Terrorlistenscreening – vereinbar mit dem Datenschutz?

Ist das Terrorlistenscreening vereinbar mit dem Datenschutz - activeMind AG

Mit den EU-Anti-Terrorverordnungen (2580/2001/EG, 881/2002/EG und 753/2011/EG) soll die Finanzierung terroristischer Handlungen verhindert werden. Steht ein Mitarbeiter auf einer der Verordnungslisten, darf ihm kein Gehalt ausgezahlt werden. Auch mit „terroristischen“ Kunden oder anderen Vertragspartnern darf kein Handel getrieben werden. Doch können Unternehmen die sogenannten Terrorlisten überhaupt datenschutzkonform auswerten? Und falls ja, wie muss das Terrorlistenscreening ausgestaltet sein?

Was schreiben die EU-Anti-Terrorverordnungen vor?

Ca. 230 als Terroristen geltende natürliche Personen und ca. 100 als terroristisch eingestufte juristische Personen, Gruppen und Organisationen sind derzeit im Anhang I der Verordnung 881/2002/EG zu finden. Die Liste wurde bereits 257 Mal geändert, zuletzt am 15. Dezember 2016. Die „Terroristenliste“ der Verordnung 753/2011/EG umfasst demgegenüber exakt 123 natürliche und juristische Personen, Gruppen, Unternehmen und Einrichtungen und wurde zuletzt am 29. September 2016 aktualisiert.

Gemäß Art. 3 Abs. 2 der Verordnung 753/2011/EG dürfen

„[d]en in Anhang I aufgeführten natürlichen oder juristischen Personen, Gruppen, Unternehmen und Einrichtungen […] weder unmittelbar noch mittelbar Gelder oder wirtschaftliche Ressourcen zur Verfügung gestellt werden oder zugutekommen.“

Ein ähnlicher Wortlaut findet sich in Art. 2 Abs. 2 der Verordnung 881/2002/EG. Bei einem Verstoß gegen die Verordnungen sind erhebliche Sanktionen möglich, von einer Geldbuße und Untersagung der Gewerbefortführung bis zur Freiheitsstrafe.

Wer muss die Terrorlisten screenen?

Nach Art. 14 Verordnung 753/2011/EG (ähnlich Art. 11 Verordnung 881/2002/EG) gilt diese u.a.

„d) für die nach dem Recht eines Mitgliedstaats gegründeten oder eingetragenen juristischen Personen, Gruppen, Unternehmen und Einrichtungen;“

„e) für juristische Personen, Gruppen, Unternehmen und Einrichtungen in Bezug auf Geschäfte, die ganz oder teilweise in der Union getätigt werden.“

Somit sind im Prinzip alle Unternehmen, die Geschäfte in Europa tätigen und / oder hier gegründet oder eingetragen sind, verpflichtet, die Verordnungen einzuhalten.

Ein (fortwährendes) Screenen der Listen wird in den Verordnungen allerdings nicht verlangt. Auch Artikel 14 k der Zollkodex-Durchführungsverordnung (ZK-DVO), der „Sicherheitsüberprüfungen“ und „regelmäßige Hintergrundüberprüfungen“ zur Voraussetzung für die Erlangung des mit Zollvorteilen versehenen Status „Zugelassener Wirtschaftsbeteiligter – AEO“ macht, enthält keine explizite Screening-Pflicht. Gleichwohl verlangt der Zoll auf Grundlage der Leitlinien „Zugelassener Wirtschaftsbeteiligter“ von antragstellenden Unternehmen die Bestätigung, dass die Terrorlisten im Rahmen der Sicherheitsüberprüfungen herangezogen werden (vgl. Fragekatalog zur Selbstbewertung – AEO Punkt 6.11.3 und 6.12.1.).

Ist der Abgleich (von Mitarbeiterdaten) datenschutzkonform?

Zunächst ist festzustellen, dass die Verordnungen als solche das Datenschutzrecht nicht „überlagern“ bzw. „verdrängen“. Dies folgt u. a. aus dem Umstand, dass das Screening als solches in den Verordnungen nicht gefordert und somit auch nicht für zulässig erklärt wird.

Vor diesem Hintergrund hatten sich die Datenschutzbehörden in der Vergangenheit kritisch zu einem pauschalen und anlasslosen Screening von Mitarbeitern positioniert. Dieses könne weder als erforderlich angesehen werden, noch genüge es rechtsstaatlichen Prinzipien. Weniger bedenklich (allerdings uneinig) hatte sich der Datenschutzkreis gegenüber dem Screenen von Kundendaten gezeigt. Ausführlich und vergleichsweise differenziert hatte auch der (ehemalige) Bundesbeauftragte für den Datenschutz und die Informationsfreiheit zum Thema Stellung bezogen.

