Was ändert sich mit dem neuen EU

BEITRAGE
TIM WYBITUL
Was ändert sich mit dem neuen
EU-Datenschutzrecht für
Arbeitgeber und Betriebsräte?
Nachweispflichten
Datenschutzverstöße
Bußgeldrahmen
Cybersecurity
Arbeitnehmerdatenschutz
Anpassungsbedarf bei Beschäftigtendatenschutz und Betriebsvereinbarungen
c Der vorliegende Überblick fasst zunächst anhand konkreter Beispiele die für die Praxis wesentlichsten Änderungen
beim Beschäftigtendatenschutz durch die DS-GVO zusammen. Im Anschluss zeigt er Möglichkeiten auf, Probleme beim
Datenschutz am Arbeitsplatz auch weiterhin mittels Betriebsvereinbarungen zu lösen. Allerdings stellt Art. 88 Abs. 2 DSGVO nicht unerhebliche Anforderungen auf. Diese Vorgaben
müssen Arbeitgeber und Betriebsräte beim Abschluss neuer
Kollektivvereinbarungen berücksichtigen. Sie müssen ggf.
aber auch bestehende Regelungen anpassen. Unternehmen
sollten daher ihre Betriebsvereinbarungen zeitig darauf prüfen, ob sie den ab 2018 geltenden Anforderungen des neuen
EU-Datenschutzrechts entsprechen. Der vorliegende Beitrag
fasst zusammen, welche neuen Erfordernisse die DS-GVO
aufstellt. Zudem zeigt er Lösungsansätze, wie Unternehmen
die neuen Anforderungen erfüllen können und dabei betriebliche oder organisatorische Nachteile vermeiden können.
Lesedauer: 21 Minuten
c By way of specific examples, the overview at hand will first
summarize the changes in the employee data protection by
way of the Data Protection Basic Regulation (DS-GVO) which
are essential to practice. Furthermore, it will show possibilities
to continue to solve problems in regards to data protection at
the work place via works agreements. However, Art. 88 Subsec. 2 DS-GVO sets forth substantial requirements. These requirements must be considered by the employers and works
councils when executing new collective agreements. In some
cases, they may need to amend existing regulations. Companies should thus examine their works agreements in due
course in regards to whether they comply with the requirements of the new EU data protection law applicable as of
2018. The article at hand summarizes which new requirements the Data Protection Basic Regulation (DS-GVO) sets
forth. Additionally, it will show approaches to solve the issue
of how companies can fulfill the new requirements and thus
avoid corporate or organizational disadvantages.
I. Veränderungen beim Datenschutz am
Arbeitsplatz
durch die DS-GVO zusammen. Einige dieser Neuerungen wirken
sich auch erheblich auf Betriebsvereinbarungen aus.
Voraussichtlich 2018 soll mit der Datenschutzgrundverordnung
(DS-GVO)1 in der gesamten EU ein einheitliches Datenschutzrecht gelten. Am 15.12.2015 wurde in Brüssel die Einigung auf
eine Endfassung verkündet, die nun nur noch sprachlich überarbeitet werden soll.2 Am 14.4.2016 verabschiedete der EU-Gesetzgeber die DS-GVO und diese soll zwei Jahre und 20 Tage
später in Kraft treten.3 Diese zweijährige Umsetzungsfrist ist in
Anbetracht der Vielzahl neuer Regelungen und Anforderungen
eher knapp bemessen.
1. Bußgelder
Der folgende Überblick fasst einige Beispiele für besonders wesentliche Veränderungen beim Datenschutz am Arbeitsplatz
1 Soweit in dem vorliegenden Beitrag auf die DS-GVO Bezug genommen
wird, ist die vom EU-Gesetzgeber verabschiedete Fassung v. 14.4.2016 gemeint.
Die Nummerierung der Artikel wird sich gegenüber der Endfassung der DS-GVO
ggf. durch letzte redaktionelle Anpassungen noch ändern. Der Verfasser wird
dann eine Synopse unter der URL www.hldatenschutz.de zum Abruf bereitstellen.
2 Vgl. umfassend zur Entstehungsgeschichte der DS-GVO Albrecht, CR 2016,
88 ff.
3 Vgl. Art. 99 DS-GVO.
4 Art. 83 Abs. 1 DS-GVO.
5 Art. 83 Abs. 5 DS-GVO, vgl. zu den künftigen Bußgeldrisiken auch Wybitul, ZD
2016, 105 f. sowie Faust/Spittka/Wybitul, ZD 2016, 120 ff.
6 Vgl. Art. 83 Abs. 4 DS-GVO.
7 Vgl. Art 5 Abs. 2 und Art. 24 DS-GVO.
8 Art. 24 Abs. 2 DS-GVO; hier ist zu beachten, dass die im Gesetzgebungsprozess
verhandelte englische Fassung an Stelle „geeigneter Datenschutzvorkehrungen“
von der „implementation of appropriate data protection policies“ spricht.
ZD 5/2016
Die Sanktionen für Verstöße gegen die DS-GVO sind drastisch.
Die Verordnung sieht vor, dass Geldbußen für Verstöße gegen
die dort geregelten Vorgaben „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein sollen.4 Dieses Ziel wird
das neue EU-Datenschutzrecht aller Voraussicht nach erreichen.
Während das BDSG lediglich Geldbußen von bis zu a 300.000,–
erlaubte, sieht die Verordnung künftig Bußgelder vor, die bis zu
4% des globalen Umsatzes des Vorjahrs erreichen können.5 Weniger gravierende Verstöße werden „nur“ mit bis zu 2% des globalen Unternehmens- oder Konzernumsatzes geahndet.6 Die
Bußgeldrisiken für an Datenschutzverstößen beteiligte natürliche Personen, wie etwa Manager oder Datenschutzbeauftragte, belaufen sich auf bis zu a 20 Mio. oder a 10 Mio. – je nach
der Art des begangenen Verstoßes.
2. Nachweis- und Rechenschaftspflichten
Die DS-GVO bringt für Unternehmen umfassende Nachweispflichten mit sich (sog. „accountability“). Verantwortliche müssen nicht nur sicherstellen, dass sie die Vorgaben der Verordnung erfüllen. Sie müssen dies zudem auch nachweisen können.7 Dabei müssen sie auch beweisen können, dass sie geeignete Datenschutzrichtlinien und sonstige geeignete Datenschutzvorkehrungen umsetzen.8 Andernfalls drohen Bußgelder,
Schadensersatzansprüche und weitere Nachteile.
