MITARBEITER SCREENING

Transkript

1 MITARBEITER SCREENING Alles Terroristen? Prof. Dr. Peter Wedde Hannover 4. November 2015

2 Urheberrechts Hinweis Diese Kopie der Vortragsfolien von Prof. Dr. Peter Wedde ist urheberrechtlich geschützt. Sie ist ausschließlich für die Nutzung durch Teilnehmerinnen und Teilnehmer der 28. SAP/NT Konferenz am 4. November 2015 in Hannover bestimmt. Die Weitergabe an Dritte, die Veröffentlichung oder die Verwendung der Unterlagen im Rahmen von Präsentationen und Vorträgen ist nur mit schriftlicher Genehmigung des Verfassers zulässig. Danke für Ihr Verständnis! Kontakt: consulting.de

3 Worum wird es gehen? 1. Mitarbeiter Screening wozu? 2. Screening als Mittel der Terrorismusbekämpfung Normative Grundlagen 3. Konsequenzen für Unternehmen 4. Datenschutzrechtliche Rahmenbedingungen 5. Möglichkeiten und Grenzen zulässiger Screenings 6. Mitwirkung und Mitbestimmung? Handlungsmöglichkeiten für Betriebsräte 7. Was tun? Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 3

4 1. Mitarbeiter Screening wozu? Als Begründung für die Durchführung von Mitarbeiter Screenings werden unterschiedliche Argumente genannt. Gesetzliche Verpflichtungen zur Terrorismusbekämpfung Pflicht zur Durchführung von Compliance Maßnahmen Schutz von Betriebs und Geschäftsgeheimnissen Abwendung von Gefahren und Nachteilen für das Unternehmen Industriestandard Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 4

5 Durchführung Durchgeführt werden unterschiedlichste Maßnahmen wie etwa strukturierter Abgleich der HR Datenbanken mit Antiterror Listen, Auswertung vorhandener HR Datenbanken nach bestimmten Kriterien, die teilweise selbst entwickelt sind, Kontrolle ein und ausgehender Daten (insbesondere von E Mails) mit DLP Systemen, auf bestimmte Personen bezogene gezielte Auswertungen usw. Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 5

6 2. Normative Grundlagen Unternehmen sind durch einschlägige gesetzliche Vorgaben verpflichtet, bestimmte Screenings durchzuführen. Grundlegende Vorgaben finden sich in den sog. EU Antiterrorverordnungen Nr. 2580/2001 vom ( Terrorismus ) in der Fassung vom 31. Juli 2015 und Nr. 881/2002 vom ( Al Quaida und Taliban ) in der Fassung vom 8. Oktober 2015 Keine Verpflichtung leitet sich aus US amerikanischen Vorgaben und US Antiterrorlisten ab. Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 6

7 EU Antiterrorverordnungen Nr. 2580/2001 Zielrichtung gemäß Art. 2 Abs. 1 : Abgesehen von bestimmten Ausnahme a) werden alle Gelder, andere finanzielle Vermögenswerte und wirtschaftliche Ressourcen eingefroren, die einer in der Liste ( ) aufgeführten natürlichen oder juristischen Person ( ) gehören oder in deren Eigentum stehen oder von ihr verwahrt; b) werden weder direkt noch indirekt Gelder, andere finanzielle Vermögenswerte und wirtschaftliche Ressourcen für eine in der Liste ( ) aufgeführte natürliche oder juristische Person ( ) oder zu ihren Gunsten bereitgestellt. Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 7

8 Einfrieren Art. 1 Nr. 1 VO (EG) 2580/2001 Das Einfrieren von Geldern, anderen finanziellen Vermögenswerten und wirtschaftlichen Ressourcen ist die Verhinderung jeglicher Form von Bewegungen, Transfers, Veränderungen, Verwendung von Geldmitteln und Handel mit ihnen, die deren Volumen, Beträge, Belegenheit, Eigentum, Besitz, Eigenschaften oder Zweckbestimmung verändern oder andere Veränderungen bewirken, mit denen eine Nutzung der Mittel einschließlich der Vermögensverwaltung ermöglicht wird. Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 8

