Der Begriff „Sanctions Compliance“ ist spätestens seit Beginn des Krieges in der Ukraine und der damit einhergehenden Sanktionierung diverser Unternehmen und Privatpersonen aus Russland und Belarus wieder in den Compliancefokus gerückt. Für Unternehmen ergeben sich in diesem Zusammenhang diverse Herausforderungen. Vor allem müssen sie sicherstellen, keine Geschäftsbeziehungen mit sanktionierten Unternehmen oder Personen einzugehen beziehungsweise bestehende Geschäftsbeziehungen zu beenden. Ansonsten drohen neben erheblichen Reputationsrisiken hohe Bußgelder von bis zu 500.000 Euro oder sogar Freiheitsstrafen.1 Gleichzeitig muss bei einer Prüfung auch die Rechtmäßigkeit der Datenverarbeitung sichergestellt sein. Dieses Spannungsfeld beleuchtet der Artikel.
Sanctions Compliance
„Sanctions Compliance“ bedeutet die Einhaltung relevanter Gesetze und Verordnungen im Außenwirtschaftsverkehr. Die Europäische Union (EU) nutzt unter anderem Sanktionen und Embargos als politische Werkzeuge. Das österreichische Bundesministerium für Arbeit und Wirtschaft fasst die Bedeutung treffend zusammen als „zielorientierte wirtschaftliche Maßnahmen gegen ein bestimmtes Land/bestimmte Personen, um ein angestrebtes politisches Ziel zu erreichen“.2 Dabei wird zwischen Maßnahmen gegen Länder und gegen Organisationen oder natürliche Personen als Ziel unterschieden. Betroffene Unternehmen und natürliche Personen werden in Anhängen der entsprechenden Verordnungen auf sogenannten Sanktionslisten geführt. Konkret kann vom „Gebot des Einfrierens von Geldern und wirtschaftlichen Ressourcen sowie [vom] Verbot der Bereitstellung von Geldern und wirtschaftlichen Ressourcen“ (allgemein „Bereitstellungsverbot“)3 gesprochen werden, an das sich jeder Wirtschaftsteilnehmer im Raum der europäischen Gemeinschaft zu halten hat.
Durchführung einer Sanktionslistenprüfung
Konkrete Vorgaben oder allgemeingültige Anweisungen zur Sanktionslistenprüfung gibt es nicht. Deshalb muss jedes Unternehmen für sich entscheiden, welche Maßnahmen mit ausreichender Wahrscheinlichkeit zur Einhaltung der gesetzlichen Vorschriften führen.4 Folgende Herangehensweise hat sich in der Praxis unter Beweis gestellt:
Zunächst muss unternehmensintern entschieden werden, ob die Sanktionslistenprüfung durch die First-Line, also die Geschäftsbereiche, oder zentral durch die Second-Line, die Complianceabteilung, durchgeführt wird.
Sobald dies entschieden ist, sollte ein robuster Prozess implementiert werden, der verlässlich dazu führt, dass eine Geschäftsbeziehung erst aufgenommen wird, wenn eine Sanktionslistenprüfung durchgeführt worden ist und diese unauffällig war. Dieser Prozess umfasst idealerweise die (systemische) Möglichkeit, Sperren einzurichten, um eine Konsultation mit der Compliancefunktion bei Auffälligkeiten zu initiieren.
Außerdem sollte der Prozess die relevanten Sanktionslisten, Risikobereiche, Länder und gegebenenfalls auch Risikokunden definieren. Darüber hinaus ist eine Entscheidung über den Zeitpunkt der Erstprüfung relevant sowie die Durchführung von Folgeprüfungen im Kundenbestand.
Die Prüfung selbst sollte unter Zuhilfenahme aktiv gepflegter Datenbanken geschehen, deren Aktualität gewährleistet werden kann. Vielfach werden solche Datenbanken von Dienstleistern angeboten. Bei vielen Anbietern sind Einstellungen zur Justierung der Suchgenauigkeit („fuzzy-matching“) möglich. Neben den potentiellen Geschäftspartnern müssen nötigenfalls auch wirtschaftlich Berechtigte in die Prüfung miteinbezogen werden. Selbstverständlich sind Suchen in verschiedenen Sprachen sinnvoll, wobei insbesondere auf verschiedene Schreibweisen von Namen sowie potentielle Aliasnennungen geachtet werden sollte.
Unverzichtbar ist die revisionssichere Dokumentation sowie die Aufbewahrung der Sanktionslistenprüfung. Insbesondere bei der Speicherung von personenbezogenen Daten muss allerdings auf datenschutzkonforme Löschkonzepte geachtet werden.
Zuletzt sind Möglichkeiten wie Markierungen von bekannten False-Positive-Treffern in der eigenen Kundendatenbank oder Alert-Möglichkeiten für Risikokunden hilfreiche Arbeitserleichterungen, die entweder systemseitig oder in einer unternehmensinternen Datenbank verwaltet werden können.
