DA+

Aufsatz : Art. 82 DSGVO: Öffnungsklausel für nationale Regelungen zum Beschäftigtendatenschutz – Warum der deutsche Gesetzgeber jetzt handeln muss : aus der RDV 2/2016, Seite 57 bis 61

Mit der Datenschutz-Grundverordnung wird voraussichtlich ab 2018 das nationale Datenschutzecht durch eine einheitliche Regelung im Unionsrecht abgelöst. Bestimmungen des BDSG sowie weitere Vorschriften zum Datenschutzrecht sind damit grundsätzlich nicht mehr anwendbar, sondern werden durch die unmittelbar geltende Verordnung ersetzt. Eine Ausnahme besteht für die Bereiche, in denen die Datenschutz-Grundverordnung eine Öffnungsklausel für die Mitgliedstaaten vorsieht. Der nachfolgende Beitrag untersucht die Ermächtigungsgrundlage des Art. 82 DSGVO, die nationale Datenschutzregelungen zum Beschäftigungskontext erlaubt. Eine nähere Untersuchung dieser Öffnungsklausel macht deutlich, dass der deutsche Gesetzgeber zum Handeln aufgefordert ist, wenn er seine Rechtsetzungskompetenz für den Beschäftigtendatenschutz bewahren will.

I. Die Ausgangslage: unmittelbare Geltung der DSGVO ab 2018

Die Europäische Kommission hatte ihren Vorschlag für eine „Verordnung des Rates und des europäischen Parlaments zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)“ bereits im Januar 2012 vorgelegt. Vertreter des Parlaments, des Rats und der Kommission haben nun im sogenannten informellen Trilog, wodurch vorbei am vorgesehenen Gesetzgebungsverfahren die Einberufung eines zeitaufwendigen Vermittlungsausschusses vermieden wird, am 15.12.2015 eine Einigung erzielt und am 17.12.2015 einen abgestimmten Text der Datenschutz-Grundverordnung (nachfolgend: DSGVO) vorgelegt. Diese gemeinsame Fassung wird nun voraussichtlich bereits im April 2016 in Parlament und Rat zur Abstimmung gestellt. Sollte der Text entsprechend verabschiedet werden, wovon aufgrund der informellen Übereinkunft im Trilog fest auszugehen ist, wird die Verordnung 2018 in Kraft treten (Art. 91 DSGVO).

Grundlage für die einheitliche Gestaltung des Datenschutzrechts in der EU ist bis dahin noch die EG-Datenschutzrichtlinie vom 24.10.1995[1]. Eine Richtlinie ist mit dem Ziel der Harmonisierung der geregelten Rechtsmaterie in den einzelnen EU-Staaten ausschließlich an die Mitgliedstaaten gerichtet und von diesen in nationales Recht umzusetzen. Dieser Harmonisierungseffekt wird aber nur erreicht, wenn die Nationalstaaten sich innerhalb der ihnen gewährten Spielräume halten und die Vorgaben der Richtlinie auch effektiv umsetzen. In der Praxis gab es durchaus unterschiedliche nationale Vorgaben zum Datenschutzrecht[2]. Daher soll der Datenschutz in der EU nunmehr in einer Verordnung geregelt und so ein weiterer Integrationsschritt zur Verwirklichung eines digitalen Binnenmarkts geleistet werden[3].

Nach Art. 288 Abs. 2 S. 2 AEUV ist eine Verordnung in allen ihren Teilen verbindlich. Sie wirkt – anders als eine Richtlinie – unmittelbar. Ein nationaler Umsetzungsakt ist somit nicht erforderlich[4]. Die unmittelbare Geltung nimmt den Mitgliedstaaten die Befugnis, Rechtsakte zu erlassen, welche die Tragweite der Verordnung berühren[5]. Selbst inhaltsgleiche nationale Regelungen lässt der EuGH nur in besonderen Ausnahmefällen zu[6]. Es besteht ein Anwendungsvorrang des Unionsrechts, d.h. nationale Behörden und Gerichte sind verpflichtet, unmittelbar geltendes Unionsrecht auch dann anzuwenden, wenn dem eine Vorschrift des nationalen Rechts entgegenstehen sollte[7]. Stellen sich für die nationalen Gerichte Auslegungsfragen, so muss der EuGH nach den Regeln des Vorabentscheidungsverfahrens angerufen werden (Art. 267 AEUV).

