Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
EuGH 09.02.2023 - C-453/21
EuGH 09.02.2023 - C-453/21 - URTEIL DES GERICHTSHOFS (Sechste Kammer) - 9. Februar 2023 ( *1) - „Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 38 Abs. 3 – Datenschutzbeauftragter – Verbot der Abberufung wegen der Erfüllung seiner Aufgaben – Erfordernis der funktionellen Unabhängigkeit – Nationale Regelung, nach der die Abberufung eines Datenschutzbeauftragten bei Fehlen eines wichtigen Grundes verboten ist – Art. 38 Abs. 6 – Interessenkonflikt – Kriterien“
Leitsatz
In der Rechtssache C-453/21
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Bundesarbeitsgericht (Deutschland) mit Entscheidung vom 27. April 2021, beim Gerichtshof eingegangen am 21. Juli 2021, in dem Verfahren
X-FAB Dresden GmbH & Co. KG
gegen
FC
erlässt
DER GERICHTSHOF (Sechste Kammer)
unter Mitwirkung des Kammerpräsidenten P. G. Xuereb sowie des Richters A. Kumin und der Richterin I. Ziemele (Berichterstatterin),
Generalanwalt: J. Richard de la Tour,
Kanzler: D. Dittert, Referatsleiter,
aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 26. September 2022,
unter Berücksichtigung der Erklärungen
der X-FAB Dresden GmbH & Co. KG, vertreten durch Rechtsanwalt S. Leese,
von FC, vertreten durch R. Buschmann und T. Heller als Prozessbevollmächtigte,
der deutschen Regierung, vertreten durch J. Möller, D. Klebs und P.-L. Krüger als Bevollmächtigte,
des Europäischen Parlaments, vertreten durch O. Hrstková Šolcová und B. Schäfer als Bevollmächtigte,
des Rates der Europäischen Union, vertreten durch T. Haas und K. Pleśniak als Bevollmächtigte,
der Europäischen Kommission, vertreten durch A. Bouchagiar, K. Herrmann und H. Kranenborg als Bevollmächtigte,
aufgrund des nach Anhörung des Generalanwalts ergangenen Beschlusses, ohne Schlussanträge über die Rechtssache zu entscheiden,
folgendes
Entscheidungsgründe
Urteil
Das Vorabentscheidungsersuchen betrifft die Auslegung und die Gültigkeit von Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2018, L 127, S. 2) (im Folgenden: DSGVO) sowie die Auslegung von Art. 38 Abs. 6 dieser Verordnung.
Es ergeht im Rahmen eines Rechtsstreits zwischen der X-FAB Dresden GmbH & Co. KG (im Folgenden: X-FAB) und FC, der bei ihr beschäftigt ist, wegen der von X-FAB ausgesprochenen Abberufung von FC von seiner Stellung als Datenschutzbeauftragter.
Rechtlicher Rahmen
Unionsrecht
In den Erwägungsgründen 10 und 97 der DSGVO heißt es:
Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der [Europäischen] Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden. …
…
… Derartige Datenschutzbeauftragte sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.“
Art. 37 („Benennung eines Datenschutzbeauftragten“) Abs. 5 und 6 DSGVO lautet:
„(5) Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.
(6) Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.“
Art. 38 („Stellung des Datenschutzbeauftragten“) Abs. 3, 5 und 6 DSGVO sieht vor:
„(3) Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters.
…
(5) Der Datenschutzbeauftragte ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden.
(6) Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.“
Art. 39 („Aufgaben des Datenschutzbeauftragten“) DSGVO lautet:
„(1) Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:
Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
Zusammenarbeit mit der Aufsichtsbehörde;
Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.
