In der täglichen Beratungspraxis erlebt man es allzu oft: Beschäftigte einer Organisation nutzen ihren privaten Messenger-Account zur Kommunikation mit Kunden. Dass diese Schatten-IT ganz schnell mit Ärger für die Organisation enden kann, zeigt ein Urteil des Landgerichts Baden-Baden vom 24.08.2023.

Was war geschehen:

Eine Kundin kaufte bei einem Unternehmen einen Fernseher und eine Wandhalterung. Im Rahmen des Kaufvorgangs wurden ihre Daten erfasst. Nachdem sie später die Wandhalterung wieder zurückgab, wurde ihr versehentlich der höhere Kaufpreis des Fernsehers erstattet. Als das Unternehmen den Fehler bemerkte, kontaktierte eine Mitarbeiterin die Kundin über ihren privaten Instagram-Account, um sie auf das Versehen hinzuweisen. Kurz darauf erhielt die Kundin eine weitere Nachricht über Instagram mit der Aufforderung, sich mit dem "Chef" der Mitarbeiterin in Verbindung zu setzen.

Datenschutzrechtliche Bedenken

1. Die Kundin verlangte daraufhin mit Verweis auf Artikel 15 DSGVO Auskunft darüber, welche Beschäftigten des Unternehmens Zugriff auf ihre personenbezogenen Daten hatten.
2. Sie forderte zudem das Unternehmen auf, seinen Beschäftigten die Nutzung ihrer Daten auf privaten Kommunikationsgeräten zu untersagen.

Das Unternehmen stellte sich gegen die Aufforderungen, so dass es zur Klage kam. In erster Instanz wies das zuständige Amtsgericht die Klage mit Urteil vom 21.02.2023 (man merke sich das Datum) ab und begründete dies damit, dass der Auskunftsanspruch, die Beschäftigten zu benennen, nicht bestünde, da Beschäftigte eines Unternehmens keine „Empfänger“ im Sinne von Art. 15 Abs. 1 lit. c) DSGVO, Art. 4 Nr. 9 DSGVO seien. Darüber hinaus sei die begehrte Verurteilung, den Beschäftigten der Beklagten die Nutzung der personenbezogenen Daten der Kundin auf ihren privaten Kommunikationsgeräten zu untersagen, nicht begründet.

Sie merken schon: dem Begriff „Empfänger“ kommt hier eine besondere Bedeutung zu. Er ist in Artikel 4 Nr. 9 DSGVO definiert:

„Empfänger“ [ist] eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.

Das Amtsgericht machte seine Entscheidung daran fest, dass Beschäftigte grundsätzlich immer eng mit der Organisationssphäre verbunden sind und ihnen gegenüber deshalb - und das ist ebenfalls wichtig - per se personenbezogene Daten, welche die Organisation verarbeitet, nicht „offengelegt“ werden können, weil sie als Beschäftigten ja ganz eng mit der Organisation verbunden und häufig in die Datenverarbeitung direkt einbezogen sind.

Die Zeitgeschichte überrennt das Amtsgericht

Jetzt muss man allerdings festhalten, dass in diesem Fall die Zeitgeschichte das Amtsgericht bei der Interpretation des Begriffs „Empfänger“ überholt hatte, denn in einer Rechtsprechung vom 22.06.23 (jetzt wissen Sie vermutlich, weshalb Sie sich das Datum merken sollten) schränkt der EuGH ein, dass Beschäftigte eines für die Datenverarbeitung Verantwortlichen grundsätzlich nicht als Empfänger anzusehen seien. Dies gelte aber nur dann, wenn sie unter der Aufsicht des Verantwortlichen und im Einklang mit seinen Weisungen die Daten verarbeiteten.

Dies bedeutet: Handelt die beschäftigte Person eigenmächtig und nicht auf explizite Weisung des Arbeitgebers, kann sie als „Empfänger“ angesehen werden.

