Wie in der analogen Welt haben Unternehmen auch in der digitalen Welt die Möglichkeit, ein Hausverbot zu verhängen, etwa wenn der Nutzer gegen interne Regeln verstößt. Doch wie kann ein virtuelles Hausverbot datenschutzkonform durchgesetzt werden? Anhand eines Falles aus der Praxis erklären wir Ihnen, ob Aufsichtsbehörden in diesem Zusammenhang ein berechtigtes Interesse an der Datenverarbeitung erkennen.
Der Fall: Hausverbot via Blacklist
Laut dem Tätigkeitsbericht der Sächsischen Datenschutz- und Transparenzbeauftragten (SDTB) für das Jahr 2022 beschwerte sich ein Betroffener bei der Behörde, weil ein soziales Netzwerk (Online-Club), dessen Mitglied er war, seine E-Mail-Adresse in einer Blacklist speicherte. Sein Zugang zum sozialen Netzwerk war zuvor gesperrt worden. Als Grund für die Sperrung gab der Club-Betreiber an, dass der Nutzer mehrfach und gravierend gegen interne Regeln verstoßen habe.
Der Club-Betreiber erklärte im Verfahren vor der SDTB, dass er E-Mail-Adressen gesperrter (ehemaliger) Mitglieder in einer internen Blacklist speichere, um das virtuelle Hausverbot durchzusetzen. Somit sei es für diese Personen nicht mehr möglich, sich bei dem Online-Club einzuloggen bzw. neu zu registrieren (zumindest solange dieselbe E-Mail-Adresse verwendet wird).
Die SDTB musste entscheiden, ob die Speicherung der E-Mail-Adresse in der Blacklist zulässig war, mit anderen Worten: ob hierfür eine Rechtsgrundlage nach der Datenschutz-Grundverordnung (DSGVO) vorlag. Diesbezüglich gab der Beschwerdeführer an, dass er als ausgeschlossener Nutzer seine Einwilligung zur Speicherung seiner Daten widerrief; somit hätten all seine Daten gelöscht werden müssen. Dagegen berief sich der Betreiber des sozialen Netzwerks auf sein berechtigtes Interesse an der Durchsetzung des Hausverbots, wofür die Speicherung der E-Mail-Adresse des ehemaligen Mitglieds in einer internen Blacklist notwendig sei.
Entscheidung der SDTB zum virtuellen Hausverbot
Zunächst führte die SDTB in Anlehnung an die Rechtsprechung des Bundesgerichtshofs aus, dass der Anbieter bei groben Verstößen gegen die vertraglichen Nutzungsbedingungen grundsätzlich berechtigt ist, ein virtuelles Hausverbot auszusprechen.
Die SDTB merkte ferner an, dass sich der Club-Betreiber in den Nutzungsbedingungen das Recht vorbehielt, bei Verstößen gegen die Nutzungsbedingungen den Zugang des Nutzers zeitweilig oder dauerhaft zu sperren.
Die SDTB erkannte sodann an, dass sich das virtuelle Hausverbot nur dann umsetzen lässt, wenn bestimmte Informationen des früheren Mitglieds zum Beispiel in einer Blacklist gespeichert bleiben. Anderenfalls hätte der Club-Betreiber den gesperrten Nutzer beim erneuten Einloggen nicht erkennen können.
Dabei unterstrich die SDTB die Bedeutung der Zusicherung des Club-Betreibers in seiner Datenschutzerklärung, dass E-Mail-Adressen der Nutzer nur für interne Verwendung gespeichert werden. Es ist somit davon auszugehen, dass die Information über gesperrte Nutzer nicht an die Öffentlichkeit gelangen wird, wodurch das Interesse des ehemaligen Mitglieds auf Anonymität geschützt wird.
Unter diesen Voraussetzungen hielt die SDTB die Speicherung der E-Mail-Adresse des gesperrten Nutzers in der Blacklist für DSGVO-konform. Laut der SDTB ist bei einem dauerhaften virtuellen Hausverbot bei groben und/oder mehrfachen Verstößen gegen die Nutzungsbedingungen auch verhältnismäßig, die E-Mail-Adresse dauerhaft, d.h. ohne eine zeitliche Begrenzung, in der Blacklist zu speichern. Es dürfen jedoch nur diejenigen Daten in der Blacklist gespeichert werden, die für die Durchsetzung des Hausverbotes erforderlich sind.
Fazit und Lehren für die Praxis
Der vorliegende Fall zeigt, dass die DSGVO der Datenverarbeitung zum Zwecke der Durchsetzung eines (virtuellen) Hausverbots grundsätzlich nicht im Wege steht. Voraussetzung hierfür ist, dass im Vertrag und in der Datenschutzerklärung klar darüber informiert wird, welche Handlungen verboten sind und welchen Konsequenzen bei einer Zuwiderhandlung möglich sind.
Auch wenn der sächsische Fall nur das virtuelle Hausverbot betrifft, sprechen gute Gründe für die Übertragbarkeit der Wertungen der SDTB auch auf das herkömmliche bzw. analoge Hausverbot.
Im Einklang mit dem Grundsatz der Datenminimierung sollten in der Blacklist lediglich die für die Durchsetzung des Hausverbots notwendigen Daten verarbeitet werden. Bei einem virtuellen Hausverbot dürfte herfür die Speicherung der E-Mail-Adresse ausreichend sein. Dagegen könnte man bei einem herkömmlichen Hausverbot etwa den Vor- und Nachnamen in der Blacklist speichern.
Bei einem dauerhaften Hausverbot ist eine dauerhafte Speicherung der Daten in der Blacklist zulässig. Dagegen sollten die Daten bei einem zeitlich begrenzten Hausverbot nach dessen Beendigung aus der Blacklist gelöscht werden, da die Zwecke der Verarbeitung nicht mehr gegeben sind.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!