Die Prüfung von Sanktionslisten gewinnt im Geschäftsverkehr zunehmend an Bedeutung und führt zu Compliance-Risiken und Handlungsbedarf für Unternehmen: Die Europäische Union hat in den zurückliegenden Jahren eine Vielzahl von Sanktionslisten erlassen, die es in der Europäischen Union tätigen Unternehmen untersagen, Geschäftskontakte zu auf diesen Listen verzeichneten Personen, Gruppen und Organisationen zu unterhalten und finanzielle Mittel für diese bereitzustellen. Vergleichbare Sanktionslisten gibt es auch im außereuropäischen Ausland, insbesondere in den USA. In den letzten zwei Jahren ist ihre praktische Relevanz aufgrund verschärfter Sanktionen gegen Russland und den Iran noch einmal erheblich gestiegen. 

Die Sanktionslisten sind in der Regel sehr umfangreich und werden zudem regelmäßig aktualisiert und ergänzt. Um die daraus resultierenden Verbote verlässlich einhalten zu können, sollten Unternehmen auf einen automatisierten Datenabgleich zurückgreifen. Bei diesem Datenabgleich sowie bei allen damit einhergehenden Rechts- und Compliance-Fragen unterstützen wir Sie gern mit unserem neuen Dienstleistungs- und Beratungsangebot Sanktionslistenscreening. 

Datenschutzrechtliche Aspekte 

Beim Abgleich der personenbezogenen Daten von Mitarbeitenden, Kunden und Lieferanten mit den Sanktionslisten (Screening) sind insbesondere die Vorschriften des Datenschutzes zu beachten. Voraussetzung für eine entsprechende Datenverarbeitung ist, dass das Unternehmen entweder gesetzlich zur Durchführung von Screenings verpflichtet ist oder dass ihm beim Unterlassen eines solchen Screenings relevante Nachteile/Sanktionen drohen.  

Zu unterscheiden ist dabei zwischen europäischen und außer-europäischen Sanktionslisten. Die EU-Verordnungen enthalten zwar keine explizite Pflicht zum Datenabgleich, aber ein sogenanntes Bereitstellungsverbot. Dies beinhaltet das Verbot der Bereitstellung von Geldern, anderen finanziellen Vermögenswerten und wirtschaftlichen Ressourcen an Personen, Gruppen und Organisationen, die auf den Sanktionslisten aufgeführt sind. Diesem Verbot können Unternehmen faktisch nur dann nachkommen, wenn sie einen entsprechenden Abgleich personenbezogener Daten vornehmen. Als rechtliche Grundlage kommen insoweit Art. 6 (1) lit. c DSGVO (gesetzliche Verpflichtung) oder Art. 6 (1) lit. f DSGVO (Wahrnehmung berechtigter Interessen) im Hinblick auf anderenfalls drohende Nachteile/Sanktionen für das Unternehmen in Betracht. Screenings von Mitarbeitenden werden von deutschen Datenschutzbehörden mangels einer ausdrücklichen rechtlichen Verpflichtung teilweise als kritisch angesehen. Der Bundesfinanzhof hat allerdings in einem älteren Urteil (Az. VII R 43/11) entschieden, dass ein Mitarbeiterscreening im Zusammenhang mit dem Zollverfahren AEO (Authorised Economic Operator) datenschutzrechtlich zulässig ist. 

Der Abgleich mit ausländischen, insbesondere US-Sanktionslisten ist grundsätzlich kritischer zu betrachten und die Zulässigkeit jeweils im Einzelfall zu prüfen. Bei internationalen Konzernen können ggf. gruppenweite Pflichten zum Abgleich aufgrund ausländischer Rechtsvorschriften im Rahmen des berechtigten Interesses berücksichtigt werden.  

Eine ordnungsgemäße Dokumentation des gesamten Prozesses einschließlich der rechtlichen Vorüberlegungen ist wichtig: Essentiell sind dabei eine transparente Information der Betroffenen über das Screening, eine Datenschutzfolgenabschätzung sowie die Einhaltung der Prinzipien der Datenminimierung, Zweckbindung und Speicherbegrenzung. Die entsprechenden Verarbeitungsprozesse sind in die Datenschutzinformationen sowie die Verarbeitungsverzeichnisse des Unternehmens aufzunehmen. Beim Einsatz eines Dienstleisters für den Sanktionslistenabgleich ist zudem ein Auftragsverarbeitungsvertrag erforderlich, dessen Einhaltung kontrolliert werden sollte. 

