Was ist vorgefallen?
Im gegebenen Fall (Urteil vom 24.08.2023 – 3 S 13/23) hatte die Kundin im Juni 2022 bei dem beklagten Unternehmen einen Fernseher und eine Wandhalterung erworben. Dabei wurden ihre personenbezogenen Daten, einschließlich Namens und Anschrift, erfasst. Nach einem Fehler seitens des Unternehmens, bei dem ihr versehentlich der wesentlich höhere Kaufpreis für den Fernseher erstattet wurde, entschied sich eine Mitarbeiterin des Unternehmens, die Kundin über ihren privaten Social-Media-Account zu kontaktieren, um auf das Missverständnis hinzuweisen und um Rückmeldung zu bitten. Zudem wurde die Kundin aufgefordert, sich mit dem „Chef" der Instagram-Nutzerin in Verbindung zu setzen.
Unzufrieden über diesen Vorfall verlangte sie, dass das Unternehmen die Namen der Mitarbeiter bekannt gibt, die ihre personenbezogenen Daten privat verarbeitet hatten, und beantragte, den Mitarbeitern die weitere Nutzung ihrer Daten auf privaten Geräten zu untersagen.
Das Amtsgericht wies die Klage zunächst ab (Az. 3 C 210/22), wo es argumentierte, dass Mitarbeitende keine "Empfänger" im Sinne von Art. 4 Ziff. 9 DS-GVO seien und der Auskunftsanspruch daher nicht bestehe. Ebenso wurde die Forderung, den Mitarbeitern die Nutzung der Daten auf privaten Geräten zu untersagen, abgelehnt. Die Berufung der Kundin führte vor dem Landgericht Baden-Baden schließlich doch zum Erfolg.
Wie kam es zu der Entscheidung vom Landgericht?
Das Landgericht sah sich vor zwei zentrale Fragen gestellt: Zum einen musste es darüber entscheiden, wie weit der Auskunftsanspruch reicht und zum anderen ob es dem beklagten Unternehmen untersagen kann, die personenbezogenen Daten der Klägerin auch auf den privaten Geräten der Mitarbeitenden zu verarbeiten.
Reichweite des Auskunftsanspruchs
Im Mittelpunkt dieses Falls stand die Frage, ob Mitarbeitende als Empfänger im Sinne von Art. 4 Ziff. 9 DS-GVO angesehen werden können. Nach Art. 15 Abs. 1 lit. c) DS-GVO, umfasst das Recht auf Auskunft auch Informationen über die Empfänger der Daten.
Empfänger ist nach Art. 4 Ziff. 9 DS-GVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.
Grundsätzlich werden Arbeitnehmer nicht als Empfänger betrachtet. Allerdings gibt es Ausnahmen, wie vom Europäischen Gerichtshof (EuGH, Urteil vom 22.06.2023, C-579/21, Rn. 75) entschieden wurde.
Demnach werden Mitarbeitende nur dann nicht als Empfänger betrachtet, wenn:
- sie unter Aufsicht des Verantwortlichen und
- im Einklang mit dessen Weisungen
die Daten verarbeiten.
Die Kundin argumentierte, dass die Nennung der Mitarbeiterin notwendig sei, um die Rechtmäßigkeit der Datenverarbeitung zu überprüfen. Die Abwägung der Rechte und Freiheiten der Kundin und der Mitarbeiterin ergab, unter Berücksichtigung, dass die Nutzung der persönlichen Daten auf privaten Accounts entgegen den Weisungen der Unternehmen erfolgt ist, dass das Interesse der Mitarbeiterin, anonym zu bleiben, gegenüber den Interessen der Kundin, ihre DS-GVO-Ansprüche durchzusetzen, zurückzustehen habe.
Untersagung der Nutzung von personenbezogenen Daten auf privaten Geräten
Das Landgericht urteilte zugunsten der Kundin, dass das beklagte Unternehmen die Verwendung der personenbezogenen Daten der Klägerin auf den privaten Geräten der Mitarbeitenden zu untersagen hat. Dieser Anspruch ergibt sich aus §§ 823 Abs. 2, 1004 BGB analog in Verbindung mit Art. 6 Abs. 1 DS-GVO.
Haftung des Arbeitgebers
Gemäß der Auffassung der Datenschutzkonferenz (DSK) haften Unternehmen gemäß Art. 83 DS-GVO für Datenschutzverstöße ihrer Mitarbeitenden, es sei denn, der Mitarbeitende handelte exzessiv (für seine eigenen Zwecke). Dies ergibt sich aus dem funktionalen Unternehmensbegriff des europäischen Primärrechts. Die Haftung des Unternehmens erfolgt ohne die Notwendigkeit von Kenntnis oder Anweisungen der Geschäftsführung oder einer Verletzung der Aufsichtspflicht.
Haftung des Arbeitnehmers
Wenn Mitarbeitende personenbezogene Daten für eigene Zwecke verarbeiten und dies nicht mehr im Rahmen ihrer beruflichen Tätigkeit liegt, werden sie als Verantwortliche gemäß Art. 4 Nr. 7 DS-GVO angesehen. Aufsichtsbehörden können dann auch gegen sie Bußgelder verhängen. Das Unternehmen ist in solchen Fällen nicht für das Fehlverhalten der Mitarbeitende verantwortlich, es sei denn, es billigt oder duldet es.
Was sind die Folgen bei einem solchen Fehlverhalten?
Wenn ein Mitarbeitende durch sein exzessives Verhalten selbst zum Verantwortlichen wird, ist er gemäß Art. 82 Abs. 1 DS-GVO schadensersatzpflichtig gegenüber der betroffenen Person. Die Betroffenen können jedoch auch Ansprüche gegen das Unternehmen geltend machen, welches eventuell gesamtschuldnerisch haften könnte. Das Unternehmen kann jedoch durch das Aussprechen konkreter Weisungen und durch die Kontrolle der Einhaltung die Haftung begrenzen. Es besteht die Möglichkeit der Exkulpation nach Art. 82 Abs. 3 DS-GVO.
Handlungsempfehlung
Dieses Urteil unterstreicht, dass Mitarbeitende sehr wohl als Empfänger von personenbezogenen Daten angesehen werden können, wenn bestimmte Kriterien erfüllt sind. Es hebt die Wichtigkeit einer klaren Trennung zwischen beruflicher und privater Datenverarbeitung hervor, um die Rechte der Betroffenen zu schützen und den rechtlichen Ansprüchen gemäß der DS-GVO nachzukommen.
Unternehmen sollten klare Richtlinien für die Kundenansprache einführen, Mitarbeiter schulen und sensibilisieren sowie die Einhaltung dieser Richtlinien überwachen und durchsetzen.
Weitere Informationen zum Auskunftsanspruch finden Sie auch in unserer Artikelreihe: