Datenschutzrechtliche Relevanz der Sanktionslistenprüfung

von Kathrin Bernecker

In vielen Unternehmen werden sog. Sanktionslistenprüfungen oder Embargolistenprüfungen durchgeführt. Dass es sich dabei um ein datenschutzrechtlich relevantes Thema handelt, gerät gerne in Vergessenheit. Da es jedoch im Rahmen dieser Prüfung zur Verarbeitung von personenbezogenen Daten kommt, ist der Anwendungsbereich des DSGVO eröffnet und die Vorgaben sind einzuhalten.

Was sind Sanktionslisten?

Sanktionslisten oder Embargolisten sind staatliche Verzeichnisse, welche erlassen werden, um ein bestimmtes Verhalten zu erreichen. Bestimmte geschäftliche Beziehungen, zu bestimmten Personen oder Organisationen, oder bzgl. bestimmter Produkte, werden dadurch sanktioniert. Oft besteht keine gesetzliche Pflicht zur Prüfung. Dennoch können Sanktionen erhoben werden, wenn einschlägige Geschäftsbeziehungen eingegangen werden.

Ziel der personen-/ organisationsbezogenen Sanktionslistenprüfung ist die weltweite Terrorismusbekämpfung. Der Erlass von länder-/produktbezogenen Sanktionslisten hat meist politische oder wirtschaftliche Gründe. Deshalb ordnen unterschiedliche nationale Gesetze z.B. an,

  • Gelder und wirtschaftliche Ressourcen von terrorverdächtigen Personen und Einrichtungen einzufrieren,
  • ihnen weder direkt noch indirekt Gelder oder sonstige Wirtschaftsressourcen zur Verfügung zu stellen (Bereitstellungsverbot) sowie
  • keine bestimmten Güter an bestimmte Personen, Organisationen und Einrichtungen zu verkaufen und auszuführen (Waffenembargo).

Verstöße gegen diese Bestimmungen können bspw. Straftaten nach den §§ 17 ff. AWG darstellen.

Durchführung der Prüfung

Um sich nicht strafbar zu machen oder sonstige Sanktionen zu riskieren, werden in vielen Unternehmen Personen, Organisationen und Unternehmen geprüft, bevor eine Geschäftsbeziehung mit ihnen eingegangen wird. Zu diesem Zweck ist oft eine Software im Einsatz, welche die eingegebenen Personen, Organisationen und Unternehmen mit einer stets aktuellen Version der verschiedenen Listen abgleicht.

Auch in laufenden Geschäftsbeziehungen finden meist regelmäßige Überprüfungen statt. Von der Datenverarbeitung betroffen sind Kunden, Lieferanten, alle Geschäftspartner, aber auch alle Beschäftigten im Sinne von § 26 Abs. 8 BDSG.

Datenschutzrechtlich relevante Aspekte

Wenn eine Software im Einsatz ist, ist im Einzelfall zu prüfen, ob eine Auftragsverarbeitung nach Art. 4 Nr. 8 DSGVO vorliegt. Ggf. ist mit dem Auftragsverarbeiter eine Vereinbarung nach Art. 28 DSGVO abzuschließen. Die Verarbeitungstätigkeit ist im Verzeichnis nach Art. 30 Abs. 1 DSGVO zu dokumentieren. Die allgemeinen Vorgaben aus Art. 5 DSGVO sind zu beachten, z.B. dürfen die Prüfergebnisse nicht unbegrenzt aufbewahrt werden. Die Informationen dürfen nicht zweckentfremdet werden und für die Datenverarbeitung muss eine Rechtsgrundlage vorhanden sein. Zudem müssen die Informationspflichten nach Art. 13, 14 DSGVO gewahrt werden. Die von der Datenverarbeitung betroffenen Personen müssen im gesetzlich vorgegebenen Umfang informiert werden.

 

Wenn Sie Unterstützung bei der datenschutzkonformen Gestaltung der Sanktionslistenprüfung in Ihrem Unternehmen oder sonstigen Themen rund um den Datenschutz benötigen, vereinbaren Sie einfach hier einen Termin mit uns! Wir beraten Sie gerne.

assets/images/d/kathrin-bernecker-6991d47d.jpeg
Kathrin Bernecker

Kathrin Bernecker studierte Rechtswissenschaften an der Ludwig-Maximilians-Universität München und der Universität Passau. Sie kann zwei juristische Staatsexamen vorweisen und spezialisierte sich nach ihrem Referendariat auf Datenschutzrecht. Ihre Erfahrung als Dozentin an der Universität Passau kommt unseren Kunden insbesondere bei Schulungen und Awareness-Trainings im Bereich Datenschutz und IT-Sicherheit zu Gute. Als Datenschutzbeauftragte steht sie unseren Kunden nicht nur mit ihrer juristischen Expertise sondern auch mit praxisnahen Lösungen zur Seite.