BEITRAGE TIM WYBITUL Was ändert sich mit dem neuen EU-Datenschutzrecht für Arbeitgeber und Betriebsräte? Nachweispflichten Datenschutzverstöße Bußgeldrahmen Cybersecurity Arbeitnehmerdatenschutz Anpassungsbedarf bei Beschäftigtendatenschutz und Betriebsvereinbarungen c Der vorliegende Überblick fasst zunächst anhand konkreter Beispiele die für die Praxis wesentlichsten Änderungen beim Beschäftigtendatenschutz durch die DS-GVO zusammen. Im Anschluss zeigt er Möglichkeiten auf, Probleme beim Datenschutz am Arbeitsplatz auch weiterhin mittels Betriebsvereinbarungen zu lösen. Allerdings stellt Art. 88 Abs. 2 DSGVO nicht unerhebliche Anforderungen auf. Diese Vorgaben müssen Arbeitgeber und Betriebsräte beim Abschluss neuer Kollektivvereinbarungen berücksichtigen. Sie müssen ggf. aber auch bestehende Regelungen anpassen. Unternehmen sollten daher ihre Betriebsvereinbarungen zeitig darauf prüfen, ob sie den ab 2018 geltenden Anforderungen des neuen EU-Datenschutzrechts entsprechen. Der vorliegende Beitrag fasst zusammen, welche neuen Erfordernisse die DS-GVO aufstellt. Zudem zeigt er Lösungsansätze, wie Unternehmen die neuen Anforderungen erfüllen können und dabei betriebliche oder organisatorische Nachteile vermeiden können. Lesedauer: 21 Minuten c By way of specific examples, the overview at hand will first summarize the changes in the employee data protection by way of the Data Protection Basic Regulation (DS-GVO) which are essential to practice. Furthermore, it will show possibilities to continue to solve problems in regards to data protection at the work place via works agreements. However, Art. 88 Subsec. 2 DS-GVO sets forth substantial requirements. These requirements must be considered by the employers and works councils when executing new collective agreements. In some cases, they may need to amend existing regulations. Companies should thus examine their works agreements in due course in regards to whether they comply with the requirements of the new EU data protection law applicable as of 2018. The article at hand summarizes which new requirements the Data Protection Basic Regulation (DS-GVO) sets forth. Additionally, it will show approaches to solve the issue of how companies can fulfill the new requirements and thus avoid corporate or organizational disadvantages. I. Veränderungen beim Datenschutz am Arbeitsplatz durch die DS-GVO zusammen. Einige dieser Neuerungen wirken sich auch erheblich auf Betriebsvereinbarungen aus. Voraussichtlich 2018 soll mit der Datenschutzgrundverordnung (DS-GVO)1 in der gesamten EU ein einheitliches Datenschutzrecht gelten. Am 15.12.2015 wurde in Brüssel die Einigung auf eine Endfassung verkündet, die nun nur noch sprachlich überarbeitet werden soll.2 Am 14.4.2016 verabschiedete der EU-Gesetzgeber die DS-GVO und diese soll zwei Jahre und 20 Tage später in Kraft treten.3 Diese zweijährige Umsetzungsfrist ist in Anbetracht der Vielzahl neuer Regelungen und Anforderungen eher knapp bemessen. 1. Bußgelder Der folgende Überblick fasst einige Beispiele für besonders wesentliche Veränderungen beim Datenschutz am Arbeitsplatz 1 Soweit in dem vorliegenden Beitrag auf die DS-GVO Bezug genommen wird, ist die vom EU-Gesetzgeber verabschiedete Fassung v. 14.4.2016 gemeint. Die Nummerierung der Artikel wird sich gegenüber der Endfassung der DS-GVO ggf. durch letzte redaktionelle Anpassungen noch ändern. Der Verfasser wird dann eine Synopse unter der URL www.hldatenschutz.de zum Abruf bereitstellen. 2 Vgl. umfassend zur Entstehungsgeschichte der DS-GVO Albrecht, CR 2016, 88 ff. 3 Vgl. Art. 99 DS-GVO. 4 Art. 83 Abs. 1 DS-GVO. 5 Art. 83 Abs. 5 DS-GVO, vgl. zu den künftigen Bußgeldrisiken auch Wybitul, ZD 2016, 105 f. sowie Faust/Spittka/Wybitul, ZD 2016, 120 ff. 6 Vgl. Art. 83 Abs. 4 DS-GVO. 7 Vgl. Art 5 Abs. 2 und Art. 24 DS-GVO. 8 Art. 24 Abs. 2 DS-GVO; hier ist zu beachten, dass die im Gesetzgebungsprozess verhandelte englische Fassung an Stelle „geeigneter Datenschutzvorkehrungen“ von der „implementation of appropriate data protection policies“ spricht. ZD 5/2016 Die Sanktionen für Verstöße gegen die DS-GVO sind drastisch. Die Verordnung sieht vor, dass Geldbußen für Verstöße gegen die dort geregelten Vorgaben „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein sollen.4 Dieses Ziel wird das neue EU-Datenschutzrecht aller Voraussicht nach erreichen. Während das BDSG lediglich Geldbußen von bis zu a 300.000,– erlaubte, sieht die Verordnung künftig Bußgelder vor, die bis zu 4% des globalen Umsatzes des Vorjahrs erreichen können.5 Weniger gravierende Verstöße werden „nur“ mit bis zu 2% des globalen Unternehmens- oder Konzernumsatzes geahndet.6 Die Bußgeldrisiken für an Datenschutzverstößen beteiligte natürliche Personen, wie etwa Manager oder Datenschutzbeauftragte, belaufen sich auf bis zu a 20 Mio. oder a 10 Mio. – je nach der Art des begangenen Verstoßes. 