Aus den Terrorverordnungen und einigen Embargoverordnungen des EU-Exportrechts ergibt sich die unmittelbar geltende Pflicht, gelisteten Personen keine Gelder oder wirtschaftlichen Ressourcen zur Verfügung zu stellen oder zugutekommen zu lassen.

Immer wieder werden beim Sanktionslistenscreening Bedenken aus export- oder datenschutzrechtlicher Perspektive geäußert. Vor allem stellt sich hier die Frage, ob auch gegen Sanktionslisten des Auslands gescreent werden darf.

Beitrag in der Gesamtausgabe (PDF)

Ausgangsfall

Der Konzern D, mit Hauptsitz in Deutschland und Tochtergesellschaften unter anderem in den USA und dem UK, unternimmt derzeit eine großangelegte Rekrutierungsoffensive. In deren Rahmen stellt sich für den Konzern die Frage, ob er aus export- und datenschutzrechtlichen Gesichtspunkten die Bewerber schon vor der Einstellung gegen Sanktionslisten der EU, der USA, des UK und von Japan prüfen darf bzw. muss. Welche export- und datenschutzrechtlichen Pflichten treffen den Konzern?

Abwandlung

Wie verhält es sich mit einem Screening der Bestandsbelegschaft? Sind hier Besonderheiten zu beachten?

Screening gegen Sanktionslisten aus exportrechtlicher Sicht

Aus den Terrorverordnungen und einigen Embargoverordnungen des EU-Exportrechts ergibt sich die unmittelbar geltende Pflicht, gelisteten Personen keine Gelder oder wirtschaftlichen Ressourcen zur Verfügung zu stellen oder zugutekommen zu lassen. Sie dürfen also kein Geld oder keine sonstigen Vermögenswerte (wie z.B. Waren) erhalten. Dies gilt nicht nur unmittelbar, weil der Kunde selbst gelistet ist, sondern auch mittelbar, etwa weil dessen Anteilseigner (ab einem Anteil von 50%) oder Geschäftsführer gelistet sind. Nicht nur Kunden/Endverwender müssen gegen Sanktionslisten gescreent werden, sondern auch alle Lieferanten und Dienstleister in der Lieferkette; dies gilt auch für reine Inlandsgeschäfte. Zusätzlich sind die eigenen Mitarbeiter gegen die Sanktionslisten zu prüfen sowie auch Besucher, die das Unternehmen aus geschäftlichem Interesse betreten wollen. Ein Verstoß gegen diese Pflicht ist, falls das Screening vorsätzlich nicht durchgeführt wurde, im Zweifel eine Straftat nach § 18 Abs. 1 AWG (Freiheitsstrafe von drei Monaten bis zu fünf Jahren)! Nur wenn dies versehentlich nicht geschah, dürfte es noch um eine Ordnungswidrigkeit gehen (Geldbußen von bis zu maximal 500.000 EUR). Von daher ist klar, dass dieses Screening exportrechtlich zwingend erforderlich ist, um eine Straftat zu verhindern.

Screening gegen Sanktionslisten aus datenschutzrechtlicher Sicht

Klar ist aber auch, dass dieses Screening der datenschutzrechtlichen Rechtfertigung bedarf. Unklar ist, ob dafür eine vorherige datenschutzrechtliche Einwilligung des Mitarbeiters ausreichen kann. Im Zweifel müsste die Rechtfertigung durch ein Gesetz erfolgen. Für das Screening von Mitarbeitern gegen EU-Sanktionslisten ist von der Rechtsprechung § 26 Abs. 1 BDSG als Rechtsgrundlage anerkannt worden. Nach dieser Norm dürfen personenbezogene Daten für die Zwecke des Beschäftigungsverhältnisses verarbeitet werden, vor allem wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Eine weitere Ermächtigung würde sich dann ergeben, wenn das Screening der Mitarbeiter aufgrund eines Gesetzes oder einer Betriebsvereinbarung erfolgt. Die regelmäßigen Lohn­zahlungen durch den Arbeitgeber setzen voraus, dass der Beschäftigte nicht auf Sanktionslisten (vor allem nicht solchen der EU) gelistet ist. Somit dürfen die eigenen Mitarbeiter entsprechend überprüft werden. Entsprechendes ist auch für eine AEO-Zertifizierung anerkannt, weil dabei vor allem die Mitarbeiter in sicherheits­relevanten Bereichen der Überprüfung gegen Sanktionslisten unterzogen werden müssen. Auch in diesem Fall dürfte der ­Listenabgleich zu Zwecken des Beschäftigungsverhältnisses geschehen (vgl. Hohmann, in: Puschke/Hohmann, Basiswissen Sanktionslisten, 2. Aufl. S. 113 ff.).

Zum Ausgangsfall

Auch im Vorfeld einer Beschäftigung sollten Bewerber gegen Sanktionslisten geprüft werden, bevor Vorstellungskosten ersetzt werden und bevor der Arbeitsvertrag übersandt wird. Solange dieses Screening allein zum Zwecke der Einstellung von Mitarbeitern erfolgt und es nur um die objektiv hierfür notwendigen Daten geht, lässt sich die Überprüfung nicht nur exportrechtlich, sondern auch datenschutzrechtlich (nach § 26 Abs. 1 BDSG) rechtfertigen, denn das Unternehmen muss sicher sein, dass der Bewerber nicht auf einer EU-Sanktionsliste gelistet ist, um einen Arbeitsvertrag mit diesem abschließen zu können.

Zur Abwandlung

Dies gilt entsprechend für bereits Beschäftigte. Da Sanktionslisten fortlaufend aktualisiert und angepasst werden, muss exportrechtlich diese Prüfung immer wieder aktualisiert werden. Es stellt sich die Frage, in welchem Rhythmus die Mitarbeiter unter Gesichtspunkten der Verhältnismäßigkeit überprüft werden dürfen. Es muss fortlaufend gewährleistet sein, dass keine gelisteten Mitarbeiter beschäftigt sind. U.E. dürfte zumindest ein jährlicher Abgleich mit den EU-Sanktionslisten zu-lässig sein, um exportrechtlichen Anforderungen zu entsprechen und gleichzeitig nicht gegen Datenschutzvorgaben zu verstoßen.

Vor allem: Abgleich mit Sanktionslisten des Auslands

Große Unsicherheiten bestehen aber bei der Beurteilung der Frage, ob für das Screening der Mitarbeiter auch Sanktionslisten des Auslands (hier: der USA, des UK und Japans) berücksichtigt werden dürfen oder nicht. Teilweise wird aus dem Umstand, dass die Listen in Deutschland nicht gelten, gefolgert, dass ein Abgleich mit diesen Listen nicht erfolgen darf, weil für Unternehmen in Deutschland aufgrund dessen keine rechtliche Verpflichtung zur Einhaltung der Vorgaben besteht. Hier wird aber übersehen, dass sie faktisch oder rechtlich (vor allem bei den US-Listen) u.U. gleiche Auswirkungen auf das Beschäftigungsverhältnis haben können.

Hingegen hat ein Datenschutzbeauftragter auf die Notwendigkeit einer Einzelfallabwägung hingewiesen: Die Nachteile, die dem Unternehmen und seinen Mitarbeitern bei einer Zuwiderhandlung im Ausland drohen, sind gegen die Interessen der Betroffenen abzuwägen. Sollten diese Nachteile höher sein, wäre das Screening zu rechtfertigen.

U.E. kann man aus zwei Gründen zu einer datenschutzrechtlichen Rechtfertigung nach § 26 Abs. 1 BDSG kommen: Erstens dann, wenn ausländische Sanktionslisten – wie im Fall der USA – extraterritoriale Wirkungen entfalten und ihre Nichtbeachtung rechtlich (nach dem US-Recht) zu erheblichen Sanktionen der USA gegen dieses deutsche Unternehmen führen können. Zweitens dann, wenn sehr enge geschäftliche/gesellschaftliche Beziehungen zu diesem ausländischen Staat bestehen, so dass faktisch dessen Sanktionsliste nicht ignoriert werden kann (zum zweiten Grund vgl. auch Krause, Jahrbuch Außenwirtschaft 2014, S. 161 und 163).

