Im Außenhandel tätige Unternehmen, die den Status eines zugelassenen Wirtschaftsbeteiligten (Authorized Economic Operator – AEO) erwerben und so in den Genuss zollrechtlicher Vereinfachungen kommen möchten, müssen nach Ansicht einiger Hauptzollämter ihre Mitarbeiter anhand der sog. Terrorismuslisten der EU überprüfen. Diese umstrittene Praxis hat der Bundesfinanzhof (BFH) nun bestätigt.

Von Marian Niestedt, Rechtsanwalt und Partner, und Hartmut Henninger, Rechtsanwalt, Graf von Westphalen

Die mit der Entscheidung vorgenommene Positionierung des BFH im Spannungsfeld zwischen Datenschutz und Terrorismusbekämpfung gibt den Unternehmen Orientierung hinsichtlich ihrer Compliance-Verpflichtungen, wirft aber auch neue Fragen auf.

Der Status des AEO ist für Unternehmen mitunter von erheblicher wirtschaftlicher Bedeutung. Er ermöglicht bestimmte Vereinfachungen bei der Bewilligung und der Abwicklung von Zollverfahren und führt zu selteneren Zollkontrollen. Nach den zollrechtlichen Bestimmungen der EU muss das Unternehmen dafür „angemessene Sicherheitsstandards“ erfüllen – auch im Hinblick auf seine Mitarbeiter.

Das EU-Recht selbst schreibt insoweit keine konkreten Maßnahmen vor. Gleichwohl verweigern einige Hauptzollämter die Bewilligung, wenn die Unternehmen nicht regelmäßig Arbeitnehmerdaten mit den Listen der europäischen Antiterror-Verordnungen (EG) Nr. 2580/2001 und 881/2002 und den hierzu ergangenen Änderungsverordnungen abgleichen. Nach dem Willen der Hauptzollämter sollen die Überprüfungen mindestens einmal jährlich stattfinden, teilweise werden auch kürzere Fristen verlangt.

Diese Praxis hat insbesondere seitens der Landesdatenschutzbeauftragten von Anfang an erhebliche Kritik erfahren. Die Vereinbarkeit des massenhaften und anlasslosen Datenabgleichs mit dem Bundesdatenschutzgesetz (BDSG) wurde in Zweifel gezogen. Für die Unternehmen bedeutete dies Rechtsunsicherheit und ein Dilemma: Einerseits müssen sie das Screening vornehmen, um den AEO-Status zu erhalten, andererseits dürfen sie nicht gegen die straf- und bußgeldbewehrten Vorschriften des Datenschutzrechts verstoßen.

Der BFH hat in seinem jüngst veröffentlichten Urteil vom 19. Juni 2012 (Az.: VII R 43/11) entschieden, dass die Hauptzollämter das Terrorismuslisten-Screening zur Voraussetzung der AEO-Bewilligung machen dürfen. Die datenschutzrechtlichen Bedenken der Kritiker teilt das Gericht nicht: Der Abgleich der Mitarbeiterdaten mit den Terrorismuslisten der EU stelle eine nach § 32 BDSG zulässige Datennutzung dar. Danach dürfen die Daten genutzt werden, wenn dies für die Entscheidung über die Begründung oder Beendigung eines Beschäftigungsverhältnisses notwendig ist. Dies ist nach Ansicht des BFH beim Terrorismuslisten-Screening der Fall: Die Terrorismusverordnungen verbieten es, gelisteten Personen Ressourcen zur Verfügung zu stellen. Daher dürfen solche Personen auch nicht angestellt oder weiterbeschäftigt werden, da sie sonst einen Anspruch auf Arbeitslohn erwerben würden. Die Notwendigkeit der Datennutzung für die Entscheidung über das Beschäftigungsverhältnis sei somit gegeben.

Das Screening als Voraussetzung der Bewilligung sei auch zumutbar. Es diene dem Zweck der Terrorismusbekämpfung und belaste weder die Angestellten noch die Unternehmen unangemessen. Für den Abgleich müssten lediglich die Stammdaten herangezogen und mit den Namen auf den Listen verglichen werden. Den Unternehmen sei dies ohne nennenswerten Aufwand möglich, und die Privatsphäre der Arbeitnehmer sei nur in geringem Umfang betroffen. Wesentlich schwerer würde etwa die Pflicht zur Vorlage eines polizeilichen Führungszeugnisses wiegen, was das Unternehmen im konkreten Fall als Ersatzmaßnahme zum Screening angeboten hatte.

Eine spezielle gesetzliche Ermächtigungsgrundlage, nach der die Unternehmen zur Überprüfung ihrer Mitarbeiter verpflichtet seien, hält das Gericht nicht für erforderlich. Das Erfordernis des Mitarbeiter-Screenings stelle keinen Eingriff in die Rechte der Unternehmen dar. Es gehe vielmehr mit einer Vergünstigung einher, auf die die Unternehmen auch verzichten könnten. Formal betrachtet ist dies richtig. Zu bedenken ist jedoch, dass das AEO-Zertifikat und die damit verbundenen Erleichterungen in manchen Branchen notwendige Voraussetzungen sind, um im Wettbewerb bestehen zu können. Ist ein Unternehmen unbedingt auf die Bewilligung des AEO-Status angewiesen, stellen sich die Bewilligungsvoraussetzungen für das Unternehmen faktisch als Einschränkungen dar.

Mit der Entscheidung des BFH besteht für die Unternehmen, die den AEO-Status anstreben, damit einstweilen Rechtssicherheit: Sie müssen, wenn das Hauptzollamt dies für die AEO-Beantragung fordert, das Screening ihrer Mitarbeiter durchführen und verstoßen damit nicht gegen das BDSG. Allerdings werfen einige in dem Urteil enthaltene Aussagen neue praktische Fragen auf, mit denen sich die Unternehmen auseinandersetzen müssen, um den gesetzlichen Anforderungen gerecht zu werden.

Mit Billigung einiger Hauptzollämter haben zahlreiche Unternehmen das Dilemma bisher auf pragmatische Weise aufgelöst: Arbeitslöhne werden in aller Regel unbar ausgezahlt. Die Banken sind nach § 25 c des Kreditwesengesetzes (KWG) verpflichtet, angemessene Maßnahmen gegen die Terrorismusfinanzierung zu treffen, wozu auch Überprüfungen anhand der Terrorismuslisten der EU gehören. Infolgedessen wurde es für die Bewilligung des AEO-Status als ausreichend angesehen, wenn die Bank bestätigte, dass sie jede Transaktion an Beschäftigte überprüft.

Diese auch von Wissenschaft und Praxis befürwortete Vorgehensweise genügte dem in dem vom BFH entschiedenen Fall zuständige Hauptzollamt nicht. Dem hat sich das Gericht in seinem Urteil offenbar angeschlossen: Es sei nicht sachwidrig, so das Gericht, dass das Hauptzollamt die Überprüfung durch die Bank nach § 25 c KWG nicht für ausreichend erachtet habe, weil es lediglich um Transaktionen im Zahlungsverkehr gehe und im Übrigen die zollrechtlichen Bestimmungen für die Erlangung des AEO-Status eine Sicherheitsüberprüfung durch den Antragsteller und nicht durch einen Dritten fordere.

Unternehmen, die das AEO-Zertifikat auf Grundlage einer Bankbestätigung erhalten haben, müssen nun fürchten, bei der nächsten Überprüfung ihre Praxis umstellen zu müssen. Außerdem scheint der BFH die Ansicht der Zollbehörde zu billigen, wonach das Outsourcing der Sicherheitsüberprüfungen grundsätzlich unzulässig sei. Dies ist jedoch weit verbreitete Praxis in deutschen Unternehmen, da rechtliche Bedenken bisher nicht bestanden. Diesbezüglich wäre eine Klarstellung seitens der Finanzbehörden wünschenswert, wonach das Outsourcing weiterhin zulässig ist, wenn der Dritte sorgfältig ausgewählt und entsprechend instruiert und kontrolliert wird.

Nach Aussage des Gerichts könnten datenschutzrechtliche Bedenken auch dadurch ausgeräumt werden, dass die Unternehmen eine Einwilligung der betroffenen Beschäftigten einholen, wonach sich diese mit dem Abgleich der Daten einverstanden erklären.