(2) Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.“
Deutsches Recht
BDSG
§ 6 („Stellung“) Abs. 4 des Bundesdatenschutzgesetzes vom 20. Dezember 1990 (BGBl. 1990 I S. 2954) in der vom 25. Mai 2018 bis zum 25. November 2019 (BGBl. 2017 I S. 2097) geltenden Fassung (im Folgenden: BDSG) lautet:
„Die Abberufung der oder des Datenschutzbeauftragten ist nur in entsprechender Anwendung des § 626 des Bürgerlichen Gesetzbuchs [in der Fassung der Bekanntmachung vom 2. Januar 2002 (BGBl. 2002 I S. 42, berichtigt im BGBl. 2002 I S. 2909 und BGBl. 2003 I S. 738)] zulässig. Die Kündigung des Arbeitsverhältnisses ist unzulässig, es sei denn, dass Tatsachen vorliegen, welche die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Nach dem Ende der Tätigkeit als Datenschutzbeauftragter ist die Kündigung des Arbeitsverhältnisses innerhalb eines Jahres unzulässig, es sei denn, dass die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist.“
§ 38 („Datenschutzbeauftragter nichtöffentlicher Stellen“) BDSG sieht vor:
„(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c [DSGVO] benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. …
(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.“
Bürgerliches Gesetzbuch
§ 626 („Fristlose Kündigung aus wichtigem Grund“) BGB bestimmt:
„(1) Das Dienstverhältnis kann von jedem Vertragsteil aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist gekündigt werden, wenn Tatsachen vorliegen, auf Grund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalles und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung des Dienstverhältnisses bis zum Ablauf der Kündigungsfrist oder bis zu der vereinbarten Beendigung des Dienstverhältnisses nicht zugemutet werden kann.
(2) Die Kündigung kann nur innerhalb von zwei Wochen erfolgen. Die Frist beginnt mit dem Zeitpunkt, in dem der Kündigungsberechtigte von den für die Kündigung maßgebenden Tatsachen Kenntnis erlangt. …“
Ausgangsverfahren und Vorlagefragen
FC ist seit dem 1. November 1993 bei X-FAB beschäftigt.
Er übt in dieser Gesellschaft die Aufgaben des Betriebsratsvorsitzenden aus und ist daher teilweise von der Arbeit freigestellt. Zudem übt er das Amt des stellvertretenden Vorsitzenden des Gesamtbetriebsrats aus, der für drei in Deutschland ansässige Unternehmen des Konzerns, dem X-FAB angehört, gebildet wurde.
Mit Wirkung vom 1. Juni 2015 wurde FC von X-FAB und ihrer Muttergesellschaft sowie von deren anderen in Deutschland ansässigen Tochtergesellschaften jeweils gesondert zum Datenschutzbeauftragten bestellt. Nach den Angaben des vorlegenden Gerichts wurde mit dieser parallelen Bestellung von FC zum Datenschutzbeauftragten aller dieser Unternehmen das Ziel verfolgt, einen konzerneinheitlichen Datenschutzstandard zu erreichen.
Auf Ersuchen des Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit (Deutschland) beriefen X-FAB und die in Rn. 12 des vorliegenden Urteils genannten Unternehmen FC mit Schreiben vom 1. Dezember 2017 mit sofortiger Wirkung als Datenschutzbeauftragten ab. Mit getrennten Schreiben vom 25. Mai 2018 wiederholten diese Unternehmen diesen Schritt vorsorglich auf der Grundlage von Art. 38 Abs. 3 Satz 2 DSGVO, die inzwischen anwendbar geworden war, und verwiesen dabei auf betriebsbedingte Gründe des Konzerns, zu dem X-FAB gehört.
Die von FC vor den deutschen Gerichten erhobene Klage ist auf die Feststellung gerichtet, dass er nach wie vor Datenschutzbeauftragter von X-FAB sei. Diese hat die Auffassung vertreten, dass die Gefahr eines Interessenkonflikts bestehe, wenn FC zugleich Datenschutzbeauftragter und Betriebsratsvorsitzender sei, weil diese beiden Ämter nicht miteinander vereinbar seien. Es gebe daher einen wichtigen Grund, der es rechtfertige, FC von seiner Stellung als Datenschutzbeauftragter abzuberufen.
Die Vorinstanzen gaben der Klage von FC statt. Mit ihrer beim Bundesarbeitsgericht (Deutschland), dem vorlegenden Gericht, eingelegten Revision begehrt X-FAB die Abweisung dieser Klage.
