Das Thema
Auch die hier besprochene Entscheidung des LG Baden-Baden hat das Potenzial, hohe Wellen zu schlagen. Denn hiernach muss ein Unternehmen im Rahmen der Auskunft nach Art. 15 DSGVO die Namen von Mitarbeitern preisgeben, wenn diese Kunden über private Social-Media-Accounts wegen Unstimmigkeiten bei einem Kaufvertrag kontaktieren. Dabei galt doch eigentlich die Regel, dass im Rahmen einer datenschutzrechtlichen Auskunft Mitarbeiter der verantwortlichen Stelle nicht genannt werden müssen, egal wie munter man sich intern die Daten von links nach rechts schiebt. Das LG Baden-Baden entschied dann aber getreu dem Motto „keine Regel, ohne Ausnahme“.
Über welchen Sachverhalt musste das Gericht entscheiden?
Der Sachverhalt zum Urteil des LG Baden-Baden ist schnell erzählt: Die Klägerin hatte bei dem beklagten Unternehmen einen Fernseher und eine dazugehörige Wandhalterung gekauft. Im Zusammenhang mit diesem Kauf wurden der Name und die Anschrift der Klägerin erfasst. Die Wandhalterung wollte die Klägerin nicht behalten und gab diese zurück. Statt den Betrag für die Wandhalterung zu erstatten, wurde der Klägerin der (höhere) Betrag für den Fernseher erstattet. Die Klägerin freute das sicherlich. Die Mitarbeiter des beklagten Unternehmens dafür umso weniger. Nachdem dieser Fehler bemerkt wurde, kontaktierte zunächst eine Mitarbeiterin die Klägerin über ihren privaten Facebook-Account. Dort wurde die Klägerin auf den Fehler aufmerksam gemacht und um Rückmeldung gebeten. Eine weitere Mitarbeiterin nahm zudem Kontakt zu der Klägerin über Instagram auf. Auch hierbei handelte es sich über den privaten Social-Media-Account der Mitarbeiterin. Zuletzt kam es noch zu einer Kontaktaufnahme über den Messenger WhatsApp. Ebenfalls über einen privaten Account einer dritten Mitarbeiterin.
Die Klägerin verlangte vom beklagten Unternehmen Auskunft nach Art. 15 DSGVO. Nachdem das Unternehmen im Rahmen seiner Auskunft nicht darüber informierte, welche Mitarbeiter die personenbezogenen Daten über die Klägerin erhalten haben, verklagte die Klägerin das Unternehmen auf weitergehende Auskunft. Nach ihrer Ansicht war die Auskunft nicht vollständig, weil die Mitarbeiterinnen nicht namentlich benannt wurden, obwohl es sich hierbei um „Empfänger“ im Sinne von Art. 15 Abs. 1 c), 4 Nr. 9 DSGVO handelte.
Das Amtsgericht Brühl (Urt. v. 21.02.2023 – 3 C 210/22) wies die Klage ab. Begründet hat es seine Entscheidung damit, dass Mitarbeiter des Verantwortlichen gerade keine „Empfänger“ darstellten. Auch die weitergehende Klage auf Verurteilung, den Mitarbeitern die Nutzung der personenbezogenen Daten der Klägerin auf ihren privaten Kommunikationsgeräten zu untersagen, wurde vom Amtsgericht abgewiesen. Gegen diese Entscheidung legte die Klägerin Berufung beim LG Baden-Baden ein.
Wie hat das LG Baden-Baden entschieden?
Das LG Baden-Baden hat der Berufung der Klägerin stattgegeben und das beklagte Unternehmen u.a. auch zur Auskunft über die Namen der Mitarbeiterinnen verurteilt. Nach Ansicht der Kammer handelten die Mitarbeiterinnen entgegen den Weisungen und der Aufsicht des beklagten Unternehmens und seien deswegen ausnahmsweise als Empfänger anzusehen. Hierzu stellte das LG Baden-Baden u.a. fest:
„Zwar können Arbeitnehmer des Verantwortlichen nicht als Empfänger im Sinne von Art. 15 Abs. 1 c) DSGVO angesehen werden, wenn sie personenbezogene Daten unter der Aufsicht dieses Verantwortlichen und im Einklang mit seinen Weisungen verarbeiten (vgl. EuGH, Urteil vom 22.06.2023, C-579/21, Rn. 73). Soweit die Information über Mitarbeiter jedoch erforderlich ist, um den Auskunftsberechtigten in die Lage zu versetzen, die Rechtmäßigkeit der Verarbeitung seiner Daten zu überprüfen und sich insbesondere davon zu überzeugen, dass die Verarbeitungsvorgänge tatsächlich gemäß Art. 29 DSGVO unter der Aufsicht des Verantwortlichen sowie im Einklang mit seinen Weisungen durchgeführt wurden, kann ein Auskunftsanspruch dennoch bestehen (so EuGH, Urteil vom 22.06.2023, C-579/21, Rn. 75). […] Ausgehend davon besteht vorliegend ein Anspruch der Klägerin auf Auskunft über die Mitarbeiter, denen die Daten der Klägerin zur Kontaktaufnahme über den privaten Account deines Messengerdienstes offengelegt worden sind; diese sind Empfänger.“
Unter Hinweis auf die Entscheidung des EuGH in der Rechtssache C-579/21 hat das LG Baden-Baden also kurz und knapp hinsichtlich der Mitarbeiter festgestellt: „diese sind Empfänger“. Diese Herleitung kann aber nicht ganz ohne Kritik bleiben, denn in der Klarheit, wie es die Kammer aus Baden-Baden meint, hat der EuGH eine solche Feststellung wohl nicht getroffen.