Mit Inkrafttreten der Verordnung wird der Datenschutz in der EU somit weitgehend auf unmittelbar geltendem, einheitlichem Unionsrecht basieren. Andererseits sieht die DSGVO „Öffnungsklauseln“ vor, die weiterhin Regulierungen im nationalen Recht gestatten bzw. nationale Gestaltungsspielräume eröffnen. Dies ist nach Art. 82 DSGVO u.a. für den Bereich des Beschäftigtendatenschutzes der Fall.

II. Die Öffnungsklausel des Art. 82 Abs. 1 DS GVO: Sachbereiche und Handlungsformen

Art. 82 Abs. 1 DS GVO erlaubt es den Mitgliedstaaten, spezifischere Vorschriften[8] zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Arbeitnehmerdaten[9] im Beschäftigungskontext[10] zu erlassen. Nach der sodann folgenden beispielhaften Aufzählung von Regelungsbereichen (vgl. Wortlaut: „insbesondere“[11]) können nationale Regelungen geschaffen werden für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von gesetzlich oder tarifvertraglich festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses[12]. Damit ist grundsätzlich ein sehr weites Feld gesteckt, das sicherlich alle aktuell geltenden Regelungen zum Beschäftigtendatenschutz und auch weitere Bereiche einschließt.

Leicht irreführend ist, dass aller Voraussicht nach der Begriff der „Arbeitnehmerdaten“ statt „Beschäftigtendaten“ in der deutschen Sprachfassung verwendet werden wird[13]. Damit dürfte aber keine Einengung verbunden sein, denn zum einen ist der europäische Arbeitnehmerbegriff häufig weiter als der nationale und umfasst bspw. auch Beamte[14], zum anderen wird in einem Atemzug vom – nicht näher definierten – „Beschäftigungskontext“ gesprochen. Ferner sprechen auch die beispielhaft aufgezählten Regelungsbereiche für ein weites Verständnis, denn dort wird z.B. die Einstellungssituation genannt, die aktuell ebenfalls vom Beschäftigtenbegriff nach § 3 Abs. 11 Nr. 7 BDSG („Bewerberinnen und Bewerber“) umfasst ist. Es gibt also in personeller Hinsicht keine Einschränkungen im Vergleich zu § 3 Abs. 11 BDSG, der deutsche Gesetzgeber könnte also auch künftig für diesen Personenkreis Sonderregelungen vorsehen.

Die Mitgliedstaaten können die bereichsspezifischen Vorschriften zunächst selbst durch entsprechende Gesetzgebung schaffen. Alternativ sieht Art. 82 Abs. 1 DSGVO auch Regelungen durch Kollektivvereinbarungen[15] ausdrücklich vor. Vereinbarungen in diesem Sinne sind nicht nur die mit Gesetzeskraft ausgestatteten Tarifverträge, sondern auch Betriebsvereinbarungen. Dies folgt zum einen klar aus der Genese der Vorschrift: Im Kommissionsvorschlag war noch die Rede davon, dass die Mitgliedstaaten lediglich „per Gesetz“ die Verarbeitung personenbezogener Arbeitnehmerdaten im Beschäftigungskontext regeln können. Das Parlament schwächte dies bereits ab und fügte die Wendung „durch Rechtsvorschriften“ ein, die schließlich in der Ratsfassung sowie der ab gestimmten Trilogfassung noch um die Worte „oder durch Kollektivvereinbarungen“ ergänzt wurde. Zudem erwähnt Erwägungsgrund (124) explizit auch Betriebsvereinbarungen[16] als mögliche Handlungsform der Mitgliedstaaten.

