Kundenkontakt via private Social Media durch Mitarbeitende
Geschrieben von Yannick Garbsch, veröffentlicht am 24.04.2024Ihre Mitarbeiter kontaktieren die Bestands- und Neukundschaft über private Social-Media-Accounts? Dass dies keine gute Idee ist, zeigt nicht zuletzt das Urteil des Landgerichts Baden-Baden vom 24.08.2023.
Warum Kunden nicht via private Social Media kontaktiert werden sollten, wird im Folgenden näher erläutert.
Urteil des Landgerichts Baden-Baden vom 24.08.2023
Im Gerichtsverfahren des Landgerichts Baden-Baden wurde die Rechtmäßigkeit von Kundenkontaktaufnahme via privaten Social-Media-Account durch Mitarbeitende eines Unternehmens behandelt. Im Rahmen des Verfahrens machte eine kontaktierte Kundin als Klägerin einen Auskunftsanspruch geltend. Die Klägerin verlangte von dem verklagten Unternehmen Auskunft über die Identität der Mitarbeiter, die eigenmächtig Kontakt zu ihr über den privaten Social-Media-Account aufnahmen.
Das Urteil fiel zu Gunsten der Klägerin aus, weshalb das beklagte Unternehmen die Identitäten der Mitarbeiter ihr gegenüber offenlegen musste. Der Klägerin wurde des Weiteren ein zivilrechtlicher Unterlassungsanspruch zugesprochen, wonach eine Kontaktaufnahme über privat genutzte Social-Media-Profile zukünftig zu unterlassen ist.
Auf welchen (datenschutzrechtlichen) Hintergründen diese Entscheidung beruht, wird im nächsten Abschnitt erklärt.
Rechtswidriges Kontaktieren über privaten Account
Die Nutzung von personenbezogenen Kundendaten auf den privaten Kommunikationsgeräten ist aufgrund der Rechte und Pflichten der Datenschutzgrundverordnung (DSGVO) rechtswidrig.
Die Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO bedarf immer einer Rechtsgrundlage, um rechtmäßig zu sein. Personenbezogene Daten sind im Sinne von Art. 4 Nr. 1 DSGVO Informationen, die sich auf eine natürliche Person beziehen oder zumindest beziehbar sind und so Rückschlüsse auf deren Persönlichkeit erlauben. Hierunter fällt unter anderem auch der Vor- und Nachname einer Person, mithin auch die Vor- und Nachnamen von Kunden. Werden personenbezogene Daten verarbeitet, wird eine Rechtsgrundlage für diese Verarbeitung benötigt. Entsprechende Rechtsgrundlagen sind in Art. 6 DSGVO enthalten.
Datenverarbeitungen im Rahmen der Kommunikation zwischen Unternehmen und Kunden sind regelmäßig von einer Rechtsgrundlage gedeckt (regelmäßig ist Art. 6 Abs. 1 S. 1 lit. b) die Rechtsgrundlage). Allerdings ist dies in der Regel nur dann der Fall, wenn über übliche, geschäftliche Kommunikationswege kommuniziert wird (Geschäfts-E-Mail, Kundenportal, usw.). Von der Rechtsgrundlage hingegen nicht gedeckt sind personenbezogene Datenverarbeitungen, die bei Kontaktaufnahmen der Unternehmensseite via privater Kommunikationsgeräte stattfinden (beispielsweise durch Mitarbeiter des Unternehmens). Insofern sind diese Datenverarbeitungen mangels Rechtsgrundlage rechtswidrig.
Nicht anders lag der Fall, dem das Landgericht Baden-Baden vorlag. Auch hier war die Kontaktaufnahme von Mitarbeitern des beklagten Unternehmens via privater Accounts mangels Rechtsgrundlage rechtswidrig.
Was sind die Folgen?
Die Verarbeitung personenbezogener Daten ohne Rechtsgrundlage kann mehrere Folgen nach sich ziehen.
Im obigen Fall bezog sich das Klägerbegehren auf folgende zwei Ansprüche.
Zunächst begehrte die Klägerin Auskunft des beklagten Unternehmens über die Identität der Mitarbeiter, welche die Klägerin via privaten Social-Media-Account kontaktierten. Dieser Auskunftsanspruch wurde von dem Gericht bestätigt und basiert auf Art. 15 DSGVO. Art. 15 DSGVO regelt ein Auskunftsanspruch für Personen, deren personenbezogene Daten verarbeitet werden oder wurden.
Unter anderem erstreckt sich der Auskunftsanspruch gemäß Art. 15 Abs. 1 lit. c) DSGVO auch auf Informationen darüber, wer die Empfänger oder Kategorien von Empfängern sind, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden. Bei Mitarbeitern handelt es sich um Empfänger i. S. d. Art. 4 Nr. 9 DSGVO. Dies ist aber nicht der Fall, wenn die Mitarbeiter personenbezogene Daten von Kunden unter Aufsicht des Verantwortlichen und in Einklang mit dessen Weisungen verarbeiten, Art. 29 DSGVO (EuGH, Urteil vom 22.06.2023, C-579/21).
Ein Auskunftsanspruch über die Mitarbeiter in einem solchen Fall kann allerdings doch bestehen. Und zwar wenn diese Informationen dafür erforderlich sind, dass der Kläger die Verarbeitung seiner Daten sowie die Frage, ob die Verarbeitung im Einklang mit den Weisungen des Verantwortlichen steht, prüfen kann (EuGH, Urteil vom 22.06.2023, C-579/21). In einem solchen Fall sind dann die Interessen des Klägers so wie die Interessen der Mitarbeiter, deren personenbezogene Daten offengelegt werden sollen, gegeneinander abzuwägen.
Im genannten Fall wurde eigenmächtig die Klägerin via privatem Account kontaktiert, sodass sich außerhalb der Weisungen des Unternehmens (Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO) bewegt wurde. Auch eine Abwägung würde aufgrund der Überschreitung der Weisung und der damit einhergehenden Rechtswidrigkeit der Datenverarbeitung zu dem Ergebnis kommen, dass die Interessen der Mitarbeiter auf Anonymität in diesem Fall nicht schutzwürdig sind.
Des Weiteren begehrte die Klägerin eine Unterlassung zukünftiger Kontaktaufnahmen über private soziale Medien. Das Landgericht folgte diesem Begehren und sprach der Klägerin einen entsprechenden zivilrechtlichen Unterlassungsanspruch zu. Das Gericht sah in der Verarbeitung mittels privater Kontaktaufnahme mit oben genannter Begründung eine rechtswidrige Verarbeitung, für die das Unternehmen als mittelbarer Störer verantwortlich sei. Denn nach Auffassung des Landgerichts Baden-Baden verursachte die Beklagte die Störung der Rechte der Klägerin dadurch, dass sie deren Daten speicherte und ihren Beschäftigten zugänglich machte.
Weitere Risiken
Neben den angesprochenen negativen Folgen birgt das Kontaktieren via privaten Social Media weitere Risiken:
- Mangelnde Kontrolle: Unternehmen können grundsätzlich nicht die privaten Social-Media-Accounts ihrer Mitarbeiter kontrollieren. Aus diesem Grund haben Unternehmen häufig keine Kontrollmöglichkeiten über die Qualität der Korrespondenzen, die Mitarbeiter mit Kunden via Social Media führen. Insofern könnten qualitätsarme Antworten das Image des Unternehmens negativ beeinflussen.
- Sicherheitsrisiken: Die Nutzung privater Konten kann zu Datenschutz- und Sicherheitsproblemen führen. So drohen beispielsweise unautorisierte Verarbeitungen, Offenlegungen von sensiblen Daten oder das Überschreiten von Speicher- und Löschfristen. Auch hier wirkt sich ein fehlender Kontrollmechanismus negativ aus.
- Verlust der Geschäftskontinuität: Die Kundenkommunikation hängt vom Bestand des Social-Media-Accounts ab. Wird der Account gelöscht, so kann dies zu einer Unterbrechung des Kundenservice führen und die Kundenzufriedenheit negativ beeinflussen.
Empfehlungen
Aufgrund der genannten Folgen und Risiken sollten Unternehmen ihre Mitarbeiter dazu anweisen, Kundenkommunikation nicht über private Social Accounts zu führen. Stattdessen sollten die Mitarbeiter auf die Unternehmenskonten verwiesen werden.
Darüber hinaus sollten die Mitarbeiter eine klare Richtlinie hinsichtlich Kundenkommunikation erhalten. In dieser Richtlinie sind die Mitarbeiter über den Vorgang sowie über die datenschutzrechtlichen Problematiken aufzuklären.
Fazit
Kundenkommunikation sollte nicht über private soziale Netzwerke geführt werden! Dagegen sprechen zahlreiche Gründe wie drohende Datenschutzverletzungen, mangelnde Qualität der Kundenkommunikation sowie Auskunfts- und Unterlassungsansprüche. Wie das Urteil des Landgerichts Baden-Baden zeigt, können sich nicht nur die genannten Risiken, sondern auch die sich daraus ergebenden Konsequenzen realisieren.
Falls Sie Fragen hinsichtlich Datenschutzthemen im Rahmen von Kundenkommunikation haben, können Sie sich bei uns melden. Wir sind Ihnen gerne behilflich.