Es steht zudem zu erwarten, dass viele Betriebsräte im Rahmen
ihrer Auskunftsrechte nach § 80 Abs. 2 BetrVG künftig umfas-
Wybitul: Was ändert sich mit dem neuen EU-Datenschutzrecht für Arbeitgeber und Betriebsräte? 203
sende Dokumentation zum Datenschutz einfordern werden.9
Zudem wird Arbeitgebern in Verfahren vor den Arbeitsgerichten
künftig in vielen Fällen auch die Beweislast dafür obliegen, dass
sie im Prozess vorgetragene Informationen datenschutzgerecht
erhoben haben. Bereits in der Vergangenheit haben deutsche
Arbeitsgerichte bei Datenschutzverstößen häufig Beweisverwertungsverbote angenommen.10
3. Erweiterter Anwendungsbereich auch
außerhalb der EU
Die DS-GVO soll nicht nur in der gesamten EU11 einheitlich gelten, sondern auch für Verantwortliche12 in anderen Staaten,
wenn diese Personen in der EU Waren oder Dienstleistungen anbieten13 oder deren Verhalten überwachen14. In solchen Fällen
müssen auch ausländische Verantwortliche die Vorgaben der
DS-GVO erfüllen. Gerade für global tätige Unternehmen, die
diese Anforderungen erfüllen, kann dieses „Marktortprinzip“15
bedeuten, dass sie sämtliche Vorgaben der Verordnung ggf.
auch im Ausland erfüllen müssen. Es wird ausgesprochen interessant, auf welche Weise europäische Aufsichtsbehörden und
Gerichte diese extraterritoriale Anwendbarkeit künftig auslegen
und durchsetzen werden.
4. Vorrang der DS-GVO vor anderen Vorschriften
Anders als das BDSG wird die DS-GVO nicht von spezielleren Gesetzen verdrängt. Vielmehr geht sie als EU-Verordnung einzelstaatlichen Vorschriften mit gleichem Regelungsbereich vor und
verdrängt diese.16 Die DS-GVO ist damit anders als das BDSG
eine Vorrangregelung und kein Auffanggesetz. Damit stellt sich
insbesondere auch die Frage nach dem Verhältnis von BetrVG
und der Verordnung (vgl. unter III.).
5. Transparenz
Vielleicht die wesentlichste Veränderung gegenüber dem BDSG
sind massiv gesteigerte Informationspflichten bei der Datenverarbeitung. Unternehmen müssen betroffene Personen17 „in
präziser, transparenter, verständlicher und leicht zugänglicher
Form in einer klaren und verständlichen Sprache“ darüber informieren, was mit ihren personenbezogenen Daten geschieht. Die
Art. 12 – 15 DS-GVO sehen ausgesprochen weitgehende Pflichten für Verantwortliche vor. U.a. können betroffene Personen
eine Kopie ihrer verarbeiteten personenbezogenen Daten vom
Verantwortlichen verlangen.18
Man kann davon ausgehen, dass Arbeitnehmeranwälte dieses
Recht künftig regelmäßig zu Beginn von Verfahren vor den Arbeitsgerichten geltend machen werden. So können sie zum
einen umfassende Informationen erhalten und zum anderen auf
Beweisverwertungsverbote hoffen, wenn der Arbeitgeber hierauf nur unvollständig informiert.
6. Erweiterte Informationspflichten bei
Datenschutzverstößen
Im Falle einer Verletzung des Datenschutzes müssen Unternehmen prüfen, ob sie verpflichtet sind, die Aufsichtsbehörden sowie ggf. auch die von der Verletzung betroffenen Personen zu
informieren. Dabei ist der Begriff der Verletzung des Schutzes
personenbezogener Daten künftig deutlich weiter gefasst als
bislang in § 42a BDSG. Datenverletzungen i.S.v. Art. 33 f. DSGVO betreffen jede Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob zufällig oder unrechtmäßig, oder zur unbefugten Weitergabe oder zum Zugang
zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.19
Gegenüber dem bisherigen § 42a BDSG stellen die neuen Informationspflichten nach Art. 33 und Art. 34 DS-GVO eine erhebliche Verschärfung dar. Zudem steigt der Bußgeldrahmen bei
unzureichender Unterrichtung von bislang a 300.000,– auf maximal bis zu 2% des Umsatzes.20
7. Löschpflichten
Art. 17 DS-GVO regelt umfassende Löschpflichten und das sog.
„Recht auf Vergessenwerden“. Verstöße gegen diese strengen
Anforderungen werden mit Bußgeldern von bis zu 4% des Vorjahresumsatzes geahndet.21 Grundsätzlich sind personenbezogene Daten u.a. dann unverzüglich zu löschen, wenn sie für die
Zwecke, für die sie erhoben oder in sonstiger Weise verarbeitet
wurden, nicht mehr erforderlich sind.22 Dies ist noch keine erhebliche Änderung gegenüber dem bisherigen Recht.23
Dagegen sind die Ausnahmen von der generellen Löschpflicht in
Art. 17 Abs. 3 DS-GVO künftig recht eng gefasst. Verantwortliche müssen personenbezogene Daten ggf. auch dann löschen,
wenn die betroffene Person Widerspruch nach Art. 21 Abs. 1
DS-GVO gegen die Verarbeitung ihrer personenbezogenen Daten einlegt. Kann der Verantwortliche in diesem Fall nicht nachweisen,24 dass vorrangige berechtigte Gründe25 für die Verarbeitung vorliegen, muss er die in Frage stehenden Daten löschen. Auch diese Neuerungen eröffnen Arbeitnehmeranwälten einige neue Handlungsoptionen.26
8. Haftung des Datenschutzbeauftragten
Die Haftungsrisiken für Datenschutzbeauftragte steigen massiv.
Bislang wurden zivilrechtliche Haftung und eine straf- oder ordnungswidrigkeitenrechtliche Garantenstellung des Datenschutzbeauftragten unter Hinweis auf § 4g Abs. 1 Satz 1 BDSG
abgelehnt.27 Nach dem bisherigen Recht musste der Datenschutzbeauftragte lediglich auf die Einhaltung der Vorschriften
zum Datenschutz hinwirken.
