Urteil : DS‑GVO Verstoß und Auskunftsansprüche bei Kundenansprache über private Social-Media-Accounts der Mitarbeitenden : aus der RDV 6/2023, Seite 393-395
(LG Baden-Baden, Urteil vom 24. August 2023 – 3 S 13/23 –)
- Zwar dürfen Mitarbeitende Kundendaten einsehen und verarbeiten. Eine Kundenansprache über soziale Netzwerke verstößt indes gegen Art. 6 DS-GVO. Eine Kontaktaufnahme mittels sozialer Netzwerke, insbesondere über einen privaten Account einer Mitarbeiterin, ist grundsätzlich nicht zur Geltendmachung der Rechte des Verantwortlichen erforderlich. Mithin hat die betroffene Person einen Anspruch auf Nutzungsuntersagung aus §§ 823 Abs. 2, 1004 BGB analog i.V.m. Art. 6 Abs. 1 DS-GVO.
- Der Anspruch nach Art. 15 DS-GVO kann die Auskunft über die Mitarbeitenden, denen Daten der betroffenen Person zur Verfügung gestellt wurden, umfassen. Zwar können Arbeitnehmer des Verantwortlichen nicht als „Empfänger“ im Sinne von Art. 15 Abs. 1 Buchst. c) DS-GVO angesehen werden, wenn sie personenbezogene Daten unter der Aufsicht des Verantwortlichen und im Einklang mit seinen Weisungen verarbeiten. Soweit die Information über Mitarbeiter jedoch erforderlich ist, um den Auskunftsberechtigten in die Lage zu versetzen, die Rechtmäßigkeit der Verarbeitung seiner Daten zu überprüfen und sich insbesondere davon zu überzeugen, dass die Verarbeitungsvorgänge tatsächlich gemäß Art. 29 DS-GVO unter der Aufsicht des Verantwortlichen sowie im Einklang mit seinen Weisungen durchgeführt wurden, kann ein Auskunftsanspruch dennoch bestehen.
(Nicht amtliche Leitsätze)
Aus den Gründen:
Die Beklagte betreibt einen Elektronikhandel und unterhält eine Filiale in der XXX in XXX. Die Klägerin erwarb am 20.06.2022 in dieser Filiale ein Fernsehgerät zum Preis von 269 Euro sowie eine Wandhalterung zum Preis von 59 Euro. Am 25.06.2022 gab die Klägerin die Wandhalterung in der Filiale zurück; dabei wurde ihr versehentlich eine Gutschrift in Höhe von 269 Euro erteilt und in bar ausbezahlt.
Bei der Beklagten sind der Name, die Anschrift und spätestens seit 30.06.2022 die Mobiltelefonnummer der Klägerin als Kundendaten gespeichert.
In der Filiale der Beklagten in XXX gibt es eine Mitarbeitergruppe beim Messengerdienst WhatsApp.
Nachdem der Fehler bei der Beklagten aufgefallen war, kontaktierte deren Mitarbeiterin X(1)X die Klägerin noch am 25.06.2022 über ihren privaten Account des Facebook-Messengers. Unstreitig nutzte X(1)X dabei ihren privaten Account. Die Kundenkommunikation über einen privaten Account eines Kommunikationsdienstes ist von der Beklagten nicht angeordnet worden, sondern erfolgte eigenverantwortlich und entgegen der üblichen Gepflogenheit der Beklagten.
Weiter erhielt die Klägerin auf der Internetplattform Instagram eine Nachricht einer Nutzerin mit dem Namen X(2) X, in der sie wegen der versehentlichen Gutschrift gebeten wurde, Kontakt zum Chef der Nutzerin aufzunehmen.
Die Klägerin hat […] beantragt,
1. die Beklagte zu verurteilen, der Klägerin Auskunft zu erteilen über […]
k) an welchen Mitarbeiter der Beklagten die Daten der Klägerin herausgegeben oder übermittelt wurden durch Nennung des Vor- und Zunamens des Mitarbeiters.
