N26 (eine Online-Bank) speicherte zu viele Daten von ehemaligen Kunden. Der Berliner Datenschutzbeauftragte verhängte eine empfindliche Geldbuße für eine „schwarze Liste“.

 

 

 

Die Aussage des Berliner Beauftragten für Datenschutz und Informationsfreiheit.

 

„Eine schwarze Liste für ehemalige Kundinnen und Kunden, gegen die keine Verdachtsmomente bestehen, ist rechtswidrig.“
Jahresbericht des Berliner Beauftragten für Datenschutz und Informationsfreiheit
vom 31. Dezember 2018, Seite 131

 

 

 

Der Anlassfall

 

Ein Ex-Kunde der Bank N26 (Bericht im Handelsblatt) wollte bei der Bank wieder eine Kontoverbindung eröffnen. Die Bank lehnte das ab.

 

Die betroffene Person vermutete, dass die Bank bei ehemaligen Kunden das Eingehen einer neuen Kontoverbindung generell ablehnt.

 

 

 

Die „schwarze Liste“

 

Die Bank führt eine „schwarze Liste“ ehemaliger Kundinnen und Kunden, als eine Art „Warndatei“, damit sie mit diesen kein weiteres Vertragsverhältnis eingeht. Die Bank erklärte das damit, dass sie aus den Verpflichtungen zur Prüfung bei Geldwäsche verpflichtet sei, die Daten aufzubewahren. Sie sei aber nicht in der Lage zwischen Geldwäscheverdachtsfällen und anderen Fällen zu unterscheiden, sodass sie die betreffenden Kundendaten unterschiedslos aufbewahre. Die Bank bewahrt die Daten auf, um zu verhindern, dass mit ehemaligen Kunden wieder eine Bankverbindung eingegangen wird.

 

 

 

Die Entscheidung der Behörde.

 

Nach Ansicht des Berliner Beauftragten für Datenschutz und Informationsfreiheit ist diese Vorgehensweise unzulässig.

 

Die Bank ist verpflichtet, die Daten ehemaliger Kunden zu löschen, oder bei Vorliegen einer Verpflichtung zur Aufbewahrung zu sperren.

 

„In eine Abgleichdatei zur Verhinderung einer neuen Bankverbindung dürfen nur Betroffene aufgenommen werden, die tatsächlich unter Geldwäscheverdacht stehen oder bei denen andere triftige Gründe vorliegen, eine erneute Bankverbindung einzugehen.

 

 

 

Die Voraussetzungen für eine „Warnliste“

 

Eine Warnliste von ehemaligen Kunden, die nicht mehr „gewünscht“ sind, kann nur dann geführt werden, wenn es dafür eine Begründung gibt, die entweder in einer gesetzlichen Regelung (zB Geldwäsche-Prävention) oder in der ehemaligen Geschäftsbeziehung gelegen sein kann.

 

Eine begründungslose „schwarze Liste“ widerspricht den Regelungen des Datenschutzrechts.

 

Die Erforderlichkeit, dass die Daten weiterhin benötigt werden, ist in einem Verfahren vor der Aufsichtsbehörde auch iSd Rechenschaftspflicht nachzuweisen. Die DSB hat dazu bereits in einem Verfahren im Jahr 2018 entschieden.

 

DSB-D216.580/0002-DSB/2018, 28.05.2018:
In diesem Verfahren war Thema, dass „die Daten des Beschwerdeführers (Vor- und Zuname, Geburtsdatum und Adresse) aus „sicher amtsbekannten Gründen“ in einem internen Arbeitsverzeichnis […]" sind. "Die Speicherung sei zur häufigen Kontaktaufnahme mit dem Beschwerdeführer sowie zur Sicherstellung keiner Neuaufnahme von dessen Daten notwendig." 

 

 

Diese Begründung war für die DSB nicht ausreichend, und sie ordnete die Löschung der Daten binnen zwei Wochen im Bescheid an.

 

In einem Verfahren (DSB-D122.944/0007-DSB/2018, 15.11.2018), das einen Personalakt betraf, entschied die DSB zugunsten des Verantwortlichen, der einen Aktenvermerk, in dem dokumentiert war, dass bei einem ehemaligen Dienstnehmer keinesfalls einer Wiedereinstellung zugestimmt werde, aufbewahrte.

 

„Der Beschwerdegegner verarbeitet den Aktenvermerk im Zuge seines Dokumentationsinteresses, konkret um ein eventuell erneutes Dienstverhältnis mit dem Beschwerdeführer zu vermeiden. Wie aus den Feststellungen zu erkennen ist, erfolgt dies nicht grundlos, sondern aufgrund des vergangen Verhaltens des Beschwerdeführers. Die Datenschutzbehörde schließt sich hierbei den Ausführungen des Beschwerdegegners an, dass es einem Dienstgeber nicht verwehrt werden darf, zu bestimmen, mit wem dieser (zukünftig) ein Dienstverhältnis eingehen möchte, insbesondere, wenn bereits Erfahrungen mit einer Person vorliegen.

 

Zudem wird der Aktenvermerk, wie festgestellt, als Bestandteil des Personalaktes mit Ablauf von drei Jahren nach Beendigung des Dienstverhältnisses gelöscht. Diese Speicherdauer gründet auf der allgemeinen dreijährigen Verjährungsfrist des ABGB zur Geltendmachung von Ansprüchen aus dem Arbeitsvertrag. Für den Beschwerdeführer ist daher ein klar erkennbarer Zeitpunkt gegeben, ab wann seine Daten gelöscht werden.

 

Im Ergebnis liegen somit berechtigte Interessen des Beschwerdegegners für die Verarbeitung personenbezogener Daten im Zusammenhang mit dem verfahrensgegenständlichen Aktenvermerk gemäß Art. 6 Abs. 1 lit. f DSGVO vor.“

 

 

 

Fazit

 

·     Die Aufbewahrung von Daten bedarf eines bestimmen, konkret formulierten –von der Rechtsordnung auch anerkannten - Zwecks und die Daten müssen für die Erfüllung dieses Zweckes notwendig sein.

 

·     Die Aufbewahrung kann sich auch aus gesetzlichen Verpflichtungen ergeben, zB § 132 BAO oder Geldwäsche-Regelungen.

 

·     Wenn die Daten zur Zweckerfüllung nicht (mehr) notwendig sind, sind diese zu löschen.

 

·     Der Zugriff auf diese Daten muss auf diejenigen Personen eingeschränkt sein, die tatsächlich notwendigerweise zur Zweckerfüllung Zugang zu diesen Daten haben müssen.

 

 

15.05.2019, Autor

Michael Schweiger, zert. DSBA