Anfang Oktober sorgte eine Meldung aus dem Süden Deutschlands für erhebliche Schlagzeilen und heizte die Diskussionen rund um den Datenschutz einmal mehr an. Der Landesbeauftragte für den Datenschutz und die Datensicherheit von Baden-Württemberg, Dr. Stefan Brink, hatte gegen die Stadt Tübingen eine Untersagungsverfügung erlassen – und das erstmals in der Geschichte seit Einführung der DSGVO  (vgl. hier Pressemittelung).

Dies ist das Ergebnis einer seit mehr als einem Jahr andauernden Streitigkeit zwischen der Aufsichtsbehörde und der Kommune. Von einem voreiligen Handeln der Aufsichtsbehörde kann damit wohl nicht mehr gesprochen werden.

Doch was war eigentlich passiert?

Die Verwaltung der Stadt Tübingen war im Besitz einer „Liste der Auffälligen“ – kurz „Blacklist“. Auf dieser Liste befanden sich Angaben zu Migranten, welche bereits polizeilich in Erscheinung getreten bzw. auffällig waren. Bereitgestellt wurden diese Daten direkt von der Polizei. In welcher Form die Übermittlung stattfand ist nicht bekannt.

Nach Ansicht von Stefan Brink stellt die Nutzung einer solchen Liste eine klare datenschutzwidrige Zweckentfremdung dar. Denn die von der Polizei übermittelten Daten dürfen von der Kommune ausschließlich zu ausländerrechtlichen Maßnahmen genutzt werden. Eine Blacklist mit auffälligen Migranten würde für derartige Maßnahmen nicht dienlich sein.

Position der Kommune

Die Stadt Tübingen sah das ganz anders. Für sie leistet die Liste einen wesentlichen Beitrag zur Gewährleistung der Sicherheit. Denn mit Kenntnis des Inhaltes hätten sich die städtischen Bediensteten vor potentiellen Übergriffen dieses bestimmten Personenkreises besser schützen können.

Nachdem die Aufsichtsbehörde Kenntnis von der Liste erlangt hatte, zeigte sich die Kommune im laufenden Verfahren wenig kooperativ und stellte die zur Aufklärung des Sachverhaltes relevanten Unterlagen sehr verspätet oder gar nicht bereit.

Konsequente Entscheidung

Die Stadt Tübingen darf diese Liste künftig also nicht mehr nutzen und hat diese zu vernichten – von Seiten der Aufsichtsbehörde eine konsequente Entscheidung. Zum einen gab es keine weiteren Anhaltspunkte zu den geltend gemachten Vorwürfen eines einzelnen Migranten als die bereitgestellten Daten der Polizei. Weder von Seiten der Staatanwaltschaft oder eines Gerichts.  Es handelt sich somit um eine reine Verdachtsliste, durch die überspitzt dargestellt schon eine gewisse „Anprangerungswirkung“ mitschwingt.

Zum anderen sorgten derartige „Schwarze Liste“ in der privaten Wirtschaft auch schon vor der DSGVO immer wieder für Schlagzeilen. Beispielsweise im Hotelgewerbe oder auch im Callcenterbereich. Ziel war es den Mitarbeitern mit einem Klick ein Bild (positiv oder negativ) des Kunden/Anrufenden mit an die Hand zu geben – ohne dass derjenige natürlich etwas davon weiß.

Ob dies nun zu Warnzwecken erfolgte oder nachgelagerten Kundenanalysen – bei einer Datenverarbeitung von personenbezogenen Daten müssen stets die datenschutzrechtlichen Grundsätze gemäß Art. 5 DSGVO eingehalten werden. Zu diesen zählen neben dem Rechtmäßigkeitsgrundsatz, dem Transparenzgrundsatz, der Datenminimierung und der Speicherbegrenzung insbesondere auch der Zweckbindungsgrundsatz. Keine anderen Regeln dürfen für eine Kommune gelten.