Aufsatz : Maßgeschneiderte Lösungen durch Kollektivvereinbarungen? Möglichkeiten und Risiken des Art. 88 Abs. 1 DS-GVO : aus der RDV 6/2016, Seite 312 bis 320
Die neue Datenschutzgrundverordnung (im Folgenden: DSGVO) wurde am 27.04.2016 beschlossen und am 04.05.2016 im Amtsblatt der Europäischen Union veröffentlicht. Sie tritt an die Stelle der Datenschutzrichtlinie 95/46/EG (im Folgenden: DSRL). Zwar besitzen ausweislich des 9. Erwägungsgrund Ziele und Grundsätze der Richtlinie 95/46/EG nach wie vor Gültigkeit. Die Grundsätze für die Verarbeitung personenbezogener Daten gem. Art. 5 DS-GVO entsprechen im Wesentlichen den aus Art. 6 DSRL bekannten. Nach Art. 6 Abs. 1 UAbs. 1 der DS-GVO sind im Ergebnis dieselben Tatbestände für die materielle Rechtmäßigkeit der Verarbeitung personenbezogener Daten maßgeblich wie gemäß Art. 7 DSRL.
Für den Bereich des Beschäftigtendatenschutzes ist das Inkrafttreten der DS-GVO dennoch eine Zeitenwende. Denn sie enthält – anders noch als die DSRL, die eine Öffnung für sektorspezifische Regelungen allenfalls in den Erwägungsgründen andeutete – in Art. 88 eine umfassende Ermächtigung für die Mitgliedsstaaten, „spezifischere Vorschriften“ für den Bereich des Beschäftigtendatenschutzes zu schaffen: „Die Mitgliedsstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für [… Aufzählung verschiedener Zwecke] vorsehen.“
Zudem sind gemäß Erwägungsgrund 155 auch Betriebsvereinbarungen „Kollektivvereinbarungen“, die „spezifischere Vorschriften“ (im Folgenden: Spezifizierungsrechtsakt) gemäß der DS-GVO darstellen können. Besteht nun die Möglichkeit, mit dem Betriebsrat für das Unternehmen oder den Konzern maßgeschneiderte Datenschutzregelungen zu schaffen?
I. Verhältnis von DS-GVO, BetrVG und TVG
Die Möglichkeiten ergeben sich für Kollektivvereinbarungen, die Spezifizierungsrechtsakt gemäß Art. 88 Abs. 1 DSGV sind, aus einem Zusammenspiel von DS-GVO und nationalem Recht.
Die DS-GVO selbst enthält als erste Schranke – wie sich aus Art. 88 Abs. 1 und insbesondere auch Abs. 2 DS-GVO ergibt – eine Reihe von Vorgaben, denen Spezifizierungsrechtsakte genügen müssen. Die zweite Schranke stellt das mitgliedsstaatliche Recht auf. Nach Art. 88 Abs. 1 DS-GVO werden die Spezifizierungsrechtsakte von den Mitgliedsstaaten – und nicht etwa den Kollektivpartnern – geschaffen. Regelungen in Kollektivvereinbarungen sind daher nur insofern Spezifizierungsrechtsakte, wie ihnen eine entsprechende Bedeutung vom mitgliedsstaatlichen Recht zugewiesen wird. Die DS-GVO schafft keine eigenständige Grundlage für Kollektivvereinbarungen,[1] sondern erlaubt lediglich den Mitgliedsstaaten, Kollektivvereinbarungen die Wirkung eines Spezifizierungsrechtsaktes nach Art. 88 Abs. 1 DS-GVO zuzuweisen.
Deutsche Kollektivvereinbarungen müssen als Spezifizierungsrechtsakte gemäß Art. 88 Abs. 1 DS-GVO also im Ergebnis zwei Schranken einhalten[2]: Die des Art. 88 Abs. 1 DS-GVO und die Regelungen des nationalen Rechts, welche den Kollektivvereinbarungen Rechtskraft verleihen und eine Konkretisierung von Datenschutzregelungen erlauben. Letzteres sind in Deutschland für Betriebsvereinbarungen das Betriebsverfassungsgesetz (BetrVG)[3] und für Tarifverträge das Tarifvertragsgesetz (TVG). Zusätzlich sind für Kollektivvereinbarungen geltende – und im Rahmen des Art. 88 Abs. 1 DS-GVO weitergeltende – Vorgaben nationaler Spezifizierungsrechtsakte zu berücksichtigen. Dies wäre de lege lata wohl (nur) § 32 BDSG. Nach Verabschiedung des Allgemeinen Bundesdatenschutzgesetzes (ABDSG)[4] spannen dann dessen Vorgaben – neben TVG und BetrVG – den nationalen Regelungsrahmen für Kollektivvereinbarungen als Spezifizierungsrechtsakt (näher III.-IV.). Der mögliche Regelungsinhalt von Kollektivvereinbarungen als Spezifizierungsrechtsakte nach Art. 88 Abs. 1 DS-GVO ist somit auf das begrenzt, was BetrVG, BDSG und TVG erlauben.
II. Erste Schranke: Art. 88 Abs. 1 DS-GVO
Die DS-GVO selbst bietet Spezifizierungsrechtsakten einen weiten Gestaltungsspielraum.
1. Sachliche und persönliche Reichweite des Art. 88 DS-GVO
Nach Art. 88 Abs. 1 DS-GVO können Vorschriften geschaffen werden „hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext“. „Beschäftigtendaten“ beinhaltet als erste Festlegung den „Beschäftigten“ – dieser ist der Arbeitnehmer nur im Verhältnis zu seinem Arbeitgeber. Entsprechend könnte man meinen, nur die Datenverarbeitung im Arbeitgeber-Arbeitnehmer-Verhältnis, mit dem Arbeitgeber als „für die Verarbeitung Verantwortlicher“ (im Folgenden: Verantwortlicher) und dem Beschäftigen als von der Verarbeitung Betroffenen (im Folgenden Betroffenen), sei Gegenstand der Regelungen. Schon die nach Art. 88 Abs. 2 DS-GVO mögliche Übermittlung von Beschäftigtendaten innerhalb der Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, zeigt aber, dass dies zu eng ist und der Regelungsbereich über das unmittelbare Arbeitnehmer-Arbeitgeber-Verhältnis hinausreicht.
Sinnvoller ist daher eine funktionale Abgrenzung anknüpfend an den Beschäftigungskontext: Von den Mitgliedsstaaten näher geregelt werden können (sollten) die Fragen, die sich bei der Abwicklung des Beschäftigungsverhältnisses stellen. Dies ist nicht nur eine etwaige Verarbeitung durch den Arbeitgeber. Ebenfalls im Beschäftigungskontext erfolgt die Verarbeitung von Daten durch andere Konzerngesellschaften (z.B. im Wege des konzernweiten E-Mail-Systems). Für die Durchführung des Arbeitsverhältnisses kann aber auch die Weitergabe an Dritte erforderlich sein – z.B. an Träger der betrieblichen Altersversorgung. Auch dies dürfte noch „im Beschäftigungskontext“ erfolgen.
Gestaltungshinweis: Für die Praxis bleibt freilich zu raten, bis zu einer Klärung durch den EuGH klar abgestufte Regelungen zu schaffen, um die Unwirksamkeit etwaiger überschießender Regelungen möglichst zu begrenzen.
Nicht umfasst sein dürfte dagegen die Regelung der Nutzung von „als Beschäftigtendaten“ erlangten Daten für andere Zwecke. Die nach bisherigem Stand lebhaft umstrittene Frage, ob und auf welcher Grundlage im Verlauf eines Unternehmenskaufs Beschäftigtendaten offengelegt werden können (und wenn ja, wann und in welchem Umfang), wird damit immer noch nicht eindeutig zu lösen sein. Es spricht einiges dafür, dass die Weitergabe dieser Daten nicht im Beschäftigungskontext erfolgt[5] und daher den allgemeinen Regeln der DSVGO unterliegt.[6]
Für die Praxis von erheblicher Bedeutung ist, dass spezifischere Regelungen auch für die Übermittlung personenbezogener Beschäftigtendaten innerhalb einer Unternehmensgruppe geschaffen werden können (vgl. Art. 88 Abs. 2 DS-GVO). Erwägungsgrund 48 DS-GVO hält zudem fest, dass konzernangehörige Verantwortliche ein berechtigtes Interesse haben können, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln. Dies lässt sich als Wertentscheidung der DS-GVO für ein „kleines Konzernprivileg“ im Sinne einer Anerkennung des Interesses an der Weitergabe z.B. im Rahmen der Gehaltsabrechnung oder von IT-Systemen lesen.[7] Diese Klarstellung ist für die Praxis eine massive Verbesserung. Ebenfalls geregelt werden kann – wie sich aus dem 155. Erwägungsgrund ergibt –, unter welchen Bedingungen im Arbeitsverhältnis eingewilligt werden kann.[8]
2. „Spezifischere Vorschriften…“
Die zentrale Frage ist aber: Was sind „spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten“ bei der Datenverarbeitung im Beschäftigungsverhältnis? Eine klare Antwort gibt es hierzu bislang nicht. Die bisher in der Literatur geführte Diskussion kreist um die Frage, ob eine Abweichung vom Schutzniveau der DS-GVO nach „oben“ oder „unten“ zulässig ist. Ganz überwiegend hält man Abweichungen nach „oben“ – also ein Mehr an Datenschutz – für zulässig, Abweichungen nach unten – weniger Datenschutz – dagegen nicht.[9]
Nach hiesigem Verständnis erlaubt Art. 88 Abs. 1 DS-GVO den Mitgliedsstaaten, für den Bereich des Beschäftigtendatenschutzes eigenständige, sektorspezifische Datenschutzregelungen zu schaffen, welche die (europäischen) Grundrechte und -freiheiten von Betroffenen und Verantwortlichen eigenständig zum Ausgleich bringen.[10] Sie können insofern insbesondere sowohl restriktiver als auch großzügiger Verarbeitungsoperationen zulassen als die DS-GVO.
Nähert man sich der Auslegungsfrage unbefangen vom Wortlaut des Art. 88 Abs. 1 DS-GVO, bieten sich für den Begriff der „spezifischeren Vorschriften“[11] zwei Auslegungsvarianten an:
- Spezifischer können Vorschriften sein, weil ihr Anwendungsbereich enger definiert ist als der der DS-GVO. Geht man davon aus, würden sie die DS-GVO in ihrem Anwendungsbereich verdrängen. „Spezifischere Vorschriften“ wären dann eigenständige, sektor„spezifische“ Regelungen des Datenschutzes. Dann spräche einiges dafür, dass sie sowohl in formeller Hinsicht wie auch in materieller Hinsicht Abweichungen vom Niveau des Datenschutzes nach der DS-GVO möglich sind[12] – dazu noch näher unten.
- Spezifischer können die Vorschriften aber auch vom Konkretisierungsgrad her sein. Legt man dieses Verständnis zu Grunde, wäre Gegenstand der „spezifischeren Vorschriften“ die Konkretisierung der DS-GVO im Sinne der Ausfüllung des von der Verordnung gespannten Rahmens, wobei die von den einzelnen Vorschriften gespannten Grenzen jedoch nicht überschritten werden dürfen. Sie würden die DS-GVO auch nicht verdrängen. Derartige Vorschriften würde sich im Wesentlichen in der Konkretisierung unbestimmter Rechtsbegriffe der DS-GVO (z.B. „Erforderlichkeit“ in Art. 6 Abs. 1 lit. b DS-GVO) erschöpfen.
Die Verwendung der Steigerungsform von spezifisch spricht nur auf den ersten Blick für die zweitgenannte Auslegungsvariante. Die Steigerungsform legt zwar nahe, dass es neben den mitgliedsstaatlichen bereits auch im Beschäftigungsdatenschutz anwendbare europäische Regelungen der DS-GVO gibt. Jedoch gälte auch bei der Auslegung im Sinne der ersten Alternative die DS-GVO bis zur Schaffung von spezifischeren Vorschriften der Mitgliedsstaaten als Regelung des Beschäftigtendatenschutzes. Systematisch für die erste Variante spricht, dass die DS-GVO an anderer Stelle von sektorspezifischen Regelungen als „spezifischeren Bestimmungen“[13] spricht.
Das überzeugende Argument für die erste Auslegungsvariante im Sinne eigenständiger, die DS-GVO in ihrem Anwendungsbereich verdrängender Regelungen liefert jedoch der 155. Erwägungsgrund: Danach könnten die Mitgliedsstaaten „spezifische Vorschriften für die Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext“ schaffen. Dies verdeutlicht, dass spezifisch im Sinne von „sektorspezifisch“, also im Sinne der ersten Auslegungsvariante zu verstehen ist.
Bestätigt wird dies durch Art. 88 Abs. 2 DS-GVO. Die Vorgabe, dass Spezifizierungsrechtsakte die berechtigten Interessen und Grundrechte der betroffenen Person wahren müssen, wäre nicht erforderlich, wenn sie die Regelungen der DS-GVO nur näher ausfüllen würden (oder gar den Datenschutz nur verstärken könnten). Eher ein unterstützendes Argument ist die Verwendung des Begriffs der „Vorschrift“[14] durch Art. 88 Abs. 1 DS-GVO. Dieser Begriff wird von der DS-GVO für die in der DS-GVO und sektorspezifische unionale Regelungen des Datenschutzes verwandt. Das spricht für die Einordnung der Spezifizierungsrechtsakte als Rechtsakte mit eigenständigem Anwendungsbereich.[15] Ebenfalls für eine weite Auslegung spricht der Wegfall der im Kommissionsentwurf[16] noch vorgesehenen Beschränkung, dass Regelungen im Beschäftigtendatenschutz nur „in den Grenzen dieser Verordnung“ möglich seien.[17]
Rechtssicherheit wird freilich erst bestehen, wenn der EuGH die Frage entschieden hat. Die Chancen, dass er zu der hier vertretenen Auslegung kommt, stehen angesichts der genannten Argumente gut. Zudem hielt der EuGH den Gestaltungsspielraum der Mitgliedsstaaten gemäß Art. 5 DSRL bereits für weit.[18] Zuzugeben ist freilich, dass er an anderer Stelle eine Tendenz hat, im Interesse des Grundrechtsschutzes und/oder des effet utile Öffnungsklauseln eng auszulegen.[19]
3. „…zur Gewährleistung des Schutzes der Rechte und Freiheiten“
Ausgehend davon, dass bereichsspezifische Regelungen des Datenschutzes gemäß Art. 88 Abs. 1 DS-GVO grundsätzlich möglich sind, bleibt der mögliche Regelungsinhalt zu vermessen.
Dieser ist nach hiesigem Verständnis – im Beschäftigungskontext – denkbar weit: Nach Art. 88 Abs. 1 DS-GVO können die Mitgliedsstaaten spezifischere Vorschriften „zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung“ personenbezogener Daten vorsehen. Schon aus der Erwähnung von (Grund-)freiheiten ergibt sich, dass dies die Gewährleistung des Schutzes der Rechte von Betroffenen und Verantwortlichem gleichermaßen betrifft.
Der Schutz der wechselseitigen Interessen erfolgt – im Verhältnis zwischen Privaten, um das es im Beschäftigungsverhältnis geht – durch Herstellung praktischer Konkordanz zwischen den widerstreitenden Grundrechten und -freiheiten. Mit der Erlaubnis, für die Herstellung praktischer Konkordanz spezifischere Vorschriften festzulegen, überträgt Art. 88 Abs. 1 DS-GVO den Mitgliedsstaaten also mindestens die Befugnis, die Einschätzungsprärogative des Gesetzgebers bei der Abwägung und Gewichtung gegenstehender Grundrechtspositionen auszuüben.
Bestätigt wird dieses Ergebnis durch Art. 88 Abs. 2 DSGVO, der Vorgaben für Spezifizierungsrechtsakte enthält und gleichzeitig mögliche Regelungsgegenstände benennt. Das dort enthaltene Petitum, in den Spezifizierungsrechtsakten für die Wahrung der Grundrechte der Betroffenen zu sorgen, macht sehr deutlich, dass die Abwägung der Grundrechte bzw. die Gewichtung der Interessen in dem Spezifizierungsrechtsakt erfolgt.
a) Regelung der materiellen Rechtmäßigkeit der Verarbeitung
Damit können jedenfalls eigenständige Regelungen zur Festlegung der Rechtmäßigkeit der Verarbeitung (vgl. Art. 6 DS-GVO) getroffen werden. Denn deren Rechtmäßigkeit bestimmt sich unmittelbar durch die Abwägung der gegenläufigen Interessen.[20]
Damit wird mindestens der Zustand hergestellt, der unter der DSRL galt: Art. 5 DSRL legte fest, dass die Mitgliedsstaaten „nach Maßgabe“[21] der Art. 6ff. DSRL die Voraussetzungen näher bestimmen konnten, unter denen die Verarbeitung personenbezogener Daten rechtmäßig ist. Der 4. Erwägungsgrund der DSRL stellt klar, dass aus dieser näheren Bestimmung namentlich ein Spielraum bei der Abwägung der Interessen von Verantwortlichem und Betroffenen für die Mitgliedsstaaten folgt – der sogar zu Unterschieden bei der Durchführung führen könne.[22] Entsprechend betont der EuGH, dass die DSRL eine große Flexibilität enthielt und es den Mitgliedsstaaten erlaubte, zwischen Optionen zu wählen.[23] Diese bezog sich insbesondere auch darauf, den Ausgleich zwischen Grundrechtspositionen herbeizuführen – die Mitgliedsstaaten müssten lediglich ein Ergebnis (von mehreren möglichen) wählen, das mit der Grundrecht scharta (im Folgenden: Charta) in Einklang steht.[24] Die Mitgliedsstaaten dürften auch Leitlinien für die Abwägung aufstellen.[25] Die DSRL hatte letztlich zwar Rechte und Verfahren und auch formale Rechtfertigungstatbestände (voll-)harmonisiert[26], nicht aber die für die materielle Zulässigkeit der Verarbeitung maßgebliche Grundrechtsabwägung. Diese Flexibilität bleibt mindestens erhalten.
Tatsächlich geht Art. 88 Abs. 1 DS-GVO aber über Art. 5 DSRL hinaus: Art. 5 DSRL erlaubte lediglich die Bestimmung der Voraussetzung der Rechtmäßigkeit der Verarbeitung, und dies nur innerhalb der Grenzen der Art. 6ff. DSRL. Der Wortlaut von Art. 88 Abs. 1 DS-GVO enthält diese Einschränkung nicht. Deshalb dürfte auch die Rechtsprechung des EuGH, wonach Umsetzungsrechtsakte der DSRL im Rahmen der Regelung der materiellen Rechtmäßigkeit der Verarbeitung lediglich Leitlinien für die Abwägung vorgeben, aber die von der DSRL vorgegebenen abwägungsoffener Tatbestände nicht pauschalierend ausschließen durften,[27] überholt sein. Vielmehr dürfte Art. 6 DS-GVO durch eigenständige Regelungen – die in Grenzen auch Abwägungsergebnisse pauschalieren – ersetzt werden können.
b) Regelung weiterer Gegenstände der DS-GVO
Art. 88 Abs. 1 DS-GVO geht jedoch nach hiesigem Verständnis über Regelungen der Rechtmäßigkeit der Verarbeitung hinaus und erlaubt eigenständige, sektorspezifische Regelungen zu allen Gegenständen der DS-GVO.
Art. 88 Abs. 1 DS-GVO spricht von „Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Daten“. Diese Formulierung ist praktisch identisch mit der Floskel, die an verschiedenen Stellen zur Umschreibung des gesamten unionsrechtlichen Datenschutzrechts[28] verwandt wird. Das legt nahe, dass die entsprechende Gesamtheit dieser Regelung innerhalb des Beschäftigungskontexts durch den mitgliedsstaatlichen Spezifizierungsrechtsakt getroffen werden kann. Die DS-GVO begreift die DSRL ebenso wie sich selbst letztlich als ebensolche Vorschrift „zum Schutze der Rechte und Freiheiten hinsichtlich der Verarbeitung“, die dann entsprechend auch durch sektorspezifische Regelungen verdrängt werden kann.
Der Blick auf Art. 88 Abs. 2 DS-GVO bestätigt wiederum das Ergebnis. Die dortige Gestaltungsdirektive, die „Transparenz der Verarbeitung“ (Art. 88 Abs. 2 DS-GVO) zu sichern, wäre nicht erforderlich, wenn die Art. 12ff. DS-GVO ohnehin gälten.[29] Gleiches gilt für die Regelungen zur Übermittlung innerhalb von Unternehmensgruppen. Auch der Erwägungsgrund 155 legt eine umfassende Regelungsbefugnis nahe.
4. Gestaltungsdirektiven für Spezifizierungsakte
Ausgehend vom hiesigen Verständnis des Art. 88 Abs. 1 DSGVO gelten die Regelungen der DS-GVO für Spezifizierungsrechtsakte nicht unmittelbar. Maßstab für die Spezifizierungsrechtsakte sind vielmehr:
- Die europäischen Grundrechte der Grundrechtscharta und die Grundfreiheiten.
- Da freilich im Beschäftigungskontext stets gegenläufige Interessen zum Ausgleich zu bringen sind, ist der Regelungsspielraum beschränkt, weil die Ergebnisse weitgehend grundrechtlich determiniert sind.
- Der Spielraum beschränkt sich auf die Ausübung der Einschätzungsprärogative des Gesetzesgebers bei der Gewichtung und Abwägung von Grundrechten – wenn mehrere Ergebnisse mit den Grundrechten und -freiheiten in Einklang steht, können die Mitgliedsstaaten zwischen diesen wählen.[30] Sie müssen nicht 1:1 die von der DS-GVO gewählte Entscheidung nachvollziehen.
- Art. 88 Abs. 2 DS-GVO.
- Diese Vorgaben führen nicht zur Anwendung der DSGVO, dürften aber im Lichte dieser auszulegen sein.
- Vorgaben der DS-GVO, die diese konkret in Hinblick auf den Beschäftigtendatenschutz macht.
- Dies ist beispielsweise in Erwägungsgrund 48 das sog. kleinen Konzernprivileg (bereits oben unter 1.).[31]
Praxishinweis: Gerade angesichts der „Scharnierfunktion“ von Art. 88 Abs. 2 DS-GVO und angesichts fehlender anderweitiger Anhaltspunkte ist zu erwarten, dass die Regelungen der DS-GVO dennoch in der Praxis als Maßstab für Spezifizierungsrechtsakte dienen werden. Die Testfrage wird sein: Ist diese vorgenommene Abweichung von der DS-GVO noch mit den Grundrechten und -freiheiten und Art. 88 Abs. 2 DS-GVO vereinbar? Bei eigenen Gestaltungen sollte man von der DS-GVO als sicherer Basis ausgehen. Im Zweifel sollten nur die notwendigen und überschaubaren Abweichungen geregelt werden.
a) Spezifizierung der Rechtmäßigkeit der Verarbeitung insb. an Stelle von Art. 6 DS-GVO
Im Extremfall kann es – anders als noch gemäß Art. 5 DSRL – zulässig sein, durch Spezifizierungsrechtsakt pauschal bestimmte Einsatzzwecke zuzulassen oder auszuschließen. Dies darf indes nicht darüber hinwegtäuschen, dass der pauschale Ausschluss (oder auch die pauschale Erlaubnis) bestimmter Verarbeitungsvorgänge nicht dazu führen darf, dass Grundrechte nicht verwirklicht werden. Er wird also bei abstrakt-generellen Regelungen nur in Betracht kommen, wenn das eine Grundrecht in allen denkbaren Fällen dem Gegeninteresse weichen muss, etwa weil es nur am Rande tangiert ist oder aber immer zumutbare Ausweichmöglichkeiten bestehen.
Eine Pauschalierung ist daher eher zulässig, je konkreter der Regelungsgegenstand ist, weil die Auswirkungen eher überblickt werden können. Schließlich spielt eine wesent liche Rolle, ob der Grundrechtsträger der Regelung zugestimmt hat (wie etwa der Arbeitgeber einer Betriebsvereinbarung). Anlässlich z.B. der Einführung einer Videoüberwachungsanlage zur Überwachung bestimmter Maschinen dürfte mit Zustimmung des Arbeitgebers möglich sein, diese pauschal auf diesen Zweck zu beschränken.
Gestaltungshinweis: In der Praxis sollten klare Regelungen geschaffen werden. Diese sollte mit einer Öffnungsklausel für eine offene Abwägung in besonderen Situationen versehen werden. Damit wird auch Vorsorge für den Fall getroffen, dass der EuGH im Gegensatz zur hier vertretenen Rechtsansicht Pauschalierungen nicht für zulässig hält. Zu beachten sind Wertungen der DS-GVO konkret in Bezug auf den Beschäftigtendatenschutz (z.B. das „kleine“ Konzernprivileg).
b) Spezifizierung von Rechten der Betroffenen
Die Art. 12ff. DS-GVO sind die Magna Charta des Datenschutzes und als solche letztlich Ausprägungen grundrechtlicher Wertungen. Daher dürften die Anliegen dieser Regelungen und ihre weitgehende Verwirklichung auch von den Mitgliedsstaaten bei der Schaffung von Spezifizierungsrechtsakten zu berücksichtigen sein. Auch diese Berücksichtigung muss aber indes nicht 1:1 erfolgen.[32] Welche Abweichungen indes zulässig sind, lässt sich – in Ermangelung entsprechender Richtlinien, wie sie noch der DSRL zur Verfügung stellte – schwierig bestimmen.
Dennoch: Die Verwirklichung namentlich der in Art. 13f. (Recht auf Information), Art. 15 (Recht auf Auskunft), Art. 16 (Recht auf Berichtigung) und Art. 17 (Recht auf Löschung) genannten Rechte – aber eben nicht in allen Details in ihrer Ausprägung gemäß der DS-GVO[33] – muss auch in Spezifizierungsrechtsakten effektiv sichergestellt sein. Dies dürfte aus Art. 88 Abs. 2 DS-GVO ebenso folgen wie unmittelbar aus Art. 8 der Charta.
Die Beschränkung dieser grundlegenden Rechte kann daher lediglich in Randbereichen zulässig sein. So dürfte z.B. die Aufbewahrung von Unterlagen in der Personalakte oder Löschfristen[34] pauschal geregelt werden können. Ebenfalls zulässig sein dürfte der Ausschluss des Berichtigungsrechts, wenn es um für das Persönlichkeitsrecht des Betroffenen völlig harmlose Fehler (z.B. falsch geschriebener Name in einer internen Mitteilung) geht. Beschränkungen sind ferner denkbar, wenn z.B. der Aufwand des Auffindens von Daten in keinem Verhältnis zum bewirkten Grundrechtsschutz steht – etwa wenn ein umfangreiches Archiv zum Auffinden v.g. Schreibfehlers durchgesehen werden müsste.
Angesichts der bestehenden Rechtsunsicherheit wird es in vielen Fällen sinnvoll sein, es bei der Anwendbarkeit der Art. 12ff. DS-GVO zu belassen, aber konkrete, auf den Fall bezogene Auslegungshinweise für die unbestimmten Rechtsbegriffe zu regeln. Im Arbeitsverhältnis wird beispielsweise geregelt werden können, wann nach Art. 17 Abs. 1 lit. c) vorrangige berechtigte Interessen vorliegen – z.B. weil der Arbeitgeber Daten über viele Jahre noch für einen etwaigen späteren Kündigungsrechtsstreit benötigt (vgl. auch Art. 17 Abs. 3 lit. e DS-GVO).[35] Ebenso wird z.B. geregelt werden können, dass die umfassende Information gemäß Art. 13f. DS-GVO nur gegenüber dem Betriebsrat erfolgt und der Arbeitnehmer nur darüber informiert wird. Erst in der zweiten Stufe kann er sich diese Informationen dann, wenn gewünscht, vom Betriebsrat verschaffen.
Gestaltungshinweis: Was genau möglich ist, wird erst der EuGH verbindlich festlegen können. Es wird sich in vielen Fällen anbieten, in Spezifizierungsrechtsakten auf die Art. 13ff. DS-GVO zu verweisen oder auf diese jedenfalls aufzubauen und lediglich in deren Rahmen Regelungen – insbesondere durch Vorwegnahme von Auslegungsergebnissen – zu treffen. Wird eine eigenständige Regelung getroffen, sollte für den Fall deren Unwirksamkeit eine hilfsweise Verweisung auf die Art. 13ff. DS-GVO aufgenommen werden.
c) Spezifizierung von formellen (Verfahrens-) Regelungen
Unklar ist schließlich, welche Spielräume für Spezifizierungsvorschriften hinsichtlich formellen oder Verfahrensvorschriften bestehen. Auch hier legt zwar jedenfalls Art. 88 Abs. 2 DS-GVO nahe, dass wiederum eigenständige Regelungen möglich sein können und Art. 88 Abs. 2 DS-GVO bzw. die Grundrechte auch der Maßstab für diese ist. Ebenso spricht hierfür der Erwägungsgrund 155, wonach auch die Formalien für eine Einwilligung im Spezifizierungsrechtsakt geregelt werden können. Auch dafür fehlt es aber an klaren Leitlinien. Im ersten Zugriff spricht einiges dafür, dass z.B. das Verzeichnis von Verarbeitungsvorgängen gemäß Art. 30 DS-GVO durch eine Kollektivvereinbarung als Spezifizierungsrechtsakt ersetzt werden kann. Weniger deutlich ist aber, welche Maßstäbe für so grundlegende Fragen wie die Übermittlung von Daten in Drittländer im Beschäftigungskontext gelten. Gleiches gilt etwa für die Strukturen und die Zusammenarbeit der Aufsichtsbehörden.[36]
5. Partielle Regelung durch Spezifizierungsrechtsakte und Weitergeltung der DS-GVO
Die praktischen Probleme, die die beschriebene Rechtsunsicherheit verursacht, dürften kleiner sein, als es zunächst scheint. Art. 88 Abs. 1 DS-GVO bietet zwar die Möglichkeit, in Kollektivvereinbarungen theoretisch umfassen Regelungen zum Beschäftigtendatenschutz zu schaffen. Diese müsste jedoch sehr hohen Anforderungen genügen (siehe Ziff. 4).[37] Sie wären deshalb – wenn nicht auf Einzelanwendungen (z.B. Videoüberwachung einer einzelnen Maschine) beschränkt – extrem komplex und kaum handhabbar. Die Tarifvertrags- oder Betriebsparteien werden deshalb im Regelfall in Kollektivvereinbarungen nur Teilfragen regeln. Im Übrigen bleibt es dann bei der Anwendung entweder nationaler Spezifizierungsakte oder – soweit diese nicht bestehen – der DS-GVO: Wird in einer Betriebsvereinbarung z.B. nur die Anwendung einer bestimmten Softwarteanwendung geregelt, gilt für alle anderen Punkte (z.B. Rechte der Betroffenen) ohnehin die DS-GVO (bzw. der gesetzliche Spezifizierungsakt des Mitgliedsstaates). Wenn ein Spezifizierungsrechtsakt pauschal die Geltung der DS-GVO ausschließen sollte, wäre dies im Regelfall deshalb unbeachtlich, weil diese Regelung dann nicht den Anforderungen gemäß Ziff. 4 genügt, vgl. unten V.
Gestaltungshinweis: In der Kollektivvereinbarung sollte klar geregelt werden, welche Punkte – z.B. die Rechtmäßigkeit der Verarbeitung („Spezifizierung“ von Art. 6 DS-GVO) – geregelt werden und im Übrigen die Geltung der DS-GVO / des mitgliedsstaatlichen Spezifizierungsrechtsaktes klargestellt werden.
Für die Praxis empfiehlt sich schlicht, den Zugriff auf andere Rechtsgrundlagen in der Betriebsvereinbarung ausdrücklich offenzuhalten.[38] Denn dann kann im Fall der Unanwendbarkeit noch auf die gesetzlichen Tatbestände zurückgegriffen werden.
6. Einschätzungsprärogative auch der Betriebspartner?
Der mitgliedstaatliche Gesetzgeber genoss bei der Umsetzung der DSRL – und genießt nach hiesiger Ansicht im Rahmen des Art. 88 Abs. 1 DS-GVO auch weiterhin – einen weiten Gestaltungsspielraum.[39] Nach der Rechtsprechung des EuGH haben auch die Tarifvertragsparteien als Sozialpartner einen weiten Gestaltungsspielraum.[40] Entsprechend nimmt der EuGH seine Kontrolldichte auch für Vereinbarungen der Sozialpartner (namentlich Tarifverträge) zurück. Beides wird nach deutschem nationalem Recht ähnlich gesehen.
Hinsichtlich Vereinbarungen der Betriebsparteien ist jedoch jedenfalls die nationale deutsche Rechtsprechung und die deutsche Literatur wesentlich zurückhaltender. Betriebsvereinbarungen haben nach nationalem Verständnis nicht dieselbe Richtigkeitsgewähr wie Tarifverträge.[41] Entsprechend ist auch die gerichtliche Kontrolldichte nicht in demselben Umfang zurückgenommen.
Der EuGH hat, soweit ersichtlich, etwaige Unterschiede zwischen Tarifverträgen und Betriebsvereinbarungen in seiner Rechtsprechung noch nicht umfangreich geprüft oder untersucht. Jedenfalls in der Rechtssache Odar hat er jedoch einen zwischen Arbeitgeber und Betriebsrat vereinbarten Sozialplan, also eine Betriebsvereinbarung, als „Sozialpartnervereinbarung“ angesehen. Entsprechend hat er auch den Betriebsparteien einen weiten Ermessenspielraum vergleichbar den Tarifvertragsparteien zugebilligt.[42] Dies spricht dafür, dass europarechtlich Tarifverträge und Betriebsvereinbarungen als Spezifizierungsrechtsakte nach Art. 88 Abs. 1 DS-GVO gleich zu behandeln sind.
III. Zweite Schranke: Nationales Recht (insb. BetrVG)
Die zweite Schranke für maßgeschneiderte Regelungen sind die einschlägigen Regelungen des nationalen Rechts. Betriebsvereinbarungen und Tarifverträge können nur insofern Regelungen zum Datenschutz (und zur Datenverarbeitung) aufstellen, als dies das nationale Recht erlaubt. Konkret: Spezifizierungsrechtsakte durch Kollektivvereinbarungen sind nur insofern möglich, als diese durch BetrVG und TVG ermöglicht werden. Auch etwaige Schranken des BDSG bzw. – nach dessen Verabschiedung und Inkrafttreten – des ABDSG sind zu beachten.
Grundsätzlich können alle materiellen oder formellen Arbeitsbedingungen, soweit sie nicht dem Tarifvorbehalt bzw. –vorrang unterliegen, Gegenstand einer Betriebsvereinbarung sein.[43] Es ist allgemein anerkannt, dass darunter auch die Datenverarbeitungsvorgänge im inländischen Betrieb (bzw. Unternehmen und Konzern) fallen, soweit sie nicht leitende Angestellte betreffen.[44] Betriebsverfassungsrechtlich ist also insofern die Grundlage zur Nutzung des durch Art. 88 Abs. 1 DS-GVO eingeräumten Gestaltungsspielraums gegeben.
