Im alltäglichen Leben hinterlegen wir oftmals unsere privaten Kontaktdaten, wie z. B. die Handynummer, wenn wir zu Bestellungen kontaktiert werden wollen oder die Hinterlegung einer Telefonnummer die Abwicklung im geschäftlichen Kontext erleichtert. Dass diese Daten nicht für den privaten Zweck missbraucht werden dürfen, wird im Tätigkeitsbericht für das Jahr 2021 vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein („ULD“) unter Punkt 5.10 besprochen.
Was war geschehen?
Das ULD erhielt mehrere Beschwerden von betroffenen Personen, die privat kontaktiert worden sind, ohne dass es hierfür einen konkreten Anlass gab. Die im Rahmen von geschäftlichen Kontakten hinterlegten Handynummern wurden in diesen Fällen von einigen Personen dazu benutzt, die Kundinnen oder Kunden privat zu kontaktieren, um um ein näheres Kennenlernen oder persönliches Treffen zu bitten.
Datenschutzrechtliche Einordnung
Grundsätzlich ist für das Verarbeiten von Daten eine Rechtsgrundlage notwendig. Als Rechtsgrundlage können die Regelungen aus Art. 6 DSGVO dienen, aber auch aus spezialgesetzlichen Regelungen können Rechtsgrundlagen für eine Datenverarbeitung hervorgehen (bspw. aus § 26 BDSG). Da die Kontaktaufnahme in den beschriebenen Fällen jedoch nicht zur Abwicklung der Kundenbeziehungen diente, kommt die Rechtsgrundlage zur Erfüllung einer vertraglichen Beziehung gem. Art. 6 Abs. 1 lit. b DSGVO nicht in Betracht. Auch ein überwiegendes Interesse der Mitarbeitenden gemäß Art. 6 Abs. 1 lit. f DSGVO, die Daten für den Privatkontakt zu missbrauchen, liegt nicht vor.
Für die Verarbeitung von Kundendaten gilt wie für alle anderen Verarbeitungen auch, dass die Daten nach Art. 5 Abs. 1 lit. f DSGVO
„in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung […] („Integrität und Vertraulichkeit“)“.
Die Verantwortlichkeit trifft die für die Datenverarbeitung verantwortliche Stelle, vorliegend die arbeitgebenden Unternehmen der Personen, die unrechtmäßig den Kontakt zur Kundschaft aufgenommen haben. Die verantwortlichen Stellen müssen demnach geeignete technische und organisatorische Maßnahmen umsetzen, sodass u. a. die Vertraulichkeit der Daten gewährleistet bleibt.
Auf den konkreten Fall übertragen wären dies Maßnahmen zur Belehrung und Schulung der Mitarbeitenden, wie aus datenschutzrechtlicher Sicht mit den Kundendaten umzugehen ist und welches die möglichen Konsequenzen bei einem Verstoß gegen die festgelegten Maßnahmen sind.
In den Fällen, die hier zur Beschwerde der betroffenen Personen geführt haben, wurden die kontaktaufnehmenden Personen sehr wohl durch die Arbeitgeber bzgl. des Umgangs mit Kundendaten aus datenschutzrechtlicher Sicht belehrt und verstießen wider besseres Wissen gegen die Vorgaben.
Konsequenz
Das ULD stellte eine unrechtmäßige Verarbeitung personenbezogener Daten fest und erteilte einen Hinweis gem. Art. 58 Abs. 1 lit. d DSGVO gegenüber den verantwortlichen Stellen. Die Unternehmen belehrten ihre Mitarbeitenden nochmal über deren Fehlverhalten und sensibilisierten sie erneut für die geltenden Datenschutzvorschriften. Zum Teil erfolgten personalrechtliche Konsequenzen durch die Arbeitgeber. Drastischere Maßnahmen, wie bspw. die Erteilung eines Bußgeldes durch das ULD, sind laut Tätigkeitsbericht nicht erfolgt.
Fazit
Gerade im Alltag werden massenhaft private Kontaktdaten zur Abwicklung von vertraglichen Verhältnissen erhoben. Die zur Abwicklung eines Vertragsverhältnisses erhobenen Daten sind nur für diesen Zweck zu verarbeiten. Der aus der Masse entstehenden Missbrauchsgefahr muss mit Schulungen und Sensibilisierungen der Mitarbeitenden im Umgang mit personenbezogenen Daten begegnet werden und ggf. sollten auch personalrechtliche Schritte eingeleitet werden, wenn Mitarbeitende diese Regeln ignorieren – um Schaden von den Betroffenen, aber auch vom Unternehmen abzuwenden.