Compliance versus Datenschutz

Terrorbekämpfung im Betrieb

16.12.2015
Von 


Dr. Jan Byok ist Fachanwalt für Informationstechnologierecht und Fachanwalt für Vergaberecht sowie Partner der internationalen Wirtschaftskanzlei Bird & Bird LLP. Seine langjährigen Beratungsschwerpunkte liegen in der Beschaffung von Hard- und Softwarelösungen sowie IT-Systemen, dem öffentlichen IT-Outsourcing und der gezielten Sanierung von IT-Krisenprojekten. Erfahrungen als zertifizierter externer Datenschutzbeauftragter runden seine Leistungsfähigkeit ab.
Um nicht als Steigbügelhalter des internationalen Terrorismus abgestempelt zu werden, müssen deutsche Unternehmen zunehmend Belegschaft und Geschäftspartner sorgsam überprüfen. Moderne Screening-Software verspricht hierbei Komfort.
Was müssen Unternehmen tun, um nicht unfreiwillig Steigbügelhalter des Terrorismus zu sein?
Was müssen Unternehmen tun, um nicht unfreiwillig Steigbügelhalter des Terrorismus zu sein?
Foto: Krasimira Nevenova/Shutterstock.com

Die jüngsten Terroranschläge unterstreichen einmal mehr, dass unter Terroristen zunehmend auch EU-Bürger sind, die in der EU aufwachsen, leben und arbeiten. Auch deutsche Traditionsunternehmen mussten dies bereits erfahren. So beschaffte ein Daimler-Mitarbeiter technisches Gerät für al-Quaida; ein VW-Mitarbeiter durchlief sogar ein IS-Ausbildungscamp. Das wirft die Frage auf, was von Unternehmen verlangt werden kann, um nicht über ihre Belegschaft und Geschäftspartner den internationalen Terrorismus mittelbar zu finanzieren.

Terrorismusbekämpfung als Puzzlestück der Corporate Compliance

Auf europäischer Ebene existieren bereits schwarze Listen.
Auf europäischer Ebene existieren bereits schwarze Listen.
Foto: Stacey Newman - shutterstock.com

Auf europäischer Ebene hat man bereits nach den Anschlägen vom 11. September 2001 auf terroristische Bedrohungen mit verschiedenen EU-Verordnungen reagiert. Darin befinden sich schwarze Listen, die verdächtige Personen und Unternehmen aufzählen. Sie werden in regelmäßigen Abständen aktualisiert. Gelistete Unternehmen und Personen unterliegen einem sogenannten Bereitstellungsverbot. Infolgedessen ist es untersagt, diese Unternehmen oder Personen direkt oder indirekt mit Vermögenswerten zu begünstigen. Darunter fällt sowohl der Arbeitslohn als auch jegliche sonstige Vergütung. Ein Verstoß gegen das Bereitstellungsverbot führt zu empfindlichen Rechtsfolgen. Je nach Vorsatzform kommt eine Straftat oder Ordnungswidrigkeit nach dem Außenwirtschaftsgesetz (AWG) in Betracht. Zusätzlich drohen Einträge in das Gewerbezentralregister, was sich bei der Bewerbung um öffentliche Aufträge negativ auswirkt. Hat das Unternehmen internationale Berührungen, sind zudem die Rechtsfolgen des jeweiligen Drittlands zu berücksichtigen. Schließlich muss noch die mediale Einstufung als unfreiwilliger Steigbügelhalter des internationalen Terrorismus einkalkuliert werden.

Rechtsunsicherheit bei der Einhaltung von Bereitstellungsverboten

Damit stellt sich die Gretchenfrage, wie Unternehmen ein unter Strafe stehendes Bereitstellungsverbot einhalten können. Hier fällt aufgrund des Geschäftsfeldes der erste Blick oft auf Kreditinstitute. Diese treffen zwar eigene Maßnahmen zur Terrorismusbekämpfung, tun dies aber zur Erfüllung eigener Compliance-Pflichten. Sofern keine Vereinbarung getroffen wurde, dass das Kreditinstitut fremden Compliance-Pflichten nachkommt, müssen daher zwingend eigene unternehmerische Maßnahmen getroffen werden. Als zweites fällt der Blick auf Software-Lösungen, die einen automatischen Abgleich von Belegschaften und Geschäftspartnern anhand der gängigen Terrorlisten durchführen. So bequem solche Methoden sein mögen, so groß ist auch die datenschutzrechtliche Unsicherheit in Bezug auf den rechtmäßigen Einsatz.

Datenschutzrecht als Spielfeldrand

Wie und wann dürfen die Daten der Belegschaft abgeglichen werden?
Wie und wann dürfen die Daten der Belegschaft abgeglichen werden?
Foto: Michael Wick - shutterstock.com

Dieses Störgefühl ist berechtigt. Der automatisierte Abgleich von Daten der Belegschaft oder Geschäftspartnern ist ein datenschutzrechtlich relevanter Vorgang. Jeder einzelne Abgleich stellt eine Nutzung von personenbezogenen Daten dar. Nach deutschem Datenschutzrecht muss daher jeder einzelne Abgleich durch eine Einwilligung oder eine gesetzliche Rechtfertigung legitimiert werden. Da eine datenschutzrechtliche Einwilligung aus verschiedenen Gründen nicht praktikabel ist, kann allein eine gesetzliche Rechtfertigung für das Screening in Frage kommen. Anders als in vielen anderen datenschutzrechtlichen Konstellationen haben sich mit dieser Frage schon (fachfremde) Gerichte beschäftigt. Im Rahmen einer zollrechtlichen Streitigkeit hat sowohl das erstinstanzliche Finanzgericht Düsseldorf als auch der zweitinstanzliche Finanzgerichtshof entschieden, dass Zollbehörden zur Erlangung eines begehrten AEO-Zertifikates verlangen können, dass ein Screening von bestimmten Mitarbeitern durchgeführt wird.

Das "Ob" ist umstritten, das "Wie" bleibt problematisch

Völlig offen ist indessen, ob das Screening einer fachgerichtlichen Prüfung standhält. Überdies besteht die Rechtsunsicherheit nach wie vor bezüglich der datenschutzrechtlichen Ausgestaltung. Hier ist unbedingt Augenmaß zu halten. Auch zur Terrorismusbekämpfung dürfen Screening-Maßnahmen nicht zur dauerhaften Hintergrundüberwachung mutieren. Es muss ein interessensgerechter Ausgleich zwischen den unternehmerischen Interessen/Pflichten und den Persönlichkeitsrechten der betroffenen Personenkreise gefunden werden. Als Stellschrauben, die einen interessensgerechten Einsatz erlauben, dienen beispielsweise die Abgleichfrequenz, die Beschränkung auf die Stammdaten (Name, Anschrift, Alter, Geburtsort) oder die Beschränkung auf einen Datenabgleich mit den Listen der EU. Flankierend hierzu lässt die Rechtssicherheit weiter durch eine Betriebsvereinbarung oder durch Musterklauseln in Arbeitsverträgen erhöhen.

Trotz aller Rechtsunsicherheit und hohem Gestaltungsaufwand lässt sich mithin festhalten, dass eine Möglichkeit besteht, sowohl den Compliance-Pflichten zur Terrorismusbekämpfung als auch dem deutschen Datenschutz zu entsprechen.