Die Richtigkeit dieser Aussage darf bezweifelt werden: Zwar ist eine Datennutzung nach dem BDSG zulässig, wenn der Betroffene einwilligt; dies gilt aber nur, wenn die Einwilligung auch freiwillig erfolgt. Hiervon ist dann nicht auszugehen, wenn es um die Begründung oder Aufhebung von Beschäftigungsverhältnissen geht. In diesen Situationen dürfte der faktische Zwang, auf den Schutz garantierter Rechte zu verzichten, so erheblich sein, dass eine freie Willensentscheidung nicht anzunehmen ist.

Daher ist dieser Modus trotz der Aussage des BFH nicht zu empfehlen. Es ist nicht auszuschließen, dass Mitarbeiter im Falle der Nutzung ihrer Stammdaten die Verletzung ihrer Persönlichkeitsrechte geltend machen könnten – auch wenn formal eine Einwilligung erfolgt und aktenkundig gemacht worden ist.

Im Zusammenhang mit der Einhaltung der Vorgaben des Datenschutzrechts darf nicht vergessen werden, dass Terrorismuslisten-Screenings für Unternehmen auch in anderen Bereichen von Bedeutung sind. So sind Unternehmen faktisch verpflichtet, die Namen ihrer Kunden und Lieferanten mit den Terrorismuslisten der EU abzugleichen. Andernfalls liefen sie Gefahr, gegen das Bereitstellungsverbot der Antiterrorismus-Verordnungen zu verstoßen, wonach gelisteten Personen weder unmittelbar noch mittelbar Gelder oder wirtschaftliche Ressourcen – unabhängig von deren Wert – zur Verfügung gestellt werden oder zugutekommen dürfen. Ein solcher Verstoß würde erhebliche strafrechtliche Konsequenzen nach sich ziehen. Gleichwohl bedarf auch die Nutzung der Daten von Kunden und Lieferanten nach dem BDSG einer rechtlichen Grundlage.

Obwohl sich das Urteil des BFH zu dieser Frage nicht ausdrücklich verhält, kann aus der Entscheidung gefolgert werden, dass auch diese Form des Screenings die Billigung des Gerichts erfahren würde. Mit § 28 BDSG hält das Datenschutzrecht eine Regelung vor, wonach Daten genutzt werden dürfen, wenn sie für die Begründung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen erforderlich ist. Nach der oben dargestellten Argumentation müsste der BFH auch hier aus dem Bereitstellungsverbot die Erforderlichkeit der Datennutzung folgern. Demnach dürfte der Abgleich von Kunden- und Lieferantendaten als zulässig anzusehen sein.

Nach dem Urteil des BFH steht fest, dass die Zollbehörden für die Bewilligung des AEO-Status von den Antragstellern ein Terrorismuslisten-Screening der Mitarbeiter verlangen dürfen. Danach werden sich die interessierten Unternehmen richten müssen. Darüber hinaus müssen § 32 und § 28 BDSG nun generell als taugliche Rechtsgrundlage für den Abgleich von personenbezogenen Daten mit den Antiterrorismus-Verordnungen der EU angesehen werden. Die Zulässigkeit des Screenings ist damit geregelt.

Doch wie steht es mit der Reichweite der Pflicht? Das breit gefasst Bereitstellungsverbot der Antiterrorismus-Verordnung hat faktisch zur Folge, dass Unternehmen jederzeit sämtliche Personen, mit denen sie geschäftliche Kontakte pflegen, anhand der Listen überprüfen müssen, um sich nicht strafbar zu machen. Dies betrifft ihre Kunden und Lieferanten und ebenso ihre Mitarbeiter, nicht nur im Rahmen der Beantragung des Status als AEO. Hier wäre eine eindeutige gesetzliche Regelung wünschenswert, wie sie – zumindest für das Mitarbeiter-Screening – auch der Bundesdatenschutzbeauftragte fordert.

Kontakt: m.niestedt[at]gvw.com ; h.henninger[at]gvw.com

Aktuelle Beiträge