Entschließung der DSK vom 29. April 2022: Die Zeit für ein Beschäftigtendatenschutzgesetz ist „Jetzt“!
Die voranschreitende technische Entwicklung ermöglicht eine immer weitergehende Überwachung von Beschäftigten. Deshalb forderte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) bereits 2014 die Schaffung eines Beschäftigtendatenschutzgesetzes.[1]
Die sich dynamisch entwickelnde Digitalisierung führt zu tiefgreifenden Veränderungen in der Arbeitswelt. Auch vor diesem Hintergrund hat das Bundesministerium für Arbeit und Soziales (BMAS) den interdisziplinären Beirat Beschäftigtendatenschutz eingesetzt, der seinen Abschlussbericht im Januar 2022 fertiggestellt hat. Auch er kommt darin zu dem Schluss, dass – neben weiteren Maßnahmen – ein eigenständiges Beschäftigtendatenschutzgesetz notwendig ist.[2]
Das europäische Recht ermöglicht es den Mitgliedstaaten spezifischere Regelungen für die Verarbeitung von Beschäftigtendaten zu schaffen. Eine erste Regelung hat der deutsche Gesetzgeber mit Erlass des § 26 Bundesdatenschutzgesetz (BDSG) getroffen und sich zugleich weitergehende Regelungen ausdrücklich vorbehalten (BT-Drs. 18/11325, S. 97). Die DSK begrüßt, dass sich im Koalitionsvertrag auf Bundesebene explizit zur Schaffung von Regelungen zum Beschäftigtendatenschutz bekannt wird (Koalitionsvertrag „Mehr Fortschritt wagen“, S. 17).
Die DSK ist der Auffassung, dass weitergehende Regelungen notwendig und überfällig sind: § 26 BDSG ist nicht hinreichend praktikabel, normenklar und sachgerecht[3]. Die Norm ist als Generalklausel formuliert und eröffnet weite Interpretationsspielräume. Dadurch führt sie zu Unklarheiten über die Zulässigkeit von Verarbeitungen personenbezogener Daten im Beschäftigungskontext für Arbeitgeberinnen und Arbeitgeber, Beschäftigte, Bewerberinnen und Bewerber, Personalvertretungen oder Gerichte.
Gerade im Zeitalter der Digitalisierung muss ein Beschäftigtendatenschutzgesetz hinreichend flexibel sein, ein hohes Datenschutzniveau gewährleisten sowie Rechtsklarheit für alle Akteure der Arbeitswelt ermöglichen. Zudem hat es insbesondere vor dem Hintergrund der Risiken technischer Entwicklungen einen angemessenen Ausgleich zwischen den grundrechtlich geschützten Interessen der Arbeitgeberinnen und Arbeitgeber sowie dem Recht auf informationelle Selbstbestimmung der Beschäftigten zu schaffen.
Daher fordert die DSK den Gesetzgeber auf, im Rahmen eines eigenständigen Beschäftigtendatenschutzgesetzes mindestens in den folgenden Bereichen gesetzliche Regelungen zu schaffen:
- Einsatz algorithmischer Systeme einschließlich Künstlicher Intelligenz (KI)
Die Grenzen und Rahmenbedingungen des Einsatzes algorithmischer Systeme im Beschäftigungs- und Bewerbungskontext sollten gesetzlich geregelt werden. Dabei spielt die Schwere, Tiefe und Breite der Grundrechtseingriffe, die der Einsatz algorithmischer Systeme im Beschäftigungskontext typischerweise verursacht, eine wesentliche Rolle. Zudem sind die Hambacher Erklärung der DSK[4]und die von der Datenethikkommission entwickelte „Kritikalitätspyramide“[5] zu berücksichtigen. Je höher die „Kritikalität“, also das Schädigungspotential eines algorithmischen Systems ist, desto strenger sind demnach die Anforderungen an dessen Einsatz. Im Beschäftigungs- und Bewerbungsverhältnis fallen zahlreiche aussagekräftige Daten an. Die Beschäftigten sowie Bewerberinnen und Bewerber sind wegen ihres Abhängigkeitsverhältnisses besonders schutzbedürftig. Zugleich sollen alle Beteiligten von den Chancen des KI-Einsatzes profitieren können. Korrektur- und Kontrollinstrumente wie Zulassungsverfahren, Vorabprüfungen, Antidiskriminierungs- oder Transparenzvorgaben sowie verbesserte Möglichkeiten der Rechtsdurchsetzung bedürfen daher gesetzlicher Normierung. Besonders eingriffsintensive Datenverarbeitungen sollten verboten werden: So fordert die DSK, auch im Beschäftigungskontext die Profilbildung als solche dem Verbot mit Erlaubnisvorbehalt des Artikels 22 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DS-GVO) zu unterstellen. Es hat sich gezeigt, dass Artikel 22 DS-GVO, dessen Wortlaut nur automatisierte Entscheidungen verbietet, im Beschäftigungskontext nicht ausreichend Schutz gewährleistet. Zum Schutz der betroffenen Bewerberinnen und Bewerber sowie Beschäftigten ist darüber hinaus regelmäßig der Einsatz von KI im Beschäftigungskontext auf der Grundlage einer Einwilligung zu untersagen.
