Bald ist September, der Monat in dem wir alle jährlich wiederkehrend daran erinnert werden, dass die Bösartigkeiten des Menschen manchmal unvorstellbare Züge annehmen. Kein Wunder also, dass die unterschiedlichen Regierungen angesichts dieser diffusen Terrorbedrohung versuchen, wirksame Mittel zu finden, um der Bedrohung entgegenzuwirken und den Finanzsumpf der Fanatiker auszutrocknen. Die dabei bestehende Gefahr ist jedoch die Preisgabe der eigenen (schwer erkämpften) Rechte zugunsten einer vermeintlich zu erringenden Sicherheit.
Der Inhalt im Überblick
Swift-Abkommen
Aufgrund des Swift-Abkommen sorgt die EU dafür, dass dem US-Finanzministerium angeforderte Zahlungsverkehrsdaten und damit verbundene Daten für die Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Terrorismus und Terrorismusfinanzierung bereitgestellt werden. Die Tauglichkeit zur Terrorbekämpfung ist umstritten, auch das Bundeskriminalamt hält den Datentransfer in die USA für unsinnig.
Tatsächlich sind die USA nicht gerade dafür bekannt ein Paradebeispiel des Datenschutzes zu sein. Betrachtet man zudem die Tatsache, dass es auch vor dem 11. September auf Geheimdienstseite viele Hinweise und Daten gab, welche Rückschlüsse auf die bevorstehendem Anschläge zuließen, so belegt dies, dass das unfiltrierte und anlasslose Sammeln von Daten aufgrund der schlichten Masse ohnehin lediglich dazu führt, dass Auswertungen kaum effektiv möglich sind.
Auch der Europol Joint Supervisory Body (JSB) stellte in einem Bericht fest, dass elementare Datenschutzanforderungen nicht eingehalten werden.
Terrorist Finance Tracking System (TFTS)
Um die Übermittlung von Daten an die USA im Rahmen des Swift-Abkommens zu verringern, plant die EU nunmehr die Einführung eines eigenen Terrorist Finance Tracking Systems (TFTS). Nach einem Bericht von heise online sollen aber auch hier die Bankdaten aller EU-Bürger anlasslos unter die Lupe genommen werden. Die damit verbundenen Aufbaukosten werden auf rund 33 bis 47 Millionen und die jährlichen Betriebsaufwendungen auf 7 bis 11 Millionen Euro geschätzt. Peanuts und gut angelegt im Vergleich zur Griechenlandkrise also.
Ob hier der kriminalistische Nutzen höher zu bewerten ist, darf bezweifelt werden. Das Gute daran ist allerdings, dass der Datentransfer in die USA massiv eingeschränkt wird. Immerhin, man gibt sich ja schon mit wenig zufrieden!
Terrorscreening als Unternehmerpflicht
Auf der Palette der europäischen Anti-Terror-Waffen steht auch die Verpflichtung von Unternehmen zu sog. Terrorscreenings. Es besteht eine Verpflichtung zum Abgleich mit den aus den EU-Verordnungen 2580/2001 und 881/2002 resultierenden Terrorlisten, da EU-Verordnungen aufgrund Art 249 EGV unmittelbare Wirkung entfalten.
Eine vorsätzliche Zuwiderhandlung gegen die EU-VO’en kann gem. §34 IV Nr. 2 AWG mit Freiheitsstrafe von sechs Monaten bis zu fünf Jahren geahndet werden. Wer eine solche Handlung begeht, die geeignet ist, die äußere Sicherheit der Bundesrepublik Deutschland, das friedliche Zusammenleben der Völker oder die auswärtigen Beziehungen der Bundesrepublik Deutschland erheblich zu gefährden, kann mit Freiheitsstrafe nicht unter zwei Jahren bestraft werden (§34 VI Nr. 4 AWG).
Fahrlässiges Handeln kann dagegen mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe geahndet werden (§34 VII AWG).
Hinzu kommt, auch ohne Verschulden und ohne Abzug der Vorkosten, die Gefahr einer Umsatzabschöpfung nach dem Bruttoprinzip (§§ 36 AWG, 73 Abs.3 StGB). Das heißt, dass alle während der Tat erlangten wirtschaftlichen Werte abgeschöpft werden können, ohne dass die entstandenen Kosten vom Erlös abgezogen werden.
Das Problem:
Die entscheidende und bisher nicht abschießend geklärte Frage ist jedoch, auf welche Art und Weise dieser Abgleich stattzufinden hat, da die beiden EU-VO’en nichts über deren Durchführungen sagen. Es ist deshalb zweifelhaft, ob die VO’en eine Verpflichtung für einen automatisierten Abgleich vorsehen, denn dieser kann grds. auch manuell erfolgen.