III. Erhalt bestehender nationaler Regelungen

Nationale Regelungen nach Art. 82 Abs. 1 DSGVO müssen sowohl materielle als auch formelle Voraussetzungen erfüllen: Nach Art. 82 Abs. 2 DSGVO ist als materielle Vorgabe zu beachten, dass alle Regelungen – also sowohl gesetzliche als auch kollektivrechtliche – angemessene und spezifische Maßgaben zum Schutz der Menschenwürde, der berechtigten Interessen und der Grundrechte der betroffenen Arbeitnehmer enthalten. In formeller Hinsicht sind nationale Rechtsvorschriften nach Art. 82 Abs. 2a DSGVO-E der EUKommission zu melden, und zwar innerhalb des in Art. 91 Abs. 2 DSGVO genannten Zeitpunkts, d.h. innerhalb von 2 Jahren nach Inkrafttreten der DSGVO der EU-Kommission mitzuteilen.

1. Formell: Meldepflicht nach Art. 82 Abs. 2a DSGVO

1.1 Reichweite der Meldepflicht: Was sind Rechtsvorschriften zur Verarbeitung personenbezogener Arbeitnehmerdaten im Beschäftigungskontext?

Zunächst zur Meldepflicht: Diese erstreckt sich nur auf Rechtsvorschriften, die ein Mitgliedstaat nach Art. 82 Abs. 1 DSGVO erlässt. Vom Wortlaut her sind damit lediglich gesetzliche Regelungen, also formelle Gesetze oder auch Verordnungen, zu melden, nicht aber Kollektivvereinbarungen. Alles andere wäre auch praktisch kaum zu leisten, zudem differenziert Abs. 1 zwischen diesen Handlungsformen und Abs. 2 nennt eben nur die „Rechtsvorschriften“[17] meldepflichtig. Vom Regelungsgegenstand her sind unzählige Vorschriften denkbar, die mittelbar oder teilweise die Verarbeitung von Arbeitnehmerdaten i.S.v. Art. 82 Abs. 1 DSGVO betreffen – selbst §§ 823, 1004 BGB oder § 203 StGB können im Beschäftigungskontext relevant werden. Es dürfte aber wohl kaum von den Mitgliedstaaten verlangt werden, dass auch solche Regelungen zu melden sind. Der vorsichtige Ministerialreferent müsste sonst einmal Schönfelder, Nipperdey und Sartorius Richtung Brüssel schicken. Die Meldepflicht erstreckt sich daher richtigerweise nur auf solche Vorschriften, die im Kern Datenschutzfragen und primär den Beschäftigungskontext betreffen.

1.2 Meldung von bestehenden Gesetzen

Dem Wortlaut nach können und müssen allein solche Rechtsvorschriften gemeldet werden, die der Mitgliedstaat nach Abs. 1 „erlässt“[18]. Aus dieser Formulierung ist jedoch nicht zu folgern, dass vor Inkrafttreten der Verordnung erlassene Regelungen keinen Bestand haben oder vom Gesetzgeber erneut erlassen und so bestätigt werden müssten. Dies wäre eine unnötige Förmelei[19]. Art. 82 Abs. 2a DSGVO ist vielmehr so zu verstehen, dass die Mitgliedstaaten die EU-Kommission über einzelstaatliche Regelungen zum Beschäftigtendatenschutz fristgerecht informieren müssen.

1.3 Bedeutung der Meldefrist: Verlust der nationalen Rechtsetzungskompetenz?

Fraglich ist jedoch, ob Staaten, die innerhalb der Mitteilungsfrist keine Normen zum Beschäftigtendatenschutz erlassen und gemeldet haben, ihre Rechtsetzungskompetenz verlieren. Mit anderen Worten: Öffnet sich das Fenster des Art. 82 Abs. 1 DSGVO für nationale Regelungen zum Beschäftigtendatenschutz nur für die Zeit der Meldefrist? Um diese Frage kurz zu beantworten: Ja, genau dies ist die Rechtsfolge von Art. 82 Abs. 2a DSGVO. Und eben deshalb ist der nationale Gesetzgeber zum Handeln aufgefordert.