2. Nachweis- und Rechenschaftspflichten Die DS-GVO bringt für Unternehmen umfassende Nachweispflichten mit sich (sog. „accountability“). Verantwortliche müssen nicht nur sicherstellen, dass sie die Vorgaben der Verordnung erfüllen. Sie müssen dies zudem auch nachweisen können.7 Dabei müssen sie auch beweisen können, dass sie geeignete Datenschutzrichtlinien und sonstige geeignete Datenschutzvorkehrungen umsetzen.8 Andernfalls drohen Bußgelder, Schadensersatzansprüche und weitere Nachteile. Es steht zudem zu erwarten, dass viele Betriebsräte im Rahmen ihrer Auskunftsrechte nach § 80 Abs. 2 BetrVG künftig umfas- Wybitul: Was ändert sich mit dem neuen EU-Datenschutzrecht für Arbeitgeber und Betriebsräte? 203 sende Dokumentation zum Datenschutz einfordern werden.9 Zudem wird Arbeitgebern in Verfahren vor den Arbeitsgerichten künftig in vielen Fällen auch die Beweislast dafür obliegen, dass sie im Prozess vorgetragene Informationen datenschutzgerecht erhoben haben. Bereits in der Vergangenheit haben deutsche Arbeitsgerichte bei Datenschutzverstößen häufig Beweisverwertungsverbote angenommen.10 3. Erweiterter Anwendungsbereich auch außerhalb der EU Die DS-GVO soll nicht nur in der gesamten EU11 einheitlich gelten, sondern auch für Verantwortliche12 in anderen Staaten, wenn diese Personen in der EU Waren oder Dienstleistungen anbieten13 oder deren Verhalten überwachen14. In solchen Fällen müssen auch ausländische Verantwortliche die Vorgaben der DS-GVO erfüllen. Gerade für global tätige Unternehmen, die diese Anforderungen erfüllen, kann dieses „Marktortprinzip“15 bedeuten, dass sie sämtliche Vorgaben der Verordnung ggf. auch im Ausland erfüllen müssen. Es wird ausgesprochen interessant, auf welche Weise europäische Aufsichtsbehörden und Gerichte diese extraterritoriale Anwendbarkeit künftig auslegen und durchsetzen werden. 4. Vorrang der DS-GVO vor anderen Vorschriften Anders als das BDSG wird die DS-GVO nicht von spezielleren Gesetzen verdrängt. Vielmehr geht sie als EU-Verordnung einzelstaatlichen Vorschriften mit gleichem Regelungsbereich vor und verdrängt diese.16 Die DS-GVO ist damit anders als das BDSG eine Vorrangregelung und kein Auffanggesetz. Damit stellt sich insbesondere auch die Frage nach dem Verhältnis von BetrVG und der Verordnung (vgl. unter III.). 5. Transparenz Vielleicht die wesentlichste Veränderung gegenüber dem BDSG sind massiv gesteigerte Informationspflichten bei der Datenverarbeitung. Unternehmen müssen betroffene Personen17 „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und verständlichen Sprache“ darüber informieren, was mit ihren personenbezogenen Daten geschieht. Die Art. 12 – 15 DS-GVO sehen ausgesprochen weitgehende Pflichten für Verantwortliche vor. U.a. können betroffene Personen eine Kopie ihrer verarbeiteten personenbezogenen Daten vom Verantwortlichen verlangen.18 Man kann davon ausgehen, dass Arbeitnehmeranwälte dieses Recht künftig regelmäßig zu Beginn von Verfahren vor den Arbeitsgerichten geltend machen werden. So können sie zum einen umfassende Informationen erhalten und zum anderen auf Beweisverwertungsverbote hoffen, wenn der Arbeitgeber hierauf nur unvollständig informiert. 6. Erweiterte Informationspflichten bei Datenschutzverstößen Im Falle einer Verletzung des Datenschutzes müssen Unternehmen prüfen, ob sie verpflichtet sind, die Aufsichtsbehörden sowie ggf. auch die von der Verletzung betroffenen Personen zu informieren. Dabei ist der Begriff der Verletzung des Schutzes personenbezogener Daten künftig deutlich weiter gefasst als bislang in § 42a BDSG. Datenverletzungen i.S.v. Art. 33 f. DSGVO betreffen jede Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob zufällig oder unrechtmäßig, oder zur unbefugten Weitergabe oder zum Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.19 Gegenüber dem bisherigen § 42a BDSG stellen die neuen Informationspflichten nach Art. 33 und Art. 34 DS-GVO eine erhebliche Verschärfung dar. Zudem steigt der Bußgeldrahmen bei unzureichender Unterrichtung von bislang a 300.000,– auf maximal bis zu 2% des Umsatzes.20 7. Löschpflichten Art. 17 DS-GVO regelt umfassende Löschpflichten und das sog. „Recht auf Vergessenwerden“. Verstöße gegen diese strengen Anforderungen werden mit Bußgeldern von bis zu 4% des Vorjahresumsatzes geahndet.21 Grundsätzlich sind personenbezogene Daten u.a. dann unverzüglich zu löschen, wenn sie für die Zwecke, für die sie erhoben oder in sonstiger Weise verarbeitet wurden, nicht mehr erforderlich sind.22 Dies ist noch keine erhebliche Änderung gegenüber dem bisherigen Recht.23 Dagegen sind die Ausnahmen von der generellen Löschpflicht in Art. 17 Abs. 3 DS-GVO künftig recht eng gefasst. Verantwortliche müssen personenbezogene Daten ggf. auch dann löschen, wenn die betroffene Person Widerspruch nach Art. 21 Abs. 1 DS-GVO gegen die Verarbeitung ihrer personenbezogenen Daten einlegt. Kann der Verantwortliche in diesem Fall nicht nachweisen,24 dass vorrangige berechtigte Gründe25 für die Verarbeitung vorliegen, muss er die in Frage stehenden Daten löschen. Auch diese Neuerungen eröffnen Arbeitnehmeranwälten einige neue Handlungsoptionen.26 8. Haftung des Datenschutzbeauftragten Die Haftungsrisiken für Datenschutzbeauftragte steigen massiv. Bislang wurden zivilrechtliche Haftung und eine straf- oder ordnungswidrigkeitenrechtliche Garantenstellung des Datenschutzbeauftragten unter Hinweis auf § 4g Abs. 1 Satz 1 BDSG abgelehnt.27 Nach dem bisherigen Recht musste der Datenschutzbeauftragte lediglich auf die Einhaltung der Vorschriften zum Datenschutz hinwirken. Der Pflichtenkreis von Datenschutzbeauftragten nach Art. 39 Abs. 1 lit. b DS-GVO geht deutlich weiter. Danach muss der Datenschutzbeauftragte u.a. die Einhaltung der DS-GVO und anderer Datenschutzvorschriften sowie Datenschutzstrategien, die Zuweisung von Zuständigkeiten, die Schulung von Mitarbei9 Vgl. hierzu auch unter III. 10 Vgl. hierzu etwa BAG ZD 2015, 260 ff. sowie Wybitul/Pötters, BB 2014, 437 ff. oder Brink/Wybitul, ZD 2015, 225 ff. m.w.Nw. 11 Vgl. Art. 3 Abs. 1 DS-GVO. Danach findet die Verordnung Anwendung auf die Verarbeitung personenbezogener Daten i.R.d. Tätigkeiten einer Niederlassung in der Union. Dies gilt unabhängig davon, ob die eigentliche Verarbeitung in der Union erfolgt. 12 Nach der DS-GVO verpflichtete Personen oder Stellen sind in Art. 4 Nr. 7 DSGVO als „für die Verarbeitung Verantwortliche“ definiert. Dies entspricht dem Begriff der „verantwortlichen Stelle“ i.S.v. § 3 Abs. 7 BDSG. 13 Vgl. Art. 3 Abs. 2 lit. a DS-GVO. 14 Vgl. Art. 3 Abs. 2 lit. b DS-GVO. 15 Vgl. hierzu etwa Albrecht, CR 2016, 88, 90. 16 Vgl. Art. 288 AEUV. 17 Die „betroffene Person“ i.S.d. Art. 4 Nr. 1 DS-GVO ist diejenige bestimmte oder bestimmbare natürliche Person, deren personenbezogene Daten von einem Verantwortlichen verarbeitet werden. Dies entspricht dem „Betroffenen“ i.S.v. § 3 Abs. 1 BDSG. 18 Art. 15 Abs. 1b DS-GVO. 19 Art. 4 Nr. 12 DS-GVO. 20 Art. 83 Abs. 4 lit. a DS-GVO. 21 Art. 83 Abs. 5 lit. b DS-GVO. 22 Art. 17 Abs. 1 lit. a DS-GVO. 23 Vgl. etwa § 35 Abs. 2 Satz 2 Nr. 3 BDSG. 24 Vgl. zur Nachweispflicht des Verantwortlichen Art. 21 Abs. 1 DS-GVO. 25 Art. 21 Abs. 1 DS-GVO spricht sogar nicht nur von „vorrangigen berechtigten Gründen“, sondern von „zwingenden schutzwürdigen Gründen“, was i.E. eine noch weitgehendere Anforderung darstellen würde. 26 Z.B. müsste ein Arbeitgeber in einem Kündigungsschutzprozess nach einem Widerspruch des Arbeitnehmers ggf. auch darlegen, für welche Zwecke und auf welcher Rechtsgrundlage er die personenbezogenen Daten des Arbeitnehmers weiter gespeichert hat. In derartigen Fallkonstellationen kommt insb. Art. 17 Abs. 3 lit. e DS-GVO in Betracht, der eine Ausnahme von der Löschpflicht für Zwecke der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vorsieht. 27 Vgl. hierzu etwa Bongers/Krupna, ZD 2013, 594 ff. 204 Wybitul: Was ändert sich mit dem neuen EU-Datenschutzrecht für Arbeitgeber und Betriebsräte? ZD 5/2016 tern und diesbezügliche Überprüfungen überwachen. Diese klar zugewiesene künftige Überwachungspflicht kann gerade vor dem Hintergrund des drakonischen Bußgeldrahmens und dem im Ordnungswidrigkeitenrecht maßgeblichen Einheitstäterbegriff28 gravierende Folgen haben. Es spricht einiges dafür, dass Gerichte und Behörden Datenschutzbeauftragte künftig als Überwachergaranten im straf- und ordnungswidrigkeitenrechtlichen Sinne bewerten werden.29 Arbeitgeber sollten daher auch damit rechnen, dass betriebliche Datenschutzbeauftragte vor dem Hintergrund der gestiegenen Haftungsrisiken noch genauer als bislang hinschauen. 9. Einwilligungen Betroffene Personen können nach wie vor in die Verarbeitung ihrer Daten einwilligen. Doch auch hier gelten strenge Transparenzvorgaben.30 Die Einwilligung sollte durch eine eindeutige Handlung erfolgen, mit der die betroffene Person ohne Zwang, für den konkreten Fall, in Kenntnis der Sachlage und unmissverständlich erklärt, dass sie mit der Verarbeitung ihrer Daten einverstanden ist.31 Gerade bei komplexeren Sachverhalten muss das Ersuchen um eine Einwilligung „in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ erfolgen.32 Ein Vertragsschluss darf nicht davon abhängig gemacht werden, dass die betroffene Person eine Einwilligung in die Verarbeitung personenbezogener Daten abgibt, die für die Erfüllung des Vertrags nicht erforderlich sind (Koppelungsverbot).33 Zudem können Einwilligungen jederzeit beliebig widerrufen werden. Hier hatte das BAG bei Arbeitnehmern in der Vergangenheit noch gefordert, dass der Widerruf nicht gegen Treuepflichten i.S.v. §§ 242, 241 Abs. 2 BGB verstößt.34 Art. 88 Abs. 1 DS-GVO erlaubt es den einzelnen Mitgliedstaaten zudem, Vorschriften über die Bedingungen zu erlassen, „unter denen personenbezogene Daten im Beschäftigungskontext auf der Grundlage der Einwilligung des Beschäftigten verarbeitet werden dürfen“.35 10. Zweckänderungen In der Praxis wollen oder müssen Arbeitgeber personenbezogene Daten von Arbeitnehmern oft auch für andere Zwecke verarbeiten als die, zu denen sie diese Daten ursprünglich erhoben haben. Dieser neue Zweck muss dann nach Art. 6 Abs. 4 DSGVO mit dem ursprünglichen Erhebungszweck vereinbar sein.36 Ein wesentlicher Faktor für die Frage dieser Vereinbarkeit sollen 28 Vgl. § 14 OWiG. 29 Vgl. zum Begriff des Überwachergaranten etwa BGH NJW 2003, 525; Ranft, JZ 2003, 582. 30 Vgl. zur Einwilligung in die Datenverarbeitung im Beschäftigungskontext Wybitul/Pötters, RDV 2016, 10, 12 f. 31 Vgl. Erwägungsgrund 32. 32 Art. 7 Abs. 2 DS-GVO. 33 Art. 7 Abs. 4 DS-GVO, vgl. auch Erwägungsgrund 68. 34 BAG ZD 2015, 330 ff. 35 Vgl. auch Erwägungsgrund 155. 36 Vgl. zum Grundsatz der Zweckbindung auch Art. 5 Abs. 1 lit. b DS-GVO. Die Anforderung der Vereinbarkeit gilt nicht, wenn die betroffene Person in die Zweckänderung wirksam eingewilligt hat. An dieser Stelle sind auch Ausnahmen durch Rechtsvorschriften der Union oder der Mitgliedstaaten zum Schutz öffentlicher Belange vorgesehen. In diesem Falle erlaubt die Einwilligung die Datenverarbeitung für die neuen vom Arbeitgeber verfolgten Zwecke. 37 Vgl. Art. 5 Abs. 1 lit. b DS-GVO. 38 Art. 35 Abs. 2 lit. a DS-GVO. 39 Vgl. Art. 9 Abs. 1 DS-GVO. 40 Art. 35 Abs. 2 lit. b DS-GVO. 41 Vgl. Art. 83 Abs. 4 lit. a DS-GVO. 42 Vgl. Erwägungsgrund 150, der auf Art. 101 und Art. 102 AEUV verweist. 43 Art. 35 Abs. 2 lit. c DS-GVO. 44 Vgl. Art. 35 Abs. 2a DS-GVO. 45 Art. 35 Abs. 2b DS-GVO. 46 Art. 36 DS-GVO. 47 Art. 83 Abs. 4 lit. a DS-GVO. ZD 5/2016 auch die vernünftigen Erwartungen der betroffenen Person sein („reasonable expectation of privacy“). Insofern kann man Arbeitgebern nur raten, die (möglichen) Zwecke der geplanten Verarbeitung personenbezogener Daten von Beschäftigten gleich bei deren Erhebung umfassend und vollständig festzulegen.37 Dies sollte das Unternehmen wegen Art. 24 Abs. 1 DS-GVO auch dokumentieren und gegenüber den betroffenen Arbeitnehmern sowie Betriebsräten transparent kommunizieren. 11. Datenschutz-Folgenabschätzungen und Abstimmung mit Datenschutz-Aufsichtsbehörden Hat eine Datenverarbeitung „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten, so führt der für die Verarbeitung Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge durch“, Art. 35 Abs. 1 DS-GVO. Eine solche Datenschutz-Folgenabschätzung ist insbesondere dann erforderlich, wenn eine Datenverarbeitung systematisch und umfassend persönliche Aspekte natürlicher Personen bewertet und diese Verarbeitung „als Grundlage dafür dient, die Rechtswirkung gegenüber natürlichen Personen zu entfalten oder diese in ähnlicher Weise erheblich zu beeinträchtigen“.38 Ebenso ist eine Folgenabschätzung bei der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten39 oder von Daten über strafrechtliche Verurteilungen oder über Straftaten vorgeschrieben.40 Gerade bei internen Ermittlungen wegen möglicher Straftaten im Unternehmen sollten Arbeitgeber daran denken, im Vorfeld eine Folgenabschätzung zu veranlassen. Verstöße gegen die Pflicht, eine nach Art. 35 DS-GVO vorgeschriebene Folgenabschätzung durchzuführen, können mit Bußgeldern von bis zu 2% des Umsatzes des Unternehmens des Vorjahrs belegt werden.41 Bei Unternehmensgruppen ist der konzernweite Umsatz maßgeblich.42 Auch Videoüberwachungen öffentlich zugänglicher Bereiche dürften nur nach einer vorherigen Folgenabschätzung zulässig sein.43 Die Aufsichtsbehörden für den Datenschutz sind gehalten, Listen von Verarbeitungsvorgängen zu erstellen, bei denen typischerweise Folgenabschätzungen nach Art. 35 DS-GVO vorgeschrieben sind (Positivlisten).44 Ebenso erstellen die Datenschutz-Aufsichtsbehörden Listen von Vorgängen, bei denen Folgenabschätzungen entbehrlich sind (Negativlisten).45 Ergibt eine Folgenabschätzung, dass die Datenverarbeitung ein hohes Risiko für betroffene Personen zur Folge hätte, muss der Verantwortliche zwingend die Datenschutz-Aufsichtsbehörde zu Rate ziehen. Diese nimmt dann innerhalb festgelegter Fristen Stellung zu der geplanten Datenverarbeitung.46 Auch ein Unterlassen der gesetzlich vorgeschriebenen Abstimmung mit der Aufsichtsbehörde kann Bußgelder von bis zu 2% des Umsatzes des Vorjahrs nach sich ziehen.47 12. Erleichterte Datenübermittlung im Konzern Die Weitergabe personenbezogener Daten zwischen Konzernunternehmen dürfte mit der DS-GVO vereinfacht werden. Denn Erwägungsgrund 48 stellt erfreulich deutlich klar, dass Verantwortliche, die Teil einer Unternehmensgruppe sind, ein berechtigtes Interesse haben können, „personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.“ Diese Klarstellung ist zu begrüßen. Sie wird gerade den konzerninternen Austausch von Beschäftigtendaten grundsätzlich erleichtern, auch wenn die Übermittlung an Empfänger außerhalb der EU weiterhin erheblichen Anforderungen unterliegt, vgl. Art. 44 ff. DS-GVO. Wybitul: Was ändert sich mit dem neuen EU-Datenschutzrecht für Arbeitgeber und Betriebsräte? 