Mitarbeiter nutzt Kundendaten auf privatem Endgerät
Das LG Baden-Baden beschäftigte sich mit der Frage, welche Ansprüche einer Kundin zustehen, die unerlaubt über ihren Instagram-Kanal von einer Mitarbeiterin eines Unternehmens angeschrieben wurde. Die Kanzlei Dr. Stoll & Sauer fasst die wesentlichen Punkte des Urteils zusammen:
- Eine Kundin kaufte in einem Elektrogeschäft einen Fernseher und eine Wandhalterung. Dabei gab sie ihren Namen und ihre Anschrift an. Kurz nach dem Kauf gab sie die Wandhalterung zurück und erhielt versehentlich eine Rückerstattung in Höhe des wesentlich höheren Preises des Fernsehers. Als dieser Fehler bemerkt wurde, sandte eine Mitarbeiterin des Unternehmens über ihren privaten Instagram-Account mehrere Nachrichten an die Kundin. In diesen Nachrichten wies die Mitarbeiterin die Kundin auf den Irrtum hin und bat sie zusätzlich darum, sich mit dem "Chef" des Unternehmens in Verbindung zu setzen.
- Die Käuferin des Fernsehers war mit dieser privaten Kontaktaufnahme nicht einverstanden und forderte vom Elektromarkt Informationen darüber, an wen ihre persönlichen Daten weitergegeben wurden, einschließlich der Namen der beteiligten Mitarbeiterinnen und Mitarbeiter. Da das Unternehmen sich weigerte, reichte die Frau eine Klage ein.
- Das Landgericht Baden-Baden hat in seinem Urteil zunächst festgestellt, dass die Kundin einen Auskunftsanspruch nach Art. 15 Abs. 1 lit. c) DSGVO hat. Dieser Anspruch umfasst auch die Mitteilung der Namen der Mitarbeiter, die die Kundendaten unzulässigerweise genutzt haben.
Das Landgericht Baden-Baden sah in der Nutzung der Kundendaten auf dem privaten Gerät des Mitarbeiters einen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO). Die DSGVO schreibt vor, dass personenbezogene Daten nur dann verarbeitet werden dürfen, wenn dies für die Erfüllung eines berechtigten Interesses erforderlich ist. In diesem Fall war die Verarbeitung der Daten für den Mitarbeiter jedoch nicht erforderlich. Er konnte die Kundin auch über die betrieblichen Kommunikationswege kontaktieren. - Das Landgericht hat dann entschieden, dass die Mitarbeiter des Unternehmens als „Empfänger“ im Sinne von Art. 4 Nr. 9 DSGVO anzusehen sind. Zwar sind Arbeitnehmer eines für die Datenverarbeitung Verantwortlichen grundsätzlich nicht als Empfänger anzusehen. Dies gelte aber nach der Rechtsprechung des Europäischen Gerichtshofs (EuGH, Urteil vom 22. Juni 2023, C-579/21, Rn. 75) nur dann, wenn sie unter der Aufsicht des Verantwortlichen und im Einklang mit seinen Weisungen die Daten verarbeiteten.
Im vorliegenden Fall hatte die Mitarbeiterin des Unternehmens die Kundendaten eigenmächtig über ihren privaten Account verwendet. Dies war nicht im Einklang mit den Weisungen des Unternehmens. Die Mitarbeiterin hatte daher die Kundendaten als Empfänger im Sinne von Art. 4 Nr. 9 DSGVO verarbeitet.
Das Landgericht hat schließlich entschieden, dass der Kundin ein Anspruch auf Unterlassung der weiteren Nutzung der Kundendaten auf privaten Kommunikationsgeräten durch die Mitarbeiter des Unternehmens zusteht.
Darüber hinaus sah das Landgericht Baden-Baden in der Nutzung der Daten auf dem privaten Gerät des Mitarbeiters ein erhöhtes Risiko für die Sicherheit der Daten. Die Daten waren nicht durch die Sicherheitsvorkehrungen des Unternehmens geschützt. Es bestand die Gefahr, dass die Daten unbefugt abgerufen oder verändert werden könnten.
Aufgrund dieser Erwägungen verurteilte das Landgericht Baden-Baden das Unternehmen, der Kundin die Namen der Mitarbeiter zu nennen, die die Daten unzulässigerweise nutzten.
Das Landgericht hat die Revision gegen das Urteil nicht zugelassen. Ein Rechtsmittel gegen das Urteil ist damit nicht statthaft.
Das Urteil des Landgerichts Baden-Baden ist ein wichtiger Präzedenzfall. Es stellt klar, dass die Nutzung von Kundendaten auf privaten Endgeräten von Mitarbeitern unzulässig ist. Unternehmen müssen sicherstellen, dass Kundendaten nur auf betrieblichen Geräten verarbeitet werden, die durch angemessene Sicherheitsvorkehrungen geschützt sind. Das Fazit der Kanzlei Dr. Stoll & Sauer sieht folgendermaßen aus:
- Unternehmen müssen ihren Mitarbeitern auch Schulungen zum Datenschutz anbieten. Die Mitarbeiter müssen wissen, dass sie Kundendaten nur im Rahmen ihrer beruflichen Tätigkeit verarbeiten dürfen. Sie müssen auch wissen, dass sie Kundendaten nicht auf privaten Geräten speichern dürfen.
- Unternehmen sollten folgende Maßnahmen ergreifen, um die Sicherheit von Kundendaten zu gewährleisten:
- Sicherstellen, dass Kundendaten nur auf betrieblichen Geräten verarbeitet werden.
- Auf den betrieblichen Geräten angemessene Sicherheitsvorkehrungen implementieren.
- Mitarbeitern Schulungen zum Datenschutz anbieten.
- Für Mitarbeiter, die Kundendaten auf privaten Endgeräten verarbeiten, können rechtliche Konsequenzen drohen. Sie können von den Unternehmen abgemahnt oder sogar gekündigt werden. In schweren Fällen können sie auch strafrechtlich verfolgt werden. Mitarbeiter sollten sich daher bewusst sein, dass die Verarbeitung von Kundendaten auf privaten Endgeräten unzulässig ist. Sie sollten Kundendaten nur im Rahmen ihrer beruflichen Tätigkeit verarbeiten und diese nicht auf privaten Geräten speichern.