Kurzbeitrag : Einige Aspekte der DS-GVO, des DS-AnpUG und des Beschäftigtendatenschutzes : aus der RDV 1/2017, Seite 25 bis 29
Redaktioneller Hinweis: Das DS-AnpUG wurde vom Bundeskabinett am 01.02.2017, d.h. dem Tage der Drucklegung dieses Heftes in einer gegenüber der hiesigen Darstellung teilweise erweiterten Fassung in das Gesetzgebungsverfahren eingebracht. Die hier erörterten Aspekte gelten auch für den überarbeiteten Gesetzestext.
1. Vorbemerkung
Ein sich zu dieser Zeit noch in der Ressortabstimmung befindliche Entwurf des EU-DS-AnpUG,[1] dessen Artikel 1 ein ab dem 25.5.2018 geltendes BDSG-neu enthält, wurde vom BMI am 23.11.2016 den Verbänden etc. zur kurzfristigen Stellungnahme zugeleitet. Die Stellungnahmen sind – wie nicht anders zu erwarten war – unterschiedlich ausgefallen. Während einerseits praxisgerechte Verbesserungen, die u.a. in der „Wiederbelebung“ von BDSG-Recht bestehen, begrüßt wurden,[2] sehen andere den Datenschutzstandard in Deutschland gefährdet.
Zutreffend ist die Kritik aber in zwei Aspekten. Das Gesetz erscheint aufgrund der gleichzeitigen Umsetzung von Datenschutz-Grundverordnung und JI-Richtlinie[3] strukturell unübersichtlich und für den Rechtsanwender schwer verständlich. Zusätzliche Verwirrung wird dadurch erzeugt, dass die Möglichkeit, Teile der Verordnung, „soweit dies erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen“ (ErwG 8), zu wiederholen, in extensiver und keineswegs zur Verständlichkeit beitragender Weise genutzt wird.
Weitgehend einheitlich ist die Kritik auch darin, dass mit der Zusammenführung der DS-GVO und des alten Bundesdatenschutzgesetzes neue Auslegungs- und Anwendungsfragen entstehen,[4] die unter Umständen zu langwierigen Rechtsstreitigkeiten führen können. Die Wirtschaft soll mit einem neuen Bundesdatenschutzgesetz zwar gestärkt werden, gleichzeitig werde aber mit ggf. den Gestaltungsraum des nationalen Gesetzgebers überschreitenden Regelungen auch ein massives Risiko geschaffen. Nach dem Eindruck Wybituls[5] wird auf Kosten der Rechtssicherheit die Strategie, möglichst viel im BDSG-neu zu regeln und im Zweifel den EuGH entscheiden zu lassen, ob es mit der Datenschutz-Grundverordnung vereinbar ist.
2. Die Fortschreibung des § 32 BDSG im BDSG-neu
Fraglich ist, ob diese Aussage auch für die Absicht des BMI zutrifft, § 32 BDSG, als bisherige Minimal-Regelung des Beschäftigtendatenschutzes, in § 24 BDSG-neu als eine in Artikel 88 Abs. 1 DS-GVO gestattete „spezifizierende“ nationale Regelung zur Datenverarbeitung im Beschäftigungskontext ausdrücklich[6] fortgelten zu lassen.
Inhaltlicher Erläuterungen bedarf § 24 BDSG-neu nicht, da er geltendes Recht wiedergibt. Seine Absätze 1 bis 3 entsprechen § 32 BDSG-alt. Absatz 4 übernimmt weitgehend die bisher in § 3 Abs. 11 BDSG-alt enthaltene Begriffsbestimmung des Beschäftigten.
Ergänzende Regelungswünsche hat das BMAS eingebracht. Diese wurden um ein 01.02.2017 verabschiedeten Text berichtigt.