205 13. Cybersecurity, Datensicherheit, Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen Datensicherheit und Cybersecurity werden künftig voraussichtlich ganz erheblich an Bedeutung gewinnen. Bereits nach dem bisherigen Recht regelt § 9 BDSG klar, welche technischen und organisatorischen Maßnahmen verantwortliche Stellen zur Gewährleistung der Datensicherheit treffen müssen. Allerdings sind Verstöße gegen die Vorgaben von § 9 BDSG und der Anlage zu § 9 Satz 1 BDSG nicht bußgeldbewehrt. I.R.d. kommenden Verordnung regelt Art. 32 DS-GVO die Vorgaben an die Datensicherheit. Verstöße werden nach Art. 83 Abs. 4 lit. a DS-GVO mit Bußgeldern von bis zu 2% des Vorjahresumsatzes geahndet. IT-Systeme zur Verarbeitung personenbezogener Daten müssen nach Art. 25 Abs. 1 DS-GVO künftig so ausgestaltet sein, dass sie die wirksame Umsetzung der Datenschutzgrundsätze fördern und die Rechte betroffener Personen schützen, z.B. durch Datenminimierung48 („privacy by design“). Zudem muss der Verantwortliche für geeignete Voreinstellungen von IT-Systemen sorgen, die sicherstellen, dass grundsätzlich nur personenbezogene Daten verarbeitet werden, die für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind, Art. 25 Abs. 2 DS-GVO („privacy by default“). II. § 32 BDSG bleibt bis auf weiteres anwendbar Sofern der deutsche Gesetzgeber § 32 Abs. 1 BDSG nicht außer Kraft setzt oder durch eine andere Regelung ersetzt, bleibt diese Vorschrift die maßgebliche Regelung für die Verarbeitung personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses. Arbeitgeber, Betriebsräte, Arbeitnehmer und Richter können sich somit bei der Frage nach der Erforderlichkeit einer Datenverarbeitung weiterhin an der bisherigen Rechtsprechung der Arbeitsgerichte orientieren.49 Auch § 32 Abs. 2 BDSG dürfte zunächst weiter anwendbar bleiben. Die Vorschrift erweitert den Anwendungsbereich von § 32 Abs. 1 BDSG grundsätzlich auch auf den nicht-automatisierten Umgang mit personenbezogenen Daten für Zwecke des Beschäftigungsverhältnisses. Richtigerweise dürfte § 32 Abs. 2 BDSG wegen Art. 288 Abs. 2 AEUV von der DS-GVO nicht verdrängt werden, da er keinen zur Verordnung gleichlaufenden, sondern einen weitergehenden Regelungsrahmen hat.50 Selbst wenn man in dieser Frage zu einem anderen Ergebnis gelangt, bleibt § 32 Abs. 2 BDSG dann wohl als Spezialvorschrift i.S.v. Art. 88 Abs. 1 DS-GVO anwendbar. III. BetrVG als Erlaubnis zur Datenverarbeitung? Das BetrVG setzt in vielen Vorschriften Datenverarbeitungen voraus, etwa für Zwecke der Information des Betriebsrats. Insbesondere i.R.d. Erfüllung von Pflichten nach §§ 80 Abs. 2, 99 und 102 BetrVG muss der Arbeitgeber dem Betriebsrat oftmals umfassend personenbezogene Daten über Arbeitnehmer überlassen. Nach dem bisherigen Recht war das ohne weiteres zulässig. Denn das BDSG ist als Auffanggesetz konzipiert.51 Die DS-GVO geht dagegen einzelstaatlichem Recht grundsätzlich vor und kann dieses verdrängen.52 Das BetrVG geht nach § 1 Abs. 3 BDSG den Vorgaben des Datenschutzes vor. Anders als § 32 Abs. 1 BDSG wird das BetrVG nicht als Spezialregelung zum Beschäftigtendatenschutz i.S.v. Art. 88 Abs. 1 DS-GVO zu verstehen sein. Es verfolgt die Durchsetzung kollektiver Beteiligungsrechte der Arbeitnehmer im Betrieb53 – und hat damit eine grundlegend andere Zielrichtung als § 32 Abs. 1 BDSG. Allerdings erlaubt Art. 6 Abs. 1 lit. c DS-GVO die Verar- beitung zur Erfüllung rechtlicher Verpflichtungen. Daher bleibt die Weitergabe von personenbezogenen Daten zur Erfüllung betriebsverfassungsrechtlicher Vorgaben grundsätzlich erlaubt.54 Allerdings gelten auch hier die eher restriktiven allgemeinen Vorgaben der DS-GVO,55 insbesondere der Grundsatz der Datenminimierung.56 Diese Veränderung gegenüber dem bisherigen Recht legt nahe, dass die Auskunftspflichten (und die daraus folgenden Weitergaberechte) des Arbeitgebers in Bezug auf Arbeitnehmerdaten künftig enger auszulegen sind. Auf der Basis des neuen Rechts müssen Betriebsräte künftig deutlich umfassender als bislang57 darlegen, warum für die Erfüllung der von ihnen verfolgten Zwecke anonymisierte Daten ggf. nicht ausreichen würden. Dem Arbeitgeber obliegt hier eine entsprechende Prüfungspflicht. Der für beide Seiten sicherste und pragmatischste Weg ist der Abschluss entsprechender Betriebsvereinbarungen. IV. Betriebsvereinbarungen erlauben weiterhin Datenverarbeitungen Nach der bisherigen Rechtsprechung konnten Betriebsvereinbarungen als „sonstige Rechtsvorschriften“ i.S.v. § 4 Abs. 1 BDSG den Umgang mit personenbezogenen Daten erlauben.58 Beim Abschluss entsprechender Kollektivvereinbarungen mussten Arbeitgeber und Betriebsräte allerdings die Persönlichkeitsrechte der betroffenen Arbeitnehmer i.R.v. § 75 