Sanktionslisten

Spannungsfeld zwischen Sanktionslisten-Screening und DS-GVO

Die ab Mai geltende DS-GVO droht für Datenschutz-Verstöße empfindliche Strafen an. Gleiches gilt für Verstöße gegen die EU-Embargoverordnungen. Für die Unternehmen bedeutet das ein Risiko, denn die Vorschriften widersprechen einander.

Dass die Themen Datenschutz und Sanktionslistenscreening in einem Spannungsfeld zueinander stehen, ist nicht neu. Bereits in den vergangenen Jahren wurde dieses Thema immer wieder kontrovers diskutiert. Durch die neue Datenschutz-Grundverordnung (DS-GVO) der EU tritt das Sanktionslistenscreening jedoch wieder vor allem in den Fokus der Datenschützer. Das sorgt in den Unternehmen für Unsicherheit: Schließlich hat die DS-GVO die Sanktionen für Verstöße gegen die Datenschutz-Vorschriften deutlich verschärft.

Verstöße gegen EU-Embargoverordnungen sind strafbar

Unter dem Begriff des Sanktionslistenscreenings versteht man mit Blick auf das EU-Recht, die Prüfung der Bereitstellungsverbote, die in den Embargoverordnungen der EU geregelt sind. Bereitstellungsverbote sind umfassende Finanzsanktionen gegen die in den Anhängen der EU-Embargoverordnungen gelisteten Personen, Unternehmen und Organisationen. EU-Embargoverordnungen sind in den EU-Mitgliedsstaaten unmittelbar geltendes Recht. Vorsätzliche Verstöße gegen diese Verordnungen werden in Deutschland nach den §§ 17 ff Außenwirtschaftsgesetz (AWG) als Embargobruch bestraft.

Problematisch am Regelungsinhalt der Bereitstellungsverbote ist, dass gegenüber den Wirtschaftsbeteiligten keine Rechtspflicht zum Handeln, sondern ein Verbot ausgesprochen wird. Offen lässt der Gesetzgeber, wie die Einhaltung dieses Verbots in den Unternehmen sichergestellt werden soll.

IT-gestützte Sanktionslistenprüfung ist das einzig praktikable Mittel

Als einziges probates Mittel hat sich in den vergangenen Jahren jedoch die softwareunterstützte Prüfung der Sanktionslisten herausgestellt. Mithilfe einer Software können sowohl die Geschäftspartner als auch die Mitarbeiter einfach und sicher gegen alle in der Software hinterlegten Listen geprüft werden. An dieser Stelle greift nun der Datenschutz ein, schließlich müssen mit dem Vor- und Nachnamen des Geschäftskontakts bzw. Mitarbeiters personenbezogene Daten an die Software zur Prüfung übergeben werden.

Nach dem Datenschutzrecht unterliegt die Verarbeitung personenbezogener Daten einem Verbot mit Erlaubnisvorbehalt. Im Sanktionslistenscreening ist folglich nur dann kein Verstoß gegen das Datenschutzrecht zu sehen, wenn es dafür eine ausreichende datenschutzrechtliche Ermächtigungsgrundlage gibt. War man sich bislang uneins, ob der § 28 oder §32 BDSG als Ermächtigungsgrundlage herangezogen werden kann, wird man mit Inkrafttreten der neuen DS-GVO am 25. Mai 2018 diese Frage nach Art. 6 DS-GVO beantworten müssen

Datenschutzrechtliche Rechtfertigung ist juristisch wackelig

Art. 6 der DS-GVO nennt sechs Bedingungen, die die Verarbeitung der personenbezogenen Daten rechtfertigen können. Betrachtet man die genannten Bedingungen genauer, wird auch künftig eine datenschutzrechtliche Rechtfertigung des Sanktionslistenscreenings allein aus den Embargoverordnungen der EU nicht möglich sein. Durch die Formulierung der Embargoverordnungen als Verbote, fehlt ihnen die erforderliche Zweckbestimmung für die Datenverarbeitung. Vor diesem Hintergrund werden die Diskussionen um die Konformität des Sanktionslistenscreenings mit dem Datenschutz auch nach dem 25. Mai 2018 weitergehen, mit ganz ähnlichen Argumenten wie bisher.

Lösen ließe sich das Problem auf politischer Ebene – beispielsweise durch eine Anpassung der EU-Embargoverordnung. Auf Unternehmensebene sollten sich Compliance- und Datenschutzverantwortliche zu einer gemeinsamen Risikoabschätzung zusammensetzen und gegebenenfalls einen Rechtsberater hinzuziehen.

Ähnliche Artikel

Diese Webseite verwendet Cookies. Durch die Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Datenschutzinformationen