Ergänzender Regelungsentwurf des BMAS:
a) Einwilligung
Die Einwilligung in die Datenverarbeitung im Beschäftigungskontext unterliegt besonderen Anforderungen. Sie muss grundsätzlich schriftlich erteilt werden, und der Arbeitgeber hat den Beschäftigten über den Zweck der Datenverarbeitung und über dessen Widerrufsrecht in Textform aufzuklären. Außerdem ist die Einwilligung nur wirksam, wenn der Beschäftigte diese freiwillig erklärt. Freiwilligkeit soll nach der vorgeschlagenen Regelung nur dann gegeben sein, wenn die Umstände des Einzelfalls, einschließlich des im Beschäftigungsverhältnis bestehenden Abhängigkeitsverhältnisses, berücksichtigt werden. Das Vorliegen rechtlicher oder wirtschaftlicher Vorteile für den Beschäftigten oder gleichgelagerte Interessen bei Beschäftigtem und Arbeitgeber geben Hinweise auf den Maßstab für die Beurteilung der Frage, ob im konkreten Anwendungsfall von Freiwilligkeit ausgegangen werden kann.
b) Kollektivvereinbarungen
Durch die Einfügung eines eigenständigen Absatzes soll klargestellt werden, dass die Verarbeitung personenbezogener Daten einschließlich besonderer Kategorien personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses auch auf Grundlage von Kollektivvereinbarungen (Tarifverträge, Betriebs- und Dienstvereinbarungen) zulässig ist. Dabei ist Artikel 88 Absatz 2 DS-GVO zu beachten.
c) Weitere Regelungen
Des Weiteren soll der Beschäftigtenbegriff auch Leiharbeitnehmer im Verhältnis zum Entleiher erfassen. Diese Regelung sowie ein eigenständiger Absatz zu der Verarbeitung besonderer Kategorien personenbezogener Daten von Beschäftigten soll in § 24 BDSG-neu integriert werden.
Das Vorhaben, § 32 BDSG fortzuschreiben, entspricht Vorschlägen der Literatur[7], die darauf verweist, dass § 32 nach der Gesetzesbegründung das Ziel hatte, die bisherige Rechtsprechung des BAG gesetzlich abzusichern und dass diese Absicherung beibehalten werden sollte.[8] Rechtssicherheit werde erreicht, da von der Rechtsprechung in allen Phasen des Beschäftigungsverhältnisses für die dem Arbeitgeber zugestandenen Informationen Kriterien gesetzt wurden.[9] Damit enthalte die Norm gemeinsam mit der dazu ergangenen Rechtsprechung einen funktionierenden und austarierten Regelungsrahmen, der den Anforderungen des Art. 88 DS-GVO genüge.[10]
Keineswegs übersehen wurde dabei, dass § 32 BDSGalt/§ 24 BDSG-neu Zulässigkeitsregelungen nur für zwei Fälle der Beschäftigtendatenverarbeitung aufstellen. Zum einen werden Datenverarbeitungserlaubnisse erteilt für Verarbeitungen, die erforderlich sind im Rahmen der Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses. Zum anderen werden restriktive Vorgaben für die Überwachung eines der Begehung von Straftaten Verdächtigten gemacht, wobei diese Bestimmung als Spezialfall einer im Rahmen der Durchführung des Beschäftigungsverhältnisses stattfindenden Datenverarbeitung zu verstehen ist.[11]
