Führen einer Blacklist mit Kundendaten: Vorsicht beim Datenschutz

05.06.2019

Einige Unternehmen führen schwarze Listen, auf denen unerwünschte Kunden oder Geschäftspartner stehen. Das Führen einer solchen Blacklist kann jedoch gegen datenschutzrechtliche Vorschriften verstoßen. Zur Vermeidung von Bußgeldern ist daher zu prüfen, ob der Einsatz von Blacklists überhaupt zulässig ist.

Sinn und Zweck einer Blacklist

Im Normalfall soll eine Blacklist das Unternehmen schützen, z.B. vor Kunden mit schlechter Zahlungsmoral oder vor unzuverlässigen Geschäftspartnern. Sollte sich eine Geschäftsbeziehung anbahnen, lässt sich mithilfe solch einer Liste im Vorfeld prüfen, ob der potenzielle Vertragspartner schon einmal Schwierigkeiten bereitet hat.

Es können Verstöße gegen den Datenschutz drohen

Allerdings gibt es auch Unternehmen, die schwarze Listen zu anderen Zwecken führen und sich damit aus rechtlicher Sicht auf Glatteis begeben oder sogar zweifelsohne gegen den Datenschutz verstoßen. So greifen einige Arbeitgeber auf Listen zurück, um den Aufwand im Personalwesen zu reduzieren. Auf solch einer Blacklist können Personen stehen, die als Mitarbeiter unerwünscht sind, weil diese beispielsweise im Vorstellungsgespräch nicht überzeugen konnten oder sich einst in der Öffentlichkeit negativ über das Unternehmen geäußert haben.

Ebenso kritisch ist der Austausch schwarzer Listen bzw. die damit einhergehende Übermittlung personenbezogener Daten an andere Unternehmen zu betrachten. Zwar muss er nicht zwangsläufig einen Datenschutzverstoß bedeuten, allerdings besteht ein gewisses Risiko.

Wenn die zuständige Aufsichtsbehörde ein Bußgeld verhängt

Angesichts solcher Szenarien überrascht es nicht, dass die Aufsichtsbehörden der Länder genau hinsehen, sobald sie auf Blacklists stoßen. Im Mai dieses Jahres wurde eine Berliner Online-Bank aufgrund des Führens einer Blacklist bestraft. Die Bank führte eine Liste, auf der ehemalige Kunden mit schlechter Zahlungsmoral standen.

Hierin sah die Aufsichtsbehörde einen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO). Als Folge verhängte sie gegen die Bank ein Bußgeld, das sich auf 50.000 Euro beläuft. Die Bank teilte mit, gegen das verhängte Bußgeld vorgehen zu wollen.

Schwarze Listen sind nicht grundsätzlich verboten

Das Durchgreifen einer Aufsichtsbehörde in einem einzelnen Fall heißt nicht automatisch, dass das Führen schwarzer Listen aus datenschutzrechtlicher Sicht grundsätzlich verboten ist. Richtungsweisend ist zunächst die geltende Gesetzeslage, d.h. Unternehmen sollten zunächst prüfen, ob Gesetze bestehen, die das Führen bestimmter Listen unmittelbar verbieten. Insbesondere DSGVO und BDSG sind zu berücksichtigen.

Die DSGVO besagt, dass Erhebung und Verarbeitung personenbezogener Daten ein berechtigtes Interesse erfordern. Für das Führen einer Blacklist kann solch ein Interesse durchaus bestehen, beispielsweise um Gebrauch vom Verweigerungsrecht zu machen. Sofern kein Kontrahierungszwang besteht, kann ein Unternehmen selbst bestimmen, mit wem es Verträge schließen möchte. Liegt ein berechtigtes Interesse vor, ist im nächsten Schritt abzuwiegen, welche Interessen stärker wiegen, d.h. die Interessen des Betroffenen oder die des Unternehmens.

Was tun, wenn schwarze Listen bestehen oder geplant sind?

Damit ist klar, wie zu verfahren ist, wenn ein Unternehmen bereits mit schwarzen Listen arbeitet oder plant, solche einzuführen. Es ist zu prüfen, ob rechtliche Einschränkungen bestehen, welche das Führen der Listen untersagen.

Wie die Prüfung im Detail aussieht, ist je nach Einzelfall verschieden. Letztlich kommt es darauf an, welche Daten das Unternehmen festhalten möchte, aus welchen Gründen dies geplant ist und wie schwer die Interessen aller Beteiligten wiegen. Ein Prüfung kann folglich ergeben, dass das Führen einer Blacklist aus rechtlicher Sicht zulässig ist oder das Unternehmen hingegen davon absehen sollte.

Ihre Experten für Datenschutz

Sie haben ein Anliegen rund um den betrieblichen Datenschutz und benötigen professionelle Unterstützung? Bundesweit stehen wir Unternehmen als externer Datenschutzbeauftragter zur Seite und entwickeln praxisgerechte Datenschutzlösungen. Gerne unterstützen wir auch Sie – wir freuen uns auf Ihre Anfrage per Telefon (0800-5600831) oder über unser Kontaktformular.