Sanktionslisten: Verpflichtendes Mitarbeiter-Screening

Unternehmen müssen sicherstellen, dass Personal und Bewerber nicht auf internationalen Sanktionslisten zur Terrorbekämpfung stehen und bewegen sich damit zwischen Datenschutz und Terrorbekämpfung. Sonst riskieren sie empfindliche Strafen und einen Reputationsschaden, da gerade von Partner- und Zuliefererseite Nachweise der Screenings immer stärker nachgefragt werden. Das ist manuell nicht ohne Weiteres zu leisten, da die Listen häufig aktualisiert werden und ein konstanter Nachweis für die Nicht-Listung eines Mitarbeiters erbracht werden muss. Sicher und einfach gelingt das mit einer Software.

Was die eigene Personalpolitik mit den Terroranschlägen des 11. September zu tun hat? Einiges: Denn Unternehmen müssen sicherstellen, dass ihre Mitarbeiter, Betriebsrentner, aber auch Bewerber nicht mit terroristischen Aktivitäten in Verbindung stehen und deswegen ein Sanktionslisten-Screening durchführen. Diese Listen wurden nach 9/11 zur Bekämpfung von Terrorismus eingeführt: Die Länder der Vereinten Nationen müssen dafür die UN-Resolution 1373/2001 des UN-Sicherheitsrats umsetzen, wofür die EU die Verordnungen 2580/2001 – 881/2002 erließ, die wiederum in nationale Gesetzgebung gefasst wurden. Damit ist es Unternehmen verboten, terroristischen Organisationen und Einzelpersonen im In- und Ausland wirtschaftliche Ressourcen wie Lohn, Vermögenswerte, Dienstleistungen, Güter oder auch Zertifikate zur Verfügung zu stellen.

Da die Gesetzgebung nicht nur Firmen, sondern auch Einzelpersonen in den Fokus nimmt, müssen Unternehmen ihre Mitarbeiter mit Sanktionslisten abgleichen. Diese werden weltweit herausgegeben, zum Beispiel vom Bureau of Industry and Security (BIS) oder dem Office of Foreign Assets Control (OFAC) in den USA, aber auch von der EU, der UN, Kanada oder Japan. Dazu kommen weitere Listen von EU-Mitgliedsländern wie Frankreich oder den Niederlanden. Das Problem: Die Listen werden ständig aktualisiert und die Zahl von Datensätzen und Updates steigt stetig: 2019 gab es weltweit 30 Listen und mehr als 110.000 Datensätze. 2020 wurden mehr als 600 Updates durchgeführt. Da die Verbote an Personen und nicht an Regionen oder Länder geknüpft sind, sind alle Unternehmen jeder Größe und Branche von der Screening-Pflicht betroffen. Oft sind sie sich darüber aber nicht im Klaren.

Datenschutz versus Sanktionslisten-Screening

In Deutschland kollidiert das Sanktionslistenscreening der Mitarbeiter mit dem Datenschutz gerade von sensiblen, personenbezogenen Informationen. Betriebsräte erheben hier oft Einwände. Allerdings sieht die aktuelle Regelung vor, dass Betriebsräte nur ein Stimmrecht bei der Einführung von Software haben, die das Verhalten beziehungsweise die Leistung von Mitarbeitern messen kann. Eine Sanktionslistenprüfung tut das nicht und damit ist ihre Einführung nicht an das Einverständnis des Betriebsrats gekoppelt.

Nun gibt es unterschiedliche Auffassungen, gegen welche Listen die Beschäftigten geprüft werden müssen, was für Unternehmen einen unangenehmen Zwiespalt bedeutet. Denn der deutsche Datenschutz verbietet Prüfungen gegen Listen außerhalb der EU, doch gerade international agierende Firmen wollen sich in der Praxis auch gegen eine US-Listung absichern. Für globale Unternehmen gilt die Gesetzgebung ihres Firmensitzes, in der Praxis hat sich die Auswahl der Listen nach dem Sitz von Tochtergesellschaften bzw. Legal Entities bewährt.

Dabei ist es nicht ausreichend, die Mitarbeiter am Anfang des Beschäftigungsverhältnisses bzw. vor dem ersten Bewerbungsgespräch zu prüfen oder einen eigenen Rhythmus für die Screenings etwa quartalsweise zu wählen. Denn ein Unternehmen muss zu jedem Zeitpunkt gewährleisten, dass seine Beschäftigten nicht gelistet sind. Bei Bewerbern sollten Unternehmen nach der Erstauswahl eine Prüfung durchführen, um Ressourcen zu sparen – verpflichtend ist sie ab der Gesprächseinladung des Kandidaten.

Vorteile für die Personalabteilung

Ohne Software ist das Screening sehr aufwändig. Die Listen müssten stets auf Änderungen geprüft und mit jedem einzelnen Teammitglied abgeglichen werden. Auch die Dokumentation müsste in jedem Fall manuell etwa in Form von Screenshots erfüllt werden. Hinzu kommt, dass eine manuelle Prüfung keine Toleranz für Fehler wie Buchstabendreher mitbringt, was das Ergebnis des Screenings beeinflussen kann.

Die Prüfung der Belegschaft erfolgt idealerweise in der Personalabteilung über eine externe Plattformlösung – und ohne die Inanspruchnahme der hauseigenen IT. So wird nicht nur die IT entlastet, die in der Regel unter einer großen Arbeitsbelastung steht. Es ist wesentlich, dass bei der Prüfung Vertraulichkeit gewährleistet werden kann und die Vermischung von operativen essenziellen Betriebsdaten und sensiblen Personaldaten verhindert wird: Über mögliche Treffer darf die IT-Abteilung nicht in Kenntnis sein.

