Aufsatz : Überlegungen zu den Rechtsgrundlagen des künftigen Beschäftigtendatenschutzes : aus der RDV 5/2017, Seite 236 bis 240
Der Countdown für das Inkrafttreten der DS-GVO[1] tickt. Erst sah es so aus, als ob der Gesetzgeber die Öffnungsklausel des Artikel 88 DS-GVO nicht mehr nutzen wird, um eine Regelung zur Datenverarbeitung im Beschäftigungskontext zu schaffen. Nicht wenige Autoren beschäftigten sich vorsorglich mit der Frage, ob § 32 BDSG a.F. unter der DS-GVO weiter gelten kann[2] . Das zeugt von wenig Vertrauen in den deutschen Gesetzgeber. Gleichwohl ist es gelungen, mit § 26 BDSG n.F. eine Regelung auf den Weg zu bringen, die dem § 32 BDSG a.F. entspricht[3]. Dieser Beitrag widmet sich einigen Fragen, die sich im Hinblick auf das Verhältnis der DS-GVO und der Neuregelung des § 26 BDSG stellen.
I. DS-GVO als primäre Rechtsgrundlage
Feststeht: Ab dem 25. Mai 2018 gilt die DS-GVO, die trotz ihrer neuartigen Bezeichnung („Grund“) eine Verordnung nach Artikel 288 Abs. 2 Satz 2 AEUV ist. Sie gilt, auch zwischen Privaten, unmittelbar und zwingend und bedarf keiner Umsetzung. Mitgliedsstaatliches Recht, das die unmittelbare Geltung der Verordnung beeinträchtigt, findet keine Anwendung. Dies verbietet grundsätzlich auch mitgliedsstaatliche Regelungen, welche die Bestimmungen der Verordnung nur wiederholen, da die Rechtsquelle (Verordnung oder nationales Recht?) dadurch intransparent wird[4]. Von Letzterem erteilt die DS-GVO ausweislich des Erwägungsgrundes Nr. 8 nur einen Dispens, soweit „dies erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen“. Über die Auslegung der Verordnung wacht nach Artikel 267 AEUV der EuGH. Die DS-GVO ist damit die primäre Rechtsquelle des Datenschutzes[5].
II. Nur noch abgeleitete Kompetenz des deutschen Gesetzgebers
Der deutsche Gesetzgeber hat wegen der unmittelbaren Wirkung der DS-GVO keine originäre Regelungskompetenz mehr[6] und die deutsche Gerichtsbarkeit kein Auslegungsmonopol. Die DS-GVO könnte wegen ihres zwingenden Anwendungsbefehls den Beschäftigtendatenschutz alleine regeln. Die Mitgliedsstaaten können, sie müssen aber nicht von einer Öffnungsklausel Gebrauch machen. Würde die DS-GVO den Beschäftigtendatenschutz regeln, entspräche die Rechtslage in etwa dem alten BDSG vor Einführung des § 32 BDSG. Regelungen über Arbeitsverhältnisse waren in § 28 BDSG geregelt, ergänzende Vorschriften kamen etwa für den internationalen Datentransfer und die Betroffenenrechte zur Anwendung. Dieses Normprogramm würde auch die DS-GVO bieten. Und mehr: Mit der Erweiterung in Artikel 88 Abs. 1 DS-GVO auf Kollektivvereinbarungen bestünde eine ausdrückliche Norm dafür, dass auch eine Kollektivvereinbarung Rechtsgrundlage der Datenverarbeitung sein kann, was in der deutschen Rechtsprechung allerdings auch anerkannt ist[7].
Für den Beschäftigtendatenschutz findet sich die Öffnungsklausel in Art. 88 Abs. 1 DS-GVO. Es heißt dort bekanntlich, dass die Mitgliedstaaten „durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses vorsehen“ können. Die allgemeine Regelung ist jetzt also die DS-GVO. Zu einer Abweichung für den Beschäftigtendatenschutz kommt es nur, soweit der mitgliedsstaatliche Gesetzgeber im Rahmen des Art. 88 DS-GVO eine spezifizierende Regelung erlässt bzw. eine Kollektivregelung eine solche Spezifizierung enthält. Mit anderen Worten: Der Mitgliedsstaat muss von seiner (abgeleiteten) Kompetenz auch Gebrauch machen, sonst bleibt es bei der DS-GVO.
III. Anmeldung nach Art. 88 Abs. 3 DS-GVO
Hinzu tritt eine, wenn auch umstrittene formelle Voraussetzung. Nach Art. 88 Abs. 3 DS-GVO muss der Mitgliedsstaat die aufgrund der Öffnungsklausel erlassenen Rechtsvorschriften der Kommission mitteilen, also die Vorschriften praktisch notifizieren, die aufgrund der Öffnungsklausel gelten. Die Rechtsfolge einer unterlassenen Mitteilung ist streitig. Einige Autoren meinen, dass die Mitteilung zwar für die Geltung der nationalen Regelung zwingend ist, aber auch nach dem 25. Mai 2018 erfolgen könnte.[8] Andere sehen darin eher eine Ordnungsvorschrift, die die Geltung der erlassenen Normen nicht berühren soll[9] . Allerdings finden sich Stimmen, die den Gesetzgeber vor einem Versäumnis warnen, denn es droht ein Verlust der Rechtsetzungskompetenz, wenn keine Mitteilung bis zum 25. Mai 2018 erfolgt[10]. Hier ist jetzt gesetzgeberisches Risikomanagement gefordert. Die besseren Gründe sprechen dafür, die Mitteilung nach Art. 88 Abs. 3 DS-GVO sehr ernst zu nehmen. Denn wenn Art. 88 Abs. 3 DS-GVO einen Sinn haben soll, dann doch die Pflicht des Mitgliedsstaates, klarzustellen, welche Normen „spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Daten im Beschäftigungskontext“ sind. Andernfalls bliebe dies unklar. Und das ist genau das, was der unmittelbaren Geltung einer Verordnung entgegensteht. Versäumt ein Mitgliedsstaat die Mitteilung insgesamt, droht damit aus unserer Sicht der Verlust der entsprechenden Norm als im Rahmen des Art 88 Abs. 1 DS-GVO erlassen. Auch dann bleibt es bei der DS-GVO.
IV. Wie hat der deutsche Gesetzgeber die Kompetenz genutzt?
Das ist erst einmal der Rahmen, in dem sich der Mitgliedsstaat Deutschland befand, als § 26 BDSG n.F. erlassen wurde. Ob dies so ganz reflektiert wurde, ist offen. Es hat den Anschein, als habe der Gesetzgeber nicht die Öffnungsklausel einer Verordnung genutzt, sondern weiterhin angenommen, eine Richtlinie umzusetzen. Die Unsicherheit zeigt sich an § 1 Abs. 5 BDSG n.F., wonach das BDSG n.F. nicht gelten soll, soweit die DS-GVO unmittelbar gilt. Diese Vorschrift ist eigentlich sinnlos. Das BDSG muss seinen Geltungsanspruch nicht zu Gunsten der DS-GVO zurücknehmen, sondern umgekehrt, die DS-GVO geht nach Art. 288 AEUV automatisch vor.
1. Inhaltliche Umsetzung
Im Beschäftigtendatenschutz kann der Gesetzgeber die in Art. 88 Abs. 1, 2 DS-GVO genannten Gegenstände regeln. Die Aufzählung ist nicht abschließend, aber Art. 88 DS-GVO gibt eine inhaltliche Begrenzung vor[11]. Der Gesetzgeber hat inhaltlich die Regelung des § 32 BDSG a.F. fortgeführt[12]. Sich darauf zu verlassen, dass ein Fortschreiben des § 32 BDSG a.F. als tragfähige Regelung des Beschäftigtendatenschutzes reicht, birgt allerdings Risiken. Dies lässt sich am Beispiel einer aktuellen Entscheidung des BAG vom 22. September 2016[13] zur heimlichen Videoüberwachung sehen:
Das BAG billigt in dieser Entscheidung die heimliche Videoüberwachung in Folge seiner ständigen Rechtsprechung unter Geltung des § 32 Abs. 1 BDSG als ultima ratio, wenn andere Aufklärungsmethoden des Arbeitgebers versagen, um den Verdacht eines Vertragsbruchs durch den Arbeitnehmer aufzuklären. Geregelt ist die heimliche Videoüberwachung in § 26 BDSG n.F. nicht, obwohl Art. 88 Abs. 2 DS-GVOP „Überwachungsmaßnahmen“ als mögliche Regelungsgegenstände der mitgliedsstaatlichen Spezifizierung nennt. Die heimliche Videoüberwachung könnte im Rahmen der DS-GVO auf Probleme stoßen, da Art. 13, 14 DS-GVO Informationspflichten gegenüber den Betroffenen aufstellten[14]. Zwar erlaubt Art. 23 Abs. 1 DS-GVO Ausnahmen durch mitgliedsstaatliche Regelungen. Auch eine solche findet sich im Entwurf des BDSG n.F. indes nicht. Will man die heimliche Videoüberwachung also weiterhin gemäß den Erkenntnissen der Rechtsprechung halten, muss man sich darauf verlassen, dass dies entweder (heimlich) in § 26 BDSG n.F. mitgeregelt ist oder durch die DS-GVO selbst legitimiert wird. Beides ist sehr zweifelhaft. Schwerer wiegt indes Folgendes: Die Videoüberwachung führte im Ausgangsfall zur Überführung eines Mitarbeiters, gegen den kein Verdacht einer Straftat bestand, wie von § 32 Abs. 1 Satz 2 BDSG a.F. und jetzt § 26 Abs. 1 Satz 2 BDSG n.F. gefordert. Das BAG billigte jedoch die Verwertung dieses „Zufallsfundes“ und setzte sich dabei nach eigenem Bekunden über den Wortlaut § 32 BDSG einfach hinweg[15]: „Soweit der Wortlaut der Bestimmung ein anderes Verständnis nahelegen könnte, ist er ,verunglückt‘. Diese Regelung solle … die von der Rechtsprechung erarbeiteten Grundsätze des Datenschutzes im Beschäftigungsverhältnis nicht ändern.“
Wenn § 26 BDSG n.F. nur den bisherigen § 32 BDSG a.F. fortführt, fragt sich, ob damit auch die bisherige Rechtsprechung fortgeführt werden soll. Wenn das nicht der Fall ist, wäre die vom BAG vertretene Auslegung contra legem nicht mehr möglich. Ist das aber der Fall, enthält § 26 BDSG im Rahmen der Öffnungsklausel des Art. 88 DS-GVO eine Vorschrift, von der bekannt ist, dass sie nach Auslegung der Gerichte nicht das meint, was sie regelt. Das ist vor dem Hintergrund, dass in letzter Instanz der EuGH darüber entscheidet, ob § 26 BDSG eine zulässige Öffnungsklausel ist, fragwürdig. Es besteht die Gefahr, dass der EuGH nicht anerkennt, dass im Rahmen von Art. 88 DS-GVO auch solche Grundsätze einbezogen / mitgeregelt sind, die sich, entgegen dem Wortlaut der mitgliedsstaatlichen Regelung, aus der nationalen Rechtsprechung ergeben. Der Wortlaut von Art. 88 DS-GVO nennt nur Rechtsvorschriften und nicht Gerichtsentscheidungen. Besser wäre es gewesen, die durch die Rechtsprechung veranlasste Korrektur schlicht im Gesetz zu regeln.
