Durch Urteil vom 24.08.2023 hat das Landgericht (LG) Baden-Baden in der Berufungsinstanz ein Unternehmen (Beklagte) dazu verurteilt, einer Kundin (Klägerin) die Vor- und Nachnamen von dessen Beschäftigten zu benennen, welche erhobene Kundendaten privat verarbeitet haben. Ferner ist das Unternehmen auch noch dazu verurteilt worden, seinen Beschäftigten die fortgesetzte Verwendung der personenbezogenen Daten auf deren privaten Kommunikationsgeräten zu untersagen (siehe Pressemitteilung).

Anlass zur Klageerhebung lieferte der folgende Sachverhalt:

Die Klägerin hatte im Juni 2022 bei der Beklagten einen Fernseher und eine Wandhalterung erworben. Bei der Beklagten sind der Name, die Anschrift und die Mobilfunknummer der Klägerin als Kundendaten gespeichert.

Wenige Tage später gab die Klägerin die o. g. Wandhalterung wieder zurück, wobei ihr versehentlich der wesentlich höhere Kaufpreis für den Fernseher erstattet wurde.

Als das Missgeschick bei der Beklagten bemerkt wurde, verfasste eine Mitarbeiterin über ihren privaten Account eines sozialen Netzwerks (Facebook Messenger) eine Nachricht an die Kundin, mit der sie auf das Versehen aufmerksam machte und um Rückmeldung bat.

Dies geschah seitens der o. g. Mitarbeiterin eigenmächtig und ohne Anordnung durch die Beklagte. Zudem soll die Klägerin auch über Instagram eine Nachricht erhalten haben, in der sie wegen der versehentlichen Gutschrift gebeten wurde, sich mit dem „Chef“ der Instagram-Nutzerin in Verbindung zu setzen.

Darüber hinaus wurden die personenbezogenen Daten der Kundin im Zuge von Kauf und Rückgabe des Fernsehers inkl. Wandhalterung in die Mitarbeiter-WhatsApp-Gruppe des beklagten Unternehmens hochgeladen.

Rechtslage

Zur Begründung hat das LG Baden-Baden das Folgende ausgeführt:

Erstens

Aus Art. 15 Abs. 1 lit. c DSGVO ergibt sich ein Auskunftsanspruch der Klägerin, welcher sich auch darauf erstreckt, dieser die Vor- und Nachnamen derjenigen Beschäftigten der Beklagten zu benennen, welchen die personenbezogenen Daten der Klägerin offengelegt wurden bzw. von diesen privat verarbeitet wurden. Denn bei den vorgenannten Beschäftigten handelt es sich im hier vorliegenden Fall um Empfänger i. S. d. Art. 4 Nr. 9 DSGVO.

Beschäftigte eines Verantwortlichen i. S. d. Art. 4 Nr. 7 DSGVO können in datenschutzrechtlicher Hinsicht dann nicht als „Empfänger“ angesehen werden, wenn diese personenbezogene Daten von Kunden unter Aufsicht des Verantwortlichen und in Einklang mit dessen Weisungen verarbeiten (EuGH, Urteil vom 22.06.2023, C-579/21, Rn. 73).

Allerdings kann ein datenschutzrechtlicher Auskunftsanspruch auch dann bestehen, soweit die Information über die Beschäftigten der Beklagten erforderlich ist, um die Klägerin in die Lage zu versetzen, die Rechtmäßigkeit der Verarbeitung ihrer Daten zu überprüfen bzw. sich insbesondere davon zu überzeugen, dass die Datenverarbeitungen tatsächlich gemäß Art. 29 DSGVO unter Aufsicht des Verantwortlichen sowie im Einklang mit dessen Weisungen durchgeführt wurden (EuGH, Urteil vom 22.06.2023, C-579/21, Rn. 75). Soweit allerdings die Auskunft dabei personenbezogene Daten von Beschäftigten enthält, sind die in Rede stehenden Rechte und Freiheiten gegeneinander abzuwägen und nach Möglichkeit Modalitäten zu wählen, die die Rechte und Freiheiten dieser Personen nicht verletzen, wobei zu berücksichtigen ist, dass diese Erwägungen nicht dazu führen dürfen, dass der betroffenen Person jegliche Auskunft verweigert wird (EuGH, Urteil vom 22.06.2023, C-579/21, Rn. 80).

