Goodbye nationale Vorschriften zum Datenschutz?

Der EuGH stimmt den Abgesang auf § 26 BDSG und andere deutsche Normen an

Erste Einordnung: Worum geht es?

Die DSGVO enthält an mehreren Stellen sogenannte Öffnungsklauseln für die nationalen Gesetzgeber (sowie auch Kirchen und religiöse Vereinigungen oder Gemeinschaften). Je nach Art der Öffnungsklausel (siehe dazu „Hintergrund: Öffnungsklausel und Sonderregelungen“), ermöglichen diese die Konkretisierung der Regelungen der DSGVO. Von der Möglichkeit zur Konkretisierung der datenschutzrechtlichen Regelungen im Beschäftigtenkontext wollte Deutschland auf Bundes- und Landesebene Gebrauch machen und hat entsprechende Regelungen in § 26 BDSG, in § 23 HDSIG (die der EuGH-Entscheidung zu Grunde lag) und in anderen Landesdatenschutzgesetzen verabschiedet.

 

Der EuGH hat mit dem Urteil vom 30. März 2023 (Rs. C-34/21 –Volltext) diesen nationalen Regelungen zum Beschäftigtendatenschutz in der bisherigen Gestaltung den Boden unter den Füßen weggezogen. Nach den anzulegenden Maßstäben des EuGH hat dieser § 26 Abs. 1 Satz 1 BDSG faktisch für europarechtswidrig und unanwendbar erklärt. Damit hat der EuGH zugleich der Ansicht des BAG zur Europarechtskonformität des § 26 Abs. 1 Satz 1 BDSG (Beschluss vom 7. Mai 2019 – Az. 1 ABR 53/17 – Volltext, siehe insb. Rn. 47, 48) eine klare Absage erteilt. Das BAG hielt 2019 noch fest, dass die richtige Anwendung des Unionsrechts bei § 26 BDSG derart offenkundig sei, dass für vernünftige Zweifel kein Raum bliebe (acte claire). So kann sich ein Bundesgericht täuschen.

 

Hinweis: Der EuGH bezieht sich aufgrund des konkreten Sachverhalts auf § 23 HDSIG (Hessisches Datenschutz- und Informationsfreiheitsgesetz). Die Ausführungen gelten aber für den nahezu wortgleichen § 26 BDSG und vergleichbare Regelungen zum Beschäftigtendatenschutz in anderen Landesdatenschutzgesetzen.

 

Der EuGH hat dabei klargestellt, welche harten Spielregeln für derartige Konkretisierungen der DSGVO durch nationales Recht aus Art. 88 Abs.2 DSGVO folgen (Vorlagefrage 1) und welche Konsequenzen für die nationalen Regelungen drohen, wenn diese die Vorgaben der jeweiligen Öffnungsklausel nicht einhalten (Vorlagefrage 2). Aus dem Urteil lässt sich ableiten, dass weite Teile des § 23 HDSIG und damit auch des § 26 BDSG europarechtswidrig sind. Betroffen sind dabei insbesondere die vermeintlichen Rechtsgrundlagen in § 26 Abs. 1 Satz 1, Satz 2 BDSG und § 26 Abs. 3 BDSG (siehe dazu „Zusammenfassung und Bedeutung des Urteils“).

 

Für Verantwortliche kann die Umsetzung des Urteils zu einem erheblichen Prüf- und Anpassungsaufwand führen. Das gilt insbesondere für alle, die – abweichend von unserer Beratungslinie zu § 26 BDSG und vergleichbaren Vorschriften – bislang unzutreffend § 26 BDSG statt Art. 6 DSGVO als Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten herangezogen haben (siehe dazu „Was müssen Verantwortliche jetzt zur Umsetzung des Urteils machen?“).

 

Hintergrund: Öffnungsklausel und Sonderregelungen

 

Ziel der DSGVO ist es, das Datenschutzrecht in der Union zu vereinheitlichen (vgl. ErwG 7). In ihrem Regelungsbereich verdrängt die DSGVO also grundsätzlich nationale Regelungen, die auch das Datenschutzrecht regeln. Dies gilt nur dann nicht, wenn nationale Regelungen auf einer der zahlreichen Öffnungsklauseln in der DSGVO beruhen. Die Öffnungsklauseln setzen – wie durch das hier betrachtete EuGH-Urteil klargestellt – enge Grenzen für ergänzende Festlegungen im nationalen Datenschutzrecht.

 

Die DSGVO kennt dabei unterschiedliche Arten von Öffnungsklauseln, die sich wie folgt unterteilen lassen:

 

  • Obligatorische Öffnungsklauseln (Muss-Regelungen im nationalen Recht);

 

  • Fakultative Öffnungsklauseln (Kann-Regelungen im nationalen Recht); sowie

 

  • Öffnungsklauseln, welche die DSGVO modifizieren (z.B. Art. 8 Abs. 1 Satz 3 DSGVO), konkretisieren (z.B. Art. 88 DSGVO) oder ergänzen (vgl. Art. 37 Abs. 4 Satz 1 DSGVO).

 

Die der Entscheidung zu Grunde liegende Öffnungsklausel in Art. 88 DSGVO („Datenverarbeitung im Beschäftigungskontext“) ist eine fakultative Öffnungsklausel („Die Mitgliedstaaten können…“) eingeordnet werden, mittels der die Regelungen der DSGVO konkretisiert werden können („…spezifischere Vorschriften“). Während Art. 88 Abs. 1 DSGVO den Rahmen aufspannt, in dem konkretisierende Regelungen getroffen werden dürfen, regelt Art. 88 Abs. 2 DSGVO die Anforderungen, die eine entsprechende nationale Regelung zwingend erfüllen muss.

 

Auf Bundes- und Landesebene wollten die Gesetzgeber in Deutschland hiervon Gebrauch machen und haben § 26 BDSG und in § 23 HDSIG erlassen (zum Regelungsgehalt Beispiel des § 26 BDSG siehe den Absatz „Zusammenfassung und Bedeutung des Urteils“). § 26 Abs. 1 BDSG bzw. § 23 Abs. 1 HDSIG enthalten dabei Regelungen, welche der Konkretisierung von Art. 6 DSGVO anhand der mit einer Verarbeitung verfolgten Zwecke dienen sollten, hier für Zwecke des Beschäftigungsverhältnisses. Die Regelungen wurden daher z.T. als eigene „Rechtsgrundlagen“ für die Verarbeitung personenbezogener Daten interpretiert, die anstelle der Rechtsgrundlagen aus Art. 6 DSGVO zur Anwendung kommen sollten. Diese Auslegung der Charakteristik der Regelungen war jedoch bereits durch das EuGH-Urteil vom 22. Juni 2021 (Rs. C-439/19 – Volltext) überholt (siehe dort Rn. 99, bekräftigt durch EuGH, Urteil v. 01.08.2022 – Rs. C-184/20 – Volltext, dort Rn. 62; zum Urteil ausführlich unser Beitrag: Der EuGH zapft den „hidden layer“ an: Wenn aus „normalen“ Daten sensible Daten werden).

 

Daher ist es auch ständige Beratungslinie von KREMER RECHTSANWÄLTE, dass sich die Rechtsgrundlage für eine Datenverarbeitung ausschließlich aus Art. 6 DSGVO ergeben kann. Die nationalen Regelungen und auch Betriebsvereinbarungen (siehe unten) ergänzen oder konkretisieren stets nur die Rechtsgrundlagen in Art. 6 DSGVO, ersetzen diese aber nicht. Dies gilt – auch abseits des Beschäftigtenkontexts – für die Verarbeitung sensibler Daten i.S. der Artt. 9, 10 DSGVO (zuletzt ebenfalls bestätigt durch das das EuGH-Urteil vom 01.08.2022 (Rechtssache C-184/20, Volltext, dort Rn. 62; vgl. dazu auch unseren Website-Beitrag).

