Terrorlisten-Screening von Mitarbeitern

Die Prüfung durch Unternehmen, ob (zukünftige) Mitarbeiter auf sog. Sanktionslisten stehen, ist keine Seltenheit. Wir zeigen zu diesem „Evergreen“ auf, was genau damit gemeint ist, wie ein DSGVO-konformes Screening zu gestalten ist und was passieren sollte, wenn man fündig wird.

Darf ich die Mitarbeiter screenen?

Um zu beantworten, ob bzw. inwiefern ein Screening möglich ist, muss danach differenziert werden, welchen Grund das Screening hat. Als Motivation für so eine Sanktionslistenprüfung lassen sich insbesondere benennen die Anti-Terror-Verordnungen der EU, spezielle Zollvorschriften und Vorgaben international agierender Konzerne für ihre Einheiten.

Mitarbeiter-Screening anhand der EU-Anti-Terror-Verordnungen

Als Antwort auf den Terrorakt 9/11 hat die EU in den Folgejahren zum Zwecke der Terrorismusbekämpfung, jeweils beruhend auf Resolutionen der Vereinten Nationen (siehe Ausarbeitung des Wissenschaftlichen Dienstes des Bundestages aus dem Jahr 2011 zum Thema, S. 4) zwei Verordnungen erlassen.

EU-Verordnungen gegen den Terrorismus

Dabei handelt es sich um die Verordnung

1. (EG) Nr. 2580/2001 vom 27.12.2001 – Maßnahmen gegen sonstige Terrorverdächtige (Sanktionsregime mit Sanktionsliste der EU auf Ermächtigung des UN-Sicherheitsrates), und um die Verordnung
2. (EG) Nr. 881/2002 vom 27.05.2002 – Maßnahmen gegen das Al Quaida-Netzwerk (Sanktionsregime mit eigener Sanktionsliste des UN-Sicherheitsrates).

Hinzu trat 2011 die weitere Verordnung (EU) Nr. 753/2011 vom 01.08.2011, durch die aufgrund der damals aktuellen Entwicklungen in Afghanistan ein Teil der vorher durch die VO (EG) 881/2002 sanktionierten Personen einem gesonderten Regime unterworfen wurden (sog. „Taliban-Verordnung“).

Diese Verordnungen sollen verhindern, dass Terroristen oder Terrorverdächtige so in das Wirtschaftsleben in der EU eingebunden sind, dass dadurch terroristische Aktivitäten unterstützt werden können, wie ein Leitfaden der BDA aus dem Jahr 2018 zum Thema zusammenfasst.

Der Hintergrund der Verordnungen

Die genannten Verordnungen sind zur Umsetzung von UN-Resolutionen als Teil der gemeinsamen Außen- und Sicherheitspolitik der EU (GASP) nach einheitlichen Kriterien erstellt worden, die dafür Sorge tragen sollen, dass tatsächlich das erreicht wird, was als Ziel jeweils beabsichtigt ist – so hinsichtlich der VO (EG) Nr. 2580/2001 z.B. „gemeinsame Maßnahmen zur Bekämpfung des Terrorismus“ (siehe Erwägungsgrund 1 des Gemeinsamen Standpunkts 2001/931/GASP des Rates).

Das „Bereitstellungsverbot“ und die Sanktionslisten

Den Verordnungen hängen „Sanktionslisten“ an, die regelmäßig aktualisiert werden und die insgesamt mittlerweile mehrere hundert Personen, Gruppen und Organisationen auflisten, denen

1. auf keinen Fall weder unmittelbar noch mittelbar Gelder und wirtschaftliche Ressourcen zur Verfügung gestellt werden dürfen (sog. „Bereitstellungsverbot“), und mit denen
2. weder als Kunden noch als Vertragspartner Handel betrieben werden darf.