Abs. 2 BetrVG angemessen schützen. Hierfür mussten sie insbesondere sicherstellen, dass Datenverarbeitungen in verhältnismäßiger Weise erfolgten.59 1. Betriebsvereinbarungen zum Umgang mit personenbezogenen Daten bleiben möglich Art. 88 Abs. 1 DS-GVO sieht vor, dass Betriebsvereinbarungen auch künftig spezifische Vorschriften zur Gewährleistung des Schutzes und der Rechte und Freiheiten von Beschäftigten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext vorsehen können. Diese Regelungsbefugnis für Arbeitgeber und Betriebsrat gilt insbesondere für „Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von gesetzlich oder tarifvertraglich festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses“.60 48 Vgl. Art. 5 Abs. 1 lit. c DS-GVO. 49 Vgl. hierzu etwa Wybitul/Sörup/Pötters, ZD 2015, 559 sowie Wybitul/Pötters, RDV 2016, 10 ff. 50 Vgl. zum sachlichen Anwendungsbereich der Verordnung Art. 2 Abs. 1 DSGVO. 51 Vgl. zur Subsidiarität des BDSG etwa Schmidt, in: Taeger/Gabel, BDSG, 2. Aufl. 2013, § 1 Rdnr. 33 ff. 52 Art. 288 Abs. 2 AEUV: „Die Verordnung hat allgemeine Geltung. Sie ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.“ 53 Vgl. etwa §§ 74 ff. BetrVG. 54 Vgl. zu den Anforderungen an Rechtsvorschriften i.S.v. Art. 6 Abs. 1 lit. c DSGVO auch Erwägungsgrund 45, der u.a. fordert, dass solche Rechtsvorschriften regeln sollten, für welche Zwecke die Daten verarbeitet werden dürfen. 55 Vgl. etwa Art. 5 DS-GVO sowie Erwägungsgrund 39 zu den allgemeinen Regelungsprinzipien der DS-GVO. 56 Art. 5 Abs. 1 lit. c DS-GVO. 57 Vgl. etwa BAG ZD 2012, 481 ff. m. Anm. Wybitul. 58 Vgl. etwa BAG ZD 2014, 426 m.w.Nw; zusammenfassend hierzu Wybitul, NZA 2014, 225. 59 Vgl. etwa BAG ZD 2015, 256 ff. 60 Art. 88 Abs. 1 DS-GVO. 206 Wybitul: Was ändert sich mit dem neuen EU-Datenschutzrecht für Arbeitgeber und Betriebsräte? ZD 5/2016 2. Wirkung von Betriebsvereinbarungen nach der DS-GVO Betriebsvereinbarungen dürfen auch i.R.d. DS-GVO Datenvereinbarungen für Zwecke der Einstellung, der Durchführung und der Beendigung von Arbeitsverhältnissen regeln.61 In diesem Zusammenhang stellen Betriebsvereinbarungen dann datenschutzrechtliche Erlaubnistatbestände i.S.v. Art. 6 Abs. 1 i.V.m. 88 Abs. 1 DS-GVO dar. Hierfür müssen Betriebsvereinbarungen aber die Vorgaben von Art. 88 Abs. 2 DS-GVO erfüllen. Diese Anforderungen gehen über die bislang nach der Rechtsprechung des BAG maßgeblichen Beschränkungen nach § 75 Abs. 2 BetrVG hinaus.62 V. Vorgaben des Art. 88 Abs. 2 DS-GVO für Betriebsvereinbarungen Art. 88 Abs. 2 DS-GVO regelt, unter welchen Voraussetzungen Gesetze einzelner Mitgliedstaaten oder Kollektivvereinbarungen die Verarbeitung personenbezogener Daten im Beschäftigungskontext regeln dürfen. Dabei zeigt der Wortlaut der Vorschrift, dass sie wohl vor allem auf einzelstaatliche Gesetze zur Regelung des Beschäftigtendatenschutzes abzielt. Für die Praxis bleibt daher besonders relevant, wie sich Gerichte und Aufsichtsbehörden zu der Auslegung der Anforderungen des Art. 88 DS-GVO bei Betriebsvereinbarungen künftig positionieren werden. I.E. wäre es hier zweckmäßig, den Betriebsparteien keinen allzu engen Handlungsrahmen einzuräumen und sich (jedenfalls in Deutschland) an der bisherigen Rechtsprechung zu § 75 Abs. 2 BetrVG zu orientieren. 1. Regelungen zum Schutz der betroffenen Personen Art. 88 Abs. 2 DS-GVO fordert „geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Datenübermittlung innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen und die Überwachungssysteme am Arbeitsplatz.“ Dabei dürften Regelungen zur Datenübermittlung in Konzernen und Überwachungssystemen am Arbeitsplatz in Betriebsvereinbarungen richtigerweise nur dann zu fordern sein, wenn der sachliche Geltungsbereich der jeweiligen Betriebsvereinbarung solche konzerninternen Übermittlungen oder Überwachungssysteme erfasst. Dagegen sollten Betriebsvereinbarungen im Hinblick auf die Vorgaben nach Art. 12 ff. DS-GVO künftig grundsätzlich Regelungen zur Transparenz der Datenverarbeitung enthalten. Betriebsvereinbarungen zur Verarbeitung personenbezogener Beschäftigtendaten sollten nach dem Wortlaut von Art. 88 DSGVO und der Konzeption der Art. 12 ff. DS-GVO somit künftig entsprechende Regelungen zur Unterrichtung und sonstigen Information der betroffenen Arbeitnehmer oder ihrer betriebsverfassungsrechtlichen Vertreter umfassen.63 61 Vgl. hierzu auch Wybitul/Pötters, RDV 2016, 10, 15. 62 Vgl. etwa BAG ZD 2015, 256 ff. 63 Vgl. unter V.1.a). 64 Vgl. zu den verfassungsrechtlichen Grundlagen des Datenschutzes den gelungenen Überblick von Brink, in: BeckOK Datenschutzrecht, 1. Aufl. 2013, Syst. C (insb. Rdnr. 90 ff.) sowie die umfassende und instruktive Darstellung von Pötters, Grundrechte und Beschäftigtendatenschutz, 1. Aufl. 2013, S. 51 ff. 65 Vgl. Erwägungsgrund 39. 66 Vgl. Erwägungsgründe 58 und 39. 