Das Landgericht Baden-Baden hat mit Urteil vom 24.8.2023, Az. 3 S 13/23, ein Unternehmen verurteilt, die Namen seiner Mitarbeiterin nach Art. 15 DSGVO im Rahmen des Auskunftsanspruchs zu nennen, die einen Kunden über deren privaten Social-Media kontaktiert hatten.
Sachverhalt
Hintergrund war, dass der Kunde bei dem Unternehmen einen Fernseher und eine Wandhalterung gekauft hatte. Der Kunde gab die Wandhalterung zurück. Dabei wurde versehentlich der Kaufpreis für den wesentlich teureren Fernseher zurückerstattet. Daraufhin kontaktierte eine Mitarbeiterin des Unternehmens den Kunden über ihren privaten Social-Media-Account und wies auf den Fehler hin. Sie bat den Kunden darum, sich zu melden. Namen und Anschrift hatte das Unternehmen bei dem Kauf erfasst, aber offenbar keine E-Mail-Adresse oder Telefonnummer, sodass die Mitarbeiterin offenbar den Kunden einfach googelte und dann über das soziale Netzwerk kontaktierte.
Entscheidung des Gerichts
Das Gericht entschied, dass das Unternehmen als Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO verpflichtet ist, im Rahmen des Auskunftsanspruchs nach Art. 15 DSGVO die Namen der Mitarbeiter zu nennen, welche den Kunden kontaktiert hatte. Das Amtsgericht hatte die Klage noch mit der Begründung abgewiesen, dass Mitarbeiter keine Empfänger im Sinne der Datenschutzgrundverordnung seien. Das Landgericht sah dies allerdings anders: Mitarbeiter seien nur dann keine Empfänger, wenn diese die Daten unter der Aufsicht des Verantwortlichen und im Einklang mit seinen Weisungen verarbeiteten.
Interessant: Das Gericht verurteilte das Unternehmen auch dazu, den Mitarbeitern die Verwendung der Daten zu untersagen auf Basis von §§ 823 Abs. 2, 1004 BGB i.V.m. Art. 6 Abs. 1 DSGVO. Dies ist insofern interessant, als das OLG Frankfurt am Main kürzlich noch geurteilt hatte, dass Unterlassungsansprüche nach nationalem Recht, insbesondere ein Anspruch aus den §§ 1004 Abs. 1 Satz 2 BGB, § 823 Abs. 2 BGB aufgrund der durch die DSGVO unionsweit abschließend vereinheitlichen Regelung des Datenschutzrechts ausgeschlossen sind (OLG Frankfurt a. M., Urt. v. 30.3.2023 – 16 U 22/22).
Für die Mitarbeiterin wird die Sache noch interessant: Hat sie weisungswidrig gehandelt, wurde sie mit der Kontaktaufnahme über das soziale Netzwerk gegebenenfalls selbst zum Verantwortlichen und unterfällt damit dem Datenschutzrecht. Damit kann gegen sie ebenso ein Bußgeld verhängt werden.
Die Übermittlung von Daten außerhalb der EU, wie sie bei der Nutzung vieler sozialer Netzwerke geschieht, wird ein weiteres Problem sein.
Fazit
Auch wenn es heute fast schon üblich geworden ist, die Mittel der schnellen Kontaktaufnahme zu nutzen, ist dies datenschutzrechtlich sehr riskant.