27. Juli 2010 - AEO-Zertifikate

Mitarbeiterscreenings für das AEO-Zertifikat – Möglichkeiten und Grenzen

Die zunehmende Globalisierung auf der einen Seite und die Wirtschaftskriminalität andererseits erfordern immer häufiger ein länderübergreifendes Risikomanagement. International tätige Spediteure, Hersteller, Händler oder Lieferanten werden daher in Zukunft ohne den Nachweis eines AEO-Zertifikats (Authorized Economic Operator) voraussichtlich nicht mehr auskommen. Problem: Für das AEO-Zertifikat sind Sicherheitsüberprüfungen der Mitarbeiter nötig.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Es ist abzusehen, dass jeder internationale Unternehmer zukünftig durch ein Zertifikat wird nachweisen müssen, dass er ein „zugelassener Wirtschaftsbeteiligter“ (Authorized Economic Operator – AEO) ist.

Um ein solches AEO-Zertifikat zu erlangen, müssen Unternehmer beispielsweise  die Einhaltung der Zollvorschriften und eine zufriedenstellende Buchführung nachweisen.

Mitarbeiter müssen für AEO auf Herz und Nieren durchleuchtet werden

Aus datenschutzrechtlicher Sicht besonders problematisch: Das AEO-Zertifikat erfordert den Nachweis eines angemessenen Sicherheitsstandards. Dazu gehören unter anderem regelmäßige Sicherheitsüberprüfungen von Mitarbeitern, die in sicherheitsrelevanten Bereichen tätig sind.

Ebenso setzt sie Hintergrundprüfungen voraus – sofern diese gesetzlich zulässig sind (vgl. Art. 14k Abs. 1 Nr. f Zollkodex-Durchführungsverordnung – ZK-DVO).

Screenings sollen z.B. Betrügereien aufdecken

Gerade im Zusammenhang mit derartigen Sicherheitsüberprüfungen stellt sich jedoch die Frage: Inwieweit darf das Unternehmen sogenannte Mitarbeiter-Screenings vornehmen?

Bei diesen Screenings vergleichen spezielle Computerprogramme systematisch die Stammdaten von Arbeitnehmern und Lieferanten – etwa Adressen, Telefonnummern und Kontonummern. Dieser Abgleich soll Anhaltspunkte dafür aufspüren, ob Mitarbeiter z.B. Gelder des Unternehmens für angebliche Aufträge auf das eigene Konto überweisen.

Als Erlaubnisnorm für die Screenings ist § 32 BDSG relevant

Damit jedoch etwaige Unregelmäßigkeiten überhaupt aufgedeckt werden können, gilt es, eine Vielzahl von personenbezogenen Daten zu vergleichen. Damit greift das Bundesdatenschutzgesetz (BDSG) und fordert für die Verarbeitung dieser Daten eine Erlaubnisnorm.

Seit den letzten Änderungen des Bundesdatenschutzgesetzes findet sich für Arbeitnehmerdaten in § 32 BDSG eine eigene Regelung.

Die Datenverarbeitung müsste der Zweckbestimmung des Arbeitsverhältnisses dienen

Der § 32 Abs. 1 S. 1 BDSG setzt jedoch voraus, dass die Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten eines Beschäftigten für die Begründung (bzw. die Entscheidung dazu), die Durchführung oder die Beendigung eines Arbeitsverhältnisses erforderlich ist.

Das ist bei einer AEO-Überprüfung nicht der Fall!

Beachten Sie, dass es bei der AEO-Überprüfung bereits eingestellter Mitarbeiter nicht darum geht, etwa die Eignung für die Stelle zu prüfen oder eine Abrechnung zu ermöglichen.

Vielmehr benötigt das Unternehmen die Daten für ein AEO-Zertifikat, die mit der Durchführung des Arbeitsverhältnisses in keinem direkten Zusammenhang steht und nicht dessen Voraussetzung darstellt.

Das Beschäftigungsverhältnis setzt also die Überprüfung nicht notwendigerweise voraus. Ein Rückgriff auf § 32 Abs. 1 S. 1 BDSG ist im Zusammenhang mit dem Nachweis der Einhaltung von Sicherheitsstandards demzufolge nicht möglich.