Die Verordnungen gelten grundsätzlich u.a. bezüglich von nach dem Recht eines Mitgliedstaats gegründeten oder eingetragenen juristischen Personen, Gruppen, Unternehmen und Einrichtungen und in Bezug auf Geschäfte dieser Einheiten, die ganz oder teilweise in der Union getätigt werden.

Straf- und Ordnungswidrigkeitsvorschriften

Verstöße gegen die Bestimmungen der Verordnungen im Zusammenhang mit Geschäftsbeziehungen oder Verträgen mit Mitarbeitern können in Deutschland Straftaten gem. §§ 17 ff. Außenwirtschaftsgesetz (AWG) darstellen. Außerdem drohen bei Verstoß gegen das Bereitstellungsverbot Unternehmen insbesondere die Gewerbeuntersagung wegen Unzuverlässigkeit (§ 35 Abs. 1 GewO) und ein Eintrag in das Gewerbezentralregister (§ 149 Abs. 2 GewO).

Datenschutzrechtliche Kritik an den Sanktionslisten

Es bleibt aus datenschutzrechtlicher Sicht viel Raum, die Effizienz solcher Listen zu kritisieren oder gar ihre Sinnhaftigkeit grundsätzlich anzuzweifeln und auf ihre Risiken hinzuweisen. Insbesondere sei hier noch einmal auf die Kritik des damaligen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit hingewiesen, der bereits im Jahr 2012 die den EG-Verordnungen zugrunde liegenden UN-Terrorlisten aus rechtsstaatlicher Perspektive „bedenklich“ nannte, weil ihr Zustandekommen intransparent sei und die Listung nicht gerichtlich geprüft werden könne.

Exekutionspflicht der deutschen Unternehmen

Doch faktisch sind mit diesen Vorschriften des AWG Pflichten zur Kontrolle von Geschäftspartnern, aber auch von eigenen Mitarbeiter verbunden, will man für das Unternehmen beträchtliche Risiken vermeiden.

Rechtsgrundlage gesucht

Wenn Unternehmen nun planen, ihre Mitarbeiter mittels Softwarelösungen oder händisch mit den „Listen“ abzugleichen (sie zu „screenen“), sollte das aus datenschutzrechtlicher Sicht mit Vorsicht angegangen werden.

Mitarbeiter-Screening aufgrund einer rechtlichen Verpflichtung?

Denn bereits die Suche nach einer Rechtsgrundlage gestaltet sich schwierig. Zunächst einmal käme die Regelung des Art. 6 Abs. 1 lit. c DSGVO in Betracht. Man sollte meinen, dass wenn europäische Verordnungen ein „Bereitstellungsverbot“ installieren, solche Regelungen gleichzeitig die Legitimation für entsprechende Kontrollen z.B. durch Unternehmen beinhalten – doch so einfach ist das leider nicht, in den UN-Resolutionen oder den Verordnungen selbst wird man nicht fündig.

Weiter gibt es die bereits erwähnten nationalen Normen im Außenwirtschaftsgesetz (AWG), die Unternehmen zur Einhaltung des Bereitstellungsverbots verpflichten und andernfalls sogar Strafen vorsehen, § 18 Abs. 1 Nr. 1a AWG (Strafvorschrift bei Vorsatz) bzw. § 19 Abs. 1 AWG (Ordnungswidrigkeit bei Fahrlässigkeit). Jedoch ist auch hier eine ausdrückliche Screening-Pflicht nicht normiert und strafrechtlich wird das Unterlasen der Screenings erst dann relevant, wenn einem gelisteten Mitarbeiter vorsätzlich Gelder ausgezahlt werden. Eine Rechtsgrundlage für das Screening sucht man also auch hier vergebens. Nach alledem scheidet Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage aus.