Konkret heißt dies: Präzisiert und damit verdrängt wird durch § 24 BDSG-neu ausschließlich Art. 6 Abs. 1 lit. b DSGVO, der zum einen darauf abstellt, dass die Verarbeitung zur Erfüllung eines zwischen dem Verantwortlichen, sprich dem Arbeitgeber und der betroffenen Person, sprich dem Beschäftigten, bestehenden Arbeitsvertrages erforderlich ist, wobei die Bestimmung abweichend vom reinen Wortlaut dahingehend zu verstehen ist, dass sämtliche ein bestehendes Vertragsverhältnis betreffende Verarbeitungen, d.h. alle für den Abschluss, die Durchführung, die Änderung und die Beendigung[12] der Vertragsbeziehung erforderlichen, gemeint sind.[13] Zum anderen gestattet Art. 6 Abs. 1 lit. b DS-GVO Verarbeitungen, die im Rahmen der Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen. Die vorvertraglichen Beziehungen zwischen Arbeitgeber und Bewerber, die im Arbeitsrecht im sog. Anbahnungsverhältnis[14] bestehen, fallen unter den genannten Tatbestand.[15] Maßgebend ist in beiden Zulässigkeitsalternativen die Erforderlichkeit der jeweiligen Datenverarbeitung, deren Kriterien nach der DS-RL bzw. dem BDSG und der DS-GVO die gleichen sind.[16] Maßgebend ist ggf. auch hier eine unter Berücksichtigung des Verhältnismäßigkeitsgrundsatzes vorzunehmende Interessenabwägung. Käme es nicht zur Verabschiedung des § 24 BDSGneu, bliebe auch im Rahmen des Art. 6 Abs. 1 lit. b DS-GVO Ausgangspunkt der Zulässigkeitsbetrachtung der auf deutschem Arbeitsrecht beruhende Vertrag, der auch unter der Norm des Art. 6 Abs. 1 lit. b DS-GVO mit seinen Rechten und Pflichten und den für deren Erfüllung erforderlichen Verarbeitungen nicht anders interpretiert werden kann als nach § 32 Abs. 1 S. 1 BDSG bzw. § 24 BDSG-neu. Gleichwohl kann § 24 BDSG-neu als ein diesen Aspekt verdeutlichende Norm hilfreich sein. Mit der Übernahme des § 32 Abs. 1 BDSG in das BDSG-neu bleibt die Bindungswirkung an die BAG-Rechtsprechung beibehalten[17] und die Befugnis des Arbeitgebers zur Überwachung von der Begehung einer Straftat verdächtigten Beschäftigten präzise geregelt.
Die sonstigen Zulässigkeitsregelungen des Art. 6 DS-GVO und der Spezialregelungen für sensible Daten in Art. 9 DSGVO oder Straftatsdaten in Art. 10 DS-GVO werden durch § 24 BDSG-neu nicht tangiert. Sollen Personaldaten für andere Zwecke, d.h. für sog. beschäftigungsfremde Zwecke, verarbeitet werden, gibt die Interessenabwägungsklausel des Art. 6 Abs. 1 lit. f DS-GVO den Zulässigkeitsrahmen.[18] Gleiches gilt für Art. 22 DS-GVO mit dem Verbot automatisierter Einzelentscheidungen.
Abweichend von dem Geltungsbereich der Verordnung (Art. 2 Abs. 1 DS-GVO) soll § 24 Abs. 1 BDSG-neu – so wie es bisher § 32 Abs. 2 BDSG vorsieht – auch gelten bei nicht automatisierter oder dateistrukturierter Verarbeitung der Beschäftigtendaten (§ 24 Abs. 2 BDSG-neu).[19]
3. Die Kritik
Gegenüber dieser „ausschnittsweisen“ Regelung des Beschäftigtendatenschutzes werden nun zunehmend Bedenken geltend gemacht. Nachgefragt wird – weitgehend ohne dies im Detail zu belegen – zum einen, ob die bloße Übernahme des § 32 BDSG den Anforderungen des Art. 88 DS-GVO an bereichsspezifische Vorschriften des Beschäftigtendatenschutzes entspricht, etwa in Bezug auf die dort geforderte Transparenz, Vorhersehbarkeit und Grundrechtegarantie.[20] Gem. Art. 88 Abs. 2 DS-GVO soll eine nationale Regelung zur Verarbeitung von personenbezogenen Daten im Beschäftigungskontext „angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz“ umfassen. Davon findet sich zumindest im Wortlaut des Referentenentwurfs nichts.
