< Schon gewusst?
29.07.2014 11:01 Kategorie: Aktuelles DE

Datenschutz beim Export

Embargo- vs. Datenschutzverstoß: Kein Export ohne Gesetzesverstoß?


Durch EU-Verordnungen zur Terrorismusbekämpfung sind alle Unternehmen zu Prüfmaßnahmen verpflichtet, damit verbotene Geschäftskontakte erkannt und verhindert werden können. Ein Verstoß gegen die EG-Antiterrorismusverordnung wird hierbei als Embargoverstoß gemäß Außenwirtschaftsgesetz (AWG) mit der Strafandrohung von mindestens zwei Jahren Freiheitsstrafe bewertet. Ferner droht eine Umsatzabschöpfung. Dem gegenüber stehen Bußgelder aufgrund von Datenschutzverstößen gemäß Bundesdatenschutzgesetz (BDSG). Diese widerstreitenden Gesetzesanforderungen sind ein Dilemma für viele deutsche Unternehmen.

Im Zusammenhang mit dem Verfahren zur Erlangung des AEO-Status [zollrechtlicher Status eines zugelassenen Wirtschaftsbeteiligten („Authorised Economic Operator“)] ist regelmäßig ein Abgleich der Kunden-, Lieferanten- und Mitarbeiterdaten mit sog. Anti-Terrorlisten vorzunehmen. Hierbei sind dann personenbezogene Daten zu verarbeiten, so dass der Datenschutz zu betrachten ist. Eine personenbezogene Datenverarbeitung ist aber ausschließlich auf Basis einer Rechtsgrundlage zulässig.

Die EU-Verordnungen und das AWG sind laut Datenschutz-Aufsichtsbehörden aber zu unspezifisch, als dass sie als Rechtsgrundlage herangezogen werden können. So sei diesen Normen nicht zu entnehmen, dass dazu ein Datenabgleich mit den Anti-Terrorlisten zwingend erforderlich ist.

Des Weiteren ist eine Datenverarbeitung auch dann zulässig, soweit sie zur Wahrung berechtigter Interessen des Unternehmens erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. Eine Datenverarbeitung erfolgt dann zur Wahrung berechtigter Interessen, wenn sie zur Erreichung der Geschäftszwecke der verantwortlichen Stelle im weitesten Sinne erforderlich ist. Hierunter fallen auch wirtschaftliche Interessen, die zur Optimierung der satzungsgemäßen Institutionsgegenstands dienen, wie z. B. Verbesserung des Betriebsergebnisses oder Verringerung der Kosten (z. B. Aufwand bei Zollkontrollen). Diese Interessen scheinen demnach vorzuliegen.

Die Datenverarbeitung ist aber dann nicht zulässig, wenn das schutzwürdige Interesse der Betroffenen die berechtigten Interessen der verantwortlichen Stelle überwiegt. Nicht nur allgemein, sondern auch in diesem konkreten Fall geben die Datenschutz-Aufsichtsbehörden den schutzwürdigen Interessen ein hohes Gewicht. Dieser Vorrang der schutzwürdigen Interessen der Betroffenen ist in diesem Fall diskutabel. Insbesondere wenn Mitarbeiterdaten hier geprüft werden sollten, kann dies problematisch werden. Gerade dann, wenn sich ein Fund als falsch herausstellt (z. B. Namensgleichheit), können die Persönlichkeitsrechte des Betroffenen massiv beeinträchtigt werden.

Das Verfahren ist solange unproblematisch, wie es nicht zu Meldungen – insbesondere Falschmeldungen – kommt. Denn neben der Gefahr des „Nicht-Entdeckens“ von Personen (Verstoß gegen das AWG), die auf den besagten Listen stehen, liegt datenschutzrechtlich dann ein Problem vor, wenn Personen z. B. aufgrund einer Namensgleichheit unberechtigt verdächtigt werden (möglicher Verstoß gegen das BDSG).

Hierbei ist insbesondere der Umgang mit entsprechenden Funden entscheidend. So sollten zwingend interne Regelungen, Verfahren und Prozesse etabliert werden, wie mit dem Datenabgleich und insbesondere mit „Treffern“ umgegangen wird. Ein diskretes Vorgehen mit einer sehr (!) restriktiven Anzahl an Beteiligten sowie eine Verifizierung der Meldung sind daher dringend zu empfehlen. Dies zeigt einmal mehr, dass das Erreichen von Compliance, also die Ordnungsmäßigkeit, nicht nur vielschichtig ist, sondern auch widerstreitende Rechtsnormen beachtet werden. Somit sollte nicht nur der Export-, sondern auch der Datenschutzbeauftragte einbezogen werden, um alle rechtlichen Anforderungen im Unternehmen angemessen Rechnung zu tragen.