2. Mitteilung
Das Problem setzt sich dann bei Art 88. Abs. 3 DS-GVO fort, nämlich bei der Meldepflicht. Es stellt sich nach Art. 88 Abs. 3 DS-GVO die Frage, welche Normen des deutschen Rechts jetzt eigentlich als Spezifizierung des Beschäftigtendatenschutzes gemeldet werden (sollen). Wie gesagt, kann man diese Frage ignorieren, wenn man sich auf den Standpunkt stellt, dass Art. 88 Abs. 3 DS-GVO auch bei einem Versäumnis die (nicht mitgeteilten) Vorschriften unberührt lässt, was nach unserem Verständnis aber riskant wäre. Varianten:
a) Enge Variante: Nur § 26 BDSG n.F. als Spezifizierung
Der Gesetzgeber könnte nur § 26 BDSG n.F. als Spezifizierung nach Art 88. Abs. 3 DS-GVO verstehen und der Kommission mitteilen. Wäre allein § 26 BDSG n.F. die Spezifizierung, würden sämtliche anderen Normen des BDSG n.F. und des sonstigen deutschen Rechts keine Regelung zum Beschäftigtendatenschutz treffen können, da der Gesetzgeber insoweit nicht von der Öffnungsklausel des Art. 88 DS-GVO Gebrauch gemacht hat. Es gelten dann die Regelungen der DS-GVO.
b) Oder eine weite Variante?
Die Alternative läge darin, dass das BDSG n.F. in seiner Gesamtheit als Spezifizierung nach Art. 88 Abs. 1, 3 DS-GVO zu melden wäre, mit der Folge, dass solche Regelungen des BDSG n.F. zur Anwendung kommen, die den Beschäftigtendatenschutz betreffen. Zumindest für die in den §§ 32ff. BDSG n.F. bestimmten Betroffenenrechte wäre naheliegend, dass diese auch für Arbeitnehmer gelten sollen. Das kann man noch ausdehnen und andere Rechtsvorschriften des Bundes über den Datenschutz im Sinne von § 1 Abs. 2 BDSG n.F. zu Spezifizierung nach Art. 88 Abs. 1 DS-GVO erklären, die dann – wie unter der alten Rechtslage (§ 1 Abs. 3 BDSG a.F.) – den Regelungen des BDSG vorgehen. Diskutiert wird dies etwa für § 80 Abs. 2 Satz 2 2. Hs. BetrVG, wonach der Betriebsrat in die Listen über die Bruttolöhne und -gehälter Einblick nehmen darf[16]. Folge wäre, dass alles, was datenschutzrechtliche Relevanz im Beschäftigungskontext hat, als Spezifizierung gemeldet werden könnte. Diesen Weg scheint etwa Österreich gehen zu wollen. Geplant ist, das Arbeitsverfassungsgesetz, das eine Kodifikation des Arbeitsrechts enthält, als „Vorschrift im Sinne des Art. 88 DS-GVO mitzuteilen“[17]. Es ist aber fraglich, ob eine solche Pauschalmeldung von Art. 88 DS-GVO erlaubt ist. Denn die Mitteilung eines nicht näher spezifizierten Teiles einer mitgliedsstaatlichen Rechtsordnung kann kaum gleichzeitig eine Spezifizierung im Sinne des Art. 88 DS-GVO sein[18]. Fraglich ist auch, ob Art. 88 DS-GVO nur solche Vorschriften als mitteilungsfähig und -pflichtig ansieht, die „im Kern“ Datenschutzfragen im Beschäftigungskontext regeln19[19]. Zu einen führt das zu schwierigen Abgrenzungsfragen, ob eine mitgliedsstaatliche Bestimmung nun im Kern oder eher am Rande die Datenverarbeitung im Beschäftigungskontext regelt. Zum anderen lässt sich Art. 88 DS-GVO die Pflicht des Mitgliedsstaates entnehmen, zu erklären, welche Bestimmungen seiner Rechtsordnung aufgrund der Öffnungsklausel gelten sollen[20]. Andernfalls wäre der Rechtsrahmen wieder unklar, was mit der unmittelbaren Geltung der DS-GVO nach Art. 288 Abs. 1 AEUV nicht vereinbar ist[21]: Es gäbe dann Bestimmungen, welche die Datenerhebung unmittelbar im Rahmen der Öffnungsklausel regeln, Bestimmungen, die zwar nicht nach Art. 88 Abs. 3 DS-GVO gemeldet sind, aber gleichwohl datenschutzrechtliche Relevanz im Beschäftigungskontext haben, und für alles andere gelten die Regelungen der DS-GVO. Ein Rechtsgrundlagenchaos wäre unvermeidbar, was Art. 288 AEUV kaum erlaubt.