Für diese Sichtweise spricht zunächst, dass die Meldefrist sonst überhaupt keine Rechtsfolgen zeitigen, sondern allein eine höfliche Bitte darstellen würde, den nationalen Bestand an Normen zum Beschäftigtendatenschutz zu sichten und zu melden. Dann hätte aber eine Meldepflicht ohne Frist ausgereicht. Außerdem streitet der Wortlaut für dieses Verständnis, denn danach sind weitere Änderungen nur in Bezug auf „diese Vorschriften“, die zuvor gemeldet wurden, mitzuteilen. Noch deutlicher ist die englische Fassung, die von „subsequent amendment affecting them“ spricht. Ein systematischer Vergleich zur Öffnungsklausel für die Meinungs- und Pressefreiheit zeigt, dass diese enge Formulierung kein gesetzgeberisches Versehen war: Nach Art. 80 Abs. 3 DSGVO können „Änderungsgesetze oder diese Rechtsvorschriften betreffenden Änderungen“ gemeldet werden, also wohl auch komplett neue Gesetze („any subsequent amendment law or amendment affecting them“)[20]; außerdem fehlt es hier an einer Meldefrist.

Will der nationale Gesetzgeber also Regelungen zum Beschäftigungskontext erlassen, so gilt: Was du tun willst, das tue bald. Sollte man sich nicht auf einen größeren Wurf bis Ablauf der Meldefrist (voraussichtlich 2020) einigen können, dann wäre man gut beraten, einen Rumpf an Regelungen für den Beschäftigtendatenschutz zu melden, sodass man anschließend weitere Änderungen vornehmen kann. So könnte etwa § 32 BDSG gemeldet werden (hierzu sogleich), um hierauf später weitere Regelungen aufzusetzen.

2. Materiell: Anforderungen an bereichsspezi fischen Regelungen nach Art. 82 Abs. 2 DSGVO

Zu überprüfen ist weiterhin vor jeder Meldung, ob die bereits bestehenden oder noch zu schaffenden Normen den Anforderungen des Art. 82 Abs. 2 DSGVO entsprechen, wonach die Grundrechte und Interessen der Betroffenen hinreichend geschützt sein müssen. Im englischen Wortlaut der Trilogfassung: „These rules shall include suitable and specific measures to safeguard the data subject’s human dignity, legitimate interests and fundamental rights, with particular regard to the transparency of processing, the transfer of data within a group of undertakings or group of entreprises and monitoring systems at the work place.“ Diese materiellen Vorgaben gelten auch für Kollektivvereinbarungen.

Nationale Regelungen, die diesem Standard nicht gerecht werden, sind unanwendbar, denn sie verstoßen zugleich gegen materielle Schutzvorschriften der DSGVO, wie insbesondere die Erlaubnistatbestände des Art. 6 DSGVO oder die Rechte der Betroffenen. Rechtsvorschriften sind zur Klarstellung aufzuheben[21].

Eine über Art. 82 Abs. 2 DSGVO hinausgehende Frage ist, ob Rechtsvorschriften oder Kollektivvereinbarungen nicht nur die Schutzregelungen der Verordnung präzisieren, sondern vom Schutzstandard der DSGVO zumindest in gewissem Umfang abweichen können, also ein „Mehr“ oder „Weniger“ an Datenschutz vorsehen dürfen. Gegen diese Annahme spricht zunächst die Rechtsnatur der DSGVO: Mehr noch als bislang die Richtlinie bewirkt sie grundsätzlich eine Vollharmonisierung des Datenschutzrechts. Andererseits ist Art. 82 Abs. 1 DSGVO im Vergleich zu anderen Öffnungsklauseln weiter formuliert, denn es fehlt die Wendung, dass sich die bereichsspezifische Regelung „in den Grenzen der Verordnung“ bewegen müsse, vgl. etwa die Erwägungsgründe (76), (119), (126c) und (127). Dies ist kein Zufall, denn in der Kommissionsfassung war dieser Zusatz noch enthalten. Im Ergebnis ändert dies aber nichts daran, dass die DSGVO als Mindestvorgabe für den Bereich des Beschäftigtendatenschutzes zu verstehen ist[22]. Der Wortlaut erlaubt eindeutig nur „spezifischere“ Vorschriften[23] – hätte der EU-Gesetzgeber Abweichungen vom Schutzstandard der DSGVO im Beschäftigungskontext zulassen wollen, hätte er wohl eine andere Formulierung gewählt. Dies hat er etwa bei der Öffnungsklausel für den Ausgleich von Meinungs- und Pressefreiheit mit dem Datenschutz getan: Art. 80 Abs. 1 DSGVO ibt den Mitgliedstaaten auf, diese Rechtspositionen in Einklang zu bringen und erlaubt dabei nach Abs. 2 ausdrücklich „Abweichungen oder Ausnahmen“[24] von bestimmten Vorgaben der DSGVO. Jedenfalls eine Verschlechterung des Datenschutzes scheidet aus[25], denn sowohl Art. 82 Abs. 1 DSGVO als auch Abs. 2 erwähnen den Schutz der personenbezogenen Daten der betroffenen Arbeitnehmer als Ziel der nationalen Vorschriften und Kollektivvereinbarungen.