- Grenzen der Verhaltens- und Leistungskontrolle
Die Grenzen der Verhaltens- und Leistungskontrolle bedürfen gesetzlicher Eckpunkte.
Heimliche Kontrollen im Beschäftigungsverhältnis oder Dauerüberwachungen des Verhaltens der Beschäftigten sollten grundsätzlich, im Betrieb ebenso wie im „Home Office“, verboten sein. Die Einzelfallkasuistik der arbeitsgerichtlichen Rechtsprechung und § 26 Absatz 1 Satz 2 BDSG sind im Rahmen einer normenklaren Ausnahmeregelung zu berücksichtigen. Dabei bedarf die Frage, ob § 26 Absatz 1 Satz 2 BDSG auch bei groben Pflichtverletzungen entsprechend Anwendung finden darf, einer gesetzlichen Klarstellung. Gesetzliche Eckpunkte, die z. B. auch Transparenz- und Zertifizierungsanforderungen für technische Anwendungen vorgeben können, sind insbesondere zu folgenden Aspekten nötig: Grenzen des Zugriffs auf und der Auswertung von E-Mails, Internetdienstdaten und weiteren IT-Daten der Beschäftigten durch Arbeitgeberinnen und Arbeitgeber, Regelungen zum Einsatz von Videoüberwachungssystemen sowie Grenzen des Einsatzes von Geoinformationssystemen (GPS-Tracking) und biometrischen Verfahren im Beschäftigungsverhältnis. Hintergrund ist, dass der Einsatz und die Auswertung von Informations- und Kommunikationstechnologie gerade bei computergebundenen Arbeitsplätzen weitreichende Möglichkeiten der Leistungsüberwachung der Beschäftigten eröffnet, die durch gesetzliche Regelungen beschränkt werden müssen. Auch die Auswertung und Analyse von mit GPS ausgestatteten Fahrzeugen hat hohes Überwachungspotential und bedarf einer Regulierung. Besonders schützenswerte persönliche Merkmale wie biometrische Daten von Beschäftigten dürfen nur in Ausnahmefällen, die der Gesetzgeber definieren sollte, für Zwecke des Beschäftigungsverhältnisses genutzt werden.
- Ergänzungen zu den Rahmenbedingungen der Einwilligung
Die DSK befürwortet eine Ergänzung der Regelungen des § 26 Absatz 2 BDSG unter Berücksichtigung der Leitlinien des Europäischen Datenschutzausschusses zur Einwilligung, wonach die Einwilligung im Beschäftigungsverhältnis wegen des bestehenden Machtungleichgewichts grundsätzlich kritisch zu sehen ist[6]. Zudem sollte die entsprechende Regelung die Formulierung von Regelbeispielen bzw. Bedingungen enthalten, in welchen Fällen Einwilligungen im Beschäftigungs- und Bewerbungsverhältnis unzulässig sein sollen.
- Regelungen über Datenverarbeitungen auf Grundlage von Kollektivvereinbarungen
Die DSK fordert den Gesetzgeber auf klarzustellen, ob und inwieweit mit Kollektivvereinbarungen einschließlich Betriebsvereinbarungen zusätzliche Rechtsgrundlagen für Datenverarbeitungen im Beschäftigungsverhältnis geschaffen werden können. Der Wortlaut von Artikel 88 Absatz 1 DS-GVO und § 26 Absatz 1 Satz 1 BDSG ist in dieser Hinsicht unklar.
