Datenschutzrechtliche Relevanz der Sanktionslistenprüfung

Sanktionslisten oder Embargolisten sind staatliche Verzeichnisse, welche erlassen werden, um ein bestimmtes Verhalten zu erreichen. Bestimmte geschäftliche Beziehungen, zu bestimmten Personen oder Organisationen, oder bzgl. bestimmter Produkte, werden dadurch sanktioniert. Oft besteht keine gesetzliche Pflicht zur Prüfung. Dennoch können Sanktionen erhoben werden, wenn einschlägige Geschäftsbeziehungen eingegangen werden.

Ziel der personen-/ organisationsbezogenen Sanktionslistenprüfung ist die weltweite Terrorismusbekämpfung. Der Erlass von länder-/produktbezogenen Sanktionslisten hat meist politische oder wirtschaftliche Gründe. Deshalb ordnen unterschiedliche nationale Gesetze z.B. an,

• Gelder und wirtschaftliche Ressourcen von terrorverdächtigen Personen und Einrichtungen einzufrieren,
• ihnen weder direkt noch indirekt Gelder oder sonstige Wirtschaftsressourcen zur Verfügung zu stellen (Bereitstellungsverbot) sowie
• keine bestimmten Güter an bestimmte Personen, Organisationen und Einrichtungen zu verkaufen und auszuführen (Waffenembargo).

Verstöße gegen diese Bestimmungen können bspw. Straftaten nach den §§ 17 ff. AWG darstellen.

Um sich nicht strafbar zu machen oder sonstige Sanktionen zu riskieren, werden in vielen Unternehmen Personen, Organisationen und Unternehmen geprüft, bevor eine Geschäftsbeziehung mit ihnen eingegangen wird. Zu diesem Zweck ist oft eine Software im Einsatz, welche die eingegebenen Personen, Organisationen und Unternehmen mit einer stets aktuellen Version der verschiedenen Listen abgleicht.

Auch in laufenden Geschäftsbeziehungen finden meist regelmäßige Überprüfungen statt. Von der Datenverarbeitung betroffen sind Kunden, Lieferanten, alle Geschäftspartner, aber auch alle Beschäftigten im Sinne von § 26 Abs. 8 BDSG.

Wenn eine Software im Einsatz ist, ist im Einzelfall zu prüfen, ob eine Auftragsverarbeitung nach Art. 4 Nr. 8 DSGVO vorliegt. Ggf. ist mit dem Auftragsverarbeiter eine Vereinbarung nach Art. 28 DSGVO abzuschließen. Die Verarbeitungstätigkeit ist im Verzeichnis nach Art. 30 Abs. 1 DSGVO zu dokumentieren. Die allgemeinen Vorgaben aus Art. 5 DSGVO sind zu beachten, z.B. dürfen die Prüfergebnisse nicht unbegrenzt aufbewahrt werden. Die Informationen dürfen nicht zweckentfremdet werden und für die Datenverarbeitung muss eine Rechtsgrundlage vorhanden sein. Zudem müssen die Informationspflichten nach Art. 13, 14 DSGVO gewahrt werden. Die von der Datenverarbeitung betroffenen Personen müssen im gesetzlich vorgegebenen Umfang informiert werden.

Wenn Sie Unterstützung bei der datenschutzkonformen Gestaltung der Sanktionslistenprüfung in Ihrem Unternehmen oder sonstigen Themen rund um den Datenschutz benötigen, vereinbaren Sie einfach hier einen Termin mit uns! Wir beraten Sie gerne.