 

Sachverhalt: Ausgangsfall und Vorlagefragen

 

Hinweis: Der Sachverhalt kann den Eindruck erwecken, das Urteil habe einen sehr begrenzten Anwendungsbereich bezogen auf landesrechtliche Regelungen für Schulen. Der EuGH hat anhand des konkreten Sachverhalts und der Vorlagefragen jedoch allgemeine Aussagen getroffen, die für jeden Verantwortlichen, der Beschäftigtendaten verarbeitet, von hoher Relevanz sind. Demzufolge gelten die Ausführungen des EuGH zu § 23 HDSIG in vollem Umfang auch für § 26 BDSG.

 

Anlass des Urteils war ein Streit zwischen dem Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium (kurz „Hauptpersonalrat“) und dem Hessischen Kultusministerium über die Rechtsgrundlage für Livestreamunterricht über Videokonferenzsysteme an Schulen in Hessen. Während die Verarbeitung der Daten der Schüler auf eine Einwilligung gestützt wurde (je nach Alter die Einwilligung der Eltern oder der Schüler selbst), wurden vom Lehrpersonal keine Einwilligungen eingeholt. Für die Verarbeitung der Lehrerdaten wurde stattdessen auf § 23 Abs. 1 Satz 1 HDSIG abgestellt, wonach diese „für Zwecke des Beschäftigungsverhältnisses“ zulässig ist, sofern „dies (…) nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung (…) erforderlich ist.“

 

Hinweis: § 26 BDSG ist insoweit wortgleich.

 

Der Hauptpersonalrat sah hingegen ein Einwilligungserfordernis für die Datenverarbeitung. Das mit dem Streit zwischen dem Hauptpersonalrat und dem Hessischen Kultusministerium befasste Verwaltungsgericht Wiesbaden hegte Zweifel an der Europarechtskonformität der Regelung in § 23 Abs. 1 Satz 1 HDSIG mit Blick auf Art. 88 Abs. 2 DSGVO und legte dem EuGH zwei Vorlagefragen vor:

 

1. Ist Art. 88 Abs. 1 DSGVO dahin auszulegen, dass eine Rechtsvorschrift, um eine spezifischere Vorschrift zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext im Sinne des Art. 88 Abs. 1 DSGVO zu sein, die an solche Vorschriften nach Art. 88 Abs. 2 DSGVO gestellten Anforderungen erfüllen muss?

 

2. Kann eine nationale Norm, wenn diese die Anforderungen nach Art.88 Abs.2 DSGVO offensichtlich nicht erfüllt, trotzdem noch anwendbar bleiben?

Kernaussagen des EuGH: Goodbye Deutschland?

 

Der EuGH trifft sowohl zur ersten als auch zur zweiten Vorlagefrage weitreichende Aussagen. Der EuGH hatte zunächst zu beurteilen, wann eine Vorschrift als „spezifischere Vorschrift“ i.S.d. Art. 88 Abs. 1 DSGVO gelten kann. Zudem musste der EuGH beurteilen, welche Folgen sich daraus ergeben, wenn eine Vorschrift nicht den Anforderungen aus Art. 88 Abs. 1, 2 DSGVO entsprechen.

Zur ersten Vorlagefrage: „Spezifischere Vorschrift“ i.S.d. Art. 88 Abs. 1 DSGVO?

 

Der EuGH hält zunächst fest, dass „spezifischere“ Vorschriften i.S.d. Art. 88 Abs. 1 DSGVO nur solche Vorschriften meint, die einen zu dem geregelten Bereich (in Art. 88 Abs. 1 DSGVO: Beschäftigungskontext) passenden Regelungsgehalt haben, der sich von den allgemeinen Regeln der DSGVO unterscheidet (Rz. 61).