Spannungsfeld Datenschutz
Ergibt sich durch rechtliche Normen zwar die Notwendigkeit einer Sanktionslistenprüfung, ohne dass jedoch auf die Art der Durchführung verwiesen wird, stellt sich die Frage nach der Vereinbarkeit mit dem europäischen Datenschutzrecht.
Ein zentraler Grundsatz im europäischen Datenschutzrecht ist der Grundsatz der Rechtmäßigkeit der Datenverarbeitung. Er formuliert ein Verbot mit Erlaubnisvorbehalt, das eine Datenverarbeitung nur für zulässig erklärt, soweit sie per Gesetz begründet ist.5 Da bereits das Abgleichen personenbezogener Daten mit Sanktionslisten eine Verarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist, bedarf es hierfür einer ausdrücklichen gesetzlichen Rechtfertigung.6 Bei Verstoß drohen Bußgelder von bis zu 20 Millionen Euro oder 4% des Jahresumsatzes, je nachdem, welcher Betrag höher ist (Art. 83 Abs. 5 DSGVO). Die Frage der datenschutzrechtlichen Legitimation nicht geklärt zu haben, kann also erhebliche Folgen haben.
Am naheliegendsten wäre die Einholung einer Einwilligung des Betroffenen zur Verwendung seiner personenbezogenen Daten im Rahmen eines Sanktionslistenabgleichs. Dies zöge eine Rechtfertigung nach Art. 5 Abs. 1 lit. a DSGVO nach sich. Da das prüfende Unternehmen hierbei jedoch auf die Mitwirkung des Betroffenen angewiesen ist, ist fraglich, welche Erlaubnistatbestände aus Art. 6 DSGVO in Betracht kommen, wenn eine Einwilligung fehlt.
Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b DSGVO)
Ist die Datenverarbeitung zur Erfüllung einer vertraglichen Pflicht erforderlich, so ist sie gem. Art. 6 Abs. 1 lit. b DSGVO rechtmäßig. Das Gebot der Erforderlichkeit soll eng ausgelegt werden und bedeutet in hiesigem Kontext, dass die Sanktionslistenprüfung datenschutzrechtlich nur zulässig wäre, sofern der Vertrag ohne sie nicht durchführbar wäre.7 Da die Geschäftspartnerüberprüfung bei der Vertragsabwicklung in aller Regel nur Beiprodukt gesetzlicher Vorschriften ist, kommt dieser Erlaubnistatbestand hier wohl kaum zur Anwendung.
Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)
Dies führt zum zweiten in Betracht kommenden Erlaubnistatbestand, Art. 6 Abs. 1 lit. c DSGVO. Danach sind Unternehmen berechtigt, personenbezogene Daten zu verarbeiten, wenn dies zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Hierbei soll das Merkmal der Erforderlichkeit noch enger verstanden werden: Die Norm muss ausdrücklich eine Datenverarbeitung erlauben oder verlangen.8 Es reicht nicht aus, dass Daten zu verarbeiten sind, um einer rechtlichen Verpflichtung nachzukommen, die sich aus besagter Norm ergibt.9 National können solche ausdrücklichen Verpflichtungen bspw. die Normen des Geldwäschegesetzes darstellen, die die Identifizierung eines Vertragspartners in Bezug auf bestimmte Merkmale verlangen.
Art. 6 Abs. 1 lit. c DSGVO kann also als einschlägiger Erlaubnistatbestand fungieren, wenngleich die Anwendung mangels einer größeren Bandbreite ausdrücklicher Verpflichtungsnormen eingeschränkt ist.
Zu betonen ist, dass sich Art. 6 Abs. 1 lit. c DSGVO lediglich auf Normen bezieht, die sich aus nationalem oder EU-Recht ergeben.10 Sanktionsverordnungen, die von Drittstaaten erlassen werden, sind hierunter nicht gefasst.11 Vielmehr legt die sogenannte „EU-Blocking-Verordnung“ (EG-VO 2271/96) ausdrücklich fest, dass solchen insbesondere gegen Kuba und Iran gerichteten Verordnungen nicht Folge zu leisten sei, womit der Einfluss drittstaatlicher Außenpolitik im EU-Wirtschaftsraum minimiert werden soll.12
Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
Für die Fälle, in denen die vorangegangenen Normen nicht greifen, kann Art. 6 Abs. 1 lit. f DSGVO als eine Art Auffangtatbestand angesehen werden.13 Unternehmen können sich auf ihr berechtigtes Interesse berufen, wenn die Verarbeitung personenbezogener Daten im Rahmen der Sanktionslistenprüfung zur Wahrung ihrer eigenen Interessen erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Welches dieser Güter im Einzelfall überwiegt, ist im Rahmen einer Interessenabwägung zu ermitteln.14 Zwar hat die Rechtsprechung zu einer vergleichbaren Norm aus dem früheren Bundesdatenschutzgesetz (BDSG-alt) entschieden, dass ein Abgleich von Mitarbeiterdaten mit Sanktionslisten im überwiegenden Interesse des Unternehmens liegen kann.15 Da sich diese Entscheidung aber nicht ausdrücklich auf die DSGVO bezieht und eine Rechtssicherheit schaffende Entscheidung des EuGH zur Thematik im Allgemeinen bislang nicht existiert, verbleibt für den Praxisanwender stets ein Restrisiko für gegen ihn gerichtete Strafen.16 Daher sollte darauf geachtet werden, die betroffene Person über die Datenverarbeitung zu informieren (Grundsatz der Transparenz, Art. 5 Abs. 1 lit. a DSGVO) und den Verarbeitungsaufwand so gering wie möglich zu halten (Grundsatz der Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO).