Der Bundesfinanzhof (BFH) hat die durch die Datenschützer mitverursachte Rechtsunsicherheit mit seinem Urteil vom 19.06.2012 beseitigt. Der BFH hält die Vorgabe des Zolls, das Erlangen des AEO-Zertifikats vom Screenen der Anti-Terrorverordnungen abhängig zu machen, für datenschutzkonform. Das Screenen könne als erforderlich angesehen werden; schutzwürdige Interessen der Mitarbeiter würden bereits aufgrund der geringen Sensivität der für den Abgleich erforderlichen Daten nicht überwiegen.

Was darf bzw. muss gescreent werden?

Hinsichtlich der Art der auszuwertenden Daten ist das Datensparsamkeitsgebot (§ 3a BDSG / Art. 5 Abs. 1 lit. c, Art. 25 Abs. 1 DSGVO) zu beachten. Danach dürfen nur Stammdaten gescreent werden, wozu der Name, die Anschrift, das Geburtsdatum und / oder der Geburtsort zählen. Auch eine Pseudonymisierung der Daten sollte vor dem Hintergrund des Datensparsamkeitsgrundsatzes geprüft werden.

Wann und wie oft muss gescreent werden?

Wohl auch angesichts der in den Verordnungen fehlenden Screening-Pflicht hat die Bundesregierung 2010 in einer Stellungnahme die Pflicht eines Unternehmens zu einem systematischen und anlassunabhängigen Abgleich seiner Kunden- und Mitarbeiterdateien verneint. Eine Screening-Pflicht bestehe „allenfalls nach Maßgabe von Sorgfaltspflichten“.

Angesichts der drohenden Sanktionen und der nunmehr (weitgehend) geklärten Datenschutzrechtslage sollten dennoch im Rahmen des betrieblichen Compliance-Managements, soweit praktisch sinnvoll und handhabbar, regelmäßige Abgleiche erfolgen.

Zur Ermittlung einer sinnvollen Prüffrequenz kann bei (kleinen) ressourcenschwachen Unternehmen auf die in den benannten Leitlinien aufgestellte Mindestprüfpflicht von einem Jahr abgestellt werden. Diese Mindestprüfpflicht greift jedoch – zumindest hinsichtlich AEO – nicht, wenn Güter aus einem sicherheitsrelevanten Bereich betroffen sind. In diesem Fall sollte eine höhere Prüffrequenz angesetzt werden.

Worauf muss bei der Einbindung eines Dienstleisters geachtet werden?

Eine fortwährende Überprüfung der Terrorlisten kann für ein Unternehmen sehr lästig sein, weshalb verschiedene Dienstleister den Abgleich anbieten (Beispiel 1, Beispiel 2). Die Beauftragung eines Dienstleisters ist grundsätzlich im Rahmen einer Auftragsdatenverarbeitung (§ 11 BDSG / Art. 28, 29 DSGVO) datenschutzkonform möglich.

Erforderlich ist eine dokumentierte Prüfung der organisatorischen und technischen Maßnahmen des Dienstleisters. Es sollte insbesondere geprüft und dokumentiert werden, ob der Dienstleister aktuelle Terrorlisten verwendet und mit welchen konkreten Methoden das Screening erfolgt. Die Einbindung erfordert zudem den Abschluss eines Auftragsdatenverarbeitungsvertrages.

Was muss beim Terrorlistenscreening noch beachtet werden?

Die datenschutzkonforme Einführung des Verfahrens erfordert eine Vorabkontrolle (§ 4d Abs. 5 BDSG) bzw. Datenschutzfolgenabschätzung (Art. 35 DSGVO) durch den Datenschutzbeauftragten bzw. den Verantwortlichen. Neben dem Datenschutzbeauftragten muss auch der Betriebsrat rechtzeitig informiert werden, dem beim Einsatz einer Screening-Software u. U. ein Mitbestimmungsrecht im Sinne von § 87 Abs. 1 Nr. 6 BDSG zusteht.

Schließlich müssen sowohl die Mitarbeiter als auch die Kunden und sonstigen Vertragspartner über die Umstände des Screenings informiert werden.

Fazit: Terrorlistenscreening ist datenschutzkonform durchführbar

Auch wenn die Terrorismusverordnungen ein Screenen nicht ausdrücklich verlangen, kann dieses aus datenschutzrechtlicher Sicht als erforderlich angesehen werden. Der Abgleich kann im Wege der Auftragsdatenverarbeitung auf einen Dienstleister übertragen werden. Neben dem Datenschutzbeauftragten muss auch der Betriebsrat eingebunden werden. Die vom Screening Betroffenen sind über die Umstände zu informieren.

Bitte bewerten Sie diese Inhalte!
[5 Bewertung(en)/ratings]
0 Kommentare

Dein Kommentar

Want to join the discussion?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.