Mit seinem aktuellen Beschluss hat der Bundesfinanzhof endlich Rechtsklarheit für Unternehmnen beim Terrorscreening im AEO-Verfahren geschaffen. Die Erteilung eines AEO-Zertifikats darf von der Bedingung abhängig gemacht werden, dass eine Sicherheitsüberprüfung anhand der sog. Terrorismuslisten erfolgt.
Der Inhalt im Überblick
Hintergrund
Die AEO-Zertifizierung (AEO – Authorised Economic Operator, deutsch: zugelassener Wirtschaftsbeteiligter) durch die Zollbehörden dient der Erleichterung der Zollabfertigung und führt für Unterehmen zu erheblichen finanziellen und logistischen Vorteilen beim Warenverkehr.
Nach einer Dienstanweisung des BMF kann dieser Status jedoch nur dann erteilt werden, wenn sich das Unternehmen zum Abgleich der Beschäftigten- bzw. Geschäftspartnerdaten mit den Antiterrorverordnungen EU-Verordnungen 2580/200 und 881/2002 einverstanden erklärt und diese auch durchführt.
Das Problem
Dieses Verfahren führte zu einer erheblichen Kritik der Aufsichtsbehörden und wurde seitens der staatlichen Datenschützer allgemein als unzulässig eingestuft. Für die Unternehmen ergab sich das Problem, dass sie vom Staat eine Kontrollpflicht auferlegt bekommen hatten, die sie gar nicht haben wollen, da sie arbeitsaufwändig ist und innerbetrieblich immer wieder zu Konflikten mit den Beschäftigten(vertretungen) führt und überdies in einer rechtlichen Grauzone stattfand.
Die Entscheidung
Die Entscheidung des Bundesfinanzhof vom 19.6.2012, VII R 43/11 hat hier nun endlich in wesentlichen Punkten Klarheit geschaffen. Nach dem Beschluss des BFH bestehen datenschutzrechtliche keine Einwände gegen den Datenabgleich, da das Screening bereits aufgrund § 32 BDSG gerechtfertigt sei. Denn, so der BFH,
der Abgleich der personenbezogenen Daten der Bediensteten mit den Namen in den Listen der VO Nr. 2580/2001 und der VO Nr. 881/2002 (ist) für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder für dessen Durchführung oder Beendigung erforderlich ….und
Unternehmen dürfen unter Strafandrohung , vgl. § 34 Abs. 4 des Außenwirtschaftsgesetzes keine Bediensteten beschäftigen, die in den Listen der VO Nr. 2580/2001 und der VO Nr. 881/2002 aufgeführt sind.
Diese Entscheidung des obersten deutschen Finanzgerichts ist zwar für die Aufsichtsbehörden faktisch nicht bindend, eine andere Entscheidung wäre aber rechtsstaatswidrig und daher unzulässig (vgl. Brink/Schmidt, MMR 2010, 592, 596), Insofern herrscht nun Rechtsklarheit.
Kritik der Datenschützer
An der kritischen Haltung der Datenschützer hat sich freilich nichts geändert. So führt Peter Schaar aus
Meine Kritik an den von Zollverwaltungen ohne konkreten Anlass angeordneten pauschalen, massenhaften Beschäftigtenscreenings wird durch die Entscheidung des BFH nicht ausgeräumt. So ist schon fragwürdig, ob die unternehmensinternen Abgleiche angesichts der unbaren Gehaltszahlungen einen zusätzlichen Beitrag zur Terrorbekämpfung leisten können, obgleich schon die Banken Abgleiche ihrer Kundendaten mit den Anti-Terrorlisten vornehmen. Schließlich mangelt es für diesen Massendatenabgleich an einer tragfähigen Rechtsgrundlage. Weder die EU-Antiterrorverordnungen noch die einschlägigen UN-Beschlüsse enthalten entsprechende Verpflichtungen.
Stellungnahme
Die Entscheidung ist zwar rechtsdogmatisch falsch, im Ergebnis aber zu begrüßen und führt endlich zu Rechtsklarheit bei den Anwendern.
In der Praxis herrschte eigentlich schon vor der BFH Entscheidung die Auffassung, dass Mitarbeiter-Screenings trotz genereller Bedenken der datenschutzrechtlichen Aufsichtsbehörden zwecks Bewilligung des AEO-Status zulässig sein müssen.
Zwar dient der Abgleich nicht der Durchführung des Arbeitsverhältnisses gem. § 32 BDSG sondern lediglich der Erfüllung zollrechtlicher Vorgaben. Allerdings überwiegen gemäß § 28 I, II BDSG die Interessen der Unternehmen und die Beeinträchtigung der Mitarbeiter ist faktisch zu vernachlässigen, sofern die Screenings auf sicherheitsrelevante Bereiche beschränkt werden und in angemessener Dauer stattfinden.
Der Eingriff erfolgt zwar durch das Unternehmen, ist von dem aber weder gewollt noch hat das Unternehmen ein Eigeninteresse an einem Screening. Die Kritik der Datenschützer richtig sich im Ergebnis auch nicht gegen die Unternehmen sondern gegen die unverhältnismäßigen Anti-Terrorgesetze, dei die EU im Nachgang zu 9/11 geschaffen hat. Dies ist aber eher eine rechtpolitische Frage, nämlich wieviel staatlichen Eingriff wollen/müssen die Bürger hinnehmen.
Für die Unternehmen heißt es aber, dass sie entweder das Screening durchführen oder auf den AEO Status verzichten und erhebliche finanzielle hinnehmen müssen. Da Unternehmen ohnehin nach §28 I Nr. 2 BDSG iVm §34 AWG zum Terrorscreening verpflichtet wären, kann eine Interessenabwägung iSd §28 BDSG auch beim AEO Zertifikat nur ergeben, dass dass das schutzwürdige Interesse der Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung nicht das Interesse des Unternehmens überwiegt.
Praxistipp
Um das Verfahren dennoch möglichst milde und datenschutzgerecht auszugestalten, sollte man in der Praxis ein Verfahren wählen, dass die Mitarbeiterinteressen möglichst wenig beeinträchtigt.
Dazu zählen:
- Datenabgleich nur bei Aktualisierung der Listen
- Datenerhebung nur bei Positivmeldung
- Zugriff auf die Listen und Ergebnisse nur auf einen eng definierten Personenkreis
- Einschaltung des Datenschutzbeaiuftragten und des Betriebsrates bei Positivmeldung
- erst danach weitere Klärung durch Personal/Rechtsabteilung
„Die Entscheidung ist zwar rechtsdogmatisch falsch, im Ergebnis aber zu begrüßen und führt endlich zu Rechtsklarheit bei den Anwendern.“
„Dies ist aber eher eine rechtpolitische Frage, nämlich wieviel staatlichen Eingriff wollen/müssen die Bürger hinnehmen.“
Es ist äußerst erkenntnisreich, wie sich Juristen selbst dann wie der Fisch im Wasser angenehm bewegen können, wenn der freiheitlich demokratische Rechtsstaat kurz vor dem faktischen Zusammenbruch steht.
In den Augen von Sicherheitsideologen und Überwachungsfanatikern hat das Interesse des Bürgers (z.B. datenschutzrechtlich) stets zurückzutreten.
Den Juristen stört all das nicht, solange er seine Arbeit für seine Kunden (z.B. Unternehmen) möglichst bequem erledigen kann.
Bei aller berechtigten Kritik die man ja auch formulieren kann, so sollte man im Hinterkopf behalten, dass es in Deutschland eine Gewaltenteilung zwischen Legislative, Judikative und Exekutive gibt.
Unternehmen gehören zu keiner der drei Gewalten, sondern müssen sich letztlich rechtskonform verhalten. Daher ist es aus Unternehmersicht natürlich begrüßenswert, wenn zumindest ein Stück weit Verlässlichkeit durch die Judikative geschaffen wird.
Dies hat auch nichts mit Bequemlichkeit zu tun, denn das Unternehmen befand sich je nach Rechtsstandpunkt im vorliegenden Fall bisher immer in der Zwickmühle entweder gegen das BDSG oder gegen das AWG zu verstoßen zu müssen, was erhebliche Bußgeld- bzw. Strafbarkeitsrisiken mit sich bringt.
Die dahinter stehende politische Frage ist aber eine Aufgabe der Legislative bzw. deren Überprüfung eine Aufgabe der Judikative, auf welche die einzelnen Unternehmen keinen unmittelbaren Einfluss haben.
Ein später Kommentar zum Thema:
Rechtssicherheit ist hier nach wie vor nicht gegeben, denn der § 32 BDSG ist auch eindeutig formuliert. Als Mitglied eine Betriebsrates eines mittleständischen Betriebes, beschäftigt mich dieses Thema derzeit. Der Eigner möchte ein vollständig automatisiertes regelmäßiges Mitarbeiterscreening umsetzen, hier greift aber auch das Betriebsverfassungsgesetz und die daraus hervorgehende Mitbestimmung. Sich als Betrieb einfach auf Durchführungsbestimmungen der Zollbehörde zu berufen, ist zu einfach.
In den Leitlinien der EU für AEO heißt es im Originaltext Abschnitt 1.2.5.12 Unterabschnitt 12 „Personal bezogene Sicherheitsaspekte“ zum Beispiel :
„Wenn die nationalen Rechtsvorschriften dies zulassen, sollte der Antragsteller die in sicherheitsrelevanten Bereichen tätigen neuen Mitarbeiter einer Hintergrundüberprüfung unterziehen. Bereits im Unternehmen beschäftigte Mitarbeiter, die aus anderen, nicht sicherheitsrelevanten Abteilungen kommen und eine Tätigkeit in einem sensiblen Bereich übernehmen sollen, sollten ebenfalls überprüft werden. Für die Sicherheitsüberprüfungen bieten sich folgende Methoden an: Vor der Einstellung Nachforschungen auf Grundlage unbestreitbarer und/oder amtlicher Angaben zum bisherigen beruflichen Werdegang sowie Referenzen. Für hohe und/oder unter Sicherheitsaspekten kritische Posten könnte ein polizeiliches Führungszeugnis verlangt werden.“ Ende Zitat.
Soweit ich derzeit informiert bin, sind die Deutschen Zollbehörden, die einzigen in Europa, die in Durchführungsbestimmungen ein Massenscreening von Mitarbeitern gegen die sogenannten Terrorlisten fordert. Wie weit will es hier der Deutsche Beamte in seiner Datensammelwut noch treiben? Wie Peter Schaar richtig anführt, sind die Beschäftigten einer Firma, in der unbar bezahlt wird, gemäß § 25c Kreditwesengesetz, durch die Banken und Kreditinstitute überprüft. Wo bleibt hier der Grundsatz der Datensparsamkeit? Und worin liegt der tatsächliche Zweck dieser permanenten Datenerhebung und automatisierten Überprüfung? Ich bin zumindest nach wie vor der Rechtsauffassung, das ein allgemeines Screening über sämtliche Mitarbeiter einer Fa. ohne eine freiwillige Einverständniserklärung der betroffenen Mitarbeitern unzulässig ist. (Zumindest was bestehende Arbeitsverhältnisse betrifft)
@dm:
Danke erst einmal für den Kommentar – aber leider muss ich Sie enttäuschen: ein Mitbestimmungsrecht des Betriebsrats besteht nach einhelliger Auffassung nicht, da der Tatbestand des § 87 Nr. 6 BetrVG nicht erfüllt ist und es sich beim Abgleich mit den Terrorlisten nicht um eine Verhaltens- oder die Leistungskontrolle handelt. Dennoch ist es in der Praxis meist so, dass der Betriebsrat beteiligt werden sollte und spätestens dann muss, wenn es sich um arbeitsrechtliche Konsequenzen aus einem Positivabgleich handelt.