Mitarbeiter-Screening zur Durchführung eines Vertrages

Ob Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage für flächendeckende, anlassbezogene Mitarbeiter-Screenings herangezogen werden kann, ist mindestens streitig. Es lässt sich argumentieren, dass die grundsätzliche Erforderlichkeit des Mitarbeiter-Screening für die Durchführung des Arbeitsverhältnisses nicht bejaht werden kann, da grundsätzlich nicht schon ein unterlassenes Screening strafbewährt ist, sondern erst eine ggf. in der Folge getätigte Zahlung an einen mutmaßlich Gelisteten.

Es findet sich aber auch die anders lautende Meinung, dies im Tätigkeitsbericht der Datenschutzaufsicht Rheinland-Pfalz 2019, S. 44, dass solche Screenings immer dann als erforderlich ansieht, sofern der Listenabgleich für den Verantwortlichen für eine rechtmäßige und regelkonforme Entgeltzahlung unabdingbar ist (was insbesondere in Großbetrieben der Fall sein soll).

Mitarbeiter-Screening aufgrund berechtigter Interessen des Unternehmens!

Inwiefern sich Unternehmen auf Art. 6 Abs. 1 lit. f DSGVO als ansonsten letzte verbleibende Möglichkeit einer Rechtsgrundlage stützen können, ist ebenfalls unklar.

Die Anwendung von Art. 6 Abs. 1 lit. f DSGVO bedeutet jedenfalls die Notwendigkeit einer detaillierten und einzelfallbezogenen Verhältnismäßigkeitsprüfung. Zwar lässt sich ein „berechtigtes Interesse“ des Unternehmens auf jeden Fall durch das Interesse der Einhaltung des Bereitstellungsverbots bzw. durch die „Vermeidung von Nachteilen oder Sanktionen“ begründen, jedoch bereitet die Verhältnismäßigkeitsprüfung selbst jeweils Schwierigkeiten angesichts des mächtigen Grundrechts des Mitarbeiters auf informationelle Selbstbestimmung.

So hängt der Ausgang der Prüfung von der weiteren Wertung und Argumentation ab. Zumindest bezüglich genereller Screenings dürfte das Interesse des Arbeitgebers zurücktreten müssen, so dass entsprechende Screenings nur in begründeten Ausnahmefällen durchgeführt werden dürften.

Hilfe durch die Aufsichtsbehörden

Dass klarere rechtliche Vorgaben fehlen, an denen sich Unternehmen orientieren können, hat zumindest die Baden-Württembergische Datenschutzaufsicht in ihrem Tätigkeitsbericht 2014/2015, S. 146 ff., zu folgendem Statement veranlasst:

„Solange sich aber die für den Vollzug des Außenwirtschaftsgesetzes zuständige Bundeszollverwaltung nicht zu einer klaren Aussage dazu durchringen kann, ob und unter welchen Voraussetzungen deutsche Unternehmen zu anlassunabhängigen Abgleichen mit Sanktionslisten des EU-Rechts verpflichtet sind, und Unternehmen, die solche Abgleiche unterlassen, daher die Verhängung von Bußgeldern befürchten müssen, halte ich die Vornahme solcher Abgleiche zumindest für vertretbar. (…)“

Nach alledem spricht im Jahre 2023 weiter dafür, hier mit Art. 6 Abs. 1 lit. f DSGVO zu argumentieren und zu dem Schluss zu kommen, dass im Rahmen der Verhältnismäßigkeit ein Mitarbeiter-Screening gegen die EU-Sanktionslisten grundsätzlich als möglich bezeichnet werden kann.

Status eines sog. zugelassenen Wirtschaftsbeteiligten nach dem AEO-Verfahren

Weiter wollen Unternehmen ein Screening der Mitarbeiter vornehmen, um den zollrechtlichen Status eines sog. „zugelassenen Wirtschaftsbeteiligten“ nach dem AEO-Verfahren gem. der Europäischen Verordnung 2913/92 zu erhalten (EWG VO 2913/92). Dies ist ein seit Januar 2008 zur Verfügung stehendes, zollrechtliches Zertifizierungsverfahren, bei denen die zugelassenen Unternehmen für die Zoll-Formalitäten deutliche Vereinfachungen erhalten, betroffen sind z.B. Flug- und Seehafenbetreiber, Speditionen und Postunternehmen.

