18.03.2026
Zurück zur Übersicht
Zurück zur Übersicht
18.03.2026

Geschäftliche E-Mail auf Facebook-Seite

Die Datenschutz-Grundverordnung (DS-GVO)

unterscheidet nicht zwischen personenbezogenen

Daten privat oder geschäftlich auftretender

natürlicher Personen.

Durch eine Mitteilung wurde dem Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) bekannt, dass ein in Thüringen ansässiges Unternehmen auf seiner öffentlichen Facebook-Seite einen Beitrag veröffentlicht hatte, auf dem mehrere Bildschirmfotos vom elektronischen Schriftverkehr mit Geschäftspartnern des Unternehmens zu sehen waren, um diese verächtlich zu machen. Hierunter befand sich auch das Bildschirmfoto einer E-Mail, in der der vollständige Name und die Mobilfunknummer des damaligen Geschäftsführers eines Partnerunternehmens erkennbar waren. Der von der Datenverarbeitung betroffene Geschäftsführer des Partnerunternehmens hatte in die Veröffentlichung seiner personenbezogenen Daten nicht eingewilligt.

Sodann wurde beim TLfDI ein Ordnungswidrigkeitenverfahren gegen das Unternehmen eingeleitet, das den Beitrag auf seiner Facebook-Seite veröffentlicht hatte.

Im Rahmen der Anhörung durch den TLfDI gemäß § 55 Ordnungswidrigkeitengesetz § 163a Abs. 1 Strafprozessordnung erklärte der Geschäftsführer des im Bußgeldverfahren betroffenen Unternehmens, dass ihm hinsichtlich der Veröffentlichung des Bildschirmfotos der EMail nicht bewusst gewesen sei, dass er die personenbezogenen Daten des Geschäftsführers des Partnerunternehmens hätte unkenntlich machen müssen, da es sich hierbei um dessen E-Mail-Signatur gehandelt habe und die Daten im Rahmen der geschäftlichen Tätigkeit ohnehin im Umlauf seien. Darüber hinaus entschuldigte sich der Geschäftsführer des betroffenen Unternehmens und kündigte an, den Beitrag von der Facebook-Seite zu löschen.

Nach Art. 83 Abs. 5 Buchstabe a) Datenschutz-Grundverordnung (DS-GVO) handelt ordnungswidrig, wer gegen die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9 DS-GVO verstößt. Vorliegend hatte das betroffene Unternehmen mit der Veröffentlichung des Bildschirmfotos der E-Mail personenbezogene Daten im Sinne des Art. 4 Nr. 1 DS-GVO durch Übermittlung offengelegt und damit im Sinne des Art. 4 Nr. 2 DS-GVO verarbeitet. Die Verarbeitung dieser Daten erfolgte unrechtmäßig. Nach Art. 5 Abs. 1 Buchstabe a) DS-GVO müssen personenbezogene Daten auf rechtmäßige Weise verarbeitet werden. Aus Art. 6 Abs. 1 DS-GVO ergibt sich, dass nur unter den dort genannten Bedingungen eine Datenverarbeitung zulässig ist. Vorliegend konnte die Verarbeitung der personenbezogenen Daten nicht auf eine Einwilligung nach Art. 6 Abs. 1 Satz 1 Buchstabe a) DSGVO gestützt werden. Hierzu wäre es erforderlich gewesen, dass der Geschäftsführer des Partnerunternehmens vorab und in Kenntnis des Zweckes der Verarbeitung in die Offenlegung seiner Daten eingewilligt hätte. Eine solche Einwilligung lag dem betroffenen Unternehmen jedoch nicht vor. Die Einlassungen des Geschäftsführers des betroffenen Unternehmens im Rahmen der Anhörung durch den TLfDI schlossen die Annahme des Vorliegens weiterer Erlaubnistatbestände gemäß Art. 6 Abs. 1 DS-GVO aus. Auch waren solche nach Aktenlage nicht erkennbar.

Aufgrund dieser Sach- und Rechtslage erging ein Bußgeldbescheid gegen das betroffene Unternehmen. Bei der Bemessung der Geldbuße gemäß Art. 83 Abs. 2 DS-GVO wurde durch den TLfDI ein vorsätzliches Handeln berücksichtigt. Mildernd wirkte sich demgegenüber aus, dass sich der Geschäftsführer des betroffenen Unternehmens für die Veröffentlichung des Bildschirmfotos der hier relevanten E-Mail entschuldigt hatte. Verschärfend musste jedoch berücksichtigt werden, dass der Beitrag auf der Facebook-Seite des betroffenen Unternehmens zum Zeitpunkt des Erlasses des Bußgeldbescheides entgegen der Ankündigung im Rahmen der Anhörung nicht gelöscht, sondern noch immer öffentlich abrufbar war.