Der Gesetzgeber hat diese Frage bisher nicht beantwortet. Einer kryptischen Formulierung der Entwurfsbegründung lässt sich entnehmen, dass sich der Gesetzgeber vorbehält, „Fragen des Datenschutzes im Beschäftigungsverhältnis innerhalb d ieser Vorschrift [§ 26 BDSG n.F.] oder im Rahmen eines g esonderten Gesetzes“ zu regeln[22]. Ob nach dem Ablauf der Meldefrist nach Art. 88 Abs. 3 DS-GVO ein neues Be schäf tig tendatenschutzgesetz im Rahmen der Öffnungsklausel erlassen werden könnte, ist aber gerade offen.
Vielleicht war § 26 BDSG ein guter Mittelweg. Der Gesetzgeber hat sich die Modifizierung des § 26 BDSG n.F. vorbehalten, was möglich erscheint, da Art. 88 Abs. 3 DS-GVO eine „spätere Änderung“ zulässt. Daher könnte es mit § 26 BDSG n.F. gelungen sein, einen Platzhalter zu erlassen, der spätere Änderungen flexibel aufnimmt[23]. Das Problem einer Regelung des Beschäftigtendatenschutzes wurde dann fristwahrend vertagt.
Zu den zahlreichen Aufrufen, die Gelegenheit des Art. 88 DS-GVO zu nutzen, um endlich ein eigenständiges – perfektes – Beschäftigtendatenschutzgesetz zu schaffen, das Fragen umfassend beantwortet, sei nur angemerkt: Wie die DS-GVO selbst ist auch das BDSG n.F. das Ergebnis eines Abstimmungsprozesses widerstreitender Gruppen. Mit anderen Worten: Auf mehr kann man sich eben nicht verständigen. Hinzu kommt ein weiteres Moment. In einer wirtschaftlich fast täglich ver mehrten digitalisierten Welt kommt dem Umgang mit Daten zentrale Bedeutung zu. Jeder Regulator, ob europäisch oder national, wird der technischen Entwicklung immer hinterherlaufen. Allein der DS-GVO ging ein 5-jähriger Abstimmungsprozess voraus[24]. Das entspricht auf der technischen Seite ungefähr dem Zeitraum, um Prototypen autonom fahrender Autos bis zur Serienreife zu entwickeln[25]. Und während sich die Zeiträume, in denen Gesetze gemacht werden, immer weiter verlängern, verkürzen sich die Zeiträume technischer Innovationen mit zunehmender Geschwindigkeit. Das bedeutet: eine up-to-date Regelung schafft der Gesetzgeber nie.