3. Die Beklagte zu verurteilen, den Mitarbeitern, welche die Daten der Klägerin auf privaten Kommunikationsgeräten gespeichert und verwendet haben, die Nutzung zu untersagen.
[…]
Das Amtsgericht hat die Klage hinsichtlich der in der Berufungsinstanz weiterverfolgten Klageanträge Ziffer 1 k) und Ziffer 3 zu Unrecht abgewiesen. Die Klägerin hat gegen die Beklagte einen Anspruch auf Auskunft, an welche Mitarbeiter der Beklagten die personenbezogenen Daten der Klägerin offengelegt und von diesen privat verarbeitet wurden durch Nennung des Vor- und Zunamens des Mitarbeiters, aus Art. 15 Abs. 1 c) DS-GVO (1.). Zudem hat sie einen Anspruch gegen die Beklagte, den Mitarbeitern, welche die personenbezogenen Daten der Klägerin, die bei der Beklagten erhoben wurden, auf privaten Kommunikationsgeräten gespeichert und verwendet haben, die Nutzung zu untersagen, aus §§ 823 Abs. 2, 1004 BGB analog i.V.m. Art. 6 Abs. 1 DS-GVO (2.).
1. Die Klägerin hat gegen die Beklagte einen Anspruch auf Auskunft, welchen Mitarbeitern der Beklagten die personenbezogenen Daten der Klägerin offengelegt und von diesen privat verarbeitet worden sind durch Nennung des Vor- und Zunamens des Mitarbeiters aus Art. 15 Abs. 1 c) DS-GVO.
Die Voraussetzungen dieses Auskunftsanspruchs liegen vor.
a) Die Beklagte hat personenbezogene Daten der Klägerin verarbeitet. Gemäß Art. 4 Nr. 1 DS-GVO sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Name und Anschrift der Klägerin stellen zweifellos solche Informationen dar.
b) Gemäß Art. 4 Nr. 2 DS-GVO ist „Verarbeitung“ jeder Vorgang im Zusammenhang mit personenbezogenen Daten wie bspw. deren Speicherung, was vorliegend unstreitig geschehen ist.
c) Der Auskunftsanspruch aus Art. 15 Abs. 1 lit. c) DS-GVO erfasst vorliegend die Mitarbeiter der Beklagten, an die Daten der Klägerin herausgegeben oder übermittelt wurden.
Nach Art. 15 Abs. 1 lit. c) DS-GVO besteht ein Auskunftsanspruch auf die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden.
„Empfänger“ ist nach Art. 4 Ziff. 9 DS-GVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten im Sinne von Art. 4 Ziff. 10 DS-GVO handelt oder nicht.
Die Mitarbeiter der Beklagten, denen gegenüber personenbezogene Daten der Klägerin zur Kontaktaufnahme über den privaten Account eines Messengerdienstes offengelegt worden sind, sind vorliegend „Empfänger“ im Sinne dieser Norm.
Zwar können Arbeitnehmer des Verantwortlichen nicht als „Empfänger“ im Sinne von Art. 15 Abs. 1 c) DS-GVO angesehen werden, wenn sie personenbezogene Daten unter der Aufsicht dieses Verantwortlichen und im Einklang mit seinen Weisungen verarbeiten (vgl. EuGH, Urt. v. 22.06.2023, C-579/21, Rn. 73). Soweit die Information über Mitarbeiter jedoch erforderlich ist, um den Auskunftsberechtigten in die Lage zu versetzen, die Rechtmäßigkeit der Verarbeitung seiner Daten zu überprüfen und sich insbesondere davon zu überzeugen, dass die Verarbeitungsvorgänge tatsächlich gemäß Art. 29 DS-GVO unter der Aufsicht des Verantwortlichen sowie im Einklang mit seinen Weisungen durchgeführt wurden, kann ein Auskunftsanspruch dennoch bestehen (so EuGH, Urt. v. 22.06.2023, C-579/21, Rn. 75). Soweit die Auskunft selbst dabei personenbezogene Daten eines Mitarbeiters enthält, sind die in Rede stehenden Rechte und Freiheiten gegeneinander abzuwägen und nach Möglichkeit Modalitäten zu wählen, die die Rechte und Freiheiten dieser Personen nicht verletzen, wobei zu berücksichtigen ist, dass diese Erwägungen nicht dazu führen dürfen, dass der betroffenen Person jegliche Auskunft verweigert wird (EuGH, Urt. v. 22.06.2023, C-579/21, Rn. 80).
Ausgehend davon besteht vorliegend ein Anspruch der Klägerin auf Auskunft über die Mitarbeiter, denen die Daten der Klägerin zur Kontaktaufnahme über den privaten Account eines Messengerdienstes offengelegt worden sind; diese sind Empfänger.
d) Soweit Mitarbeiter der Beklagten diese Daten entgegen Art. 29 DS-GVO außerhalb der Aufsicht der Beklagten verarbeitet haben, indem sie diese gespeichert und für eine Kontaktaufnahme genutzt haben, ist die Datenverarbeitung rechtswidrig, weil die (unterstellte) Einwilligung der Klägerin gegenüber der Beklagten ersichtlich keine Verwendung auf privaten Datenverarbeitungsgeräten oder Accounts der Mitarbeiter enthielt und dies auch erkennbar nicht erforderlich war, um den zwischen den Parteien geschlossenen Kaufvertrag abzuwickeln. Da sämtliche Mitarbeiter, denen die personenbezogenen Daten der Klägerin zu diesen Zwecken offengelegt worden sind, zudem ohne eine entsprechende Weisung der Beklagten gehandelt haben, ist ihr Interesse daran, gegenüber der Klägerin anonym zu bleiben, nicht schutzwürdig. Da eine Auskunft nur die Mitarbeiter zu umfassen hat, denen gegenüber die personenbezogenen Daten offengelegt und die von den Mitarbeitern privat verarbeitet wurden, alle anderen mit den personenbezogenen Daten der Klägerin befassten Mitarbeiter jedoch nicht genannt werden müssen, wird nur soweit in Persönlichkeitsrechte von Mitarbeitern eingegriffen, wie dies erforderlich ist, um Ansprüche der Klägerin aus der DS-GVO – wie den Anspruch auf Löschung dieser Daten – effektiv durchzusetzen. Im Hinblick darauf, dass die Klägerin die personenbezogenen Daten der Mitarbeiter, die sie durch die Auskunft erhält, ihrerseits nur nach den Vorgaben der DS-GVO verwenden und speichern darf, ist der Eingriff in die Rechte der Mitarbeiter verhältnismäßig.
e) Der Auskunftsanspruch umfasst die Pflicht, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 DS-GVO (EU) 2016/679 sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen (EuGH (1. Kammer) Urt. v. 12.01.2023 – C-154/21). Da vorliegend keiner dieser Ausschlussgründe vorliegt, besteht ein Anspruch auf die beantragte Nennung des Vor- und Zunamens des Mitarbeiters.
f) Dem Auskunftsanspruch steht weder der von der Beklagten erhobene Exzess-/Missbrauchseinwand (Art. 12 Abs. 5 S. 2 DS-GVO, 242 BGB) entgegen, noch ist das Begehren rechtsmissbräuchlich. Dass die Klägerin wiederholt Auskunftsansprüche geltend macht oder ihren Auskunftsanspruch missbraucht, um außerhalb der DS-GVO liegende Ziele durchzusetzen, ist nicht erkennbar. Dabei kann unterstellt werden, dass die Klägerin die Beklagte am 01.07.2023 den Marktleiter der Beklagten, XXX, kontaktiert und ihm mitgeteilt hat, dass sie gegen die Beklagte eine datenschutzrechtliche Klage erhebe, wenn ihr das Fernsehgerät nicht verbleibe. Denn unabhängig davon, ob die Klägerin auf einen solchen „Deal“ einen Anspruch hatte, erscheint es nicht rechtsmissbräuchlich, der Beklagten eine Vereinbarung vorzuschlagen, wonach auf der Hand liegende Verstöße der Beklagten gegen die DS-GVO dadurch kompensiert werden, dass der Klägerin ein wirtschaftlicher Vorteil gewährt wird.
g) Der Auskunftsanspruch der Klägerin ist nicht vollständig erfüllt. Eine vollständige Auskunft darüber, welchen Mitarbeitern der Beklagten die Daten der Klägerin offengelegt und von diesen privat verarbeitet worden sind, verbunden mit der Erklärung, dass diese Auskunft vollständig ist, ist bislang nicht erfolgt. Dass die Beklagte im Verfahren einzelne Behauptungen der Klägerin zu Mitarbeitern, die sie kontaktiert haben, sowie zu einer bestehenden WhatsApp-Gruppe der Mitarbeiter, bestritten hat, genügt insoweit nicht für eine Negativauskunft, weil diese unabhängig vom Prozessvortrag die (konkludente) Behauptung enthalten muss, vollständig zu sein.
2. Weiter hat die Klägerin gegen die Beklagte einen Anspruch darauf, dass diese den Mitarbeitern, welche die bei der Beklagten erhobenen personenbezogenen Daten der Klägerin auf privaten Kommunikationsgeräten gespeichert und verwendet haben, die Nutzung untersagt, aus §§ 823 Abs. 2, 1004 BGB analog i.V.m. Art. 6 Abs. 1 DS-GVO.
a) §§ 823 Abs. 2, 1004 BGB analog gewähren einen Beseitigungs- und Unterlassungsanspruch gegen den Störer, wenn rechtswidrig in das Allgemeine Persönlichkeitsrecht, das in der DS-GVO seine besondere Ausprägung findet, eingegriffen wird (vgl. BGH, Urt. v. 16.11.1982 – VI ZR 122/80 –, juris; BGH, Urt. v. 16.02.2016 – VI ZR 367/15 –, juris; speziell zur DS-GVO vgl. OLG Köln, Urt. v. 14.11.2019 – 1-15 U 126/19 –, juris; OLG Dresden, Urt. v. 14.12.2021 – 4 U 1278/21 –, Rn. 46, juris; OLG Frankfurt, Urt. v. 14.04.2022 – 3 U 21/20 –, Rn. 29, juris).
b) Die Nutzung der Daten der Klägerin auf privaten Kommunikationsgeräten der Mitarbeiter ist rechtswidrig im Sinne des Art. 6 DS-GVO. Da die Vorschrift dem Ansatz des Verbots mit Erlaubnisvorbehalt folgt (vgl. Ehmann/Selmayr/ Heberlein, 2. Aufl. 2018, DS-GVO Art. 6 Rn. 1), hat die Beklagte vorzutragen, aus welchem der in Art. 6 DS-GVO abschließend aufgezählten Rechtfertigungsgründe die Daten der Klägerin auf privaten Kommunikationsgeräten verarbeitet werden durften. Dies ist nicht geschehen.
Zwar ist eine Verarbeitung rechtmäßig, wenn die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen; diese Voraussetzungen liegen hier indes nicht vor. Zur Geltendmachung ihrer Rechte auf Rückzahlung des zu viel ausbezahlten Betrages im Zusammenhang mit der Rückgabe der Wandhalterung stand der Beklagten die Anschrift der Klägerin zur Verfügung, mittels derer sie die Klägerin anschreiben und zur Rückzahlung auffordern konnte. Eine Kontaktaufnahme mittels Facebook, noch dazu über einen privaten Account einer Mitarbeiterin, war insoweit nicht erforderlich.
