Geschäftspartnerüberprüfungen im Kontext von Datenschutz und neuer Datenschutzgrundverordnung

Experteninterview

Two Towers Consulting

Frau Rothe, worum geht es denn im Allgemeinen bei Geschäftspartnerüberprüfungen?

Die eine Geschäftspartnerüberprüfung gibt es nicht. Das zeigt bereits das Spektrum der Namensgebung, von Know Your Customer über Integrity Due Diligence hin zu Geschäftspartner-Screening. Im Allgemeinen steht hinter all diesen Begriffen aber ein einvernehmlicher Grundgedanke, nämlich, wissen zu wollen, wer das ist, mit dem man eine Geschäftsbeziehung eingehen wird beziehungsweise eventuell bereits eine führt. 

Aus welchem Grund, in welcher Tiefe, mit welchem Fokus und welchen Mitteln dieses Wissen erlangt werden soll, unterscheidet sich dann wiederum sehr stark.

Wie kommt es zu diesen Unterschieden? Geschäftspartnerüberprüfungen sind doch sicherlich gesetzlich vorgeschrieben.

Das kann man so pauschal nicht sagen. Während sich die Pflicht zur Identifikation oder Überprüfung von Geschäftspartnern aus verschiedenen deutschen und internationalen Gesetzgebungen für ein Unternehmen ergeben kann und auch die grundsätzlich gebotene kaufmännische Sorgfalt als Argument zur Verpflichtung herangezogen wird, gibt es keine, alle Unternehmen gleichermaßen verpflichtende Vorschrift zur umfassenden Geschäftspartnerüberprüfung. Schon gar nicht auf dem Niveau von allgemeingültigen Durchführungshinweisen. Das wäre auch nicht unbedingt zielführend.

Die Unterschiede begründen sich gerade in der Unterschiedlichkeit der Unternehmen, sei es nach Größe, Branche oder internationaler Ausrichtung. Ein kleiner Büromaterialhandel in Castrop-Rauxel mit drei Angestellten hat andere Geschäftspartner und somit Risiken und Überprüfungsbedürfnisse als ein international aufgestellter Automobilhersteller mit Kunden, Lieferanten und Vertriebsagenten in aller Herren Länder. Von Ressourcen ganz zu schweigen.

Dazu kommen die diversen Unternehmenskulturen. Es gibt risikoaffine, rein geschäftsorientierte Unternehmen und es gibt solche, die gegebenenfalls bereits einen Schaden durch Geschäftspartner erlitten haben. Auch hier ist die Bandbreite von Sensibilität und unternehmenspolitischem Willen sehr breit. Deshalb wird in der Regel ein risikoorientierter Ansatz empfohlen, der eben diesem Individualprinzip gerecht wird.

Sie würden Geschäftspartnerüberprüfungen also uneingeschränkt empfehlen?

Ich empfehle, sich der potenziellen Risiken der eigenen Geschäftspartner, insbesondere jener, über die ich wenig oder nichts weiß, gewahr zu sein und wichtige Fragen nicht aus Hoffnung auf ein gutes Geschäft oder falsch verstandener Höflichkeit offen zu lassen.

Für mich gilt im Rahmen einer Geschäftsanbahnung - gerade, wenn es um viel Geld geht - das alte Sprichwort „Vertrauen ist gut, Kontrolle ist besser". Eine glänzende Broschüre, ein eloquenter Redestil, die Hoffnung auf ein schnelles Geschäft dürfen einfach nicht über mangelnde Bonität oder Integrität hinwegtäuschen können. Sie glauben nicht, welche Fälle von letztlich teurer Gutgläubigkeit ich bereits erlebt habe. Dabei können schon eingeschränkte Recherchen helfen, Sicherheit zu erlangen.

Zum Beispiel: Ein angeblich erfolgreicher Bauträger, von dem mein Mandant persönlich sehr beeindruckt, ja aufgrund des hohen erwarteten Geschäftsvolumens regelrecht geblendet, war, brachte als seine Referenz einen, kein Scherz, golden eingeschlagenen Unternehmensbildband mit. Dass dieser letztlich nur Fantasiebilder von tatsächlich gescheiterten Bauprojekten enthielt, ließ sich durch einfache Recherchen zu den Bauten und diese verifizierenden Inaugenscheinnahmen schnell feststellen.