- Regelungen zum Verhältnis zwischen § 22 und § 26 BDSG sowie zu Artikel 6 und 9 DS-GVO
Die DSK empfiehlt, eindeutige konkretisierende Regelungen für die Verarbeitung von besonderen Kategorien personenbezogener Daten, wie z. B. Gesundheitsdaten, im Beschäftigungsverhältnis zu schaffen. Denn die Anwendungsbereiche der Regelungen des § 22 BDSG und des § 26 BDSG überschneiden sich: Unklar ist, welcher der beiden Paragraphen den Vorrang genießt. Nach § 22 Absatz 1 Nummer 1 Buchstabe b BDSG ist beispielsweise die Verarbeitung besonderer Kategorien personenbezogener Daten „für die Beurteilung der Arbeitsfähigkeit des Beschäftigten“ zulässig. Dieser steht hinsichtlich des Anwendungsbereiches nicht im Einklang mit § 26 Absatz 3 BDSG, der die Verarbeitung besonderer Kategorien von personenbezogenen Daten im Beschäftigungsverhältnis an weitere Bedingungen knüpft.
Unklar ist darüber hinaus auch das Verhältnis zu Artikel 6 Absatz 1 und Artikel 9 Absatz 2 DS-GVO hinsichtlich der Frage, inwiefern auf die Ermächtigungsgrundlagen aus der DS-GVO zurückgegriffen werden darf, wenn die Verarbeitung gemäß § 26 BDSG ausgeschlossen ist. Es ist hinsichtlich der neu zu schaffenden bereichsspezifischen Rechtsgrundlagen daher notwendig, ihr Verhältnis zu den Rechtsgrundlagen der DS-GVO klarzustellen.
- Beweisverwertungsverbote
Die DSK befürwortet die gesetzliche Normierung eines Beweisverwertungsverbots für rechtswidrig verarbeitete Beschäftigtendaten. Diese Regelung sollte klare Kriterien für das Vorliegen eines Beweisverwertungsverbotes enthalten.
- Datenverarbeitung bei Bewerbungs- und Auswahlverfahren
Die DSK ist der Ansicht, dass gesetzliche Regelungen zur Datenverarbeitung in der Bewerbungsphase erforderlich sind. Geregelt werden sollten die Möglichkeiten und Grenzen der Verarbeitung von direkt bei Bewerberinnen und Bewerbern sowie bei Dritten oder aus öffentlich zugänglichen Quellen in Bezug auf die Bewerberinnen und Bewerber erhobenen Daten. Darunter fallen insbesondere die folgenden Themenkomplexe: Fragerecht der Arbeitgeberinnen und Arbeitgeber, Anforderung polizeilicher Führungszeugnisse, ärztliche Untersuchungen und Eignungstests, Datenerhebung aus Drittquellen (z. B. bei vorherigen Arbeitsstellen), Umgang mit sozialen Netzwerken oder das sog. Active Sourcing. Wesentlich sind in dieser Phase auch Regelungen zur Transparenz und klare Löschfristen.
[1] Entschließung vom 27. März 2014, abrufbar unter: https://www.datenschutzkonferenz-online.de/media/en/20140327_en_Beschaeftigtendatenschutzgesetz.pdf.
[2] Beiratsbericht, S. 6, 9, abrufbar unter: https://www.bmas.de/SharedDocs/Downloads/DE/Arbeitsrecht/ergebnisse-beirat-beschaeftigtendatenschutz.pdf;jsessionid=0A2E14EA95F12CD2F926680929CDC8C5.delivery2-master?__blob=publicationFile&v=3) .
[3] S. Stellungnahme der DSK zur Evaluierung des BDSG vom 2.3.2021, S. 8 f., abrufbar unter: https://www.datenschutzkonferenz-online.de/media/st/20210316_DSK_evaluierung_BDSG.pdf .
[4] Abrufbar unter: https://www.datenschutzkonferenz-online.de/media/en/20190405_hambacher_erklaerung.pdf .
[5] Gutachten der Datenethikkommission, S. 177 ff., abrufbar unter: https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/it-digitalpolitik/gutachten-datenethikkommission.pdf?__blob=publicationFile&v=6.
[6] Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.1, angenommen am 4. 5. 2020, Rdnr. 21 ff., abrufbar unter: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_de.pdf .
Die voranschreitende technische Entwicklung ermöglicht eine immer weitergehende Überwachung von Beschäftigten. Deshalb forderte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) bereits 2014 die Schaffung eines Beschäftigtendatenschutzgesetzes.[1]
Die sich dynamisch entwickelnde Digitalisierung führt zu tiefgreifenden Veränderungen in der Arbeitswelt. Auch vor diesem Hintergrund hat das Bundesministerium für Arbeit und Soziales (BMAS) den interdisziplinären Beirat Beschäftigtendatenschutz eingesetzt, der seinen Abschlussbericht im Januar 2022 fertiggestellt hat. Auch er kommt darin zu dem Schluss, dass – neben weiteren Maßnahmen – ein eigenständiges Beschäftigtendatenschutzgesetz notwendig ist.[2]
Das europäische Recht ermöglicht es den Mitgliedstaaten spezifischere Regelungen für die Verarbeitung von Beschäftigtendaten zu schaffen. Eine erste Regelung hat der deutsche Gesetzgeber mit Erlass des § 26 Bundesdatenschutzgesetz (BDSG) getroffen und sich zugleich weitergehende Regelungen ausdrücklich vorbehalten (BT-Drs. 18/11325, S. 97). Die DSK begrüßt, dass sich im Koalitionsvertrag auf Bundesebene explizit zur Schaffung von Regelungen zum Beschäftigtendatenschutz bekannt wird (Koalitionsvertrag „Mehr Fortschritt wagen“, S. 17).
Die DSK ist der Auffassung, dass weitergehende Regelungen notwendig und überfällig sind: § 26 BDSG ist nicht hinreichend praktikabel, normenklar und sachgerecht[3]. Die Norm ist als Generalklausel formuliert und eröffnet weite Interpretationsspielräume. Dadurch führt sie zu Unklarheiten über die Zulässigkeit von Verarbeitungen personenbezogener Daten im Beschäftigungskontext für Arbeitgeberinnen und Arbeitgeber, Beschäftigte, Bewerberinnen und Bewerber, Personalvertretungen oder Gerichte.
Gerade im Zeitalter der Digitalisierung muss ein Beschäftigtendatenschutzgesetz hinreichend flexibel sein, ein hohes Datenschutzniveau gewährleisten sowie Rechtsklarheit für alle Akteure der Arbeitswelt ermöglichen. Zudem hat es insbesondere vor dem Hintergrund der Risiken technischer Entwicklungen einen angemessenen Ausgleich zwischen den grundrechtlich geschützten Interessen der Arbeitgeberinnen und Arbeitgeber sowie dem Recht auf informationelle Selbstbestimmung der Beschäftigten zu schaffen.
Daher fordert die DSK den Gesetzgeber auf, im Rahmen eines eigenständigen Beschäftigtendatenschutzgesetzes mindestens in den folgenden Bereichen gesetzliche Regelungen zu schaffen:
- Einsatz algorithmischer Systeme einschließlich Künstlicher Intelligenz (KI)
Die Grenzen und Rahmenbedingungen des Einsatzes algorithmischer Systeme im Beschäftigungs- und Bewerbungskontext sollten gesetzlich geregelt werden. Dabei spielt die Schwere, Tiefe und Breite der Grundrechtseingriffe, die der Einsatz algorithmischer Systeme im Beschäftigungskontext typischerweise verursacht, eine wesentliche Rolle. Zudem sind die Hambacher Erklärung der DSK[4]und die von der Datenethikkommission entwickelte „Kritikalitätspyramide“[5] zu berücksichtigen. Je höher die „Kritikalität“, also das Schädigungspotential eines algorithmischen Systems ist, desto strenger sind demnach die Anforderungen an dessen Einsatz. Im Beschäftigungs- und Bewerbungsverhältnis fallen zahlreiche aussagekräftige Daten an. Die Beschäftigten sowie Bewerberinnen und Bewerber sind wegen ihres Abhängigkeitsverhältnisses besonders schutzbedürftig. Zugleich sollen alle Beteiligten von den Chancen des KI-Einsatzes profitieren können. Korrektur- und Kontrollinstrumente wie Zulassungsverfahren, Vorabprüfungen, Antidiskriminierungs- oder Transparenzvorgaben sowie verbesserte Möglichkeiten der Rechtsdurchsetzung bedürfen daher gesetzlicher Normierung. Besonders eingriffsintensive Datenverarbeitungen sollten verboten werden: So fordert die DSK, auch im Beschäftigungskontext die Profilbildung als solche dem Verbot mit Erlaubnisvorbehalt des Artikels 22 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DS-GVO) zu unterstellen. Es hat sich gezeigt, dass Artikel 22 DS-GVO, dessen Wortlaut nur automatisierte Entscheidungen verbietet, im Beschäftigungskontext nicht ausreichend Schutz gewährleistet. Zum Schutz der betroffenen Bewerberinnen und Bewerber sowie Beschäftigten ist darüber hinaus regelmäßig der Einsatz von KI im Beschäftigungskontext auf der Grundlage einer Einwilligung zu untersagen.