Zum ersten Grund: Auch die Nicht-US-Person D muss aus Konzernsicht vermeiden, dass sie wegen Nichtbeachtung von US-Sanktionslisten, die mit Sekundärsanktionen versehen sind, selber auf eine US-Sanktionsliste gesetzt wird. Um sich diesem hohen rechtlichen Risiko nicht auszusetzen, wird D die US-Sanktionslisten berücksichtigen müssen – auch für das Mitarbeiterscreening. Einzige Ausnahme ist, wenn diese US-Listen eindeutig gegen die Antiboykott-VO verstoßen würden, was etwa bei Iran- und Kuba-Listungen der Fall sein könnte. Ansonsten darf auch gegen die US-Sanktionslisten geprüft werden.

Zum zweiten Grund: D hat Tochterunternehmen in den USA und im UK, nicht aber in Japan. Von daher kann man sagen, dass hier sehr enge geschäftliche Verflechtungen mit den USA und dem UK bestehen, so dass faktisch deren Sanktionslisten nicht ignoriert werden dürfen, weil D sonst negative Auswirkungen auf die Tochterunternehmen in den USA und dem UK befürchten müsste. Von daher dürfte auch die Berücksichtigung der Sanktionslisten der USA und des UK berechtigt sein. Allerdings ist derzeit – ohne zusätzlichen Sachvortrag – nicht ohne weiteres nachvollziehbar, warum auch die Sanktionsliste Japans berücksichtigt werden darf – hier bestehen Bedenken.

Wenn letztlich doch noch datenschutzrechtliche Unsicherheiten bestehen bleiben sollten, dürfte eine Einzelabwägung zwischen den beiderseitigen Belangen erforderlich sein.

Resümee

Ein Screening der eigenen Mitarbeiter (und auch der Bewerber) gegen EU-Sanktionslisten ist exportrechtlich genauso unverzichtbar wie die entsprechende Überprüfung von Kunden, Endverwendern, Lieferanten, Dienstleistern und Besuchern. Die datenschutzrechtliche Rechtfertigung dafür ergibt sich bei Mitarbeitern und Bewerbern aus § 26 Abs. 1 BDSG, wenn die Überprüfung zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. Eine Betriebsvereinbarung kann eine zusätzliche Rechtfertigung hierfür geben; unklar ist hingegen, ob eine Einwilligung des Mitarbeiters ausreicht. Bei einem Abgleich von Personendaten gegen EU-Sanktionslisten stellen sich nur wenige Rechtsfragen, solange die Verhältnismäßigkeit gewahrt wird (z.B. jährlicher Abgleich).

Ein Abgleich gegen Sanktionslisten des Auslands ist u.E. auf der gleichen Rechtsgrundlage nur dann gerechtfertigt, wenn es um eine extraterritoriale US-Sanktionsliste geht, deren Nichtbeachtung rechtlich zu erheblichen Nachteilen beim deutschen Unternehmen führen würde. Zusätzlich ist der Abgleich dann gerechtfertigt, wenn es um sehr enge geschäftliche/gesellschaftliche Beziehungen zum Ausland geht, so dass faktisch diese Sanktionsliste nicht ignoriert werden kann. Es sollte immer die Verhältnismäßigkeit gewahrt werden, damit sowohl den exportrechtlichen als auch den datenschutzrechtlichen Anforderungen entsprochen wird.

Wegen aktueller Hinweise zum EU-Exportrecht vgl. HIER.

info@hohmann-rechtsanwaelte.com

www.hohmann-rechtsanwaelte.com

Aktuelle Beiträge