§ 32 BDSG erlaubt auch keine verdachtsunabhängige Überprüfung

Doch auch § 32 Abs. 1 S. 2 BDSG hilft als Rechtsgrundlage für ein Screening zum Erhalt eines AEO-Zertifikats nicht wirklich weiter.

Zwar kann ein Arbeitgeber zur Aufdeckung von Straftaten nunmehr Beschäftigtendaten verarbeiten. Allerdings stellt die Vorschrift an die Zulässigkeit gewisse Anforderungen.

Danach muss es tatsächliche Anhaltspunkte geben, die den Verdacht einer begangenen Straftat begründen. Außerdem muss die Datenverarbeitung zur Aufdeckung der Straftat erforderlich sein.

Nach allgemeiner Ansicht kann daher der Arbeitgeber diese Erlaubnisnorm nicht für verdachtsunabhängige sowie präventive und repressive Maßnahmen heranziehen.

Es bleibt nur das berechtigte Interesse

Es verbleibt für das Unternehmen demnach allenfalls die Anwendung von § 28 Abs. 1 S. 1 Nr. 2 BDSG. Danach ist eine Datenverarbeitung zulässig, sofern sie als Mittel für die Erfüllung eigener Geschäftszwecke zur Wahrung berechtigter Interessen erforderlich ist. Allerdings dürfen schutzwürdige Interessen der betroffenen Mitarbeiter nicht überwiegen.

Die Interessenabwägung könnte durchaus zugunsten des Unternehmens ausfallen

Da es sich beim Wunsch eines Unternehmens, den AEO-Status zu erreichen – um wirtschaftlich international erfolgreich zu bleiben –  durchaus sowohl um einen eigenen Geschäftszweck als auch um ein berechtigtes Interesse des Unternehmens handelt, wären die ersten Voraussetzungen zunächst einmal erfüllt.

Je nach Einzelfall könnte möglicherweise auch das Überwiegen der Interessen des Unternehmens auf Wettbewerbsfähigkeit am internationalen Markt gegenüber den Interessen der betroffenen Mitarbeiter auf Schutz ihres allgemeinen Persönlichkeitsrechts bejaht werden.

Verdrängt § 32 BDSG als Spezialvorschrift die allgemeine Rechtsnorm nach § 28 BDSG?

Probleme bereitet im Moment jedoch die Anwendbarkeit des § 28 BDSG neben § 32 BDSG. Hintergrund ist, dass normalerweise Spezialvorschriften die allgemeinen Rechtsnormen verdrängen.

Das führt dazu, dass es unter Juristen kontrovers diskutiert wird, ob für Beschäftigtenverhältnisse neben dem § 32 BDSG überhaupt ein Rückgriff auf den § 28 Abs. 1 S. 1 Nr. 2 BDSG möglich sein soll.

Es gilt jedoch zu bedenken, dass sich § 32 BDSG auf die Regelung von Beschäftigungsverhältnissen beschränkt. Er regelt aber gerade nicht andere Situationen – wie hier die Beantragung eines AEO-Zertifikats. Es gibt daher durchaus Argumente, die für die Anwendbarkeit des § 28 Abs. 1 S. 1 Nr. 2 BDSG sprechen.

Ein Unsicherheitsfaktor bleibt

Solange es hierzu keine gesicherte Rechtsprechung gibt und auch die bereits vorhandenen Entwürfe zu Neuregelungen im Beschäftigtendatenschutz noch nicht beschlossen und rechtsverbindlich sind, verbleibt es bei einer gewissen Unsicherheit für die Unternehmen.

Mögliche Lösungen: Betriebsverein­barung oder Einwilligung

Wem als Unternehmer die derzeitige Situation rechtlich zu unsicher ist, hat noch die Möglichkeit, eine Betriebsvereinbarung abzuschließen oder die Einwilligungen der betroffenen Mitarbeiter einzuholen für die AEO-Screenings. Bedenken Sie aber, dass auch diese Schritte aus rechtlicher Sicht problematisch sein können (Stichwort „Freiwilligkeit“)!

Dr. Britta A. Mester
Dr. Mester ist Wissenschaftliche Mitarbeiterin an der Carl von Ossietzky Universität Oldenburg, Institut für Rechtswissenschaften. Sie war bis 2008 zudem Datenschutzbeauftragte der Universität.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln