Zahlreiche Unternehmen führen aufgrund der EU-Anti-Terrorverordnungen (2580/2001/EG, 881/2002/EG und 753/2011/EG) oder um einen zollrechtlichen Status als „zugelassener Wirtschaftsbeteiligter“ zu erhalten ein sogenanntes Mitarbeiter-Screening durch. Mithilfe dieser Verordnungen soll die Finanzierung terroristischer Handlungen verhindert werden. Sollte ein Mitarbeiter auf einer solchen Terror-Liste aufgeführt sein, darf ihm, nach dem sogenannten Bereitstellungsverbot, kein Gehalt oder wirtschaftliche Ressourcen zur Verfügung gestellt werden. Auch mit Kunden oder Vertragspartner darf in diesem Fall kein Handel betrieben werden, weshalb einige Unternehmen, neben den Mitarbeiterdaten, auch Daten von Vertragspartnern für einen solchen Abgleich verwenden. In diesem Zusammenhang stellt sich jedoch aus Datenschutzsicht die Frage, ob ein solcher Anti-Terrorlistenabgleich datenschutzrechtlich zulässig ist und falls ja, worauf man aus Datenschutzsicht explizit achten sollte.
EU-Anti-Terrorverordnungen
Nach Art. 3 Abs. 2 der Verordnung 753/2011/EG und Art. 2 Abs 2. der Verordnung 881/2002/EG dürfen natürlichen und juristischen Personen, welche – als terroristisch eingestuft – in der Liste im jeweiligen Anhang der Verordnungen aufgeführt sind, weder unmittelbar noch mittelbar Gelder oder wirtschaftliche Ressourcen zur Verfügung gestellt werden oder zugutekommen. Dies beschreibt das sogenannte „Bereitstellungsverbot, was letztendlich verbietet, Personen finanziell zu unterstützen, welche auf einer solchen Liste aufgeführt sind. Verstöße gegen dieses Bereitstellungsverbot können mit einer Geldbuße und Untersagung der Gewerbefortführung bis zur Freiheitsstrafe geahndet werden. Die Anti-Terror-Listen enthalten Namen von mehreren hundert Personen und werden alle drei Wochen aktualisiert. Mit welcher Begründung und aus welchem Anlass diese Menschen auf die Liste kommen, ist jedoch nicht erkennbar.
Ist das Screening der Mitarbeiter datenschutzkonform?
Grundsätzlich ist festzuhalten, dass die EU-Anti-Terrorverordnungen dem Datenschutzrecht nicht übergeordnet sind bzw. dieses verdrängen. Das sogenannte „Mitarbeiter-Screening“ wird jedoch meist aufgrund vermeintlicher gesetzlicher Verpflichtungen durch die EU-Anti-Terror Verordnung oder aufgrund der Anforderungen des Wirtschaftsabkommens „Authorized Economic Operator (AEO)“, um einen zollrechtlichen Status als „zugelassener Wirtschaftsbeteiligter“ zu erhalten, durchgeführt. Die Verpflichtung, einen solchen Datenabgleich für Beschäftigte durchzuführen, kann jedoch keiner der Rechtsnormen entnommen werden.
Im Datenschutz gilt das Verbot mit Erlaubnisvorbehalt, wodurch jegliche Verarbeitung personenbezogener Daten einer Rechtsgrundlage bedarf. Fraglich ist nun in diesem Zusammenhang, ob Mitarbeiter einem solchen Screening unterzogen werden dürfen und auf welche Rechtsgrundlage dies gestützt werden kann.
Eine freiwillige Einwilligung der Beschäftigten nach Art. 6 Abs. 1 lit. a DS-GVO dürfte als Rechtsgrundlage nicht in Betracht kommen, da das Arbeitsverhältnis durch ein Über-/Unterordnungsverhältnis geprägt ist und man daher von keiner „freiwilligen“ Einwilligung ausgehen dürfte. Sofern der Abgleich notwendig ist, um überhaupt wirtschaftlich im Ausland agieren zu können, käme für die Verarbeitung womöglich, nach Art. 6 Abs. 1 lit. f DS-GVO, das berechtigte Interesse des Unternehmens als Rechtsgrundlage in Betracht. Das berechtigte Interesse dürfte in der Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen liegen. Auch dürfte im Rahmen der Interessensabwägung relevant sein, dass das Unternehmen entweder das Screening durchführt oder auf den AEO-Status verzichtet, was wiederrum zu erheblichen finanziellen Einbußen führen dürfte.
Datenschutzbehörden vs. Bundesfinanzhof
Datenschutzbehörden hatten sich in der Vergangenheit kritisch zum Screening der Mitarbeiter geäußert. Dem gegenüber steht jedoch das Urteil des Bundesfinanzhofs (BFH) vom 19.06.2012 (VII R 43/11), welcher das Screening der Mitarbeiter, um das gewünschte AEO-Zertifikat zu erlangen, als datenschutzkonform ansieht, da dieses zur Begründung und Durchführung des Beschäftigungsverhältnisses für das Unternehmen erforderlich sei.
Fazit
Schlussendlich dürfte mit Blick auf das sogenannte Screening der Mitarbeiter keine Einigkeit herrschen. Aus Sicht der Datenschutzbehörden sollte ein haltloses Screening der Mitarbeiter definitiv unterlassen werden. Dies bedeutet allerdings nicht, dass die Durchführung gänzlich unzulässig ist. Auch wenn die Anti-Terrorverordnung ein Screening nicht explizit verlangen, kann dies unter Umständen erforderlich und zulässig sein, um bspw. im Ausland wirtschaftlich agieren zu können. Sollten Sie einen solchen Abgleich planen, sollte dringend Ihr Datenschutzbeauftragter mit einbezogen werden.
Unabhängig von der Rechtsgrundlage sollten Unternehmen unter anderem Informationspflichten gemäß Art. 13 und 14 DS-GVO nachkommen. Auch sollte in Hinblick auf die Verarbeitung der personenbezogenen Daten zudem der Grundsatz der Datensparsamkeit berücksichtigt werden. Ein Datenabgleich sollte auf solche Daten zu beschränkt werden, welche für die Identifizierung eines Beschäftigten auf einer solchen Liste notwendig sind.
Weiterhin sollte neben den genannten Punkten eine Vorabprüfung sowie – sofern von einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen auszugehen ist- eine Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO durchgeführt werden.