Der Pflichtenkreis von Datenschutzbeauftragten nach Art. 39
Abs. 1 lit. b DS-GVO geht deutlich weiter. Danach muss der Datenschutzbeauftragte u.a. die Einhaltung der DS-GVO und anderer Datenschutzvorschriften sowie Datenschutzstrategien,
die Zuweisung von Zuständigkeiten, die Schulung von Mitarbei9 Vgl. hierzu auch unter III.
10 Vgl. hierzu etwa BAG ZD 2015, 260 ff. sowie Wybitul/Pötters, BB 2014, 437 ff.
oder Brink/Wybitul, ZD 2015, 225 ff. m.w.Nw.
11 Vgl. Art. 3 Abs. 1 DS-GVO. Danach findet die Verordnung Anwendung auf die
Verarbeitung personenbezogener Daten i.R.d. Tätigkeiten einer Niederlassung in
der Union. Dies gilt unabhängig davon, ob die eigentliche Verarbeitung in der Union
erfolgt.
12 Nach der DS-GVO verpflichtete Personen oder Stellen sind in Art. 4 Nr. 7 DSGVO als „für die Verarbeitung Verantwortliche“ definiert. Dies entspricht dem Begriff der „verantwortlichen Stelle“ i.S.v. § 3 Abs. 7 BDSG.
13 Vgl. Art. 3 Abs. 2 lit. a DS-GVO.
14 Vgl. Art. 3 Abs. 2 lit. b DS-GVO.
15 Vgl. hierzu etwa Albrecht, CR 2016, 88, 90.
16 Vgl. Art. 288 AEUV.
17 Die „betroffene Person“ i.S.d. Art. 4 Nr. 1 DS-GVO ist diejenige bestimmte
oder bestimmbare natürliche Person, deren personenbezogene Daten von einem
Verantwortlichen verarbeitet werden. Dies entspricht dem „Betroffenen“ i.S.v. § 3
Abs. 1 BDSG.
18 Art. 15 Abs. 1b DS-GVO.
19 Art. 4 Nr. 12 DS-GVO.
20 Art. 83 Abs. 4 lit. a DS-GVO.
21 Art. 83 Abs. 5 lit. b DS-GVO.
22 Art. 17 Abs. 1 lit. a DS-GVO.
23 Vgl. etwa § 35 Abs. 2 Satz 2 Nr. 3 BDSG.
24 Vgl. zur Nachweispflicht des Verantwortlichen Art. 21 Abs. 1 DS-GVO.
25 Art. 21 Abs. 1 DS-GVO spricht sogar nicht nur von „vorrangigen berechtigten
Gründen“, sondern von „zwingenden schutzwürdigen Gründen“, was i.E. eine
noch weitgehendere Anforderung darstellen würde.
26 Z.B. müsste ein Arbeitgeber in einem Kündigungsschutzprozess nach einem
Widerspruch des Arbeitnehmers ggf. auch darlegen, für welche Zwecke und auf
welcher Rechtsgrundlage er die personenbezogenen Daten des Arbeitnehmers weiter gespeichert hat. In derartigen Fallkonstellationen kommt insb. Art. 17 Abs. 3 lit.
e DS-GVO in Betracht, der eine Ausnahme von der Löschpflicht für Zwecke der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vorsieht.
27 Vgl. hierzu etwa Bongers/Krupna, ZD 2013, 594 ff.
204 Wybitul: Was ändert sich mit dem neuen EU-Datenschutzrecht für Arbeitgeber und Betriebsräte?
ZD 5/2016
tern und diesbezügliche Überprüfungen überwachen. Diese
klar zugewiesene künftige Überwachungspflicht kann gerade
vor dem Hintergrund des drakonischen Bußgeldrahmens und
dem im Ordnungswidrigkeitenrecht maßgeblichen Einheitstäterbegriff28 gravierende Folgen haben. Es spricht einiges dafür,
dass Gerichte und Behörden Datenschutzbeauftragte künftig
als Überwachergaranten im straf- und ordnungswidrigkeitenrechtlichen Sinne bewerten werden.29
Arbeitgeber sollten daher auch damit rechnen, dass betriebliche
Datenschutzbeauftragte vor dem Hintergrund der gestiegenen
Haftungsrisiken noch genauer als bislang hinschauen.
9. Einwilligungen
Betroffene Personen können nach wie vor in die Verarbeitung
ihrer Daten einwilligen. Doch auch hier gelten strenge Transparenzvorgaben.30 Die Einwilligung sollte durch eine eindeutige
Handlung erfolgen, mit der die betroffene Person ohne Zwang,
für den konkreten Fall, in Kenntnis der Sachlage und unmissverständlich erklärt, dass sie mit der Verarbeitung ihrer Daten einverstanden ist.31 Gerade bei komplexeren Sachverhalten muss
das Ersuchen um eine Einwilligung „in verständlicher und leicht
zugänglicher Form in einer klaren und einfachen Sprache“ erfolgen.32 Ein Vertragsschluss darf nicht davon abhängig gemacht
werden, dass die betroffene Person eine Einwilligung in die Verarbeitung personenbezogener Daten abgibt, die für die Erfüllung des Vertrags nicht erforderlich sind (Koppelungsverbot).33
Zudem können Einwilligungen jederzeit beliebig widerrufen
werden. Hier hatte das BAG bei Arbeitnehmern in der Vergangenheit noch gefordert, dass der Widerruf nicht gegen Treuepflichten i.S.v. §§ 242, 241 Abs. 2 BGB verstößt.34 Art. 88
Abs. 1 DS-GVO erlaubt es den einzelnen Mitgliedstaaten zudem, Vorschriften über die Bedingungen zu erlassen, „unter denen personenbezogene Daten im Beschäftigungskontext auf
der Grundlage der Einwilligung des Beschäftigten verarbeitet
werden dürfen“.35
10. Zweckänderungen
In der Praxis wollen oder müssen Arbeitgeber personenbezogene Daten von Arbeitnehmern oft auch für andere Zwecke verarbeiten als die, zu denen sie diese Daten ursprünglich erhoben
haben. Dieser neue Zweck muss dann nach Art. 6 Abs. 4 DSGVO mit dem ursprünglichen Erhebungszweck vereinbar sein.36
Ein wesentlicher Faktor für die Frage dieser Vereinbarkeit sollen
28 Vgl. § 14 OWiG.
29 Vgl. zum Begriff des Überwachergaranten etwa BGH NJW 2003, 525; Ranft, JZ
2003, 582.
