Verstoßen Blacklists gegen die DSGVO?

Urteil

Blacklists verstoßen nur unter sehr engen Voraussetzungen nicht gegen die DSGVO. So scheint es zumindest, wenn man der Ansicht der Berliner Datenschutzbeauftragten folgen möchte. Laut einem Bericht des Tagesspiegel hat die nämlich ein Bußgeld in Höhe von 50.000,00 € gegen die Onlinebank N26 verhängt, weil die eine sogenannte Blacklist mit ehemaligen Kunden führt, mit denen keine weiteren Geschäftsbeziehung erwünscht ist.

Blacklist nur bei Geldwäscheverdacht?

Nach Ansicht der Berliner Datenschutzbeauftragten ist eine solche Blacklist nur für Bankkunden zulässig, die unter Geldwäscheverdacht stehen oder bei denen nach Art. 6 lit. f) DSGVO andere triftige Gründe vorliegen, eine erneute Bankverbindung abzulehnen. (Vgl. Jahresbericht 2018, S. 131; Danke an /delegedata für den Hinweis)

Ist das eine vertretbare Ansicht? Oder hat es da eine Landesaufsicht mal wieder nicht geschafft, ihre Datenschutzbrille abzusetzen? Ist das Führen einer Blacklist, um mit ehemaligen Kunden nicht erneut in Geschäftsbeziehung zu treten, wirklich kein triftiger Grund?

Natürlich braucht eine Bank oder auch jegliches andere Unternehmen eine Ermächtigungsgrundlage um eine Blacklist führen zu können. In Betracht kommt hier nur Artikel 6 Abs. 1 lit. f) DSGVO, nämlich das berechtigte Interesse der verarbeitenden Stelle, wie auch die Berliner Datenschutzbeauftragte richtig erkannte. Nach Artikel 6 Abs. 1 lit. f) DSGVO wäre die Verarbeitung nur rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Es läuft also auch hier auf eine Interessenabwägung hinaus. Die Interessen der Bank, eine solche Liste zu führen, sind dem Interesse des Betroffenen, dass seine personenbezogenen Daten nicht in diesem Rahmen verarbeitet werden, gegenüberzustellen.

Vertragsfreiheit vs. Datenschutz

Das Interesse der Bank dürfte hier schnell gefunden sein. Die Bank möchte mit ehemaligen Kunden, mit denen sie aus unterschiedlichen Gründen schlechte Erfahrungen gemacht hat, keine weiteren Geschäftsbeziehungen unterhalten. Diesem Wunsch liegt ein elementares Recht unserer Rechtsordnung zugrunde: Das Recht der Privatautonomie.

Im Zivilrecht äußert sich dieses Recht unter anderem in der Vertragsfreiheit. Die Vertragsfreiheit ist nach ständiger Rechtsprechung des Bundesverfassungsgerichts als Ausfluss der allgemeinen Handlungsfreiheit durch Art. 2 Abs. 1 unseres Grundgesetzes geschützt und gestattet es jedem, Verträge abzuschließen, die sowohl hinsichtlich des Vertragspartners als auch des Vertragsgegenstandes frei bestimmt werden können, sofern hierdurch nicht gegen zwingende Vorschriften des geltenden Rechts, gesetzliche Verbote oder die guten Sitten verstoßen wird.

Ausnahme: Kontrahierungszwang

Ein wichtiger Aspekt hierbei ist auch die negative Vertragsfreiheit. Wir sind bei der Wahl unserer Vertragspartner frei. Wenn wir mit jemandem keinen Vertrag abschließen wollen, dann müssen wir das grundsätzlich auch nicht. Ausnahmen kann es nur durch gesetzlich festgelegte Sondertatbestände geben, die einzelnen Rechtssubjekten einen Kontrahierungszwang in bestimmten Situationen auferlegen können. Ein solcher Kontrahierungszwang besteht beispielweise für Stromanbieter oder andere Institutionen, die für die Daseinsvorsorge verantwortlich sind.

Wenn also die N26 Bank mit bestimmten Personen keine Verträge abschließen möchte, dann ist das zunächst mal ihr gutes Recht; und dieses Recht kann sie wohl am besten verfolgen, wenn sie eine Blacklist mit Personen, zu denen sie keine Vertragsbeziehungen wünscht, pflegt. Etwas Anderes würde freilich gelten, wenn auch die N26 Bank einem Kontrahierungszwang unterliegen würde. Denn wenn die N26 verpflichtet wäre, mit Jedermann ein Vertragsverhältnis einzugehen, dann würde das Führen einer Blacklist keinen legitimen Zweck verfolgen und könnte schwerlich mit dem berechtigten Interesse begründet werden.

Unterliegen Banken einem Kontrahierungszwang?

Auch Banken unterliegen einem Kontrahierungszwang. Zumindest seit in Kraft treten des Zahlungskontengesetzes zum 19. Juni 2016. Nach §§ 1; 31 I 2 ZKG steht allen Verbrauchern im Sinne des § 2 I ZKG ein Anspruch auf Abschluss eines sogenannten Basiskontos für Jedermann zu. Diese Tatsache spricht zunächst gegen das Erfordernis einer Blacklist. Allerdings ergeben sich aus dem Zahlungskontengesetz auch diverse Ausnahmen von diesem Kontrahierungszwang. So kann die Bank zum Beispiel den Zugang zu einem Basiskonto grundsätzlich verweigern, wenn dem Kunden vorher schon wegen Zahlungsverzuges rechtmäßig gekündigt wurde.

Und allein an diesem Beispiel zeigt sich, dass das wohl nicht so einfach ist mit dem Verbieten von Blacklists. Denn wie, wenn nicht gerade durch das Führen einer ebensolchen Liste kann eine Bank von ihrem Verweigerungsrecht Gebrauch machen?

Zulässige Einschränkung der Vertragsfreiheit?

Es ist zudem nicht ersichtlich, warum die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen im Rahmen der Abwägung überwiegen sollten. Solange eine Blacklist nur firmenintern geführt wird und einzig und allein dem Zweck dient keine zukünftigen Vertragsverhältnisse mit den betroffenen Personen einzugehen, dürfte die Abwägung regelmäßig zugunsten der blacklistführenden Unternehmen ausfallen. Dies muss umso mehr für Unternehmen gelten, die keinem Kontrahierungszwang unterliegen.

Das grundsätzliche Verbieten von Blacklists würde im Ergebnis zu einer erheblichen Einschränkung der Privatautonomie führen, die immerhin zu den Grundwerten einer freiheitlichen Rechts- und Verfahrensordnung gehört.

Konfektionsgröße als Ausschlusskriterium

Wir wissen nicht, auf Grund welcher Kriterien die Blacklist der N26 Bank geführt wurde und selbstverständlich sollte das Führen einer solchen Liste an strenge Regeln, Kontrollen und Transparenzgebote geknüpft sein. Vielleicht hat die N26 Bank ja die Konfektionsgrößen ihrer Kunden zum Ausschlusskriterium erhoben. Das wäre natürlich mehr als grenzwertig und keine zulässige Verarbeitung. Sollte aber allein die Tatsache, dass eine Blacklist mit ehemaligen Kunden existiert, zu denen keine erneute Geschäftsbeziehung erwünscht ist, zum Bußgeldausspruch geführt haben, können wir nur hoffen, dass die Berliner Datenschutzbeauftragte eine grundsätzliche gerichtliche Klärung des Sachverhaltes für erforderlich hält und nur deswegen mal einen rausgehauen hat. Dieses Ziel dürfte sie erreicht haben: Die N26 Bank geht gegen den Bescheid vor.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutzberatung

4 Kommentare zu diesem Beitrag

  1. Wie wäre aus Ihrer Sicht eine Übermittlung oder ein Austausch der firmeninternen Blacklist mit anderen Bank zu bewerten. Wäre hier auch eine positive Interesssenabwägung möglich?

    • Eine pauschale Aussage ist hier nicht möglich, da es immer darauf ankommt auf welche berechtigte Interessen sich die Bank stützt. Grundsätzlich denken wir aber, dass eine Interessenabwägung wohl eher zugunsten der Betroffenen ausfallen dürfte.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.