Zum datenschutzrechtlichen Einwand: Hier teile ich Ihre die Bedenken gegen die Daten-Sammelwut durchaus. Auch finde ich den Abgleich vor dem Hintergrund des §25a Kreditwesengesetz unnötig. Das Problem ist aber, dass die Unternehmen selbst die Daten gar nicht erheben wollen, aufgrund der staatlichen Vorgaben dies aber tun müssen, wollen sie nicht den AEO-Status einbüßen. Dies wird in der Praxis manchmal auch von Betriebsratsseite vergessen. Zum Schutz der Interessen des einzelnen Mitarbeiters sollte man aber jedenfalls das Verfahren aber datenschutzkonform ausgestalten, den Zugriff auf die Zahl der Zugriffe auf das Ergebnis begrenzen, bei einem Positivabgleich zunächst BR und Datenschutzbeauftragten einschalten und das Ergebnis nochmals verifizieren.
@ Dr. Datenschutz
Dankeschön für die Kommentierung, ich persönlich sehe nach wie vor die Mitbestimmung des § 87 Nr. 6 BetrVG als gegeben, meines Wissens gibt es hierzu auch noch keinen Urteilsspruch eines Deutschen oder Europäischen Gerichts. Schließlich sollen hier persönliche Daten der Mitarbeiter geprüft werden. Was durchaus Folgen für das Arbeitsverhältnis haben kann. Aufgrund von Verdacht auf unzulässiges Verhalten.
Die hier erwähnte Rechtssicherheit, auf Grund des Spruchs des BIH, wird sogar in der Urteilsbegründung des BIH unter Punkt 15 selber wieder eingeschränkt, denn hier heißt es: Zitat „Darüber hinaus verlangt weder die Vorschrift des Art. 14k Abs. 1 Buchst. f ZKDVO noch das HZA im Rahmen des ihm eingeräumten Ermessens, die im sicherheitsrelevanten Bereich tätigen Beschäftigten ohne deren Wissen und Wollen einer Sicherheitsüberprüfung zu unterziehen. Falls die Klägerin weiterhin Bedenken hat, ob der Vergleich der Stammdaten ihrer Beschäftigten mit den Listen der VO Nr. 2580/2001 und VO Nr. 881/2002 gemäß § 32 Abs. 1 Satz 1 BDSG zulässig ist, kann sie eine entsprechende Einwilligung der betroffenen Beschäftigten einholen, durch die datenschutzrechtliche Bedenken jedenfalls ausgeräumt werden (§ 4 Abs. 1 BDSG).“ Zitat Ende.
Somit sollte eigentlich klar sein, da weder die Durchführungsbestimmungen der deutschen Zollbehörden, geschweige denn die Europäischen Leitlinien ein solches Screening ohne Einwilligung und Wissen einfordern. Es ist das Interesse des Antragstellers dieses Zertifikat zu erlangen, eine gesetzliche Forderung ein solches Zertifikat zu besitzen, gibt es nicht. Somit bleibt meiner Meinung nach nur die Möglichkeit, das Einverständnis der betroffenen Mitarbeiter einzuholen. In diesem Moment ist dann auch wieder der Betriebsrat gefordert, da sichergestellt sein muss, das Mitarbeitern, die nicht ihr Einverständnis erteilen, Nachteile in ihrem Arbeitverhältnis entstehen. Denn die Datenerhebung dient nicht zur Durchführung des Arbeitsverhältnis, sondern soll durchgeführt werden, weil der Antragsteller ein Zertifikat erlangen will. Der Betriebsrat kann hier durchaus ein Interesse des Arbeitgebers nachvollziehen, allerdings nicht ohne das Einverständnis der betroffenen Personen.