Der Kampf gegen den internationalen Terrorismus gewinnt immer mehr an Bedeutung. Die EU hat zwei Verordnungen erlassen, die darauf abzielen, Geschäftskontakte mit terrorverdächtigen Personen und Organisationen umfassend zu unterbinden. Die beiden EU-Anti-Terrorismus-Verordnungen (2580/2001/EG und 881/2002/EG) enthalten Sanktionslisten, in denen alle terroristischen Organisationen und Personen aufgeführt sind (https://www.eeas.europa.eu/eeas/european-union-sanctions_en (zuletzt aufgerufen am 18.04.2023)).
Die EU-Anti-Terrorismusverordnungen verbieten die Bereitstellung von Geldern an Unternehmen, Organisationen und Personen, die auf den Terrorlisten aufgeführt sind. Diese sogenannten Bereitstellungsverbote wirken sich unmittelbar auf Arbeitsverhältnisse aus. Ein Unternehmen darf einem Mitarbeiter, der auf einer Terrorliste aufgeführt ist, kein Arbeitsentgelt zahlen. Dies bedeutet in der Konsequenz, dass ein Arbeitgeber einem Bewerber auch keine Reisekosten oder sonstige Auslagen erstatten darf.
Einer gelisteten Person dürfen weder direkt noch indirekt Gelder oder wirtschaftliche Ressourcen zur Verfügung gestellt werden.
Arbeitgeber sind daher verpflichtet zu überprüfen, ob Mitarbeiter und Bewerber auf den EU-Terrorlisten stehen. Diese Überprüfungen sind jedoch aus datenschutzrechtlicher Sicht nicht unproblematisch.
Datenabgleich
Der Datenabgleich kann grundsätzlich rechtmäßig durchgeführt werden. Die Einhaltung des Bereitstellungsverbots könnte ansonsten ohne ein Datenscreening durch die Unternehmen nicht gewährleistet werden, was wiederum eine Ordnungswidrigkeit darstellt und Sanktionen für das Unternehmen, den Arbeitgeber, nach sich ziehen würden.
Der Datenabgleich ist nicht auf konkrete Verdachtsfälle beschränkt, da der Arbeitgeber erst durch den Abgleich erfährt, ob sich unter den Bewerbern und/oder Beschäftigten ein Terrorverdächtiger befindet. Es wäre daher geradezu kontraproduktiv, wenn der Abgleich unter dem Gesichtspunkt des Datenschutzes unzulässig wäre.
Ein Datenabgleich mit den Terrorlisten der USA wird hingegen nicht zulässig sein. Insbesondere können sich Terrorverdächtige nicht mit Rechtsmitteln gegen eine unberechtigte Nennung auf einer US-Terrorliste wehren. Bei einer unberechtigten Nennung auf einer EU-Terrorliste steht dem Betroffenen der Weg zum EuGH offen, um eine Streichung von der Sanktionsliste zu erreichen. Ein vergleichbares rechtsstaatliches Verfahren ermöglichen die USA bei ihren Terrorlisten nicht. Zudem ist bei den US-Terrorlisten – im Gegensatz zu den EU-Terrorlisten – nicht klar, aus welchen Quellen sich die Inhalte der Listen zusammensetzen.[**]
Verhältnismäßigkeit
Der Grundsatz der Verhältnismäßigkeit ist auch beim Datenabgleich mit den Terrorlisten in vollem Umfang zu beachten und einzuhalten. Die in der DS-GVO und im BDSG beschriebenen Zulässigkeitskriterien werden bei der Durchführung des Terrorlistenscreenings nicht eingeschränkt. Dies bedeutet, dass in der Regel nicht alle in der Terrorliste enthaltenen Daten mit den Bewerber- und Beschäftigtendaten abgeglichen werden dürfen. Zur Identifizierung der in der Terrorliste aufgeführten Person wird in der Regel bereits eine Auswertung des Vor- und Nachnamens möglich und ausreichend sein. Erst wenn sich aus dem ersten Datenabgleich ein konkreter Tatverdacht ergibt, ist die Auswertung weiterer personenbezogener Daten wie z.B. Staatsangehörigkeit, Geburtsdatum, Personalausweisnummer verhältnismäßig und datenschutzrechtlich zulässig. Ohne Vorliegen eines konkreten Tatverdachts ist ein weiterer Datenabgleich rechtswidrig. Der Umfang der Datenauswertung bei einem Terrorlistenscreening ist daher unbedingt zu begrenzen.
Judikatur
Bundesfinanzhof, Urt. v. 19.06.2012 – VII R 43/11
Die Rechtsgrundlage findet sich in § 26 Abs. 1 S. 1 BDSG: Der Abgleich der personenbezogenen Daten der Bediensteten mit dem Namen in den Listen für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder für dessen Begründung, Durchführung oder Beendigung erforderlich, da Unternehmen gemäß § 34 Abs. 4 des Außenwirtschaftsgesetzes (AWG) unter Strafandrohung keine Bediensteten beschäftigen dürfen, die in den Listen aufgeführt sind.
Fazit
Für die Beurteilung der Verhältnismäßigkeit des Datenabgleichs ist daher die Häufigkeit des Screenings ein wichtiges Kriterium. Es setzt sich die Auffassung durch, dass ein jährlicher Abgleich der Mitarbeiterdaten mit den EU-Terrorlisten in der Regel ausreichend und damit verhältnismäßig ist (vgl. Dienstvorschrift des Bundesministeriums „Zugelassener Wirtschaftsbeteiligter – AEO“[*]). Danach ist es für die Zuerkennung des AEO-Status ausreichend, wenn die Sicherheitsüberprüfung einmal jährlich durchgeführt wird. Dieser Grundsatz ist auf das Terrorlistenscreening im Beschäftigungsverhältnis übertragbar. Ein ständiger und dauerhafter Datenabgleich greift regelmäßig unverhältnismäßig in die Persönlichkeitssphäre des Arbeitnehmers ein.[***]
Beschäftigtendatenschutz – Background-Check https://www.adorgasolutions.de/beschaeftigtendatenschutz-background-checks/
Fordern Sie unser Whitepaper an – consulting@adorgasolutions.de.
AdOrga Solutions GmbH – Ihre Datenschutz-Diplomaten.
Fragen? Dann kontaktieren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lösungen für professionellen und fachkundigen Datenschutz.
Autorin:
Regina Mühlich ist Wirtschaftsjuristin und Datenschutzexpertin. Seit über 20 Jahren berät und unterstützt Sie nationale und internationale KMU im Bereich Datenschutz und Compliance – als Beraterin, Compliance Officer und externe Datenschutzbeauftragte.