9 EU Antiterrorverordnungen Nr. 881/2002 Zielrichtung gemäß Art. 2: Abs. 1: Sämtliche Gelder und wirtschaftlichen Ressourcen, die Eigentum oder Besitz der in Anhang (.) aufgeführten natürlichen und juristischen Personen, Organisationen, Einrichtungen und Vereinigungen sind oder von diesen gehalten oder kontrolliert werden, werden eingefroren. Abs. 2: Den in Anhang I aufgeführten natürlichen und juristischen Personen, Organisationen, Einrichtungen und Vereinigungen dürfen weder unmittelbar noch mittelbar Gelder oder wirtschaftliche Ressourcen zur Verfügung gestellt werden oder zugute kommen. Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 9

10 EU Antiterrorverordnungen Nr. 881/2002 Zielrichtung gemäß Art. 2: Abs. 3: Anhang I umfasst die natürlichen und juristischen Personen, Organisationen, Einrichtungen und Vereinigungen, die vom Sicherheitsrat der VN oder vom Sanktionsausschuss als mit Osama bin Laden, dem Al Qaida Netzwerk und den Taliban in Verbindung stehend benannt wurden. Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 10

11 EU Antiterrorverordnungen Nr. 881/2002 Zielrichtung gemäß Art. 2: Abs. 4: Die betreffenden natürlichen und juristischen Personen [= die Geld einfrieren] können im Zusammenhang mit dem Verbot nach Absatz 2 nicht haftbar gemacht werden, wenn sie nicht wussten und keinen Grund zu der Annahme hatten, dass sie mit ihrem Handeln gegen das Verbot verstoßen. Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 11

12 Namenslisten stets aktuell Aktuelle Namenslisten terrorismusverdächtiger Personen stehen im Internet bereit, etwa unter Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 12

13

14

15 Handlungszwänge am Beispiel der EU VO 881/2002 Art. 4 Abs. 1 untersagt die wissentliche und beabsichtigte Beteiligung an Tätigkeiten, deren Ziel oder Folge direkt oder indirekt die Umgehung der Verbote aus der Verordnung sind. Art. 5 Abs. 1 verpflichtet alle natürlichen und juristischen, mit den zuständigen nationalen Behörden zusammen zu arbeiten. Ort Thema Datum Wedde 2015 / Seite 15

16 Haftungsausschluss am Beispiel der EU VO 881/2002 Art. 6 EU VO 881/2002 stellt natürlichen und juristischen Personen, Organisationen und Einrichtungen sowie deren Führungskräfte und Beschäftigte, die im guten Glauben, im Einklang mit dieser Verordnung zu handeln, Gelder oder wirtschaftliche Ressourcen einfrieren oder ihre Bereitstellung ablehnen, von der Haftung frei, es sei denn, es ist nachgewiesen, dass das Einfrieren oder Zurückhalten der Gelder oder wirtschaftlichen Ressourcen auf Fahrlässigkeit beruht. Ort Thema Datum Wedde 2015 / Seite 16

17 3. Konsequenzen für Unternehmen Die Verpflichtungen aus den EU Verordnungen treffen neben Banken, Finanzinstituten und Versicherungsgesellschaften alle sonstigen Einrichtungen und Personen. Über die konkrete Umsetzung dieser Verpflichtung sagen die EU Verordnungen nichts aus. Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 17

18 Umsetzung der Verpflichtung? Aussagen zur Umsetzung gibt es sowohl von der Bundesregierung als auch von den staatlichen Datenschutzaufsichtsbehörden. Ergebnis ist in beiden Fällen, dass eine grundsätzliche Verpflichtung zur Umsetzung besteht. Offen bleibt, welche Kontrolltiefe erforderlich ist. Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 18

19 Aussagen der Bundesregierung am zur Kontrolltiefe Auf der Basis der genannten Verordnungen ist ein Abgleich von Mitarbeiterdaten mit den Namenslisten der Sanktionsrechtsakte daher zulässig. Unternehmen und andere Wirtschaftsbeteiligte sind nicht zu einem systematischen, anlassunabhängigen Abgleich ihrer Kunden und Mitarbeiterdateien verpflichtet, sondern allenfalls nach Maßgabe von Sorgfaltspflichten. (Auszug aus einer Antwort der Bundesregierung auf eine Kleine Anfrage von Bundestagsabgeordneten) Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 19