Das vorlegende Gericht führt aus, dass der Erfolg der Revision von der Auslegung des Unionsrechts abhänge. Insbesondere stelle sich zum einen die Frage, ob Art. 38 Abs. 3 Satz 2 DSGVO einer Regelung eines Mitgliedstaats entgegenstehe, die die Abberufung eines Datenschutzbeauftragten strengeren Voraussetzungen unterwerfe, als sie im Unionsrecht vorgesehen seien, und, falls ja, ob diese Bestimmung auf einer ausreichenden Ermächtigungsgrundlage beruhe. Sollte der Gerichtshof der Auffassung sein, dass die Voraussetzungen, von denen das BDSG die Abberufung abhängig mache, mit dem Unionsrecht vereinbar seien, müsse festgestellt werden, ob die Aufgaben des Betriebsratsvorsitzenden und des Datenschutzbeauftragten desselben Unternehmens von ein und derselben Person wahrgenommen werden könnten oder ob dies zu einem Interessenkonflikt im Sinne von Art. 38 Abs. 6 Satz 2 DSGVO führe.
Unter diesen Umständen hat das Bundesarbeitsgericht beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
Ist Art. 38 Abs. 3 Satz 2 DSGVO dahin auszulegen, dass er einer Bestimmung des nationalen Rechts, wie hier § 38 Abs. 1 und Abs. 2 in Verbindung mit § 6 Abs. 4 Satz 1 BDSG, entgegensteht, die die Abberufung des Datenschutzbeauftragten durch den Verantwortlichen, der sein Arbeitgeber ist, an die dort genannten Voraussetzungen knüpft, unabhängig davon, ob sie im Wege der Erfüllung seiner Aufgaben erfolgt?
Falls die erste Frage bejaht wird:
Steht Art. 38 Abs. 3 Satz 2 DSGVO einer solchen Bestimmung des nationalen Rechts auch dann entgegen, wenn die Benennung des Datenschutzbeauftragten nicht nach Art. 37 Abs. 1 DSGVO verpflichtend ist, sondern nur nach dem Recht des Mitgliedstaats?
Falls die erste Frage bejaht wird:
Beruht Art. 38 Abs. 3 Satz 2 DSGVO auf einer ausreichenden Ermächtigungsgrundlage, insbesondere soweit er Datenschutzbeauftragte erfasst, die in einem Arbeitsverhältnis zum Verantwortlichen stehen?
Falls die erste Frage verneint wird:
Liegt ein Interessenkonflikt im Sinne von Art. 38 Abs. 6 Satz 2 DSGVO vor, wenn der Datenschutzbeauftragte zugleich das Amt des Vorsitzenden des in der verantwortlichen Stelle gebildeten Betriebsrats innehat? Bedarf es für die Annahme eines solchen Interessenkonflikts einer besonderen Aufgabenzuweisung innerhalb des Betriebsrats?
Zu den Vorlagefragen
Zur ersten Vorlagefrage
Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 38 Abs. 3 Satz 2 DSGVO dahin auszulegen ist, dass er einer nationalen Regelung entgegensteht, nach der ein bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigter Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann, auch wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhängt.
Nach ständiger Rechtsprechung sind bei der Auslegung von Unionsvorschriften nicht nur ihr Wortlaut entsprechend ihrem Sinn nach dem gewöhnlichen Sprachgebrauch, sondern auch ihr Zusammenhang und die Ziele zu berücksichtigen, die mit der Regelung, zu der sie gehören, verfolgt werden (Urteil vom 22. Juni 2022, Leistritz, C-534/20, EU:C:2022:495, Rn. 18 und die dort angeführte Rechtsprechung).
Was als Erstes den Wortlaut der in Rede stehenden Bestimmung betrifft, so darf nach Art. 38 Abs. 3 Satz 2 DSGVO „[d]er Datenschutzbeauftragte … von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden“.
Insoweit hat der Gerichtshof in seinem Urteil vom 22. Juni 2022, Leistritz (C-534/20, EU:C:2022:495, Rn. 20 und 21), nachdem er zunächst festgestellt hat, dass in der DSGVO die Begriffe „abberufen“, „benachteiligt“ und „wegen der Erfüllung seiner Aufgaben“ aus Art. 38 Abs. 3 Satz 2 nicht definiert werden, ausgeführt, dass erstens nach dem gewöhnlichen Sprachgebrauch das Verbot für den Verantwortlichen oder den Auftragsverarbeiter, einen Datenschutzbeauftragten abzuberufen oder zu benachteiligen, bedeutet, dass der Datenschutzbeauftragte vor jeder Entscheidung zu schützen ist, mit der sein Amt beendet würde, durch die ihm ein Nachteil entstünde oder die eine Sanktion darstellte.
Eine solche Entscheidung könnte aber in der vom Arbeitgeber getroffenen Maßnahme der Abberufung eines Datenschutzbeauftragten liegen, die zur Folge hätte, dass der Datenschutzbeauftragte von seinen Aufgaben bei dem Verantwortlichen oder seinem Auftragsverarbeiter entbunden würde.
Zweitens gilt, wie der Gerichtshof ebenfalls festgestellt hat, Art. 38 Abs. 3 Satz 2 DSGVO gemäß Art. 37 Abs. 6 DSGVO gleichermaßen für Datenschutzbeauftragte, die Beschäftigte des Verantwortlichen oder des Auftragsverarbeiters sind, und für diejenigen, die ihre Aufgaben auf der Grundlage eines mit dem Verantwortlichen oder dem Auftragsverarbeiter geschlossenen Dienstvertrags erfüllen, so dass Art. 38 Abs. 3 Satz 2 DSGVO im Verhältnis zwischen einem Datenschutzbeauftragten und einem Verantwortlichen oder einem Auftragsverarbeiter unabhängig von der Art des sie verbindenden Beschäftigungsverhältnisses gilt (Urteil vom 22. Juni 2022, Leistritz, C-534/20, EU:C:2022:495, Rn. 23 und 24).
Drittens wird mit der letztgenannten Bestimmung eine Grenze gezogen, mit der die Abberufung eines Datenschutzbeauftragten aus Gründen, die sich auf die Erfüllung seiner Aufgaben beziehen, verboten wird; zu diesen Aufgaben gehört gemäß Art. 39 Abs. 1 Buchst. b DSGVO insbesondere die Überwachung der Einhaltung der Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten (vgl. in diesem Sinne Urteil vom 22. Juni 2022, Leistritz, C-534/20, EU:C:2022:495, Rn. 25).
Was als Zweites das mit Art. 38 Abs. 3 Satz 2 DSGVO verfolgte Ziel betrifft, ist erstens darauf hinzuweisen, dass nach dem 97. Erwägungsgrund der DSGVO die Datenschutzbeauftragten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können sollten. Diese Unabhängigkeit muss es ihnen notwendigerweise ermöglichen, diese Aufgaben im Einklang mit dem Ziel der DSGVO auszuüben, die, wie sich aus ihrem zehnten Erwägungsgrund ergibt, namentlich darauf abzielt, innerhalb der Union ein hohes Datenschutzniveau für natürliche Personen zu gewährleisten und zu diesem Zweck für eine unionsweit gleichmäßige und einheitliche Anwendung der Vorschriften zum Schutz der Grundrechte und Grundfreiheiten dieser Personen bei der Verarbeitung personenbezogener Daten zu sorgen (Urteil vom 22. Juni 2022, Leistritz, C-534/20, EU:C:2022:495, Rn. 26 und die dort angeführte Rechtsprechung).
Zweitens ergibt sich das in Art. 38 Abs. 3 Satz 2 DSGVO genannte Ziel, die unabhängige Stellung des Datenschutzbeauftragten zu gewährleisten, auch aus Art. 38 Abs. 3 Satz 1 und Satz 3 DSGVO, wonach der Datenschutzbeauftragte keine Anweisungen bezüglich der Ausübung seiner Aufgaben erhält und unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters berichtet, sowie aus Art. 38 Abs. 5, wonach der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden ist (Urteil vom 22. Juni 2022, Leistritz, C-534/20, EU:C:2022:495, Rn. 27).
Mit Art. 38 Abs. 3 Satz 2 DSGVO, der den Datenschutzbeauftragten vor jeder Entscheidung im Zusammenhang mit der Erfüllung seiner Aufgaben schützt, mit der sein Amt beendet würde, durch die ihm ein Nachteil entstünde oder die eine Sanktion darstellte, soll demnach im Wesentlichen die funktionelle Unabhängigkeit des Datenschutzbeauftragten gewahrt und damit die Wirksamkeit der Bestimmungen der DSGVO gewährleistet werden (Urteil vom 22. Juni 2022, Leistritz, C-534/20, EU:C:2022:495, Rn. 28).
Als Drittes wird, wie der Gerichtshof ebenfalls entschieden hat, diese Auslegung durch den Regelungszusammenhang der Bestimmung und insbesondere durch die Rechtsgrundlage bestätigt, auf der der Unionsgesetzgeber die DSGVO erlassen hat (Urteil vom 22. Juni 2022, Leistritz, C-534/20, EU:C:2022:495, Rn. 29).
