Kann ein Verstoß gegen die Nutzungsbedingungen eines (kostenpflichtigen) Online-Clubs zu einer dauerhaften Sperrung führen? Welche Daten dürfen dann noch gespeichert werden? Und steht ein sog. virtuelles Hausverbot im Einklang mit der DSGVO?
Die Sächsische Datenschutz- und Transparenzbeauftragte, Dr. Juliane Hundert, stellt in ihrem aktuellen Tätigkeitsbericht zum Datenschutz für das Jahr 2022 einen interessanten Fall vor, der auch schon von anderen Datenschutzexperten besprochen wurde.
In dem von ihr geprüften Vorfall (S. 70-73, TB 2022) erklärte ein Betreiber eines sozialen Netzwerks (Online-Clubs) gegenüber einem Mitglied aufgrund von Verstößen gegen die Nutzungsbedingungen die dauerhafte Sperrung seines Zugangs. Der genaue Verstoß wurde nicht erläutert. Daraufhin wurde das Profil der Person zwar bereits gelöscht, aber zur Sicherstellung der Sperre wurde die E-Mail-Adresse in einer internen, nicht öffentlich zugänglichen „Blacklist“ aufgenommen. Die Anmeldung oder eine neue Registrierung mit dieser E-Mail-Adresse war somit wohl nicht mehr möglich.
Hiergegen wehrte sich die betroffene Person und zielte unter anderem mit ihrer Beschwerde bei der Aufsichtsbehörde auf die Löschung ihrer E-Mail-Adresse vom Betreiber der Plattform ab. Der Betreiber wiederum stützte die dauerhafte Speicherung der E-Mail-Adresse in dieser Liste auf das berechtigte Interesse zur Durchsetzung des virtuellen Hausverbots (gem. Art. 6 Abs. 1 S. 1 lit. f DSGVO) und verwies auch auf die geltenden Nutzungsbedingungen, wonach der Betreiber das Recht habe, bei Verstößen hiergegen den Zugang des Nutzers zeitweilig oder dauerhaft zu sperren.
Die Landesdatenschutzbeauftragte sah insgesamt in diesem Vorgehen keinen Verstoß gegen die DSGVO und beanstandete die Speicherung der Daten daher nicht.
Die Aufsichtsbehörde erklärte:
„Nach den vorliegenden Informationen konnte meine Behörde – auch in der Abwägung der verschiedenen Interessen und betroffenen Rechte – keinen Datenschutzverstoß erkennen.
Dafür ist ausschlaggebend, dass das Vorgehen des Anbieters, ein virtuelles Hausverbot bei (unterstellten) groben Verstößen gegen die vertraglichen Nutzungsbedingungen auszusprechen, grundsätzlich legitim ist (vgl. hierzu BGH V ZR 115/11, Urteil vom 09.03.2012 zum Hausverbot eines Hotelbetreibers, insbesondere Rdnr. 8, 13). In den Nutzungsbedingungen ist auch das Recht des Betreibers geregelt, insbesondere bei Verstößen gegen die Nutzungsbedingungen, den Zugang des Nutzers zeitweilig oder dauerhaft zu sperren.“ (S. 71, TB 2022)
Kollision im Datenschutzrecht?
Es stellt sich die Frage, inwiefern hier eine etwaige Kollision besteht zwischen den datenschutzrechtlichen Betroffenenrechten, insbesondere dem Recht auf Löschung aus Art. 17 Abs. 1 DSGVO und dem hier vorliegenden berechtigten Interesse des Betreibers an einer langfristigen Speicherung der E-Mail-Adresse des ehemaligen Mitglieds zur (dauerhaften) Durchsetzung des ausgesprochenen virtuellen Hausverbots gem. Art. 6 Abs. 1 S. 1 lit. f DSGVO.
Sofern die Datenverarbeitung (Sperrliste) auf eine Rechtsgrundlage gestützt werden kann, wie hier durch das berechtigte Interesse nach Art. 6 Abs. 1 S. 1 lit. f DSGVO angenommen wurde, und dieser Zweck der Datenverarbeitung noch nicht entfallen ist, steht dies grundsätzlich der Löschpflicht nach Art. 17 Abs. 1 DSGVO entgegen.