Das heißt aber nicht, dass jeder potenzielle Geschäftspartner dieselben Risiken birgt und man ihm mit höchstem Misstrauen begegnen muss. Auch ist nicht geboten, jeden Geschäftspartner von einer Detektei ausspionieren zu lassen. Es gibt neben moralischen und praktischen eben auch datenschutzrechtliche Grenzen, die es zu beachten gilt. 

Herr Klos, was gilt es denn konkret zu beachten?

Pauschal ist das schwer zu beantworten. Frau Rothe hat bereits angedeutet, wie unterschiedlich Geschäftspartnerüberprüfungen sein können. So kommt es im Einzelfall eben auch zu unterschiedlichen datenschutzrechtlichen Möglichkeiten und Grenzen. Das kann abhängig sein von Anlass, Zweck und Nutzung, oder vom Subjekt, handelt es sich um ein Unternehmen oder die drei Geschäftsführer, natürlich auch von den konkreten Daten, die erhoben werden sollen, sowie den zu verwendenden Quellen oder auch den Ländern, in welchen die Daten eingeholt werden sollen.

Das klingt komplex. Gibt es denn wenigstens ein paar Faustregeln oder strikte No Gos?

Ja, die gibt es. Das sind dann aber tatsächlich nur die ganz groben Leitplanken. Grundsätzlich sollte man wissen, dass das sogenannte Datenschutzrecht in den allermeisten Jurisdiktionen nur den Schutz personenbezogener Daten regelt. Das bedeutet, dass es sich dabei um Daten handeln muss, die eine natürliche Person identifizierbar machen können. Damit sind Daten zu juristischen Personen, also den meisten Unternehmen, schon einmal grundsätzlich aus dem Anwendungsbereich des Datenschutzrechtes herausgenommen.

Das weitere bestimmt sich dann aber tatsächlich nach dem jeweiligen Einzelfall. Zu beachten sind dabei vor allem die Grundsätze der Interessenabwägung und Verhältnismäßigkeit, aber auch weitere datenschutzrechtliche Grundprinzipien wie jenes der Datenminimierung, was bedeutet, dass ich wirklich nur immer die Daten erheben soll, welche ich zur Verfolgung des konkreten Zwecks benötige.

Man sollte also darauf achten, dass man nicht mit Kanonen auf Spatzen schießt?

Genau! Man muss auch immer im Blick behalten, woher die Daten kommen und wie sensibel diese für die überprüften Personen sein können. Damit ist es in aller Regel relativ unkritisch, solche Daten zu verarbeiten, welche ohnehin bereits öffentlich verfügbar sind. Auch hier gibt es allerdings Grenzen.

So hat beispielsweise ein Gericht den Betrieb einer sogenannten Insolvenz-App verboten. Diese App wurde zwar aus öffentlich verfügbaren Daten aus den Insolvenzregistern gespeist, jedoch erlaubte sie Darstellungsweisen, bei denen man zum Beispiel sehen konnte, in welchen Regionen besonders viele Insolvenzen auftreten. Diese Art der Darstellung hatte nach Auffassung des Gerichts eine sogenannte Prangerwirkung und wurde deswegen als nicht zulässig erachtet, obwohl die verwendeten Grunddaten eigentlich für jedermann im Internet frei einsehbar sind. Auch in vermeintlich einfach gelagerten Fällen muss man also aufpassen.

Nun sprechen beim Datenschutz alle von der DSGVO. Wieso eigentlich?

Die Datenschutz Grundverordnung, oder kurz DSGVO, die bis Mai 2018 umzusetzen ist, hat das Ziel, den Datenschutz in der Europäischen Union grundsätzlich neu zu regeln und vor allem auch zu harmonisieren. Ob dieses Ziel tatsächlich erreicht werden wird, darf bezweifelt werden, denn diese Verordnung enthält eine Reihe sogenannter Öffnungsklauseln, welche dann den Mitgliedstaaten doch wieder den Erlass von Sonderregelungen in bestimmten Bereichen erlauben. Wenn wir Pech haben, wird das Datenschutzrecht also noch zersplitterter als es ohnehin schon ist.

Und was ändert sich nun genau?

