Mit den EU-Anti-Terrorverordnungen (2580/2001/EG, 881/2002/EG und 753/2011/EG) soll die Finanzierung terroristischer Handlungen verhindert werden. Steht ein Mitarbeiter auf einer der Verordnungslisten, darf ihm kein Gehalt ausgezahlt werden. Auch mit terroristischen Kunden oder anderen Vertragspartnern darf kein Handel getrieben werden.
Doch können Unternehmen die sogenannten Terrorlisten überhaupt datenschutzkonform auswerten? Und falls ja, wie muss das Terrorlistenscreening ausgestaltet sein?
Was schreiben die EU-Anti-Terrorverordnungen vor?
Ca. 200 als Terroristen geltende natürliche Personen und ca. 70 als terroristisch eingestufte juristische Personen, Gruppen und Organisationen sind derzeit im Anhang I der Verordnung 881/2002/EG zu finden. Die Liste wurde zuletzt am 4. Juni 2022 geändert.
Die Terroristenliste der Verordnung 753/2011/EG umfasst demgegenüber 123 natürliche und juristische Personen, Gruppen, Unternehmen und Einrichtungen und wurde zuletzt am 13. April 2022 aktualisiert.
Gemäß Art. 3 Abs. 2 der Verordnung 753/2011/EG dürfen
„[d]en in Anhang I aufgeführten natürlichen oder juristischen Personen, Gruppen, Unternehmen und Einrichtungen […] weder unmittelbar noch mittelbar Gelder oder wirtschaftliche Ressourcen zur Verfügung gestellt werden oder zugutekommen.“
Ein ähnlicher Wortlaut findet sich in Art. 2 Abs. 2 der Verordnung 881/2002/EG. Bei einem Verstoß gegen die Verordnungen sind erhebliche Sanktionen möglich, von einer Geldbuße und Untersagung der Gewerbefortführung bis zur Freiheitsstrafe.
Wer muss die Terrorlisten screenen?
Nach Art. 14 Verordnung 753/2011/EG (ähnlich Art. 11 Verordnung 881/2002/EG) gilt diese u.a.
„d) für die nach dem Recht eines Mitgliedstaats gegründeten oder eingetragenen juristischen Personen, Gruppen, Unternehmen und Einrichtungen;
e) für juristische Personen, Gruppen, Unternehmen und Einrichtungen in Bezug auf Geschäfte, die ganz oder teilweise in der Union getätigt werden.“
Somit sind im Prinzip alle Unternehmen, die Geschäfte in Europa tätigen und / oder hier gegründet oder eingetragen sind, verpflichtet, die Verordnungen einzuhalten.
Ein (fortwährendes) Screenen der Listen wird in den Verordnungen allerdings nicht verlangt. Auch Artikel 14 k der Zollkodex-Durchführungsverordnung (ZK-DVO), der „Sicherheitsüberprüfungen“ und „regelmäßige Hintergrundüberprüfungen“ zur Voraussetzung für die Erlangung des mit Zollvorteilen versehenen Status „Zugelassener Wirtschaftsbeteiligter – AEO“ macht, enthält keine explizite Screening-Pflicht. Gleichwohl verlangt der Zoll auf Grundlage der Leitlinien „Zugelassener Wirtschaftsbeteiligter“ von antragstellenden Unternehmen die Bestätigung, dass die Terrorlisten im Rahmen der Sicherheitsüberprüfungen herangezogen werden (vgl. Fragekatalog zur Selbstbewertung – AEO Punkt 6.11.3 und 6.12.1.).
Ist der Abgleich (von Mitarbeiterdaten) datenschutzkonform?
Zunächst ist festzustellen, dass die Verordnungen als solche das Datenschutzrecht nicht überlagern bzw. verdrängen. Dies folgt u. a. aus dem Umstand, dass das Screening als solches in den Verordnungen nicht gefordert und somit auch nicht für zulässig erklärt wird.
Vor diesem Hintergrund hatten sich die Datenschutzbehörden in der Vergangenheit kritisch zu einem pauschalen und anlasslosen Screening von Mitarbeitern positioniert. Dieses könne weder als erforderlich angesehen werden, noch genüge es rechtsstaatlichen Prinzipien. Weniger bedenklich (allerdings uneinig) hatte sich der Datenschutzkreis gegenüber dem Screenen von Kundendaten gezeigt. Ausführlich und vergleichsweise differenziert hatte auch der (ehemalige) Bundesbeauftragte für den Datenschutz und die Informationsfreiheit zum Thema Stellung bezogen.
Der Bundesfinanzhof (BFH) hat die durch die Datenschützer mitverursachte Rechtsunsicherheit mit seinem Urteil vom 19. Juni 2012 beseitigt. Der BFH hält die Vorgabe des Zolls, das Erlangen des AEO-Zertifikats vom Screenen der Anti-Terrorverordnungen abhängig zu machen, für datenschutzkonform. Das Screenen könne als erforderlich angesehen werden; schutzwürdige Interessen der Mitarbeiter würden bereits aufgrund der geringen Sensivität der für den Abgleich erforderlichen Daten nicht überwiegen.