30 Vgl. zur Einwilligung in die Datenverarbeitung im Beschäftigungskontext
Wybitul/Pötters, RDV 2016, 10, 12 f.
31 Vgl. Erwägungsgrund 32.
32 Art. 7 Abs. 2 DS-GVO.
33 Art. 7 Abs. 4 DS-GVO, vgl. auch Erwägungsgrund 68.
34 BAG ZD 2015, 330 ff.
35 Vgl. auch Erwägungsgrund 155.
36 Vgl. zum Grundsatz der Zweckbindung auch Art. 5 Abs. 1 lit. b DS-GVO. Die
Anforderung der Vereinbarkeit gilt nicht, wenn die betroffene Person in die Zweckänderung wirksam eingewilligt hat. An dieser Stelle sind auch Ausnahmen durch
Rechtsvorschriften der Union oder der Mitgliedstaaten zum Schutz öffentlicher Belange vorgesehen. In diesem Falle erlaubt die Einwilligung die Datenverarbeitung
für die neuen vom Arbeitgeber verfolgten Zwecke.
37 Vgl. Art. 5 Abs. 1 lit. b DS-GVO.
38 Art. 35 Abs. 2 lit. a DS-GVO.
39 Vgl. Art. 9 Abs. 1 DS-GVO.
40 Art. 35 Abs. 2 lit. b DS-GVO.
41 Vgl. Art. 83 Abs. 4 lit. a DS-GVO.
42 Vgl. Erwägungsgrund 150, der auf Art. 101 und Art. 102 AEUV verweist.
43 Art. 35 Abs. 2 lit. c DS-GVO.
44 Vgl. Art. 35 Abs. 2a DS-GVO.
45 Art. 35 Abs. 2b DS-GVO.
46 Art. 36 DS-GVO.
47 Art. 83 Abs. 4 lit. a DS-GVO.
ZD 5/2016
auch die vernünftigen Erwartungen der betroffenen Person sein
(„reasonable expectation of privacy“).
Insofern kann man Arbeitgebern nur raten, die (möglichen)
Zwecke der geplanten Verarbeitung personenbezogener Daten
von Beschäftigten gleich bei deren Erhebung umfassend und
vollständig festzulegen.37 Dies sollte das Unternehmen wegen
Art. 24 Abs. 1 DS-GVO auch dokumentieren und gegenüber
den betroffenen Arbeitnehmern sowie Betriebsräten transparent kommunizieren.
11. Datenschutz-Folgenabschätzungen und
Abstimmung mit Datenschutz-Aufsichtsbehörden
Hat eine Datenverarbeitung „voraussichtlich ein hohes Risiko
für die persönlichen Rechte und Freiheiten, so führt der für die
Verarbeitung Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge durch“, Art. 35
Abs. 1 DS-GVO.
Eine solche Datenschutz-Folgenabschätzung ist insbesondere
dann erforderlich, wenn eine Datenverarbeitung systematisch
und umfassend persönliche Aspekte natürlicher Personen bewertet und diese Verarbeitung „als Grundlage dafür dient, die
Rechtswirkung gegenüber natürlichen Personen zu entfalten
oder diese in ähnlicher Weise erheblich zu beeinträchtigen“.38
Ebenso ist eine Folgenabschätzung bei der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten39
oder von Daten über strafrechtliche Verurteilungen oder über
Straftaten vorgeschrieben.40
Gerade bei internen Ermittlungen wegen möglicher Straftaten
im Unternehmen sollten Arbeitgeber daran denken, im Vorfeld
eine Folgenabschätzung zu veranlassen. Verstöße gegen die
Pflicht, eine nach Art. 35 DS-GVO vorgeschriebene Folgenabschätzung durchzuführen, können mit Bußgeldern von bis zu
2% des Umsatzes des Unternehmens des Vorjahrs belegt werden.41 Bei Unternehmensgruppen ist der konzernweite Umsatz
maßgeblich.42 Auch Videoüberwachungen öffentlich zugänglicher Bereiche dürften nur nach einer vorherigen Folgenabschätzung zulässig sein.43 Die Aufsichtsbehörden für den Datenschutz sind gehalten, Listen von Verarbeitungsvorgängen zu erstellen, bei denen typischerweise Folgenabschätzungen nach
Art. 35 DS-GVO vorgeschrieben sind (Positivlisten).44 Ebenso erstellen die Datenschutz-Aufsichtsbehörden Listen von Vorgängen, bei denen Folgenabschätzungen entbehrlich sind (Negativlisten).45
Ergibt eine Folgenabschätzung, dass die Datenverarbeitung ein
hohes Risiko für betroffene Personen zur Folge hätte, muss der
Verantwortliche zwingend die Datenschutz-Aufsichtsbehörde
zu Rate ziehen. Diese nimmt dann innerhalb festgelegter Fristen
Stellung zu der geplanten Datenverarbeitung.46 Auch ein Unterlassen der gesetzlich vorgeschriebenen Abstimmung mit der
Aufsichtsbehörde kann Bußgelder von bis zu 2% des Umsatzes
des Vorjahrs nach sich ziehen.47
12. Erleichterte Datenübermittlung im Konzern
Die Weitergabe personenbezogener Daten zwischen Konzernunternehmen dürfte mit der DS-GVO vereinfacht werden. Denn
Erwägungsgrund 48 stellt erfreulich deutlich klar, dass Verantwortliche, die Teil einer Unternehmensgruppe sind, ein berechtigtes Interesse haben können, „personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke,
einschließlich der Verarbeitung personenbezogener Daten von
Kunden und Beschäftigten, zu übermitteln.“ Diese Klarstellung
ist zu begrüßen. Sie wird gerade den konzerninternen Austausch
von Beschäftigtendaten grundsätzlich erleichtern, auch wenn die
Übermittlung an Empfänger außerhalb der EU weiterhin erheblichen Anforderungen unterliegt, vgl. Art. 44 ff. DS-GVO.
Wybitul: Was ändert sich mit dem neuen EU-Datenschutzrecht für Arbeitgeber und Betriebsräte? 205
13. Cybersecurity, Datensicherheit, Datenschutz
durch Technik und datenschutzfreundliche
Voreinstellungen
Datensicherheit und Cybersecurity werden künftig voraussichtlich ganz erheblich an Bedeutung gewinnen. Bereits nach dem
bisherigen Recht regelt § 9 BDSG klar, welche technischen und
organisatorischen Maßnahmen verantwortliche Stellen zur Gewährleistung der Datensicherheit treffen müssen. Allerdings
sind Verstöße gegen die Vorgaben von § 9 BDSG und der Anlage zu § 9 Satz 1 BDSG nicht bußgeldbewehrt. I.R.d. kommenden Verordnung regelt Art. 32 DS-GVO die Vorgaben an die Datensicherheit. Verstöße werden nach Art. 83 Abs. 4 lit. a DS-GVO
mit Bußgeldern von bis zu 2% des Vorjahresumsatzes geahndet.
IT-Systeme zur Verarbeitung personenbezogener Daten müssen
nach Art. 25 Abs. 1 DS-GVO künftig so ausgestaltet sein, dass
sie die wirksame Umsetzung der Datenschutzgrundsätze fördern und die Rechte betroffener Personen schützen, z.B. durch
Datenminimierung48 („privacy by design“).
Zudem muss der Verantwortliche für geeignete Voreinstellungen von IT-Systemen sorgen, die sicherstellen, dass grundsätzlich nur personenbezogene Daten verarbeitet werden, die für
den jeweiligen bestimmten Verarbeitungszweck erforderlich
sind, Art. 25 Abs. 2 DS-GVO („privacy by default“).
II. § 32 BDSG bleibt bis auf weiteres
anwendbar
Sofern der deutsche Gesetzgeber § 32 Abs. 1 BDSG nicht außer
Kraft setzt oder durch eine andere Regelung ersetzt, bleibt diese
Vorschrift die maßgebliche Regelung für die Verarbeitung personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses. Arbeitgeber, Betriebsräte, Arbeitnehmer und Richter
können sich somit bei der Frage nach der Erforderlichkeit einer
Datenverarbeitung weiterhin an der bisherigen Rechtsprechung
der Arbeitsgerichte orientieren.49
Auch § 32 Abs. 2 BDSG dürfte zunächst weiter anwendbar bleiben. Die Vorschrift erweitert den Anwendungsbereich von § 32
Abs. 1 BDSG grundsätzlich auch auf den nicht-automatisierten
Umgang mit personenbezogenen Daten für Zwecke des Beschäftigungsverhältnisses. Richtigerweise dürfte § 32 Abs. 2
BDSG wegen Art. 288 Abs. 2 AEUV von der DS-GVO nicht verdrängt werden, da er keinen zur Verordnung gleichlaufenden,
sondern einen weitergehenden Regelungsrahmen hat.50 Selbst
wenn man in dieser Frage zu einem anderen Ergebnis gelangt,
bleibt § 32 Abs. 2 BDSG dann wohl als Spezialvorschrift i.S.v.
Art. 88 Abs. 1 DS-GVO anwendbar.
III. BetrVG als Erlaubnis zur
Datenverarbeitung?
Das BetrVG setzt in vielen Vorschriften Datenverarbeitungen
voraus, etwa für Zwecke der Information des Betriebsrats. Insbesondere i.R.d. Erfüllung von Pflichten nach §§ 80 Abs. 2, 99 und
102 BetrVG muss der Arbeitgeber dem Betriebsrat oftmals umfassend personenbezogene Daten über Arbeitnehmer überlassen. Nach dem bisherigen Recht war das ohne weiteres zulässig.
Denn das BDSG ist als Auffanggesetz konzipiert.51 Die DS-GVO
geht dagegen einzelstaatlichem Recht grundsätzlich vor und
kann dieses verdrängen.52 Das BetrVG geht nach § 1 Abs. 3
BDSG den Vorgaben des Datenschutzes vor.
Anders als § 32 Abs. 1 BDSG wird das BetrVG nicht als Spezialregelung zum Beschäftigtendatenschutz i.S.v. Art. 88 Abs. 1
DS-GVO zu verstehen sein. Es verfolgt die Durchsetzung kollektiver Beteiligungsrechte der Arbeitnehmer im Betrieb53 – und
hat damit eine grundlegend andere Zielrichtung als § 32 Abs. 1
BDSG. Allerdings erlaubt Art. 6 Abs. 1 lit. c DS-GVO die Verar-
beitung zur Erfüllung rechtlicher Verpflichtungen. Daher bleibt
die Weitergabe von personenbezogenen Daten zur Erfüllung
betriebsverfassungsrechtlicher Vorgaben grundsätzlich erlaubt.54
Allerdings gelten auch hier die eher restriktiven allgemeinen
Vorgaben der DS-GVO,55 insbesondere der Grundsatz der Datenminimierung.56 Diese Veränderung gegenüber dem bisherigen Recht legt nahe, dass die Auskunftspflichten (und die daraus folgenden Weitergaberechte) des Arbeitgebers in Bezug
auf Arbeitnehmerdaten künftig enger auszulegen sind.
Auf der Basis des neuen Rechts müssen Betriebsräte künftig
deutlich umfassender als bislang57 darlegen, warum für die Erfüllung der von ihnen verfolgten Zwecke anonymisierte Daten
ggf. nicht ausreichen würden. Dem Arbeitgeber obliegt hier
eine entsprechende Prüfungspflicht. Der für beide Seiten sicherste und pragmatischste Weg ist der Abschluss entsprechender Betriebsvereinbarungen.
