Datenchutz für Exportunternehmen

Oder: Wie mangelnde Bestimmtheit von Rechtsvorschriften Unternehmen vor Probleme stellt Im Rahmen der sog. Terrorbekämpfung werden exportierenden Unternehmen diverse Auflagen im Rahmen der Terrorbekämpfung aufgebürdet. Hierbei sind verschiedene „Vereinfachungen“ möglich, wie z. B. die Anerkennungen als „zugelassener Wirtschaftsbeteiligter“ oder als „bekannter Versender“. Unternehmen, die diesen Status erhalten möchten, müssen besondere Anforderungen erfüllen. Als „zugelassener Wirtschaftsbeteiligter“ wird beispielsweise die jährliche Durchführung eines Abgleichs der Personaldaten mit den sog. Terrorlisten der Vereinten Nationen verlangt. Personenbezogene Daten dürfen aber nur dann verarbeitet werden, wenn eine „Rechtsvorschrift dies erlaubt oder anordnet“. Dies stellt viele Unternehmen nun vor rechtliche Probleme, da die Voraussetzungen und Anforderungen nicht gesetzlich, sondern vielmehr nur in Dienstvorschriften des BMF bzw. eher unpräzisen EU-Verordnungen geregelt sind. Somit liegt zunächst keine ausreichende rechtliche Legitimierung eines Datenabgleichs vor, so dass dies einen datenschutzrechtlichen Verstoß für die Unternehmen bedeuten könnte. Diejenigen Unternehmen, die sich nicht zertifizieren lassen, werden sich aber auf intensivere Kontrollen durch die Zollverwaltung einstellen müssen, so dass natürlich – trotz datenschutzrechtlicher Bedenken – die Motivation steigt, eine solche Zulassung zu erhalten. Der Bundesfinanzhof hat nun eine rechtliche Klarstellung herbeigeführt, die die Politik in der Form bislang noch nicht geschafft hatte. So sind berechtigte Interessen des Unternehmens gemäß § 28 Absatz 1 Nr. 2 BDSG erkennbar. Das Verfahren des Abgleichs ist solange unproblematisch, sofern es nicht zu Falschmeldungen kommt. Hierbei können schutzwürdige Interessen des Mitarbeiters überwiegen, so dass der Umgang mit entsprechenden Funden für die Beachtung der Persönlichkeitsrechte entscheidend ist. Der Abgleich der Mitarbeiterstammdaten Name, Anschrift, Geburtstag und Geburtsort mit den Terrorlisten ist demnach in zulässiger Art und Weise möglich. Weitere Angaben – wie z. B. Lebenslauf oder Straffreiheitserklärung – sind jedoch für die Durchführung der Sicherheitsüberprüfung nicht erforderlich und damit nicht zu überprüfen. Da die Daten beim Arbeitgeber ohnehin vorliegen, sollte der Abgleich aus Gründen der Datensparsamkeit zudem „intern“ erfolgen. Die Zollbehörde selbst erhält nur das Ergebnis des Abgleichs und keine personenbezogenen Daten der Mitarbeiter, so dass keine weiteren Datenschutz-Probleme drohen. Empfehlenswert ist, die Einzelheiten des Verfahrens im Rahmen einer Betriebsvereinbarung zu regeln und sie den Mitarbeitern somit transparent zu machen. In einer Betriebsvereinbarung oder Dienstanweisung sind ferner gemeinsam mit dem Datenschutzbeauftragten verbindliche Verfahren zu definieren, wie mit Übereinstimmungen zwischen Mitarbeiter- und Antiterrorlisten umgegangen werden soll. Denn gerade durch eine Falschmeldung können massive Verletzungen des Persönlichkeitsrechts entstehen, die bis hin zu Schadensersatzforderungen führen können.