Der Bundesdatenschutzbeauftragte weist daher in seinem 23. Tätigkeitsbericht (Seite 144) darauf hin, dass ihm auf Anfrage seitens der Bundesregierung mitgeteilt worden sei, dass Unternehmen und andere Wirtschaftsbeteiligte rechtlich nicht zu einem systematischen, anlassunabhängigen Abgleich ihrer Kunden- und Mitarbeiterdateien verpflichtet seien. Im Umkehrschluss folgt daraus, dass ein anlassabhängiger, nicht-systematischer Abgleich zulässig wäre.
Die Bundesregierung weist auch in BT-Drucks. 17/4136 (Seite 2 a.E.) nochmals darauf hin, dass die Terrorismusverordnungen keinen systematischen, anlassunabhängigen Abgleich von Mitarbeiterdateien mit den Sanktionslisten verlangt. Wörtlich heißt es dort:
In Deutschland ist der Bereich in der AEO-Dienstvorschrift der Zollverwaltung so umgesetzt, dass AEO-Antragsteller nachvollziehbar darzulegen haben, dass sie ihre Bediensteten anhand der Namenslisten nach den Verordnungen (EG) Nrn. 2580/2001 und 881/2002 (sog. Terrorismusverordnungen) überprüfen. Diese verlangen keinen systematischen, anlassunabhängigen Abgleich von Mitarbeiterdateien mit den Sanktionslisten, sondern – entsprechend dem allgemeinen Fahrlässigkeitsmaßstab – allenfalls nach Maßgabe von Sorgfaltspflichten (z.B. differenzierend nach verschiedenen Verkehrskreisen und Risikolagen). Es ist den Unternehmen überlassen, wie sie die Einhaltung der Terrorismusverordnungen sicherstellen.
Der Gesetzgeber hat an dieser Stelle leider darauf verzichtet allgemeingültige Aussagen zu treffen und vielmehr die konkrete Ausgestaltung auf die Unternehmen abgewälzt, was die Sache zunehmend erschwert. Folgt man der o.g. Auffassung, so bestünde die gem. § 4 I BDSG für eine Datenverwendung notwendige Rechtsvorschrift für einen systematischen und anlasslosen Abgleich nicht, da weder die EU-Verordnungen 2580/2001 und 881/2002 diesen voraussetzen, noch §32 I Satz 1 oder 2 BDSG einen solchen rechtfertigen könnten. Letztlich wurde §32 BDSG eingeführt um anlasslose Screenings wie bei der Deutschen Bundesbahn zu verhindern.
Verstöße gegen Datenschutzvorschriften können jedoch je Einzelfall mit Bußgeldern von bis zu 300.000,- EUR geahndet werden (§ 43 Abs. 2 und 3 BDSG). Haben Sie also mehr als einen Mitarbeiter, dann können Sie jetzt mit dem Multiplizieren anfangen.
Der Nutzen:
Was auf den ersten Blick nach einem effektiven Mittel zur Trockenlegung von Finanzströmen aussieht, entpuppt sich bei näherem Hinsehen als eine einzige Farce.
So hat die Bundesregierung auf eine Anfrage mitgeteilt, dass aufgrund dieser Verordnungen bereits sage und schreibe (jetzt halten Sie sich fest) ganze 203 EUR und 93 Cent (Erfolge sollen schließlich auch vollständig gewürdigt werden) eingefroren wurden. Angesichts des Zeitraums von 8 – 9 Jahren macht das pro Jahr des Bestehens der Verordnungen zwischen 25, 49 – 22,65 EUR pro Jahr oder 2,12 – 1,89 EUR pro Monat.
Ein ganz entscheidener Schlag gegen den Terror also, mit welchem die allmähliche Preisgabe von Bürgerrechten ohne Frage zu rechtfertigen ist. Wäre Osama nicht durch amerikanische Spezialeinheiten erschossen worden, so hätte ihn, angesichts solch ausgefeilter Maßnahmen, früher oder später sicherlich ein tödlicher Lachkrampf ereilt.
Fazit
Der Kampf gegen den Terror ist sicherlich erforderlich und muss auch mit der notwendigen Durchsetzungskraft geführt werden. Dennoch sollten wir darüber wachen, dass wir unsere mühsam errungenen Rechte nicht unter dem Deckmantel von Terrorabwehrmaßnahmen preisgeben. Insbesondere ist darauf zu achten, dass einschränkende Maßnahmen regelmäßig auch auf deren Sinnhaftigkeit überprüft und nicht aufgrund wahltaktischer Sicherheitshysterien von Innenministerien duchgeschleust werden. Terrorbekämpfung ist am Ende kein Selbstzweck.
Denn letztlich sollten gerade wir Deutschen uns, angesichts unserer geschichtlichen Erfahrungen unter zwei unterschiedlichen Regimes, über den immensen Wert von Freiheitsrechten bewusst sein.
Wenn Sie einen Datenschutzbeauftragten haben und ihn aus Symphatie einfach mal ärgern wollen (sorry Kollegen), dann fragen Sie nach einer Stellungnahme zum Ablauf und der Zulässigkeit von Mitarbeiterscreenings anhand der oben genannten Terrorlisten und einer Lösung angesichts von § 34 AWG und § 43 BDSG.
