Suche 
Die USA haben mit der ICTS Rule eine Verordnung zur Sicherung von Lieferketten für Informations- und Kommunikationstechnologie (IKT) eingeführt. Eröffnen derartige Regelungen in Drittstaaten die Möglichkeit, den Handel mit bestimmten Produkten zu verbieten, wenn diese von Personen mit einer bestimmten Staatsangehörigkeit entwickelt wurden, kann Arbeitgebern ein „Verarbeitungsinteresse“ nach der DSGVO in Bezug auf personenbezogene Beschäftigtendaten zugesprochen werden.
Geopolitische Erwägungen und nationale Sicherheitsinteressen wirken sich in vielen Ländern zunehmend auf die Gesetzgebung in Handelsfragen aus. So wurde etwa in den USA im Jahr 2024 die sogenannte ICTS Rule (Information and Communications Technology and Services) erlassen, auf deren Grundlage der Handel mit Informations- und Kommunikationstechnologie sowie entsprechenden Dienstleistungen verboten oder eingeschränkt werden kann. Der Sinn der Regelungen besteht darin, Risiken für die Sicherheit, Technologie und kritische Infrastruktur der USA oder ihrer Bürger zu vermeiden. Dementsprechend wird das US-Handelsministerium ermächtigt, Handelsmaßnahmen mit IKT oder mit Produkten, die IKT beinhalten (etwa Fahrzeuge), zu prüfen und ggf. mit Einschränkungen oder Verboten zu reagieren, wenn an deren Herstellung oder Entwicklung Personen mitgewirkt haben, die aufgrund bestimmter Kriterien einem gegnerischen Staat zugeordnet werden können. Für europäische Arbeitgeber, die IKT-Produkte in den USA anbieten, stellt sich damit die Frage, ob sie ihre Mitarbeiter auf Verbindungen zu gegnerischen Staaten der USA überprüfen dürfen, um wichtige Absatzmöglichkeiten nicht zu gefährden. Die DSGVO, die eine Verarbeitung von Beschäftigtendaten grundsätzlich unter Erlaubnisvorbehalt stellt, eröffnet zumindest eine eingeschränkte Kontrollmöglichkeit.
Wesentliche Regelungsinhalte der ICTS Rule
Das US-Handelsministerium ist auf Grundlage von Informationen und Hinweisen, die ihm auch von Wettbewerbern aus der Privatwirtschaft „zugespielt“ werden können, berechtigt, sogenannte Transaktionen von IKT („ICTS Transaction“) zu überprüfen. Als solche Transaktion gilt im Grunde jede Form des Handels mit IKT, also mit Hardware oder Software jeglicher Art. Dabei ist ausdrücklich auch die Einfuhr von Fahrzeugen mit Automobil-Softwaresystemen („Connected Vehicle“) erfasst.
Im Rahmen der Überprüfung beurteilt das Ministerium,
- ob die Handelsmaßnahme IKT-Systeme umfasst, die von Personen entworfen, entwickelt, hergestellt oder geliefert wurden, die einem ausländischen Gegner zugeordnet werden können oder von diesem kontrolliert werden und
- ob die Handelsmaßnahme ein unangemessenes oder inakzeptables Risiko darstellt (vgl. § 791.103 ICTS Rule).
Interessant ist in diesem Zusammenhang, dass etwa ein Entwickler bereits dann einem ausländischen Gegner zugeordnet werden kann, wenn dieser – unabhängig von seinem Aufenthaltsort – Staatsbürger eines entsprechenden Landes ist (vgl. § 791.2 ICTS Rule). Als ausländische Gegner werden ausdrücklich China, Kuba, der Iran, Nordkorea und Russland genannt, wobei die Liste erweiterbar ist.
Nach Prüfung der Handelsmaßnahme trifft das Handelsministerium eine vorläufige Entscheidung darüber, ob diese verboten werden soll oder unter bestimmten Einschränkungen gestattet werden kann. Die beteiligten Unternehmen haben dann die Möglichkeit, zu der vorläufigen Entscheidung Stellung zu nehmen (vgl. § 791.107 ICTS Rule). Im Zuge dessen können sie etwa vorbringen, weshalb die Voraussetzungen für ein Verbot nicht vorliegen oder Abhilfemaßnahmen (z. B. eine Unternehmensumstrukturierung oder die Beauftragung eines Compliance-Beauftragten) vorschlagen. 180 Tage nach der vorläufigen Entscheidung erlässt das Handelsministerium sodann eine endgültige Entscheidung über ein Verbot (vgl. § 791.109 ICTS Rule).
Datenschutzrechtliche Reaktionsmöglichkeiten Europäischer Arbeitgeber
Auch europäische Arbeitgeber können Partei einer IKT-Transaktion in die USA und somit von der ICTS Rule betroffen sein. Denn auch bei ihnen sind – insbesondere in Zeiten des Fachkräftemangels – möglicherweise Arbeitnehmer aus gegnerischen Staaten der USA beschäftigt, die an der Entwicklung und dem Verkauf von IKT beteiligt sind. Entsprechend haben diese Arbeitgeber ein Interesse an der Aufklärung möglicher Verbindungen ihrer Arbeitnehmer zu solchen Staaten, um den Handel mit US-Unternehmen nicht zu gefährden. Aber reicht dieses Interesse datenschutzrechtlich aus, um personenbezogene Mitarbeiterdaten zu erheben? Es kommt, wie so häufig, darauf an:
Nach Art. 9 Abs. 1 DSGVO ist die Verarbeitung besonderer Kategorien personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen sowie religiöse oder weltanschauliche Überzeugungen hervorgehen, untersagt. Eine Ausnahme von dem Verarbeitungsverbot besteht nach Art. 9 Abs. 2 lit. f) DSGVO zwar dann, wenn die Verarbeitung zur Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen (auch in behördlichen Verfahren) erforderlich ist. Die Vorschrift bezieht sich jedoch nicht auf behördliche Verfahren außerhalb des Anwendungsbereichs der DSGVO und damit in den USA. Vor diesem Hintergrund dürfen keine Informationen darüber eingeholt werden, ob Arbeitnehmer bestimmten Bevölkerungsgruppen angehören oder welche politische Einstellung sie gegenüber den Regierungen der in der ICTS Rule genannten gegnerischen Staaten haben.
Bei der Staatsbürgerschaft handelt es sich jedoch nicht um eine besondere Datenkategorie im Sinne des Art. 9 Abs. 1 DSGVO. Aus diesem Grund kann sie vom Arbeitgeber nach Art. 6 Abs. 1 lit. f) DSGVO abgefragt werden, wenn sie zur Wahrung eines besonderen Interesses erforderlich ist und die Interessen des Arbeitnehmers einer Verarbeitung nicht entgegenstehen. Jedenfalls nach einer vorläufigen Entscheidung des US-Handelsministeriums, eine Handelsmaßnahme verbieten zu wollen, dürfte ein erforderliches Interesse des Arbeitgebers angenommen werden können. Denn das Ergebnis einer Datenverarbeitung könnte im Rahmen einer Stellungnahme gegenüber dem Handelsministerium maßgeblichen Einfluss auf das drohende Verbot haben.
Fazit
Deutsche Fahrzeug- und Softwarehersteller können besonders von der ICTS Rule betroffen sein. Um einem möglichen Handelsverbot zu entgehen, dürfen sie die mit der Entwicklung und Herstellung ihrer IKT-Produkte betrauten Mitarbeiter eingeschränkt überprüfen. Um jedoch neben einem Absatzverbot nicht auch noch eine Geldbuße nach der DSGVO zu riskieren, sollte genau darauf geachtet werden, welche personenbezogenen Daten erhoben werden und zu welchem Zeitpunkt dies geschieht.