67 Vgl. Erwägungsgrund 39. ZD 5/2016 2. Zweckrichtung des Art. 88 Abs. 2 DS-GVO Art. 88 DS-GVO verfolgt offenkundig das Ziel, eine übermäßige Absenkung des Datenschutzstandards der DS-GVO durch einzelstaatliche Regelungen oder durch Betriebsvereinbarungen zu verhindern. I.E. wird das Schutzniveau von Betriebsvereinbarungen künftig daher wohl dem der DS-GVO entsprechen müssen. Allerdings werden alternative Regelungsmechanismen einzelner Sachfragen, wie etwa der Art einer Unterrichtung, zu Löschfristen und einzelnen Verfahrensfragen (etwa bei der Datenschutz-Folgenabschätzung) zulässig sein. 3. Schwerpunkte der DS-GVO Viele der Regelungen der DS-GVO orientieren sich in erster Linie an dem Datenschutz im Internet oder bei Online-Geschäften, wie etwa die Anforderungen der Datenportabilität oder das Recht, eine Kopie der eigenen, beim Verantwortlichen gespeicherten personenbezogenen Daten zu verlangen. Auch einige der Vorgaben zur Transparenz oder zu den Pflichten von Verantwortlichen und Auftragsverarbeitern zielen erkennbar eher auf Online-Vorgänge oder TK-Vorgänge ab als auf die Besonderheiten des Arbeitsverhältnisses. Zusammengefasst „passt“ die DS-GVO an vielen Stellen schlichtweg nicht zu den Besonderheiten des Arbeitsverhältnisses. Vor diesem Hintergrund drängt es sich geradezu auf, viele Fragen des Beschäftigtendatenschutzes im Betrieb kollektiv i.R.v. Betriebsvereinbarungen zu regeln. Dieser Tatsache trägt Art. 88 Abs. 1 DS-GVO Rechnung und erlaubt es den Betriebsparteien, angemessene Regelungen zum Datenschutz im Betrieb, Unternehmen oder Konzern zu vereinbaren. VI. Einzelne Regelungen in Betriebsvereinbarungen nach Art. 88 DS-GVO Der vorliegende Abschnitt zeigt zum einen, welche Rahmenbedingungen für Betriebsvereinbarungen durch Art. 88 Abs. 2 DSGVO und § 75 Abs. 2 BetrVG vorgegeben sind. Zum anderen beschreibt er, welche weiteren betrieblichen Regelungen zweckmäßig sein können. 1. Geeignete Maßnahmen zum Schutz der betroffenen Arbeitnehmer Art. 88 Abs. 2 DS-GVO verpflichtet die Betriebsparteien beim Abschluss von Betriebsvereinbarungen zum Datenschutz, die menschliche Würde, die berechtigten Interessen und die sonstigen Grundrechte der betroffenen Person zu wahren. Diese Vorgabe dürfte keine größere Veränderung gegenüber den bisherigen Anforderungen an Betriebsvereinbarungen darstellen. Bereits nach der geltenden Rechtslage müssen Arbeitgeber das Persönlichkeitsrecht, aber auch die sonstigen Grundrechte der Arbeitnehmer im Betrieb sowie deren berechtigte Interessen beim Abschluss von Betriebsvereinbarungen angemessen berücksichtigen.64 a) Transparenz der Verarbeitung In Bezug auf die vorgeschriebene Transparenz gehen die Vorgaben der DS-GVO weit über das bisherige Recht hinaus. Für die betroffenen Personen sollte erkennbar sein, dass und auf welche Weise ihre personenbezogenen Daten verarbeitet werden.65 Der in Art. 5 Abs. 1 lit. a DS-GVO vorgeschriebene Grundsatz der Transparenz setzt zudem voraus, dass alle Informationen und Mitteilungen zur Verarbeitung personenbezogener Daten leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst sind.66 Die betroffenen Personen sollten über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können.67 Wybitul: Was ändert sich mit dem neuen EU-Datenschutzrecht für Arbeitgeber und Betriebsräte? 207 Dementsprechend stellt Art. 88 Abs. 2 DS-GVO in Bezug auf die Information von Arbeitnehmern erhebliche Anforderungen an entsprechende Betriebsvereinbarungen, welche die Verarbeitung personenbezogener Daten legitimieren sollen. Voraussichtlich werden Arbeitsgerichte und Aufsichtsbehörden als „Minimallösung“ fordern, dass Betriebsvereinbarungen die Transparenzvorschriften der Art. 12 – Art. 15 DS-GVO wiedergeben oder in Bezug nehmen. Aus Unternehmenssicht wäre es dagegen deutlich zweckmäßiger, alternative Mechanismen zur Herstellung des von der DSGVO vorausgesetzten Maßes an Transparenz zu vereinbaren. Hier kommt i.R.v. Betriebsvereinbarungen insbesondere eine kollektive Information des Betriebsrats an Stelle einer kleinteiligen und aufwändigen Unterrichtung jedes einzelnen Arbeitnehmers in Betracht. b) Datenübermittlung innerhalb einer Unternehmensgruppe Sofern Betriebsvereinbarungen Regelungsgegenstände betreffen, die Datenübermittlungen innerhalb einer Unternehmensgruppe oder Gruppe von Unternehmen voraussetzen, muss der Schutz der Interessen der Arbeitnehmer bei der konzerninternen Weitergabe ihrer personenbezogenen Daten sichergestellt sein. Bei Übermittlungen personenbezogener Arbeitnehmerdaten in Drittstaaten sollte insbesondere geregelt werden, auf welche Weise beim Empfänger ein angemessenes Schutzniveau beim Datenschutz gewährleistet wird. c) Überwachungssysteme am Arbeitsplatz Automatisierte Überwachungssysteme am Arbeitsplatz unterliegen oftmals dem Mitbestimmungsrecht des Betriebsrats nach § 87 Abs. 1 Nr. 6 BDSG. Bereits nach der bisherigen Rechtslage war der Schutz von Mitarbeiterrechten bei Kontrollmaßnahmen oft ein wesentlicher Bestandteil entsprechender Betriebsvereinbarungen. Künftig sollten die Betriebsparteien zudem regeln, wie die jeweils anwendbaren Vorgaben der DS-GVO bei automatisierten Kontrollmaßnahmen umgesetzt werden oder welche alternativen Schutzmechanismen gelten sollen. 