Zum anderen wird die Ausdehnung der Norm auf „manuelle“ Verarbeitungen von einigen Stimmen der Literatur im Hinblick auf das damit beabsichtigte Abweichen vom Schutzniveau der DS-GVO „nach oben“ hinterfragt. Indem z.B. auch rein tatsächliche Handlungen erfasst werden,[21] handele es sich nicht mehr um eine dem nationalen Gesetzgeber allein erlaubte „spezifischere“ Regelung. Nicht gestattet sei ein Abweichen von der Verordnung sowohl „nach unten“ als auch „nach oben“.[22] § 24 BDSG-neu sei bezüglich der Ausdehnung seines Anwendungsbereichs nichtig.[23] Andere Stimmen bejahen dagegen die Möglichkeit über die Anforderungen der DS-GVO hinauszugehen.[24] Art. 88 Abs. 1 DS-GVO verbiete allein ein Absenken des Datenschutzniveaus der Verordnung.[25]
4. Berechtigung der Kritik
4.1 Wahrung der berechtigten Interessen und der Grundrechte der betroffenen Person
Art. 24 BDSG-neu will, dass die bisher von der Rechtsprechung des BAG entwickelten Kriterien des Beschäftigtendatenschutzes Bestand haben. Beispiele bieten die beiden jüngsten sich mit einer Mitarbeiterkontrolle befassenden Entscheidungen,[26] die als Teil eines „neuen Datenschutzes“, mit dem das Bundesarbeitsgericht u.a. mehr Klarheit bei der Anwendung des § 32 BDSG schaffe, bewertet wurden.[27] Wenngleich das Bundesarbeitsgericht die Lösung der Fälle nicht unter systematisch richtiger Anwendung des § 32 BDSG, sondern unter Heranziehung anderer Normen findet, weist es jedoch gleichzeitig darauf hin, dass „die gesetzlichen Anforderungen an eine zulässige Datenverarbeitung im BDSG den Schutz des Rechts auf informationelle Selbstbestimmung konkretisieren und aktualisieren“.[28] Das Ergebnis der Entscheidungen, d.h. die Bewertung der Rechtmäßigkeit bzw. Unrechtmäßigkeit der Kontrollmaßnahmen, leitet es zwar aus § 75 Abs. 2 Satz 1 BetrVG bzw. Art. 2 Abs. 1 GG ab, wobei es jedoch die hierbei aufgestellten Prinzipien für allgemeingültig, d.h. zu dem auch bei einer Anwendung des § 32 BDSG geltenden Maßstab, erklärt. Demgemäß heißt es hinsichtlich der Bewertung der heimlichen Durchsuchung eines Mitarbeiterspinds: „Für die Überprüfung der Verhältnismäßigkeit der Durchsuchung des Spinds ergeben sich aus § 32 Abs. 1 S. 2 BDSG gegenüber einer unmittelbar an Art. 2 Abs. 1 GG orientierten Überprüfung der Rechtmäßigkeit des Eingriffs in das Persönlichkeitsrecht des Klägers keine anderen Vorgaben“ bzw. zur Rechtmäßigkeit der Betriebsvereinbarung einer Torkontrolle: „Wenn die in einer die Zulässigkeitsregelungen des BDSG verdrängenden Betriebsvereinbarung geregelten Kontrollmaßnahmen einer datenschutz-rechtlichen Kontrolle am Maßstab des § 75 Abs. 2 BetrVG standhalten, sind sie auch mit dem BDSG vereinbar.“ Damit gewährleistet das BAG die in Art. 88 Abs. 3 DS-GVO geforderten „zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person angemessenen“ persönlichkeitsrechtlichen Garantien.[29]
4.2 Transparenz
Nichts gesagt ist in § 24 Abs. 1 S. 2 BDSG-neu zur regelmäßig geheim durchgeführten Überwachung eines potentiellen Straftäters. Sofern die Überwachung im Anwendungsbereich der Verordnung (Art. 2 Abs. 1) stattfindet, greift Art. 14 DS-GVO. Anderenfalls, also z.B. bei der Spindkontrolle[30] oder der Beobachtung durch einen Detektiv[31] oder der Anhörung vor einer Verdachtskündigung[32] gilt wieder der vom BAG den Betroffenen gewährten Persönlichkeitsschutz.