 

Daneben hält der EuGH fest, dass die spezifischere Vorschrift immer auch den Anforderungen aus Art. 88 Abs. 2 DSGVO genügen muss. Damit muss die nationale Regelung „geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person“ treffen. Die nationalen Regelungen müssen die geeigneten und besonderen Maßnahmen insbesondere in Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und Überwachungssysteme am Arbeitsplatz ausgestalten (Rz. 64 ff). Eine nationale Vorschrift, die die Anforderungen an Art. 88 Abs. 2 DSGVO nicht erfüllt, kann keine „spezifischere Vorschrift“ i.S.d. Art. 88 Abs. 1 DSGVO sein (Rz. 75).

 

Vorschriften, die sich in der Wiederholung der in Art. 6 DSGVO und in Art. 5 DSGVO genannten Bedingungen und Grundsätze erschöpfen, seien keine „spezifischeren Vorschriften“, auch wenn die Mitgliedstaaten bei Wahrnehmung der durch die Öffnungsklausel eingeräumten Befugnis Teile der DSGVO in nationales Recht überführen, um die Kohärenz zu wahren oder aber nationale Vorschriften verständlicher zu machen (Rz. 71).

 

Zur zweiten Vorlagefrage: Unanwendbarkeit „nicht-spezifischer“ Vorschriften?

 

Sofern das nationale Gericht unter Anwendung der vom EuGH definierten Kriterien (1. Vorlagefrage) zu dem Schluss kommt, dass die nationale Regelung die in Art. 88 DSGVO vorgegebenen Voraussetzungen und Grenzen nicht beachtet, ist das nationale Gericht dazu verpflichtet, die nationale Regelung unangewendet zu lassen (Rz. 82), im konkreten Fall also § 23 HDSIG. Denn die europäischen Vorgaben bewirken, dass allein durch ihr Inkrafttreten jede entgegenstehende Bestimmung des nationalen Rechts ohne Weiteres unanwendbar wird (Rz. 83).

 

Eine Ausnahme sieht der EuGH nur dann, wenn die Vorschrift gemäß Art. 6 Abs. 3 DSGVO eine Festlegung der Rechtsgrundlagen aus Art. 6 Abs. 1 Satz 1 Buchst. c DSGVO (rechtliche Pflicht) oder Art. 6 Abs. 1 Satz 1 Buchst. e DSGVO (öffentliches Interesse oder Ausübung öffentlicher Gewalt) betrifft, die den Anforderungen der DSGVO genügt (Rz. 89). Art. 6 Abs. 3 DSGVO gibt für derartige Verarbeitungen vor, dass

 

  • die Verarbeitung auf dem Unionsrecht oder dem Recht des Mitgliedstaates, dem der Verantwortliche unterliegt, gründet, sowie

 

  • der Zweck der Verarbeitung in dieser Rechtsgrundlage festgelegt sein muss oder hinsichtlich der Verarbeitung gemäß Art. 6 Abs. 1 Satz 1 Buchst. e DSGVO für die Erfüllung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

 

Prüfungsmaßstab für nationale Vorschriften

 

Festzuhalten ist, dass der EuGH ein detailliertes Prüfschema für datenschutzrechtliche Vorschriften im nationalen Recht sowie für Betriebsvereinbarungen aufzeigt, welche die DSGVO ergänzen oder konkretisieren sollen. Nationale datenschutzrechtliche Vorschriften müssen sich an folgendem Prüfungsmaßstab messen lassen:

 

