Online-Weiterbildung
Präsenz-Weiterbildung
Produkte
Themen
Dashöfer

Behandlung von Kundendaten durch Mitarbeiter

18.09.2023  — Rolf Becker.  Quelle: Verlag Dashöfer GmbH.

Kundendaten in WhatsApp-Gruppen und Kommunikation mit Kunden über Social Media? Das Landgericht Baden-Baden hatte in einem interessanten Fall Gelegenheit, klare Worte zu entsprechenden Verarbeitungen zu finden. Rechtsanwalt Rolf Becker, Partner bei Wienke & Becker, erläutert die Konsequenzen.

Kontakt über Facebook-Messenger wegen Rückerstattung

Eine Kundin hatte bei einem Elektrofachhandel versehentlich nach einer Teilrückgabe gekaufter Gegenstände (TV Gerät und zurückgegebene Wandhalterung) eine zu hohe Erstattung des Kaufpreises erhalten. Bei der Händlerin war die Mobilfunknummer der Kundin als Kundendatum gespeichert. Nachdem der Fehler bei der Händlerin aufgefallen war, kontaktierte deren Mitarbeiterin X(I)X die Kundin noch am gleichen Tag über ihren Facebook-Messenger. Dabei nutzte die Mitarbeiterin ihren privaten Account, was weder bei der Händlerin Usus war, noch von ihr angeordnet. Zudem erhielt die Kundin auf Instagram eine Nachricht einer Nutzerin mit dem Namen „X(2) X“, in der sie wegen der versehentlichen Gutschrift gebeten wurde, Kontakt zum Chef der Nutzerin aufzunehmen.
Ferner wurde die Kundin mit postalischem Schreiben aufgefordert, ihr Fernsehgerät zu bezahlen, wobei die Gutschrift für die Wandhalterung verrechnet werde.
Auch per WhatsApp-Messenger wurde die Kundin nach ihren Angaben kontaktiert. In der Filiale der Händlerin gibt es eine Mitarbeitergruppe beim Messenger Dienst WhatsApp.

Anzeige

Online-Seminar: ViDA – Digitale Rechnungen & E-Invoicing

E-Rechnungen werden zur Pflicht

  • Einführung eines neue Meldesystems ans Finanzamt
  • Umsetzung und Anforderungen an die Buchhaltung
  • Umsetzung im Ihrem Unternehmen – was müssen Sie tun?
  • Hilfreiche Praxistipps für die Umsetzung

Klage auf Auskunft und Untersagung der Datennutzung auf privaten Geräten

Die Kundin forderte daraufhin, anwaltlich vertreten, Auskunft zu Ihren Daten. Die Antwort der Händlerin stellte sie nicht zufrieden und so erhob sie Klage auf Auskunft an welchen Mitarbeiter der beklagten Händlerin die Daten der Kundin herausgegeben oder übermittelt wurden durch Nennung des Vor- und Zunamens des Mitarbeiters und sie verlangte von der Beklagten den Mitarbeitern, welche die Daten der Klägerin auf privaten Kommunikationsgeräten gespeichert und verwendet haben, die Nutzung zu untersagen.

Rechtsmissbrauch wegen Deal-Angebot?

Die beklagte Händlerin wandte ein, das Auskunftsbegehren der Klägerin sei rechtsmissbräuchlich, da sie damit offensichtlich und ausschließlich datenschutzfremde Zwecke verfolge. Sie habe dem Marktleiter der Beklagten in einem Telefonat mitgeteilt, dass sie gegen die Beklagte eine datenschutzrechtliche Klage erhebe, wenn ihr das Fernsehgerät nicht verbleibe, wobei die Klage für die Beklagte teurer sei als das Gerät. Die Klägerin verfolge mit der Klage nur das Interesse, die überhöhte Rückerstattung für das Gerät behalten zu dürfen. Weitere Auskünfte, als bereits erteilte, seien nicht begründet, da es sich bei den Mitarbeitern der Beklagten nicht um „Empfänger“ im Sinne der DSGVO handele.

Mitarbeiter ausnahmsweise „Empfänger“ nach Art. 15 DSGVO

Nachdem das Amtsgericht das Begehren der Kundin noch abgelehnt hatte, sahen die Richter des Landgerichts Baden-Baden in der Berufung durchaus einen Anspruch auf Auskunft dazu, an welche Mitarbeiter der Beklagten die personenbezogenen Daten der Klägerin offengelegt und von diesen privat verarbeitet wurden nach Art. 15 Abs. 1 lit. c) DSGVO. Auch die begehrte Nutzungsuntersagung sei aus §§ 823 Abs. 2, 1004 BGB analog i.V.m. Art. 6 Abs. 1 DSGVO begründet. (LG Baden-Baden, Urt. v. 24.08.2023, Az. 3 S 13/23).

