Dürfen Stammdaten von Beschäftigten vom Arbeitgeber mit Anti-Terrorlisten abgeglichen werden? Die sogenannten EU-Sanktionsverordnungen (genauer: die Verordnung (EG) Nr. 2580/2001 vom 27.12.2001, (EG) Nr. 881/2002 vom 27.05.2002 und (EU) Nr. 753/2001 vom 01.08.2011) schreiben vor, dass Firmen sicherstellen sollen, dass keine Gelder an Terroristen fließen. Mit dieser Vorgabe gehen privatwirtschaftliche Unternehmen unterschiedlich um.
Kein Zugriff auf Datenbanken von Sicherheitsbehörden
Wie jetzt die Bundesregierung in Beantwortung einer kleinen Anfrage der Fraktion Die Linke mitteilte, wird Unternehmen „weder der Zugriff auf Datenbanken der nationalen und europäischen Sicherheitsbehörden gestattet noch werden privatwirtschaftlichen Unternehmen Datenbanken oder Listen der Sicherheitsbehörden zum Abgleich von Beschäftigtendaten zur Verfügung gestellt“. (BT-Drucksache 18/5889 vom 28.08.2015).
Mitarbeiter-Screening bei Daimler
In der Anfrage verwiesen die Abgeordneten auf Pressemeldungen, wonach der Daimler-Konzern Daten seiner Beschäftigten mit Anti-Terrorlisten abgleicht. Dies beschloss der Vorstand von Daimler laut Anfrage Ende 2014 per Konzernvereinbarung zusammen mit dem ansässigen Betriebsrat. Demnach werden die Stammdaten der 280.000 Beschäftigten des Unternehmens einmal im Quartal mit den geführten Terrorlisten abgeglichen.
Bei Übereinstimungen folgen die Freistellungen der Betroffenen und Gehaltszahlungsstopp. Leitende Angestallte werden dabei laut der Anfrage einem anderen Verfahren unterzogen als lohnabhängige Beschäftigte. Durchgeführt wird der Abgleich nicht mehr, wie bisher, über die verwaltende Bank, sondern durch das Unternehmen selbst.
Möglichkeiten des Datenabgleichs
Die Fraktion Die Linke nahm u. a. diesen Vorfall zum Anlass, in der aktuellen Anfrage zu hinterfragen, auf welcher gesetzlichen Grundlage es Arbeitgebern möglich ist, „die Daten ihrer Angestellten mit welchen Fahndungslisten, Antiterrorlisten oder ähnlichen, zum Zweck der Strafverfolgung und der Prävention geführten Datenbanken abzugleichen“. Auch wollte sie erfahren, welche Datenbanken und Listen „von welchen Sicherheitsbehörden zum Abgleich von Beschäftigtendaten mit welchem Zweck und auf welcher gesetzlichen Grundlage den Unternehmen zur Verfügung gestellt“ werden.
Die Anti-Terrorlisten der EU-Sanktiosverordnungen
Einer Bewertung der Konzernvereinbarung bei Daimler enthielt sich die Bundesregierung ausdrücklich. In ihrer Antwort verweist sie aber darauf, dass die EU-Sanktionsverordnungen auch für Unternehmen verbindlich sind. So seien „Maßnahmen zur Umsetzung der Verordnungen und zur Vermeidung von Verstößen gegen die Verordnungen durch deutsche Unternehmen von den betroffenen Unternehmen eigenständig zu veranlassen“. Die Verordnungen einschließlich der Anhänge mit den dort aufgeführten Personen seien im Amtsblatt der Europäischen Union veröffentlicht und damit für jedermann einsehbar.
Die Datenschutz-Grundverordnung
Der Beschäftigtendatenschutz soll auch in der seit längerem geplanten Datenschutz-Grundverordnung der EU (DS-GVO) geregelt werden. Wie die Bundesregierung in ihrer Antwort feststellt, könne erst nach der endgültigen Annahme dieser EU-Verordnung beurteilt werden, „ob und gegebenenfalls welche Regelungen im Bereich der Datenverarbeitung im Beschäftigungskontext auf nationaler Ebene möglich und erforderlich sein werden.“
Die Trilogverhandlungen zwischen dem Europäischen Parlament, dem Rat und der Europäischen Kommission laufen zurzeit und sollen Ende 2015 abgeschlossen sein.
Praxishinweis:
Nicht zu verwechseln sind die von den EU-Sanktionsverordnungen vorgeschriebenen Maßnahmen mit den Anforderungen, die sich aus dem Sicherheitsüberprüfungsgesetz des Bundes (SÜG) im Geheim- und Sabotageschutz ergeben. Das SÜG findet nur Anwendung, wenn eine Person von der zuständigen Stelle mit einer sicherheitsempfindlichen Tätigkeit betraut worden ist oder betraut werden soll.
Das SÜG ist auch wichtigste Rechtsgrundlage bei der Sicherheitsüberprüfung von Unternehmenspersonal im Rahmen der Geheimschutzbetreuung von Unternehmen durch das Bundesministerium für Wirtschaft und Energie. Zum Schutz von zu überprüfenden Beschäftigten sieht das SÜG neben diversen speziellen datenschutzrechtlichen Regelungen insbesondere die vorherige schriftliche Zustimmung der betroffenen Person zur Sicherheitsüberprüfung vor. Anlasslose Datenabgleiche sind nach dem SÜG unzulässig. Unternehmen haben dabei keinen Zugriff auf Datenbanken der Sicherheitsbehörden oder der Nachrichtendienste. Auch darauf weist die Bundesregierung in ihrer Antwort hin.