3. Beispiel: Fortgeltung von § 32 BDSG

Die Hürden des Art. 82 Abs. 2 DSGVO dürfte § 32 Abs. 1 BDSG nehmen. Diese Norm sollte den – freilich nicht fortgesetzten Weg – zu einem umfassenden Beschäftigtendatenschutzgesetz aufzeigen[26]. Auch wenn § 32 Abs. 1 S. 1 BDSG keine von der Grundnorm des § 28 Abs. 1 S. 1 Nr. 1 BDSG abweichende beschäftigungsspezifische Regelung enthält, dient sie nach der Gesetzesbegründung dem Ziel, die bisherige Rechtsprechung des BAG gesetzlich abzusichern[27]. Unter diesem Aspekt kann § 32 Abs. 1 BDSG im Hinblick auf die DSGVO als eine nationale Spezialvorschrift verstanden werden, die zumindest zur Klarstellung inklusive der Bindungswirkung an die BAG-Rechtsprechung beibehalten werden sollte[28]. Ob bei ihrem Fortfall die Anwendung der ansonsten maßgebenden Vorschrift des Art. 6 Abs. 1 lit. b DSGVO, nach der die Verarbeitung zulässig ist, wenn sie „für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Antrag der betroffenen Person erfolgen“, möglicherweise zu anderen Ergebnissen führen würde, mag dabei dahinstehen.

Zuständig für die Anwendung der Norm im Einzelfall wäre in letzter Instanz nicht das BAG, sondern der EuGH. Auch der europäische Datenschutzausschuss hätte ein Wort mitzureden. Will man den Beschäftigtendatenschutz also weiterhin in der Hand der nationalen Gerichte sehen, ist dem deutschen Gesetzgeber dringend zu raten, § 32 BDSG als Vorschrift i.S.v. Art. 82 Abs. 1 DSGVO zu melden, zumal er sich damit – wie beschrieben – die Hintertür für eine detailliertere Kodifikation aufhalten würde.

Zugleich würde der Gesetzgeber mit einer Fortgeltung von § 32 BDSG eine Ausweitung des Anwendungsbereichs des Beschäftigtendatenschutzrechts im Vergleich zum allgemeinen Datenschutzrecht bewirken. Die DSGVO findet – wie bislang im Regelfall das BDSG (§ 1 Abs. 2 Nr. 3 BDSG) – nur Anwendung „für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen“ (Art. 2 Abs. 1 DSGVO). Nach § 32 Abs. 2 BDSG wird der Anwendungsbereich von § 32 Abs. 1 BDSG auf jegliche Form des Umgangs mit Beschäftigtendaten ausgedehnt[29], denn danach genügt es, dass „personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden.“ Ohne eine Fortgeltung des § 32 Abs. 2 BDSG würde bei manueller, nicht dateigebundener Datenverarbeitung allein die Pflicht des Arbeitgebers zur Wahrung des informationellen Selbstbestimmungsrechts den zu beachtenden Datenschutz bestimmen.