An den Grundprinzipien des Datenschutzrechts ändert die DSGVO erst einmal nichts. So muss ich weiterhin für jeden Verarbeitungsvorgang eine spezifische Erlaubnisnorm finden. Diese kann sich aus dem Gesetz ergeben, oder aber auch in einer Einwilligung durch den Betroffenen bestehen. Dies war aber auch bisher schon der Fall. Erweitert werden durch die Verordnung vor allem die Rechte der Betroffenen, also der Personen, deren Daten verarbeitet werden. So sind diese nun mit umfangreichen Informationen zu versorgen, sobald Daten erhoben werden. Außerdem haben die Personen unter gewissen Umständen das Recht, direkten Zugriff auf die beim Unternehmen zu Ihnen gespeicherten Daten gewährt zu bekommen. Wie schon bisher, müssen auch konkrete Löschfristen für personenbezogene Daten festgelegt werden.

Wichtig ist aber, dass mit der DSGVO der Datenschutz einen ganz anderen Stellenwert erhält als dies zum jetzigen Zeitpunkt der Fall ist. Betont wird das vor allem durch die mit der DSGVO drastisch erhöhten Bußgeldrahmen. Theoretisch sind jetzt bei Datenschutzverstößen Bußgelder in Millionenhöhe zu befürchten. Inwieweit sich das in der Praxis ab Mai 2018 tatsächlich so darstellen wird, bleibt natürlich noch abzuwarten. Besonders ärgerlich für die betroffenen Unternehmen ist es dabei, dass die Verordnung – wie bei Gesetzen eben üblich – eine Vielzahl von Rechtsbegriffen enthält, deren Auslegung viel Spielraum zulassen wird. Vieles ist also noch absolut unklar. Dennoch muss ich im Prinzip dafür sorgen, dass sich die Vorschriften ab Mai 2018 einhalte.

Für Geschäftspartnerüberprüfungen ändert sich aber erst einmal datenschutzrechtlich nichts Wesentliches. Alle Unternehmen, die solche Prüfungen durchführen, sollten sich jedoch sehr genau ansehen, ob sie mit ihren derzeitigen Prozessen datenschutzkonform sind. Denn Verstöße können, wie gesagt, künftig sehr teuer werden.

Meinen Sie, der Datenschutz/die DSGVO verhindern wirksame Überprüfungsmaßnahmen?

Nein, das würde ich so nicht sagen. Leider wird es oft so dargestellt, als ob das Datenschutzrecht technischen Innovationen und auch Compliance-Maßnahmen grundsätzlich im Wege stünde.

Wenn ich mir aber mein Vorgehen gut überlege und meine Geschäftspartnerüberprüfungen vor allem nach einem gestuften Vorgehen aufbaue, bei welchem ich mit mehr oder weniger unkritischen Maßnahmen beginne und nur bei starken Verdachtsmomenten auf die Prüfung sensibler Datenbestände gehe, so wird sich dies in den allermeisten Fällen mit dem europäischen Datenschutzrecht vereinbaren lassen. Es ist halt alles immer eine Frage der Verhältnismäßigkeit. Wie auch Frau Rothe schon sagte, sollte bei einer Geschäftspartnerüberprüfung die erste Maßnahme nicht sein, einen Privatdetektiv mit der Überwachung des Geschäftsführers zu beauftragen oder dessen Müll durchwühlen zu lassen.

Herzlichen Dank für das Gespräch!


Zu den Autoren

Logo Two Towers
Ina Rothe und Christian Klos sind die Geschäftsführer von Two Towers Consulting GmbH & Co. KG.

Two Towers Consulting ist eine Boutiqueberatung für Compliance-Themen mit angeschlossener Kanzlei. Mit den Schwerpunkten Datenschutz und Wirtschaftskriminalität, helfen sie ihren Kunden, solche Risiken zu minimieren, die von Ihren Geschäftsprozessen oder Geschäftspartnern ausgehen könnten. So ist das Unternehmen vor rechtlichen und wirtschaftlichen Unwägbarkeiten gefeit und kann sich mit Vertrauen in den Unternehmensschutz auf das Kerngeschäft konzentrieren.

Diesen Blog-Beitrag teilen:


Melden Sie sich zum zweimonatlich erscheinenden LexisNexis Newsletter an.

Blog durchsuchen

Blog durchsuchen

Sortieren

Nach Kategorie