Aufsatz : Datenschutzrechtliche Aspekte des automatisierten Datenabgleichs durch Kredit- und Finanzinstitute zur Prävention von Geldwäsche und Terrorismus finanzierung : aus der RDV 6/2018, Seite 309 bis 315
Kredit- und Finanzinstitute sind verpflichtet, geeignete Vorkehrungen zu Prävention von Geldwäsche und Terrorismusfinanzierung zu treffen. Dies gilt sowohl in ihrer Beziehung zu ihren Kunden als auch zu ihren Mitarbeitern. Grundlagen sind das Geldwäschegesetz und u.a. die Antiterror- und Embargoverordnungen Nr. 881/2002 (EG), 2580/2001 (EG) und 753/2011 (EU). Da die Regelungen keine unmittelbare Verpflichtung und Berechtigung zu den die erforderlichen Kontrollmaßnahmen stützenden Datenverarbeitungen antreten, bedürfen diese der DS-GVO bzw., dem BDSG gerecht werdender Verfahren.
I. Vorbemerkungen
Das GwG[1] verfolgt die Absicht, der Einschleusung aus kriminellen Handlungen gewonnener Vermögenswerte in den legalen Wirtschaftskreislauf (Geldwäsche) präventiv entgegenzuwirken. Es verpflichtet Kredit- und Finanzinstitute (im Folgenden zusammenfassend „Institute“ genannt, soweit nicht ausdrücklich anders bezeichnet) sowie sonstige in seinen Anwendungsbereich fallende Stellen (§ 2 GwG) nicht nur zur Überprüfung von Kunden und geschäftlichen Vorgängen (Transaktionen) im Hinblick auf mögliche Geldwäsche, sondern auch hinsichtlich einer evtl. Terrorfinanzierung. Die enge Verbindung von Geldwäsche und Terrorismusfinanzierung kommt im Gesetz an zahlreichen Stellen zum Ausdruck und wird besonders deutlich in den Erwägungsgründen der EU-Richtlinie 2015/849[2] aufgezeigt, die mit dem GwG umgesetzt wurde.
Die Verhinderung von Terrorismusfinanzierung ist auch das Ziel mehrerer europäischer Rechtsakte. Dazu zählen namentlich die Antiterror- und Embargoverordnungen Nr. 881/2002 (EG), 2580/2001 (EG) und 753/2011 (EU). Sie verbieten es, den dort in Anhängen listenmäßig aufgeführten Personen, Unternehmen und Organisationen Gelder oder andere wirtschaftliche Ressourcen direkt oder indirekt zur Verfügung zu stellen.
Da die von den Instituten geforderten Maßnahmen regelmäßig den Umgang mit personenbezogenen Daten einschließen, sind von ihnen datenschutzrechtliche Vorgaben zu beachten. Das gilt namentlich im Hinblick auf das allgemein praktizierte Screening, d.h. den Abgleich ihrer Kunden- und Mitarbeiterdaten gegen die Sanktionslisten.
II. Datenabgleich zur Vermeidung von Rechtsverstößen
1. Pflichten nach dem GwG und den EG/EU-Verordnungen
Die europäischen Sanktionsverordnungen sind unmittelbar geltendes Recht und für die Institute bei ihrer Geschäftstätigkeit von erheblicher Relevanz. Diese sind dafür verantwortlich und müssen in geeigneter Weise dafür Sorge tragen, dass die durch sie verfügten Verbote beachtet werden. Die Verordnungen treffen aber keine Aussage darüber, welche konkreten Maßnahmen zu ihrer Einhaltung vorzusehen sind[3] oder wie zu verfahren ist, wenn z.B. die Personenidentität von Kunden und „Gelisteten“ nicht zweifelsfrei feststeht. Immerhin können Verstöße gegen das durch die Verordnungen aufgegebene sog. Bereitstellungsverbot als mit gravierenden Sanktionen belegte Ordnungswidrigkeiten oder Straftaten geahndet werden.[4]
Üblicherweise setzen die Verpflichteten zur Vermeidung von Embargobrüchen automatisierte Abgleichverfahren ein. So bietet etwa die EU-Kommission eine Datenbank an, in der alle Informationen über mutmaßliche terroristische Gruppen, Unternehmen und Personen aufgeführt sind, deren Gelder eingefroren werden müssen und mit denen keine Geschäfte getätigt werden dürfen. Mit einer geeigneten Prüfsoftware kann die Genauigkeit der Übereinstimmung mit den in den sog. CFSP (Common Foreign Security Policy)- Listen notierten Kreisen – je nach gewünschter Trefferquote auf 100 %, 80 % oder 60 % – eingestellt werden[5].
Wohlgemerkt: Ein EDV-gestützter Abgleich wird nicht expressis verbis von den Verordnungen gefordert, vielmehr stellt er ein praxistaugliches und probates Instrument der Identitätsprüfung zum Zweck der Vermeidung eines Rechtsverstoßes dar[6]. Die Sanktionsverordnungen begründen als Verbotsgesetze Unterlassungsverpflichtungen der Gesetzesadressaten (z.B. keine Auszahlungen an oder Transaktionen zugunsten der inkriminierten Personen). Demgegenüber enthält das GwG proaktive Handlungsverpflichtungen der in § 2 GwG aufgeführten Personen und Einrichtungen, die insbesondere in den Abschnitten 2, 3, 4 und 6 des Gesetzes zum Ausdruck kommen. Namentlich im Rahmen des Risikomanagements (§§ 4 ff GwG) ist zu fordern, dass die Beachtung der EG/EU-Verordnungen sichergestellt ist.
2. Kunden und Mitarbeiter
Das den Instituten obliegende Risikomanagement umfasst gem. § 4 Abs. 2 GwG die Risikoanalyse (§ 5 GwG) sowie interne Sicherheitsmaßnahmen nach Maßgabe des § 6 GwG.
Die Verpflichtung zur Ermittlung und Bewertung von bei den Kunden und ihren Geschäften bestehenden „Risiken der Geldwäsche und der Terrorismusfinanzierung“ (§ 5 Abs. 1 GwG) schließt selbsterklärend die Prüfung ein, ob eine Identität mit den in den Sanktionslisten verorteten Namen besteht. Stellt sich dies nämlich heraus, ist davon auszugehen, dass eine entsprechend risikobehaftete Geschäftsbeziehung begründet oder weitergeführt werden soll, so dass die für diesen Fall vorgesehenen rechtlichen und praktischen Konsequenzen zu ziehen sind.
Eine Überprüfung der Beschäftigten der Institute an Hand der Sanktionslisten ist gem. § 6 Abs. 2 GwG geboten. Den Instituten obliegt nach § 6 Abs. 2 Nr. 5 GwG die „Überprüfung der Mitarbeiter auf ihre Zuverlässigkeit durch geeignete Maßnahmen, insbesondere durch Personalkontrollund Beurteilungssysteme der Verpflichteten“. Die Zuverlässigkeit wird neben dem Vorliegen weiterer Kriterien angenommen, wenn der Mitarbeiter gem. § 1 Abs. 20 Nr. 1 GwG die Gewähr dafür bietet, dass er „ … sonstige geldwäscherechtlichen Pflichten und die beim Verpflichteten eingeführten Strategien, Kontrollen und Verfahren zur Verhinderung von Geldwäsche und von Terrorismusfinanzierung sorgfältig beachtet“. Erfasst werden damit z.B. die Beteiligung an zweifelhaften Transaktionen der Kunden und sonstige Formen kollusiven Zusammenwirkens mit bestimmten Kunden[7] , aber auch die Überprüfung, ob der Mitarbeiter etwa selbst dem sanktionierten Personenkreis zuzurechnen ist.
III. Datenschutzrechtlicher Erlaubnisrahmen
Die datenschutzrechtliche Befugnis zur Durchführung automatisierter Abgleichprozesse, die eine Verarbeitung personenbezogener Daten i. S. von Art. 4 Nr. 2 DS-GVO bedeuten, folgt nicht bereits unmittelbar aus dem GwG bzw. den Antiterrorverordnungen. Diese enthalten zwar Aufgaben und Pflichten, die bei der Begründung und Durchführung der Vertragsverhältnisse mit den Kunden und Beschäftigten eine ausschlaggebende Rolle spielen, fordern oder gestatten aber an keiner Stelle ausdrücklich Abgleichverfahren der in Rede stehenden Art an. Wie die Unternehmen sicherstellen, dass der in den Verordnungen gelistete Personenkreis erfasst und entsprechend behandelt wird, bleibt ihnen – vorbehaltlicher konkreter und nachfolgend angesprochener gesetzlicher „Vollzugsvorgaben“ – überlassen. Der IT-gestützte Abgleich ist lediglich eine aus den Verordnungsvorgaben abgeleitete und von den Unternehmen frei gewählte Vorgehensweise, die indes ihre datenschutzrechtliche Zulässigkeit aus den dafür in Betracht zu ziehenden datenschutzrechtlichen Befugnisregelungen ableiten muss[8].
1. Die Legitimationsbestimmungen im Einzelnen
Für die Zulässigkeit des Kundendatenabgleichs kommen grundsätzlich mehrere der in Art. 6 Abs. 1 DS-GVO aufgeführten Erlaubnisalternativen in Betracht, nämlich die in den Buchstaben b, f, c und e beschriebenen. Hinsichtlich des Mitarbeiterscreenings bilden – abweichend von Art. 6 Abs. 1 Buchst. b – § 26 Abs. 1 BDSG sowie ggf. auch eine Betriebsvereinbarung gem. § 26 Abs. 5 i. V. mit Art. 88 Abs. 2 DS-GVO[9] Schwerpunkte der Prüfung[10]. Zwar würde auch eine Einwilligung der Betroffenen Rechtfertigungswirkungen (Art. 6 Abs. 1 Buchstabe a, § 26 Abs. 2 BDSG) entfalten, sie wird in der Praxis für Screeningverfahren jedoch, soweit ersichtlich, nie eingeholt.
In den weitgehend uniformen Datenschutzhinweisen der Kreditinstitute werden als Zwecke der Datenverarbeitung auch die Betrugs- und Geldwäschebekämpfung aufgeführt. Sie werden den datenschutzrechtlichen Befugnisnormen der Buchstaben c (Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung) und e (Datenverarbeitung zur Wahrnehmung von in öffentlichem Interesse liegenden Aufgaben) des Art. 6 Abs. 1 DS-GVO zugeordnet. Hinsichtlich Buchst. c trifft zwar zu, dass das KWG bestimmte Datenverarbeitungen, z.B. personenbezogene Meldepflichten in Verdachtsfällen, vorsieht und insbesondere in § 25 h Abs. 2 den Kreditinstituten vorschreibt, zur Prävention von Geldwäsche- und Terrorismusfinanzierung Datenverarbeitungssysteme zu betreiben und zu aktualisieren. Diese sollen aber nicht generell der Durchleuchtung sämtlicher Geschäftsbeziehungen und Transaktionen dienen, sondern stellen nur auf bestimmte, näher bezeichnete Umstände (besonders komplex, ungewöhnlich usw.) ab. Es erscheint sehr fraglich, ob eine Ausdehnung über den Wortlaut und den Kontext hinaus zulässig ist und ein generelles automatisch durchgeführtes Kundenscreening unabhängig von Person und Art der geschäftlichen Aktionen legitimiert[11].
Die Benennung des Buchst. e in den üblichen Datenschutzhinweisen erscheint im hier untersuchten Zusammenhang zumindest in den meisten Fällen nicht einschlägig. Die absolut überwiegende Zahl der Institute ist nicht Adressat der Norm, da diese keine ihnen durch Rechtsvorschriften zugewiesenen „öffentliche Aufgaben“ im Sinn der Bestimmung erfüllen[12].
Einer abschließenden Entscheidung über die Tragfähigkeit der Buchstaben c und e des Art. 6 Abs. 1 Satz 1 bedarf es indes erst dann, wenn die anderen, von der Sache her näher liegenden Erlaubnisalternativen nicht durchgreifen. Es ist allgemeine Auffassung, dass die in Art. 6 Abs. 1 Satz 1 DS-GVO aufgeführten Zulässigkeitstatbestände gleichwertige Erlaubnisalternativen darstellen und im Prüfprozess keinerlei gesetzlich vorgegebene Vorrangwirkung zu beachten ist[13]. Da Abgleichprozesse üblicherweise erst zu Beginn oder bei Bestehen einer Vertragsbeziehung (Kontovertrag, Arbeitsvertrag usw.) aktuelle Bedeutung erlangen, empfiehlt es sich aus praktischen Erwägungen, den dafür einschlägigen Erlaubnistatbestand des Art. 6 Abs. 1 Satz 1 Buchst. b DS-GVO voranzustellen. Sollte sich erweisen, dass aus ihm die gewünschte Rechtsfolge nicht abzuleiten ist, kann auf die weiteren Rechtfertigungsgründe zurückgegriffen werden.
Zu berücksichtigen ist ggf. die „Sperrwirkung“ des Art. 22 Abs. 1 DS-GVO. Die Norm verbietet es grundsätzlich, dass Entscheidungen, die eine Person erheblich beeinträchtigen, allein auf der Basis einer automatisierten Einzelentscheidung getroffen werden. Ob es sich dabei um eine „zusätzliche Rechtmäßigkeitsvoraussetzung“[14] handelt oder lediglich um eine flankierende „organisatorische (Verfahrens-)Vorschrift“[15] ist zwar strittig, in den praktischen Auswirkungen aber regelmäßig nicht entscheidend[16].
2. Antragstellerdatenabgleich auf der Grundlage von Art. 6 Abs. 1 Satz 1 Buchst. b DS-GVO
Der Abgleich der Daten von Antragstellern, die die Aufnahme einer Geschäftsbeziehung – etwa die Eröffnung eines Girokontos – anstreben, kann zu verschiedenen Ergebnissen führen. Er kann ergeben, dass mangels Datenkongruenz eine Identität mit den Sanktionslisten-Daten nicht festzustellen ist, er kann die eindeutige gegenteilige Feststellung zulassen, und er kann aufzeigen, dass sich aufgrund nur partieller Übereinstimmung einzelner Abgleichmerkmale eine Identität mit Sicherheit nicht ausschließen lässt, also Verdachtsmomente begründet sein könnten.
Der Abgleich der Antragstellerdaten bezweckt den Ausschluss von wichtigen Gründen, die der Annahme eines Vertragsangebots des potentiellen Kunden, also einem Vertragsschluss, entgegenstehen könnten. Es handelt sich um eine vorvertragliche Präventionsmaßnahme gem. Art. 6 Abs. 1 Satz 1 Buchst. b, 2. Alternative DS-GVO, die auch als „erforderlich“ i. S. der Vorschrift[17] anzusehen ist, weil von ihr die Entscheidung über das Zustandekommen des Vertrages abhängt. Stellt sich nämlich eine Personenidentität von Antragstellern und „Gelisteten“ heraus, würde ein Vertragsschluss dazu führen, dass das Institut die von den Kunden erwarteten Leistungen (Auszahlungen, Überweisungen etc.) nicht erbringen darf, weil sie ihm von den Embargoverordnungen untersagt sind. M. a. W., wäre die Nichterfüllung eines Vertrages voraussehbar, dürfte der Abschluss praktisch ausgeschlossen sein.
Gleiches gilt für die Fälle, in denen das Institut nur eine partielle Datenidentität erkennen kann. So kann zwar ein Großteil der Antragstellerdaten mit den in den Sanktionslisten registrierten übereinstimmen, bei einigen Merkmalen zeigen sich aber mehr oder minder starke Abweichungen. Z.B. kann es bei der Übertragung von arabischen Schriftzeichen zu einer Art von „Pseudotreffern“[18] kommen. Diese Unsicherheit könnte das Finanzinstitut veranlassen, aufgrund des bestehenden Risikos vorsichtshalber von der Annahme eines Vertragsangebots abzusehen. Diese Entscheidung liegt im Rahmen seiner Vertragsfreiheit und verstößt auch nicht gegen § 19 AGG[19]. Weder auf den DV-Prozess des Datenabgleichs noch auf die daraus abgeleitete Negativentscheidung wirkt sich Art. 22 Abs. 1 DS-GVO unmittelbar aus, da das Institut sich auf Art. 22 Abs. 2 Buchst. a DS-GVO berufen kann[20]. Es hat jedoch Art. 22 Abs. 3 DS-GVO zu beachten, der regelmäßig eine Einzelfall-bezogene menschliche Nachprüfung erfordert[21].
Im Ergebnis ist festzuhalten, dass die datenschutzrechtliche Zulässigkeit des Suchlaufs nicht von seinem Ergebnis bestimmt wird. Unerheblich ist, ob er letztlich zum Vertragsschluss führt oder ob der Vertrag nicht zustande kommt. Allerdings ist bei der Ablehnung eines Antrages eine Verdachtsmeldung an die Zentralstelle für Finanztransaktionsuntersuchungen (FIU) abzugeben. Die Pflicht zur Erstattung einer Verdachtsmeldung folgt aus § 43 Abs. 1 Nr. 2 GwG und umfasst auch Fälle des Versuchs[22], zu denen auch Anträge zur Aufnahme einer Geschäftsbeziehung zu zählen sind, die nicht zum Vertragsschluss führen[23].
Da bereits Art. 6 Abs. 1 Satz 1 Buchst. b DS-GVO eine ausreichende Rechtsgrundlage für den Datenabgleich darstellt, bedarf es keines zusätzlichen Rückgriffs auf Art. 6 Abs. 1 Satz 1 Buchst. c, e und f DS-GVO.
3. Kundendatenabgleich auf der Grundlage von Art. 6 Abs. 1 Satz 1 Buchst. b DS-GVO
Auch Bestandskunden werden regelmäßig darauf überprüft, ob sie möglicherweise (zwischenzeitlich) auf den Terrorlisten erschienen sind oder in Transaktionen zu den Gelisteten verwickelt sind. Die Listen werden in unregelmäßigen zeitlichen Abständen aktualisiert[24], so dass Veränderungen auch Bestandskunden treffen können. Abgleiche sollen den Instituten die Gewähr dafür bieten, durch die Erfüllung ihrer den Kunden gegenüber bestehenden Vertragspflichten nicht gegen die Verordnungen zu verstoßen. Durch etwaige Treffer ausgelöste Reaktionen – z.B. auch ordentliche[25] oder außerordentliche Vertragskündigungen – betreffen unmittelbar das vertragliche Leistungsgefüge ebenso wie das Ausbleiben von Auffälligkeiten, so dass die Datenabgleichprozeduren grundsätzlich als erforderlich zur Vertragserfüllung anzusehen sind.
Fraglich kann indes sein, ob auch wiederholte Abgleichläufe innerhalb kurzer Zeiträume als „erforderlich“ i. S. der Vorschrift zu bewerten sind. Der Informationsgewinn dürfte nämlich relativ begrenzt sein, so dass durchaus Zweifel an der den Begriff prägenden objektiven Sinnhaftigkeit[26] aufkommen könnten. Lässt sich die Erforderlichkeit nicht bejahen, ist der die Datenverarbeitung und den mit ihr verbundenen Eingriff in die Persönlichkeitssphäre legitimierende gesetzliche Tatbestand nicht erfüllt, es wäre vielmehr von einer Verletzung schutzwürdiger Interessen der Betroffenen auszugehen. Aus diesem Grund werden bei in dieser Beziehung vergleichbaren Mitarbeiter-bezogenen „In-Employment-Screenings“ z.T. nur jährliche Abgleiche als zulässig angesehen[27], während andere drei Abgleichprozesse pro Jahr als unbedenklich erachten[28]; demgegenüber wird auch die Auffassung vertreten, dass eine mehrmalige Überprüfung im Monat unbedenklich sei[29].
Entscheidend ist diese Frage aber nicht. Auch wenn die Berechtigung zum Abgleich in kürzeren Zeitabständen in Abrede gestellt wird, so dürfte ein sich quasi automatisch wiederholender Datenabgleich keine datenschutzrechtlich relevante Interessenbeeinträchtigung der erfassten Personen bedeuten. Kommt es zu Auffälligkeiten („echte“, „Pseudo-Treffer), dürfte das Interesse der Institute, sich durch die uneingeschränkte Fortsetzung der Vertragsbeziehungen mit den betreffenden Kunden nicht der Gefahr eines zumindest fahrlässigen Verstoßes gegen die Verordnungen in Verbindung mit den im AWG vorgesehenen Rechtsfolgen auszusetzen, stärker zu gewichten sein als ein etwaiges Gegeninteresse der Betroffenen. Finden sich dagegen keine, auch partiellen, Übereinstimmungen, ist der Rechtsprechung des BVerfG zu folgen[30]. Danach ist bei einem Datenscreening der Kreditkarten eines Kreditkarteninstituts mit Kinderpornografie betreffenden Bezahlvorgängen gegenüber Kunden, bei denen kein Treffer erzielt wurde, kein beachtlicher Eingriff in ihr informationelles Selbstbestimmungsrecht anzunehmen; eine lediglich abstrakt-dogmatische Beschwer reicht nicht aus.
4. Mitarbeiterdatenabgleich auf der Grundlage von § 26 Abs. 1 BDSG
Der gesetzliche Tatbestand setzt voraus, dass eine Verarbeitung von Arbeitnehmerdaten „für Zwecke des Beschäftigungsverhältnisses“ erfolgt. Die Bestimmung wird vom Grundsatz strenger Zweckbindung beherrscht[31], das bedeutet, dass eine Verarbeitung von Mitarbeiter- oder Bewerberdaten zu anderen als beschäftigungsspezifischen Zwecken von ihr nicht erfasst und ggf. von Art. 6 Abs. 1 Satz 1 Buchst. f DS-GVO „aufgefangen“ wird[32].
a) Zweck des Screening
Insoweit könnte, wie es gelegentlich auch geschieht[33], argumentiert werden, das Mitarbeiterscreening bezwecke nicht die Entscheidungsfindung über die Begründung oder Durchführung eines Beschäftigungsverhältnisses, sondern diene der Erfüllung gesetzlicher Pflichten und Vermeidung straf- und ordnungswidrigkeitenrechtlicher Sanktionen, so dass § 26 Abs. 1 BDSG als datenschutzrechtliche Erlaubnisregelung nicht in Betracht komme[34]. Dieser Einwand verfängt jedenfalls in solchen Fällen nicht, in denen evtl. andere Zwecke im Beschäftigungskontext mitverfolgt werden, mag auf ihnen sogar das Schwergewicht liegen. Es ist nicht zu verkennen, dass ein Abgleichergebnis darüber entscheidet, ob und unter welchen Bedingungen ein Institut ein bestehendes Beschäftigungsverhältnis fortsetzen bzw. ein neues überhaupt begründen will. Finden die Daten eines Mitarbeiters eine „Entsprechung“ in den Sanktionslisten, führt dieser Befund infolge des Bereitstellungsverbots regelmäßig zunächst[35] zum Einfrieren, d.h. dem Entzug des Arbeitsentgelts (bzw. bei Bewerbern etwa der Nichterstattung von Reisekosten u.ä.) als einer an sich aus dem Arbeitsverhältnis geschuldeten Leistung; wird der Betroffene von seinen Aufgaben, wenn evtl. auch nur vorübergehend, frei gestellt, greift diese Maßnahme zudem in seinen Anspruch auf Beschäftigung ein. M.a.W., die Zweckbindung des § 26 Abs. 1 BDSG wird nicht dadurch unterlaufen oder kassiert, dass weitere Zwecke – hier die neben der aus den EU-Verordnungen resultierende Pflichtenwahrnehmung auch die gem. § 6 Abs. 2 Nr. 5 GwG den Instituten obliegende Überprüfung der Mitarbeiter – mit ihr verknüpft werden[36]. Für einen „Rückfall“ auf Art. 6 Abs. 1 Satz 1 Buchst. f DS-GVO besteht deshalb kein Anlass, ungeachtet des Umstands, dass die Anwendung dieser Bestimmung für den vorliegenden Fall wohl zu keinem anderen Ergebnis führen dürfte.
b) Erforderlichkeit des Screening
Die Abgleiche wirken unmittelbar auf das Arbeitsverhältnis ein, da die Ergebnisse seine Durchführung maßgeblich beeinflussen. Sie sind insoweit auch erforderlich. In Bezug auf die Vorgängernorm des § 26 BDSG (§ 32 BDSG alt) hatte das BAG klargestellt[37], dass der Begriff „erforderlich“ nicht im Sinn zwingender Notwendigkeit verstanden werden müsse, sondern dass er Ausdruck des anzuwendenden Verhältnismäßigkeitsprinzips sei und damit eine Abwägung der arbeitgeberseitigen Interessen mit denen des Arbeitnehmers erfordere. Dies gilt nach ganz h. M. unverändert auch für das Erforderlichkeitsmerkmal in § 26 BDSG[38].
Ein Übergewicht schutzwürdiger dem Abgleich entgegenstehender Interessen der von ihm erfassten Mitarbeiter ist nicht deshalb anzunehmen, weil sich kaum jemand finden lassen würde, der mit einer auf der Terrorliste stehenden Person identisch sei, also nur eine verschwindend geringe „Ausbeute“ des „Massen-Screening“ erzielt werden könnte[39]. Sicherlich, die eindeutige Mehrzahl der Beschäftigten wird unauffällig bleiben, so dass damit die automatische Entscheidung des Instituts als Arbeitgeber verbunden ist, das Arbeitsverhältnis unverändert fortzusetzen. Die Quantität von Treffern kann aber nicht entscheidend für die Zulässigkeit eines Verfahrens sein, zumal, wie oben in Bezug auf das Kunden-Screening dargestellt, die „nicht Getroffenen“ keine relevante Persönlichkeitsbeeinträchtigung für sich reklamieren könnten.
c) Potentielle Personenidentität
Wie beim Kunden-Screening wird der systematische und alle Beschäftigten einbeziehende Datenabgleich nur in den wenigsten Fällen zu 100prozentigen Übereinstimmungen mit den gelisteten Personen führen. Das gilt insbesondere dann, wenn die Voreinstellung des Abgleichprogramms einen geringeren Treffergrad vorsieht[40]. Erweisen sich beispielsweise nur 80 % der Merkmale als deckungsgleich, während sich hinsichtlich der übrigen 20 % Abweichungen zeigen, kann aus diesem Befund allenfalls eine Vermutung für eine Personenidentität abgeleitet werden, die – ungeachtet der ohnehin kritisch bewerteten Aussagekraft der Sanktionslisten[41] – nur zu einer Wahrscheinlichkeitsaussage führt. Das Institut hat dann eine Entscheidung über evtl. gebotene personelle Maßnahmen zu treffen, die innerhalb der arbeitsrechtlich gezogenen Grenzen liegen; den Instituten ist also nicht das Maß an Vertragsautonomie zuzubilligen, wie es ihnen in Bezug auf Kundenverträge zustehen mag.
Wohl unbestreitbar dienen solche Entscheidungen der Durchführung des jeweiligen Beschäftigungsverhältnisses, weil sie unmittelbar die wechselseitigen Vertragspflichten beeinflussen. Das Dilemma ist offenkundig: Wird eine 80- oder 90prozentige Übereinstimmung wie eine 100prozentige behandelt und entsprechend sanktioniert, besteht die Möglichkeit einer Fehleinschätzung, also die Gefahr, „unschuldige“ Mitarbeiter unter Verdacht zu stellen, ihnen (zumindest zeitweise, d.h. bis zu einer evtl. gelingenden „Exculpation“) lebensnotwendige Ressourcen zu entziehen, ihre künftige Arbeitsplatzsuche zu erschweren und ihre gesellschaftliche Stellung zu beeinträchtigen. Dass die Interessen dieser Betroffenen dahin gehen, nicht in eine solche Situation zu geraten, ist offensichtlich.
Dem stehen die Interessen des Instituts (Arbeitgebers) gegenüber, nicht gegen das Bereitstellungsverbot zu verstoßen und mit den Folgen eines Verstoßes belastet zu werden.
d) Entscheidung in „non liquet“- Fällen
Eine festgestellte partielle Dateninkongruenz wird das Institut verpflichten, alles Erforderliche und Zumutbare zu unternehmen, den wahren Sachverhalt aufzuklären. Die Ausschöpfung sämtlicher zugänglichen Erkenntnisquellen folgt bereits aus der das Beschäftigungsverhältnis begleitenden Fürsorgepflicht des Arbeitgebers, die es gebietet, Nachteile vom Arbeitnehmer abzuwenden. Gelangt er danach zu der begründbaren Überzeugung, dass der Mitarbeiter als „entlastet“ betrachtet werden muss, so dass ein Bereitstellungsverbot nicht umzusetzen ist, dürfte das Risiko eines Verstoßes gegen die Verordnungen gering sein. Die EU-Verordnung 753 /2011 beispielsweise weist in Art. 7 Abs. 2 darauf hin, dass Unternehmen für ein unterlassenes Einfrieren nicht haftbar gemacht werden können, „wenn sie nicht wussten und keinen Grund zu der Annahme hatten, dass sie mit ihrem Handeln gegen das Verbot verstoßen.“ Damit wird zwar ein gewisses Maß an Vorkehrungen verlangt, um dem Vorwurf fahrlässigen Verhaltens zu begegnen, dem ein Institut aber mit einer sorgfältigen Aufklärung entsprechen dürfte. In diesem Fall sind auch arbeitsrechtliche Maßnahmen, etwa eine Kündigung des Arbeitsverhältnisses, nicht gerechtfertigt.
Schwieriger zu beurteilen ist die Situation, wenn trotz unternommener Aufklärungsversuche nicht unerhebliche Restzweifel bleiben, die das Institut zum Einfrieren des Arbeitsentgelts veranlassen. Zwar tritt etwa nach der EU-Verordnung 881/2002 eine Entlastung der Unternehmen ein, die zu Unrecht, aber in dem Glauben rechtmäßigen Handelns das Arbeitsentgelt eingefroren haben, „sofern das Einfrieren nicht erwiesenermaßen auf Nachlässigkeit zurückzuführen ist“ (Art. 5), hinsichtlich arbeitsrechtlicher Folgemaßnahmen wird damit aber kein Freibrief erteilt. Diese sollten sich vielmehr an der vom BVerfG bestätigten[42] Rechtsprechung des BAG zur sog. Verdachtskündigung orientieren, der zufolge entscheidend auf das Gewicht der Verdachtsmomente abzustellen ist[43]. M. a. W.: Beim Institut müssen schwerwiegende Restzweifel bzgl. der Personenidentität verbleiben, also solche, die „nur geringfügig hinter der vollen Gewissheit zurückbleiben“[44], um dem Mitarbeiter nicht nur die Entlohnung verweigern, sondern ggf. auch das Arbeitsverhältnis wegen fehlender Zuverlässigkeit (§ 6 Abs. 2 Nr. 5 GwG) kündigen zu dürfen.
IV. Information der Antragsteller, Kunden und Mitarbeiter
Im Zusammenhang mit der Datenerhebung ist gem. Art. 5 Abs. 1 Buchst. a DS-GVO der Grundsatz der Transparenz zu beachten. Personenbezogene Daten müssen grundsätzlich in einer für die Betroffenen nachvollziehbaren Weise verarbeitet werden, wobei ihnen leicht zugängliche, verständliche und in einer klaren und einfachen Sprache abgefasste Informationen zu geben sind[45]. Konkretisiert wird dieses Transparenzgebot im Fall der Datenerhebung in Art. 13 DS-GVO.
Zu den danach anzugebenden Zwecken, für die die erhobenen Daten verarbeitet werden sollen (Art. 13 Abs. 1 Buchst. c DS-GVO) gehört auch die Angabe, dass die Daten der betroffenen Personen zur Prävention von Geldwäsche verarbeitet werden. Hinsichtlich der Kunden/Antragsteller erfolgt eine solche Erklärung üblicherweise in den „Datenschutzhinweisen“ der Institute, die, wie bereits gesagt, durchweg auf einem einheitlichen Textmuster beruhen. Gesetzlich nicht gefordert sind dezidierte Verfahrungsbeschreibungen der Datennutzung. Die Institute werden aber auch darauf zu achten haben, dass ihre Mitarbeiter und die Stellenbewerber entsprechend unterrichtet sind bzw. werden. Hier sind vereinzelt Defizite festzustellen; auf die Rechtsfolgen einer Unterlassung (Art. 83 Abs. 5 Buchst. b DS-GVO) ist nur hinzuweisen.
V. Zusammenfassung
Kredit- und Finanzinstitute haben wie zahlreiche andere Unternehmen auch geeignete Vorkehrungen zur wirkungsvollen Prävention von Geldwäsche und Terrorismusfinanzierung zu treffen. Um insbesondere einschlägigen europäischen Antiterror-Verordnungen Rechnung zu tragen, gleichen sie regelmäßig die Daten ihrer Kunden und Antragsteller sowie der Mitarbeiter gegen die in den Sanktionslisten der Verordnungen aufgeführten Personenkreise ab und entscheiden nach Maßgabe der Ergebnisse über evtl. zu veranlassende Maßnahmen wie Verdachtsmeldungen, Einfrieren von Geldern oder Vertragskündigungen.
Die datenschutzrechtliche Befugnis für die mit diesem Screening verbundenen Datenverarbeitungsprozesse ist weder den Embargo-Verordnungen noch den Vorschriften des GwG oder KWG, sondern allein der DS-GVO und – bzgl. der Beschäftigten – dem BDSG zu entnehmen. Dabei können namentlich Art. 6 Abs. 1 Satz 1 Buchst. b DS-GVO und § 26 Abs. 1 BDSG zur Legitimation der Datenabgleiche herangezogen werden.
Christoph Wronka Christoph Wronka studierte Rechts- und Wirtschaftswissenschaften und arbeitet als Senior Manager bei der Wirtschaftsprüfungsgesellschaft Deloitte im Bereich Risk Advisory
Prof. Peter Gola Mitherausgeber und federführender Schriftleiter der Fachzeitschrift RDV sowie Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V., Bonn.
[1] Gesetz über das Aufspüren von Gewinnen aus schweren Straftaten i. d. F. vom 14.07.2018, BGBl. I 2017, S. 1822 und I 2018, S. 1102.
[2] Vgl. die Erwägungsgründe der EU-Richtlinie 2015/849 (durchgängig), ABl. vom 05.06.2015, L 141, S. 73.
[3] Vgl. Däubler-Gmelin, CuA Heft 10/2018, S. 8 (10); BAFA-Merkblatt „Länderunabhängige Embargomaßnahmen zur Terrorismusbekämpfung“ (Stand: 28.08.2009), S. 9.
[4] Vgl. §§ 17 ff. AWG
[5] Vgl. Merkblatt Nr. 5380 der IHK Region Stuttgart „Personenbezogene Embargos der EU“.
[6] Ausdrücklich verlangt wird der Abgleich mit den Terrorlisten z.B. von den Finanzbehörden bei der AEO-Zertifizierung; vgl. Däubler-Gmelin, CuA Heft 10/2018, S. 8 (12); Eder, in: Wedde, Handbuch Datenschutz und Mitbestimmung, 2016, Kapitel D Rn. 123; Däubler, Gläserne Belegschaften?, 6. Aufl., 2015, Rn. 937.
[7] Vgl. dazu die Beispiele in den „Auslegungs- und Anwendungshinweisen zur Verhinderung von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen“ von DK, BMF und BaFin vom 01.02.2014, Zeile 86.
[8] Dazu, dass die Antiterror-Verordnungen selbst keine datenschutzrechtliche Ermächtigungsgrundlagen darstellen, vgl. FG Düsseldorf, Urteil vom 1.6.2011, Az.: 4 K 3063/10 Z Rn. 19; Kirsch, ZD 2012, S. 520; Byers/Fetsch, NZA 2015, S. 1365; Seifert, in: Simitis, Bundesdatenschutzgesetz, 8. Aufl., 2014, § 32 Rn. 108 b.
[9] Sie unterliegt nach der Entscheidung des BAG vom 19.12.2017, Az.: 1 ABR 32/16 nicht der Mitbestimmung der Mitarbeitervertretungen. Die Entscheidung ablehnend Däubler-Gmelin, CuA Heft 10/2018, S. 8 ff.; vgl auch das Muster einer Betriebsvereinbarung von Wedde, CuA Heft 10/2018, S. 15.
[10] Vgl. 36. Tätigkeitsbericht des LfDI Baden-Württemberg für 2014/2015, in dem unter Ziffer 9.2 das auf einer Konzernbetriebsvereinbarung basierende Vorgehen eines großen Industrieunternehmens, das alle 3 Monate die Daten seiner Mitarbeiter sowie die von Bewerbern – bevor an diese Gelder ausgezahlt wird – anhand der Stammdaten automatisch mit den Sanktionslisten abgleicht, nicht beanstandet wurde.
[11] Buchner/Petri, in: Kühling/Buchner, Datenschutz-Grundverordnung/ BDSG, 2. Aufl., 2018, Art. 6 Rn. 82: „Die klare und präzise Festlegung zumindest des Verarbeitungszwecks ist damit eine grundlegende Voraussetzung für die Erzeugung einer rechtlichen Verpflichtung zur Verarbeitung personenbezogener Daten“; ebenso ErwG 41 zur DS-GVO; unklar Barreto da Rosa, in: Herzog/Achtelik, Geldwäschegesetz, 3. Aufl., 2018, § 43 Rn. 19.
[12] Vgl. Frenzel, in: Paal/Pauly, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 2. Aufl., 2018, Art. 6 Rn. 23; Schulz, in: Gola, Datenschutz-Grundverordnung, 2. Aufl., 2018, Art. 6 Rn. 48, 51; Buchner/Petri, in: Kühling/Buchner, Art. 6 Rn. 114: die „Aufgabe muss durch Rechtsvorschrift definiert werden“.
[13] Vgl. nur Schulz, in: Gola, Art. 6 Rn. 10: „gleichwertige Zulässigkeitstatbestände, die grundsätzlich nebeneinander Geltung beanspruchen und insbesondere keinem Stufenverhältnis unterliegen“.
[14] Buchner, in: Kühling/Buchner, Art. 22 Rn. 12; Weichert, in: Däubler/ Wedde/Weichert/Sommer, EU-Datenschutz-Grundverordnung und BDSG-neu, 2018, Art. 22 Rn. 16.
[15] Schulz, in: Gola, Art. 22 Rn. 3.
[16] So wohl auch Martini, in: Paal/Pauly, Art. 22 Rn. 29.
[17] Zum Begriff vgl. Schulz, in: Gola, Art. 6 Rn. 20; Buchner/Petri, Art. 6 Rn. 38 ff.
[18] Däubler, Gläserne Belegschaften?, Rn. 936; auf unterschiedliche Schreibweisen weist auch das in Fußn. 5 erwähnte Merkblatt der IHK Stuttgart hin
[19] Vgl. BGH, Urteil vom 15.01.2013, Az.: XI ZR 22/12.
[20] Vgl. näher ErwG 71 zur DS-GVO; zum Erforderlichkeits-Merkmal der Bestimmung vgl. Buchner, in: Kühling/Buchner, Art. 22 Rn. 30: „Erforderlich ist eine Entscheidung jedenfalls immer dann, wenn sie in unmittelbarem Zusammenhang mit der Entscheidungs- und Kalkulationsgrundlage für ein konkretes Rechtsgeschäft steht“.
[21] Vgl. den I-Punkt-Vermerk der EU-Rats-„Gruppe der Referenten für Außenbeziehungen (Sanktionen)“ vom 24.04.2008, EU-Ratsdokument 8666/1/08 Rev.1, in dem es unter Ziff. 9 heißt: „Bei Zweifeln eines Kredit- oder Finanzinstituts oder eines anderen Wirtschaftsteilnehmers, ob es sich bei einem Kunden tatsächlich um eine gelistete Person/Vereinigung handelt, sollten diese alle ihnen verfügbaren Quellen heranziehen, um die Identität des Kunden festzustellen“.
[22] Barreto da Rosa, in: Herzog/Achtelik, § 43 Rn. 37.
[23] Barreto da Rosa, in: Herzog/Achtelik, § 43 Rn. 37; „Auslegungshinweise des Bundesministeriums der Finanzen zur Handhabung des Verdachtsmeldewesens“ vom 6.11.2014, S. 2: „Eine Geschäftsbeziehung muss nicht bereits bestehen, die Anbahnung einer Geschäftsbeziehung im Sinn des § 1 Abs. 3 (- jetzt Abs. 4 -) GwG reicht aus“.
[24] Vgl. Merkblatt Nr. 97192 der IHK Düsseldorf „Sanktionslisten prüfen bei Auslandsgeschäften“, demzufolge „die Sanktionslisten fast täglichen Änderungen unterliegen“ sollen.
[25] Zu den Kündigungsbedingungen vgl. näher BGH, Urteil vom 15.01.2013, Az.: XI ZR 22/12.
[26] Schulz, in: Gola, Art. 6 Rn. 38.
[27] Eder, in: Wedde, Handbuch, Kapitel D Rn. 125.
[28] Däubler-Gmelin, CuA Heft 4/2014, S. 13; CuA Heft 2/2015, S. 14 (17).
[29] Behling, NZA 2015, S. 1359
[30] Beschluss vom 17.02.2009, Az.: 2 BvR 1372/07 und 2 BvR 1745/07.
[31] Maschmann, in: Kühling/Buchner, § 26 Rd. 17.
[32] Kort, NZA 2018, S. 1097 (1099 mit zahlreichen Nachw. in Fußn. 25); Gola, in: Gola, Art. 6 Rn. 101; Gräber/Nolden, in: Paal/Pauly, § 26 Rn. 10f.
[33] Vgl. die klägerseitige Einlassung in dem Verfahren FG Düsseldorf, Urteil vom 01.06.2011, Az.: 4 K 3063/10 Z.
[34] So bzgl. Vorgängernorm (§ 32) Seifert, in: Simitis, § 32 Rn. 108 b.
[35] Unter Beachtung von Art. 22 Abs. 3 DS-GVO.
[36] Ebenso BFH, Urteil vom 19.06.2012, Az.: VII R 43/11, Rn. 12.
[37] BAG, Urteil vom 29.06.2017, NZA 2017, S. 1179.
[38] Vgl. Kort, NZA 2018, S. 1097 (1098, Fußn. 9).
[39] Vgl. Däubler, Gläserne Belegschaften?, Rn. 936.
[40] S.o. Abschnitt 2.1.
[41] Vgl. Ruppert, CuA Heft 7-8/2012, S. 42; Däubler-Gmelin, CuA Heft 4/2014, S. 13.
[42] BVerfG, Beschluss vom 15.12.2008, Az.: 1 BvR 347/08.
[43] Vgl. BAG, Urteile vom 20.06.2013, Az.: 2 AZR 546/12; vom 21.11.2013, Az.: 2 AZR 797/11 und vom 14.09.1994, Az.: 2 AZR 164/94.
[44] LAG Köln, Urteil vom 12.12.2007, Az.: 7 Sa 120/07.
[45] Vgl. ErwG 39 zur DS-GVO.