Fazit
Die Einhaltung der Sanktionsgesetzgebung ist für Unternehmen von zentraler Bedeutung. Bei Verstößen drohen hohe Bußgelder und sogar Freiheitsstrafen. Aber auch Reputationsrisiken und weitere Konsequenzen machen „Sanctions Compliance“ zu einem wichtigen Baustein der Compliancefunktion.
Gleichzeitig bleibt die Gesetzgebung zur Art der Durchführung einer Sanktionslistenprüfung unkonkret. Dabei ist eine Datenverarbeitung in solch einem Rahmen unerlässlich. Nur selten sind ausdrückliche Handlungsaufforderungen im Gesetz zu finden, durch die die Datenverarbeitung über Art. 6 Abs. 1 lit. c DSGVO gerechtfertigt werden kann. Die Abwägung im Rahmen eines berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO kann sinnvoll begründet werden und daher regelmäßig zugunsten des Unternehmens ausfallen.
Gleichwohl bleibt ein rechtliches Restrisiko, solange der Gesetzgeber keine Schärfung oder die Rechtsprechung keine Klärung vornimmt. Daher sollte in jedem Fall bei der Durchführung von Sanktionslistenprüfungen auf die Einhaltung aller Grundsätze der DSGVO geachtet werden.
1 Nach § 19 Abs. 4, 6 Außenwirtschaftsgesetz; bestraft werden kann bereits fahrlässiges Handeln.
2 https://www.bmaw.gv.at/Themen/Exportkontrolle/Export/Embargos-und-Sanktionen.html [Abruf 26.07.2023 – 08:30 Uhr].
3 DICO L08 – Sanktionslistenscreening, S. 16; Siehe Bereitstellungsverbot beispielsweise in Art. 2 Abs. 2 EU-VO (2580/2001); Art. 10 EU-VO (2580/2001).
4 Meyer/Macke, Rechtliche Auswirkungen der Terrorlisten im deutschen Recht, HRRS 2007, S. 463.
5 Buchner/Petri in: Kühling/Buchner, DSGVO BDSG, Art. 6, Rn. 11.
6 Zerdick in: Ehmann/Selmayr, DSGVO, Art. 2 Rn. 3.
7 Frenzel in: Paal/Pauly, DSGVO BDSG, Art.6, Rn. 14; Buchner/Petri in: Kühling/Buchner, DSGVO BDSG, Art. 6, Rn. 38 ff.; European Data Protection Board Leitlinien 2/2019, Rn. 28.
8 Frenzel in: Paal/Pauly, DSGVO BDSG, Art.6, Rn. 16.
9 Buchner/Petri in: Kühling/Buchner, DSGVO BDSG, Art. 6, Rn. 76; Heberlein in: Ehmann/Selmayr, DSGVO, Art. 6 Rn. 15.
10 Heberlein in: Ehmann/Selmayr, DSGVO, Art. 6 Rn. 15.
11 Ahmad/Kaiser/Meyer, Sanktionslistenprüfung und Datenschutzrecht, beck.digitax 2020, 314.
12 Vgl. OLG Hamburg, Urteil vom 14.10.2022 – 11 U 116/19.
13 Befürwortend: Kremer, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 2 Rn. 37; Ablehnend: Taeger, in: Taeger/Gabel, DSGVO – BDSG – TTBSG, Art. 6, Rn. 106.
14 Taeger, in: Taeger/Gabel, DSGVO – BDSG – TTBSG, Art. 6, Rn. 117.
15 FG Düsseldorf, Urteil vom 01.06.2011 – 4 K 3063/10 Z; vgl. BFH, Urteil vom 19.06.2012 (Az. VII R 43/11).
16 Vgl. Beschlüsse des Düsseldorfer Kreises vom 23./24.04.2009 sowie vom 22./23.11.2011, die anti-Terror-Screenings bei Mitarbeitern datenschutzrechtlich ablehnen.