Mit einer Plattformlösung wie die Software DominoWATCH des Marktführers SAPPER ist die Personalabteilung in der Lage über passwortgeschützte Accounts selbständig und unabhängig Belegschaft und Bewerber zu verwalten, Screenings durchzuführen und eine eigenständige Datensicherung vorzunehmen. Human Resources (HR) lädt einmalig die Bestandsdaten hoch und erfasst die Bewerber. Das Delta-Batch-Verfahren der SAPPER-Lösung garantiert, dass bei jeder Änderung von Listen die Prüfergebnisse automatisch neu validiert werden. Alle verfügbaren Listen werden tagesaktuell gepflegt. Bewerber werden mit Adhoc-Abfragen individuell geprüft. Die Personalabteilung muss lediglich sicherstellen, dass beim Erst-Upload alle Mitarbeiter erfasst sind. Das Tool deckt auch das notwendige Reporting und damit die Dokumentation der Prüfungen ab.

Ein weiterer Vorteil eines unabhängigen Systems: Es gewährleistet, dass Bewerber und Mitarbeiter, die nicht eingestellt wurden bzw. nicht mehr für das Unternehmen tätig sind, nicht einer weiteren Revalidierung unterzogen werden und unterscheidet damit aktive von nicht mehr aktiven Datensätzen. Für die IT wäre eine solche Selektion der Datensätze nach der DSGVO mit ihren Löschpflichten sehr aufwändig. HR ist dagegen im Bilde und kann das Problem auf einer Plattform mit wenigen Klicks lösen. Kommt es tatsächlich zu einem Treffer, ist HR mithilfe von dominoWATCH in der Lage festzustellen, ob Personengleichheit vorhanden ist und es sich nicht nur um einen technischen Hit handelt. Dafür stellt die Software Informationen strukturiert tabellarisch zur Verfügung – Adresse, Geburtsdatum oder Passnummer.

Eine Plattformlösung ist einer Inhouse-Lösung auch deswegen überlegen, weil bei letzterer die IT als Hoster auftritt, die Sicherheit gewährleisten muss und doch wieder in die Aufgabe der Mitarbeiterprüfung involviert ist. Leichter geht das mit einem externen Anbieter, der Archivierung anbietet, Angriffe abwehrt und die Sicherheit der Daten gewährleistet. Hier ist ein Rechenzentrum mit Sitz in Deutschland aus Datenschutzgründen essentiell. Wichtig ist weiterhin, dass das Tool eine gute Usability auch für nicht IT-affine Personen bietet und eine geringe Fehlerquote aufweist, um unangenehme Situationen zu vermeiden. Das Tool von SAPPER hat eine Fehlerquote von 0,1 bis 0,3 Promille. Der Algorithmus scannt jedes Wort und jeden Buchstaben einzeln und kann damit Hör- und Schreibfehler wie Buchstabendreher ausgleichen.

Prüfungen durch BAFA und hohe Strafen

Im Rahmen von Wirtschaftsprüfungen oder durch BAFA und Zoll wird in Deutschland die Compliance geprüft. Doch auch von (potenziellen) Geschäftspartnern geht Druck aus: Insgesamt ist eine steigende Nachfrage für Nachweise der Prüfungen von Dienstleistern und Lieferanten zu beobachten – vor allem bei Personaldienstleistern und Zeitarbeitsfirmen. Es kann zum Beispiel passieren, dass ein Dienstleister den Nachweis erbringen muss, dass er sein Reinigungspersonal gegen die Sanktionslisten gecheckt hat. Große Firmen halten zudem interne Compliance-Audits ab und verlangen von ihren Tochtergesellschaften Prüfnachweise von Revalidierungen, wenn die Änderung einer Liste erfolgt ist. Compliance ist auch die Voraussetzung für eine AEO (Authorised Economic Operator) – Zertifizierung: Diesen Status können Wirtschaftsbeteiligte in der EU seit 2008 beantragen. Sie gelten damit als vertrauenswürdig und profitieren von beschleunigten und vereinfachten Verfahren bei sicherheitsrelevanten Vollkontrollen.

Was viele nicht wissen: Die Strafen für Verstöße sind drakonisch und reichen bis zu 10 Jahren Freiheitsentzug bei vorsätzlichem Verstoß und Geldstrafen bis zu 500.000 Euro bei fahrlässigem Verstoß. Aber bereits eine Strafe auf Bewährung bedeutet für den Geschäftsführer eines Unternehmens, dass er als vorbestraft gilt und sein beruflicher Werdegang nicht unerheblich belastet wird. Unternehmen laufen Gefahr, ihren Ruf zu schädigen und ihre Geschäftspartner zu verlieren, wenn sie durch Unachtsamkeit selbst auf einer Sanktionsliste geführt werden. Die USA drohen mit extraterritorialer Strafverfolgung – mangels Zugriffes auf die Geschäftsführung wird dann die gesamte Firma sanktioniert.

Fazit

Unternehmen sind in der Pflicht, ihre Beschäftigten – aktive wie Rentner – und Bewerber einem Sanktionslistenscreening zu unterziehen. Das gelingt am einfachsten mit einer Plattformlösung die, abgekoppelt von der IT, von der Personalabteilung genutzt werden kann. So wird der Workload der IT minimiert und gleichzeitig der Schutz sensibler, personenbezogener Daten und damit die Trennung von persönlichen und operativen Informationen sichergestellt.

von Marie-Helene Wessel, Geschäftsführerin der SAPPER INSTITUT GmbH

www.sapper.de