4. Beispiel: Fortgeltung personalaktenrechtlicher Regelungen

Fortgelten sollten auch die personalaktenrechtlichen Regelungen des öffentlichen Dienstes, die für diesen Bereich seit Jahren einen bereichsspezifischen Beschäftigtendatenschutz realisieren. Dabei geht es zunächst um entsprechende Normen der Beamtengesetze des Bundes (§§ 106 ff. BBG) und der Länder sowie die in der Mehrzahl der Landesbeamtengesetze enthaltenen Bestimmungen zu Datenverarbeitungen in Dienst- und Arbeitsverhältnissen (z.B. § 35 DSG M.-V.; § 31 LDSG Rh.-Pf.). Ebenfalls sollte die das private Arbeitsverhältnis betreffende personalaktenrechtliche Norm des § 83 BetrVG Bestand haben und gemeldet werden.

5. „Beschäftigungsfremde“ Personaldaten

Zu beachten bleibt, dass – was inzwischen unstrittig ist – § 32 Abs. 1 BDSG keine Anwendung findet bei der Personaldatenverarbeitung zu „beschäftigungsfremden“ Zwecken[30], d.h. bei Verarbeitungen, die z.B. nicht der Begründung, Durchführung oder Beendigung des individuellen Beschäftigungsverhältnisses dienen. Ihr Zulässigkeitsmaßstab ist bislang die Interessenabwägungsklausel des § 28 Abs. 1 S. 1 Nr. 2 BDSG und demnächst die wie folgt lautende Regelung des Art. 6 Abs. 1 lit. f DSGVO: „(f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“

Trotz des etwas differierenden Wortlauts des § 28 Abs. 1 S. 1 Nr. 2 BDSG und des Art. 6 Abs.1 lit. f DSGVO dürften – abgesehen von möglichen Einzelfällen – im Ergebnis regelmäßig keine entscheidenden praktischen Unterschiede bestehen. Zentrale Voraussetzung ist jeweils die Erforderlichkeit der Verarbeitung, die eine Verhältnismäßigkeitsprüfung bedingt.

Will man aber, was begrüßenswert wäre, auch hier „nationales“ Recht zukünftig weiter anwenden, müsste der Gesetzgeber die Zweckbestimmung des § 32 Abs. 1 S. 1 BDSG nur um die in den Vorschriften des öffentlichen Dienstes enthaltene weitere Zweckbestimmung der Verarbeitung „zur Durchführung organisatorischer, personeller und sozialer Maßnahmen“ ergänzen.

IV. Fazit

Die Datenschutz-Grundverordnung kommt – und sie kommt bald. Doch was wird sich für den nationalen Beschäftigtendatenschutz ändern? Auf den ersten Blick nur wenig: Die Öffnungsklausel des Art. 82 DSGVO ermöglicht den Mitgliedsstaaten auch weiterhin, beschäftigungsspezifische Vorschriften zu erlassen, die sich im Rahmen der Vorgaben halten, also insbesondere die Grundrechte und Interessen der Betroffenen wahren. Für die bereits bestehende Generalklausel des Beschäftigtendatenschutzes, § 32 BDSG, wird dies anzunehmen sein. Doch Vorsicht: Art. 82 Abs. 2a DSGVO sieht eine fristgebundene Meldepflicht für derartige Regelungen vor. Daher ist der nationale Gesetzgeber mehr denn je aufgerufen, schnell zu handeln und die besonderen Vorschriften des Beschäftigtendatenschutzes in Brüssel zu melden. Dabei gilt: Lieber zu viel als zu wenig. So behielte Deutschland das Lenkrad in der Hand, um aufbauend auf § 32 BDSG den Beschäftigtendatenschutz weiter auszugestalten – sofern man hierzu nicht nur eine Notwendigkeit erkennt, sondern auch eine politische Mehrheit findet.

Prof. Peter Gola Mitherausgeber und federführender Schriftleiter der Fachzeitschrift RDV sowie Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V., Bonn.

Dr. Stephan Pötters Stephan Pötters ist als Associate bei Seitz in Köln tätig. Er berät in den Bereichen Arbeitsrecht und Datenschutzrecht.

Prof. Gregor Thüsing ist Direktor des Instituts für Arbeitsrecht und Recht der Sozialen Sicherung der Universität Bonn; Mit glied des Vorstandes der GDD e.V., Bonn.