Diese Rechtsgrundlage setzt jedoch auch voraus, dass die betroffene Person zum einen über die konkrete Datenverarbeitung bzw. die Zweckänderung informiert wird (Art. 13 bzw. Art. 13 Abs. 3 DSGVO), zum anderen aber auch eine bestimmte Beziehung zwischen dem Verantwortlichen und der betroffenen Person besteht (beispielsweise Vertrags- und Kundenbeziehung) und die Person vernünftigerweise mit der weiteren Datenverarbeitung rechnen könnte (siehe auch Erwägungsgrund 47, S. 4 der DSGVO).
Fraglich ist jedoch, ab welchem Zeitpunkt das berechtigte Interesse des Betreibers an der Sicherstellung des Hausrechts abnimmt, d. h. mit welchem zeitlichen Abstand die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person wieder überwiegen. Bei dem Hausverbot im Einzelhandel wird zumeist ein Zeitraum von drei bis fünf Jahren angenommen, ab wann dieses Hausverbot erlöscht. Bei Minderjährigen Personen sogar noch deutlich kürzer. Dann wäre die Person von der Sperrliste/ „Hausverbotsliste“ zu entfernen.
Zu etwaigen Zeiträumen beim virtuellen Hausrecht durch diesen Betreiber des Online-Clubs hat sich die Aufsichtsbehörde leider nicht konkret geäußert. Es drängt sich jedoch ein vergleichbarer Zeitraum von 3 bis 5 Jahren auf.
Folgen dieser Rechtsauffassung
Dieser Rechtsgedanke zur (langfristigen) Speicherung von Zugangsdaten in einer „Sperrliste“ entgegen dem Wunsch der betroffenen Person, die gerade die Löschung ihrer personenbezogenen Daten auf Basis der DSGVO begehrt, lässt sich ggfs. auch auf andere Konstellationen übertragen.
Zu denken wäre an den Fall der „Werbesperre“ bei Newsletter-Anbietern, die sich oftmals mit Beschwerden von Empfängern entsprechender E-Mails oder Newsletter ausgesetzt sehen und dann einerseits die Löschung ihrer Daten aus dem System, andererseits aber auch „nie wieder E-Mails vom Absender“ wünschen. Die Anbieter wiederum werden in der Regel dann zur technischen Sicherstellung, dass diese Person zukünftig keine weiteren E-Mails mehr (aus dem Newsletter) enthält, die E-Mail-Adresse auf eine gesonderte Liste führen. Würde hingegen – auf Wunsch der betroffenen Person – die E-Mail-Adresse in diesem Kontext gelöscht werden, könnte nicht ausgeschlossen werden, dass nach dem Einspielen eines Backups oder durch einen technischen Fehler diese Person nicht doch noch einmal wiederum E-Mails erhält. Aus diesem Grund ist das Führen einer gesonderten Sperrliste (Blacklist) gängige Praxis.
Doch auch Onlinehändler oder Shops könnten sich dieses Kniffs bedienen und beispielsweise Zugangsdaten oder Adressdaten von Personen, die nach Bestellungen/Dienstleistungen der Zahlungsaufforderung nicht nachkamen, auf eine besondere Liste überführen und somit bereits technisch vor der Neuanmeldung bzw. erneuten Bestellung von Produkten ausschließen.
Was jedoch nicht zulässig sein dürfte, wäre die Anlage und Verarbeitung von Schattenprofile bzw. weiterhin umfangreiche Kundenkonten.
Und wie ist es eigentlich bei den namhaften sozialen Netzwerken wie z. B. twitter, facebook und instagram? Droht dort dann auch eine „lebenslange Sperre“? Hier sollte unter anderem auch berücksichtigt werden, welche bedeutende Rolle diese Netzwerke für die Personen einnehmen (z. B. zur Kommunikation mit Freunden oder aber auch mit „Fans“) und inwiefern hier dann eine dauerhafte Sperrung unverhältnismäßig sein könnte. Dies gilt umso mehr, wenn dieser Account auch für andere Plattformen genutzt wird (z. B. Facebook Single Sign On- System).
Fazit
Soziale Netzwerke und Plattformen könnten im Rahmen von gültigen Nutzungsbedingungen und nach umfangreicher, transparenter Information über die Datenschutzerklärung festlegen, dass bei bestimmten Verstößen gegen die Regeln im Netzwerk auch eine Sperrung droht – und um dieses auch umzusetzen, dann die E-Mail-Adresse oder Zugangsdaten dauerhaft in einer gesonderten Sperrliste führen. Dieser Eintrag sollte aber nach einer zuvor definierten Zeit wieder gelöscht werden, beispielsweise nach drei oder fünf Jahren. Die Dauer sollte aber dann im Einzelfall geprüft und festgelegt werden.