Handeln unter Aufsicht oder Exzess?
Vielmehr ging es dort doch eher um die Frage, ob einer Auskunftserteilung die Regelung in Art. 15 Abs. 3 DSGVO entgegensteht, weil eine vollständige Auskunftserteilung bestimmte Mitarbeiter identifizierbar machen würde und deren Rechte daher entgegenstehen könnten. Dies gilt vor allem dann, wenn die Mitarbeiter unter Aufsicht des Verantwortlichen und auf dessen Weisung gehandelt haben und damit gerade keine Empfänger im Sinne von Art. 4 Nr. 9, 15 Abs. 1 c) DSGVO sind. Ab welchem Grad des eigenen Handelns ein Mitarbeiter nicht mehr unter Aufsicht des Verantwortlichen und auf dessen Weisung, mithin im Exzess handelt, musste der EuGH nicht feststellen.
Die Datenschutzkonferenz (DSK) hat den Exzess in ihrer Entschließung vom 03.04.2019 definiert als
„Handlungen von Beschäftigten, die bei verständiger Würdigung nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zugerechnet werden können“.
Das umfasst solche Fälle, in denen sich der Arbeitnehmer außerhalb seines arbeitsvertraglich vorgesehenen Aufgabenbereichs aufhält und objektiv betrachtet nicht mehr für seinen Arbeitgeber tätig ist, insbesondere, weil er eigene Zwecke mit der Verarbeitung verfolgt. Die Zurechnung eines solchen Verhaltens zum Unternehmen ist dann sachlich nicht mehr vertretbar, da das Verhalten nicht mehr der unternehmerischen Tätigkeit zuzuordnen ist. Ein solcher Fall lag beispielsweise vor, indem ein Polizist eine polizeiliche Datenbank zu rein privaten Zwecken abgerufen hatte (OLG Bamberg, Beschl. v. 28.08.2018 – 2 Ss OWi 949/18). Auch in anderen Fällen wurde ein Exzess angenommen, in denen beruflich bekanntgewordene Informationen für rein private Zwecke verwendet wurden. So einfach bzw. eindeutig lag der Fall hier aber gerade nicht. Zum einen verfolgten die Mitarbeiter bereits aus ihrer subjektiven Vorstellung keine eigenen, privaten Zwecke. Sie wollten das im beruflichen Kontext aufgekommene Versehen auflösen. Aber auch aus Sicht der betroffenen Person erfolgte die Kontaktaufnahme der drei Mitarbeiter nicht aus eigenen, privaten Zwecken. Für die Klägerin war der geschäftliche Kontext der Kontaktaufnahme unmittelbar erkennbar. Vor diesem Hintergrund ist die apodiktische Feststellung des LG Baden-Baden „diese sind Empfänger“ nicht in Stein gemeißelt.
Was bedeutet die Entscheidung für die Praxis?
Die Entscheidung des LG Baden-Baden ist in der Welt und Unternehmen müssen sich mit ihr auseinandersetzen. Wie dargestellt, sind die Feststellungen des Gerichts in einer Konstellation wie der vorliegenden (Mitarbeiter bewegt sich außerhalb dienstlicher Anweisung, handelt allerdings ausschließlich zu geschäftlichen Zwecken) nicht zwingend. Zumal die Erstreckung der Auskunft auf die Mitarbeiter damit begründet wurde, nur so könne die betroffene Person die Rechtmäßigkeit der Verarbeitung durch das Unternehmen überprüfen. Hierfür war allerdings die Nennung der Namen der Mitarbeiter offensichtlich nicht erforderlich, denn die Rechtswidrigkeit der Verarbeitung der personenbezogenen Daten auf den privaten Endgeräten von Mitarbeitern wurde selbst vom beklagten Unternehmen nicht in Abrede gestellt. Entsprechend hatte das LG Baden-Baden die Rechtswidrigkeit der Verarbeitung auf privaten Endgeräten feststellen können und das beklagte Unternehmen den Mitarbeitern eine weitere Speicherung der Daten auf den privaten Endgeräten zu untersagen.
Jedenfalls wegen dieser Feststellung ist das Urteil für Unternehmen dennoch beachtenswert. Die Entscheidung zeigt noch einmal auf, wie wichtig es ist, die eigenen Mitarbeiter im Umgang mit personenbezogenen Daten von Kunden zu sensibilisieren:
- Eine Weiterleitung der Kontaktdaten auf private Endgeräte ist bereits nicht erforderlich, um dienstliche Zwecke zu verfolgen. Auch nicht, um schnell und „unkompliziert“ einen dummen Fehler auszubügeln.
- Erfolgt eine dienstliche Kontaktaufnahme dann auch noch über einen privaten Social-Media-Account bewegt man sich sowieso schon jenseits von Gut und Böse.
Eine entsprechende Sensibilisierung der eigenen Mitarbeiter ist umso dringender, wenn im Unternehmen BYOD praktiziert wird oder Mitarbeiter dienstliche Endgeräte auch für private Zwecke verwenden dürfen. In beiden Fällen ist eine Vermischung dienstlicher und privater Zwecke schnell passiert.