Das betroffene Unternehmen legte gegen den Bußgeldbescheid form- und fristgerecht Einspruch ein. Der später mandatierte Verteidiger des betroffenen Unternehmens stützte den Einspruch im Wesentlichen auf die Rechtsauffassung, dass die Veröffentlichung der personenbezogenen Daten des Geschäftsführers des Partnerunternehmens rechtmäßig erfolgt sei, da dieser vorliegend nicht als natürliche Person gehandelt und zudem in einer geschäftlichen Beziehung zum betroffenen Unternehmen gestanden habe. Zudem habe der Geschäftsführer des Partnerunternehmens seine personenbezogenen Daten selbst zum Zwecke einer direkten geschäftlichen Kontaktaufnahme beispielsweise im öffentlichen Verkehrsraum öffentlich gemacht. Aus diesem allgemeinen „Veröffentlichungsverhalten“ sei daher auch auf eine konkludente Einwilligung zur Verarbeitung seiner Daten durch das betroffene Unternehmen zu schließen. Das zuständige Amtsgericht Erfurt verwarf den Einspruch, erhöhte die Geldbuße im unteren vierstelligen Bereich um 1.000 Euro und folgte insoweit der Rechtsauffassung des TLfDI. Demnach handelt es sich bei den Angaben zum vollständigen Namen und der Mobilfunknummer des Geschäftsführers des Partnerunternehmens um personenbezogene Daten, da die DS-GVO nicht zwischen personenbezogenen Daten privat und geschäftlich auftretender natürlicher Personen unterscheidet, sodass sowohl Privatperson wie auch Angestellte, Selbständige oder sonst wie beruflich Handelnde hinsichtlich ihrer personenbezogenen Daten, zu denen auch dienstliche Telefonnummern zählen, durch die DS-GVO geschützt werden. Unschädlich ist es auch, wenn der Geschäftsführer des Partnerunternehmens seine personenbezogenen Daten selbst öffentlich gemacht hat, denn die DS-GVO schützt auch diese personenbezogenen Daten im Rahmen einer (Weiter-) Verarbeitung durch Dritte. Natürliche Personen sind auch und gerade in der Öffentlichkeit „privat“, denn die DSGVO schützt nicht allein „Privatheit“ oder „Abgeschiedenheit“ im Sinn eines „Allein-gelassen-Werdens“, sondern in einem weiteren Verständnis die informationelle Selbstbestimmung und Individualität des Einzelnen in all ihren Facetten und ist nicht auf die der Öffentlichkeit entzogenen Sachverhalte beschränkt. Soweit der Verteidiger die vermeintliche Rechtmäßigkeit der Datenverarbeitung schließlich auf die Geschäftsbeziehungen zwischen dem betroffenen Unternehmen und dem Partnerunternehmen zu stützen versuchte, käme eine Verarbeitung in Betracht, die zur Erfüllung eines Vertrages nach Art. 6 Abs. 1 Satz 1 Buchstabe b) DS-GVO erforderlich war. Ob eine Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrages erforderlich ist, hängt davon ab, ob ein unmittelbarer sachlicher Zusammenhang zwischen der beabsichtigten Datenverarbeitung und dem konkreten Zweck des rechtsgeschäftlichen Schuldverhältnisses besteht. Hier lag jedoch lediglich eine vertragliche Beziehung zwischen dem betroffenen Unternehmen und dem Partnerunternehmen vor, sodass bereits unter diesem Aspekt eine rechtmäßige Datenverarbeitung nicht in Betracht kam. Aber selbst wenn man eine vertragliche Beziehung zwischen dem betroffenen Unternehmen und dem Geschäftsführer des Partnerunternehmens selbst bejahen würde, wäre die Veröffentlichung einer geschäftlichen E-Mail auf der Facebook-Seite des betroffenen Unternehmens unter keinen Umständen zur Erfüllung des Vertrages erforderlich, da die Veröffentlichung ausschließlich der Verächtlichmachung diente.

Die inzwischen rechtskräftige Geldbuße ist damit zugleich wirksam, verhältnismäßig wie ausreichend abschreckend für die Zukunft.

Quelle: Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI).

Sind Sie sich sicher, ob Ihr Unternehmen oder Ihre Behörde im Hinblick auf Datenschutz und Datensicherheit richtig aufgestellt ist, so wie es der geschilderte Fall nahelegt?

Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks