DS-GVO widerspricht EU-Embargoverordnungen: Risiko für Unternehmen
Sanktionslisten

DS-GVO widerspricht EU-Embargoverordnungen: Risiko für Unternehmen

Im Mail tritt die DS-GVO in Kraft. Die Regelungen widersprechen jedoch den EU-Embargoverordnungen - und für Verstösse drohen jeweils empfindliche Strafen.

Dass die Themen Datenschutz und Sanktionslistenscreening in einem Spannungsfeld zueinander stehen, ist nicht neu. Bereits in den vergangenen Jahren wurde dieses Thema immer wieder kontrovers diskutiert. Durch die neue Datenschutz-Grundverordnung (DS-GVO) der EU tritt das Sanktionslistenscreening jedoch wieder vor allem in den Fokus der Datenschützer. Das sorgt in den Unternehmen für Unsicherheit: Schliesslich hat die DS-GVO die Sanktionen für Verstösse gegen die Datenschutz-Vorschriften deutlich verschärft.

Verstösse gegen EU-Embargoverordnungen sind strafbar

Unter dem Begriff des Sanktionslistenscreenings versteht man mit Blick auf das EU-Recht, die Prüfung der Bereitstellungsverbote, die in den Embargoverordnungen der EU geregelt sind. Bereitstellungsverbote sind umfassende Finanzsanktionen gegen die in den Anhängen der EU-Embargoverordnungen gelisteten Personen, Unternehmen und Organisationen. EU-Embargoverordnungen sind in den EU-Mitgliedsstaaten unmittelbar geltendes Recht. Vorsätzliche Verstösse gegen diese Verordnungen werden in Deutschland nach den §§ 17 ff Aussenwirtschaftsgesetz (AWG) als Embargobruch bestraft.

Problematisch am Regelungsinhalt der Bereitstellungsverbote ist, dass gegenüber den Wirtschaftsbeteiligten keine Rechtspflicht zum Handeln, sondern ein Verbot ausgesprochen wird. Offen lässt der Gesetzgeber, wie die Einhaltung dieses Verbots in den Unternehmen sichergestellt werden soll.

IT-gestützte Sanktionslistenprüfung ist das einzig praktikable Mittel

Als einziges probates Mittel hat sich in den vergangenen Jahren jedoch die softwareunterstützte Prüfung der Sanktionslisten herausgestellt. Mithilfe einer Software können sowohl die Geschäftspartner als auch die Mitarbeiter einfach und sicher gegen alle in der Software hinterlegten Listen geprüft werden. An dieser Stelle greift nun der Datenschutz ein, schliesslich müssen mit dem Vor- und Nachnamen des Geschäftskontakts bzw. Mitarbeiters personenbezogene Daten an die Software zur Prüfung übergeben werden.

Nach dem Datenschutzrecht unterliegt die Verarbeitung personenbezogener Daten einem Verbot mit Erlaubnisvorbehalt. Im Sanktionslistenscreening ist folglich nur dann kein Verstoss gegen das Datenschutzrecht zu sehen, wenn es dafür eine ausreichende datenschutzrechtliche Ermächtigungsgrundlage gibt. War man sich bislang uneins, ob der § 28 oder §32 BDSG als Ermächtigungsgrundlage herangezogen werden kann, wird man mit Inkrafttreten der neuen DS-GVO am 25. Mai 2018 diese Frage nach Art. 6 DS-GVO beantworten müssen

Datenschutzrechtliche Rechtfertigung ist juristisch wackelig

Art. 6 der DS-GVO nennt sechs Bedingungen, die die Verarbeitung der personenbezogenen Daten rechtfertigen können. Betrachtet man die genannten Bedingungen genauer, wird auch künftig eine datenschutzrechtliche Rechtfertigung des Sanktionslistenscreenings allein aus den Embargoverordnungen der EU nicht möglich sein. Durch die Formulierung der Embargoverordnungen als Verbote, fehlt ihnen die erforderliche Zweckbestimmung für die Datenverarbeitung. Vor diesem Hintergrund werden die Diskussionen um die Konformität des Sanktionslistenscreenings mit dem Datenschutz auch nach dem 25. Mai 2018 weitergehen, mit ganz ähnlichen Argumenten wie bisher.

Lösen liesse sich das Problem auf politischer Ebene – beispielsweise durch eine Anpassung der EU-Embargoverordnung. Auf Unternehmensebene sollten sich Compliance- und Datenschutzverantwortliche zu einer gemeinsamen Risikoabschätzung zusammensetzen und gegebenenfalls einen Rechtsberater hinzuziehen.