Arbeitsrechtliche Aspekte 

Das Bereitstellungsverbot aus den EU-Verordnungen wirkt sich auch auf Arbeitsverhältnisse aus, denn es untersagt jegliche Zahlungen – einschließlich der Zahlung von Arbeitsentgelt – an Personen, die auf Sanktionslisten aufgeführt sind. Ergibt der vom Unternehmen vorgenommene Datenabgleich einen „Treffer“, dürfen keine weiteren Zahlungen vorgenommen und das Arbeitsverhältnis sollte zügig durch Kündigung oder ggf. Anfechtung beendet werden.   

Insbesondere beim Abgleich von Arbeitnehmerdaten mit Sanktionslisten sollten die Prüfungen zunächst mit möglichst wenigen Daten vorgenommen werden. Das Bundesarbeitsgericht (Az. 1 ABR 32/16) hat insoweit festgestellt, dass kein Mitbestimmungsrecht des Betriebsrates nach § 87 Abs. 1 Nr. 6 BetrVG besteht, wenn nur Vor- und Nachnamen von Arbeitnehmern mit Sanktionslisten abgeglichen werden.  

Für die betriebliche Praxis empfehlen wir, Screenings bei Mitarbeitenden nicht zu häufig pauschal und anlasslos durchzuführen. Auch der Zugriff auf die Listen und Ergebnisse des Datenabgleichs sollte auf einen eng definierten Personenkreis beschränkt sein. 

Außenwirtschaftsrechtliche Aspekte  

International agierende Unternehmen sind in besonderem Maße zur Einhaltung der außenwirtschaftsrechtlichen Vorgaben verpflichtet. Da insbesondere der Güter- und Zahlungsverkehr mit dem Ausland streng reguliert und überwacht wird, halten diese Unternehmen regelmäßig ein internes Compliance-Management-System zum Nachweis der Einhaltung von erforderlichen Sorgfaltspflichten und Mindeststandards vor. Vergleichbare Verpflichtungen richten sich jedoch auch an Unternehmen, die ausschließlich national tätig sind. Da insbesondere das Bereitstellungsverbot gegenüber natürlichen Personen unabhängig von deren Aufenthaltsort gilt, sind auch Leistungen an derartige Personen in Deutschland mit empfindlichen Strafen bedroht. Daher sollten alle Unternehmen geeignete Maßnahmen zur Vermeidung von außenwirtschaftsrechtlichen Verstößen ergreifen. 

Erhebliche Sanktionen bei Verstößen 

Für Unternehmen und deren Management drohen bei Verstößen gegen das aus den EU-Verordnungen folgende Bereitstellungsverbot erhebliche Sanktionen:  

Vorsätzliche Verstöße können zu einer Freiheitsstrafe von drei Monaten bis zu fünf Jahren, fahrlässige Verstöße zu einer Geldbuße von bis zu EUR 500.000 führen (§§ 18, 19 Außenwirtschaftsgesetz). Darüber hinaus kommen eine Gewerbeuntersagung wegen Unzuverlässigkeit sowie ein Eintrag in das Gewerbezentralregister in Betracht. Ein Vorwurf der Unzuverlässigkeit des Unternehmens führt auch regelmäßig dazu, dass verwaltungsrechtliche Sanktionen in Form von Bewilligungsentzug drohen und damit international agierende Unternehmen negativ in ihrer Lieferkette beeinträchtigt werden. 

Auch gegen Geschäftsführer persönlich kann ggf. eine Geldbuße wegen der Unterlassung erforderlicher Aufsichtsmaßnahmen verhängt werden (§ 130 OWiG). Beim Vorliegen einer derartigen Anknüpfungstat ist eine zusätzliche Geldbuße gegen das Unternehmen von bis zu EUR 10.000.000 möglich (§ 30 OWiG).  

Unser Dienstleistungsangebot: Sanktionslistenscreening 

Um Ihr Unternehmen bei der Einhaltung der rechtlichen Vorgaben zu unterstützen, bieten wir ein Sanktionslistenscreening an. Unser Dienstleistungsangebot umfasst nicht nur die Durchführung eines Datenabgleichs mit den entsprechenden Sanktionslisten, sondern auch eine individuelle Beratung hinsichtlich datenschutz- und arbeitsrechtlicher Aspekte. Soweit Beratungsbedarf bezüglich außenwirtschaftsrechtlicher Vorgaben besteht, unterstützen wir ebenfalls gern. Auf diese Weise können Sie Risiken frühzeitig identifizieren und die erforderliche Compliance sicherstellen.  

Gern stellen wir Ihnen unser Dienstleistungsangebot im Einzelnen vor. Sprechen Sie bei Interesse gern Dr. Andrea Kröpelin und Benjamin Muxfeldt oder Ihre bekannten Ansprechpartner in unserer Kanzlei an.