SBS Firmengruppe Logos

| Datenschutzrecht

Verboten: Kundin wurde auf Social Media angeschrieben


Eine Mitarbeiterin hatte private Kundendaten genutzt, um eine Kundin per Social Media anzuschreiben. Das Landgericht Baden-Baden hat nun in einem Urteil vom 24.08.2023 (Az. 3 S 13/23) entschieden, dass das unzulässig war. So muss nun die Identität der Mitarbeiterin nach Datenschutzgrundverordnung (DSGVO) offengelegt werden.

Es begann mit normalem Kundenkontakt

Der Fall begann mit einem ganz normalen Kundenkontakt. Im Juni 2022 hatte die Klägerin als Kundin bei der Beklagten einen Fernseher und eine Wandhalterung gekauft. Wie es häufig der Fall ist, wurden im Rahmen des Verkaufsprozesses der Name und die Anschrift der Kundin erfasst.

Die Kundin war mit der Wandhalterung allerdings scheinbar unzufrieden. Denn nur wenige Tage später gab sie diese an das Geschäft zurück. Hierbei ereignete sich nun ein Fehler, der noch Konsequenzen haben würde. Die Kundin bekam den Kaufpreis des gesamten Fernsehers erstattet, obwohl sie nur die Halterung zurückgegeben hatte.

Schon am gleichen Tag fiel dem Unternehmen der Fehler auf. Wie sie damit umgingen, war jedoch fragwürdig. Statt sich per Post an die Kundin zu wenden, nutzte eine Mitarbeiterin des Unternehmens den erfassten Namen, um das Social Media Profil der Kundin herauszufinden. Sodann berichtete sie ihr (per Social Media) von dem Versehen und forderte sie auf, sich diesbezüglich mit ihrem „Chef“ in Verbindung zu setzen.

Kundin erhob Klage

Dass ihre Kundendaten auf diese Weise genutzt wurden, empfand die Kundin als unzulässig. Sie erhob Klage dagegen, so angeschrieben zu werden. Darin begehrte sie Auskunft, mitzuteilen, an welche Mitarbeiter ihre personenbezogenen Daten herausgegeben oder übermittelt wurden. Außerdem solle die Beklagte verurteilt werden, ihren Mitarbeitern die Nutzung der personenbezogenen Daten der Kundin auf privaten Kommunikationsgeräten zu untersagen.

Die Beklagte sah sich im Recht. Sie trat der Klage entgegen und bat das Gericht, sie abzuweisen.

Erste Instanz: Amtsgericht weist Klage ab

In der ersten Instanz scheiterte die Klage der Kundin. Das Amtsgericht Bühl wies ihre Klage mit Urteil vom 21.02.2023 (Az. 3 C 210/22) ab. Kernpunkt der Diskussion waren die einschlägigen Regelungen der DSGVO.

Art. 15 DSGVO:

Abs. 1: Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

[…]

c)    die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen.


Auf diese Vorschrift stützte sich also die Kundin, um Auskunft über die Information der entsprechenden Mitarbeiterin zu erlangen. Schauen wir uns nun die Definitionen der wichtigen Begriffe nach der DSGVO an.

Art. 4 DSGVO:

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen […].

2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

[…]

9.. „Empfänger“ eine natürliche oder juristische Person, […], der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.


Das Amtsgericht wies die Klage mit der Begründung ab, Mitarbeiter eines Unternehmens seien eben keine „Empfänger“ im Sinne von Art. 15 Abs. 1 lit. c) DSGVO, Art. 4 Nr. 9 DSGVO. Die Klage sei also in ihrer Gänze nicht begründet. Hiergegen erhob die Klägerin Berufung.

Schließlich: Erfolg beim Landgericht

Das Landgericht beurteilte die Situation etwas anders. Es sah den Kernpunkt der Diskussion ebenfalls darin, ob die Mitarbeiterin „Empfänger“ im Sinne der DSGVO ist. Mitarbeiter seine zwar grundsätzlich keine Empfänger. Nach der Rechtsprechung des Europäischen Gerichtshofs (EuGH) jedoch nur dann, wenn sie unter der Aufsicht des Verantwortlichen und im Einklang mit seinen Weisungen die Daten verarbeiteten. Genau das war hier eben nicht der Fall. Die Mitarbeiterin der Beklagten hatte den Kontakt zur Kundin eigenmächtig über ihren privaten Account hergestellt. Um ihre Rechte effektiv durchsetzen zu können, sei es für die Kundin nun notwendig, die Identität der Mitarbeiterin zu erfahren.

Insgesamt müsse hier eine Abwägung zwischen den Interessen der Parteien vorgenommen werden. Auf der einen Seite stünden die Rechte und Freiheiten der Kundin, auf der anderen Seite die der Mitarbeiter. Da letztere Außerhalb ihrer Weisungen und Befugnisse agierten,  sei ihr Interesse daran, anonym zu bleiben, nicht schutzwürdig. Es müsse also gegenüber den Interessen der Kundin auf Geltendmachung ihrer Ansprüche nach der DSGVO zurückstehen.

Unternehmen muss Mitarbeiter schulen

Außerdem sei das Unternehmen selbst als mittelbare Handlungsstörerin verantwortlich. Die einschlägigen Vorschriften ergeben sich aus den Bürgerlichen Gesetzbuch (BGB) in Verbindung mit der DSGVO.

§ 1004 BGB Beseitigungs- und Unterlassungsanspruch:

Abs. 1: Wird das Eigentum in anderer Weise als durch Entziehung oder Vorenthaltung des Besitzes beeinträchtigt, so kann der Eigentümer von dem Störer die Beseitigung der Beeinträchtigung verlangen. Sind weitere Beeinträchtigungen zu besorgen, so kann der Eigentümer auf Unterlassung klagen.

§ 823 BGB Schadensersatzpflicht:

Abs. 1: Wer vorsätzlich oder fahrlässig das Leben, den Körper, die Gesundheit, die Freiheit, das Eigentum oder ein sonstiges Recht eines anderen widerrechtlich verletzt, ist dem anderen zum Ersatz des daraus entstehenden Schadens verpflichtet.

Abs. 2: Die gleiche Verpflichtung trifft denjenigen, welcher gegen ein den Schutz eines anderen bezweckendes Gesetz verstößt. Ist nach dem Inhalt des Gesetzes ein Verstoß gegen dieses auch ohne Verschulden möglich, so tritt die Ersatzpflicht nur im Falle des Verschuldens ein.


Nach §§ 823 Abs. 2, 1004 BGB analog in Verbindung mit Art. 6 Abs. 1 DSGVO bestehe nun also ein Anspruch der Kundin gegen das Unternehmen. Art. 6 DSGVO regelt, wann eine Datenverarbeitung rechtmäßig ist. Das Unternehmen müsse seine Mitarbeiter nun dazu anhalten, die weisungswidrige fortgesetzte Verwendung der in dem Unternehmen erhobenen personenbezogenen Daten der Kundin zu unterlassen. Am Ende stand also ein voller Erfolg für die Klägerin.


SBS LEGAL – Ihre Kanzlei für das Datenschutzrecht

Datenschutz ist bereits seit einiger Zeit ein Thema, das Unternehmen fast täglich mit neuen rechtlichen Herausforderungen konfrontiert. Als Kanzlei für Datenschutz befasst sich SBS Legal im Datenschutzrecht mit den Anforderungen der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG).  Für Unternehmen aus dem Bereich des Direktvertriebs und des Mittelstandes ist hierbei besonders das Erstellen einer korrekten Datenschutzerklärung attraktiv.

Haben Sie noch Fragen zum Datenschutzrecht?

Sie brauchen eine Beratung im Datenschutzrecht oder einen Datenschutzanwalt, etwa für Frage wann es verboten ist, Kundendaten zu verarbeiten? Dann sind Sie bei uns richtig.

Der Erstkontakt zu SBS Legal ist immer kostenlos.

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutz-Richtlinien gelesen und stimmen diesen hiermit zu.

Zurück zur Blog-Übersicht