Wenn die beschäftigte Person als „Empfänger“ anzusehen ist, stellt sich in der Folge dann die Frage, auf welcher Rechtsgrundlage das Unternehmen die Kundendaten dem „Empfänger“ gegenüber offengelegt hat und welche Rechtsgrundlage für die Verarbeitung der Daten beim „Empfänger“ herangezogen werden kann.

Auf diese, durch die vom EuGH zwischenzeitlich neu geschaffene Interpretation bezog sich das Landgericht Baden-Baden in der Revision und gab mit Urteil vom 24.08.2023 (der Vollständigkeit halber noch ein wichtiges Datum) (Az: 3 S 13/23) der Kundin Recht. Es betonte, dass Mitarbeiter, die Kundendaten auf privaten Accounts verwenden, als "Empfänger" im Sinne der DSGVO gelten. In der Konsequenz wurde das Unternehmen verpflichtet, der Kundin die Namen der betroffenen Mitarbeiter zu nennen und ihnen die weitere Verwendung der Daten auf privaten Geräten zu untersagen.

Es bleibt festzuhalten, dass es nicht geklärt ist, wie das Landgericht ohne die Einschätzung des EuGH geurteilt hätte. Der EuGH hat ja nichts grundlegend Neues formuliert, sondern lediglich die Grauzone der privat umgesetzten Kommunikation im Geschäftskontext geklärt.

Die Botschaft ist klar

Nutzen Beschäftigte ihre privaten Messenger wie WhatsApp, Facebook, Instagram oder andere in der Kommunikation mit Kunden, wird das Eis ganz schnell ganz dünn. Wenn sich das ohne klare Regelung als „alternativer Kommunikationsweg“ eingeschlichen hat, gibt das verantwortliche Unternehmen die Datenverarbeitung in diesem Bereich ohne Kontrollmöglichkeit aus der Hand. Wie schnell das unbequem werden kann, zeigt dieser Fall. Dass die Rechtsprechung zu diesem Ergebnis kommen wird, war nur eine Frage der Zeit.

Im Ergebnis unterstreicht dieses Urteil die Notwendigkeit für Unternehmen, sich Gedanken darüber zu machen, wie die „Schatten-IT“ der privaten Messengerdienste bei Beschäftigten in der Kommunikation mit Kunden in den Griff zu bekommen ist. Spätestens jetzt müssen klare Richtlinien für den Umgang mit Kundendaten erstellt werden. Mal kurz eine WhatsApp-Nachricht an Kunden über das private Smartphone oder den privaten Account eines Beschäftigten ist datenschutzrechtlich eben nicht mehr zeitgemäß. Die Kundin hat aufgezeigt, dass hier aus ihrer Sicht eine rote Linie überschritten wurde. Und ihr Recht auf Privatheit angemessen zu schützen, ist eine der zentralen Aufgaben des Datenschutzes.

Dass die Nutzung privater Kommunikationsmittel für geschäftliche Zwecke erhebliche datenschutzrechtliche Risiken birgt, haben viele Unternehmen noch nicht verinnerlicht. Aber sie sind verpflichtet, ihre Mitarbeiter entsprechend zu schulen und sicherzustellen, dass Kundendaten geschützt und vertraulich behandelt werden. Und das Wichtigste dabei aus Sicht der Unternehmen: Gute Worte alleine genügen nicht. Die Maßnahmen müssen im Zweifelsfall gemäß Artikel 5 Absatz 2 DSGVO in Verbindung mit Artikel 25 Absatz 1 DSGVO auch nachgewiesen werden können.

Fazit

Allzu oft sieht man auch heute noch, dass Unternehmen die Nutzung diverser Messengerdienste auf privater Ebene durch ihre Beschäftigten in der Kommunikation mit Kunden sorglos sehen. Das Urteil des Landgerichts Baden-Baden ist ein weiterer Hinweis, wie schnell das schief gehen kann. Es zeigt, wie ratsam es ist, klare datenschutzrechtliche Richtlinien zu setzen und sicherzustellen, dass diese von allen Mitarbeitern befolgt werden.