IV. Betriebsvereinbarungen erlauben
weiterhin Datenverarbeitungen
Nach der bisherigen Rechtsprechung konnten Betriebsvereinbarungen als „sonstige Rechtsvorschriften“ i.S.v. § 4 Abs. 1 BDSG
den Umgang mit personenbezogenen Daten erlauben.58 Beim
Abschluss entsprechender Kollektivvereinbarungen mussten Arbeitgeber und Betriebsräte allerdings die Persönlichkeitsrechte
der betroffenen Arbeitnehmer i.R.v. § 75 Abs. 2 BetrVG angemessen schützen. Hierfür mussten sie insbesondere sicherstellen, dass Datenverarbeitungen in verhältnismäßiger Weise erfolgten.59
1. Betriebsvereinbarungen zum Umgang mit
personenbezogenen Daten bleiben möglich
Art. 88 Abs. 1 DS-GVO sieht vor, dass Betriebsvereinbarungen
auch künftig spezifische Vorschriften zur Gewährleistung des
Schutzes und der Rechte und Freiheiten von Beschäftigten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext vorsehen können. Diese Regelungsbefugnis für Arbeitgeber und Betriebsrat gilt insbesondere
für „Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags
einschließlich der Erfüllung von gesetzlich oder tarifvertraglich
festgelegten Pflichten, des Managements, der Planung und der
Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des
Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie
für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und
Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses“.60
48 Vgl. Art. 5 Abs. 1 lit. c DS-GVO.
49 Vgl. hierzu etwa Wybitul/Sörup/Pötters, ZD 2015, 559 sowie Wybitul/Pötters,
RDV 2016, 10 ff.
50 Vgl. zum sachlichen Anwendungsbereich der Verordnung Art. 2 Abs. 1 DSGVO.
51 Vgl. zur Subsidiarität des BDSG etwa Schmidt, in: Taeger/Gabel, BDSG,
2. Aufl. 2013, § 1 Rdnr. 33 ff.
52 Art. 288 Abs. 2 AEUV: „Die Verordnung hat allgemeine Geltung. Sie ist in allen
ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.“
53 Vgl. etwa §§ 74 ff. BetrVG.
54 Vgl. zu den Anforderungen an Rechtsvorschriften i.S.v. Art. 6 Abs. 1 lit. c DSGVO auch Erwägungsgrund 45, der u.a. fordert, dass solche Rechtsvorschriften regeln sollten, für welche Zwecke die Daten verarbeitet werden dürfen.
55 Vgl. etwa Art. 5 DS-GVO sowie Erwägungsgrund 39 zu den allgemeinen Regelungsprinzipien der DS-GVO.
56 Art. 5 Abs. 1 lit. c DS-GVO.
57 Vgl. etwa BAG ZD 2012, 481 ff. m. Anm. Wybitul.
58 Vgl. etwa BAG ZD 2014, 426 m.w.Nw; zusammenfassend hierzu Wybitul, NZA
2014, 225.
59 Vgl. etwa BAG ZD 2015, 256 ff.
60 Art. 88 Abs. 1 DS-GVO.
206 Wybitul: Was ändert sich mit dem neuen EU-Datenschutzrecht für Arbeitgeber und Betriebsräte?
ZD 5/2016
2. Wirkung von Betriebsvereinbarungen nach der
DS-GVO
Betriebsvereinbarungen dürfen auch i.R.d. DS-GVO Datenvereinbarungen für Zwecke der Einstellung, der Durchführung und
der Beendigung von Arbeitsverhältnissen regeln.61
In diesem Zusammenhang stellen Betriebsvereinbarungen dann
datenschutzrechtliche Erlaubnistatbestände i.S.v. Art. 6 Abs. 1
i.V.m. 88 Abs. 1 DS-GVO dar. Hierfür müssen Betriebsvereinbarungen aber die Vorgaben von Art. 88 Abs. 2 DS-GVO erfüllen.
Diese Anforderungen gehen über die bislang nach der Rechtsprechung des BAG maßgeblichen Beschränkungen nach § 75
Abs. 2 BetrVG hinaus.62
V. Vorgaben des Art. 88 Abs. 2 DS-GVO für
Betriebsvereinbarungen
Art. 88 Abs. 2 DS-GVO regelt, unter welchen Voraussetzungen
Gesetze einzelner Mitgliedstaaten oder Kollektivvereinbarungen die Verarbeitung personenbezogener Daten im Beschäftigungskontext regeln dürfen. Dabei zeigt der Wortlaut der Vorschrift, dass sie wohl vor allem auf einzelstaatliche Gesetze zur
Regelung des Beschäftigtendatenschutzes abzielt. Für die Praxis
bleibt daher besonders relevant, wie sich Gerichte und Aufsichtsbehörden zu der Auslegung der Anforderungen des
Art. 88 DS-GVO bei Betriebsvereinbarungen künftig positionieren werden. I.E. wäre es hier zweckmäßig, den Betriebsparteien
keinen allzu engen Handlungsrahmen einzuräumen und sich
(jedenfalls in Deutschland) an der bisherigen Rechtsprechung zu
§ 75 Abs. 2 BetrVG zu orientieren.
1. Regelungen zum Schutz der betroffenen
Personen
Art. 88 Abs. 2 DS-GVO fordert „geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die
Datenübermittlung innerhalb einer Unternehmensgruppe oder
einer Gruppe von Unternehmen und die Überwachungssysteme
am Arbeitsplatz.“
Dabei dürften Regelungen zur Datenübermittlung in Konzernen
und Überwachungssystemen am Arbeitsplatz in Betriebsvereinbarungen richtigerweise nur dann zu fordern sein, wenn der
sachliche Geltungsbereich der jeweiligen Betriebsvereinbarung
solche konzerninternen Übermittlungen oder Überwachungssysteme erfasst. Dagegen sollten Betriebsvereinbarungen im
Hinblick auf die Vorgaben nach Art. 12 ff. DS-GVO künftig
grundsätzlich Regelungen zur Transparenz der Datenverarbeitung enthalten.
Betriebsvereinbarungen zur Verarbeitung personenbezogener
Beschäftigtendaten sollten nach dem Wortlaut von Art. 88 DSGVO und der Konzeption der Art. 12 ff. DS-GVO somit künftig
entsprechende Regelungen zur Unterrichtung und sonstigen Information der betroffenen Arbeitnehmer oder ihrer betriebsverfassungsrechtlichen Vertreter umfassen.63
61 Vgl. hierzu auch Wybitul/Pötters, RDV 2016, 10, 15.
62 Vgl. etwa BAG ZD 2015, 256 ff.
63 Vgl. unter V.1.a).
64 Vgl. zu den verfassungsrechtlichen Grundlagen des Datenschutzes den gelungenen Überblick von Brink, in: BeckOK Datenschutzrecht, 1. Aufl. 2013, Syst. C
(insb. Rdnr. 90 ff.) sowie die umfassende und instruktive Darstellung von Pötters,
Grundrechte und Beschäftigtendatenschutz, 1. Aufl. 2013, S. 51 ff.
65 Vgl. Erwägungsgrund 39.
66 Vgl. Erwägungsgründe 58 und 39.
67 Vgl. Erwägungsgrund 39.
ZD 5/2016
2. Zweckrichtung des Art. 88 Abs. 2 DS-GVO
Art. 88 DS-GVO verfolgt offenkundig das Ziel, eine übermäßige
Absenkung des Datenschutzstandards der DS-GVO durch einzelstaatliche Regelungen oder durch Betriebsvereinbarungen zu
verhindern. I.E. wird das Schutzniveau von Betriebsvereinbarungen künftig daher wohl dem der DS-GVO entsprechen müssen.
Allerdings werden alternative Regelungsmechanismen einzelner Sachfragen, wie etwa der Art einer Unterrichtung, zu Löschfristen und einzelnen Verfahrensfragen (etwa bei der Datenschutz-Folgenabschätzung) zulässig sein.
3. Schwerpunkte der DS-GVO
Viele der Regelungen der DS-GVO orientieren sich in erster Linie
an dem Datenschutz im Internet oder bei Online-Geschäften,
wie etwa die Anforderungen der Datenportabilität oder das
Recht, eine Kopie der eigenen, beim Verantwortlichen gespeicherten personenbezogenen Daten zu verlangen. Auch einige
der Vorgaben zur Transparenz oder zu den Pflichten von Verantwortlichen und Auftragsverarbeitern zielen erkennbar eher auf
Online-Vorgänge oder TK-Vorgänge ab als auf die Besonderheiten des Arbeitsverhältnisses.
Zusammengefasst „passt“ die DS-GVO an vielen Stellen
schlichtweg nicht zu den Besonderheiten des Arbeitsverhältnisses. Vor diesem Hintergrund drängt es sich geradezu auf, viele
Fragen des Beschäftigtendatenschutzes im Betrieb kollektiv
i.R.v. Betriebsvereinbarungen zu regeln. Dieser Tatsache trägt
Art. 88 Abs. 1 DS-GVO Rechnung und erlaubt es den Betriebsparteien, angemessene Regelungen zum Datenschutz im Betrieb, Unternehmen oder Konzern zu vereinbaren.
VI. Einzelne Regelungen in Betriebsvereinbarungen nach Art. 88 DS-GVO
Der vorliegende Abschnitt zeigt zum einen, welche Rahmenbedingungen für Betriebsvereinbarungen durch Art. 88 Abs. 2 DSGVO und § 75 Abs. 2 BetrVG vorgegeben sind. Zum anderen
beschreibt er, welche weiteren betrieblichen Regelungen
zweckmäßig sein können.
1. Geeignete Maßnahmen zum Schutz der
betroffenen Arbeitnehmer
Art. 88 Abs. 2 DS-GVO verpflichtet die Betriebsparteien beim
Abschluss von Betriebsvereinbarungen zum Datenschutz, die
menschliche Würde, die berechtigten Interessen und die sonstigen Grundrechte der betroffenen Person zu wahren. Diese Vorgabe dürfte keine größere Veränderung gegenüber den bisherigen Anforderungen an Betriebsvereinbarungen darstellen. Bereits nach der geltenden Rechtslage müssen Arbeitgeber das
Persönlichkeitsrecht, aber auch die sonstigen Grundrechte der
Arbeitnehmer im Betrieb sowie deren berechtigte Interessen
beim Abschluss von Betriebsvereinbarungen angemessen berücksichtigen.64
a) Transparenz der Verarbeitung
In Bezug auf die vorgeschriebene Transparenz gehen die Vorgaben der DS-GVO weit über das bisherige Recht hinaus. Für die
betroffenen Personen sollte erkennbar sein, dass und auf welche Weise ihre personenbezogenen Daten verarbeitet werden.65 Der in Art. 5 Abs. 1 lit. a DS-GVO vorgeschriebene
Grundsatz der Transparenz setzt zudem voraus, dass alle Informationen und Mitteilungen zur Verarbeitung personenbezogener Daten leicht zugänglich und verständlich sowie in klarer und
einfacher Sprache abgefasst sind.66 Die betroffenen Personen
sollten über die Risiken, Vorschriften, Garantien und Rechte im
Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können.67
Wybitul: Was ändert sich mit dem neuen EU-Datenschutzrecht für Arbeitgeber und Betriebsräte? 207
Dementsprechend stellt Art. 88 Abs. 2 DS-GVO in Bezug auf die
Information von Arbeitnehmern erhebliche Anforderungen an
entsprechende Betriebsvereinbarungen, welche die Verarbeitung personenbezogener Daten legitimieren sollen. Voraussichtlich werden Arbeitsgerichte und Aufsichtsbehörden als
„Minimallösung“ fordern, dass Betriebsvereinbarungen die
Transparenzvorschriften der Art. 12 – Art. 15 DS-GVO wiedergeben oder in Bezug nehmen.
Aus Unternehmenssicht wäre es dagegen deutlich zweckmäßiger, alternative Mechanismen zur Herstellung des von der DSGVO vorausgesetzten Maßes an Transparenz zu vereinbaren.
Hier kommt i.R.v. Betriebsvereinbarungen insbesondere eine
kollektive Information des Betriebsrats an Stelle einer kleinteiligen und aufwändigen Unterrichtung jedes einzelnen Arbeitnehmers in Betracht.
b) Datenübermittlung innerhalb einer
Unternehmensgruppe
Sofern Betriebsvereinbarungen Regelungsgegenstände betreffen, die Datenübermittlungen innerhalb einer Unternehmensgruppe oder Gruppe von Unternehmen voraussetzen, muss der
Schutz der Interessen der Arbeitnehmer bei der konzerninternen Weitergabe ihrer personenbezogenen Daten sichergestellt
sein. Bei Übermittlungen personenbezogener Arbeitnehmerdaten in Drittstaaten sollte insbesondere geregelt werden, auf welche Weise beim Empfänger ein angemessenes Schutzniveau
beim Datenschutz gewährleistet wird.
c) Überwachungssysteme am Arbeitsplatz
Automatisierte Überwachungssysteme am Arbeitsplatz unterliegen oftmals dem Mitbestimmungsrecht des Betriebsrats nach
§ 87 Abs. 1 Nr. 6 BDSG. Bereits nach der bisherigen Rechtslage
war der Schutz von Mitarbeiterrechten bei Kontrollmaßnahmen
oft ein wesentlicher Bestandteil entsprechender Betriebsvereinbarungen. Künftig sollten die Betriebsparteien zudem regeln,
wie die jeweils anwendbaren Vorgaben der DS-GVO bei automatisierten Kontrollmaßnahmen umgesetzt werden oder welche alternativen Schutzmechanismen gelten sollen.
