Deutscher Bundestag – 17. Wahlperiode
101 ––
–– 101
Fingerabdruckdaten dienen schon für sich genommen der
Identifizierung einer Person. Sie sind – im wahrsten
Sinne des Wortes – nicht von der Person trennbar. Daher
muss das BKA datenschutzrechtliche Anforderungen
auch dann beachten, wenn es reine Fingerabdruckdaten
weitergibt, ohne sonstige Angaben.
Nach den Vorschriften des Bundeskriminalamtgesetzes
(BKAG) kann das Amt personenbezogene Daten für Forschungszwecke übermitteln (§ 29 BKAG). Diese setzt
insbesondere voraus, dass das Forschungsinteresse das
schutzwürdige Interesse der Betroffenen erheblich überwiegt. Bei dieser Abwägung war zu berücksichtigen, dass
sich das BKA nach Diskussion mit mir für die Forschungsarbeit ein besonderes Verfahren überlegt hatte.
Die Daten sollen den Forschern nämlich nur innerhalb der
Räume des BKA zur Verfügung gestellt werden. Auf
Rechnern, die das BKA bereitgestellt hat und die von
Technikern des BKA kontrolliert werden, können die
Forscher die Daten auswerten. Nur die abstrakten Forschungsergebnisse ohne Personenbezug werden den Forschern am Ende übergeben. Damit trägt das Verfahren
den schutzwürdigen Interessen der Betroffenen sehr weitgehend Rechnung, denn die Risiken für sie werden minimiert. Auf diese Weise kann das Forschungsvorhaben datenschutzkonform durchgeführt werden.
7.5
Zoll
7.5.1
Beschäftigtenscreenings bei der AEOZertifizierung der Zollverwaltung
Das von den Zollverwaltungen häufig ohne konkreten Anlass angeordnete Beschäftigtenscreening bei der sog.
AEO-Zertifizierung (AEO – Authorised Economic Operator = zugelassener Wirtschaftsbeteiligter) erweist sich
weiterhin als problematisch. Auch eine aktuelle Entscheidung des Bundesfinanzhofs (BFH) räumt diese Bedenken
nicht aus.
Die AEO-Zertifizierung soll die Zollabfertigung erleichtern. Betroffen sind in der Europäischen Union ansässige,
im grenzüberschreitenden Warenverkehr tätige Unternehmen. Ein AEO-Zertifikat „Zollrechtliche Vereinfachungen/Sicherheit“ (das sog. AEO-F-Zertifikat) kann jedem
in der Europäischen Union niedergelassenen Wirtschaftsbeteiligten auf Antrag erteilt werden, der die Kriterien zur
Einhaltung der Zollvorschriften – angemessene Führung
seiner Geschäftsbücher, Zahlungsfähigkeit und angemessene Sicherheitsstandards – erfüllt.
Im Rahmen der AEO-Zertifizierung verlangen die Zollverwaltungen von den Unternehmen umfangreiche Beschäftigtenscreenings, teilweise sogar wiederholt und in
sehr kurzen Abständen, was ich bereits mehrfach kritisiert habe (vgl. z. B. 23. TB Nr. 13.7). Dabei werden die
Bediensteten des antragstellenden Wirtschaftsbeteiligten
einer Sicherheitsüberprüfung durch Abgleich mit den
sog. Antiterrorlisten unterzogen. Der Abgleich erfolgt anhand der in den EG-Antiterrorverordnungen (Verordnungen [EG] Nummer 2580/2001 und Nummer 881/2002)
genannten Sanktionslisten (Namenslisten von Personen,
die im Verdacht stehen, Mitglied einer terroristischen
Drucksache 17/13000
Vereinigung zu sein). Die den EG-Verordnungen zu
Grunde liegenden UN-Terrorlisten sind aber aus rechtsstaatlicher Perspektive bedenklich, da ihr Zustandekommen intransparent ist und die Listung nur eingeschränkt
gerichtlich überprüft werden kann (vgl. EuGH, Urteile
vom 15. November 2012, Rs. C-539/10; C-550/10 P;
C-417/11 P). Wegen dieser Fehleranfälligkeit und den
gravierenden Folgen, die bei einem Treffer für den Betroffenen eintreten können, sind verfahrensrechtliche Sicherungen in Form von datenschutzrechtlichen Betroffenenrechten unerlässlich.
