Schwarze Listen im Unternehmen: Ist der Datenschutz gewährleistet?

Geschrieben von orgaMAX Redaktionsteam | 27.09.23 11:44

Bei betriebsinternen schwarzen oder Sperr-Listen sollte unbedingt der Datenschutz beachtet werden. In bestimmten Fällen ist es kaum vermeidbar, sich Sperrlisten über Kunden oder Interessenten anzulegen, die durch Fehlverhalten auffallen oder zahlungsunfähig sind. In vielen anderen Fällen verstoßen interne Vermerke gegen die die Datenschutz-Bestimmungen. Ein Beispiel sind geheime schwarze Listen mit personenbezogenen Informationen zum eigenen Personal. Dann drohen hohe Bußgelder.

Interne schwarze Listen: Gründe gibt es viele

Für Unternehmen jeder Größe ist es nützlich, wenn sie geschäftliche Informationen genau im Blick behalten, dokumentieren und analysieren. Das gilt auch für negatives oder verdächtiges Verhalten und unliebsame Eigenschaften von Menschen, die mit dem Betrieb zu tun haben.

Schwarze Listen mit Sperrvermerken werden in vielen Unternehmen geführt: über (frühere) Kunden und Interessenten, Auftragnehmer und Zulieferer, Vertriebs- und Geschäftspartner und oft auch über Mitarbeiterinnen und Mitarbeiter. Häufig finden sich in diesen Listen neben konkreten Vorkommnissen auch subjektive Wertungen. Häufig geht es zudem um Verhalten, das sich juristisch nicht beanstanden lässt. Und fast immer enthalten sie personenbezogene Informationen.

Vorsicht, drohende Datenschutzverstöße

Das ist aus Sicht des Datenschutzrechts ein Problem: Das Führen schwarzer Listen ist mit der Speicherung beziehungsweise Verarbeitung personenbezogener Daten verbunden. Schließlich enthalten sie Namen und Vornamen, Adressen und Kontaktdaten, berufliche Positionen und Geschlechtsangaben. Dazu kommen oft Notizen zum Verhalten und Kommunikationsinhalte. Nicht selten werden selbst heikle Angaben etwa zur Gesundheit, zur ethnischen Zugehörigkeit, zu Weltanschauung oder Religion oder zu Gewerkschafts- und Betriebsratsaktivitäten festgehalten. Ob die Angaben digital gespeichert oder handschriftlich in einer Kladde notiert werden, macht keinen Unterschied.

Das Speichern und Nutzen solcher personenbezogenen Daten erlaubt das europäische Datenschutzrecht im Wesentlichen nur unter vier Voraussetzungen (Art 6 DSGVO):

die Betroffenen haben eingewilligt – das ist bei einer schwarzen Liste kaum der Fall
die Speicherung erfolgt auf vertraglicher Grundlage, auch das ist bei schwarzen Listen selten, meist werden sie nicht in den AGB erwähnt
ein Gesetz oder eine Verordnung verpflichtet zur Datenspeicherung: Das trifft bei internen schwarzen Listen ebenfalls selten zu, auch wenn Unternehmen in bestimmten Branchen oder Konstellationen zu Frühwarnsystemen oder Risikomanagement verpflichtet sind, etwa Banken bei vermuteter Geldwäsche
die Verarbeitung ist „zur Wahrung der berechtigten Interessen“ notwendig: In den meisten Fällen kann nur diese Begründung intern geführte schwarze Listen rechtfertigen. Einen datenschutzrechtlichen Freifahrtschein stellt sie allerdings nicht dar. Im Gegenteil: Diese Rechtfertigung greift nur in ganz bestimmten Fällen und ist an viele Voraussetzungen geknüpft.

Wann sind schwarze Listen grundsätzlich erlaubt?

Es gibt legitime Zwecke, die das Abspeichern oder Festhalten personenbezogener Angaben in schwarzen oder anderen Listen erlauben.

Eine Bank darf beispielsweise Ex-Kunden, bei denen es konkrete Anhaltspunkte auf Geldwäsche oder andere Verstöße gibt, in einer solchen Liste eintragen. Schließlich ist sie gesetzlich verpflichtet, die missbräuchliche Nutzung ihrer Konten zu unterbinden.

Die Glückspiel-Sperrliste für Spielsalons und Casinos, auf der Spielsüchtige eingetragen werden, beruht nicht nur auf Eintragungen durch Angehörige oder den Betroffenen selbst. Die Beschäftigten in Spielsalons sind ebenfalls berechtigt (und verpflichtet), spielsüchtige Besucher dort zu melden.