20 Aussagen der Bundesregierung am zur Kontrolltiefe Auch die Bundesregierung ist der Auffassung, dass die Terrorismusverordnungen keinen systematischen, anlassunabhängigen Abgleich von Mitarbeiterdateien mit den Sanktionslisten verlangen. Allenfalls nach Maßgabe von Sorgfaltspflichten und differenzierend nach verschiedenen Verkehrskreisen und Risikolagen seien solche Abgleiche zulässig. Es bleibe den Unternehmen überlassen, wie sie die Einhaltung der Terrorismusverordnungen sicherstellen (Auszug aus einer Antwort der Bundesregierung auf eine Kleine Anfrage von Bundestagsabgeordneten) Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 20

21 Empfehlung der staatlichen Datenschutzaufsichtsbehörde zur Kontrolltiefe vom Vor dem Hintergrund der Aussagen der Bundesregierung vom empfiehlt und fordert der Düsseldorfer Kreis (eine Arbeitsgruppe der Datenschutzaufsichtsbehörden) : Unternehmen sollten Datenscreenings nicht pauschal und anlasslos durchführen. Da die Lohnzahlung nur unbar erfolgt, die Kreditinstitute nach 25c Kreditwesengesetz (KWG) ohnehin Abgleiche mit den Terrorlisten vornehmen, ist ein Datenabgleichverfahren innerhalb des Unternehmens mit Mitarbeiterdaten nicht geboten. Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 21

22 Position des Bundesfinanzhofs (BFH) Das höchste deutsche Finanzgericht vertritt in einer Entscheidung vom für das Spezialthema eines AEO Zertifikats Zollrechtliche Vereinfachungen/Sicherheit die Position, dass dessen Erteilung von der Bedingung abhängig gemacht werden darf, dass der Antragsteller in sicherheitsrelevanten Bereichen tätige Bedienstete einer Sicherheitsüberprüfung anhand der sog. EU Terrorismuslisten unterzieht. Die Entscheidung beinhaltet allerdings keine inhaltliche Auseinandersetzung mit der strittigen Frage der Anwendbarkeit von 32 Abs. 1 Satz 1 BDSG. Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 22

23 Fazit: Keine unbegrenzten Kontrollpflicht Grundsätzlich besteht eine Verpflichtung von Unternehmen zu einer auf die EU Antiterrorlisten bezogenen Überprüfung ihrer Belegschaften. Diese Verpflichtung beinhaltet jedoch nicht die Notwendigkeit eines permanenten und umfassenden Abgleichs mit Ausnahme des Bereichs AEO Zertifizierung. Unternehmen müssen bei der Ausgestaltung von Kontrollverfahren allgemeine gesetzliche Vorgaben wie insbesondere das Bundesdatenschutzgesetz beachten. Hieraus können sich Begrenzungen für die Durchführung von Screening Verfahren ableiten. Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 23

24 4. Datenschutzrechtliche Rahmenbedingungen Die Durchführung von Antiterror Screenings bezieht sich auf personenbezogenen Daten und muss deshalb die Vorgaben des Bundesdatenschutzgesetzes (BDSG) beachten. Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 24

25 Datenschutzrechtliche Rahmenbedingungen für ein Antiterror Screening Die beiden EU Verordnungen zum Thema Antiterror Screening sind Erlaubnistatbestände gemäß 4 Abs. 1 BDSG. Erlaubnisnormen müssen verfassungsmäßige Rechte wahren. Hierzu gehört insbesondere das Grundrecht auf informationelle Selbstbestimmung, dass das BVerfG 1983 in seiner Volkszählungsentscheidung formuliert hat. Die Vorgaben in den beiden EU Verordnungen werden der Forderung des BVerfG nach einer bereichsspezifischen und präzisen Festlegung der Verwendungszweck nicht umfassend gerecht. Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 25

26 Vorgaben des BVerfG zur Recht auf informationelle Selbstbestimmung Einschränkungen dieses Rechts auf "informationelle Selbstbestimmung" sind nur im überwiegenden Allgemeininteresse zulässig. Sie bedürfen einer verfassungsgemäßen gesetzlichen Grundlage, die dem rechtsstaatlichen Gebot der Normenklarheit entsprechen muss. Ein Zwang zur Angabe personenbezogener Daten setzt voraus, dass der Gesetzgeber den Verwendungszweck bereichsspezifisch und präzise bestimmt und dass die Angaben für diesen Zweck geeignet und erforderlich sind. Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 26