2. Weitere zweckmäßige Regelungen
Auf Grund der vielfältigen Vorgaben der DS-GVO können alternative Regelungen zu einer Vielzahl von Themenkomplexen
zweckmäßig sein. Unterlassen es die Betriebsparteien, bleibt es
bei der – teilweise für die besondere Situation des Datenschutzes im Arbeitsverhältnis wenig geeigneten –68 Rechtslage nach
den allgemeinen Bestimmungen der DS-GVO. Hierbei sollten
Arbeitgeber und Betriebsräte neben den vorstehend genannten
Aspekten der Transparenz, Datenübermittlung, Überwachungssysteme69 vor allem an folgende Punkte denken:
c Erlaubnis: Klarstellung, dass die Betriebsvereinbarung als Erlaubnistatbestand insbesondere i.S.v. Art. 6 Abs. 1, 9 Abs. 2, 9a
DS-GVO gelten soll.
c Rückgriff auf gesetzliche Erlaubnis: Aus Arbeitgebersicht
ist es ausgesprochen empfehlenswert, klarzustellen, dass eine
Betriebsvereinbarung zur Datenverarbeitung nicht abschließend ist und dass der Arbeitgeber sich den Rückgriff auf gesetzliche Erlaubnistatbestände vorbehält, insbesondere auf § 32
Abs. 1 BDSG i.V.m. Art. 88 Abs. 1, 6 Abs. 1 und 9 Abs. 2 DSGVO.
c Zweckbindung: Regelungen zur Festlegung der Zwecke bei
Datenerhebungen sowie zu Zweckänderungen i.S.v. Art. 6
Abs. 4 DS-GVO.
c Löschfristen: Vorgaben zur Speicherdauer und zu den Voraussetzungen einer Löschung oder Einschränkung von perso-
nenbezogenen Arbeitnehmerdaten, Konkretisierung der eher
allgemeinen Vorgaben des Art. 17 DS-GVO.
c Datensicherheit: Vorgaben zur Herstellung der Sicherheit
der Verarbeitung70 in Bezug auf Arbeitnehmerdaten, Vereinbarung konkreter technischer und organisatorischer Maßnahmen.
c Datenverletzungen: Verfahren bei tatsächlichen oder vermuteten Datenverletzungen. Hier können Betriebsvereinbarungen zudem regeln, welche Vorgänge jeweils als Datenverletzungen zu behandeln sind und welche nicht.
c Datenschutz-Folgenabschätzungen: Vorherige Festlegung, welche Arten von Datenverarbeitungen einer vorherigen
Folgenabschätzung bedürfen. Regelungen zur konkreten
Durchführung einer Folgenabschätzung bei der Verarbeitung
von Arbeitnehmerdaten.
c Dokumentations- und Rechenschaftspflichten: Regelung, auf welche Weise der Arbeitgeber die umfassenden Dokumentations- und Rechenschaftspflichten nach der DS-GVO erfüllt.71
c Informationspflichten nach dem BetrVG: Betriebsräte
und Arbeitgeber sind gut beraten, wenn sie künftig in Betriebsvereinbarungen festlegen, auf welche Weise der Arbeitgeber
seinen Informationspflichten nach dem BetrVG nachkommen
soll (und darf).
Gerade bei den o.g. Regelungsgegenständen können Arbeitgeber und Betriebsrat ein hohes Maß an Rechtssicherheit beim Datenschutz schaffen. Sie können die allgemeinen Regelungen der
DS-GVO konkretisieren oder alternative Strukturen vereinbaren,
die den Besonderheiten des Arbeitsverhältnisses oder des jeweiligen Betriebs besser gerecht werden als die allgemeinen Vorgaben der Verordnung.
VII. Ergebnis
Die DS-GVO bringt für Arbeitgeber, Betriebsräte und Arbeitnehmer eine Vielzahl von Änderungen mit sich. Insgesamt gehen
die Anforderungen der Verordnung deutlich über die bisherigen
Vorgaben des BDSG hinaus. Viele Regelungen der DS-GVO zielen erkennbar auf anders gelagerte Sachverhalte ab und sind mit
den Besonderheiten des Arbeitsverhältnisses in der Praxis
schwer in Einklang zu bringen.72 Daher hat sich der EU-Gesetzgeber zweckmäßigerweise entschlossen, Sonderregelungen
zum Beschäftigtendatenschutz in einzelstaatlichen Rechtsvorschriften oder in Kollektivvereinbarungen zu erlauben.
Arbeitgeber und Betriebsräte sind gut beraten, wenn sie von
dieser Möglichkeit Gebrauch machen und die Verarbeitung von
Beschäftigtendaten umfassend in entsprechenden Betriebsvereinbarungen regeln. So können sie Rechtsunsicherheiten vermeiden. Vor allem können sie auf diesem Wege alternative Regelungsmechanismen vereinbaren, die den Besonderheiten des
Arbeitsverhältnisses und der Situation im Betrieb oder Unternehmen deutlich besser Rechnung tragen als viele der allgemeinen Vorgaben der DS-GVO. Auch bei bereits abgeschlossenen
Betriebsvereinbarungen besteht erheblicher Handlungsbedarf.
Tim Wybitul
ist Rechtsanwalt, Fachanwalt für Arbeitsrecht und Partner
der Kanzlei Hogan Lovells International LLP in Frankfurt/M.
sowie Mitherausgeber der ZD.
Der Verfasser dankt RAin Marlien Telöken, Hogan Lovells
Frankfurt/M., für ihre wertvolle Unterstützung.
68
69
70
71
72
Vgl. unter V.3.
Vgl. unter VI.1.
Vgl. zu den allgemeinen Vorgaben der Verordnung Art. 30 DS-GVO.
Vgl. hierzu insb. Art. 22 DS-GVO.
Vgl. hierzu unter I.
208 Wybitul: Was ändert sich mit dem neuen EU-Datenschutzrecht für Arbeitgeber und Betriebsräte?
ZD 5/2016