Grundsätzlich darf jedes Unternehmen eine schwarze Liste anlegen, um sich vor Betrug, Missbrauch und unseriösen oder zahlungsunfähigen Vertragspartnern zu schützen. Typisches Beispiel sind Nicht-Zahler: Jedes Unternehmen hat ein berechtigtes Interesse daran, ihre Namen festzuhalten, um keine erneuten Bestellungen zuzulassen. Eine Geschäftsführung, die solche Vorkehrungen versäumt, riskiert die persönliche Haftung. Allerdings muss dabei das Datenschutzrecht eingehalten werden.

Schwarze Listen gelten als eine Form von Datenverarbeitung

Schwarze Listen sind datenschutzrechtlich selten ohne Risiko. Das Unternehmen, das die Liste führt, muss im Streitfall ihre Berechtigung nachweisen können.

Außerdem stellt die Liste aus DSGVO-Perspektive eine Form von Datenverarbeitung vor, die je nach Größe des Betriebs und seiner Organisation zu datenschutzrechtlichen Pflichten führt: die Berufung eines Datenschutzbeauftragten (Art. 37 DSGVO) beispielsweise oder eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO). Die in der Liste Aufgeführten haben das Recht, Auskunft darüber zu verlangen, ob, wozu und welche Informationen über sie gespeichert werden (Art. 15 DSGVO).

Schwarze Listen in Unternehmen: drei Beispiele für DSGVO-Verstöße

Drei beispielhafte Fälle von Unternehmen, denen interne schwarze Listen beträchtliche Bußgelder einbrachten, machen das rechtliche Risiko deutlich.

Generalverdacht gegen Ex-Kunden bei Online-Bank
Eine Online-Bank hatte 2018 die Namen ehemaliger Kundinnen und Kunden in einer schwarzen Liste festgehalten. Sie durften bei dem Geldinstitut kein erneutes Konto eröffnen. Damit sollte Geldwäsche unterbunden werden: Geldwäscher arbeiten häufig mit schnell wechselnden Konten. Die Bank gab an, dass sie damals nicht zwischen geldwäscheverdächtigen und unverdächtigen Kunden unterscheiden konnte.
Allerdings speicherte sie auf diese Weise personenbezogene Daten von ehemaligen Kunden ohne deren Einwilligung und ohne konkrete Verdachtsmomente. Das brachte dem Geldhaus ein Bußgeld in Höhe von rund 50.000 Euro ein.
Interne KO-Kriterien für Wohnungsbewerber
Eine Bremer Wohnungsbaugesellschaft in öffentlichem Eigentum erhielt von der Datenschutzbeauftragten des Bundeslandes einen Bußgeldbescheid (PDF) über 1,9 Millionen Euro.
Hintergrund war ein Rassismus-Skandal, der durch Medienberichte ins Rollen gekommen war. Das Unternehmen hatte Listen zu persönlichen Merkmalen von Wohnungsbewerbern angelegt. Durch ein System interner Kürzel sollten sie von bestimmten Wohnungen ferngehalten werden, so etwa Bewerberinnen und Bewerber mit Migrationshintergrund, dunkler Hautfarbe, mit Kopftuch oder schlechten Deutschkenntnissen oder aus Obdachlosenheimen. Selbst Anmerkungen zur Frisur oder zum Körpergeruch wurden aufgezeichnet. Betroffene, die Auskunftsanträge zu den über sie gespeicherten Daten stellten, erfuhren nichts von ihren Listeneinträgen.
Für diese Speicherung personenbezogener Daten gab es keine rechtmäßige Begründung. Sie beruhte auf Diskriminierungsabsicht und war für den Abschluss von Mietverträgen nicht erforderlich. Die Bremer Datenschutzbehörde wies ausdrücklich darauf hin, dass das Ausmaß der Rechtsverletzung ein wesentlich höheres Bußgeld ermöglicht hätte. Es wurde nur durch die umfassende Kooperation der Gesellschaft verhindert.
Schwarze Probezeit-Liste einer Museumsstiftung
Die Tochtergesellschaft einer gemeinnützigen Museumsstiftung in Berlin führte intern eine Liste über Beschäftigte in der Probezeit. Dort wurden Punkte wie häufiges Kranksein oder mangelnde Flexibilität bei der Schichteinteilung vermerkt, aber auch Psychotherapien oder Interesse an einer Betriebsratsgründung. Viele der Informationen stammten von den Probezeit-Beschäftigten selbst, die natürlich nicht wussten, dass ihre Äußerungen festgehalten wurden. Sie führten zu Kommentaren wie „kritisch“ oder „sehr kritisch“ bezüglich einer möglichen Übernahme.
Auch in diesem Fall gelangte die Liste an die Medien, führte zu einer Untersuchung durch die Datenschutzbeauftragte und schließlich zu einem Bußgeld von 215.000 Euro. Weitere 40.000 Euro kamen hinzu, weil der Datenschutzbeauftragte des Unternehmens nicht eingebunden war und der Datenschutzverstoß nicht gemeldet wurde. Mit Angaben zur Gesundheit und zum Betriebsratsinteresse waren „besondere Kategorien personenbezogener Daten“ betroffen waren: Daten, die Art. 9 DSGVO unter besonderen Schutz stellt.

