Das LG Baden-Baden hat ein Unternehmen dazu verurteilt, einer Kundin die Namen der Mitarbeiter mitzuteilen, die Kundendaten privat verarbeitet haben. Darüber hinaus wurde das Unternehmen verurteilt, seinen Mitarbeitern die Nutzung personenbezogener Kundendaten auf ihren privaten Kommunikationsgeräten zu untersagen.
Die Kundin eines Fachhandelsunternehmens wurde nach einer versehentlichen überhöhten Kaufpreisrückerstattung von zwei Mitarbeitern über deren private Social Media- und Instagram-Accounts auf das Versehen aufmerksam gemacht und um Kontaktaufnahme gebeten. Die Kundin verklagte das Unternehmen daraufhin auf Auskunft darüber, an welche Mitarbeiter ihre personenbezogenen Daten herausgegeben oder übermittelt wurden, und beantragte außerdem, dass das Unternehmen seinen Mitarbeitern die Nutzung ihrer personenbezogenen Daten auf Privatgeräten untersagen sollte. Nachdem das zuständige Amtsgericht die Klage mit der Begründung abgewiesen hatte, dass die Mitarbeiter eines Unternehmens keine „Empfänger“ im Sinne von Art. 15 Abs. 1 c) DSGVO und Art. 4 Nr. 9 DSGVO seien, hat die Klägerin Berufung eingelegt.
Mit seinem Urteil vom 24.08.2023 (Az. 3 S 13/23) hat das Landgericht Baden-Baden der Klägerin vollumfänglich Recht gegeben: Das Unternehmen muss der Kundin die Namen aller Mitarbeiter nennen, die Kundendaten privat verarbeiten und seinen Mitarbeitern die Verwendung von Kundendaten auf privaten Accounts und Geräten untersagen.
Eigenmächtiges Handeln von Mitarbeitern führt zu Auskunftsanspruch
In seiner Begründung weist das LG Baden-Baden darauf hin, dass Arbeitnehmer eines für die Datenverarbeitung Verantwortlichen zwar grundsätzlich nicht im Sinne von Art. 4 Nr. 9 DSGVO als „Empfänger“ anzusehen seien und sie daher nicht benannt werden müssen. Dieser Grundsatz gelte nach einem Urteil des Europäischen Gerichtshofs allerdings nur dann, wenn die Arbeitnehmer die Daten unter Aufsicht des Verantwortlichen und im Einklang mit seinen Weisungen verarbeiteten (EuGH, Urt. v. 22.06.2023, C-579/21, Rn. 75). Im vorliegenden Fall habe aber eine Mitarbeiterin den Kontakt zur Kundin eigenmächtig über ihren privaten Account hergestellt. Der Auskunftsanspruch auf Nennung der Mitarbeiter ergebe sich dadurch, dass die Kundin die Möglichkeit haben müsse, die Rechtmäßigkeit der Verarbeitung ihrer personenbezogenen Daten zu überprüfen, um gegebenenfalls weitere Ansprüche, die ihr nach der DSGVO zustehen, gegen die Mitarbeiter geltend machen zu können. Das Interesse der Mitarbeiter, anonym zu bleiben, sei nicht schutzwürdig und müsse gegenüber den Interessen der Kundin auf Geltendmachung ihrer Ansprüche nach der DSGVO zurückstehen.
Unternehmen ist für das Handeln seiner Mitarbeiter verantwortlich
Nach Ansicht des LG Baden-Baden hat die Kundin nach §§ 823 Abs. 2, 1004 BGB analog in Verbindung mit Art. 6 Abs. 1 DSGVO einen Anspruch darauf, dass das beklagte Unternehmen seinen Mitarbeitern die Verwendung personenbezogener Kundendaten auf privaten Kommunikationsgeräten untersagt. Zur Begründung heißt es, dass das beklagte Unternehmen „als mittelbare Handlungsstörerin verantwortlich und verpflichtet [sei], die ihren Weisungen unterliegenden Mitarbeiter dazu anzuhalten, die weisungswidrige fortgesetzte Verwendung der in dem Unternehmen erhobenen personenbezogenen Daten zu unterlassen.“ Eine Revision gegen das Urteil wurde nicht zugelassen.
Keine Privatgeräte und keine privaten Accounts einsetzen
Die Schlussfolgerung, die sich aus dem Urteil des LG Baden-Baden ergibt, ist eindeutig: Falls dies nicht bereits geschehen ist, sollten Unternehmen ihre Mitarbeiter umgehend anweisen, dass diese keine personenbezogenen Kundendaten auf privaten Endgeräten oder privaten Social Media-Accounts verwenden dürfen. Diese Anweisung sollte schriftlich erfolgen und dokumentiert werden.
(LG Baden-Baden, Urteil v. 24.8.2023, 3 S 13/23)