DA+

Aufsatz : Auskunftspflichten von Unternehmen zu Zeiten des Terrorismus : aus der RDV 4/2016, Seite 183 bis 188

Barbara BroersArchiv RDV
Lesezeit 18 Min.

Die Anschläge vom 11. September 2001 zählen zu den weltweit größten und schwersten terroristischen Angriffen in der Menschheitsgeschichte. International wurden in der Folge Gesetzespakete verabschiedet, um zukünftige Terroranschläge besser aufdecken bzw. verhindern und bereits erfolgte nachträglich aufklären zu können. Im Fokus zur Verhinderung von Anschlägen stehen dabei präventive Maßnahmen zur Kappung der finanziellen und wirtschaftlichen Ressourcen von Terroristen.

I. Einführung

Bereits 17 Tage nach den Anschlägen in New York, Washington und Pennsylvania beschloss der Sicherheitsrat der Vereinten Nationen neue umfangreiche Maßnahmen zur Verhütung und Bekämpfung des Terrorismus. Ziel war dabei vor allem die Verhinderung aktiver und/oder passiver Unterstützung von Terrororganisationen bzw. einzelner Personen in Form von Geldmitteln, Vermögenswerten oder wirtschaftlichen Ressourcen[1].

Die USA benötigten etwas mehr Zeit als der Sicherheitsrat der Vereinten Nationen, um einen Gesetzesentwurf im Kongress einzubringen[2], konnten den USA PATRIOT Act dann aber innerhalb von nur drei Tagen verabschieden[3]. Mittlerweile sind bestimmte Teile des Gesetzes nicht mehr in Kraft oder entschärft worden. Weitreichende Änderungen treffen insbesondere den sogenannten National Security Letter (NSL), eine strafbewehrte behördliche Anordnung ohne Richtervorbehalt[4], mit der Telekommunikationsanbieter, Banken und Finanzunternehmen zur Herausgabe von Kundendaten verpflichtet werden können.

Der NSL ist inhaltlich auf Bestandsdaten beschränkt, Kommunikationsinhalte oder die veranlasste Erhebung personenbezogener Daten sind ausgeschlossen. US-Behörden verstehen unter dem Begriff der relevanten Bestandsdaten allerdings auch Verbindungsdaten (IP-Adressen, Log-Files). Eine häufig enthaltene Geheimhaltungsklausel bei Anordnungen des FBI sieht zudem unter Androhung hoher Strafen vor, dass Unternehmen sowohl über die Zustellung eines NSL als auch über die herausgegebenen Daten schweigen müssen[5]. Da nur der Direktor des FBI diese Schweigepflicht aufheben oder einschränken kann, blieb den Unternehmen die gerichtliche Prüfung des NSL verwehrt.

Seit 2006 ist es Unternehmen erlaubt, die Anordnungen durch das United States District Court prüfen zu lassen. In dem wohl bekanntesten Fall des Unternehmers Nicholas Merryl, Gründer des Internetanbieters Calyx Internet Access, führte der elf Jahre andauernde Rechtstreit zu weitreichenden Erfolgen. Nicht nur Merryl darf mittlerweile offen über seinen NSL sprechen[6], auch andere Unternehmen konnten sich mit Erfolg gegen die FBI-Anordnungen zur Wehr setzen, sodass Anordnungen teilweise oder vollständig zurückgenommen wurden[7].

Noch im Dezember 2001 reagierte der Rat der Europäischen Union mit der EG-Verordnung (EG) 2580/2001 auf die vom UN-Sicherheitsrat geforderten Maßnahmen gegen den Terrorismus. Diese unmittelbar geltende Rechtsvorschrift sieht eine Liste vor, die laufend aktualisiert wird und konkret vom Embargo betroffene natürliche und juristische Personen benennt[8].

Im Mai 2002 folgte die nächste EG-Verordnung (EG) 881/2002, die explizit eine Liste von Personen und Organisationen enthält, die mit Osama bin Laden, dem Al-QaidaNetzwerk und den Taliban in Verbindung stehen[9] und weder mit finanziellen Mitteln noch mit Vermögenswerten oder wirtschaftlichen Ressourcen unterstützt werden dürfen. Im August 2011 folgte schließlich die dritte EU-Verordnung (EU) 753/2011, die entsprechend der Situation in Afghanistan eine weitere Liste von Personen, Gruppen, Unternehmen und Einrichtungen enthält, die ebenfalls nicht mit Geld, Vermögenswerten oder wirtschaftlichen Ressourcen unterstützt werden dürfen[10]. Darüber hinaus sind weitere Restriktionen enthalten, die eine unmittelbare oder mittelbare technische Hilfe sowie die Bereitstellung, Herstellung, Instandhaltung und Verwendung der in der Gemeinsamen Militärgüterliste der EU aufgeführten Güter und Technologien verbieten[11].

Die EG/EU-Verordnungen sind zwar unmittelbar geltende Rechtsvorschriften, sehen allerdings keine Sanktionen für Verstöße vor, sondern verpflichten die Mitgliedsstaaten, ihrerseits, durch eigene Gesetze wirksame, verhältnismäßige und abschreckende Strafen festzulegen.

Im deutschen Recht sind die Strafen und Ordnungswidrigkeiten für Verstöße gegen die EU-Sanktionsmaßnahmen im Außenwirtschaftsgesetz (AWG) angesiedelt. Irrtümlicherweise wird oft angenommen, dass Straftat- und Bußgeldtatbestände nur von Unternehmen erfüllt werden können, die Außenhandel mit Personen oder Unternehmen außerhalb der Europäischen Wirtschaftsräume betreiben. Der Geltungsbereich des Außenwirtschaftsgesetzes ist jedoch nicht begrenzt, sodass jeder, der gegen die EU-Sanktionsmaßnahmen verstößt, nach den Vorschriften dieses Gesetzes bestraft werden kann. Finanzielle Leistungen oder Warenlieferungen bzw. schuldrechtliche Vereinbarungen mit Personen oder Unternehmen, die einer Sanktionsmaßnahme durch EU-Verordnung unterliegen, können gem. § 18 Abs. 1 Nr. 1 lit. a AWG[12] mit Freiheitsstrafe von drei Monaten bis zu fünf Jahren bestraft werden. Bei Fahrlässigkeit liegt eine Ordnungswidrigkeit gem. § 19 Abs. 1 AWG vor, die mit einem Bußgeld bis zu 500.000 Euro geahndet werden kann.

Des Weiteren räumen die Europäischen Verordnungen staatlichen Behörden keine besonderen Befugnisse ein. Aus diesem Grund ist am 01. Januar 2002 das Terrorismusbekämpfungsgesetz als sogenanntes Artikelgesetz in Kraft getreten[13]. Geschaffen wurden vor allem umfangreiche datenschutzrechtliche Grundlagen, insbesondere Auskunftsrechte der Nachrichtendienste gegenüber öffentlichen und nichtöffentlichen Stellen. Einige der enthaltenen Gesetzesänderungen waren zunächst befristet bis zum Ablauf des 10. Januar 2007, wurden allerdings im Januar 2007 durch das Terrorismusbekämpfungserweiterungsgesetz[14] verlängert. Im Dezember 2011 wurden mit dem Gesetz zur Änderung des Bundesverfassungsschutzgesetzes[15] weitere Änderungen festgelegt und Bestimmungen ergänzt.

II. Auskunftspflichten

Unternehmen können behördliche Anfragen zu Auskünften über Beschäftigte, Kunden, Lieferanten oder sonstige Geschäftskontakte erhalten. In diesem Fall sollte die Vorgehensweise ähnlich der Auskunft an den Betroffenen gem. § 34 Bundesdatenschutzgesetz (BDSG)[16] intern klar geregelt sein, eine unzulässige Übermittlung an Dritte kann auch als Ordnungswidrigkeit gem. § 43 Abs. 2 Nr. 4 BDSG Bußgelder bis zu 300.000 Euro nach sich ziehen.

Auskunftsersuchen durch Staatsanwaltschaften oder Polizeibehörden werden am Telefon, per Fax, per E-Mail oder per Post gestellt. Grundsätzlich sollten Unternehmen darauf bestehen, dass Anfragen sowie Auskünfte nur schriftlich erfolgen, um eine nachweisbare Dokumentation zu gewährleisten. Dies kann sich im Einzelfall aber auch aus den jeweiligen Rechtsvorschriften ergeben. Innerhalb des Unternehmens sollte festgelegt werden, durch welche Personen oder Fachabteilungen die Auskunftsersuchen bearbeitet werden. In jedem Fall sind datenschutzrechtliche Kenntnisse erforderlich, da jede Anfrage hinsichtlich der Zulässigkeit einer Übermittlung von der Auskunft gebenden Stelle geprüft werden muss.

Darüber hinaus muss die anfragende Behörde eine Rechtsgrundlage für die Zulässigkeit der Datenübermittlung bzw. die Pflicht zur Auskunft nennen, da solche Übermittlungen nicht dem ursprünglichen Zweck der Datenerhebung entsprechen. Personenbezogene Daten von Beschäftigten werden beispielsweise auf Grundlage des § 32 Abs. 1 BDSG erhoben, verarbeitet und genutzt. Übermittlungen, die nicht für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich sind, entsprechen einer zweckfremden Datenverarbeitung und müssen durch eine gesonderte Rechtsvorschrift erlaubt sein. Wichtig: Verantwortlich für die Beurteilung der Zulässigkeit ist die übermittelnde Stelle.

Da die Daten nicht bei den Betroffenen selbst erhoben werden, muss die jeweilige Rechtsvorschrift explizit die Datenerhebung bei dem zur Auskunft verpflichteten Unternehmen zulassen (§ 4 Abs. 2 Nr. 1 BDSG). Eine Pflicht zur Benachrichtigung der Betroffenen (§ 33 Abs. 1 BDSG) besteht nicht für das auskunftspflichtige Unternehmen, da nur Daten betroffen sein dürfen, die bereits zuvor für andere Zwecke bei der übermittelnden Stelle gespeichert waren.

In Bezug auf den internationalen Terrorismus ergeben sich aus den deutschen Gesetzen zur Terrorismusbekämpfung (s. I) weitere Auskunftspflichten gegenüber Nachrichtendiensten. Rechtsgrundlage für Auskunftsersuchen durch das Bundesamt für Verfassungsschutz ist das Bundesverfassungsschutzgesetz (BVerfSchG)[17]. Für den militärischen Nachrichtendienst (MAD) gilt das Gesetz über den militärischen Abschirmdienst (MADG)[18] und für den Auslandsgeheimdienst (BND) das Gesetz über den Bundesnachrichtendienst (BNDG)[19]. Demnach gelten die Vorschriften des BVerfSchG auch für Auskunftsersuchen durch MAD und BND[20].

Mögliche Rechtsgrundlagen für Auskünfte bestehen gegenüber

a) Unternehmen, die geschäftsmäßig Teledienste erbringen zu Daten, die für die Begründung, inhaltliche Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses über Teledienste (Bestandsdaten) gespeichert worden sind (§ 8a Abs. 1 BVerfSchG).

b) Luftfahrtunternehmen, Betreibern von Computerreservierungssystemen und Globalen Distributionssystemen für Flüge zu Namen und Anschriften des Kunden sowie zur Inanspruchnahme und den Umständen von Transportleistungen, insbesondere zum Zeitpunkt von Abfertigung und Abflug und zum Buchungsweg (§ 8a Abs. 2 Nr. 1 BVerfSchG).

c) Kreditinstituten, Finanzdienstleistungsinstituten und Finanzunternehmen zu Konten, Konteninhabern und sonstigen Berechtigten sowie weiteren am Zahlungsverkehr Beteiligten und zu Geldbewegungen und Geldanlagen, insbesondere über Kontostand und Zahlungsein- und -ausgänge (§ 8a Abs. 2 Nr. 2 BVerfSchG).

d) denjenigen, die geschäftsmäßig Telekommunikationsdienste erbringen oder daran mitwirken, zu Verkehrsdaten nach § 96 Abs. 1 Nr. 1 bis 4 des Telekommunikationsgesetzes und sonstigen zum Aufbau und zur Aufrechterhaltung der Telekommunikation notwendigen Verkehrsdaten (§ 8a Abs. 2 Nr. 4 BVerfSchG).

e) denjenigen, die geschäftsmäßig Teledienste erbringen oder daran mitwirken, zu

(a) Merkmalen zur Identifikation des Nutzers eines Teledienstes (§ 8a Abs. 2 Nr. 5 lit. a BVerfSchG),

(b) Angaben über Beginn und Ende sowie über den Umfang der jeweiligen Nutzung (§ 8a Abs. 2 Nr. 5 lit. b BVerfSchG) und

(c) Angaben über die vom Nutzer in Anspruch genommenen Teledienste (§ 8a Abs. 2 Nr. 5 lit. c BVerfSchG).

Voraussetzung für die zuvor genannten Rechtsgrundlagen ist jeweils, dass die Auskunft nur im Einzelfall eingeholt werden darf und auf Anordnung ergeht. Auskunftsersuchen nach § 8a Abs. 2 BVerfSchG werden nach schriftlichem Antrag mit Begründung vom Behördenleiter oder dessen Stellvertreter im Falle des Bundesamts für Verfassungsschutz vom Bundesministerium des Inneren bzw. im Falle des BND vom Bundeskanzleramt sowie im Falle des MAD vom Bundesministerium der Verteidigung angeordnet. Das zur Auskunft verpflichtete Unternehmen darf gem. § 8b Abs. 4 BVerfSchG weder den Betroffenen noch Dritte über die Auskunft informieren. Zudem sind gem. § 8b Abs. 5 BVerfSchG einseitige nachteilige Handlungen zu Lasten des Betroffenen, wie die Beendigung oder Einschränkung von Verträgen oder die Erhebung oder Erhöhung von Entgelten, verboten.

Mit Ausnahme von Auskünften über Verkehrsdaten bei Unternehmen, die geschäftsmäßig Telekommunikationsdienste erbringen (§ 8a Abs. 2 Nr. 4 BVerfSchG), gilt für die Erteilung von Auskünften die Verordnung über die Übermittlung von Auskünften an die Nachrichtendienste des Bundes (NDÜV)[21]. Die Auskunftsersuchen werden schriftlich unter Nennung einer angemessenen Frist angeordnet und sind in den vorgeschriebenen Dateiformaten auf den festgelegten Übertragungswegen zu übermitteln, wobei Ausnahmen möglich sind. Gemäß Anlage 2 NDÜV können auskunftspflichtige Unternehmen eine Entschädigung erhalten. Ein entsprechendes Formblatt liegt der Anordnung zur Auskunft bei.

Deutsche Unternehmen sind zwar nicht mit direkten Auskunftsersuchen US-amerikanischer Behörden konfrontiert, innerhalb eines Konzerns jedoch können Schwester- oder Muttergesellschaften in den USA per Gerichtsbeschluss (Subpoena) oder aufgrund behördlicher Anordnung (NSL) gezwungen werden, Kunden- bzw. Beschäftigtendaten herauszugeben. In der Regel sind dann auch Daten der deutschen Unternehmen betroffen, die vorab zu legitimen konzerninternen Zwecken übermittelt wurden. Für die anschließende Weitergabe sind die US-Unternehmen verantwortlich. Die reine Übermittlung zum Zweck einer angeordneten Auskunftspflicht stellt deutsche Unternehmen hingegen vor große Probleme. Die Mutterkonzerne verpflichten meistens vertraglich zur Kooperation, obwohl es an einer datenschutzrechtlich erforderlichen Rechtsgrundlage für die Übermittlung fehlt. Wird übermittelt, kann ggf. ein Bußgeld durch eine Aufsichtsbehörde erfolgen – wird nicht übermittelt, droht eine Vertragsstrafe der Muttergesellschaft, die nach derzeitiger Rechtslage häufig höher ausfällt als das Bußgeld. Ab Geltung der EU-Datenschutzgrundverordnung dürfte sich dieses Ungleichgewicht mit Geldbußen bis zu 4 Prozent des weltweiten Vorjahresumsatzes ändern.

III. Mitwirkungspflichten

Neben den üblichen Auskunftspflichten können für Unternehmen auch aktive Mitwirkungspflichten bestehen. Derzeit stark in der Diskussion sind die Bewilligungsvoraussetzungen für Zugelassene Wirtschaftsbeteiligte (AEO)[22]. Die Weltzollorganisation (WZO) hat mit einem „Framework of Standard to Secure and Facilitate Global Trade“ (SAFE) weltweite Rahmenbedingungen für ein modernes, effektives Risikomanagement in den Zollverwaltungen geschaffen. Mit Einführung des Zugelassenen Wirtschaftsbeteiligten wurden sicherheitspolitische Aspekte des SAFE auf europäischer Ebene umgesetzt. Zu diesem Zweck wurde im Zollkodex (ZK) und in der Zollkodex-Durchführungsverordnung (ZK-DVO) die AEO-Zertifizierung eingeführt.

Es werden drei Varianten des zertifizierten Status unterschieden:

  • AEO-C (Zollrechtliche Vereinfachungen)
  • AEO-S (Sicherheit)
  • AEO-F (Zollrechtliche Vereinfachungen / Sicherheit)

Für die Zertifikate mit dem Status AEO-S sowie AEO-F sind gem. Art. 14k ZK-DVO bestimmte Bewilligungsvoraussetzungen hinsichtlich der Sicherheit zu erbringen. Dazu zählt insbesondere der Nachweis, dass der Antragsteller für Personen, die künftig in sicherheitsrelevanten Bereichen arbeiten, Sicherheits- und Hintergrundüberprüfungen durchführt (Art. 14k lit. f ZK-DVO). Entsprechend der Leitlinien für Zugelassene Wirtschaftsbeteiligte[23] betrifft dies sämtliche Personen, die an zollrechtlichen Prozessen beteiligt sind. Die Leitlinien empfehlen explizit, dass Beschäftigte nicht auf schwarzen Listen stehen sollten[24] und nennen beispielhaft die drei EU-Verordnungen, wobei jede nationale oder supranationale Liste herangezogen werden kann.[25]

Darüber hinaus muss die Verarbeitung personenbezogener Daten zu Zwecken der Sicherheits- und Hintergrundüberprüfungen im Einklang mit jeglichen europäischen oder nationalen Rechtsvorschriften stehen. Der Wortlaut der Leitlinien klingt nun nach einer wohlwollenden Kann-Option – ohne eine entsprechende Rechtsgrundlage der Datenverarbeitung ist kein Listenabgleich zulässig. Die Empfehlungen aus den Leitlinien sehen in der Praxis allerdings wie folgt aus: Ohne Nachweis, dass geprüft wird, ob Beschäftigte auf einer Sanktionsliste stehen, wird kein AEO-S bzw. AEO-F Zertifikat erteilt. Fehlt es an einer gesetzlichen Rechtsgrundlage für die Datenverarbeitung, verweisen die Leitlinien auf die Einwilligung der Betroffenen.

Was zunächst einfach klingt, stellt deutsche Unternehmen allerdings vor große Hürden, da die Einwilligung im Beschäftigungsverhältnis nach Ansicht deutscher Aufsichtsbehörden in der Regel mangels fehlender Freiwilligkeit abgelehnt wird. Bei Beschäftigten kommt daher zunächst nur § 32 BDSG als vorrangige Rechtsvorschrift zur Datenverarbeitung in Frage. Demnach muss die Datenverarbeitung für die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses mit dem Betroffenen erforderlich sein.

Der Gesetzgeber wollte mit der Formulierung des § 32 Abs. 1 BDSG erreichen, dass der Umfang der Verarbeitung von Beschäftigtendaten den bisher von der Rechtsprechung aus dem allgemeinen Persönlichkeitsrecht abgeleiteten Grundsätzen zum Datenschutz im Beschäftigungsverhältnis entspricht[26]. Die Datenverarbeitung im Sinne des § 32 BDSG soll dann erforderlich sein, wenn sie den arbeitsrechtlichen Grundsätzen der Verhältnismäßigkeit entspricht, indem die berechtigten Interessen des Arbeitgebers an dem Umgang mit den Personaldaten gegen die maßgeblichen Rechtsgüter der betroffenen Beschäftigten abgewogen werden[27]. Die Verarbeitung von Beschäftigtendaten muss daher geeignet, erforderlich und angemessen sein.

Geeignet ist eine Maßnahme, wenn sie den vom Arbeitgeber angestrebten, von der Rechtsordnung gebilligten Zweck fördern kann[28]. Die AEO-Zertifizierung ermöglicht dem Arbeitgeber zollrechtliche Vereinfachungen auf Grundlage europäischer Rechtsverordnungen und stellt somit einen legitimen Zweck dar. Der Abgleich bestimmter Beschäftigter mit den Sanktionslisten ist im Rahmen der AEOZertifizierung eine der geforderten Bewilligungsvoraussetzungen und demnach geeignet.

Nach arbeitsrechtlicher Rechtsprechung ist eine Maßnahme erforderlich, wenn kein anderes, gleich wirksames und die Persönlichkeitsrechte der Betroffenen weniger einschränkendes Mittel zur Verfügung steht[29]. Die Feststellung, ob ein Beschäftigter auf einer der Sanktionslisten steht, lässt sich allerdings einzig und allein durch einen Abgleich treffen. Lediglich die Art und Weise, wie abgeglichen wird (manuell oder automatisiert), lässt einen gewissen Spielraum für Abwägungen zu.

Angemessen ist eine Maßnahme schließlich, wenn die berechtigten Interessen des Arbeitgebers die schutzwürdigen Interessen des Betroffenen überwiegen[30]. Dabei ist eine Gesamtabwägung der Intensität des Eingriffs und des Gewichts der ihn rechtfertigenden Gründe vorzunehmen[31]. Im Rahmen der AEO-Zertifizierung sind grundsätzlich nur bestimmte und nicht alle Arbeitnehmer von einem Listenabgleich betroffen. Die Intensität des Eingriffs beschränkt sich auf den Vergleich von Stammdaten der Betroffenen (Name, ggf. Anschrift, Geburtsdatum, Geburtsort) mit einer im Amtsblatt der Europäischen Union veröffentlichte Liste, die für jedermann einsehbar ist. Demgegenüber stehen nicht nur wirtschaftliche Vorteile des Arbeitgebers durch eine AEO-Zertifizierung, sondern auch erhebliche Strafandrohungen (§§ 18, 19 AWG) für den Fall, dass ein Beschäftigter auf einer Sanktionsliste aufgeführt ist[32]. Kritisiert wird allerdings, dass die Entscheidung, wer auf der Liste steht, weder nachvollziehbar ist noch rechtstaatlichen Grundsätzen entspricht[33].

Tatsächlich würde ein Listenabgleich bei Personen, die zu Unrecht auf einer Sanktionsliste stehen, zu einem deutlich überwiegenden Interesse seitens des Beschäftigten führen. Neben dem Versagen des Verdienstes würden auch keine sozialen Hilfen wie Arbeitslosengeld II, Sozialhilfe, Rente o.ä. mehr gezahlt werden. Im Übrigen überwiegen allerdings die Interessen des Arbeitgebers, sodass es mangels bestätigter Fälle zu Unrecht gelisteter Personen sowie mangels Beurteilungsmöglichkeiten des Arbeitgebers unter dem Strich zu einer Würdigung zugunsten des Unternehmens kommen wird.

Der Bundesfinanzhof hat 2012 entschieden, dass der Sanktionslistenabgleich im Rahmen der AEO-Zertifizierung (AEO-S, AEO-F) auf Grundlage des § 32 Abs. 1 BDSG zulässig ist[34]. Indem der Arbeitgeber zollrechtliche Vereinfachungen mit erhöhten Sicherheitsanforderungen beantragt, muss er auch nachweisen, dass die Bewilligungsvoraussetzungen erfüllt werden. Da es keine andere Möglichkeit gibt herauszufinden, ob ein Bewerber oder ein bereits Beschäftigter auf einer Sanktionsliste steht, wird ein Listenabgleich unmittelbar für die Begründung oder die Durchführung bzw. Beendigung des Beschäftigungsverhältnisses erforderlich. Fragwürdig ist, ob der Bundesfinanzhof von dieser Schlussfolgerung selbst überzeugt ist, da die Richter Unternehmen im Zweifel die Einholung einer Einwilligung bei den Betroffenen empfehlen.

Zur Art und Weise eines zulässigen Abgleichs äußert sich der Bundesfinanzhof leider nicht. Es wurde lediglich bestätigt, dass die Verarbeitung von Beschäftigtendaten für die Bewilligung eines AEO-Zertifikats auf Grundlage des § 32 Abs. 1 BDSG zulässig sein kann und solche Maßnahmen Teil der Bewilligungsvoraussetzungen sein dürfen. Auch wenn zwischen Datenschützern und Gerichten keine Einigkeit hinsichtlich der Zulässigkeit derartiger Datenverarbeitung bestehen mag, sind die Aufsichtsbehörden an die Entscheidung gebunden. Das bedeutet allerdings nicht, dass Sanktionslistenabgleiche, die im Rahmen der AEO-Zertifizierung durchgeführt werden, nicht rechtswidrig sein können. Die konkrete Umsetzung des Abgleichs muss ebenfalls der Zulässigkeitsprüfung des § 32 BDSG unterzogen werden und verhältnismäßig sein. Der Einsatz technischer Hilfsmittel, die Datenverarbeitung im Auftrag durch Dienstleister sowie die Transparenz gegenüber den Betroffenen müssen den Grundsätzen der Geeignetheit, Erforderlichkeit und Angemessenheit folgen.

IV. Handlungspflichten

Für viele Unternehmen stellt sich auch ohne AEO-Zertifizierung die Frage nach der Pflicht bzw. dem Recht zum Sank tionslistenabgleich von Beschäftigten, aber auch von Lieferanten oder von Kunden. Grundsätzlich gilt, dass natürliche oder juristische Personen sanktionierten Personen oder Organisa tionen weder Geldmittel, noch Vermögenswerte oder wirtschaftliche Ressourcen zur Verfügung stellen dürfen.Anderenfalls drohen Bußgelder (§ 19 AWG) oder bei Vorsatz sogar Freiheitsstrafen (§ 18 AWG). Die Bundesregierung sieht die EU-Verordnungen als unmittelbare Rechtsgrundlage für die Durchführung von Sanktionslistenabgleichen[35].

Für die Datenschutz-Aufsichtsbehörden ist ein Abgleich von Beschäftigtendaten mit Sanktionslisten generell nicht mit dem Bundesdatenschutzgesetz vereinbar, da die Rechtsstaatlichkeit dieser Listen angezweifelt wird[36]. Es ist nicht nachvollziehbar, auf welche Weise Betroffene auf die Listen gelangen und welche Rechtsmittel gegen die Sanktionslisten vorhanden sind. Da Banken gem. § 25c Kreditwesen gesetz bereits Screenings durchführen müssen, sehen die Aufsichtsbehörden im unbaren Zahlungsverkehr für Unternehmen keine Veranlassung, zusätzlich abzugleichen und fordern, solche Prüfungen nicht pauschal und anlasslos zu betreiben[37]. Problematisch ist hierbei, dass ohne pauschalen Abgleich die Gefahr einer unwissentlichen Zahlung besteht und der Arbeitgeber eine Ordnungswidrigkeit begeht.

Zur Klärung der Unsicherheiten tragen weder die Ansichten des Düsseldorfer Kreises noch die der Bundesregierung oder das Urteil des Bundesfinanzhofes bei, die betroffenen Unternehmen versuchen in eigener Regie die Schaffung von Rechtsgrundlagen. So zeigt der Daimler-Konzern anhand einer Konzernbetriebsvereinbarung, wie gesetzesähnliche Rechtsvorschriften geschaffen werden können, die nicht nur Abgleiche mit EU-Listen, sondern auch mit US-Listen ermöglichen[38]. Zumindest bis zur Geltung der EU-Datenschutzgrundverordnung könnten Betriebsvereinbarungen als Rechtsgrundlagen für Mitarbeiterscreenings dienen.

Interessanterweise beschäftigen sich Aufsichtsbehörden wie auch öffentliche Diskussionen dabei fast ausschließlich mit der Frage nach Mitarbeiterscreenings. Kunden und Lieferanten werden nicht gleichermaßen berücksichtigt. Gleiches gilt für Abgleiche mit US-Listen, die nicht von den Vorschriften des Außenwirtschaftsgesetzes erfasst sind. Deutsche Unternehmen, die mit den USA handeln, müssen allerdings befürchten, selbst auf einer der Listen zu gelangen, falls Leistungen an Personen oder Organisationen erbracht werden, die auf den Listen aufgeführt sind. Ein umfassender Abgleich von Kunden und Lieferanten wäre dementsprechend erforderlich, um existenzbedrohende Folgen für das Unternehmen zu vermeiden.

Ungeachtet der Rechtsgrundlagen für Screenings stellt sich auch die Frage nach der Art und Weise der Abgleiche. Die EU stellt mittlerweile eine umfassende Datenbank zur Verfügung, die sämtliche Personen oder Organisationen aus den EU-Verordnungen erfasst. Darüber hinaus gibt es gemeinsame Datenbanken der US-Sanktionslisten. Anbieter von Compliance-Software bieten ebenfalls unterschiedliche Produkte zu Abgleichen von CRM-Systemen mit verschiedenen Sanktionslisten an.

V. Fazit

Zusammenfassend lässt sich feststellen, dass es mangels Rechtsvorschrift weder eine Pflicht noch ein Recht zu anlasslosen oder pauschalen Listenabgleichen gibt. Im Gegenzug gibt es allerdings die unmissverständliche Pflicht, Geldmittel, Vermögenswerte und/oder wirtschaftliche Ressourcen nicht an Personen zu leisten, die auf Sanktionslisten geführt sind. So hat der EUGH beispielsweise 2007 entschieden, dass eine Grundstücksübertragung an eine Gesellschaft bürgerlichen Rechts (GbR) nicht möglich ist, wenn einer der Gesellschafter auf einer Sanktionsliste steht. Dies gilt selbst dann, wenn die Person erst nach Unterzeichnung des Kaufvertrages auf die Liste gelangt ist[39]. Aufgrund der mangelnden Rechtsvorschrift erfordert der anlasslose oder pauschale Listenabgleich zumindest die eingehende Interessenabwägung, also die Einschätzung, ob die Interessen oder Grundrechte und Grundfreiheiten der Betroffenen nicht überwiegen.

Barbara Broers Barbara Broers ist Geschäftsführerin der Datenschutzberatung Broers sowie Leiterin des ERFA-Kreises NORD der Gesellschaft für Datenschutz und Datensicherheit e.V..

* Aufsatz zum Vortrag des 9. GDD-Sommer-Workshops vom 01.- 03.08.2016 in Timmendorfer Strand.

[1] UN-Resolution 1373 vom 28.09.2001.

[2] Congressional Record – House, 23.10.2001, H7217

[3] H.R.3162 — Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism (USA PATRIOT ACT).

[4] Section 505 USA PATRIOT Act.

[5] Sogenannte gag order.

[6] Anordnung des United States District Court (Judge Marrero) zur Aufhebung der gag order gegenüber Nicholas Merryl, 14-CV-9763 (VM) vom 28.08.2015.

[7] Brad Smith: New success in protecting customer rights unsealed today. Microsoft Technet, 22. Mai 2014.

[8] Verordnung (EG) Nr. 2580/2001 vom 27.12.2001, Maßnahmen gegen sonstige Terrorverdächtige.

[9] Verordnung (EG) Nr. 881/2002 vom 27.05.2002, Maßnahmen gegen das Al-Qaida-Netzwerk.

[10] Verordnung (EU) Nr. 753/2011 vom 01.08.2011, Restriktive Maßnahmen gegen bestimmte Personen, Gruppen, Unternehmen und Einrichtungen angesichts der Lage in Afghanistan

[11] Gemeinsame Militärgüterliste ABl. C 69 vom 18.03.2010, S. 19.

[12] Außenwirtschaftsgesetz vom 6. Juni 2013 (BGBl. I S. 1482), das zuletzt durch Art. 6 des Gesetzes vom 3. Dezember 2015 (BGBl. I S. 2178) geändert worden ist.

[13] BGBl. 2002 I S. 361.

[14] BGBl. 2007 I S. 2.

[15] BGBl. 2011 I S. 2576.

[16] Art. 15 EU-DSGVO (ab 25.05.2018).

[17] Bundesverfassungsschutzgesetz vom 20. Dezember 1990 (BGBl. I S. 2954, 2970), das zuletzt durch Art. 1 des Gesetzes vom 17. November 2015 (BGBl. I S. 1938) geändert worden ist.

[18] MAD-Gesetz vom 20. Dezember 1990 (BGBl. I S. 2954, 2977), das zuletzt durch Art. 2 des Gesetzes vom 17. November 2015 (BGBl. I S. 1938) geändert worden ist.

[19] BND-Gesetz vom 20. Dezember 1990 (BGBl. I S. 2954, 2979), das zuletzt durch Art. 3 des Gesetzes vom 17. November 2015 (BGBl. I S. 1938) geändert worden ist

[20] Vgl. §§ 4a, 4b MADG, §§ 2a, 2b BNDG.

[21] Nachrichtendienste-Übermittlungsverordnung vom 11. Oktober 2012 (BGBl. I S. 2117).

[22] Authorised Economic Operator.

[23] Leitlinien AEO – TAXUD/B2/047/2011 – Rev. 5 vom 11.06.2014 der Europäischen Kommission, Generaldirektion Steuern und Zollunion.

[24] (EG) 2580/2001, (EG) 881/2002, (EU) 753/2011.

[25] Vgl. Leitlinien AEO, S. 57.

[26] BT-Drs. 16/13657, S. 21.

[27] BAG, 18.08.1987 – 1 ABR 30/86, BB 1987, 1461, Rn. 31; BAG, 26.08.2008 – 1 ABR 16/07, NZA 2008, 1187, Rn. 17.

[28] BAG, 26.08.2008 – 1 ABR 16/07, NZA 2008, 1187 Rn. 19.

[29] BAG, 26.08.2008 – 1 ABR 16/07, NZA 2008, 1187 Rn. 20

[30] BVerfG, 04.04.2006 – 1 BvR 518/02 – NJW 2006, 1939 Rn. 88.

[31] BAG, 26.08.2008 – 1 ABR 16/07, NZA 2008, 1187 Rn. 21.

[32] BFH, Urt. v. 19.06.2012, Az. VII R 43/11.

[33] Vgl. Birgit Kruse, „Zivile Todesstrafe“, Süddeutsche Zeitung, SZ.de, 17.05.2010, http://www.sueddeutsche.de/politik/dick-marty-berichtzu-terrorlisten-zivile-todesstrafe-1.344886.

[34] BFH, Urt. v. 19.06.2012, Az. VII R 43/11.

[35] BT-Drucksache 17/388 vom 04.01.2010.

[36] Beschluss des Düsseldorfer Kreises vom 23./24.04.2009 in Schwerin.

[37] Beschluss des Düsseldorfer Kreises vom 22./23.11.2011.

[38]http://www.spiegel.de/wirtschaft/unternehmen/daimler-ueberprueft-mitarbeiter-wegen-angst-vor-terror-a-1011135.html.

[39] EuGH, 11.10.2007 – C-117/06.