- Grenzen der Verhaltens- und Leistungskontrolle
Die Grenzen der Verhaltens- und Leistungskontrolle bedürfen gesetzlicher Eckpunkte.
Heimliche Kontrollen im Beschäftigungsverhältnis oder Dauerüberwachungen des Verhaltens der Beschäftigten sollten grundsätzlich, im Betrieb ebenso wie im „Home Office“, verboten sein. Die Einzelfallkasuistik der arbeitsgerichtlichen Rechtsprechung und § 26 Absatz 1 Satz 2 BDSG sind im Rahmen einer normenklaren Ausnahmeregelung zu berücksichtigen. Dabei bedarf die Frage, ob § 26 Absatz 1 Satz 2 BDSG auch bei groben Pflichtverletzungen entsprechend Anwendung finden darf, einer gesetzlichen Klarstellung. Gesetzliche Eckpunkte, die z. B. auch Transparenz- und Zertifizierungsanforderungen für technische Anwendungen vorgeben können, sind insbesondere zu folgenden Aspekten nötig: Grenzen des Zugriffs auf und der Auswertung von E-Mails, Internetdienstdaten und weiteren IT-Daten der Beschäftigten durch Arbeitgeberinnen und Arbeitgeber, Regelungen zum Einsatz von Videoüberwachungssystemen sowie Grenzen des Einsatzes von Geoinformationssystemen (GPS-Tracking) und biometrischen Verfahren im Beschäftigungsverhältnis. Hintergrund ist, dass der Einsatz und die Auswertung von Informations- und Kommunikationstechnologie gerade bei computergebundenen Arbeitsplätzen weitreichende Möglichkeiten der Leistungsüberwachung der Beschäftigten eröffnet, die durch gesetzliche Regelungen beschränkt werden müssen. Auch die Auswertung und Analyse von mit GPS ausgestatteten Fahrzeugen hat hohes Überwachungspotential und bedarf einer Regulierung. Besonders schützenswerte persönliche Merkmale wie biometrische Daten von Beschäftigten dürfen nur in Ausnahmefällen, die der Gesetzgeber definieren sollte, für Zwecke des Beschäftigungsverhältnisses genutzt werden.
- Ergänzungen zu den Rahmenbedingungen der Einwilligung
Die DSK befürwortet eine Ergänzung der Regelungen des § 26 Absatz 2 BDSG unter Berücksichtigung der Leitlinien des Europäischen Datenschutzausschusses zur Einwilligung, wonach die Einwilligung im Beschäftigungsverhältnis wegen des bestehenden Machtungleichgewichts grundsätzlich kritisch zu sehen ist[6]. Zudem sollte die entsprechende Regelung die Formulierung von Regelbeispielen bzw. Bedingungen enthalten, in welchen Fällen Einwilligungen im Beschäftigungs- und Bewerbungsverhältnis unzulässig sein sollen.
- Regelungen über Datenverarbeitungen auf Grundlage von Kollektivvereinbarungen
Die DSK fordert den Gesetzgeber auf klarzustellen, ob und inwieweit mit Kollektivvereinbarungen einschließlich Betriebsvereinbarungen zusätzliche Rechtsgrundlagen für Datenverarbeitungen im Beschäftigungsverhältnis geschaffen werden können. Der Wortlaut von Artikel 88 Absatz 1 DS-GVO und § 26 Absatz 1 Satz 1 BDSG ist in dieser Hinsicht unklar.
