Schleichende Gefahr, die viele Unternehmen noch nicht einmal wahrgenommen haben: die Sanktionslisten-Prüfung zur Terrorbekämpfung. Obgleich bereits jetzt anwendbares Recht müssen die Unternehmen im Rahmen der Geltung der DS-GVO ihre Ablaufprozesse auch hier anpassen. Die Nichtbeachtung kann hohe Strafen der Verstoß gegen die Sanktionslisten Prüfung sogar Freiheitstrafen nach sich ziehen.
Sanktionslisten Prüfung
Die EU-Verordnungen zur Terrorismusbekämpfung (EG 881/2002 und 2580/2001) schreiben in bestimmten Bereichen die Sanktionslisten Prüfung (sog. Sanktionslisten Screening) von Geschäftskontakten vor. Dazu zählen neben Kunden, Lieferanten und weiteren geschäftskontakten auch Mitarbeiter. In erster Linie (aber nicht ausschließlich!) sind Unternehmen im Bereich Außenhandel betroffen. Die Anwendbarkeit wird durch das BaFa in dem Merkblatt abrufbar: http://www.bafa.de/SharedDocs/Downloads/DE/Aussenwirtschaft/afk_merkblatt_embargomassnahmen_terrorismusbek%C3%A4mpfung.pdf?__blob=publicationFile&v=2 dargestellt. Die Tatsache, dass denen in Anhang I der o.g. Verordnung genannten Personen, Organisationen, Vereinigungen und Unternehmen keine Gelder und wirtschaftlichen Ressourcen zur Verfügung gestellt werden dürfen, führt zur Anwendbarkeit für viele Unternehmen.
Die Prüfung umfasst grundsätzlich alle Geschäftspartner, denen Gelder oder wirtschaftliche Ressourcen bereitgestellt werden.
Darüber hinaus werden Mitarbeiter gescreent, weil Unternehmer der Auffassung sind, diese Prüfung aus Gründen (angeblichen) gesetzlicher Verpflichtung durch die EU-Anti-Terror-Verordnungen, den Anforderungen des Wirtschaftsabkommens Authorized Economic Operator (AEO) oder den Konzerninternen Vorgaben durchführen zu müssen.
Praxishinweis: Der Bundesfinanzhofs hat mit Grundsatzurteil vom 19.06.2012 (Az.: VII R 43/11) festgestellt, dass ein Mitarbeiterscreening zum Zwecke der Terrorismusbekämpfung bei Unternehmen, die sich als „Authorized Economic Operator“ für Sicherheitsthemen (AEO-S bzw. F) zertifizieren lassen wollen, mit den datenschutzrechtlichen Bestimmungen vereinbar ist.
Datenschutz
Die zu screenenden Daten sind zu erheben und zu verarbeiten. Regelmäßig wird eine Prüfung anhand der offiziellen Datenbanken erfolgen und dokumentiert werden müssen. Dementsprechend ist der Datenverarbeitungsprozess im Datenschutzkonzept zu erfassen, wobei der Maßnahmenkatalog innerhalb der HR-Abteilung unbedingt berücksichtigt werden muss. Es gilt somit, den Nachweispflichten nach der DS-GVO aber auch den einschlägigen EU-Richtlienen nachzukommen.
In diesem Zusammenhang bieten viele (Dritt-)Firmen an, einen Monitor für ein anderes Unternehmen zu schalten und durchzuführen.
Praxishinweis: Beachten Sie, dass die (Dritt-)Vergabe eines solchen Screenings Auftragsdatenverarbeitung (künftig nach DS-GVO Auftragsverarbeitung) ist
Gerne berate ich Sie sofort, wenn Sie Ihre Ablaufprozesse anpassen oder Fragen zu Ihren Rechten haben.
Rechtsanwalt Dr. Stephan Schmelzer, Fachanwalt IT-Recht, Fachanwalt Arbeitsrecht, zertifizierter Datenschutzbeauftragter, http://www.dr-schmelzer.com, Ostberg 3, 59229 Ahlen, Tel.: 02382.6646
Alle Beiträge sind nach bestem Wissen zusammengestellt. Eine Haftung für deren Inhalt kann jedoch nicht übernommen werden.