Im Frühjahr 2011 habe ich die Praxis eines Hauptzollamtes (HZA) bei der Erteilung des o. g. AEO-F-Zertifikats
geprüft und beanstandet. Dort wurde das Zertifikat nur
bewilligt, wenn die antragstellenden Unternehmen den
Nachweis über einen regelmäßigen systematischen Abgleich aller Beschäftigten mit den sog. EG-Antiterrorlisten erbracht hatten. Mit dieser Praxis hatte das HZA
gegen Nr. 253 der Dienstanweisung „Zugelassener Wirtschaftsbeteiligter – AEO“ vom 22. Juni 2010 verstoßen,
mit der die Überprüfung auf Beschäftigte in sicherheitsrelevanten Bereichen begrenzt wird, und damit zugleich
den Grundsatz der Verhältnismäßigkeit verletzt. Nach
Mitteilung seiner Aufsichtsbehörde, des Bundesministeriums der Finanzen, hat die geprüfte Behörde den Fehler
inzwischen eingeräumt und behoben.
Mit dem Beschluss vom 22./23. November 2011 setzt
sich auch das Koordinierungsgremium der obersten Aufsichtsbehörden für den Datenschutz im nicht öffentlichen
Bereich (Düsseldorfer Kreis) für eine wirksame Begrenzung des Beschäftigtenscreenings ein und fordert Datenscreenings in Unternehmen nicht pauschal und anlasslos
durchzuführen (vgl. Kasten zu Nr. 7.5.1).
Inzwischen liegt mit dem Urteil des BFH (Urteil vom
19. Juni 2012, VII R 43/11) die erste höchstrichterliche
Klärung einiger Streitpunkte zum Thema Beschäftigtenscreening vor, die gleichwohl aus datenschutzrechtlicher
Perspektive nicht überzeugt. Denn der BFH kommt in
seiner Entscheidung zu dem Ergebnis, der datenschutzrechtliche Erlaubnistatbestand des § 32 Absatz 1 Satz 1
BDSG ermögliche es, einen Abgleich der personenbezogenen Daten der Bediensteten des Arbeitgebers, der sich
um ein AEO-Zertifikat bemüht, mit den Antiterrorlisten
durchzuführen. Zwar hat der BFH das Screening auf Beschäftigte begrenzt, die im sicherheitsrelevanten Bereich
eingesetzt werden oder werden sollen. Dennoch wird dadurch meine Kritik an den von Zollverwaltungen ohne
konkreten Anlass angeordneten pauschalen, massenhaften Beschäftigtenscreenings nicht ausgeräumt, denn es
bestehen bereits grundlegende Zweifel an dem Verfahren.
So halte ich es für fragwürdig, ob die unternehmensinternen Abgleiche angesichts der unbaren Gehaltszahlungen
einen zusätzlichen Beitrag zur Terrorbekämpfung leisten
können, obgleich schon die Banken nach § 25c Kreditwesengesetz Abgleiche ihrer Kundendaten mit den Antiterrorlisten vornehmen. Schließlich mangelt es für diesen
Massendatenabgleich an einer tragfähigen Rechtsgrundlage. Weder die EG-Antiterrorverordnungen noch die
einschlägigen UN-Beschlüsse enthalten entsprechende
Verpflichtungen. Auch erscheint eine Anwendung der
Generalklausel des § 32 BDSG hier nicht tragfähig.
BfDI 24. Tätigkeitsbericht 2011-2012