  1. Ist die nationale Vorschrift/die Betriebsvereinbarung eine bloße Wiederholung der Vorgaben aus der DSGVO, insbesondere der Grundsätze aus Art. 5 Abs. 1 DSGVO und der Rechtsgrundlagen aus Art. 6 Abs. 1, Abs. 4 DSGVO? Falls ja, darf die nationale Vorschrift nicht angewendet werden.
  2. Hält die nationale Vorschrift/die Betriebsvereinbarung die sich aus der Öffnungsklausel für die jeweilige nationale Vorschrift ergebenden Anforderungen ein (vgl. dazu z.B. die Kriterien aus Art. 88 Abs 2 DSGVO oben)? Falls ja, darf diese angewendet werden. Falls nein, dann darf die Betriebsvereinbarung nicht angewendet werden; für die nationale Vorschrift weiter:
  3. Erfüllt die nationale Vorschrift die Anforderungen aus Art. 6 Abs. 3 DSGVO und darf deshalb angewendet werden? Falls nein, darf die nationale Vorschrift nicht angewendet werden.

Was der EuGH sonst noch deutlich macht…

 

Der EuGH hält erneut fest, dass Art. 6 DSGVO eine „erschöpfende und abschließende Liste“ der Rechtsgrundlagen für die Durchführung von Verarbeitungstätigkeiten vorsieht (Rz. 70). Diese Rechtsprechung ist auch konsequent mit Blick auf die bisherige Rechtsprechung des EuGH (vgl. EuGH, Urt. v. 22.06.2021 – C-439/19, Rn. 99 und die Ausführungen in unserem Website-Beitrag).

 

Zusammenfassung und Bedeutung des Urteils

 

Der EuGH hat erhebliche Zweifel, dass § 23 HDSIG den Anforderungen aus Art. 88 Abs. 2 DSGVO entspricht. Am Ende obliegt nun dem vorlegenden Verwaltungsgericht Wiesbaden die abschließende Beurteilung, ob § 23 HDSIG mit den Grundsätzen aus Art. 88 Abs. 2 DSGVO vereinbar ist und falls nein, ob und wie weit § 23 HDSIG den Anforderungen aus Art. 6 Abs. 3 DSGVO entspricht. Wird dies durch das nationale Gericht verneint, findet § 23 HDSIG keine Anwendung mehr und der Sachverhalt beurteilt sich ausschließlich anhand der DSGVO. Dabei ist die Entscheidung des Verwaltungsgerichts Wiesbaden angesichts der unmissverständlichen Ansagen des EuGH vorhersehbar: Weite Teile des § 23 HDSIG sind unanwendbar.

 

Keine Einzelfallentscheidung und Bedeutung des Urteils für § 26 BDSG

 

Doch das Urteil des EuGH hat keinesfalls nur Bedeutung für den konkreten Einzelfall bezogen auf § 23 HDSIG. Eine Vielzahl nationaler Normen steht nun auf dem Prüfstand, ob die in dem Urteil des EuGH aufgestellten Anforderungen an die mitgliedstaatliche Vorschrift eingehalten sind – allen voran: § 26 BDSG. § 26 BDSG ist nämlich fast wortgleich zu § 23 HDSIG.

 

§ 26 BDSG berücksichtigt bislang (von wenigen Ausnahmen abgesehen) nicht die Vorgaben des Art. 88 Abs. 2 DSGVO. Unter Anwendung der im EuGH-Urteil dargelegten Grundsätze, lässt sich festhalten, dass sicher nur § 26 Abs. 2 BDSG (Vorgaben für Einwilligungen im Beschäftigungskontext) konkrete Vorgaben für Einwilligungserklärungen im Beschäftigungskontext macht, die besondere Schutzbedürftigkeit von Beschäftigten in den Fokus nimmt und das Machtungleichgewicht zwischen Arbeitgeber und Arbeitnehmer berücksichtigt. Die übrigen Vorschriften genügen – ausgenommen § 26 Abs. 8 BDSG – nicht den Anforderungen aus dem EuGH-Urteil.