27 Konsequenzen? Die unter Anlegung des Maßstabs des Bundesverfassungsgerichts festzustellenden Defizite begründen Zweifel an der Wirksamkeit der beiden EU Verordnungen als eigenständige Erlaubnistatbestände i.s. des 4 Abs. 1 BDSG. Die Durchführung eines entsprechenden Abgleichs bedarf damit einer gesonderten datenschutzrechtlichen Grundlage. Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 27

28 Datenschutzrechtliche Erlaubnistatbestände Ein Abgleich von Beschäftigtendaten auf Grundlage von 32 Abs. 1 Satz 1 BDSG ist für den Bereich der AEO Zertifizierung nach der Entscheidung des Bundesfinanzhofs vom zulässig. Demgegenüber hat der Düsseldorfer Kreis im April 2009 festgestellt, dass der Abgleich mit Verdächtigenlisten nicht dem Arbeitsvertragsverhältnis dient. Ob sich aus 32 Abs. 1 Satz 1 BDSG eine pauschale Ermächtigung für einen regelmäßigen flächendeckenden Datenabgleich ergibt, ist damit datenschutzrechtlich offen. Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 28

29 Datenschutzrechtliche Erlaubnistatbestände Ein datenschutzrechtliche Legitimation für den Abgleich von Beschäftigtendaten lässt sich auch nicht aus anderen Tatbeständen des BDSG herleiten. So setzt etwa 32 Abs. 1 Satz 2 BDSG voraus, dass dokumentierte tatsächliche Anhaltspunkte für die Straftat eines einzelnen Beschäftigten vorliegen. Der Tatbestand des berechtigten Interesses in 28 Abs. Abs. 1 Satz 1 Nr. 2 BDSG (seine Anwendbarkeit unterstellt!) scheitert daran, dass schutzwürdige Interessen der Betroffenen überwiegen. Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 29

30 Datenschutzrechtliche Erlaubnistatbestände Datenschutzrechtliche Tatbestände, die einen umfassenden und permanenten Abgleich der Beschäftigtendaten mit EU Antiterrorlisten legitimieren würden, lassen sich aus dem BDSG nicht ableiten. Ein umfassender und permanenter Datenabgleich ist damit ohne datenschutzschutzrechtliche Grundlage. Zulässig kann hingegen ein einmaliger Abgleich (etwa bei Beschäftigungsbeginn) oder ein wiederholter Abgleich bezogen auf veränderte Listeninhalte sein, weil für diese Verarbeitung ein Zweck klar erkennbar ist. Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 30

31 5. Möglichkeiten und Grenzen Es gibt keine allgemeine Verpflichtung, einen permanenten und umfassenden Abgleich der in einem Unternehmen Beschäftigten mit den EU Antiterrorlisten durchzuführen. Zulässig ist hingegen ein einmaliger Abgleich, an den sich Folgeprüfungen anschließen, die sich auf einen Abgleich mit geänderten Daten beschränken. Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 31

32 Möglichkeiten und Grenzen Soweit Screenings zulässig sind, müssen sich die hierfür verwendeten Daten schon mit Blick auf in 3a BDSG enthaltene Gebot der Datenvermeidung und Datensparsamkeit auf das notwendige Minimum beschränken. Ggf. ist ein abgestuftes Verfahren zu wählen, das zusätzliche Daten erst hinzufügt, wenn dies zur Unterscheidung von Personen erforderlich wird. Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 32

33 Filterkriterien Als Filterkriterien kommen alle Arten von personenbezogenen Daten in Betracht, die in den EU Antiterrorlisten enthalten sind, also insbesondere Name, Vorname, Anschrift, Geburtsort Geburtstag usw. Ausgeschlossen sind Arten personenbezogener Daten, die auf den EU Antiterrorlisten nicht auftauchen (etwa Personalnummern). Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 33

34 Namensähnlichkeit Aus datenschutzrechtlicher Sicht darf nur eine Suche bezogen auf die konkret in den EU Antiterrorlisten benannten personenbezogenen Daten erfolgen. Eine Ähnlichkeitssuche ist gesetzlich nicht vorgesehen und wäre ohne datenschutzrechtliche Grundlage. Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 34

