Aktuelles
Weiter

Verstoß gegen DSGVO
LG Baden-Baden hält Nutzung von Kundendaten auf privaten Endgeräten von Mitarbeitern für unzulässig

In einem wegweisenden Urteil hat das Landgericht Baden-Baden entschieden, dass die Nutzung von Kundendaten auf privaten Endgeräten durch Mitarbeiter unzulässig ist. Das Urteil vom 24. August 2023 (Az. 3 S 13/23) betrifft eine Kundin, die von einem Mitarbeiter eines Unternehmens auf ihrem privaten Instagram-Account kontaktiert wurde. Der Mitarbeiter hatte die Daten der Kundin aus dem betrieblichen CRM-System abgerufen und auf seinem privaten Gerät gespeichert. Das Landgericht Baden-Baden sah in der Nutzung der Kundendaten auf dem privaten Gerät des Mitarbeiters einen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO). Die Verbraucherkanzlei Dr. Stoll & Sauer bietet eine kostenlose Erstberatung im Online-Check an, die Verbrauchern hilft, festzustellen, ob sie Opfer eines Datenlecks oder eines Verstoßes gegen das Datenschutzrecht geworden sind. Die Kanzlei gibt Handlungsempfehlungen. Mehr Infos zum Thema Datenleck und Datenschutz gibt es auf unserer Website.

Mitarbeiter nutzt Kundendaten auf privatem Endgerät

Das LG Baden-Baden beschäftigte sich mit der Frage, welche Ansprüche einer Kundin zustehen, die unerlaubt über ihren Instagram-Kanal von einer Mitarbeiterin eines Unternehmens angeschrieben wurde. Die Kanzlei Dr. Stoll & Sauer fasst die wesentlichen Punkte des Urteils zusammen:

  • Eine Kundin kaufte in einem Elektrogeschäft einen Fernseher und eine Wandhalterung. Dabei gab sie ihren Namen und ihre Anschrift an. Kurz nach dem Kauf gab sie die Wandhalterung zurück und erhielt versehentlich eine Rückerstattung in Höhe des wesentlich höheren Preises des Fernsehers. Als dieser Fehler bemerkt wurde, sandte eine Mitarbeiterin des Unternehmens über ihren privaten Instagram-Account mehrere Nachrichten an die Kundin. In diesen Nachrichten wies die Mitarbeiterin die Kundin auf den Irrtum hin und bat sie zusätzlich darum, sich mit dem "Chef" des Unternehmens in Verbindung zu setzen. 
  • Die Käuferin des Fernsehers war mit dieser privaten Kontaktaufnahme nicht einverstanden und forderte vom Elektromarkt Informationen darüber, an wen ihre persönlichen Daten weitergegeben wurden, einschließlich der Namen der beteiligten Mitarbeiterinnen und Mitarbeiter. Da das Unternehmen sich weigerte, reichte die Frau eine Klage ein.
  • Das Landgericht Baden-Baden hat in seinem Urteil zunächst festgestellt, dass die Kundin einen Auskunftsanspruch nach Art. 15 Abs. 1 lit. c) DSGVO hat. Dieser Anspruch umfasst auch die Mitteilung der Namen der Mitarbeiter, die die Kundendaten unzulässigerweise genutzt haben.
  • Das Landgericht Baden-Baden sah in der Nutzung der Kundendaten auf dem privaten Gerät des Mitarbeiters einen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO). Die DSGVO schreibt vor, dass personenbezogene Daten nur dann verarbeitet werden dürfen, wenn dies für die Erfüllung eines berechtigten Interesses erforderlich ist. In diesem Fall war die Verarbeitung der Daten für den Mitarbeiter jedoch nicht erforderlich. Er konnte die Kundin auch über die betrieblichen Kommunikationswege kontaktieren.
  • Das Landgericht hat dann entschieden, dass die Mitarbeiter des Unternehmens als „Empfänger“ im Sinne von Art. 4 Nr. 9 DSGVO anzusehen sind. Zwar sind Arbeitnehmer eines für die Datenverarbeitung Verantwortlichen grundsätzlich nicht als Empfänger anzusehen. Dies gelte aber nach der Rechtsprechung des Europäischen Gerichtshofs (EuGH, Urteil vom 22. Juni 2023, C-579/21, Rn. 75) nur dann, wenn sie unter der Aufsicht des Verantwortlichen und im Einklang mit seinen Weisungen die Daten verarbeiteten.
  • Im vorliegenden Fall hatte die Mitarbeiterin des Unternehmens die Kundendaten eigenmächtig über ihren privaten Account verwendet. Dies war nicht im Einklang mit den Weisungen des Unternehmens. Die Mitarbeiterin hatte daher die Kundendaten als Empfänger im Sinne von Art. 4 Nr. 9 DSGVO verarbeitet.
  • Das Landgericht hat schließlich entschieden, dass der Kundin ein Anspruch auf Unterlassung der weiteren Nutzung der Kundendaten auf privaten Kommunikationsgeräten durch die Mitarbeiter des Unternehmens zusteht.
  • Darüber hinaus sah das Landgericht Baden-Baden in der Nutzung der Daten auf dem privaten Gerät des Mitarbeiters ein erhöhtes Risiko für die Sicherheit der Daten. Die Daten waren nicht durch die Sicherheitsvorkehrungen des Unternehmens geschützt. Es bestand die Gefahr, dass die Daten unbefugt abgerufen oder verändert werden könnten.
  • Aufgrund dieser Erwägungen verurteilte das Landgericht Baden-Baden das Unternehmen, der Kundin die Namen der Mitarbeiter zu nennen, die die Daten unzulässigerweise nutzten.
  • Das Landgericht hat die Revision gegen das Urteil nicht zugelassen. Ein Rechtsmittel gegen das Urteil ist damit nicht statthaft.

Kostenlose Erstberatung direkt online abrufen

Informieren Sie sich schnell, sicher und kostenlos. Geben Sie zur Erstellung Ihres persönlichen Zugangs Name, E-Mail-Adresse und Telefonnummer ein. Nach der Registrierung werden alle weiteren Schritte auf unserem abgesicherten Mandanten-Portal durchgeführt.

Präzedenzfall: Kundendaten nur auf betrieblichen Geräten nutzbar

Das Urteil des Landgerichts Baden-Baden ist ein wichtiger Präzedenzfall. Es stellt klar, dass die Nutzung von Kundendaten auf privaten Endgeräten von Mitarbeitern unzulässig ist. Unternehmen müssen sicherstellen, dass Kundendaten nur auf betrieblichen Geräten verarbeitet werden, die durch angemessene Sicherheitsvorkehrungen geschützt sind. Das Fazit der Kanzlei Dr. Stoll & Sauer sieht folgendermaßen aus: 

  • Unternehmen müssen ihren Mitarbeitern auch Schulungen zum Datenschutz anbieten. Die Mitarbeiter müssen wissen, dass sie Kundendaten nur im Rahmen ihrer beruflichen Tätigkeit verarbeiten dürfen. Sie müssen auch wissen, dass sie Kundendaten nicht auf privaten Geräten speichern dürfen.
  • Unternehmen sollten folgende Maßnahmen ergreifen, um die Sicherheit von Kundendaten zu gewährleisten:
    • Sicherstellen, dass Kundendaten nur auf betrieblichen Geräten verarbeitet werden.
  • Für Mitarbeiter, die Kundendaten auf privaten Endgeräten verarbeiten, können rechtliche Konsequenzen drohen. Sie können von den Unternehmen abgemahnt oder sogar gekündigt werden. In schweren Fällen können sie auch strafrechtlich verfolgt werden. Mitarbeiter sollten sich daher bewusst sein, dass die Verarbeitung von Kundendaten auf privaten Endgeräten unzulässig ist. Sie sollten Kundendaten nur im Rahmen ihrer beruflichen Tätigkeit verarbeiten und diese nicht auf privaten Geräten speichern.
  • Auf den betrieblichen Geräten angemessene Sicherheitsvorkehrungen implementieren.
  • Mitarbeitern Schulungen zum Datenschutz anbieten.

Probleme mit dem Datenschutz? Opfer eines Datenlecks? In unserer kostenlosen Erstberatung prüft die Kanzlei Dr. Stoll & Sauer im Online-Check die Betroffenheit von den gängigsten Datenlecks und kontrolliert mögliche Verstöße gegen den Datenschutz

Newsletter

Immer auf dem Laufenden
Abonnieren Sie unseren Newsletter

Schnelle Informationen und Hintergründe helfen Ihnen bei den richtigen Entscheidungen. Profitieren Sie von wichtigen juristischen Informationen aus erster Hand. Wir informieren Sie mit unseren Newslettern über aktuelle Themen wie Abgasskandal, Datenschutzrecht oder Bankenskandale.