Nachfolgend ein Beitrag vom 31.5.2017 von Düwell, jurisPR-ArbR 22/2017 Anm. 1
I. Unionsrechtliche Vorgaben
1. Die DSGVO
Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG1 hat unmittelbar geltendes Recht für alle Mitgliedstaaten der Europäischen Union geschaffen. Die Langfassung der Verordnung wird kürzer gefasst als Datenschutz-Grundverordnung (DSGVO) bezeichnet. Sie tritt nach einer über zweijährigen Übergangsfrist am 28.05.2018 in Kraft.
Ziel der DSGVO ist die Herstellung eines gleichwertigen Schutzniveaus bei der Verarbeitung von Daten in allen Mitgliedstaaten (Erwägungsgrund 10). Dazu hat die Union sich für die Handlungsform einer Verordnung entschieden, damit innerhalb der Union ein gleichmäßiges Datenschutzniveau für natürliche Personen gewährleistet ist (Erwägungsgrund 13). Der Erwägungsgrund 8 der DSGVO stellt klar, dass den Mitgliedstaaten eine nationale Regelung des Datenschutzes nicht verwehrt ist. Die Regelungskompetenz wird jedoch durch die Union eingeschränkt:
„Wenn in dieser Verordnung Präzisierungen oder Einschränkungen ihrer Vorschriften durch das Recht der Mitgliedstaaten vorgesehen sind, können die Mitgliedstaaten Teile dieser Verordnung in ihr nationales Recht aufnehmen, soweit dies erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen.“
Darüber hinaus sieht die DSGVO eine Reihe von Öffnungsklauseln für den nationalen Gesetzgeber vor. Das gilt insbesondere für die Datenverarbeitung im Beschäftigungskontext (Art. 88 DSGVO). Er erlaubt den Mitgliedstaaten, dass sie „spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses vorsehen.“
Art. 88 Abs. 2 DSGVO gibt vor, dass die nationalen Vorschriften umfassen sollen: „angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz.“
Die DSGVO enthält ferner konkrete, an die Mitgliedstaaten gerichtete Regelungsaufträge. Daraus ergibt sich ein gesetzlicher Anpassungsbedarf im nationalen Datenschutzrecht.
2. Die Datenschutz-Richtlinie für Polizei/Justiz
Die Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates2 verpflichtet die der Richtlinie unterfallenden Staaten bis zum 06.05.2018 die Rechts- und Verwaltungsvorschriften zu erlassen, die erforderlich sind, um dieser Richtlinie nachzukommen. Für diese Richtlinie ist die Kurzbezeichnung Datenschutz-Richtlinie für Polizei/Justiz gebräuchlich.
II. Die nationale Anpassung und Ergänzung
Die Bundesregierung hat im Februar 2017 den Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) in die gesetzgebenden Körperschaften eingebracht.3
Der Entwurf soll ein reibungsloses Zusammenspiel der DSGVO und der Datenschutz-Richtlinie für Polizei/Justiz mit dem stark ausdifferenzierten deutschen Datenschutzrecht sicherstellen. Dazu wird das bisherige Bundesdatenschutzgesetz (BDSG) durch ein neues Bundesdatenschutzgesetz abgelöst. Weiterer gesetzlicher Anpassungsbedarf wird hinsichtlich der bestehenden bereichsspezifischen Datenschutzregelungen des Bundes in Folge der Änderungen im allgemeinen Datenschutzrecht durch die DSGVO und das sie ergänzende neu gefasste BDSG gesehen. Um eine homogene Entwicklung des allgemeinen Datenschutzrechts zu gewährleisten, soll das neu gefasste BSDG auch für die Verarbeitung personenbezogener Daten im Rahmen von Tätigkeiten öffentlicher Stellen des Bundes Anwendung finden, die außerhalb des Anwendungsbereichs des Unionsrechts liegen, wie etwa die Datenverarbeitung durch das Bundesamt für Verfassungsschutz, den Bundesnachrichtendienst oder den Militärischen Abschirmdienst oder im Bereich des Sicherheitsüberprüfungsgesetzes.
Der federführende Innenausschuss hat in seiner Beschlussempfehlung am 25.04.20174 über 50 Änderungen vorgeschlagen. Darunter befanden sich keine, die unmittelbar die Verarbeitung von Beschäftigtendaten betrafen. Nach Maßgabe dieser Änderungen hat der Deutsche Bundestag am 27.04.2017 den Entwurf in zweiter und dritter Lesung als Gesetz beschlossen.5 Der Bundesrat hat auf seiner 957. Sitzung am 12.05.2017 zugestimmt.6 Mit einer baldigen Ausfertigung des Gesetzes ist zu rechnen.
III. Die Struktur des DSAnpUG-EU
Das Gesetz ist ein Artikelgesetz. Es besteht aus acht Artikeln. Art. 1 des Gesetzes enthält die Neufassung des BDSG, das für öffentliche Stellen des Bundes und der Länder (soweit nicht landesrechtliche Regelungen greifen) sowie für nichtöffentliche Stellen gilt. Art. 2 bis 6 enthalten Änderungen der Gesetze, die die Sicherheitsbehörden und das Artikel-10-Gesetz betreffen. Art. 7 enthält Regelungen zur Personalbewirtschaftung im Geschäftsbereich der Bundesdatenschutzbeauftragten und die Einfügung eines § 42b in das geltende BDSG. Die Einfügung soll den deutschen Aufsichtsbehörden schon vor der Anwendbarkeit der DSGVO am 25.05.2018 den Rechtsweg eröffnen. Die Klagemöglichkeit besteht:
• gegen einen Angemessenheitsbeschluss der Europäischen Kommission,
• gegen einen Beschluss über die Anerkennung von Standardschutzklauseln oder über die Allgemeingültigkeit von genehmigten Verhaltensregeln.
Hält die Aufsichtsbehörde die Entscheidung für rechtswidrig, so hat sie ihr Verfahren auszusetzen und einen Antrag auf gerichtliche Entscheidung zu stellen. Für das Verfahren ist der Verwaltungsrechtsweg zum BVerwG gegeben. Dieses entscheidet im ersten und letzten Rechtszug.
Art. 8 Abs. 1 ordnet das Inkrafttreten des Gesetzes zeitgleich mit dem Inkrafttreten der DSGVO am 25.05.2018 an. Ausgenommen ist Art. 7, der nach Art. 8 Abs. 2 bereits am Tage nach der Verkündung in Kraft tritt. So wird gewährleistet, dass das Klagerecht den Aufsichtsbehörden schon vor der Geltung der DSGVO zur Verfügung steht.
IV. Überblick über das neue BDSG
Teil 1 Gemeinsame Bestimmungen
Dieser Teil enthält folgende Regelungsschwerpunkte:
• Schaffung allgemeiner Rechtsgrundlagen für die Datenverarbeitung durch öffentliche Stellen und für die Videoüberwachung (§§ 3, 4 BDSG);
• Regelungen zu Datenschutzbeauftragten öffentlicher Stellen (§§ 5 bis 7 BDSG);
• Ausgestaltung des Amtes, der Aufgaben und Befugnisse der oder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit der unabhängigen Datenschutzaufsichtsbehörden (§§ 8 bis 16 BDSG);
• Festlegung der deutschen Vertretung im Europäischen Datenschutzausschuss; gemeinsamer Vertreter im Ausschuss ist die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit; als Stellvertreterin oder Stellvertreter wählt der Bundesrat die Leiterin oder den Leiter einer Aufsichtsbehörde eines Landes (§§ 17 bis 19 BDSG);
• Rechtsbehelfe (§§ 20, 21 BDSG).
Die gemeinsamen Bestimmungen finden keine Anwendung, soweit das Recht der Europäischen Union unmittelbar gilt, insbesondere die Verordnung (EU) 2016/679. Sie finden Anwendung im Anwendungsbereich der Richtlinie (EU) 2016/680 sowie für die Bereiche, die außerhalb des Unionsrechts liegen.
Teil 2 Durchführungsbestimmungen für Verarbeitungen zu Zwecken gemäß Artikel 2 der Verordnung (EU) 2016/679
Dieser Teil enthält folgende Regelungsschwerpunkte:
• Schaffung einer Rechtsgrundlage für die Verarbeitung besonderer Kategorien personenbezogener Daten (§ 22 BDSG);
• Festlegung der Zulässigkeitsvoraussetzungen für Verarbeitungen zu anderen Zwecken durch öffentliche Stellen (§ 23 BDSG) und durch nichtöffentliche Stellen (§ 24 BDSG) sowie für Datenübermittlungen durch öffentliche Stellen (§ 25 BDSG);
• Regelung weiterer besonderer Verarbeitungssituationen (§§ 26 bis 31 BDSG);
• Regelungen zu den Betroffenenrechten (§§ 32 bis 37 BDSG);
• Verhängung von Geldbußen bei Verstößen gegen die Verordnung (EU) 2016/679 (§§ 41, 43 BDSG).
Teil 3 Bestimmungen für Verarbeitungen zu Zwecken gemäß Artikel 1 Absatz 1 der Richtlinie (EU) 2016/680
Dieser Teil enthält folgende Regelungsschwerpunkte:
• Aussagen zu Rechtsgrundlagen der Verarbeitung, Zweckbindung und -änderung (§§ 47 bis 51 BDSG);
• Ausformung der Betroffenenrechte (§§ 55 bis 61 BDSG);
• Festlegung unterschiedlich akzentuierter Pflichten der Verantwortlichen
o Anforderungen an Auftragsverarbeitungsverhältnisse (§ 62 BDSG);
o Datensicherheit und Meldungen von Verletzungen des Schutzes personenbezogener Daten (§§ 64 bis 66 BDSG);
o Instrumente zur Berücksichtigung des Datenschutzes (Datenschutz- Folgenabschätzung, Anhörung der oder des Bundesbeauftragten, Verzeichnis von Verarbeitungstätigkeiten, Protokollierung, §§ 67 bis 70 und 76 BDSG);
o Berichtigungs- und Löschungspflichten (§ 75 BDSG);
• Datenübermittlungen an Stellen in Drittstaaten und an internationale Organisationen (§§ 78 bis 81 BDSG).
Teil 4 Besondere Bestimmungen für Verarbeitungen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten
Dieser Teil enthält im § 85 besondere Bestimmungen für Datenverarbeitungen im Rahmen von nicht in die Anwendungsbereiche der DSGVO und der Datenschutz-Richtlinie für Polizei/Justiz fallenden Tätigkeiten.
V. Die Ausgestaltung des Beschäftigtendatenschutzes
1. Zulässigkeit der Verarbeitung von Beschäftigtendaten
Kern des neuen Beschäftigtendatenschutzes ist § 26 BDSG, der die Überschrift trägt: „Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses“. Der Gesetzgeber übernimmt für die Verarbeitung einfacher personenbezogener Daten den bisherigen § 32 Abs. 1 Satz 1 BDSG in § 26 Abs. 1 Satz 1 BDSG n.F. und ergänzt die Regelung durch den Rechtfertigungsgrund der Erfüllung einer gesetzlichen oder kollektivrechtlichen Pflicht:
„Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.“
Das ist eine Klarstellung, die zu begrüßen ist.
Das Gesetz beseitigt auch die Unübersichtlichkeit, die im geltenden Recht für die Verarbeitung sensitiver Daten im Rahmen des Beschäftigungsverhältnisses auf die für alle Schuldverhältnisse geltende Spezialnorm des § 28 Abs. 6 Nr. 3 BSDG7 verweist. In § 26 Abs. 3 Satz 1 BDSG n.F. wird diese gesetzgeberische Fehlleistung korrigiert:
„Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.“
Zu diesen besonders zu schützenden Daten gehören:
• Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen,
• Daten, die genetischer, biometrischer Art sind und die Identifizierung eines Beschäftigten ermöglichen,
• Daten, die die Gesundheit des Beschäftigten betreffen,
• Daten, die Aussagen zum Sexualleben sowie zur sexuellen Orientierung enthalten.
Die Verarbeitung solcher sensibler Daten für Zwecke des Beschäftigungsverhältnisses ist nach § 26 Abs. 3 Satz 1 BDSG n.F. nur zulässig, soweit sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit des Sozialschutzes erforderlich ist. Zusätzlich darf kein Grund zu der Annahme bestehen, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.
Beispiel: Die bei den Einstellungsverhandlungen gestellte tätigkeitsneutrale Frage nach dem Vorliegen der Eigenschaft „schwerbehinderter Mensch“ ist danach unzulässig. Es handelt sich um ein besonders geschütztes Gesundheitsdatum i.S.v. § 26 Abs. 3 Satz 1 BDSG n.F. Weder ist dessen Kenntnis zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit des Sozialschutzes erforderlich, noch besteht kein Grund zu der Annahme, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Erforderlich könnte die Kenntnis allenfalls für die Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht sein, wenn wegen der Art oder Schwere der konkreten Behinderung die vorgesehene berufliche Tätigkeit ausgeschlossen wäre. Dazu wäre jedoch nur eine tätigkeitsbezogene Frage sinnvoll. Am Ausschluss der tätigkeitsneutralen Frage besteht stets ein schutzwürdiges Interesse der betroffenen behinderten Person, weil sie sich bei Zulassung der Frage einem hohen Diskriminierungsrisiko aussetzt.
2. Einschränkung der Einwilligung im Beschäftigungskontext
Entsprechend Art. 6 Abs. 1 Satz 1 Buchst. a der DSGVO wird in § 26 Abs. 2 BDSG n.F. die Zulässigkeit der Datenverarbeitung aufgrund der Einwilligung des Beschäftigten reguliert:
„Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht nach Art. 7 Abs. 3 der Verordnung (EU) 2016/679 in Textform aufzuklären.“
Ergänzt wird diese Regelung durch die für sensitive Daten geltende Bestimmung in § 26 Abs. 3 Satz 2 BDSG n.F.:
„Absatz 2 gilt auch für die Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten; die Einwilligung muss sich dabei ausdrücklich auf diese Daten beziehen.“
Vom DGB ist unter Hinweis auf den Erwägungsgrund 43 DSGVO kritisiert worden, „das Ungleichgewicht des/der strukturell abhängig Beschäftigten (müsse) noch stärker betont und die Annahme der Freiwilligkeit der Einwilligung deutlicher und weiter gehender definiert werden“8. Gefordert wurde: „Freiwilligkeit liegt (nur) vor, wenn die betroffene Person eine echte und freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.“9 Dieser Vorschlag ist nicht übernommen worden.
3. Kollektivvereinbarungen
Die Befugnis zur Regelung der Verarbeitung von Beschäftigtendaten aufgrund von Kollektivvereinbarungen, insbesondere Dienst- und Betriebsvereinbarungen, kann schon Art. 88 Abs. 1 DSGVO entnommen werden. § 26 Abs. 4 BDSG n.F. schafft eine übersichtliche Regelung, die im Interesse der besseren Lesbarkeit die unionsrechtliche Regelung in den Normtext einbezieht:
„Die Verarbeitung personenbezogener Daten, einschließlich besonderer Kategorien personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses, ist auf der Grundlage von Kollektivvereinbarungen zulässig. Dabei haben die Verhandlungspartner Artikel 88 Absatz 2 der Verordnung (EU) 2016/679 zu beachten.“
Betriebsvereinbarungen dürfen folglich weiterhin die Verarbeitung von Beschäftigtendaten erlauben, müssen dabei jedoch nach Art. 88 Abs. 2 DSGVO angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Beschäftigten umfassen. Insbesondere müssen sie ausreichende Regelungen enthalten, die die Transparenz der Verarbeitung sicherstellen. Daraus ist auch der Schluss zu ziehen, dass Betriebsvereinbarungen, die die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe zulassen, hinreichende Schutzmaßnahmen vorsehen müssen. Lassen Betriebsvereinbarungen Überwachungsmaßnahmen am Arbeitsplatz zu, müssen sie angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Beschäftigten umfassen. Eine Übergangsregelung für „Alt-Betriebsvereinbarungen“ gibt es nicht.10 Bereits abgeschlossene Betriebsvereinbarungen müssen darauf überprüft werden, ob sie den ab dem 25.05.2018 geltenden Anforderungen entsprechen.11
4. Aufklärung von Straftaten
Die bislang in § 32 Abs. 1 Satz 2 BDSG enthaltende Erlaubnisnorm ist nach § 26 Abs. 2 BDSG n.F. gewandert:
„Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.“
5. Klarstellung von Mitbestimmungsrechten
Die Unberührtklausel im bisherigen § 32 Abs. 3 BDSG ist nach § 26 Abs. 6 BDSG n.F. übernommen worden:
„Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt.“
6. Zulässigkeit nicht-automatisierter Datenverarbeitung
In § 26 Abs. 7 BDSG n.F. ist die bereits in § 32 Abs. 2 BDSG enthaltene Ausweitung des Geltungsbereichs des Beschäftigtendatenschutzes übernommen worden:
„Die Absätze 1 bis 6 sind auch anzuwenden, wenn personenbezogene Daten, einschließlich besonderer Kategorien personenbezogener Daten, von Beschäftigten verarbeitet werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“
1) ABl EU Nr. L 119 v. 04.05.2016, S. 1.
2) ABl EU Nr. L 119 v. 04.05.2016, S. 89.
3) Gesetzentwurf der Bundesregierung, BR-Drs. 110/17; Gesetzentwurf der Bundesregierung, BT-Drs. 18/11325.
4) BT-Drs. 18/12084.
5) BT-Plenarprotokoll – 18/231.
6) BR-Plenarprotokoll – 957.
7) Vgl. BAG, Beschl. v. 07.02.2012 – 1 ABR 46/10 – BAGE 140, 350.
8) Stellungnahme der DGB Abt. Recht v. 17.02.2017.
9) Stellungnahme der DGB Abt. Recht v. 17.02.2017.
10) Wybitul/Böhm/Ströbel, Bundestag verabschiedet neuen Beschäftigtendatenschutz: Das Wichtigste auf einen Blick in http://hoganlovells-blog.de/2017/04/27.
11) Wybitul/Böhm/Ströbel, Bundestag verabschiedet neuen Beschäftigtendatenschutz: Das Wichtigste auf einen Blick in http://hoganlovells-blog.de/2017/04/27.