Sanktionslisten-Screening, schon mal gehört? Nicht allen Unternehmen ist bewusst, dass geschäftliche Beziehungen (inkl. Beschäftigungsverhältnisse) mit bestimmten Unternehmen, Personen und Staaten verboten sind. Dieses Verbot trifft jedes Unternehmen, unabhängig von seiner Größe, Form oder Tätigkeit. Doch was sind eigentlich Sanktionslisten und welche datenschutzrechtlichen Vorgaben müssen bei einem Sanktionslisten-Screening beachtet werden? Der folgende Beitrag gibt Ihnen einen ersten Überblick.

Glaskuppel Bundestag

Sanktionslisten basieren auf unterschiedlichen EU-Verordnungen, den sog. Anti-Terror-Verordnungen. Aufgrund der Tatsache, dass EU-Verordnungen immer direkt gegenüber EU-Bürger:innen und -Unternehmen gelten (also im Unterschied zu Richtlinien nicht erst in nationales Recht umgesetzt werden müssen), treffen die hierin geregelten Ge- und Verbote unmittelbar auch deutsche und österreichische Unternehmen. Den Verordnungen beigefügt sind die konkreten Sanktionslisten. Sie enthalten Namen von Personen, Unternehmen und Staaten, gegen die aufgrund von außen- oder sicherheitspolitischen Gründen Sanktionen verhängt wurden. Einige dieser Listen werden nahezu wöchentlich verändert und ergänzt.

Europäischen Unternehmen wird durch die EU-Verordnungen mittelbar durch Verbote auferlegt, Beschäftigtendaten und Geschäftskontakte auf Übereinstimmungen mit den Namen, die auf den Sanktionslisten vermerkt sind, zu überprüfen. Dabei obliegt die Prüfung nicht ausschließlich der Geschäftsführung, sondern muss von allen Abteilungen, in denen Beschäftigten- oder Geschäftspartnerdaten verarbeitet werden, durchgeführt werden. So muss beispielsweise die Buchhaltung darauf achten, ob Zahlungen an einzelne Personen oder Gruppierungen erfolgen, die von einer Sanktionsliste erfasst sind.

In der Vergangenheit hat sich gezeigt, dass die Prüfungen nur mithilfe von Softwarelösungen verlässlich zu bewältigen sind. Dies gilt insbesondere für größere Unternehmen. Diverse Hersteller bieten Softwareprodukte an, mit deren Hilfe sowohl Geschäftspartner:innen als auch die Beschäftigten komfortabel und schnell mit allen in den Sanktionslisten hinterlegten Daten abgeglichen werden können.

Was gilt es zu beachten?

Beim Durchführen des Screenings dürfen jedoch die Vorschriften des Datenschutzes nicht außer Acht gelassen werden, schließlich werden mit den Informationen über Geschäftskontakte bzw. Beschäftigte personenbezogene Daten an die Anbieter der Software zur Prüfung übergeben. Sanktionslisten-Screenings stehen seitens der Aufsichtsbehörden aufgrund ihres Umfangs und der Unklarheit bezüglich der einschlägigen datenschutzrechtlichen Rechtsgrundlage immer wieder erheblich in der Kritik. Teilweise nehmen Aufsichtsbehörden Sanktionslisten-Screenings jedoch hin bzw. halten diese für vertretbar.

Grundsätzlich darf eine Verarbeitung personenbezogener Daten nur erfolgen, wenn eine datenschutzrechtliche Rechtsgrundlage herangezogen werden kann. Welche Norm die Grundlage für Abgleiche von personenbezogenen Daten mit Sanktionslisten bildet, wird derzeit nicht einheitlich beurteilt. Überwiegend wird der Abgleich auf Art. 6 Abs. 1 S.1 lit. c bzw. lit. f DSGVO gestützt. Diskutiert wird insbesondere die Frage, ob sich aus den entsprechenden EU-Verordnungen eine mittelbare rechtliche Verpflichtung gemäß Art. 6 Abs. 1 S.1 lit. c DSGVO für ein Screening ergibt, obwohl es sich bei den EU-Verordnungen um Verbotsnormen handelt, die zumindest ihrem Wortlaut nach keine Maßnahmen rechtfertigen. Anderenfalls bestünde die Möglichkeit den Abgleich auf das berechtigte Interesse gemäß Art. 6 Abs. 1 S.1 lit. f DSGVO zu stützen. Hierbei beruht die Abwägung auf dem Interesse des Unternehmens, die Verbotsnormen einzuhalten und nicht durch die entsprechenden Behörden sanktioniert zu werden und dem Interesse der Betroffenen daran, dass ihre Daten nicht anlasslos mit europäischen Sanktionslisten abgeglichen werden. Gleichzeitig sind die Sanktionslistenabgleiche aus Sicht von Unternehmen jedoch erforderlich, um den in den Verordnungen enthaltenen Verboten nachkommen zu können.

