100.000 € Bußgeld gegen GOLDCAR

Unzulässige Blacklist zur Kundenbewertung

Hintergrund

Die spanische Datenschutzbehörde (AEPD) hat die Autovermietung GOLDCAR Spain S.L. zu einem Bußgeld von 100.000 € verurteilt. Grund war eine interne Blacklist, mit der das Unternehmen Kunden aufgrund früherer Vorfälle automatisch vom Mieten weiterer Fahrzeuge ausschloss. Ein Betroffener hatte sich beschwert, nachdem ihm eine neue Buchung verweigert wurde – wegen eines dreijährigen Eintrags aus einem alten Vertrag.

Was wurde entschieden?

Die AEPD stellte fest, dass GOLDCAR die personenbezogenen Daten des Kunden ohne rechtliche Grundlage verarbeitete. Das Unternehmen berief sich auf ein berechtigtes Interesse, um Betrug und Schäden zu verhindern. Die Behörde lehnte dies jedoch ab:

• Es gab keine dokumentierte Interessenabwägung,

• der Kunde wurde nicht über den Zweck oder die Rechtsgrundlage informiert,

• die Daten wurden jahrelang gespeichert, ohne dass eine rechtmäßige Basis vorlag.

Da weder eine Einwilligung noch eine andere Rechtsgrundlage bestand, lag ein klarer Verstoß gegen Artikel 6 Absatz 1 DSGVO vor. Die Behörde sah darin eine schwerwiegende Verletzung, da der Betroffene über Jahre hinweg ohne sein Wissen ausgeschlossen blieb.

Bedeutung für Unternehmen

Der Fall zeigt, wie riskant interne Kundenwarnsysteme oder Blacklists sind. Viele Unternehmen – etwa Autovermieter, Händler oder Plattformbetreiber – speichern Vorfälle, um Risiken zu vermeiden. Doch solche Listen sind nur zulässig, wenn:

• eine tragfähige Rechtsgrundlage besteht,

• eine Interessenabwägung nachweisbar dokumentiert ist,

• die Betroffenen über die Verarbeitung informiert werden,

• und klare Löschfristen definiert sind.

Fehlt eines dieser Elemente, drohen hohe Bußgelder. Die AEPD betonte zudem, dass sich der Verweis auf ein legitimes Interesse nicht nachträglich „nachschieben“ lässt.

So reagieren Unternehmen richtig

Unternehmen, die Kundeninformationen zu Risikozwecken speichern, sollten ihre Praxis überprüfen:

1. Interessenabwägung durchführen – schriftlich festhalten, warum das Interesse überwiegt.

2. Transparente Information – Betroffene müssen wissen, dass ihre Daten zu diesem Zweck verarbeitet werden.

3. Löschfristen festlegen – z. B. nach 3 oder 5 Jahren.

4. Einzelfallprüfung statt pauschaler Sperre – automatische Ausschlüsse sind kritisch.

5. Datenschutzbeauftragte einbinden – um Rechtssicherheit zu schaffen.

Ein praktisches Beispiel: Ein Autovermieter darf Kunden mit offenen Forderungen vorübergehend sperren, muss diese Sperre aber dokumentieren, begrenzen und transparent machen. Eine dauerhafte Blacklist ohne klare Grundlage ist unzulässig.

Empfehlung

Unternehmen sollten ihre Risikomanagement-Systeme und internen Kundendatenbanken dringend prüfen. Wer Kundendaten speichert, um Missbrauch vorzubeugen, braucht dafür eine rechtssichere Grundlage und transparente Prozesse. Es lohnt sich, bestehende Verfahren gemeinsam mit dem Datenschutzbeauftragten zu überarbeiten.

Quellenangabe: Spanische Datenschutzbehörde (AEPD)

Sind Sie sicher, ob Ihr Unternehmen oder Ihre Behörde im Hinblick auf Datenschutz und Datensicherheit optimal aufgestellt ist?

Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
• Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
• Tragbarer Tresor für die Reise zum Schutz von Wertsachen
• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
• Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
• Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
• Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen

Dieser Absatz enthält Affiliatelinks/Werbelinks