Der gemeine Datenschützer – so nennt man das feierlich – steht häufig vor der Herausforderung, „sein Revier“ gegen unbefugte Eindringlinge zu verteidigen. Tagtäglich gilt es die Anforderungen aus anderen Geschäftsbereichen einzubeziehen und gegen die eigenen Empfehlungen abzuwägen: Es entstünde sonst ein gewaltiger Aufwand, zu hohe Kosten, und überhaupt sei das doch alles etwas zu viel des Guten und würde den Betrieb nur ausbremsen.
Und nicht erst seitdem unser Haus selbst Beratungsleistungen zum Thema Compliance anbietet, ist uns bewusst, dass sich auch aus dieser Richtung mit dem Datenschutz ins Gehege kommen lässt. Dies soll anhand eines Beispiels zur Prüfung von Kunden (oder Lieferanten) gegen Sanktionslisten (auch „Terrorlisten“ genannt) verdeutlicht werden.
Zum Abhaken: Ein Vorgeplänkel
Im Datenschutzrecht gilt zunächst der Grundsatz der Rechtmäßigkeit in Form eines generellen Verbots mit Erlaubnisvorbehalt. Das bedeutet, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist, es sei denn,
- sie wird durch eine Rechtsvorschrift erlaubt bzw. angeordnet oder
- die betroffene Person hat vorab ihre Einwilligung in die Datenverarbeitung erteilt;
so sieht es Art. 6 Abs. 1 DSGVO vor. Eine Rechtsvorschrift, die den o. g. Erfordernissen genügt, muss immer eine europäische oder – soweit Öffnungsklauseln in der DSGVO es gestatten – eine nationale Vorschrift des jeweiligen EU-Mitgliedsstaats sein.
Zum Warmwerden: Fachliches Allerlei
Zur Bekämpfung des internationalen Terrorismus hat die Europäische Union in mehreren Verordnungen personen- und güterbezogene Sanktionen erlassen und führt entsprechende Sanktionslisten. Die Verordnungen beinhalten jeweils ein Bereitstellungsverbot wirtschaftlicher Ressourcen an die in den Listen aufgeführten natürlichen und juristischen Personen, Körperschaften und Vereinigungen.
Die besagten Verordnungen geben selbst – ohne hier allzu tief ins Detail gehen zu wollen – keine weiteren konkreten Vorgaben an die Hand, die den Ablauf solcher Prüfungen genauer beschreiben. Deshalb ist jeder Verantwortliche gehalten, interne Anweisungen oder Richtlinien aufzustellen, die den Abgleich von Kundendaten mit Embargo- und Sanktionslisten im Rahmen der Geschäftsbeziehung regeln. Ein solches Prozedere könnte etwa wie folgt aussehen:
Um die Identität des Kunden zu klären, werden in der Regel der Name bzw. die Firma des Kunden, die Anschrift sowie der Wohnsitz bzw. das Sitzland als Informationen benötigt. Spezifische Unterlagen oder weitere Legitimationspapiere sind zunächst nicht erforderlich. Die Prüfung, ob betroffene Personen auf Seiten des Kunden auf einer der Sanktionslisten verzeichnet sind, hat vor Begründung der Geschäftsbeziehung zu erfolgen. Falls diese (erste) Prüfung ergibt, dass ein Eintrag auf einer Sanktions- oder Embargoliste vorliegt, darf der Vertrag grundsätzlich nicht geschlossen werden. Wenn die vorliegenden Informationen nicht ausreichen, um das Geschäft zu begründen, ist anhand weiterer Unterlagen abzuklären, dass der Kunde mit dem Eintrag auf der Sanktions- oder Embargoliste nicht übereinstimmt; erst dann darf die jeweilige Geschäftsbeziehung eingegangen werden.
Wichtig ist also vor allem die Dokumentation des Prozesses. Diese sollte vor allem beinhalten,
- wann (zu welchem Zeitpunkt oder Anlass bzw. in welchem Turnus),
- von wem (welche Personen gescreent werden),
- durch wen (welche involvierten Abteilungen/Personen)
- warum (aufgrund welcher finanzieller bzw. rechtlicher Erwägungen)
ein Abgleich vorgenommen wird.
Zum Aufkochen: Globale Zwänge
Für eine geschäftliche Tätigkeit ausschließlich im EU-Raum mögen diese Voraussetzungen praktikabel zu erfüllen sein. Wenn aber ein Unternehmen auch global agiert – sei es durch Kunden „in aller Herren Länder“ oder durch den Einsatz von Dienstleistern verteilt über den Globus – dann gibt es zusätzliche Hürden zu überwinden. Möchte ein solcher Betrieb von möglichen Sanktionen verschont bleiben, wird wiederum die Prüfung von ergänzenden Listen aus den jeweiligen Drittländern gefordert.
Dabei geht es datenschutzrechtlich weniger um die Frage, ob Daten zur Prüfung ggf. an eine dritte Stelle fließen (also das eigene Haus verlassen), sondern vielmehr um den rechtlichen Ursprung der Listen, gegen die geprüft wird (also ob auf einer EU-Regelung oder auf US-Gesetzen basierend). Eine US-amerikanische Regelung zum Beispiel, nach der also bestimmte (US-)Listen für die Prüfung heranzuziehen sind, stellt für eine Tätigkeit im EU-Raum zunächst keine Erlaubnisvorschrift (siehe oben das „Vorgeplänkel“) dar.
Folglich gilt es zwischen den europäischen und außer-europäischen Listen zu unterscheiden: Der Abgleich z. B. mit US-amerikanischen Terrorlisten – auch und insbesondere nach dem sogenannten Patriot Act – ist datenschutzrechtlich als unzulässig zu bewerten. Es mangelt bereits an einer tauglichen Rechtsgrundlage, denn US-Gesetze entfalten in der EU (und in Deutschland) keine unmittelbare Wirkung.
Ist man Bestandteil eines Konzerns wird es noch spannender. Dann nämlich ist dieser für die Umsetzung gruppenweiter Pflichten zur Einhaltung der vorgenannten Grundsätze verantwortlich und muss einheitliche interne Sicherungsmaßnahmen aufstellen. Wenn es für die Listenabgleiche eine „Vorgabe“ bzw. Marschroute des Konzerns gibt, ist das folglich ein Aspekt, der für das einzelne untergeordnete Unternehmen berücksichtigt werden kann, und zwar vor allem im Rahmen einer Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO. Das betrifft zunächst die grundlegende Verfahrensweise und die Frage, ob überhaupt ein Abgleich durchgeführt wird.
Zum Abschöpfen: Anforderungen aus Spezialgesetzen
Eine generell geltende (gesetzliche) Pflicht für Unternehmen in Deutschland, alle Kunden- oder auch Mitarbeiternamen anlass- und pausenlos mit sog. „Terrorlisten“ abzugleichen (bzw. zu screenen), ist schwer begründbar. Ob sich diese entweder den maßgeblichen EU-Verordnungen zur Terrorismusbekämpfung oder dem deutschen Außenwirtschaftsgesetz entnehmen lässt, ist überdies umstritten. Teilweise lassen sich Anforderungen daneben aus nationalen Regelungen der Mitgliedsstaaten ableiten (siehe wiederum oben das „Vorgeplänkel“). Soweit es dabei um Prüfmaßnahmen nach dem Geldwäschegesetzt (GwG) geht, gilt es zunächst einmal zu beachten, dass diese unterschiedlich intensiv vorgenommen werden können, je nach dem, um wen es als Verpflichteten geht: So muss eine Bank oder ein Finanzierungsdienstleister tiefergreifende Maßnahme ergreifen als „nur“ ein Güterhändler oder gar ein produzierendes Unternehmen.
Wenn das GwG bestimmte Maßnahmen bzw. Verarbeitungen vorschreibt, so sind diese gerechtfertigt gemäß Art. 6 Abs. 1 lit. c DSGVO. Alles, was aber darüber hinaus geht, verletzt den Grundsatz der Datenminimierung (vgl. Art. 5 Abs. 1 lit. c DSGVO) und ist daher unzulässig. So schreibt das GwG denn auch keine starren, sondern insgesamt „angemessene Maßnahmen für die Überprüfung der Identität“ einer Person vor.
Zum Auftischen: Eine Handlungsempfehlung
Ein Abgleich nach den entsprechenden EU-Verordnungen kann zulässig sein, wenn folgende Aspekte beachtet werden:
- Führen Sie den Datenabgleich nicht pauschal und anlasslos durch.
- Erneuern Sie den Abgleich nach der erstmaligen Durchführung nur in jährlichen Abständen. Lediglich im Einzelfall und unter Berücksichtigung der Art und Anzahl der Geschäfte mit dem jeweiligen Kunden kann eine Prüfung in kürzeren Abständen angezeigt sein.
- Die betroffenen Personen sollten über die Abgleiche informiert werden.
- Beschränken Sie den Zugriff auf die Listen der (zu überprüfenden) Personen sowie die Ergebnisse des Listen-Datenabgleichs auf einen eng definierten Personenkreis.
- Sofern die Überprüfung der Datensätze durch einen externen Dienstleister erfolgt, muss dies durch einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO abgesichert sein.
Zum Abräumen: Ein vorläufiges Fazit
Der Umgang mit Compliance-Anforderungen kann deutliches Konfliktpotenzial gegenüber dem Datenschutz zu Tage fördern. So ist die Prüfung von Kunden (oder auch Lieferanten) gegen sog. Sanktionslisten zur Geldwäscheprävention und Terrorbekämpfung ein kleines „heißes Eisen“. Schließlich geht es nicht nur darum, wie mit einzelnen Treffern umgegangen wird – wenn also eine Person (auch nur vermeintlich) auf der Liste identifiziert wurde – sondern auch und gerade um die Frage, wie der vorgelagerte Schritt um die Auswahl eines passenden Prozesses erfolgt. Denn schon für das reine „Anfassen“ der Daten, und um sie überhaupt dem Abgleich zuzuführen, ist eine spezielle Erlaubnis vonnöten.
Die (aktuell) überwiegende Auffassung geht aber davon aus, dass aufgrund der drohenden erheblichen Strafen bei einem Verstoß gegen die Verordnung den Unternehmen das Recht zusteht, einen Terrorlistenabgleich vorzunehmen. Essentiell dabei ist aber, dass bestimmte Voraussetzungen eingehalten werden und insbesondere kein anlassloses Massen-Screening stattfindet. Eine saubere Dokumentation des gesamten Prozesses ist hier das A und O, wobei man über die einzelne Rechtsgrundlage (entweder aufgrund gesetzlicher Verpflichtung nach Art. 6 Abs. 1 lit. c DSGVO oder im Rahmen der Wahrnehmung berechtigter Interessen nach Art. 6 Abs. 1 lit. f DSGVO) letztlich streiten kann.