EU-Verordnung 881/2002
Die EU hat mit der Verordnung 881/2002 vom 27. Mai 2002 die Anwendung bestimmter spezifischer restriktiver Maßnahmen gegen bestimmte Personen und Organisationen, die mit Osama bin Laden, dem Al-Qaida-Netzwerk und den Taliban in Verbindung stehen beschlossen. Zu diesen Maßnahmen gehört,
Den vom Sanktionsausschuss benannten und in Anhang I aufgeführten natürlichen oder juristischen Personen, Gruppen oder Organisationen dürfen Gelder weder direkt noch indirekt zur Verfügung gestellt werden oder zugute kommen.
(Verordnung 881/2002, Artikel 2, Absatz 2)
Wie man im Merkblatt des Bundesamtes für Wirtschaft und Ausfuhrkontrolle nachlesen kann, beinhaltet dies auch die Auszahlung von Lohn an Mitarbeiter. Der Verstoß wird nach §34 AWG mit bis zu 5 Jahren Haft bestraft; bereits ein fahrlässiger Verstoß ist strafbar. Eine Möglichkeit, den Forderungen der EU zu entsprechen wäre es, alle Mitarbeiter monatlich vor der Auszahlung des Lohns mit der aktuellen Liste der sanktionierten Personen abzugleichen. Entsprechende Software wird angeboten. Die Frage ist nur, ist das notwendig und zulässig.
Notwendigkeit
Ist ein Screening aller Mitarbeiter notwendig? Die Verordnung fordert dies nicht. Das Bundesamt schreibt in seinem Merkblatt (S.9/11):
Die EG-Verordnungen zur Bekämpfung des Terrorismus lassen die Frage offen, wie sichergestellt wird, dass gelisteten Personen keine Gelder oder wirtschaftlichen Ressourcen zur Verfügung gestellt werden.
Insbesondere im Hinblick auf die unternehmensinterne Umsetzung der Pflicht zur Einhaltung der Verbote
lassen sich daher keine allgemeingültigen Aussagen treffen. Vielmehr ist dies im Interesse der spezifischen
Unternehmenssituation, die flexible Lösungen erfordert, von der Ausgestaltung der betriebsinternen Abläufe
des jeweiligen Unternehmens abhängig. Unabhängig von der individuellen Situation des einzelnen
Unternehmens ist jedoch zu beachten, dass die Namenslisten regelmäßig aktualisiert werden.
Es bleibt also jedem Unternehmen überlassen, wie es die Einhaltung der Verordnung sicherstellt. Aber ein Screening wäre natürlich eine mögliche Lösung.
Zulässigkeit
Es bleibt also die Frage, ob ein Screening, also der Abgleich aller Mitarbeiter mit der Anti-Terrorliste, rechtlich zulässig wäre. Die Verordnung ist zwar unmittelbar anzuwenden, enthält aber, wie oben gezeigt, keine Anordnung zu Durchführung eines Screenings.
Dann ist das BDSG zu berücksichtigen.
Dazu gibt es einen Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich. Der relevante Auszug daraus:
Nach § 4 Abs. 1 BDSG sind die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Zwar kann § 28 Abs. 1 BDSG eine Rechtsgrundlage im Sinne des BDSG sein, diese Vorschrift kann jedoch für ein Screening nicht herangezogen werden. Der Abgleich mit den Listen dient nicht dem Vertragsverhältnis. Eine Abwägung der Unternehmens- und Betroffeneninteressen führt zu überwiegenden schutzwürdigen Interessen der Betroffenen. Dies gilt insbesondere vor dem Hintergrund, dass die Rechtsstaatlichkeit des Zustandekommens der Listen nachvollziehbar und gesichert sein muss, sowie Rechtsschutzmöglichkeiten bestehen müssen. Angesichts der fehlenden Freiwilligkeit einer solchen Erklärung im Arbeitsverhältnis kann auch das Vorliegen einer Einwilligung eine konkrete Rechtsgrundlage nicht ersetzen.
Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich stellen daher fest, dass im Geltungsbereich des Bundesdatenschutzgesetzes lediglich solche Listen verwendet werden dürfen, für die eine spezielle Rechtsgrundlage im Sinne des § 4 Abs. 1 BDSG vorliegt.
Hier haben die zuständigen Datenschutzbeauftragten der Länder also klar festgestellt, dass ein Mitarbeiterscreening auf der Grundlage der Verordnung 881/2002 in Deutschland nicht zulässig ist.
Weiterhin kann man noch
§32 Absatz 1, Satz 2 betrachten:
Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.
Das dürfte schwierig anzuwenden sein. Zum einen müsste die Tatsache, dass eine Person auf der Anti-Terrorliste der EU steht eine Straftat sein, dann müsste es auch noch eine Straftat im Beschäftigungsverhältnis sein und zuletzt müssten bereits tatsächliche Anhaltspunkte für den Verdacht vorliegen. Der massenhafte Abgleich aller Mitarbeiter ist da nicht zu rechtfertigen.
Das BDSG erlaubt die Nutzung der Mitarbeiterdaten also nicht und hält für Verstöße eigene Bußgelder bereit.
Es sei an die Rasterfahndung der Bahn zur Korruptionsbekämpfung erinnert. Auch dort wurden massenhaft Mitarbeiterdaten verarbeitet um Straftaten festzustellen. Dies war unzulässig. Die Bahn hat vor einigen Tagen ein Bußgeld über 1,12 Millionen Euro akzeptiert.
Das Bundesamt für Wirtschaft und Ausfuhrkontrolle nennt im Merkblatt die Rechtsfolge nach §34 AWG. Es handelt sich also um das Außenwirtschaftsgesetz. AWG §1 Absatz 1:
Der Waren-, Dienstleistungs-, Kapital-, Zahlungs- und sonstige Wirtschaftsverkehr mit fremden Wirtschaftsgebieten sowie der Verkehr mit Auslandswerten und Gold zwischen Gebietsansässigen (Außenwirtschaftsverkehr) ist grundsätzlich frei. Er unterliegt den Einschränkungen, die dieses Gesetz enthält oder die durch Rechtsverordnung auf Grund dieses Gesetzes vorgeschrieben werden.
Auch wenn also die Rechtsfolge für Verstöße hier festgelegt wird. Eine Rechtsgrundlage für das Mitarbeiterscreening werden wir im AWG nicht finden.
Zuletzt sollte man auch das Rechtsstaatsprinzip nicht vergessen. Meiner Meinung nach darf man in Deutschland davon ausgehen, dass ein namentlich bekannter Terrorist nicht unter diesem Namen eine Anstellung bei einem Unternehmen suchen wird. Vielmehr ist zu erwarten, dass er entsprechend seiner Taten verurteilt wird und in Haft sitzt.
Wenn er nicht unter dem bekannten Namen tätig ist, kann man ihn auch mit der Screeningmaßnahme nicht auffinden. Wenn die Beweise gegen die Person nicht für eine Verurteilung ausreichen, scheint seine Eintragung in der Anti-Terrorliste ebenfalls nicht rechtmäßig zu sein. Schließlich kommen die Maßnahmen, die aus der Eintragung folgen, einer Bestrafung gleich. Und ohne Beweise und Urteil gibt es keine Strafe. Das es unzulässige Eintragungen auf der Anti-Terrorliste gibt, geht aus zwei Urteilen Des EuGH hervor.
EuGH-Urteil
Der EuGH hat bereits in zwei Verfahren die Anwendung der Verordnung 881/2002 für nichtig erklärt. Der EuGH kritisierte, dass das prozedurale Grundrecht der Kläger auf effektiven Rechtsschutz nicht gewahrt worden sei. Allerdings hat das Gericht die Urteile auf die beiden verhandelten Fälle beschränkt. Es fehlt also ein Grundsatzurteil. Dennoch ein starkes Argument gegen das Screening.
Zusammenfassung
Die Verordnung 881/2002 fordert nicht zwingend ein Screening der Mitarbeiter. Eine Rechtsgrundlage für ein solches Screening ist nicht vorhanden. Eine Abgleich aller Mitarbeiter mit der Anti-Terrorliste ist also unzulässig.
Disclaimer
Ich bin kein Jurist, daher ist der Text mit Vorsicht zu genießen. Aber da zumindest auch die Datenschutzbeauftragten der Länder zum gleichen Ergebnis gekommen sind, kann ich nicht ganz falsch liegen.
Update 06.06.2010:
Ich bin auf ein Schreiben des Bundesministerium für Wirtschaft und Technologie gestoßen, in dem dieses eine Screening-Pflicht verneint.
Aus den Verordnungen (…) folgt keine rechtliche Verpflichtung der Unternehmen, die Daten ihrer Kunden und Mitarbeiter systematisch und anlassunabhängig gegen die Sanktionsliste zu prüfen.
Veröffentlicht von vsnfd 
Verschlusssache 