V. Fazit: Schlägt jetzt die Stunde der Betriebsvereinbarung ?
Man wird mit der neuen Regelung arbeiten können, und zwar vor allem wegen der Möglichkeit, Spezifizierungen im Beschäftigtenkontext durch Betriebsvereinbarungen zu erlassen. Dies ist auch schon bisher anerkannt, in jüngster Zeit verstärkt[26]. Der Wortlaut ist missverständlich. Art. 88 Abs. 1 DS-GVO indiziert, dass auch hier der Mitgliedsstaat die Spezifizierung regelt, was streng genommen nur auf für allgemeinverbindlich erklärte Tarifverträge zuträfe. Der Erwägungsgrund Nr. 155 hilft hier zur Klärung, denn dort heißt es, dass der Mitgliedsstaat „oder“ Kollektivvereinbarungen Rechtsquelle spezifischerer Vorschriften für die Verarbeitung personenbezogener Daten im Beschäftigungskontext sein können. § 26 Abs. 4 BDSG n.F. wiederholt dies nochmals, auch wenn das eigentlich nicht erforderlich wäre, denn die Rechtsmacht zur Regelung personenbezogener Daten im Beschäftigungskontext erhalten die jeweiligen Parteien der Kollektivvereinbarung unmittelbar aus Art. 88 DS-GVO. Die Betriebsvereinbarung unterliegt nicht der Meldepflicht des Art. 88 Abs. 3 DS-GVO, denn diese richtet sich nur an Mitgliedsstaaten und nicht an Sozialpartner. Inhaltlich besteht zwar Streit, was die Betriebsparteien dürfen[27]. Diese Frage ist allerdings wohl eher theoretischer Natur, da Art. 88 DS-GVO Vorgaben macht, die in etwa dem des BDSG und des BetrVG (§ 75 BetrVG) entsprechen[28]. Interessant an der Betriebsvereinbarung als Grundlage der Datenverarbeitung im Beschäftigungsverhältnis ist nicht nur, dass sie eine maßgeschneiderte Lösung bietet, sondern unter Umständen gerade darin liegt, dass sie Versäumnisse der gesetzlichen Regelung des § 26 BDSG n.F. ausgleichen kann. Man kann sich nämlich sehr gut vorstellen, etwa die Grundsätze der heimlichen Videoüberwachung in einer Betriebsvereinbarung zu konkretisieren. Als von Art. 88 DS-GVO anerkanntes Regelungsinstrument wäre eine solche Regelung zulässig, auch wenn man zum Schluss kommt, dass der deutsche Gesetzgeber mangels ausdrücklicher Regelung in § 26 BDSG n.F. dafür keine gesetzliche Rechtsgrundlage geschaffen hat. Ebenso wäre eine Regelung zur Weitergabe von Mitarbeiterdaten im Konzern möglich, was im Erwägungsgrund Nr. 48 der DS-GVO angelegt ist.
Es bleibt daher zum einen zu hoffen, dass der Gesetzgeber der Mitteilungspflicht nachkommt und zum anderen, dass Gerichte ein praktikables Verständnis entwickeln, um die Neuregelung handhabbar zu machen.
Dr. Christian Rolf ist Partner im Frankfurter Büro von Willkie Farr & Gallagher LLP. Er ist auf das gesamte Arbeits- und Dienstvertragsrecht spezialisiert, u. a. auf Mitarbeiterdatenschutz und Compliance sowie Vergütung von Führungskräften und berät bei sämtlichen Aspekten von Transaktionen und Übernahmen.
Katharina Siewert ist wissenschaftliche Mitarbeiterin bei Willkie Farr & Gallagher LLP. Sie studierte in Gießen und Zürich und promoviert an der Justus Liebig Universität Gießen im Wirtschaftsstrafrecht.
[1] Art. 99 Abs. 2 DS-GVO: 25.05.2018.
[2] Etwa Kutzki, öAT 2016, 115, 117; Ehmann/Selmayr/Selk, DS-GVO, 2016, Art. 88 Rn. 156; Kort, NZA-Beilage 2016, 62, 66; Kort, NZA-Beilage 2016, 62, 63; Gola/Pötters/Thüsing, RDV 2016, 57, 60
[3] Die Entwurfsbegründung, BT-Drs. 18/11325, S. 97 spricht davon, dass die spezialgesetzliche Regelung des § 32 BDSG a.F. fortgeführt wird.
[4] EuGH vom 28.03.1985, C-272/83.
[5] Gola, BB 2017, 1462, 1462: „Grundgesetz“ des Datenschutzes; Kort, NZA-Beilage 2016, 62, 63: es kommt dafür auch nicht auf die Öffnungsklausel des Art. 88 DS-GVO an; Ehmann/Selmayr/Heberlein, DS-GVO, Art. 6 Rn. 31.
[6] Ebenso Kort, NZA-Beilage 2016, 62, 63: „Die DS-GVO gibt vielmehr den Mitgliedsstaaten aufgrund der Öffnungsklausel des Art. 88 Abs. 1 DS-GVO einen weiten Regelungsspielraum, setzt jedoch auch einen Regelungsrahmen für den Beschäftigtendatenschutz auf der Basis ihrer übrigen Regelungen.“; Gola/Pötters/Thüsing, RDV 2016, 57, 57.
[7] BAG, 27.05.1986, 1 ABR 48/84b; 25.09.2013, 10 AZR 270/12; 14.05.2014, 1 ABR 2/13; offen gelassen von BAG 17.11.2016, 2 AZR 730/15.
[8] So Kort, NZA-Beilage 2016, 62, 66 unter d); Körner, NZA 2016, 1383, 1385; Ehmann/Selmayr/Selk, DS-GVO, 2017, Art. 88 Rn. 136.
[9] So etwa Riesenhuber, BeckOK Datenschutzrecht, Art. 88 Rn. 95
[10] Gola, DS-GVO, Art. 88 Rn. 17; ders. zusammen mit Pötters und Thüsing, RDV 2016, 57, 59.
[11] Gola/Pötters/Thüsing, RDV 2016, 57, 59.
[12] So ausdrücklich: Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/79 und zur Umsetzung der Richtlinie (EU) 2016/680 Drucksache 18/11655, Bl. 97.
[13] BAG, 22.09.2016 – 2 AZR 848/15.
[14] Darauf weist Gola/Schulz, DS- GVO, Art. 6 Rn. 162 hin.
[15] BAG, ebenda; anders LAG Baden-Württemberg, 20.7.2016, 4 Sa 61/15.
[16] Gola, BB 2017, 1462, 146; anders BAG, 14.01.2014 – 1 ABR 54/12, NZA 2016, 738 ff., gestützt auf § 32 BDSG.
[17] Der Gesetzesentwurf für ein Datenschutzanpassungsgesetz sieht mit § 29 öDSG-E folgende Regelung vor: „Das Arbeitsverfassungsgesetz (ArbVG), BGBl. Nr. 22/1974, ist eine Vorschrift im Sinne des Art. 88 DSGVO. Die dem Betriebsrat nach dem ArbVG zustehenden Befugnisse bleiben unberührt.“
[18] Ebenso Kort, NZA-Beilage 2016, 62, 66, der eine Öffnung zugunsten des bisherigen BDSG nicht für zulässig hielt; Aufschluss gibt hier auch der Erwägungsgrund Nr. 10 der DS-GVO. Danach können die Mitgliedsstaaten Regelungen für besondere Verarbeitungssituationen treffen; ebenso Ehmann/Selmayr/Selk, Art. 88 Rn. 167f.
[19] So Gola/Pötters/Thüsing, RDV 2016, 57, 59.
[20] Oben unter 3.
[21] Oben, Fn. 3.
[22] Oben, Fn 11.
[23] Gola/Pötters/Thüsing, RDV 2016, 57, 60 hatten vorgeschlagen, notfalls § 32 BDSG a.F. zu melden, um auf diese Weise wenigstens von der Öffnungsklausel Gebrauch gemacht zu haben.
[24] Kutzki, öAT 2016, 115, 115.
[25] Vgl. in Bezug auf den Prototypen des selbstfahrenden Autos von Google http://www.zeit.de/mobilitaet/2014-12/auto-google-autonom-fahren, aufgerufen am 16.08.2017.
[26] Was schon unter dem BDSG a.F. anerkannt war: BAG, 27.05.1986, 1 ABR 48/84; 25.09.2013, 10 AZR 270/12; 15.04.2014, 1 ABR 2/13; LAG Düsseldorf 25.10.2016, 8 TaBV 62/16; offen gel. BAG, 17.11.2016, 2 AZR 730/25.
[27] Kort, NZA-Beilage 2016, 62, 66: nur geringe Abweichung nach unten.
[28] In diese Richtung Wybitul, ZD 2016, 203, 207.