Im hier vorliegenden Fall hat zumindest eine Mitarbeiterin der Beklagten eigenmächtig zur Klärung von Fragen im Zusammenhang mit dem Kauf eines Fernsehers, unter Verwendung eines privaten Accounts, mit der Klägerin Kontakt aufgenommen.

Soweit Beschäftigte der Beklagten die Daten der Klägerin, entgegen Art. 29 DSGVO, außerhalb von deren Aufsicht verarbeitet haben, indem sie diese gespeichert und für eine Kontaktaufnahme genutzt haben, ist die Datenverarbeitung rechtswidrig, da für diese keine Rechtsgrundlage vorgelegen hat. Da sämtliche Beschäftigte, denen die personenbezogenen Daten der Klägerin offengelegt wurden, ohne entsprechende Weisung der Beklagten gehandelt haben, ist deren Interesse, anonym zu bleiben, nicht schutzwürdig.

Zudem beschränkt sich die Auskunft lediglich auf diejenigen Beschäftigten, welche die personenbezogenen Daten der Klägerin privat verarbeitet haben und die Klägerin darf die durch die Auskunft erlangten Beschäftigtendaten auch nur im Rahmen der DSGVO verarbeiten. Daher ist dieser Eingriff in die Rechte der Beschäftigten verhältnismäßig.

Ferner stehen dem Auskunftsanspruch der Klägerin auch keine Einwendungen entgegen. Insbesondere wäre, nach Auffassung des LG Baden-Baden, auch eine etwaige Mitteilung der Klägerin an die Beklagte, dass sie eine datenschutzrechtliche Klage erheben werde, wenn sie das Fernsehgerät nicht behalten darf, nicht rechtsmissbräuchlich.

Zweitens

Darüber hinaus hat die Klägerin gegen die Beklagte auch einen Anspruch darauf, dass diese den eigenen Beschäftigten, welche die bei der Beklagten erhobenen personenbezogenen Daten der Klägerin auf privaten Kommunikationsgeräten gespeichert und verwendet haben, die Nutzung untersagt, gemäß §§ 823 Abs. 2 BGB, 1004 BGB analog i. V. m. Art. 6 Abs. 1 DSGVO.

Die Nutzung der personenbezogenen Daten der Klägerin auf den privaten Kommunikationsgeräten der Beschäftigten war, mangels einer dafür vorliegenden Rechtsgrundlage, bereits rechtswidrig.

Ferner ist die Beklagte als mittelbare Handlungsstörerin verantwortlich und verpflichtet, die ihren Weisungen unterliegenden Beschäftigten dazu anzuhalten, die weisungswidrige fortgesetzte Verwendung der erhobenen personenbezogenen Daten der Klägerin zu unterlassen. Denn, nach Auffassung des LG Baden-Baden, verursachte die Beklagte die Störung der Rechte der Klägerin, weil sie deren Daten speicherte und ihren Beschäftigten zugänglich machte.

Fazit

Eigenmächtig vorgenommene Verarbeitungen von Kundendaten durch Beschäftigte, unter Verwendung privater Kommunikationsgeräte sowie privater Social Media Accounts, können bei den diesbezüglich betroffenen Unternehmen erhebliche Probleme verursachen. Daher sollten Unternehmen (z. B. durch entsprechende dokumentierte Weisungen und deren Nachhaltung, oder durch Implementierung geeigneter interner Prozesse) sicherstellen, dass bei der Verarbeitung von Kundendaten keine privaten Kommunikationsgeräte oder private Accounts zum Einsatz kommen.