- Regelungen zum Verhältnis zwischen § 22 und § 26 BDSG sowie zu Artikel 6 und 9 DS-GVO
Die DSK empfiehlt, eindeutige konkretisierende Regelungen für die Verarbeitung von besonderen Kategorien personenbezogener Daten, wie z. B. Gesundheitsdaten, im Beschäftigungsverhältnis zu schaffen. Denn die Anwendungsbereiche der Regelungen des § 22 BDSG und des § 26 BDSG überschneiden sich: Unklar ist, welcher der beiden Paragraphen den Vorrang genießt. Nach § 22 Absatz 1 Nummer 1 Buchstabe b BDSG ist beispielsweise die Verarbeitung besonderer Kategorien personenbezogener Daten „für die Beurteilung der Arbeitsfähigkeit des Beschäftigten“ zulässig. Dieser steht hinsichtlich des Anwendungsbereiches nicht im Einklang mit § 26 Absatz 3 BDSG, der die Verarbeitung besonderer Kategorien von personenbezogenen Daten im Beschäftigungsverhältnis an weitere Bedingungen knüpft.
Unklar ist darüber hinaus auch das Verhältnis zu Artikel 6 Absatz 1 und Artikel 9 Absatz 2 DS-GVO hinsichtlich der Frage, inwiefern auf die Ermächtigungsgrundlagen aus der DS-GVO zurückgegriffen werden darf, wenn die Verarbeitung gemäß § 26 BDSG ausgeschlossen ist. Es ist hinsichtlich der neu zu schaffenden bereichsspezifischen Rechtsgrundlagen daher notwendig, ihr Verhältnis zu den Rechtsgrundlagen der DS-GVO klarzustellen.
- Beweisverwertungsverbote
Die DSK befürwortet die gesetzliche Normierung eines Beweisverwertungsverbots für rechtswidrig verarbeitete Beschäftigtendaten. Diese Regelung sollte klare Kriterien für das Vorliegen eines Beweisverwertungsverbotes enthalten.
- Datenverarbeitung bei Bewerbungs- und Auswahlverfahren
Die DSK ist der Ansicht, dass gesetzliche Regelungen zur Datenverarbeitung in der Bewerbungsphase erforderlich sind. Geregelt werden sollten die Möglichkeiten und Grenzen der Verarbeitung von direkt bei Bewerberinnen und Bewerbern sowie bei Dritten oder aus öffentlich zugänglichen Quellen in Bezug auf die Bewerberinnen und Bewerber erhobenen Daten. Darunter fallen insbesondere die folgenden Themenkomplexe: Fragerecht der Arbeitgeberinnen und Arbeitgeber, Anforderung polizeilicher Führungszeugnisse, ärztliche Untersuchungen und Eignungstests, Datenerhebung aus Drittquellen (z. B. bei vorherigen Arbeitsstellen), Umgang mit sozialen Netzwerken oder das sog. Active Sourcing. Wesentlich sind in dieser Phase auch Regelungen zur Transparenz und klare Löschfristen.
[1] Entschließung vom 27. März 2014, abrufbar unter: https://www.datenschutzkonferenz-online.de/media/en/20140327_en_Beschaeftigtendatenschutzgesetz.pdf.
[2] Beiratsbericht, S. 6, 9, abrufbar unter: https://www.bmas.de/SharedDocs/Downloads/DE/Arbeitsrecht/ergebnisse-beirat-beschaeftigtendatenschutz.pdf;jsessionid=0A2E14EA95F12CD2F926680929CDC8C5.delivery2-master?__blob=publicationFile&v=3) .
[3] S. Stellungnahme der DSK zur Evaluierung des BDSG vom 2.3.2021, S. 8 f., abrufbar unter: https://www.datenschutzkonferenz-online.de/media/st/20210316_DSK_evaluierung_BDSG.pdf .
[4] Abrufbar unter: https://www.datenschutzkonferenz-online.de/media/en/20190405_hambacher_erklaerung.pdf .
[5] Gutachten der Datenethikkommission, S. 177 ff., abrufbar unter: https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/it-digitalpolitik/gutachten-datenethikkommission.pdf?__blob=publicationFile&v=6.
[6] Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.1, angenommen am 4. 5. 2020, Rdnr. 21 ff., abrufbar unter: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_de.pdf .