4.3 Der Anwendungsbereich
Die Verordnung gestattet dem nationalen Gesetzgeber für den Beschäftigtendatenschutz, „spezifischere“ Regelungen zu schaffen, d.h. solche die nicht nur die die allgemeinen Grundsätze der Verordnung präzisieren, sondern ggf. darüber hinausgehen.[33] Mit § 24 BDSG-neu wird eine eigenständige Norm geschaffen, wie sie für den Beschäftigtendatenschutz auch anderweitig und über den Anwendungsbereich der DSGVO hinausgehend seit langem bestehen. Bei dem Beschäftigungsdatenschutz handelt es sich um eine Querschnittsmaterie aus Daten- und Arbeitsrecht, wobei die Verordnung die arbeitsrechtlichen Regelungsbefugnisse nicht einschränken kann.[34] Nicht kann davon ausgegangen werden, dass die Regelungen zum Personalaktenrecht in § 83 BetrVG oder die diesbezüglichen Vorschriften des öffentlichen Dienstes nunmehr hinfällig sind. Festzuhalten ist damit mit den bereits genannten Stimmen, dass Art. 88 DS-GVO eine Ausdehnung des Beschäftigtendatenschutzes auf jegliche Art der Datenverarbeitung, d.h. also eine Regelung des Datenschutzes „nach oben“, nicht untersagt.
5. Die Meldepflicht
Keine eindeutige Auffassung ist auch aus Art. 88 Abs. 3 DSGVO oder in der Literatur[35] erkennbar, welche Folge die Missachtung der angeordneten Meldung von nationalen Beschäftigtendatenschutznormen hätte, d.h. ob, wenn keine Meldung vorhandener Normen fristgemäß bei der Kommission erfolgt, die nationale Kompetenz zur Regelung des Beschäftigtendatenschutzes entfällt bzw. nicht gemeldete Normen ihre Geltung verlieren. Des Weiteren bedarf es der Interpretation der Norm dahingehend, ob die Meldepflicht nur nach dem 25.5.2016 erlassene Regelungen betrifft.[36] Die Frage kann hier jedoch dahinstehen, wenn § 24 BDSGneu erlassen wird. Demgemäß ist die Norm in jedem Falle meldepflichtig. Gleichzeitig ist davon auszugehen, dass die Mitgliedstaaten, die innerhalb der Mitteilungsfrist keine Aktivitäten insoweit gemeldet haben, ihre Rechtssetzungskompetenz verlieren.[37] Ob die gegenteilige Ansicht zutrifft, nach der Art. 88 Abs. 3 DS-GVO nur eine Mitteilungs- und keine Ausschlußfrist ist,[38] wird jedenfalls letztendlich der EuGH[39] zu entscheiden haben, wobei man es hierauf nicht ankommen lassen sollte. Die unsichere Rechtslage spricht dafür, zumindest § 24 BDSG-neu als Grundnormen des Beschäftigungsdatenschutzes zu melden.[40]
* Der Autor ist Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.
[1] Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DS-AnpUG-EU).
[2]Https://www.gdd.de/downloads/gdd.stellungnahme.
[3] Die parallel mit der DS-GVO verabschiedete Richtlinien „Zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. EU Nr. L 119 vom 4. Mai 2016, S. 89 ff.), sollen umgesetzt werden, soweit die Mitgliedstaaten nach Artikel 63 der Richtlinie verpflichtet sind, bis zum 6. Mai 2018 die Rechts- und Verwaltungsvorschriften zu erlassen, die erforderlich sind, um dieser Richtlinie nachzukommen.
[4] Vgl. z.B. Stellungnahme eco-Verband der Intenetwirtschaft e.V. https://www.eco.de/wp-content/blogs.dir/20161207_eco_stn_dsanpgeu_fin.
[5] Wybitul. https://www.udldigital.de/kritik-am-datenschutz-gesetzentwurf/
[6] Von der auch ohne ausdrückliche Regelung weiteren Anwendung des § 32 BDSG und der dazu ergangenen Rechtsprechung nach dem 25.5.2018 geht Maier/Ossoinig, in: Roßnagel (Hrsg.), § 4 Rn. 44 aus.
[7] Gola/Pötters/Thüsing, RDV 2016, 57; Kühling/Martini, EuZW 2016, 298; Wybitul, EU-Datenschutzgrundverordnung im Unternehmen, 2016, Rn. 310; so wohl auch Wedde, Datenschutz-Grundverordnung, 2016, 30.
[8] BT-Drucks. 16/13657, 35.
[9] Maier/Ossoinig, in: Roßnagel (Hrsg.),Europäische DatenschutzGrundverordnung, § 4 Rn. 44.
[10] Wybitul/Sörup/Pötters, ZD 2015, 559 (561).
