News

Hinweisgeberschutz und das Recht auf Auskunft auf Kollisionskurs – Herausforderungen bei der parallelen Anwendung von Hinweisgeberschutz und Art. 15 DSGVO

Der Erlass und die Anwendbarkeit des deutschen Umsetzungsgesetzes zur Whistleblowing-Richtlinie (Richtlinie (EU) 2019/1937) ist endlich absehbar. Das bedeutet auch, dass die gesetzliche Pflicht zum Einrichten einer internen Meldestelle für sehr viele deutsche Unternehmen (alle mit in der Regel mindestens 250 Beschäftigten) immer näher rückt. Nur private Beschäftigungsgeber mit in der Regel zwischen 50 und 249 Beschäftigten haben noch bis zum 17.12.2023 Zeit. Breits vor Beschluss des finalen Textes für das deutsche Hinweisgeberschutzgesetz ist klar, dass ein Spannungsfeld zwischen datenschutzrechtlichen Betroffenenrechten einerseits und dem Schutz von Hinweisgebern und Geheimhaltungspflichten und Geheimhaltungsinteressen andererseits besteht. Insbesondere der schon länger in vielen Bereichen besonders praxisrelevante Auskunftsanspruch aus Art. 15 DSGVO ist nahezu prädestiniert für Konfliktpotenzial. Das hat auch schon ein bereits 2018 vom LAG Baden-Württemberg gefälltes Urteil (LAG Baden-Württemberg, Urt. v. 20.12.2018 – 17 Sa 11/18) verdeutlicht. Ein Unternehmen hatte sich damals ohne Erfolg nur sehr pauschal auf nicht konkret benannte Geheimhaltungsinteressen von Dritten berufen, die zum Ausschluss des Auskunftsanspruchs einer in einer Hinweismeldung erwähnten Person führen sollten.

Wenn Hinweisgeberschutz und der Auskunftsanspruch aufeinandertreffen, dann kann sowohl die Auskunft über die einzelnen Daten als auch die Erteilung der Informationen aus Art. 15 Abs. 1 li.t a – lit. h DSGVO in manchen Fällen ausgeschlossen sein. Im Kontext der gemäß Art. 15 Abs. 1 lit. g DSGVO zu erteilenden Auskünfte über „alle verfügbaren Informationen über die Herkunft der Daten“ stellt sich bspw. die Frage, ob ein in einer Hinweismeldung benannter Beschuldigter einen Anspruch auf Erhalt des Namens des Hinweisgebers hat. Wenn ein Unternehmen den Namen eines Hinweisgebers nicht mitteilen möchte oder nicht mitteilen darf, dann benötigt es beim Vorliegen eines Ersuchens nach Art. 15 DSGVO eine Ausnahme, um auf legitime Weise den Namen nicht mitzuteilen. Die bevorstehende Verabschiedung des Hinweisgeberschutzgesetzes und die schon jetzt allgemein hohe Praxisrelevanz des Art. 15 DSGVO bieten Anlass dazu, ausgewählte Aspekte von Auskunftsansprüchen im Kontext des Hinweisgeberschutzes in den Blick zu nehmen.

Ausnahmen vom Auskunftsanspruch mit besonderer Relevanz für den Bereich Hinweisgeberschutz

Weil der Auskunftsanspruch aus Art. 15 DSGVO auf Anspruchsebene erst einmal grundsätzlich für alle personenbezogenen Daten und alle zu einem Anspruchssteller vom Verantwortlichen durchgeführte Datenverarbeitungen gilt, ist der Anwendungsbereich des Anspruchs ungemein weit. Im Bereich Hinweisgeberschutz kann die Erteilung der eigentlich nach Art. 15 DSGVO geforderten Informationen aber mitunter Geheimhaltungspflichten verletzten oder die gesamte Untersuchung eines gemeldeten Vorfalls torpedieren. Umso wichtiger ist es für Unternehmen, eine nachvollziehbare Begründung dafür zu haben, warum im Bereich Hinweisgeberschutz der Auskunftsanspruch zu manchen Zeitpunkten und mit Blick auf manche Daten und weitere Informationen nicht besteht. Dass es zwischen den Betroffenenrechten aus der DSGVO und Vorgaben zum Hinweisgeberschutz zu Konflikten kommen kann, hat auch der Richtliniengeber in ErwGr. 84 Satz 3 der Whistleblowing-Richtlinie zum Ausdruck gebracht. In diesem Erwägungsgrund werden die Mitgliedstaaten nämlich dazu aufgefordert, „erforderlichenfalls die Ausübung bestimmter Datenschutzrechte betroffener Personen (…) durch gesetzgeberische Maßnahmen“ einzuschränken. Die geforderten Einschränkungen haben eine inhaltliche Komponente („soweit“) und eine zeitliche Komponente („solange“) und sollen demzufolge in Bezug auf einige Daten und Informationen soweit erforderlich und für eine bestimmte Zeit vorgesehen werden.