Rechtsgrundlagen im Beschäftigungsverhältnis

 

Für das Beschäftigungsverhältnis steht damit fest, dass sich Verantwortliche, die Verarbeitungen oder Betriebsvereinbarungen bislang auf eine der Festlegungen in § 26 BDSG als Rechtsgrundlage gestützt haben, umdenken müssen. Insbesondere vor dem Hintergrund, dass der EuGH selbst nur Art. 6 DSGVO als erschöpfende Liste von Rechtsgrundlagen betrachtet (siehe oben), sollte im Beschäftigungsverhältnis der Bezugspunkt zu Art. 6 DSGVO beachtet werden. Verantwortliche müssen sich daher auf eine der Rechtsgrundlagen aus Art. 6 DSGVO stützen und ggf. konkretisierend § 26 BDSG hinzuzitieren, sofern hierfür noch Raum bleibt (siehe oben). Im Beschäftigungsverhältnis können sich Verantwortliche auf folgende Rechtsgrundlagen abhängig von der jeweiligen konkreten Verarbeitungstätigkeit stützen:

 

Rechtsgrundlagen Schema

Bedeutung des Urteils für weitere nationale Vorschriften

 

Das Urteil des EuGH entfaltet allerdings nicht nur Bedeutung für § 23 HDSIG oder den nahezu gleichlautenden § 26 BDSG. Auch weitere nationale Vorschriften stehen auf dem Prüfstand und müssen daran gemessen werden, ob sie die Vorgaben aus der jeweils passenden Öffnungsklausel (siehe oben) einhalten. Falls dies nicht der Fall ist, dürfen auch weitere Vorschriften nur dann angewendet werden, wenn sie die Anforderungen aus Art. 6 Abs. 3 DSGVO einhalten (z.B. §§ 67 ff. SGB X; § 10 HinSchG-E).

 

Bedeutung und Aussicht: Kirchlicher Datenschutz

 

Das EuGH-Urteil wirkt sich auch auf die kirchlichen Datenschutzgesetze aus. Diese müssen nicht nur die Anforderungen aus Art. 91 DSGVO beachten, sondern auch berücksichtigen, dass das Wiederholungsverbot nicht unterlaufen wird.

 

Was müssen Verantwortliche jetzt zur Umsetzung des Urteils machen?

 

Wer für eine Verarbeitung personenbezogener Daten (allein oder gemeinsam) Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist, sollte zur Umsetzung des Urteils anlässlich der Verarbeitung von Beschäftigtendaten insbesondere folgende Maßnahmen ergreifen:

 

  • Rechtsgrundlage: § 26 BDSG ist genauso wie auch § 23 HDSIG keine Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Art. 6 Abs. 1 Satz 1 Buchst. a bis Buchst. f DSGVO und Art. 6 Abs. 4 DSGVO enthalten eine abschließende Auflistung der Rechtsgrundlagen. Verantwortliche sollten sich daher für jede Verarbeitung stets auf einen der Rechtmäßigkeitstatbestände in Art. 6 DSGVO stützen und die nationale Vorschrift allenfalls durch ein „i.V.m.“ hinzuzitieren. Hinweis: Dies entspricht der ständigen Beratungslinie von KREMER RECHTSANWÄLTE, sodass unsere Mandanten, die diese Linie schon heute umgesetzt haben, keine Mehraufwände durch das Urteil haben werden.

 

  • Verzeichnis von Verarbeitungstätigkeiten („VVT“): Sollte im VVT noch § 26 BDSG als Rechtsgrundlage für Verarbeitungstätigkeiten mit Beschäftigtenbezug geführt werden, ist für die Verarbeitungstätigkeit zu prüfen, auf Basis welcher Rechtsgrundlage i.S.d. Art. 6 DSGVO eine Rechtfertigung erfolgen kann. Dies sollte dokumentiert werden.

