Das Wichtigste in Kürze
- Unternehmen müssen klare Richtlinien für den Umgang mit Kundendaten implementieren.
- BYOD-Policies erfordern besondere Aufmerksamkeit bezüglich des Datenschutzes.
- Arbeitgeber tragen die Verantwortung für die datenschutzkonforme Handhabung durch ihre Mitarbeiter.
- Verstöße können zu Auskunfts- und Unterlassungsansprüchen sowie weiteren Konsequenzen führen.
Urteil des LG Baden-Baden: Arbeitgeber muss Verwendung von Kundendaten auf privaten Kommunikationsgeräten durch Mitarbeiter untersagen
Ein richtungsweisendes Urteil des Landgerichts Baden-Baden (Az. 3 S 13/23 vom 24.08.2023) betrifft insbesondere Startups, die oft mit "Bring Your Own Device" (BYOD) Policies arbeiten. Es zeigt die rechtlichen Konsequenzen auf, wenn Mitarbeiter Kundendaten auf privaten Geräten verarbeiten. Dieses Urteil verdeutlicht die Verantwortung von Unternehmen im Umgang mit personenbezogenen Daten.
Die Entscheidung des Landgerichts Baden-Baden
Das Landgericht verurteilte ein Unternehmen dazu, einer Kundin die Namen jener Mitarbeiter zu nennen, die ihre erhobenen Kundendaten privat verarbeitet hatten. Darüber hinaus muss das Unternehmen seinen Mitarbeitern die fortgesetzte Verwendung dieser personenbezogenen Kundendaten auf deren privaten Kommunikationsgeräten untersagen.
Die rechtliche Begründung zum Datenschutz bei privater Datennutzung
Auskunftsanspruch nach der DSGVO
Das Landgericht stützte seinen Auskunftsanspruch auf Art. 15 Abs. 1 lit. c) DSGVO. Dieser erstreckt sich darauf, der klagenden Kundin die Mitarbeiter als Empfänger im Sinne von Art. 4 Ziff. 9 DSGVO zu benennen.
Grundsätzlich gelten Arbeitnehmer eines Verantwortlichen nicht als Empfänger. Diese Regelung gilt jedoch nur dann, wenn sie unter Aufsicht und im Einklang mit Weisungen des Verantwortlichen handeln. Dies stellte der Europäische Gerichtshof (EuGH, Urteil vom 22.06.2023, C-579/21, Rn. 75) klar. Solche Neuerungen im Datenschutzrecht sind für Unternehmen von großer Bedeutung.
Im vorliegenden Fall hatte eine Mitarbeiterin den Kontakt zu einer Kundin eigenmächtig über ihren privaten Social-Media-Account hergestellt. Dies geschah klar entgegen den internen Weisungen des Unternehmens. Die Nennung der Mitarbeiter war für die Kundin unerlässlich, um die Rechtmäßigkeit der Datenverarbeitung zu überprüfen.
Nur so konnte sie gegebenenfalls weitere nach der DSGVO zustehende Ansprüche geltend machen. Eine Abwägung der Rechte und Freiheiten ergab, dass das Interesse der Mitarbeiter an Anonymität hier nicht schutzwürdig war. Es musste hinter den Interessen der Kundin zurückstehen.
Unterlassungsanspruch nach BGB und DSGVO
Ferner stand der Kundin ein Unterlassungsanspruch zu. Dieser leitet sich aus §§ 823 Abs. 2, 1004 BGB analog in Verbindung mit Art. 6 Abs. 1 DSGVO her. Das beklagte Unternehmen war als mittelbare Handlungsstörerin verantwortlich.
Es war verpflichtet, die weisungswidrige fortgesetzte Verwendung der Kundendaten durch seine Mitarbeiter auf privaten Kommunikationsgeräten zu unterbinden. Diese Verantwortung umfasst die Anweisung an die Mitarbeiter, solche Praktiken zukünftig zu unterlassen.
Keine Revision zugelassen
Das Landgericht hat die Revision gegen sein Urteil vom 24.08.2023 nicht zugelassen. Ein weiteres Rechtsmittel gegen diese Entscheidung ist somit nicht statthaft.
Hintergrund des konkreten Falls
Die Klägerin hatte im Juni 2022 bei dem beklagten Unternehmen einen Fernseher und eine Wandhalterung erworben. Dabei wurden ihr Name und ihre Anschrift erfasst. Wenige Tage später gab sie die Wandhalterung zurück, wobei ihr versehentlich der höhere Kaufpreis des Fernsehers erstattet wurde.
Nachdem das Versehen im Unternehmen bemerkt wurde, kontaktierte eine Mitarbeiterin die Kundin. Dies geschah über ihren privaten Social-Media-Account, um auf den Fehler hinzuweisen. Kurz darauf erhielt die Kundin eine weitere Nachricht via Instagram. Darin wurde sie aufgefordert, sich mit dem „Chef“ der Instagram-Nutzerin in Verbindung zu setzen.
Die Klage der Kundin
- Auskunft darüber, an welche Mitarbeiter ihre personenbezogenen Daten weitergegeben oder übermittelt wurden.
- Untersagung der Nutzung dieser Daten auf privaten Kommunikationsgeräten.
Die vorherige Entscheidung des Amtsgerichts
Das beklagte Unternehmen trat der Klage entgegen. Das Amtsgericht hatte die Klage in erster Instanz abgewiesen. Es begründete dies damit, dass Mitarbeiter eines Unternehmens keine „Empfänger“ im Sinne von Art. 15 Abs. 1 lit. c) DSGVO und Art. 4 Nr. 9 DSGVO seien.
Die begehrte Verurteilung, den Mitarbeitern die Nutzung der personenbezogenen Daten der Kundin auf ihren privaten Kommunikationsgeräten zu untersagen, sah es ebenfalls als unbegründet an. Gegen dieses Urteil legte die Klägerin Berufung ein und verfolgte ihre Anträge erfolgreich weiter.
Fazit
Dieses Urteil des LG Baden-Baden unterstreicht die Notwendigkeit für Unternehmen, klare Richtlinien für den Umgang mit Kundendaten zu implementieren. Dies gilt insbesondere bei der Anwendung von BYOD-Policies. Es zeigt auf, dass Arbeitgeber für die datenschutzkonforme Handhabung durch ihre Mitarbeiter verantwortlich sind und bei Verstößen mit weitreichenden Konsequenzen rechnen müssen.