Drucksache 17/13000
102 –
–
–– 102
Deutscher Bundestag – 17. Wahlperiode
K a s t e n z u N r. 7 . 5 . 1
Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich
(Düsseldorfer Kreis am 22./23. November 2011)
Beschäftigtenscreening bei AEO-Zertifizierung wirksam begrenzen
Der Düsseldorfer Kreis hat sich bereits mehrfach mit dem Problem des Mitarbeiterscreenings befasst, zuletzt durch
Beschluss vom 23./24.April 2009. Es gibt Anlass, die Problematik erneut aufzugreifen.
In den letzten Jahren ist insbesondere die Zollverwaltung im Rahmen der Bewilligung des zollrechtlichen Status eines „zugelassenen Wirtschaftsbeteiligten“ (AEO-Zertifizierungen) dazu übergegangen, von den Unternehmen umfangreiche Screenings von Mitarbeitern – und gegebenenfalls Daten Dritter – zu verlangen. Diese Screenings werden
zum Teil in Abständen von wenigen Wochen ohne konkreten Anlass und undifferenziert durchgeführt. In diesem Geschäftsfeld betätigen sich bereits spezialisierte Dienstleister, die sich die bestehende Unsicherheit bei den Unternehmen zunutze machen. Dies ist auch der Grund, warum diese Screenings immer häufiger durchgeführt werden. Nach
den praktischen Erfahrungen der Aufsichtsbehörden mangelt es an klaren Regelungen, wie mit den Ergebnissen von
Datenscreenings umzugehen ist (Treffermanagement). Das Bundesministerium der Finanzen hat zwar am 14. Juni
2010 anlässlich dieser Praxis einschränkende Vorgaben erlassen, diese werden jedoch von den zuständigen Zollbehörden nicht einheitlich umgesetzt.
Der Düsseldorfer Kreis hält in seinem vorgenannten Beschluss derartige Screenings nur aufgrund einer speziellen
Rechtsgrundlage für zulässig. Eine solche Rechtsgrundlage fehlt.
Weder die geltenden EU-Antiterrorverordnungen noch andere Sanktionslisten erfüllen die Anforderungen an eine
solche spezielle Rechtsgrundlage. Diese Verordnungen enthalten lediglich die allgemeine Handlungspflicht, den in
den Anlagen genannten Personen und Institutionen keine rechtlichen Vorteile zu gewähren, verpflichten jedoch nicht
zu Screenings von Mitarbeitern, Kunden oder Lieferanten.
Auch die Bundesregierung ist der Auffassung, dass die Terrorismusverordnungen keinen systematischen, anlassunabhängigen Abgleich von Mitarbeiterdateien mit den Sanktionslisten verlangen. Allenfalls nach Maßgabe von Sorgfaltspflichten und differenzierend nach verschiedenen Verkehrskreisen und Risikolagen seien solche Abgleiche zulässig. Es bleibe den Unternehmen überlassen, wie sie die Einhaltung der Terrorismusverordnungen sicherstellen
(Bundestagsdrucksache 17/4136 vom 3. Dezember 2010).
Vor diesem Hintergrund empfiehlt und fordert der Düsseldorfer Kreis:
– Unternehmen sollten Datenscreenings nicht pauschal und anlasslos durchführen. Da die Lohnzahlung nur unbar
erfolgt, die Kreditinstitute nach § 25c Kreditwesengesetz (KWG) ohnehin Abgleiche mit den Terrorlisten vornehmen, ist ein Datenabgleichverfahren innerhalb des Unternehmens mit Mitarbeiterdaten nicht geboten.
– Die Zollbehörden werden aufgefordert, die rechtsstaatlichen Vorgaben im Rahmen der AEO-Zertifizierung zu beachten. Eine einheitliche Praxis nach diesen Vorgaben gibt den Unternehmen Rechtssicherheit.
– Die Bundesregierung wird gebeten, die derzeitige AEO-Zertifizierungspraxis einer baldigen und umfassenden
Evaluation zu unterziehen.
7.5.2
Das IT-Verfahren „PARIS“ – Eine
Risikoanalyse
Das IT-Verfahren „PARIS“ (Pre-Arrival Risk Analysis)
des Zollfahndungsdienstes steckt noch in den Kinderschuhen. Es stellt in der derzeitigen Fassung kein Risiko für
den Datenschutz dar.
Nicht erst seit den vereitelten „Paketbomben-Anschlägen“
aus dem Jemen im Jahr 2010 bemühen sich Sicherheitsbehörden darum, den stetig wachsenden Strom an Fracht, der
die Europäische Union (EU) passiert, genauestens zu kontrollieren. Seit dem 19. März 2012 nutzt der Zollfahndungsdienst hierfür nun ein neues Sicherheitsinstrument:
das IT-Verfahren „PARIS“. Es dient der Risikoeinschätzung von Warenbewegungen, unter Berücksichtigung der
BfDI 24. Tätigkeitsbericht 2011-2012
daran beteiligten Personen sowie Organisationen und
wird bei allen Einfuhren aus Drittstaaten in die EU angewendet.
Bestimmte Waren, die aus Drittstaaten in die EU unmittelbar nach oder über Deutschland transportiert werden,
müssen beim Zoll angemeldet werden (Artikel 36a Zollkodex). Die hierfür in einem elektronischen Formular
eingegebenen Daten werden an „PARIS“ übermittelt.
„PARIS“ führt automatisiert anhand von europaweit einheitlich festgelegten Prüfkriterien eine Risikoeinschätzung dazu durch, ob von der versandten Ware oder den
daran beteiligten Personen oder Unternehmen eine Gefahr ausgeht.
Die personenbezogenen Daten werden nicht in „PARIS“
selbst automatisiert geprüft, sondern an das IT-Verfahren