Beim Einsatz von Software zum Abgleich mit Sanktionslisten ist zu beachten, dass der Verantwortliche den Softwareanbieter sorgfältig auswählt, ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen wird und der Softwareanbieter durch das Unternehmen regelmäßig kontrolliert wird. Außerdem ist der datenschutzrechtliche Grundsatz der Datenminimierung zu beachten (Art. 5 Abs. 1 lit. c DSGVO), aus dem sich ergibt, dass nur die zum Sanktionslistenabgleich unbedingt erforderlichen Daten an den Softwareanbieter übermittelt werden. Ebenfalls zu beachten ist, dass die von einem Abgleich betroffenen Personen über die Form und den Umfang der Datenverarbeitung informiert werden müssen. Dies betrifft beispielsweise Bewerber:innen, Beschäftigte und Geschäftskontakte des Unternehmens, sodass die Datenschutzhinweise für die jeweilige Betroffenengruppe anzupassen sind. Datenschutzmanager:innen bzw. interne Datenschutzbeauftragte müssen ferner das Sanktionslisten-Screening im Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DSGVO sorgfältig dokumentieren.

Sonderfall US-amerikanische Sanktionslisten

Besonders risikoreich ist der Abgleich von personenbezogenen Daten mit US-amerikanischen Sanktionslisten. Da europäische Unternehmen nicht der US-amerikanischen Gesetzgebung unterliegen, sind diese nicht zur Durchführung eines solchen Abgleichs verpflichtet. Das Screening kann daher keinesfalls auf eine rechtliche Verpflichtung gemäß Art. 6 Abs. 1 S.1 lit. c DSGVO gestützt werden. Hier besteht das Risiko eines Bußgeldes aufgrund des Fehlens einer wirksamen Rechtsgrundlage. Vereinzelt wird allerdings vertreten, dass durch eine Abwägung im Einzelfall (Abwägung des Interesses des Unternehmens nicht durch ausländische Stellen sanktioniert zu werden und dem Interesse des Betroffenen) ein solcher Abgleich zulässig sein könnte. Entscheidend hierfür sei insbesondere, ob der betroffenen Person im Ausland Möglichkeiten des Rechtsschutzes zur Verfügung stehen, um gegen eine Listung auf einer Sanktionsliste vorzugehen.

Bereitstellungsverbot und Einfriergebot

Was aber tun, wenn eine Übereinstimmung festgestellt wurde? Den auf Sanktionslisten genannten Personen, Unternehmen oder Staaten dürfen keine Gelder oder wirtschaftliche Ressourcen zur Verfügung gestellt werden (sog. Bereitstellungsverbot). Dabei sind mit wirtschaftlichen Ressourcen nicht nur körperliche Gegenstände, sondern alle Rechtsobjekte gemeint, die einen Warenwert verkörpern und veräußert werden können, beispielsweise auch Datensammlungen oder Rechte an Waren. Den gelisteten Beschäftigten darf somit kein Gehalt mehr gezahlt und zu einem Geschäftspartner, dessen Namen sich auf einer Sanktionsliste wiederfindet, müssen die Geschäftsbeziehungen abgebrochen werden, ihm darf keine Dienstleistung vergütet und keine Ware geliefert werden. Finanzunternehmen sind überdies angewiesen, Gelder von gelisteten Personen und Unternehmen einzufrieren (sog. Einfriergebot).

Verstößt ein Unternehmen gegen das Bereitstellungsverbot bzw. das Einfriergebot, drohen dem verstoßenden Unternehmen Geldbußen bis zu zehn Millionen Euro und den für das Unternehmen handelnden Personen Freiheitsstrafen von 6 Monaten bis zu fünf Jahren. Rechtsgrundlagen sind die § 34 IV Nr. 2 AWG, § 130 OWiG und § 30 I OWiG. Zudem ist nach § 35 GewO eine Gewerbeuntersagung wegen Unzuverlässigkeit möglich.

Fazit

Das Screening von Sanktionslisten stellt gerade aufgrund der Tatsache, dass sowohl ein Verstoß gegen die Anti-Terror-Verordnungen als auch gegen die DSGVO mit hohen Bußgeldern bewährt ist, ein besonders risikoreiches Spannungsfeld für Unternehmen dar. Um Bußgelder zu vermeiden, sollten Unternehmen den Abgleich von Sanktionslisten umfassend prüfen. Aufgrund des „mehrfachen Bußgeldrisikos“ (fehlender Abgleich mit Sanktionslisten und datenschutzrechtlich unzulässige Verarbeitung) sind bei dieser Verarbeitung personenbezogener Daten die datenschutzrechtlichen Grundsätze besonders konsequent zu beachten und die Dokumentationspflichten sorgfältig einzuhalten. Eine abschließende Lösung der Problematik zu finden, obliegt jedoch dem europäischen Gesetzgeber.

Dr. Stella Andersen ist Rechtsanwältin für Datenschutz, Compliance und Wettbewerbsrecht und zertifizierte Datenschutzbeauftragte. Als Senior Legal Consultant berät sie Unternehmen bei der Umsetzung der DSGVO.

Carl Michaelis ist IT-Jurist (LL.B.), zertifizierter Datenschutzbeauftragter und Legal Consultant bei der Datenschutzkanzlei.