Solche Fälle sind keineswegs auf Deutschland beschränkt. Schließlich gilt die DSGVO EU-weit. In den Niederlanden mussten selbst die Finanzbehörden eine Rekordstrafe von 3,4 Millionen Euro bezahlen. Die Finanzämter hatten eine unzulässige schwarze Liste mutmaßlicher Steuerhinterzieher geführt.

Es trifft auch kleinere Unternehmen

Bußgelder aufgrund von DSGVO-Verstößen treffen keineswegs nur große Betriebe. Die Datenschutzbeauftragten ahnden solche Verstöße auch bei kleineren Unternehmen, wie ein Blick in die DSGVO-Bußgelddatenbank belegt. (Die Angabe „0 €“ bedeutet dort nicht, dass kein Bußgeld verhängt wurde, oft ist nur dessen Höhe nicht bekannt).

Fazit

Selbst in einem Kleinbetrieb genügt bereits ein unzufriedener Mitarbeiter, damit eine intern geführte schwarze Liste, die gegen die DSGVO verstößt, bei den Medien oder im Büro des Datenschutzbeauftragten landet – mit entsprechenden Konsequenzen.

Umgekehrt ist längst nicht jede Sperrliste verboten: Nur in wenigen Ausnahmen sind Unternehmen verpflichtet, jeden Interessenten als Kunden zu akzeptieren. Sie dürfen sich vor unerwünschten Geschäfts- und Vertragspartnern schützen, soweit belastbare Indizien für mangelnde Seriosität oder Verlässlichkeit vorliegen und ein berechtigtes Interesse am Ausschluss begründen. In bestimmten Fällen sind interne Sperrlisten unumgänglich, um gesetzliche Vorgaben etwa zur Geldwäsche-Bekämpfung zu erfüllen oder um als Geschäftsführung der Sorgfaltspflicht gerecht zu werden. Selbst die EU führt im Rahmen ihres Frühwarnsystems eine schwarze Liste, die verdächtige Personen und Organisationen von EU-Finanzmitteln ausschließt.

Aus einer zulässigen schwarzen Liste mit personenbezogenen Angaben ergeben sich Datenschutzpflichten. Betroffene, beispielsweise Interessenten oder Bewerber, müssen über die mögliche Speicherung informiert werden. Stellt ein Gelisteter kein Risiko mehr da, ist sein Eintrag zu löschen. Außerdem haben Betroffene einen Auskunftsanspruch: Sie können fragen, was über sie in der Liste steht und wozu sie existiert.

In jedem Fall werden schwarze Listen dann zum Rechtsrisiko, wenn sie in diskriminierender Absicht oder heimlich geführt werden. Ganz besonders riskant sind schwarze Listen über Arbeitnehmer: Im Unterschied zur Personalakte – in die Beschäftigte Einblick nehmen dürfen – verstoßen heimlich geführte Listen unliebsamer Mitarbeiter mit Sicherheit gegen den Arbeitnehmerdatenschutz. Das Gleiche gilt für Listen, die ohne Rechtsgrundlage mit anderen Unternehmen oder Personen geteilt werden.

Lektüretipps

Weiterführende Informationen zu Steuer- und Buchführungsthemen finden Sie im orgaMAX-Blog und im Newsletter-Archiv:

Video-Überwachung im Unternehmen: ist das legal?
Negative Kommentare und unfaire Bewertungen? Sie können sich wehren!
Lagerbestands-Überwachung: mit orgaMAX Online Lieferengpässe vermeiden
Mehrsprachige Briefpapiere und Artikelbeschreibungen: orgaMAX ohne Sprachbarriere
Direktmarketing und DSGVO: Was gilt für die Datennutzung zu Werbezwecken?
Geschäftliche Nutzung von Fotos: Copyright als Stolperfalle
Greenwashing: Vorsicht mit „klimaneutral“ und anderen ökologischen Werbeaussagen
Das Lieferkettengesetz: was bedeutet es für Dienstleister und Lieferanten?
Raus aus dem Vertrag: Anfechtung, Rücktritt, Widerruf, Kündigung
Vertragsrecht im Geschäftsalltag: Von Einladungen, Anträgen und Angeboten
Kunde verweigert Abnahme, und nun? Informationen zum Werkvertragsrecht
Tarifliche Sozialkassen wie SOKA-Bau & Co.: Wann droht die Beitragspflicht?
DSGVO gilt auch für Kleinunternehmen: lieber kein Mut zur Lücke!
Elektronischen Stundenzettel mit orgaMAX: Aufwände und Aufwands-Guthaben
Geheimhaltungsvereinbarungen: Worauf Sie bei NDA achten sollten

Vollständigen Beitrag anzeigen