Terrorlisten-Screening und Datenschutz

Das sog. Terrorlisten-Screening ist in internationalen Unternehmen mittlerweile weit verbreitet. Oft stellt sich hierbei die Frage, wie Terrorlisten-Screening und Datenschutz miteinander vereinbar sind.

Was ist Terrorlisten-Screening?

Unter Terrorlisten-Screening bzw. Compliance Screening versteht man den Abgleich von personenbezogenen Daten mit der Anti-Terror-Verordnung der Europäischen Union oder anderen Sanktionslisten.

Mittelbare Screening-Pflicht

Entscheidend für die Frage, ob das Terrorlisten-Screening und Datenschutz miteinander vereinbar sind, ist, ob eine gesetzlich normierte Pflicht zur Durchführung derartiger Screenings existiert. Ausgangspunkt für eine mögliche Verpflichtung zum Screening von Terrorlisten ist das sog. Außenwirtschaftsgesetz (AWG). Nach § 4 Abs. 1 AWG können zum Schutz der öffentlichen Sicherheit

„[…] durch Rechtsverordnung Rechtsgeschäfte und Handlungen beschränkt oder Handlungspflichten angeordnet werden“.

Es bedarf somit einer entsprechenden Rechtsverordnung, die derartige Listen aufstellt. Doch nicht jede Rechtsverordnung darf herangezogen werden. Es ist zwischen europäischen und außer-europäischen Rechtsverordnungen zu unterscheiden. Der Abgleich z. B. mit US-amerikanischen Terrorlisten – auch und insbesondere nach dem sogenannten Patriot Act – ist datenschutzrechtlich unzulässig, denn US-Gesetze entfalten in der EU (und in Deutschland) keine unmittelbare Wirkung.

Mit Blick auf die Europäische Union sind insbesondere die EU-Anti-Terrorverordnungen (2580/2001/EG, 881/2002/EG und 753/2011/EG) relevant, mit denen die Finanzierung terroristischer Handlungen verhindert werden soll. Gemäß Art. 3 Abs. 2 der Verordnung 753/2011/EG dürfen

„[d]en in Anhang I aufgeführten natürlichen oder juristischen Personen, Gruppen, Unternehmen und Einrichtungen […] weder unmittelbar noch mittelbar Gelder oder wirtschaftliche Ressourcen zur Verfügung gestellt werden oder zugutekommen.“

Ein ähnlicher Wortlaut findet sich in Art. 2 Abs. 2 der Verordnung 881/2002/EG. Steht also ein Mitarbeiter auf einer der Verordnungslisten, darf ihm kein Gehalt ausgezahlt und auch sonst keine finanziellen Ressourcen zur Verfügung gestellt werden (sog. Bereitstellungsverbot). Außerdem darf mit Kunden oder Vertragspartnern, die sich auf der Liste wiederfinden, kein Handel betrieben werden.

Auch Artikel 14 k der Zollkodex-Durchführungsverordnung (ZK-DVO), der „Sicherheitsüberprüfungen“ und „regelmäßige Hintergrundüberprüfungen“ zur Voraussetzung für die Erlangung des mit Zollvorteilen versehenen Status „Zugelassener Wirtschaftsbeteiligter – AEO“ macht, enthält keine explizite Screening-Pflicht. Gleichwohl verlangt der Zoll auf Grundlage der Leitlinien „Zugelassener Wirtschaftsbeteiligter“ von antragstellenden Unternehmen die Bestätigung, dass die Terrorlisten im Rahmen der Sicherheitsüberprüfungen herangezogen werden.

Um gegen diese Vorgaben nicht zu verstoßen, muss folglich ein Screening durchgeführt werden. Mittelbar besteht also eine solche Pflicht.

Welche Unternehmen sind verpflichtet?

Nach Art. 14 Verordnung 753/2011/EG (ähnlich Art. 11 Verordnung 881/2002/EG) gilt diese u.a.

  • „[…] für die nach dem Recht eines Mitgliedstaats gegründeten oder eingetragenen juristischen Personen, Gruppen, Unternehmen und Einrichtungen;“
  • „[…] für juristische Personen, Gruppen, Unternehmen und Einrichtungen in Bezug auf Geschäfte, die ganz oder teilweise in der Union getätigt werden.“

Zum Screening verpflichtet sind also alle Unternehmen, die Geschäfte in Europa tätigen und / oder dort gegründet oder eingetragen sind. Es spielt vor diesem Hintergrund keine Rolle, ob es sich um ein produzierendes Unternehmen, oder um ein Dienstleistungsunternehmen handelt.