 

  • Übermittlung: Im Falle von Datenübermittlungen zwischen zwei eigenständig Verantwortlichen („C2C“) oder zwischen gemeinsam Verantwortlichen („JC“), die zuvor auf § 26 Abs. 1. S. 1 BDSG gestützt wurden (beispielsweise bei konzernweiten Verarbeitungen von Beschäftigtendaten), sollte geprüft werden, ob hier ebenfalls Art. 6 DSGVO als Rechtsgrundlage greift.

 

  • Interessenabwägungen: Sofern die Verarbeitungstätigkeit zukünftig auf Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO gestützt wird, ist zu beachten, dass eine Interessenabwägung zwischen den berechtigten Interessen des Verantwortlichen oder eines Dritten und den gegenläufigen, schutzwürdigen Interessen der betroffenen Person durchgeführt und dokumentiert werden muss (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO).

    Hinweis: Sofern Sie die Bewertung automatisiert und toolgestützt vornehmen möchten, sprechen Sie uns gerne auf unser Legal Tech Tool zur Durchführung und Dokumentation von Interessenabwägungen an.

     

  • Datenschutzinformationen für Beschäftigte: Auch die bestehenden Datenschutzhinweise sollten geprüft werden, ob diese noch auf § 26 BDSG als eigenständige Rechtsgrundlage Bezug nehmen. Ist dies der Fall, sind die Datenschutzinformationen für Beschäftigte zu überarbeiten. Sprechen Sie uns gerne an.

 

  • Einwilligungserklärungen: Einwilligungserklärungen, die bislang ausschließlich auf § 26 Abs. 2BDSG gestützt worden sind, sind zu überarbeiten, sodass diese Art. 6 Abs. 1 Satz 1 Buchst. a DSGVO ausweisen (ggf. i.V.m. § 26 Abs. 2 BDSG). Bereits eingeholte Einwilligungserklärungen von Beschäftigten sollten nach Anpassung der Einwilligungserklärungen erneut eingeholt werden, weil die alten Einwilligungserklärungen wegen der falschen Angabe zur Rechtsgrundlage sehr wahrscheinlich unwirksam sein werden.

 

Betriebsvereinbarungen: Betriebsvereinbarungen müssen geprüft werden, ob diese ebenfalls den Anforderungen aus Art. 88 Abs. 1 und Abs. 2 DSGVO entsprechen. Zudem sollte geprüft werden, ob Betriebsvereinbarungen auf § 26 Abs. 4 BDSG fußen, der aufgrund der Missachtung von Art. 88 Abs. 2 BDSG nicht den Vorgaben des EuGH entsprechen dürfe. Auch Betriebsvereinbarungen konkretisieren Art. 6 DSGVO lediglich, ersetzen diesen aber nicht.

 

Wer sind Ihre Ansprechpartner?

 

Wenn Sie von uns im Datenschutzrecht bereits beraten werden, wenden Sie sich bitte an die/den Sie betreuende/n Rechtsanwältin/Rechtsanwalt – zu unserem Team hier entlang. Nehmen Sie anderenfalls jederzeit gerne Kontakt zu einer/einem der folgenden Ansprechpartner/innen auf:

 

  • Sascha Kremer, Fachanwalt für IT-Recht, externer Datenschutzbeauftragter (TÜV), sascha.kremer@kremer- recht.de;

 

  • Kristof Kamm, Rechtsanwalt, Datenschutzbeauftragter (TÜV), kristof.kamm@kremer-recht.de;

 

 

  • Jana Lenzen, LL.M., Rechtsanwältin, Datenschutzbeauftragte (TÜV), jana.lenzen@kremer-recht.de;

 

 

 

  • Nadine Schneider, Rechtsanwältin, Datenschutzbeauftragte (TÜV), nadine.schneider@kremer-recht.de.

 

Alle Ansprechpartner/innen erreichen Sie unter 0221/27141874 und persönlich in der Brückenstraße 21, 50667 Köln (Innenstadt) oder in unserer Zweigstelle in der Kölner Straße 78, 41812 Erkelenz.