Grundsätzlich anwendbar bleiben aber auch die inhaltlichen Schranken des BetrVG (soweit im Gestaltungsspielraum gemäß Art. 88 Abs. 1 DS-GVO). Dies ist für den Bereich des Datenschutzes namentlich § 75 Abs. 2 BetrVG.[45] Es wird überwiegend erwartet, dass die Rechtsprechung die dort entwickelten Anforderungen weiterhin beibehalten wird.[46]
Angesichts des tatsächlich weiten Gestaltungsspielraums dürfte dies jedenfalls in erheblichen Teilen mit Art. 88 Abs. 1 DS-GVO vereinbar sein. Zu beachten ist aber, dass wie richtigerweise bereits heute – europäische Grundrechte und -freiheiten abzuwägen sind. Zu beachten sind ferner die Gestaltungsdirektiven der DS-GVO, namentlich der Grundsatz des freien Datenverkehrs und das – hier so bezeichnete – kleine Konzernprivileg. Beides dürfte ggf. für eine gewisse Erhöhung der Flexibilität sorgen.
Die wichtigere Änderung ergibt sich jedoch daraus, dass mit dem Inkrafttreten der DS-GVO zum 25.05.2018 das BDSG zu wesentlichen Teilen unanwendbar wird (vgl. IV.). Dies erweitert erstens den Regelungsbereich von Betriebsvereinbarungen über die Rechtmäßigkeit der Verarbeitung (§ 4 Abs. 1 BDSG) hinaus. Denn bislang erlaubte § 1 Abs. 3 S. 1 BDSG hinsichtlich anderer Regelungsgegenstände eine Abweichung nur durch Bundesgesetz, nicht Betriebsvereinbarung. Zweitens führt es voraussichtlich auch zu einer Änderung der Auslegung des § 75 Abs. 2 BetrVG, da mit Ausnahme des § 32 BDSG nicht mehr das BDSG, sondern die DSVGO Referenzrahmen ist – zu beidem sogleich.
Für eine Prognose des Inhalts des zur Zeit in Planung befindlichen ABDSG ist es noch zu früh; jedenfalls die bislang bekannt gewordene – sehr frühe – Fassung des Referentenentwurfs enthielt keine ausdrückliche Regelung des Verhältnisses von ABDSG zu Kollektivvereinbarungen. Immerhin die Begründung geht aber davon aus, dass jedenfalls die Datenverarbeitung auf der Grundlage von Kollektivvereinbarung zulässig sein soll.
IV. Was geschieht am 25.05.2018?
Bislang geht man einhellig davon aus, dass § 32 BDSG gemäß Art. 88 Abs. 1 DS-GVO weitergilt. Gleiches soll für Bestandsbetriebsvereinbarungen gelten.[47] Beides ist im Ergebnis zutreffend. Wegen der weiten Auslegungsspielräume geht § 32 BDSG als Regelung der Rechtmäßigkeit der Verarbeitung nicht über Art. 88 Abs. 1 DS-GVO hinaus.
Als umfassende Regelung des Datenschutzes genügt er freilich nicht (vgl. schon Art. 88 Abs. 2 DS-GVO). Die Lücke ließe sich möglicherweise füllen, wenn man von einer auf den Beschäftigungskontext beschränkten Anwendung der weiteren Vorschriften des BDSG – letztlich als Anhang von § 32 BDSG – ausginge.[48]
Für einen entsprechenden, auf eine solche partielle Weitergeltung des BDSG bezogenen Willen des Gesetzgebers sind keinerlei Indizien erkennbar. Deshalb spricht wesentlich mehr dafür, dass mit dem Inkrafttreten der DS-GVO das BDSG im Übrigen außer Kraft tritt. Stattdessen finden die Regelungen der DS-GVO Anwendung (vgl. oben II.3.), soweit keine spezielle Regelung in § 32 BDSG bzw. einer Kollektivvereinbarung getroffen ist. Die DS-GVO gilt damit für alle Bereiche außerhalb des Anwendungsbereichs einer Kollektivvereinbarung und mit Ausnahme des Anwendungsbereichs von § 32 BDSG (dieser wiederum umfasst „nur“ die Rechtmäßigkeit der Verarbeitung und die besondere formelle Anforderung für die Dokumentation von Anhaltspunkten nach § 32 Abs. 1 S. 2 BDSG). Auch der Entwurf des ABDSG enthält keine wesentlich über § 32 BDSG hinausgehende Regelungen. Auch bei dessen Inkrafttreten dürften die folgenden Ausführungen fortgelten.
Damit unterliegen auch alle bereits bestehenden Betriebsvereinbarungen in den Bereichen, in denen sie keine eigenständige Regelung treffen (vgl. II.5.), der DS-GVO. Da typischerweise (nur) eine Regelung über die materielle Rechtmäßigkeit der Verarbeitung und ggf. weitere Einzelfragen getroffen wurde, ist dies ein erheblicher Bereich. Zusätzlich sind die eigenständigen Regelungsbereiche auf die Einhaltung der Vorgaben des Art. 88 Abs. 2 DS-GVO zu überprüfen.
Praxishinweis: Die Vereinbarkeit bestehender Betriebsvereinbarungen mit der DS-GVO ist zu prüfen. Ihre Handhabung ist auf die DS-GVO – und ggf. das ABDSG – abzustimmen.
V. Risiken und Nebenwirkungen: Verstoß gegen die Schranken, Sanktionen
Bei allen Überlegungen zu den Gestaltungsmöglichkeiten darf ein Hinweis auf die Risiken und Nebenwirkungen nicht fehlen: Die Rechtsunsicherheit bei der Gestaltung von Spezifizierungsrechtsakten ist zur Zeit noch sehr groß. Je umfangreicher der Regelungsansatz, desto wahrscheinlicher ist, dass die Regelung jedenfalls in einem Teilaspekt den o.g. Anforderungen nicht genügt.
Rechtsfolge eines solchen Verstoßes wäre, dass jedenfalls dies Teilregelung des Spezifizierungsrechtsaktes entweder unanwendbar bleibt (bei Verstoß gegen unionsrechtliche Schranken) oder sogar unwirksam ist (bei Verstoß gegen nationales Recht). In beiden Fällen gilt anstatt der Teilregelung die entsprechende Regelung der DS-GVO.
Bei Abweichungen der Teilregelung gegenüber der DSGVO besteht damit die Gefahr, dass der Verantwortliche – unbemerkt – objektiv gegen die DS-GVO verstößt. Zwar dürfte er sich in diesen Fällen zutreffenderweise regelmäßig in einem unvermeidbaren Rechtsirrtum befinden[49]. Angesichts der sehr hohen Risiken, die z.B. in Hinblick auf Bußgelder bestehen, ist dieses Risiko dennoch zu beachten. So sind nach Art. 83 Abs. 5 DS-GVO für „einfache“ Verstöße (z.B. Verstoß gegen die Rechte des Betroffenen) mit bis zu 20.000.000 EUR oder 4% des Jahresumsatzes wahrhaft abschreckende Sanktionen vorgesehen. Wenn auch im Kontext des Beschäftigtendatenschutzes dieser Rahmen kaum ausgeschöpft werden dürften: Schon objektive Verstöße sollten dringend vermieden werden.
Praxishinweis: Man sollte sich in der Praxis langsam und bewusst an die Grenzen der Gestaltungsmöglichkeiten herantasten. Eine entsprechende Abstimmung der Regelung (und schriftliche Dokumentation der Abstimmung) mit der zuständigen Aufsichtsbehörde kann im Zweifel die Unvermeidbarkeit des Verbotsirrtums absichern. Um das Risiko unerkannter Verstöße zu vermeiden, sollten nur spezifische Punkte geregelt und im Übrigen die Anwendbarkeit der DSGVO festgelegt und in der praktischen Umsetzung beachtet werden.
VI. Fazit
- Kollektivvereinbarungen nach deutschem Recht müssen als Spezifizierungsrechtsakte die Grenzen von Art. 88 Abs. 1 DS-GVO ebenso beinhalten wie die von BetrVG bzw. TVG sowie BDSG bzw. ABDSG.
- Art. 88 Abs. 1 DS-GVO ermöglicht den Mitgliedsstaaten, für den Bereich des Beschäftigtendatenschutzes sektorspezifische Datenschutzregelungen zu schaffen, die die DS-GVO grundsätzlich vollständig verdrängen können.
- Diese Spezifizierungsrechtsakte müssen allerdings die europäischen Grundrechte und -freiheiten verhältnismäßig zum Ausgleich bringen und zudem noch den Anforderungen von Art. 88 Abs. 2 DS-GVO genügen. Es ist zu erwarten, dass die Regelungen der DS-GVO weitgehenden Vorbildcharakter erhalten werden.
- Soweit Spezifizierungsrechtsakte Fragen nicht regeln (oder die Geltung der DS-GVO pauschal ausschließen) finden die entsprechenden Regelungen der DS-GVO im Beschäftigungsverhältnis Anwendung.
- Daher findet die DS-GVO ab dem 25.05.2018 auch auf bestehende Betriebsvereinbarungen in vielen Teilen Anwendung. Gleichzeitig werden die Regelungen des BDSG mit Ausnahme von § 32 BDSG unanwendbar.
- Genügen Spezifizierungsrechtsakte den Anforderungen von DS-GVO oder nationalen Rechts nicht, kann der Verantwortliche unerkannt gegen die DS-GVO verstoßen. Dies begründet ein hohes Risiko und sollte durch geeignete Maßnahmen vermieden werden.
Dr. Johannes Traut Rechtsanwalt in Köln. Er hält regelmäßig Vorträge zum Beschäftigtendatenschutz und ist Autor zahlreicher Fachpublikationen (z.B. Autor in Thüsing, Beschäftigtendatenschutz)
[1] Wegen der begrenzten Kompetenzen im Koalitionsrecht (Art. 153 Abs. 4 AEUV) könnte die DS-GVO auch keine eigenständige Rechtsgrundlage für Kollektivvereinbarungen darstellen, auch nicht, soweit es sich um Spezifizierungsakte für Unionsrecht handelt, Thüsing/ Traut, RdA 2012, 65, insb. 66 f. Dies dürfte im Ergebnis auch für Betriebsvereinbarungen gelten.
[2] Womit das Arbeitsrecht um eine weitere „2-Schranken-Theorie“ reicher ist, vgl. zur betriebsverfassungsrechtlichen nur GK/Kreutz, BetrVG, 10. Aufl. 2014, § 77 Rn. 118 ff.; Waltermann, Rechtsetzung durch Betriebsvereinbarung zwischen Privatautonomie und Tarifautonomie, 1996, S. 285 ff.; beide m.w.N.
[3] Hiervon gehen auch Taeger/Rose, BB 2016, 819, 822 implizit aus, die meinen, die Grenzen des § 75 Abs. 2 BetrVG müssten auch bei Betriebsvereinbarungen als Konkretisierungsrechtsakten nach Art. 82 Abs. 1 DS-GVO eingehalten werden; ebenso wohl Wybitul, ZD 2016, 203, 206 f.
[4] Bislang liegt nur ein – bereits wieder zurückgezogender – Referentenentwurf vor; abrufbar mit kurzer Übersicht über Reaktionen z.B. über www.rdv-online.com/aktuelles/reaktionen-auf-abdsg-entwurf/.
[5] Vgl. auch für das deutsche Recht schon bislang Göpfert/Meyer, NZA 2011, S. 486 (488) m.w.N.; vgl. auch Riesenhuber, in: BeckOKDatenschutzrecht, § 32 Rn. 22 ff.
[6] Insbesondere die offene Interessenabwägung gem. Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO dürfte eine taugliche Grundlage für die – maßvolle Weitergabe – an Erwebsinteressenten bieten. Auch eine etwaige Zweckänderung ist nicht ausgeschlossen, lediglich in der Abwägung ist Art. 6 Abs. 4 DS-GVO zu berücksichtigen. Allerdings wären die Beschäftigten gem. Art. 13 Abs. 3 DS-GVO zu informieren.
[7] Ähnlich Paal/Pauly, Datenschutz-Grundverordnung, 1. Aufl. 2017, Art. 88 Rn. 8.
[8] Vgl. nur Paal/Pauly, Datenschutz-Grundverordnung, 1. Aufl. 2017, Art. 88 Rn. 8.
[9] Wybitul/Sörup/Pötters, ZD 2015, 559, 561; Kort, DB 2016, 711, 714 f.; wohl auch Wybitul, ZD 2016, 203, 206; Paal/Pauly, Datenschutz-Grundverordnung, 1. Aufl. 2017, Art. 88 Rn. 4.
[10] Ähnlich Taeger/Rose, BB 2016, 819, 830.
[11] Jedenfalls die französische und englische Sprachfassung sind sehr ähnlich: „des règles plus spécifiques“ / „more specific rules“.
[12] In diese Richtung bereits Taeger/Rose, BB 2016, 819, 830.
[13] Erwägungsgrund 10, wenn dort auch von Bestimmungen und nicht Vorschriften die Rede ist.
[14] Jedenfalls die französische und englische Sprachfassung ist ebenso konsequent die Rede von „règles“ / „rules“.
[15] Vgl. Erwägungsgrund 10 und Erwägungsgrund 19; Umsetzungsakte der DSRL werden demgegenüber als „Bestimmungen“ („provisions“ bzw.“dispositions“) bezeichnet.
[16] KOM(2012) 11 endgültig.
[17] Wybitul/Sörup/Pötters, ZD 2015, 559, 561.
[18] EuGH v. 06.11.2003 – C-101/01, Slg 2003, I-12971 Rn. 83 (Lindqvist); EuGH v. 24.11.2011 – C-468/10 u.a., Slg 2011, I-12181 Rn. 35 (ASNEF) – dazu noch näher unten.
[19] Vgl. z.B. zu Art. 3 Abs. 2 2. Gedankenstrich DSRL: EuGH v. 11.12.2014 – C-212/13, Rn. 29 (František Ryneš).