c) Die Beklagte speichert die Daten der Klägerin und ist, soweit diese durch ihre Mitarbeiter rechtswidrig verwendet werden, mittelbare Handlungsstörerin. Als mittelbarer Handlungsstörer kommt (nur) derjenige in Betracht, der die Beeinträchtigung durch einen anderen in adäquater Weise durch seine Willensbetätigung verursacht und in der Lage ist, die unmittelbar auftretende Störung zu verhindern (vgl. BGH, Urt. v. 16.05.2014 – V ZR 131/13, NJW 2014, 2640 Rn. 8 m.w.N.; BGH, Urt. v. 14.11.2014 – V ZR 118/13-, Rn. 15, juris). Vorliegend verursacht die Beklagte die von der rechtswidrigen Verwendung der Daten ausgehende Störung des Persönlichkeitsrechts der Klägerin, weil sie diese Daten speichert und ihren Mitarbeitern zugänglich macht.
Sie ist auch in der Lage, dies zu verhindern. Die von der Klägerin begehrte Unterlassung, die auf privaten Kommunikationsgeräten gespeicherten Daten der Klägerin weisungswidrig zu verwenden, ist eine Nebenpflicht der Mitarbeiter gegenüber der Beklagten aus dem Arbeitsverhältnis und kann mit Hilfe einer Abmahnung und ggf. Kündigung des Arbeitsverhältnisses durchgesetzt werden.
Nach § 241 Abs. 2 BGB erwächst einer Vertragspartei aus einem Schuldverhältnis auch die Pflicht zur Rücksichtnahme auf die Rechte, Rechtsgüter und Interessen des anderen Vertragsteils. Dies dient dem Schutz und der Förderung des Vertragszwecks. Die Arbeitsvertragsparteien sind danach verpflichtet, den Vertrag so zu erfüllen, ihre Rechte so auszuüben und die im Zusammenhang mit dem Arbeitsverhältnis stehenden Interessen des Vertragspartners so zu wahren, wie dies unter Berücksichtigung der wechselseitigen Belange verlangt werden kann. Welche konkreten Folgen sich aus der Rücksichtnahmepflicht ergeben, hängt von der Art des Schuldverhältnisses und den Umständen des Einzelfalls ab (vgl. BAG Urt. v. 24.09.2014 – 5 AZR 611/12 – Rn. 42, BAGE 149, 144 und vom 16.02.2012-6 AZR 553/10 -Rn. 12, BAGE 141, 1).
Ausgehend davon sind die Mitarbeiter der Beklagten verpflichtet, die personenbezogenen Daten der Kunden der Klägerin von ihren privaten Kommunikationsgeräten zu löschen und nicht weiter zu nutzen. Die Klägerin ist gegenüber ihren Kunden nach Art. 17 DS-GVO verpflichtet, personenbezogene Daten, die nicht mehr benötigt werden, deren weiterer Verarbeitung der Kunde widersprochen hat oder die unrechtmäßig verarbeitet werden, zu löschen; nach Art. 82 DS-GVO macht sie sich gegenüber den Kunden unter Umständen schadenersatzpflichtig. Die Rücksichtnahmepflicht der Arbeitnehmer der Beklagten gebietet es, ihn mit Rücksicht auf diese Pflichten ihres Arbeitgebers, die Daten ihrerseits zu löschen, um Pflichtverletzungen der Beklagten gegenüber ihren Kunden zu vermeiden. Schutzwürdige Belange der Arbeitnehmer an einer fortgesetzten Speicherung und Verwendung sind nicht ersichtlich, zumal die Daten unstreitig ohnehin weisungswidrig auf Privatgeräten verarbeitet wurden.
d) Die Störung dauert noch an. Unstreitig hat die Mitarbeiterin der Beklagten X(1)X ihren privaten Account eines Messengerdienstes genutzt, um die Klägerin zu kontaktieren. Die Kommunikation über einen solchen Messengerdienst wird gerichtsbekannt zunächst vom Dienst selbst gespeichert; eine Löschung trägt die Beklagte nicht vor. Es ist deshalb davon auszugehen, dass die personenbezogenen Daten der Klägerin mindestens auf einem privaten Account einer Mitarbeiterin der Beklagten noch vorhanden sind. Entsprechend besteht ein Beseitigungsanspruch noch.