Die Voraussetzung dafür ist, dass das Unternehmen die Anforderungen des EU-Zollkodex und dessen Durchführungsverordnungen einhält – so auch die Dienstvorschrift „zugelassener Wirtschaftsbeteiligter – AEO (E – VSF Z 05 20)“ des Bundesministeriums der Finanzen, die ein Mitarbeiter-Screening anhand der EU-Anti-Terror-Listen mindestens einmal jährlich vorsieht (Ziffer 253).

Urteil des BFH 2012

Nach immerhin 11 Jahren (!) der Unklarheit und Streitigkeiten wurde vom Bundesfinanzhof (BFH) in einem Urteil aus dem Jahr 2012 (BFH 19.06.2012, VII R 43/11) festgestellt, dass die Erteilung des AEO-Zertifikats an in Unternehmen, die in sicherheitsrelevanten Bereichen tätig sind, von der Durchführung eines Mitarbeiter-Screenings abhängig gemacht werden darf. Dieser Datenabgleich sei bereits gem. § 32 Abs. 1 S. 1 BDSG (alt) bzw. nunmehr Art. 6 Abs. 1 lit. b DSGVO zulässig, da die Daten über die Begründung eines Beschäftigungsverhältnisses bzw. für dessen Durchführung erforderlich seien, wenn wie hier nach den Vorschriften eine Überprüfung des Personals notwendig sei.

Mitarbeiter-Screening zur Durchführung eines Vertrages

Seitdem wird bezüglich eines Abgleichs der Mitarbeiterdaten entsprechender Unternehmen mit den Terrorlisten der EU zur Erlangung des Status eines „Zugelassenen Wirtschaftsbeteiligten“ nach dem AEO-Verfahren Art. 6 Abs. 1 lit. b DSGVO (damals § 32 Abs. 1 S. 1 BDSG) als Rechtsgrundlage angesehen und „gebilligt“ –, auch wenn der damalige Bundesdatenschutzbeauftragte noch nach diesem Urteil weiterhin das Problem der fehlenden Rechtsgrundlage sah, wie er damals in einer Pressemitteilung kundtat.

Ebenso wenig verstummte nach der Entscheidung die Kritik der Datenschützer gegen die Anti-Terrorgesetze wegen ihrer Unverhältnismäßigkeit.

Vorgaben konzernverbundener US-Unternehmen

Es gibt weltweit noch viele weitere Listen, die abgescannt werden könnten. Deutsche Unternehmenseinheiten können die Aufforderung zum Abgleich mit weiteren Listen insbesondere von US-amerikanischen Müttern erhalten.

Sind Menschenrechtler Terroristen?

Was jedoch besonders kritisch ist an solchen Listen aus Drittländern zeigt der Beispielfall, dass bis 2008 der Name Nelson Mandelas auf der Terrorliste der Vereinigten Staaten stand. Denn hieran lässt sich ermessen, wie schwierig es ist, zwischen Terroristen und solchen Personen zu unterscheiden, die sich mit legitimen Mitteln für die Freiheit einsetzen.

Mitarbeiter-Screening aufgrund einer rechtlichen Verpflichtung?

Und – Sie werden es ahnen – natürlich stellen die Gesetze von Drittstaaten außerhalb der EU keine in Deutschland geltenden Rechtsvorschriften dar, die einen Grundrechtseingriff nach deutschem Recht rechtfertigten würden. Die Rechtsgrundlage des Art. 6 Abs. 1 lit. c DSGVO kann daher unter keinen Umständen herangezogen werden, solche Mitarbeiter-Screenings durchzuführen.