[20] Vgl. nur Thüsing/ders., Beschäftigtendatenschutz und Compliance, 2. Aufl. 2014, § 3 Rn. 36 ff.
[21] Oder genauer: Innerhalb der Grenzen der Art. 6 ff. (vgl. nur die englische Fassung: „within the limits of the provisions of this Chapter“).
[22] Ergänzend mag man auf Erwägungsgrund 30 verweisen, wonach den Mitgliedsstaaten erlaubt wird, insbesondere die Bedingungen näher zu bestimmen, unter denen personenbezogene Daten insbesondere in laufenden Geschäftsbeziehungen verarbeitet und an Dritte übermittelt werden können. Der Ausgleich zwischen entgegenstehenden Interessen wird auch hier ausdrücklich den Mitgliedstaaten überantwortet.
[23] EuGH v. 06.11.2003 – C-101/01, Slg 2003, I-12971 Rn. 83 (Lindqvist); EuGH v. 24.11.2011 – C-468/10 u.a., Slg 2011, I-12181 Rn. 35 (ASNEF)
[24] EuGH v. 06.11.2003 – C-101/01, Slg 2003, I-12971 Rn. 90 (Lindqvist); EuGH v. 24.11.2011 – C-468/10 u.a., Slg 2011, I-12181 Rn. 35 (ASNEF), Rn. 43; vgl. auch EuGH v. 29.01.2008 – C-275/06, Slg 2008, I-271 (Promusicae) Rn. 67 f.
[25] EuGH v. 24.11.2011 – C-468/10 u.a., Slg 2011, I-12181 Rn. 35 (ASNEF), Rn. 46.
[26] Näher Pötters/Traut, RDV 2013, 132, 135.
[27] EuGH v. 24.11.2011 – C-468/10 u.a., Slg 2011, I-12181 Rn. 35 ff., insb. 47 (ASNEF) m.w.N.
[28] Erwägungsgrund 2: „Die Grundsätze und Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten sollten gewährleisten, dass ihre Grundrechte und Grundfreiheiten und insbesondere ihr Recht auf Schutz personenbezogener Daten ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gewahrt bleiben.“ Erwägungsgrund 3: „Zweck der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates ist die Harmonisierung der Vorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Datenverarbeitung sowie die Gewährleistung des freien Verkehrs personenbezogener Daten zwischen den Mitgliedstaaten.“ Erwägungsgrund 10: „Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden.
[29] Dennoch gehen Wybitul, ZD 2016, 203, 207 und Paal/Pauly, Datenschutz-Grundverordnung, 1. Aufl. 2017, Art. 88 Rn. 11 davon aus, dass die Inbezugnahme oder Wiedergabe dieser Regelungen eine „Minimalanforderung“ sein wird.
[30] Vgl. zu Art. 5 DSRL: EuGH v. 06.11.2003 – C-101/01, Slg 2003, I-12971 Rn. 90 (Lindqvist); EuGH v. 24.11.2011 – C-468/10 u.a., Slg 2011, I-12181 Rn. 35 (ASNEF), Rn. 43; vgl. auch EuGH v. 29.01.2008 – C-275/06, Slg 2008, I-271 (Promusicae) Rn. 67 f.
[31] Ähnlich auch Paal/Pauly, Datenschutz-Grundverordnung, 1. Aufl. 2017, Art. 88 Rn. 12.
[32] Denn wiederum wäre sonst Art. 88 Abs. 2 DS-GVO z.B. in Hinblick auf die Transparenz unnötig.
[33] So wohl auch Wybitul, ZD 2016, 203, 207.
[34] Wybitul, ZD 2016, 203, 207.
[35] Vgl. nur BAG v. 10.06.2010 – 2 AZR 541/09, AP BGB § 626 Nr. 229 Rn. 47, wonach für eine Kündigung eine Rolle spielt, ob ein Arbeitsverhältnis über viele Jahr ungestört war; vgl. auch differenzierend BAG v. 19.07.2012 – 2 AZR 782/11, NZA 2013, 91: Der Arbeitnehmer kann die Entfernung einer zu Recht erteilten Abmahnung aus seiner Personalakte nur dann verlangen, wenn das gerügte Verhalten für das Arbeitsverhältnis in jeder Hinsicht bedeutungslos geworden ist.
[36] Die Existenz einer effektiven Aufsicht dürfte jedenfalls auch grundrechtlich geboten sein. In Kollektivvereinbarungen sind derartige Regelungen jedenfalls schon deshalb nicht möglich, weil BetrVG und TVG hierfür keine Grundlage bieten.
[37] Siehe nur Wybitul, ZD 2016, 203, 206 f.
[38] So z.B. auch Wybitul/Sürup/Pötters, ZD 2015, S. 559 ff. zur Entwurfsfassung.
[39] Vgl. bereits zur DSRL EuGH v. 06.11.2003 – C-101/01, Slg 2003, I-12971 Rn. 90 (Lindqvist); EuGH v. 24.11.2011 – C-468/10 u.a., Slg 2011, I-12181 Rn. 35 (ASNEF), Rn. 43. und auch EuGH v. 29.01.2008 – C-275/06, Slg 2008, I-271 (Promusicae) Rn. 67 f.
[40] Anerkannt insbesondere im Bereich der Diskriminierungsrichtlinie 2000/78/EG bei der Rechtfertigung altersdiskriminierender tariflicher Regelungen, vgl. nur EuGH v. 12.10.2010 – C-45/09, Slg 2010, I-9391 Rn. 41 (Rosenbladt); EuGH v. 05.10.2012 – C-141/11, Rn. 32 (Hörnfelt); EuGH v. 08.09.2011 – C-297/10 u.a. (Sabine Hennigs/Eisenbahn-Bundesamt und Land Berlin/Alexander Mai), Rn. 98.
[41] Umfassende Darstellung bei Preis/Ulber, RdA 2013, S. 211 (212).
[42] EuGH v. 06.12.2012 – C-152/11, Rn. 96.
[43] BAG v. 19.10.2005 – 7 AZR 32/05, NZA 2006, 393 Rn. 16 unter Verweis auf BAG (GS) v. 07.11.1989 – GS 3/85, BAGE 63, 211; zustimmend ErfK/Kania, 16. Aufl. 2016, § 77 Rn. 36 ).
[44] Nur Taeger/Rose, BB 2016, 819, 828.
[45] Z.B. bereits BAG v. 26.08.2008 – 1 ABR 16/07, BAGE 127, 276.
[46] Taeger/Rose, BB 2016, 819, 828; Wybitul, ZD 2016, 203, 207.
[47] Wybitul/Sürup/Pötters, ZD 2015, S. 559 ff., 561; Wybitul, ZD, 2016, 203 ff.; Taeger/Rose, BB 2016, 819, 828, 830 f.
[48] Wybitul, ZD, 2016, 207 meint jedoch, die Anforderungen nach Art. 88 Abs. 2 DS-GVO gingen weit über die Anforderungen des BDSG hinaus.
[49] Auch dies ist aber durchaus im Einzelfall heikel, vgl. z.B. zur CGZP Problematik Schindele/Söhl, ArbRAktuell 2013, 63, 64 f.