2. Weitere zweckmäßige Regelungen Auf Grund der vielfältigen Vorgaben der DS-GVO können alternative Regelungen zu einer Vielzahl von Themenkomplexen zweckmäßig sein. Unterlassen es die Betriebsparteien, bleibt es bei der – teilweise für die besondere Situation des Datenschutzes im Arbeitsverhältnis wenig geeigneten –68 Rechtslage nach den allgemeinen Bestimmungen der DS-GVO. Hierbei sollten Arbeitgeber und Betriebsräte neben den vorstehend genannten Aspekten der Transparenz, Datenübermittlung, Überwachungssysteme69 vor allem an folgende Punkte denken: c Erlaubnis: Klarstellung, dass die Betriebsvereinbarung als Erlaubnistatbestand insbesondere i.S.v. Art. 6 Abs. 1, 9 Abs. 2, 9a DS-GVO gelten soll. c Rückgriff auf gesetzliche Erlaubnis: Aus Arbeitgebersicht ist es ausgesprochen empfehlenswert, klarzustellen, dass eine Betriebsvereinbarung zur Datenverarbeitung nicht abschließend ist und dass der Arbeitgeber sich den Rückgriff auf gesetzliche Erlaubnistatbestände vorbehält, insbesondere auf § 32 Abs. 1 BDSG i.V.m. Art. 88 Abs. 1, 6 Abs. 1 und 9 Abs. 2 DSGVO. c Zweckbindung: Regelungen zur Festlegung der Zwecke bei Datenerhebungen sowie zu Zweckänderungen i.S.v. Art. 6 Abs. 4 DS-GVO. c Löschfristen: Vorgaben zur Speicherdauer und zu den Voraussetzungen einer Löschung oder Einschränkung von perso- nenbezogenen Arbeitnehmerdaten, Konkretisierung der eher allgemeinen Vorgaben des Art. 17 DS-GVO. c Datensicherheit: Vorgaben zur Herstellung der Sicherheit der Verarbeitung70 in Bezug auf Arbeitnehmerdaten, Vereinbarung konkreter technischer und organisatorischer Maßnahmen. c Datenverletzungen: Verfahren bei tatsächlichen oder vermuteten Datenverletzungen. Hier können Betriebsvereinbarungen zudem regeln, welche Vorgänge jeweils als Datenverletzungen zu behandeln sind und welche nicht. c Datenschutz-Folgenabschätzungen: Vorherige Festlegung, welche Arten von Datenverarbeitungen einer vorherigen Folgenabschätzung bedürfen. Regelungen zur konkreten Durchführung einer Folgenabschätzung bei der Verarbeitung von Arbeitnehmerdaten. c Dokumentations- und Rechenschaftspflichten: Regelung, auf welche Weise der Arbeitgeber die umfassenden Dokumentations- und Rechenschaftspflichten nach der DS-GVO erfüllt.71 c Informationspflichten nach dem BetrVG: Betriebsräte und Arbeitgeber sind gut beraten, wenn sie künftig in Betriebsvereinbarungen festlegen, auf welche Weise der Arbeitgeber seinen Informationspflichten nach dem BetrVG nachkommen soll (und darf). Gerade bei den o.g. Regelungsgegenständen können Arbeitgeber und Betriebsrat ein hohes Maß an Rechtssicherheit beim Datenschutz schaffen. Sie können die allgemeinen Regelungen der DS-GVO konkretisieren oder alternative Strukturen vereinbaren, die den Besonderheiten des Arbeitsverhältnisses oder des jeweiligen Betriebs besser gerecht werden als die allgemeinen Vorgaben der Verordnung. VII. Ergebnis Die DS-GVO bringt für Arbeitgeber, Betriebsräte und Arbeitnehmer eine Vielzahl von Änderungen mit sich. Insgesamt gehen die Anforderungen der Verordnung deutlich über die bisherigen Vorgaben des BDSG hinaus. Viele Regelungen der DS-GVO zielen erkennbar auf anders gelagerte Sachverhalte ab und sind mit den Besonderheiten des Arbeitsverhältnisses in der Praxis schwer in Einklang zu bringen.72 Daher hat sich der EU-Gesetzgeber zweckmäßigerweise entschlossen, Sonderregelungen zum Beschäftigtendatenschutz in einzelstaatlichen Rechtsvorschriften oder in Kollektivvereinbarungen zu erlauben. Arbeitgeber und Betriebsräte sind gut beraten, wenn sie von dieser Möglichkeit Gebrauch machen und die Verarbeitung von Beschäftigtendaten umfassend in entsprechenden Betriebsvereinbarungen regeln. So können sie Rechtsunsicherheiten vermeiden. Vor allem können sie auf diesem Wege alternative Regelungsmechanismen vereinbaren, die den Besonderheiten des Arbeitsverhältnisses und der Situation im Betrieb oder Unternehmen deutlich besser Rechnung tragen als viele der allgemeinen Vorgaben der DS-GVO. Auch bei bereits abgeschlossenen Betriebsvereinbarungen besteht erheblicher Handlungsbedarf. Tim Wybitul ist Rechtsanwalt, Fachanwalt für Arbeitsrecht und Partner der Kanzlei Hogan Lovells International LLP in Frankfurt/M. sowie Mitherausgeber der ZD. Der Verfasser dankt RAin Marlien Telöken, Hogan Lovells Frankfurt/M., für ihre wertvolle Unterstützung. 68 69 70 71 72 Vgl. unter V.3. Vgl. unter VI.1. Vgl. zu den allgemeinen Vorgaben der Verordnung Art. 30 DS-GVO. Vgl. hierzu insb. Art. 22 DS-GVO. Vgl. hierzu unter I. 208 Wybitul: Was ändert sich mit dem neuen EU-Datenschutzrecht für Arbeitgeber und Betriebsräte? ZD 5/2016