Was darf bzw. muss gescreent werden?
Hinsichtlich der Art der auszuwertenden Daten ist der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c, Art. 25 Abs. 1 DSGVO) zu beachten. Danach dürfen nur Stammdaten gescreent werden, wozu der Name, die Anschrift, das Geburtsdatum und / oder der Geburtsort zählen. Auch eine Pseudonymisierung der Daten sollte vor diesem Hintergrund geprüft werden.
Bewerber dürfen keinem Screening unterzogen werden, es sei denn, die Einstellung eines Bewerbers steht unmittelbar bevor. Grund hierfür ist, dass Bewerbern keine Gelder bereitgestellt werden, weshalb kein Verstoß gegen das Bereitstellungsverbot der Verordnungen denkbar ist. Hierdurch entfällt in der Interessenabwägung die komplette Interessenlage des Arbeitgebers.
Wann und wie oft muss gescreent werden?
Wohl auch angesichts der in den Verordnungen fehlenden Screening-Pflicht hat die Bundesregierung 2010 in einer Stellungnahme die Pflicht eines Unternehmens zu einem systematischen und anlassunabhängigen Abgleich seiner Kunden- und Mitarbeiterdateien verneint. Eine Screening-Pflicht bestehe „allenfalls nach Maßgabe von Sorgfaltspflichten“.
Angesichts der drohenden Sanktionen und der nunmehr (weitgehend) geklärten Datenschutzrechtslage sollten dennoch im Rahmen des betrieblichen Compliance-Managements, soweit praktisch sinnvoll und handhabbar, regelmäßige Abgleiche erfolgen.
Zur Ermittlung einer sinnvollen Prüffrequenz kann bei (kleinen) ressourcenschwachen Unternehmen auf die in den benannten Leitlinien aufgestellte Mindestprüfpflicht von einem Jahr abgestellt werden. Diese Mindestprüfpflicht greift jedoch – zumindest hinsichtlich AEO – nicht, wenn Güter aus einem sicherheitsrelevanten Bereich betroffen sind. In diesem Fall sollte eine höhere Prüffrequenz angesetzt werden.
Worauf muss bei der Einbindung eines Dienstleisters geachtet werden?
Eine fortwährende Überprüfung der Terrorlisten kann für ein Unternehmen sehr lästig sein, weshalb verschiedene Dienstleister den Abgleich anbieten (Beispiel 1, Beispiel 2). Die Beauftragung eines Dienstleisters ist grundsätzlich im Rahmen einer Auftragsverarbeitung (Art. 28, 29 DSGVO) datenschutzkonform möglich.
Erforderlich ist eine dokumentierte Prüfung der organisatorischen und technischen Maßnahmen (TOM) des Dienstleisters. Es sollte insbesondere geprüft und dokumentiert werden, ob der Dienstleister aktuelle Terrorlisten verwendet und mit welchen konkreten Methoden das Screening erfolgt. Die Einbindung erfordert zudem den Abschluss eines Auftragsverarbeitungsvertrages.
Was muss beim Terrorlistenscreening noch beachtet werden?
Eine Datenschutzfolgenabschätzung (DSFA) nach Art. 35 DSGVO ist angesichts der geringen Risiken nicht erforderlich, da bei der Suche offensichtlich keine Daten verloren gehen können.
Etwas anderes kann jedoch gelten, wenn der Abgleich durch einen Dienstleister erfolgt. Sofern bestimmte Voraussetzungen nicht eingehalten werden (Server in der EU, Verschlüsselung der Daten, Vereinbarung einer Auftragsverarbeitung nach Art. 28 DSGVO, Löschkonzept), besteht hier ein erhöhtes Risiko. Neben der Einbeziehung des Datenschutzbeauftragten empfiehlt es sich auch, den Betriebsrat zu informieren. Ein Mitbestimmungsrecht des Betriebsrats nach § 87 I Nr. 6 BDSG bei dem beim Einsatz einer Screening-Software besteht nach Auffassung des BAG jedoch nicht.
Schließlich müssen sowohl die Mitarbeiter als auch die Kunden und sonstigen Vertragspartner über die Umstände des Screenings informiert werden.
Fazit: Terrorlistenscreening ist datenschutzkonform durchführbar
Auch wenn die Terrorismusverordnungen ein Screenen nicht ausdrücklich verlangen, kann dieses aus datenschutzrechtlicher Sicht als erforderlich angesehen werden. Der Abgleich kann im Wege der Auftragsdatenverarbeitung auf einen Dienstleister übertragen werden. Neben dem Datenschutzbeauftragten sollte auch der Betriebsrat eingebunden werden. Die vom Screening Betroffenen sind über die Umstände zu informieren.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!