Aber auch der Abgleich mit Sanktionslisten von Drittländern ist jedenfalls nach dem oben bereits zitierten Tätigkeitsbericht der Baden-Württembergischen Aufsichtsbehörde für die Jahr 2014/2015 nicht grundsätzlich unmöglich, denn weiter ist dort zu lesen:

„Bei Abgleichen mit Sanktionslisten ausländischer Rechtsordnungen, z.B. solchen des US-Rechts, kommt es auf eine Abwägung im Einzelfall an. Die Nachteile, die dem Unternehmen und seinen Mitarbeitern im Fall einer Zuwiderhandlung im Ausland drohen, sind mit den Interessen der Betroffenen abzuwägen. Insoweit ist etwa zu berücksichtigen, ob es individuelle Rechtsschutzmöglichkeiten gegen eine Aufnahme in die Liste in einem Drittstaat gibt.“

Mitarbeiter-Screening aufgrund berechtigter Interessen des Unternehmens

Entsprechender Raum bleibt dem Unternehmen zu beurteilen, inwiefern im vorliegenden Fall ein Scanning der Mitarbeiter unter welchen Voraussetzungen notwendig und verhältnismäßig i.S.d. Art. 6 Abs. 1 lit. f DSGVO ist. Die Entscheidung sollte unbedingt hinreichend dokumentiert werden.

Vorgehen in der Praxis

Fakt ist, dass insbesondere die Anti-Terror-Verordnungen der EU es eindeutig verbieten, dass Unternehmen Terrororganisationen über ihre Mitglieder finanziell unterstützen, so dass Verstöße u.a. strafrechtliche Konsequenzen für Unternehmen haben, sollten sie gelistete Mitarbeiter entlohnen.

Es fehlen verlässliche Regelungen

Fakt ist auch, dass die Rechtsvorschriften deutlicher sein könnten, als sie es sind – und das schon seit langer Zeit – die nicht unerheblichen Rechtsrisiken sind also weiterhin real. Um es noch einmal zu betonen: Darin liegt das eigentliche Manko – auch datenschutzrechtlich. Es ist wie so oft nicht „der Datenschutz“, der „alles erschwert“, sondern eine fehlende zu Ende geführte, verlässliche Ausgestaltung der Rechtsvorschriften.

Das Unumgängliche ermöglichen, und das datenschutzkonform

Vor diesem Hintergrund wird deutlich, dass einiges dafürspricht, bezüglich europäischer bzw. internationaler Mitarbeiter-Screenings den Raum, den Art. 6 Abs. 1 lit. f DSGVO gibt, verantwortungsvoll und sorgsam, mit genauem Bezug zum jeweiligen Einzelfall zu nutzen.

Das Screening im Rahmen des Zertifizierungsverfahren als „zugelassener Wirtschaftsbeteiligter“ läuft nach der übernommenen Rechtsprechung des BFH indes bis auf Weiteres über Art. 6 Abs. 1 lit. b DSGVO.

Wie ist das das Mitarbeiter-Screening durchzuführen?

Sofern trotz allem ein Abgleich der eigenen Mitarbeiter mit Sanktionslisten erfolgt bzw. erfolgen kann, sollte sorgsam geprüft und unbedingt auch dokumentiert werden. Es sollte ein Verfahren eingesetzt werden, das das Screening möglichst nur mit den EU-Terrorlisten vergleicht und das natürlich wenig falsche Treffer erzeugt.

Zudem sind weitere datenschutzrechtliche Vorgaben unbedingt einzuhalten und ausnahmslos umzusetzen:

Auftragsverarbeitung und VVT

So ist zunächst einmal zu beachten, dass bei dem Einsatz eines Dienstleisters (i.d.R. Softwareanbieter) ein Vertrag zur Auftragsverarbeitung gem. Art. 28 DSGVO zu schließen ist. E entsprechende Verarbeitungstätigkeit ist anzulegen und diese ist in das Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DSGVO aufzunehmen.