[1] Richtlinie des Europäischen Parlaments und des Rates vom 95/46/EG vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. EG Nr. L 281 S. 31 ff.

[2] S. nur EuGH v. 24.11.2011 – C-468/10, C-469/10, RDV 2012, 22 = EuZW 2012, 37 (ASNEF); vgl. Lang, K&R 2012, 40.

[3] Vgl. hierzu auch die Erwägungsgründe (2) bis (8) und (11) DSGVO.

[4] Vgl. bereits Pötters, RDV 2015, 10, 11 f.

[5] EuGH v. 18.02.1970 – 40/69, Slg. 1970, 69, 80 (Hauptzollamt Hamburg/Bollmann); EuGH v. 18.06.1970 – 74/69, Slg. 1970, 451, 459 f. (Hauptzollamt Bremen/Krohn); Nettesheim, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 56. EGL 2015, Art. 288 AEUV Rn. 101.

[6] S. EuGH v. 28.03.1985 – 272/83, Slg. 1985, 1057 (Kommission/ Italien); vgl. Ruffert, in: Calliess/Ruffert, EUV/AEUV, 4. Aufl. 2011, Art. 288 AEUV Rn. 20.

[7] Ein sog. Geltungsvorrang des Unionsrechts besteht demgegenüber nicht, d.h. die „verdrängte Norm“ – hier das BDSG – bleibt weiter in Kraft; vgl. EuGH v. 22.10.1998 – 10/97 bis C-22/97, Slg. 1998, S. I-6307 (Ministero delle Finanze/IN.CO.GE.‘90 u.a.), Rn. 18 ff.

[8] EN: „more specific rules“

[9] EN: „employees‘ personal data”

[10] EN: „employment context“.

[11] EN: „in particular”.

[12] EN: „particular for the purposes of the recruitment, the performance of the contract of employment, including discharge of obligations laid down by law or by collective agreements, management, planning and organisation of work, equality and diversity in the workplace, health and safety at work, protection of employer’s or customer’s property and for the purposes of the exercise and enjoyment, on an individual or collective basis, of rights and benefits related to employment, and for the purpose of the termination of the employment relationship“.

[13] Eine deutsche Übersetzung der im Trilog abgestimmten Fassung gibt es bislang noch nicht. Der Begriff der „Arbeitnehmerdaten“ wird aber in der Ratsfassung verwendet, die sich bei Art. 82 DSGVO im Wesentlichen durchgesetzt hat.

[14] EuGH v. 03.05.2012 – C–337/10, NVwZ 2012, 688 (Neidel).

[15] EN: „collective agreements“.

[16] EN: „works agreements“.

[17] EN: „law“.

[18] EN: „which it adopts pursuant to paragraph 1“.

[19] S. bereits Wybitul/Sörup/Pötters, ZD 2015, 559, 561

[20] Dieselbe Formulierung findet sich in Art. 79 Abs. 5 DSGVO.

[21] Vgl. bereits Wybitul/Sörup/Pötters, ZD 2015, 559, 561.

[22] Vgl. Wybitul/Pötters, RDV 2016, 8

[23] EN: „more specific rules“.

[24] EN: „exemptions or derogations“

[25] Zur derzeit bestehenden strittigen Rechtslage vgl. Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rn. 1884 ff.

[26] BT-Drs.17/4230; zum Scheitern des Anlaufs des Gesetzesgebungsvorhabens in der vergangenen Legislaturperiode vgl. bei Gola/Schomerus, BDSG, § 32 Rn. 1.

[27] BT-Drucks. 16/13657, S. 35.

[28] Wybitul/Pötters, RDV 2016, 1

[29] Vgl. BAG v. 20.06.2013 – 2 AZR 546/12, NZA 2014, 143: Spindkontrolle durch den Arbeitgeber; vgl. hierzu Becker-Schäufler, BB 2015, 629; Wybitul/Pötters, BB 2014, 437.

[30] Vgl. Gola/Wronka, Handbuch Arbeitnehmerdatenschutz, Rn. 364 ff; 663 ff.