Bedauerlicherweise sieht es derzeit danach aus, als ob der deutsche Gesetzgeber keine speziell für den Bereich Hinweisgeberschutz vorgesehenen Ausnahmen von Betroffenenrechten erlassen wird. Gerade mit Blick auf die im BDSG und der DSGVO fehlenden Ausnahmen mit Bezug zu einer zeitlichen Komponente ist das misslich. Ausweislich der Gesetzesbegründung vertritt die Bundesregierung die folgende Ansicht: „Die notwendigen Ausnahmetatbestände haben indes bereits Eingang in das BDSG gefunden. Über die im Rahmen des § 29 Absatz 1 BDSG geforderte Interessenabwägung lässt sich der erforderliche Gleichlauf zwischen dem Vertraulichkeitsschutz und datenschutzrechtlichen Informationspflichten und Auskunftsrechten herstellen.“ Aus Sicht von im Anwendungsbereich des BDSG agierenden Unternehmen wird daher vor allem § 29 Abs. 1 Satz 2 BDSG als Ausnahme vom Auskunftsanspruch relevant sein. Daneben gibt es mit Art. 15 Abs. 4 DSGVO einen allgemeinen Abwägungsvorbehalt mit Rechten und Freiheiten anderer Personen. Ob Art. 15 Abs. 4 DSGVO auch auf die „Auskunft über diese personenbezogenen Daten“ aus Art. 15 Abs. 1 DSGVO oder nur auf die Kopie gemäß Abs. 3 der Vorschrift anwendbar ist, wird vielfach diskutiert. Der EDSA vertritt in den Guidelines 01/2022 jedenfalls in Bezug auf die Informationen nach Art. 15 Abs. 1 lit. a – lit. h DSGVO die Ansicht, dass Art. 15 Abs. 4 DSGVO nicht anwendbar ist. Folgt man dieser Auffassung, dann gibt es nur § 29 Abs. 1 Satz 2 BDSG als Ausnahme für die nach Art. 15 Abs. 1 lit. a – lit. h DSGVO im Kontext von Hinweisgeberschutz zu erteilenden Informationen.

Herausforderungen bei der parallelen Anwendbarkeit von Hinweisgeberschutzgesetz und DSGVO

Die parallele Anwendbarkeit von Vorgaben aus einem künftig zu verabschiedenden Hinweisgeberschutzgesetz und aus Art. 15 DSGVO, ist für Unternehmen mit großen Herausforderungen verbunden. Werden zu viele Daten oder Informationen mit der Auskunft erteilt, dann drohen Verstöße gegen Geheihaltungspflichten und Bußgelder oder etwaige Ansprüche von betroffenen Personen, zu denen Daten beauskunftet wurden. Werden zu wenig Daten und Informationen nach Art. 15 Abs. 1 lit. a – lit. h DSGVO mit der Auskunft erteilt, drohen ggf. Schadenersatzansprüche des Auskunftsstellers und Bußgelder. Umso wichtiger ist es, dass Unternehmen genau prüfen, ob sie in dem ohnehin schon allgemein sensiblen Themenbereich Hinweisgeberschutz eine Ausnahme für die nach Art. 15 DSGVO zu erteilenden Auskünfte haben.

a) Herausforderungen bei Erteilung der Auskunft über oder Kopie der eigentlichen Daten

In sehr vielen denkbaren Konstellationen, ist die Erteilung der Auskunft über die Daten (Art. 15 Abs. 1 DSGVO) oder auch die Erteilung einer Kopie der personenbezogenen Daten (Art. 15 Abs. 3 DSGVO) problematisch. Hierbei sei etwa daran zu denken, dass ein in einer Hinweismeldung Beschuldigter, der noch gar nichts von der Beschuldigung weiß, seinen Auskunftsanspruch geltend macht. Aber auch bei Wissen um das Vorhandensein einer Beschuldigung ist denkbar, dass eine Person mithilfe von Art. 15 DSGVO mehr Informationen erhalten möchte und dies aber gleichzeitig die Folgemaßnahmen des Unternehmens (bspw. Befragungen, Untersuchungen des Vorfalls etc.) beeinträchtigen kann. Zudem sind auch Auskunftsansprüche von in Hinweismeldungen erwähnten Zeugen und anderen Dritten vorstellbar. Darüber hinaus kann auch ein Hinweisgeber im Laufe von Untersuchungen auf die Idee kommen, seinen Auskunftsanspruch geltend zu machen und so mehr Informationen zum Verlauf der Untersuchung zu erhalten.

In allen der eben genannten Fälle müssen Unternehmen parallel die Vorgaben aus dem Hinweisgeberschutzgesetz und aus der DSGVO beachten. Aus dem künftigen Hinweisgeberschutzgesetz werden auf Unternehmen Geheimhaltungspflichten zukommen und es müssen auch die Folgemaßnahmen ergriffen werden können, ohne dass diese durch eine per Art. 15 DSGVO erteilte Auskunft unmöglich durchzuführen sind. Bei Anwendung von § 29 Abs. 1 Satz 2 BDSG müssen Unternehmen darauf achten, dass sie – anders als das beklagte Unternehmen im Urteil des LAG Baden-Württemberg – genau begründen können, welche Datenarten wegen wessen Geheimhaltungsinteressen oder zur ordnungsgemäßen Vornahme der Aufklärung und anderer Folgemaßnahmen nicht als Teil der Auskunft zur Verfügung gestellt werden können. Das Überwiegen der Geheimhaltungsinteressen werden Unternehmen ebenfalls nachweisen können müssen. Im aktuellen Entwurf des Hinweisgeberschutzgesetzes werden per Rechtsvorschriften nur solche Informationen als vertraulich eingestuft, aus denen die Identität von Hinweisgeber, beschuldigten oder anderen in Hinweismeldungen erwähnten Personen hervorgeht. In solchen Fällen können sich Unternehmen auf § 29 Abs. 1 Satz 2 BDSG in der Variante „nach einer Rechtsvorschrift geheim gehalten werden müssen“ berufen, ohne eine gesonderte Interessenabwägung vorzunehmen. Die Abwägung hat der Gesetzgeber dann schon in einer Rechtsvorschrift vorgenommen, innerhalb derer die Weitergabe von Informationen untersagt ist.

Im Regelfall wird allerdings nicht aus allen zu einem Auskunftsersuchenden im Zusammenhang mit einer Hinweismeldung vorliegenden Daten die Identität einer anderen Person hervorgehen. Deswegen ist im Bereich der Auskunft über die eigentlichen Daten und der Kopie der Daten auch vor allem § 29 Abs. 1 Satz 2 BDSG in der Variante „Informationen, die ihrem Wesen nach geheim gehalten werden müssen“ relevant. Hier muss genauso wie bei Art. 15 Abs. 4 DSGVO eine Interessenabwägung vorgenommen werden. Das Ergebnis der Abwägung sollte sowohl bei § 29 Abs. 1 Satz 2 BDSG als auch bei Art. 15 Abs. 4 DSGVO identisch sein. Auf der einen Seite der Waagschale muss dabei das legitime Interesse eines Auskunftsanspruchsberechtigten auf Erhalt der Daten zu seiner Person gewichtet werden. Auf der anderen Seite der Waagschale müssen das Geheimhaltungsinteresse und Risiken der Mitteilung von Daten für andere Personen und die ordnungsgemäße Untersuchung des gemeldeten Vorfalls gewichtet werden. Hierbei ist eine Kombination aus standardisiertem Vorgehen und einer Einzelfallbetrachtung ratsam. Einerseits kann man standardisiert festlegen, in welchen Fällen zu welchen Zeitpunkten der Untersuchung Auskunftsansprüche in Bezug auf welche Datenarten zu welchen Personengruppen (Hinweisgeber, Beschuldigter etc.) ausgeschlossen sind. Andererseits sollten im Einzelfall mögliche Besonderheiten mit bedacht werden. Dies kann am besten anhand eines Abgleichs der Annahmen für den Ausschluss des Auskunftsanspruchs mit den tatsächlichen Gegebenheiten im Einzelfall erfolgen. Bspw. in einer Konstellation mit einem Hinweisgeber und einem Beschuldigten ohne beteiligte Dritte kann mitunter jegliche Information zum Vorfall schon dazu führen, dass ein Beschuldigter weiß, wer der Hinweisgeber war und welcher Vorfall betroffen ist.

Es sollten in jedem Fall sowohl die inhaltliche (welche Daten können nicht als Teil der Auskunft bereitgestellt werden) als auch die zeitliche (wie lange können bestimmte Auskünfte nicht erteilt werden) Komponenten beachtet werden. In manchen Fällen ist es trotz laufender Untersuchungen unschädlich, bestimmte Auskünfte nach Art. 15 DSGVO zu erteilen. Wenn eine Auskunftserteilung nicht mehr Untersuchungen und andere Folgemaßnahmen gefährdet und bei Auskunftserteilung auch die Identität anderer Personen geheim gehalten werden kann, dann kann man sich im Regelfall nicht auf § 29 Abs. 1 Satz 2 BDSG berufen.

b) Herausforderungen bei Erteilung der Auskunft über die Herkunft der Daten

Bei Anwendung des Art. 15 Abs. 1 lit. g DSGVO im Kontext vom Hinweisgeberschutz wird offensichtlich erkennbar, in welch einem Zielkonflikt die Vorgaben aus der DSGVO einerseits und die Vorgaben zum Schutz der Identität von Hinweisgebern und anderen in Hinweismeldungen benannten Personen andererseits stehen. Während aus dem Datenschutzrecht heraus bei Erhebung der Daten von einer anderen Person für den Betroffenen Transparenz und Nachvollziehbarkeit geschaffen werden soll, verfolgt das künftig geltende Hinweisgeberschutzgesetz das Ziel, die Identität von Hinweisgebern und anderen Personen geheim zu halten. Würden solche Geheimhaltungspflichten nicht bestehen, dann wären Hinweisgeber und andere Beteiligte eher noch zögerlicher dabei, eine Hinweismeldung zu erstatten. Das ist jedoch nicht im Sinne der Ziele der Whistleblowing-Richtlinie.

Die Geheimhaltungspflichten gelten nicht nur in Bezug auf Hinweisgeber, sondern auch jegliche anderen Personen, die in Hinweismeldungen erwähnt werden. Konfliktpotenzial besteht vor allem in Fällen, in denen Beschuldigte oder Hinweisgeber bei laufenden Untersuchungen ihr Recht auf Auskunft ausüben. Dasselbe gilt auch in Bezug auf anderen in Hinweismeldungen erwähnte Personengruppen. Für Unternehmen stellt sich mit Blick auf Art. 15 Abs. 1 lit. g DSGVO daher die Frage, wie ein Unterlassen der Mitteilung des Namens eines Hinweisgebers oder Zeugens oder von anderen beteiligten Personen begründet werden kann, wenn diese die „Quelle“ der Daten zum Auskunftsersuchenden sind. Dies gilt insbesondere in Fällen, in denen die Mitteilung des Namens die weitere Untersuchung unmöglich machen würde oder gegen Geheimhaltungspflichten aus dem künftigen Hinweisgeberschutzgesetz verstoßen würde. Im aktuellen Entwurf ist in § 9 Abs. 1 vorgesehen, dass Hinweisgeber nur dann keinen speziell durch das Hinweisgeberschutzgesetz garantierten Schutz genießen, wenn sie vorsätzlich oder grob fahrlässig unrichtige Informationen über Verstöße melden. Aber selbst in diesen Fällen könnte im Einzelfall ein überwiegendes Geheimhaltungsinteresse bei Anwendung von § 29 Abs. 1 Satz 2 BDSG in der Variante „Informationen, die ihrem Wesen nach geheim gehalten werden müssen“ dazu führen, dass kein Anspruch auf Erhalt des Namens der „Quelle“ der Daten besteht. Lediglich bei komplett anonymen Hinweismeldungen – die laut dem aktuellen Entwurf jetzt doch möglich sein sollen – wäre denkbar, dass der Name des Hinweisgebers dem Unternehmen gar nicht bekannt ist und deswegen von vornherein nicht Bestandteil einer Auskunft werden könnte.

Wie bereits eingangs erwähnt, wendet der EDSA den Art. 15 Abs. 4 DSGVO nicht auf die Informationen nach Art. 15 Abs. 1 li.t a – lit. h DSGVO an. Im Tätigkeitsbericht der Hessischen Datenschutzbehörde zu 2021 wird auf Seite 112 erkennbar, dass zumindest diese Aufsichtsbehörde den Art. 15 Abs. 4 DSGVO aber wohl doch auch für Art. 15 Abs. 1 lit. g DSGVO gelten lässt. Die Behörde schreibt unter Berufung auf Art. 15 Abs. 4 DSGVO hierzu Folgendes: „Das Interesse der anderen Person an einer Geheimhaltung ihrer Identität als „Quelle“ überwiegt gegenüber dem Auskunftsinteresse jedenfalls solange, wie Anhaltspunkte dafürsprechen, dass die Offenbarung der Identität der Informantin oder des Informanten zu rechtlichen oder tatsächlichen Benachteiligungen der „Quelle“ führen könnten.“ Wenn man also den Art. 15 Abs. 4 DSGVO – entsprechend der Ansicht der hessischen Aufsichtsbehörde – auf Art. 15 Abs. 1 lit. g DSGVO anwenden möchte, gibt es hierfür eine Fundstelle.

Fernab dessen ist das Ergebnis bei Anwendung des § 29 Abs. 1 Satz 2 BDSG wohl in der Regel dasselbe wie bei Art. 15 Abs. 4 DSGVO. Wenn eine Rechtsvorschrift vorsieht, dass Informationen geheim gehalten werden müssen, dann muss man wie oben schon erwähnt – im Gegensatz zu bei Berufung auf Art. 15 Abs. 4 DSGVO – bei Anwendung von § 29 Abs. 1 Satz 2 BDSG keine Abwägung widerstreitender Interessen vornehmen. Es ist also nicht ersichtlich, warum Unternehmen sich das Leben schwerer machen sollten und anstelle von § 29 Abs. 1 Satz 2 BDSG in der Variante „Rechtsvorschrift“ an Art. 15 Abs. 4 DSGVO denken sollten. Denn im aktuellen Entwurf des Hinweisgeberschutzgesetzes ist in § 8 vorgesehen, dass Informationen zur Identität des Hinweisgebers, von Beschuldigten und sonstigen in Hinweismeldungen erwähnten Personen vertraulich zu wahren sind. Das gilt wegen eines fehlenden Ausnahmetatbestands im Hinweisgeberschutzgesetz auch für den Fall, dass ein Auskunftsersuchen nach Art. 15 DSGVO vorliegt und im Rahmen dessen „alle verfügbaren Informationen über die Herkunft der Daten“ zu erteilen sind. § 29 Abs. 1 Satz 2 BDSG ist in solchen Fällen die Ausnahme vom Anspruch aus Art. 15 Abs. 1 lit. g DSGVO. Im Ergebnis ist deswegen in der Regel der Name von Hinweisgebern, Beschuldigten und anderen Beteiligten nicht als Bestandteil der Auskunft nach Art. 15 Abs. 1 lit. g DSGVO mitzuteilen. Etwas anderes gilt bspw., wenn ein Hinweisgeber nicht durch das Hinweisgeberschutzgesetz geschützt wird, weil vorsätzlich oder grob fahrlässig falsche Informationen zu einem Vorfall gemeldet wurden. In solchen Konstellationen ist anhand einer Interessenabwägung zu ermitteln, ob die Ausnahme aus § 29 Abs. 1 Satz 2 BDSG in der Variante „Informationen, die ihrem Wesen nach geheim gehalten werden müssen“ das Unterlassen der Mitteilung des Namens rechtfertigt. Hierbei ist auch zu beachten, dass ein Betroffener nur dann gegenüber der „Quelle“ der Daten seine anderen eventuell gemäß der DSGVO bestehenden Ansprüche ausüben kann, wenn die Identität der Quelle bekannt ist.

Tipps für die Umsetzung der Vorgaben zum Hinweisgeberschutz und aus der DSGVO

Im Bereich Hinweisgeberschutz treffen Unternehmen nicht nur neue Pflichten aus dem künftig zu verabschiedenden Hinweisgeberschutzgesetz. Bei Überschneidungen der Anwendungsbereiche des Hinweisgeberschutzgesetzes und der DSGVO gibt es viele Herausforderungen. Im Bereich von Art. 15 DSGVO sollten Unternehmen vorab Kriterien für Interessenabwägungen festlegen und Standard-Fälle erkannt und geprüft haben. Hierzu bietet sich vor allem die ohnehin für Datenverarbeitungen im Zusammenhang mit einem Hinweisgebersystem zu erstellende Datenschutz-Folgenabschätzung an. Im Einzelfall sollte dann geprüft werden, ob die Annahmen für das Ausscheiden des Anspruchs mit denen übereinstimmen, die in dem betrachteten Einzelfall auch tatsächlich zutreffen. Sofern aus dem Hinweisgeberschutzgesetz heraus ein Verbot der Mitteilung bestimmter Informationen folgt, können Unternehmen ohne gesonderte Interessenabwägung die Auskunft – bspw. nach Art. 15 Abs. 1 lit. g DSGVO – gut begründet verweigern.

Wirtschaftsjurist, Counsel
Philipp Quiel, LL.M.
Wirtschaftsjurist, Counsel
Philipp Quiel, LL.M.

Zurück

News

Längere Speicherdauer für Daten bei Wahrnehmung der Aufgabe der internen Meldestelle durch Syndikusrechtsanwälte

Viele deutsche Unternehmen sind entweder schon jetzt oder spätestens ab Mitte Dezember 2023 dazu verpflichtet, eine interne Meldestelle für Hinweisgeber einzurichten. In einigen Fällen werden die Aufgaben der internen Meldestelle von Mitarbeitern aus der Rechtsabteilung wahrgenommen, die als Syndikusrechtsanwälte zugelassen sind. Geht bei einem solchen Unternehmen eine Hinweismeldung ein, so ist diese von den Syndikusrechtsanwälten der internen Meldestelle zu dokumentieren.

Generalanwalt am EuGH: Zur Geeignetheit von technisch organisatorischen Schutzmaßnahmen und dem Ersatz immateriellen Schadens bei einem Hackerangriff

Der Generalanwalt am EuGH hat am 27.4.2023 seine Schlussanträge im Verfahren C-340/21 über die Voraussetzungen des Ersatzes eines immateriellen Schadens und der Beweislast für die Geeignetheit von technisch organisatorischen Maßnahmen nach Art. 32 DSGVO (TOMs) im Zusammenhang mit einem Hackerangriff veröffentlicht. Das Verfahren weist einen für die Praxis wichtigen Bezug zu den Themen Datenschutz und IT Security auf, sodass die künftige Entscheidung des EuGH für die Umsetzung der TOMs durch den Verantwortlichen relevant sein wird.

Das EU-US Data Privacy Framework – neue Grundlage für den Datentransfer in die USA

Am 10. Juli 2023 hat die Europäische Kommission den Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework („DPF“) erlassen. Damit stellt die Kommission nach Art. 45 Abs. 1 DSGVO fest, dass die USA (genauer: jene Unternehmen, die sich dem Selbstzertifizierungsmechanismus des DPF unterwerfen und in der noch zu veröffentlichenden Liste genannt werden) ein angemessenes Schutzniveau bieten.

Cybersecurity-Beratung von Piltz Legal - Nun auch mit zertifiziertem IT-Sicherheitsbeauftragten

Aufgrund unserer digitalisierungsaffinen Beratungsstrategie haben wir bei Piltz Legal immer wieder viele Berührungspunkte mit technischen Fragestellungen und arbeiten mit Personen aus IT- und IT-Security-Abteilungen zusammen. Gerade im Kontext des IT- und IT-Sicherheitsrechts setzt die Beratung deshalb voraus, dass man im Zweifel „die Sprache“ auch der IT-Mitarbeiter nicht nur versteht, sondern auch spricht. Die ist unser Anspruch und Teil unserer Beratung.

 

Prof. Dr. Burghard Piltz & Dr. Carlo Piltz erneut ausgezeichnet

Wir freuen uns, dass Prof. Dr. Burghard Piltz & Dr. Carlo Piltz erneut vom Handelsblatt ausgezeichnet wurden.

Betriebsvereinbarungen müssen auf DSGVO-Konformität geprüft werden

Die Auswirkungen der EuGH-Urteils in der Rechtssache C-34/21 vom 30.3.2023 wurden mit Blick auf § 26 BDSG und das eventuell kommende neuen Beschäftigtendatenschutzgesetzes schon mehrfach thematisiert (hierzu eine aktuelle Handreichung der Hessischen Datenschutzbehörde). Jedoch wird bislang nur selten darauf eingegangen, dass das Urteil auch weitreichende Konsequenzen für Betriebsvereinbarungen haben kann.