden. Dies erfolgt in Übereinstimmung mit den Vorschriften der DSGVO und den Rechten der Kunden und Kundinnen.
„Die Klägerin ist gegenüber ihren Kunden nach Art. 17 DSGVO verpflichtet, personenbezogene Daten, die nicht mehr benötigt werden, deren weiterer Verarbeitung der Kunde widersprochen hat oder die unrechtmäßig verarbeitet werden, zu löschen“ – führte das LG Baden-Baden diesbezüglich aus.

Schließlich stellte das LG klar, dass ein Verstoß gegen diese Pflicht dazu führen kann, dass Unternehmen Schadenersatzansprüchen ihrer Kunden ausgesetzt sind.

Realitätscheck: Bewertung für den Unternehmensalltag

Das vorliegende Gerichtsurteil hebt die entscheidende Bedeutung eines verantwortungsvollen Umgangs mit Kundendaten und des Schutzes der Privatsphäre in unserer zunehmend digitalisierten Welt hervor.

Des Weiteren wird betont, dass die Trennung von geschäftlichen und privaten Daten der Mitarbeiter:innen stets streng beachtet werden sollte, auch und insbesondere bei der Verwendung von privaten Geräten (BYOD).

In Bezug auf die Thematik der Vermischung von Privat und Geschäftlich im Kontext des Trends “Bring Your Own Device” (BYOD) und den damit verbundenen Herausforderungen empfehlen wir einen Blick auf unseren entsprechenden Blogartikel.

Technisch lässt es sich möglicherweise nicht verhindern, dass Mitarbeitende Unternehmensdaten über private Plattformen wie Instagram eingeben. Daher ist es von entscheidender Bedeutung, dass Mitarbeiter:innen sich dieser Verantwortung bewusst sind und entsprechend geschult werden. Unternehmen sollten vor diesem Hintergrund dringend klare Richtlinien und Schulungen für ihre Mitarbeiter:innen implementieren, um sicherzustellen, dass Kundenansprachen stets im Einklang mit den Datenschutzvorschriften und der DSGVO stehen.

Dies nicht nur als rechtliche Pflicht, sondern als wesentlicher Bestandteil jeder Geschäftspraxis, der nicht nur die Privatsphäre der Kunden schützt, sondern auch vor möglichen rechtlichen Konsequenzen absichert.