Eine Entscheidung der österreichschen Datenschutz-Aufsichtsbehörde, die in deren Jahresbericht jüngst veröffentlicht wurde, beleuchtet die Frage der Zulässigkeit von Vermerken und Blacklists in Kundendatenbanken unter dem Aspekt des Auskunftsrechts gemäß der Datenschutz-Grundverordnung (DSGVO). In dem konkreten Fall geht es um ein Unternehmen, das einen Kunden in einer internen Blacklist führt. Das Urteil und die Empfehlungen, die hier abgeleitet werden, sind von hoher Relevanz für Unternehmen auch in Mecklenburg-Vorpommern.
Sachverhalt und Problemstellung
Der Aufsichtsbehörde lag eine Beschwerde einer spanischen Kunden gegen ein österreiches Unternehmen vor, welches verschiedene EDV-Artikel an den Kunden verkauft hatte. Dabei kam es zu Streitigkeit hinsichtlich der Rechnungsstellung und Zahlung, unter anderem verweigerte der Kunde die Erbringung von Nachweisen und Bestätigungen für die umsatzsteuerbefreite Rechnungsstellung im Rahmen des innergemeinschaftlichen Erwerbs. Aufgrund dieser Streitigkeiten entschied das Unternehmen, keine Produkte mehr an diesen Kunden zu verkaufen. Diese Entscheidung hielt der Verkäufer in folgender Form in der unternehmensinternen Kundendatenbank fest:
„Kunde stresst massiv am Telefon und droht mit Anwalt. Kunde lässt keine Ausweiskopie zu. Wir werden keine Innergemeinschaftlichen Rechnungen mehr ausstellen.
Update: Habe dem Kunden Info gegeben, dass ein Kaufvertrag beidseitig bestehen muss, und wir das nicht wollen!“
Aufgrund dieser Mitteilung über die Verweigerung weiterer Kaufverträge forderte der Kunde die Rechte ein, die ihm gemäß der DSGVO zustehen, wie das Recht auf Auskunft. Daraufhin wurde ihm von dem Unternehmen zunächst nicht vollständig und transparent übermittelt, welche Daten gespeichert sind und warum. Schließlich reichte der Kunde nach Kenntnisnahme der internen Vermerke die Beschwerde ein, dass sein Recht auf Geheimhaltung verletzt wurde, indem der Verkäufer in seiner Datenbank (Kundendatenbank/Warenwirtschaftssystem) falsche Informationen
sowie strafrechtliche Unterstellungen über ihn gespeichert hätte.
Zentrale Auskunftsrecht-Bestimmung
Das Recht auf Auskunft gemäß Artikel 15 DSGVO gewährt betroffenen Personen das Recht, von einem Unternehmen zu erfahren, welche personenbezogenen Daten über sie verarbeitet werden und wie diese verarbeitet werden. Dieses Recht umfasst Informationen über die Zwecke der Verarbeitung, die Kategorien personenbezogener Daten, die Empfänger oder Kategorien von Empfängern, an die die Daten weitergegeben werden, und die geplante Speicherdauer. Das Unternehmen muss auch Informationen über das Bestehen des Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch gegen diese Rechte bereitstellen.
Die Entscheidung der Aufsichtsbehörde
Die Aufsichtsbehörde wies die Beschwerde letztlich ab, da aufgrund der Vertragsfreiheit jedes Unternehmen selbst bestimmen kann, ob es aufgrund früherer Erfahrungen mit einem Kunden weiterhin Verträge mit diesem abschließt oder nicht. Diese Interessenabwägung stelle ein berechtigtes Interesse dar im Sinne des Art. 6 Abs. 1 lit. f DSGVO. Auch wäre die Art des Eintrags keine falsche Information oder Unterstellung, vielmehr handele es sich um eine interne Beurteilung eines Sachverhaltes, die nicht zu beanstanden sei, solange der Sachverhalt selbst korrekt wiedergegeben ist.
Empfehlungen für Unternehmen in Mecklenburg-Vorpommern
Auch wenn der Eintrag selbst in diesem Falle von der Aufsichtsbehörde nicht beanstandet wurde, gibt dieser Fall wichtige Hinweise auf den richtigen Umgang mit sensiblen Kundenvermerken:
- Transparenz herstellen: Unternehmen sollten sicherstellen, dass sie ihre Informationspflichten gemäß der DSGVO vollständig erfüllen. Betroffene Personen müssen informiert werden, warum personenbezogene Daten verarbeitet werden, welche Datenkategorien betroffen sind und welche Rechte die betroffenen Personen in Bezug auf diese Daten haben, insbesondere im Hinblick auf die Datenweitergabe und die möglichen Auswirkungen auf externe Parteien. Dabei ist zu beachten, dass im Falle rein interner Vermerke oder Blacklists, die keine externen Auswirkungen haben, die Information über allgemeine Datenschutzrichtlinien ausreichend ist, ohne jede Einzelheit jedes internen Vermerks detailliert zu erläutern.
- Dokumentation und Nachweisbarkeit: Es ist wichtig, dass Unternehmen ihre Datenverarbeitungspraktiken dokumentieren und regelmäßig überprüfen. Dies gilt insbesondere für die Speicherung und Verarbeitung von negativen Kundeninformationen. Eine gut geführte Dokumentation hilft, die Einhaltung der gesetzlichen Anforderungen zu gewährleisten und im Falle eines Vorfalls Nachweise über die rechtmäßige Verarbeitung bereitzustellen.
- Sensibilisierung der Mitarbeiter: Mitarbeiter sollten regelmäßig geschult werden, um sicherzustellen, dass sie die Bestimmungen der DSGVO verstehen und anwenden können. Dazu gehört auch, wie man vermerkt, welche Kundeninformationen in Blacklists aufgenommen werden und welche Kriterien für diese Entscheidungen gelten. Vor allem sollte sich auch jeder Mitarbeiter dessen bewusst sein, dass auch interne Kundeninformation im Rahmen von Auskunftsansprüchen des Betroffenen an diesen übermittelt werden müssen. Insofern sollte auch jeder „rein interner“ Verkmerk in dem Bewusstsein formuliert werden, dass der Betroffene selbst Kenntnis über diesen Erlangen kann.
- Rechtzeitige Reaktion auf Auskunftsanfragen: Wenn Kunden ihre Auskunftsrechte einfordern, müssen Unternehmen unverzüglich reagieren und alle relevanten Informationen zur Verfügung stellen. Eine langsame oder unzureichende Antwort kann dazu führen, dass Unternehmen in Konflikt mit der DSGVO geraten.
Der Entscheid der Aufsichtsbehörde stärkt die Vertragsfreiheit von Unternehmen, verdeutlicht aber auch die Notwendigkeit, sich kontinuierlich über die Datenschutzbestimmungen zu informieren und Datenschutzpraktiken entsprechend anzupassen, um rechtlichen Problemen und Reputationsverlusten vorzubeugen.
Die Experten von Datenschutz Nordost sind gerne beratend an Ihrer Seite, wenn es darum, die interne Compliance bezüglich Datenschutzvorschriften zu überprüfen und optimale Prozesse im Falle von Auskunftsersuchen zu entwicklen.