Das Gericht stellte fest, die Mitarbeiter, die Daten der Kundin erhalten hätten (hier die Mobilfunknummer), seien Empfänger nach Art. 15 Abs. 1 lit. c) DSGVO. „Empfänger“ ist nach Art. 4 Ziff. 9 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten im Sinne von Art. 4 Nummer 10 DSGVO handelt oder nicht. Dazu beruft sich das Gericht auf verschiedene Entscheidungen des Europäischen Gerichtshofs (EuGH):

Zwar können Arbeitnehmer des Verantwortlichen nicht als „Empfänger“ im Sinne von Art. 15 Abs. 1 c) DSGVO angesehen werden, wenn sie personenbezogene Daten unter der Aufsicht dieses Verantwortlichen und im Einklang mit seinen Weisungen verarbeiten (vgl. EuGH, Urteil vom 22.06.2023, EUGH Aktenzeichen C57921 C-579/21, Rn. EUGH Aktenzeichen C57921 2023-06-22 Randnummer 73).
Soweit die Information über Mitarbeiter jedoch erforderlich ist, um den Auskunftsberechtigten in die Lage zu versetzen, die Rechtmäßigkeit der Verarbeitung seiner Daten zu überprüfen und sich insbesondere davon zu überzeugen, dass die Verarbeitungsvorgänge tatsächlich gemäß Art. 29 DSGVO unter der Aufsicht des Verantwortlichen sowie im Einklang mit seinen Weisungen durchgeführt wurden, kann ein Auskunftsanspruch dennoch bestehen (so EuGH, Urteil vom 22.06.2023, EUGH Aktenzeichen C57921 C-579/21, Rn. EUGH Aktenzeichen C57921 2023-06-22 Randnummer 75). Soweit die Auskunft selbst dabei personenbezogene Daten eines Mitarbeiters enthält, sind die in Rede stehenden Rechte und Freiheiten gegeneinander abzuwägen und nach Möglichkeit Modalitäten zu wählen, die die Rechte und Freiheiten dieser Personen nicht verletzen, wobei zu berücksichtigen ist, dass diese Erwägungen nicht dazu führen dürfen, dass der betroffenen Person jegliche Auskunft verweigert wird (EuGH, Urteil vom 22.06.2023, EUGH Aktenzeichen C57921 C-579/21, Rn. EUGH Aktenzeichen C57921 2023-06-22 Randnummer 80).

Die Verwendung der Daten auf privaten Geräten der Mitarbeiter und in der WhatsApp-Messenger Gruppe sei rechtswidrig erfolgt, da es hierzu weder eine Einwilligung gab, noch eine Erforderlichkeit oder eine Weisung bestand. Diese Mitarbeiter sind wegen der rechtswidrigen (privaten) Datenverarbeitung auch nicht gegen die Namensnennung aufgrund ihres Persönlichkeitsrechts geschützt.

Kein Rechtsmissbrauch durch „Deal-Vorschlag“

Das Gericht sah auch keinen Rechtsmissbrauch:

„Dass die Klägerin wiederholt Auskunftsansprüche geltend macht oder ihren Auskunftsanspruch missbraucht, um außerhalb der DSGVO liegende Ziele durchzusetzen, ist nicht erkennbar. Dabei kann unterstellt werden, dass die Klägerin die Beklagte am 1. Juli 2023 den Marktleiter der Beklagten, …, kontaktiert und ihm mitgeteilt hat, dass sie gegen die Beklagte eine datenschutzrechtliche Klage erhebe, wenn ihr das Fernsehgerät nicht verbleibe. Denn unabhängig davon, ob die Klägerin auf einen solchen „Deal“ einen Anspruch hatte, erscheint es nicht rechtsmissbräuchlich, der Beklagten eine Vereinbarung vorzuschlagen, wonach auf der Hand liegende Verstöße der Beklagten gegen die DSGVO dadurch kompensiert werden, dass der Klägerin ein wirtschaftlicher Vorteil gewährt wird.“

Arbeitgeber mittelbarer Handlungsstörer

Das Gericht sah aufgrund des Umstandes, dass die Postanschrift vorlag auch keine Erforderlichkeit zur Nutzung von Social Media-Kanälen zur Kontaktaufnahme wegen des Rückzahlungsanspruchs. Die beklagte Händlerin sei mittelbare Handlungsstörerin, wenn eigene Mitarbeiter bei ihr gespeicherte Daten rechtswidrig verarbeiten. Sie könne Ansprüche auf Unterlassung der Verarbeitung auch arbeitsrechtlich durchsetzen und damit die Störung verhindern. Eine Revision wurde nicht zugelassen.

Fazit

Das Urteil zeigt zum einen, dass Kundendaten nichts auf privaten Geräten von Mitarbeitern verloren haben, wenn es um eine nicht notwendige Verarbeitung geht. Arbeitgebern ist zu empfehlen, hier durch innerbetriebliche Weisungen Klarheit zu schaffen. Erst recht kann es nicht angehen, wenn Mitarbeiter selbständig einfach die Kundenkommunikation auf Social Media-Kanälen eröffnen oder Sachverhalte in eigenen WhatsApp-Gruppen diskutieren. Auch hierzu sollte man klare Richtlinien aufstellen.

nach oben