35 6. Mitwirkung und Mitbestimmung Die Tatsache, dass grundsätzlich eine Verpflichtung zu Lasten von Arbeitgebern besteht, einen (begrenzten) Datenabgleich vorzunehmen, führt nicht zwingend dazu, dass Mitwirkungs und Mitbestimmungsrechte von Betriebsräten ausgeschlossen sind. Neben allgemeinen Informationsrechten nach 80 Abs. 1 Nr. 1 BetrVG können auch die Mitbestimmungsrechte nach 87 Abs. 1 Nr. 6 und 1 BetrVG einschlägig sein. Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 35

36 Mitbestimmung nach 87 Abs. 1 Nr. 6 BetrVG Der Abgleich von Beschäftigtendaten mit EU Antiterrorlisten wird im Regelfall nicht manuell erfolgen, sondern unter Einsatz von IT Systemen. Damit wird das Mitbestimmungsrecht nach 87 Abs. 1 Nr. 6 BetrVG ausgelöst (=in der Literatur strittig!). Dieses Mitbestimmungsrecht besteht bezüglich technischer Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 36

37 Streit um die Mitbestimmung nach 87 Abs. 1 Nr. 6 BetrVG Für das Mitbestimmungsrecht nach 87 Abs. 1 Nr. 6 BetrVG spricht insbesondere dass Modifikationen bestehender (mitbestimmter) Systeme durchgeführt werden bzw. dass Schnittstellen zu anderen Systemen eröffnet werden; dass Arbeitgeber Informationen über außerdienstliches Verhalten von Beschäftigten erlangen können; dass im Regelfall Informationen über die Beschäftigten erzeugt werden, die die Systeme bedienen. Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 37

38 Mitbestimmung nach 87 Abs. 1 Nr. 1 BetrVG Das Mitbestimmungsrecht nach 87 Abs. 1 Nr. 1 BetrVG besteht bei Fragen der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer im Betrieb. Keine Mitbestimmung ist hingegen bezogen auf individuelle Anweisungen zum Arbeitsverhalten gegeben. Das Mitbestimmungsrecht ist einschlägig für Compliance Regelungen oder für Ethik Richtlinien. Da die Ausgestaltung von Screening Verfahren nicht auf das individuelle Arbeitsverhalten zielt, sondern allgemeine Vorgaben enthält, wird das Mitbestimmungsrecht ausgelöst (strittig!). Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 38

39 7. Was tun? Betriebsräte sollten unumgängliche Verfahren zur Terrorismusprüfung auf der Grundlage bestehender Mitwirkungs und Mitbestimmungsrechte aktiv mit gestalten. Auf dieser Grundlage ist eine Ausgestaltung möglich, bei der Eingriffe in Rechte der Beschäftigten so gering wie möglich bleiben. Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 39

40 Was tun? Gestaltungsansätze Einmaliger Gesamtabgleich, gefolgt von Prüfungen, die sich auf die Veränderungsdaten beschränken. Einsatz transparenter Verfahren. Festlegung einer strikten Zweckbindung und (unterhalb der Schwelle terroristischen Handelns) Verankerung eines Beweisverwertungsverbots für andere Zwecke. Unterstützung betroffenen Personen bis zum Abschluss des Prüfverfahrens, soweit dies gesetzlich möglich ist. Hannover Mitarbeiter Screening und Mitbestimmung Wedde 2015 Seite 40

41 Dr. Peter Wedde Professor für Arbeitsrecht und Recht der Informationsgesellschaft an der Frankfurt University of Applied Sciences FRA UAS Fachbereich 2 Informatik und Ingenieurwissenschaften Wissenschaftlicher Leiter des Instituts für Datenschutz, Arbeitsrecht und Technologieberatung d+a consulting GbR, Eppstein Beratung von Betriebs und Personalräten zu Themen wie etwa Datenschutz und Beschäftigtendatenschutz Einführung und Änderung von IT Systemen und von neuen Technologien Regelungen zu Verhaltens und Leistungskontrollen Regelungen zur Auftragsdatenverarbeitung und zur transnationalen Datenübermittlungen Umgang mit Social Media und Social Business Anwendungen Softwareergonomie und Gesundheitsschutz Wissenschaftlicher Berater des Rechtsanwältinnenbüros Steiner, Mittländer & Fischer, Frankfurt wedde@da consulting.de consulting.de Tel.: Mobil: Postanschrift: d+a consulting GbR, Hasenborn 9a, Eppstein