[11] Gola/Schomerus, BDSG § 32 Rn. 39 ff; Gola/Pötters/Wronka, Handbuch Arbeitnehmerdatenschutz, Rn.1197 ff.
[12] Härting, Datenschutz-Grundverordnung, Rn. 420 zählt die Beendigung“ noch zur Erfüllung
[13] Vgl. Gola, in: Gola (Hrsg.), DS-GVO, Art. 6 Rn. 23 f.
[14] Vgl. zum Begriff Gola/Pötters/Wronka, Handbuch Arbeitnehmerdatenschutz, Rn. 611 ff.
[15] Gola, in: Gola (Hrsg.), DS-GVO, Art. 6 Rn. 27.
[16] Schulz, in: Gola (Hrsg.), DS-GVO, Art. 6 Rn. 34 ff.
[17] Wybitul/Pötters, RDV 2016, 10 (14).
[18] Gola/Pötters/Wronka, Handbuch Arbeitnehmerdatenschutz, Rn. 402 ff.
[19] Zu den diesbezüglichen Abgrenzungsfragen bei „geordneten“ Akten: Gola, in: Gola (Hrsg.), DS-GVO, Art. 4 Rn. 42 ff.; Spelge, DuD 2016, 777 (779).
[20] Weichert, http://www.netzwerk-datenschutzexpertise.de/sites/default/files/dvd_dse_bdsg_041216fin.pdf; wohl trotz der Bestätigung der Zweifel positiv: Kort, ZD 2016, 555 (556).
[21] Gola, ZBVR-online, 17/2014, 33.
[22] Kort, DB 2016, 711 (714).
[23] Spelge, DuD 2016, 775 (777).
[24] Pauly, in: Paal/Pauly, DS-GVO, Art. 88 Rn. 18; Kort, DB 2016, 771 (714); Wybitul, ZD 2016, 203 (206).
[25] Pauly, in: Paal/Pauly, DS-GVO, Art. 88 Rn. 4; so wohl auch Pötters in Gola (Hrsg.), DS-GVO Art. 88 Rn. 20
[26] BAG, RDV 2014, 103 = NZA 2014, 143 (Spindkontrolle); BAG, RDV 2014, 272 = NZA 2014, 551 (Torkontrolle).
[27] Brink/Wybitul, ZD 2014, 225; Wybitul, NZA 2014, 225.
[28] So BAG RDV 2014, 103 = NZA 2014, 143.
[29] Maier/Ossoinig, in: Roßnagel (Hrsg.), Europäische DatenschutzGrund verordnung, § 4 Rn. 44 ff.
[30] BAG, RDV 2014, 103 = NZA 2014, 143.
[31] BAG, NZA 2015, 994.
[32] BAG, RDV 2014, 328 sowie BAG, NZA 2015, 741
[33] Düwell/Brink, NZA 2016, 665 (666).
[34] Körner, NZA 2016, 1383.
[35] Ohne Aussage hierzu Stamer/Kuhnke, in: Plath (Hrsg.), DS-GVO, Art. 88 Rn. 11, Pauly, in: Paal/Pauly (Hrsg.), DS-GVO Art. 88 Rn. 16.
[36] Zutreffend sind wohl alle nach und vor der Verabschiedung der Verordnung am 25.05.2018 geschaffenen Normen zu melden; vgl. Gola/ Pötters/Thüsing, RDV 2016, 57; Pötters, in: Gola (Hrsg.), DS-GVO Art. 88 Rn. 16.
[37] Ausführlich dazu Gola/Pötters/Thüsing, RDV 2016, 57
[38] Maier/Ossoinig, in: Roßnagel (Hrsg.),Europäische DatenschutzGrund verordnung, § 4 Rn. 33; Körner, NZA 2016, 1383 (1386).
[39] Körner, NZA 2016, 1383 (1386) verweist auf die vom EuGH (NZA 2015, 423) vorgenommene Einordnung als reine Meldepflicht hinsichtlich der Beurteilung einer ähnlichen Regelung in der Leiharbeitsrichtlinie.
[40] Spelge, DuD 2016, 775 (781)