Angemessene TOM

Weiter besteht die Pflicht, die technischen und organisatorischen Maßnahmen (TOM i.S.d. Art. 32 DSGVO) des ggf. tätigen Dienstleisters bzw. die eigenen Vorkehrungen sorgsam zu überprüfen, Zugriffe auf die Listen und die Ergebnisse des Datenabgleichs sollten durch ein entsprechendes Berechtigungskonzept abgesichert sein.

Datenschutzhinweise

Außerdem ist wichtig, dass die betroffenen Mitarbeiter in der Datenschutzerklärung ausführlich über den Verarbeitungsvorgang informiert werden. Zudem sind nicht nur eigene Arbeitnehmer zu scannen, sondern auch Zeitarbeitnehmer, Praktikanten, Studenten und freie Mitarbeiter.

Datenschutz-Folgenabschätzung

Weiter ist zu prüfen, ob eine Datenschutz-Folgenabschätzung durchgeführt werden muss. Das ist immer dann der Fall, wenn im Einzelfall die geplante Verarbeitung voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten der Betroffenen führt (Art. 35 Abs. 1 DSGVO).

Datenminimierung

Schließlich ist der Grundsatz der Datenminimierung zu beachten, so dass zu empfehlen ist, zunächst nur Vor- und Nachname, ggf. noch weiter Geburtsdatum und Geburtsort abzugleichen und lediglich bei Verdachtsfällen auch die Wohnadresse hinzuzuziehen.

Wichtig ist auch, das Screening von Bewerbern erst kurz vor der Einstellung durchzuführen, da dann erst die erste Entgeltzahlung kurz bevorsteht, so dass dann erst das Bereitstellungsverbot einzuhalten ist.

Rechtmäßigkeit

Der Datenabgleich sollte regelmäßig, mindestens einmal jährlich (im Einzelfall prüfen), sowie ggf. auch bei Aktualisierung der Listen bzw. bei Neueinstellungen vorgenommen werden, der Datenschutzbeauftragte sollte – zumindest bei Positivmeldung – in das Verfahren einbezogen werden.

Mitbestimmung des Betriebsrats

Ein Mitbestimmungsrecht des Betriebsrats gem. § 87 Abs. 1 Nr. 6 BetrVG besteht bei dem Einsatz einer Screening-Software gemäß einer Entscheidung des BAG aus dem Jahr 2017 (BAG 19.12.2017, 1 ABR 32/16) im Übrigen zwar nicht, eine freiwillige BV zum Verfahren (zum „Wie“ hinsichtlich grundsätzlich rechtmäßiger Screenings) kann natürlich trotzdem abgeschlossen werden.

Was tun bei dem Fund einer gelisteten Person?

Sollte sich bei dem Mitarbeiter Scanning eine Positivmeldung ergeben, sollte auf jeden Fall unverzüglich der Datenschutzbeauftragte involviert werden. Ab sofort ist jegliche Zahlung an den Betroffene einzustellen, da das Unternehmen ansonsten gegen das „Bereitstellungsverbot“ verstößt. Doch das bedeutet gleichzeitig, dass der Mitarbeiter seine Arbeitsleistung nicht mehr erbringen darf, da ansonsten gegen weitere Rechtsvorschriften wie das Mindestlohngesetz verstoßen wird. Also ist schnellstmöglich ein Arbeitsrechtler einzuschalten.

„Screening“ mit Bedacht

Das Thema ist keineswegs neu – umso erstaunlicher ist die Tatsache, dass die rechtlichen Regelungen im Jahr 2023 weiter unausgereift erscheinen.

Sofern Mitarbeiter-Screenings durchgeführt werden müssen, ist aufgrund der verbleibenden rechtlichen Unklarheiten umso mehr Augenmerk zu legen auf die Einhaltung der Regeln der Verhältnismäßigkeit, auf eine sorgfältige Dokumentation sowie auf datenschutzrechtliche und IT-Security-technische Begleitung des Screenings.