Dabei obliegt die Verpflichtung keineswegs ausschließlich der Geschäftsführung. Auch andere Stellen innerhalb eines Unternehmens können hierzu verpflichtet sein: So muss beispielsweise die Buchhaltung darauf achten, ob Zahlungen an einzelne Personen oder Gruppierungen erfolgen, die von der Sanktionsliste erfasst sind.

Sanktionen

Bei einem Verstoß gegen das Bereitstellungsverbot drohen Unternehmen und Führungskräften Geldbußen in Millionenhöhe (vgl. § 19 AWG). Bei einem vorsätzlichen Verstoß wird sogar eine Freiheitsstrafe von bis zu 5 Jahren verhängt (vgl. § 18 AWG)

Datenschutzrechtliche Zulässigkeit

Der Hessische Datenschutzbeauftragte, Prof. Dr. Alexander Roßnagel, stellte in seinem 45. Tätigkeitsbericht (dort Ziffer 4.4.2) klar, dass er den Abgleich von Kundendaten mit den Terrorlisten für datenschutzrechtlich zulässig erachte. Auch der Düsseldorfer Kreis bewertete das Screening von Kundendaten zwar uneinheitlich aber als eher unkritisch. Der (ehemalige) Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sah in seinem 23. Tätigkeitsbericht (dort Ziffer 13.7) hingegen keine Rechtsgrundlage für einen pauschalen und anlasslosen Abgleich.

Der Bundesfinanzhof (BFH) hat mit seinem Urteil vom 19.06.2012 (Az.: VII R 43/11) für Rechtssicherheit gesorgt und die Vorgabe des Zolls, das Erlangen des AEO-Zertifikats vom Screenen der Anti-Terrorverordnungen abhängig zu machen, für datenschutzkonform erklärt. Das Screenen könne als erforderlich angesehen werden; schutzwürdige Interessen der Mitarbeiter würden bereits aufgrund der geringen Sensitivität der für den Abgleich erforderlichen Daten nicht überwiegen. Es ist somit davon auszugehen, dass Terrorlisten-Screening und Datenschutz grundsätzlich miteinander vereinbar sind.

Umfang des Screenings

Hinsichtlich der Art der auszuwertenden Daten ist das Datensparsamkeitsgebot (Art. 5 Abs. 1 Buchst. c DSGVO) zu beachten. Danach dürfen nur Stammdaten gescreent werden, wozu der Name, die Anschrift, das Geburtsdatum und / oder der Geburtsort zählen. Auch eine Pseudonymisierung der Daten sollte vor dem Hintergrund des Datensparsamkeitsgrundsatzes geprüft werden.

Prüffrequenz

Wohl auch angesichts der in den Verordnungen fehlenden Screening-Pflicht hat die Bundesregierung 2010 in einer Stellungnahme die Pflicht eines Unternehmens zu einem systematischen und anlassunabhängigen Abgleich seiner Kunden- und Mitarbeiterdateien verneint. Eine Screening-Pflicht bestehe „allenfalls nach Maßgabe von Sorgfaltspflichten“. Angesichts der drohenden Sanktionen und der nunmehr (weitgehend) geklärten Datenschutzrechtslage sollten dennoch im Rahmen des betrieblichen Compliance-Managements, soweit praktisch sinnvoll und handhabbar, regelmäßige Abgleiche erfolgen.

Zur Ermittlung einer sinnvollen Prüffrequenz kann bei (kleinen) ressourcenschwachen Unternehmen auf die in den benannten Leitlinien aufgestellte Mindestprüfpflicht von einem Jahr abgestellt werden. Diese Mindestprüfpflicht greift jedoch – zumindest hinsichtlich AEO – nicht, wenn Güter aus einem sicherheitsrelevanten Bereich betroffen sind. In diesem Fall sollte eine höhere Prüffrequenz angesetzt werden.

Weitere Vorgaben

Die datenschutzkonforme Einführung des Verfahrens erfordert eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) durch den Verantwortlichen. Schließlich müssen sowohl die Mitarbeiter als auch die Kunden und sonstigen Vertragspartner über die Umstände des Screenings informiert werden.

Fazit

Die Frage, ob Terrorlisten-Screening und Datenschutz miteinander vereinbar sind, ist mit „Ja“ zu beantworten. Dazu zumindest mittelbar eine Screening-Pflicht besteht und bei Verstößen erhebliche Sanktionen drohen können, ist der Abgleich grundsätzlich als datenschutzkonform zu bewerten. Das Screening muss jedoch aus datenschutzrechtlichen Gesichtspunkten hinsichtlich des Umfangs und der Prüffrequenz auf das erforderliche Mindestmaß beschränkt werden.

Weiterer Interessanter Artikel: Adresshandel und Datenschutz

Stand: 19.03.2021