Datenschutz bei Mitarbeiterscreenings für das AEO-Zertifikat

Die zunehmende Globalisierung einerseits und die Wirtschaftskriminalität andererseits erfordern immer häufiger ein länderübergreifendes Risikomanagement. Für international tätige Spediteure, Hersteller, Händler und Lieferanten hat sich dafür das AEO-Zertifikat (Authorized Economic Operator) etabliert. Das Problem: Zur Erlangung des AEO-Zertifikats sind Sicherheitsüberprüfungen der Mitarbeiter nötig. Doch lassen diese sich mit der EU-Datenschutz-Grundverordnung (DSGVO) und dem Beschäftigtendatenschutz im Bundesdatenschutzgesetz (BDSG) überhaupt vereinbaren?

Datenschutzrechtliche Probleme beim Mitarbeiterscreening

Der Düsseldorfer Kreis hat sich bereits mehrfach mit dem Problem des Mitarbeiterscreenings befasst, zuletzt durch Beschluss vom 23./24. April 2009. Die Anwendbarkeit der DSGVO gibt Anlass, die Problematik erneut aufzugreifen.

In den letzten Jahren ist insbesondere die Zollverwaltung im Rahmen der Bewilligung des zollrechtlichen Status eines „zugelassenen Wirtschaftsbeteiligten“ (AEO-Zertifizierungen) dazu übergegangen, von den Unternehmen umfangreiche Screenings von Mitarbeitern – und gegebenenfalls Daten Dritter – zu verlangen. Diese Screenings werden zum Teil in Abständen von wenigen Wochen ohne konkreten Anlass und undifferenziert durchgeführt.

In diesem Geschäftsfeld betätigen sich bereits spezialisierte Dienstleister, die sich die bestehende Unsicherheit bei den Unternehmen zunutze machen. Dies ist auch der Grund, warum diese Screenings immer häufiger durchgeführt werden. Nach den praktischen Erfahrungen der Aufsichtsbehörden mangelt es an klaren Regelungen, wie mit den Ergebnissen von Datenscreenings umzugehen ist (Treffermanagement). Das Bundesministerium der Finanzen hat zwar am 14. Juni 2010 anlässlich dieser Praxis einschränkende Vorgaben erlassen, diese werden jedoch von den zuständigen Zollbehörden nicht einheitlich umgesetzt.

Der Düsseldorfer Kreis hält in seinem vorgenannten Beschluss derartige Screenings nur aufgrund einer speziellen Rechtsgrundlage für zulässig. Denn sowohl der damals geltende § 32 BDSG (alter Fassung) als auch der aktuell gültige § 26 BDSG erlauben keine verdachtsunabhängige Überprüfung

Welche Rechtsgrundlagen greifen bei Screening von Beschäftigten?

Möglich ist die Anwendung von Art. 6 Abs. 1 f) DGSVO. Danach ist eine Datenverarbeitung zulässig, sofern sie als Mittel für die Erfüllung eigener Geschäftszwecke zur Wahrung berechtigter Interessen erforderlich ist. Allerdings dürfen schutzwürdige Interessen der betroffenen Mitarbeiter nicht überwiegen.

Da es sich beim Wunsch eines Unternehmens, den AEO-Status zu erreichen, um wirtschaftlich international erfolgreich zu bleiben, durchaus sowohl um einen eigenen Geschäftszweck als auch um ein berechtigtes Interesse des Unternehmens handelt, wären die ersten Voraussetzungen zunächst einmal erfüllt.

Je nach Einzelfall könnte möglicherweise auch das Überwiegen der Interessen des Unternehmens auf Wettbewerbsfähigkeit am internationalen Markt gegenüber den Interessen der betroffenen Mitarbeiter auf Schutz ihres allgemeinen Persönlichkeitsrechts bejaht werden.

Möglich ist ebenfalls die Berufung auf Art. 6 Abs. 1 c) DSGVO. Geschäftskontakte mit Terroristen sollen ja immerhin aufgrund EU-Verordnungen unterbunden werden. Diese Bestimmungen sehen die Führung von Terrorlisten und den Abgleich damit vor (siehe unser Ratgeber zum datenschutzkonformen Terrorlistenscreening).

Verdrängt § 26 BDSG als Spezialvorschrift die allgemeine Rechtsnorm?

Probleme bereitet im Moment jedoch die Anwendbarkeit des Art. 6 DSGVO neben § 26 BDSG. Hintergrund ist, dass normalerweise Spezialvorschriften die allgemeinen Rechtsnormen verdrängen.

Es gilt jedoch zu bedenken, dass sich § 26 BDSG auf die Regelung von Beschäftigungsverhältnissen beschränkt. Er regelt aber gerade nicht andere Situationen – wie hier die Beantragung eines AEO-Zertifikats. Es gibt daher durchaus Argumente, die für die Anwendbarkeit des Art. 6 Abs. 1 c) bzw. f) DSGVO sprechen.

Mögliche Zusatzlösungen: Betriebsverein­barung oder Einwilligung

Wem als Unternehmer die derzeitige Situation rechtlich zu unsicher ist, hat noch die Möglichkeit, für die AEO-Screenings eine Betriebsvereinbarung abzuschließen oder die Einwilligungen der betroffenen Mitarbeiter einzuholen. Bedenken Sie aber, dass auch diese Schritte aus rechtlicher Sicht problematisch sein können.

Auch die Bundesregierung ist der Auffassung, dass die Terrorismusverordnungen keinen systematischen, anlassunabhängigen Abgleich von Mitarbeiterdateien mit den Sanktionslisten verlangen. Allenfalls nach Maßgabe von Sorgfaltspflichten und differenzierend nach verschiedenen Verkehrskreisen und Risikolagen seien solche Abgleiche zulässig. Es bleibe den Unternehmen überlassen, wie sie die Einhaltung der Terrorismusverordnungen sicherstellen (Bundestags-Drucksache 17/4136 vom 03. Dezember 2010).

Vor diesem Hintergrund empfiehlt und fordert der Düsseldorfer Kreis:

  • Unternehmen sollten Datenscreenings nicht pauschal und anlasslos durchführen. Da die Lohnzahlung nur unbar erfolgt, die Kreditinstitute nach § 25c Kreditwesengesetz (KWG) ohnehin Abgleiche mit den Terrorlisten vornehmen, ist ein Datenabgleichverfahren innerhalb des Unternehmens mit Mitarbeiterdaten nicht geboten.
  • Die Zollbehörden werden aufgefordert, die rechtsstaatlichen Vorgaben im Rahmen der AEO-Zertifizierung zu beachten. Eine einheitliche Praxis nach diesen Vorgaben gibt den Unternehmen Rechtssicherheit.
  • Die Bundesregierung wird gebeten, die derzeitige AEO-Zertifizierungspraxis einer baldigen und umfassenden Evaluation zu unterziehen.

Dieser aktualisierte Artikel wurde zuerst am 22. Februar 2012 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.