Laut der Präambel der DSGVO wurde diese nämlich auf der Grundlage von Art. 16 AEUV erlassen. Nach Art. 16 Abs. 2 AEUV erlassen das Europäische Parlament und der Rat der Europäischen Union gemäß dem ordentlichen Gesetzgebungsverfahren Vorschriften zum einen über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union sowie durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen, und zum anderen über den freien Datenverkehr (Urteil vom 22. Juni 2022, Leistritz, C-534/20, EU:C:2022:495, Rn. 30).
Insoweit geht es bei der Festlegung von Vorschriften zum Schutz eines bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigten Datenschutzbeauftragten vor Abberufung nur insoweit um den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, als diese Vorschriften darauf abzielen, die funktionelle Unabhängigkeit des DSB gemäß Art. 38 Abs. 3 Satz 2 DSGVO zu wahren (vgl. in diesem Sinne Urteil vom 22. Juni 2022, Leistritz, C-534/20, EU:C:2022:495, Rn. 31).
Daraus folgt, dass es jedem Mitgliedstaat freisteht, in Ausübung seiner vorbehaltenen Zuständigkeit besondere, strengere Vorschriften für die Abberufung eines Datenschutzbeauftragten vorzusehen, sofern diese mit dem Unionsrecht und insbesondere mit den Bestimmungen der DSGVO, vor allem Art. 38 Abs. 3 Satz 2 DSGVO, vereinbar sind (vgl. in diesem Sinne Urteil vom 22. Juni 2022, Leistritz, C-534/20, EU:C:2022:495, Rn. 34).
Insbesondere darf ein strengerer Schutz die Verwirklichung der Ziele der DSGVO nicht beeinträchtigen. Dies wäre aber der Fall, wenn dieser Schutz jede durch einen Verantwortlichen oder einen Auftragsverarbeiter ausgesprochene Abberufung eines Datenschutzbeauftragten verböte, der nicht mehr die für die Erfüllung seiner Aufgaben gemäß Art. 37 Abs. 5 DSGVO erforderliche berufliche Qualifikation besitzt oder seine Aufgaben nicht im Einklang mit der DSGVO erfüllt (vgl. in diesem Sinne Urteil vom 22. Juni 2022, Leistritz, C-534/20, EU:C:2022:495, Rn. 35).
Insoweit ist daran zu erinnern, dass die DSGVO, wie in Rn. 25 des vorliegenden Urteils ausgeführt worden ist, darauf abzielt, innerhalb der Union ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten, und dass der Datenschutzbeauftragte zur Verwirklichung dieses Ziels seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können muss.
Ein strengerer Schutz des Datenschutzbeauftragten, der seine Abberufung verhindern würde, wenn er aufgrund eines Interessenkonflikts seine Aufgaben nicht oder nicht mehr in vollständiger Unabhängigkeit wahrnehmen könnte, würde die Verwirklichung dieses Ziels beeinträchtigen.
Es ist Sache des nationalen Gerichts, sicherzustellen, dass besondere Vorschriften wie die in Rn. 31 des vorliegenden Urteils genannten mit dem Unionsrecht und insbesondere mit den Bestimmungen der DSGVO vereinbar sind.
Nach alledem ist auf die erste Frage zu antworten, dass Art. 38 Abs. 3 Satz 2 DSGVO dahin auszulegen ist, dass er einer nationalen Regelung nicht entgegensteht, nach der ein bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigter Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann, auch wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele dieser Verordnung nicht beeinträchtigt.
Zur zweiten und zur dritten Frage
Angesichts der Antwort auf die erste Frage brauchen die zweite und die dritte Frage nicht beantwortet zu werden.
Zur vierten Frage
Mit seiner vierten Frage möchte das vorlegende Gericht im Wesentlichen wissen, unter welchen Voraussetzungen das Vorliegen eines „Interessenkonflikts“ im Sinne von Art. 38 Abs. 6 DSGVO festgestellt werden kann.
Was als Erstes den Wortlaut der fraglichen Bestimmung betrifft, ist darauf hinzuweisen, dass nach Art. 38 Abs. 6 DSGVO „[d]er Datenschutzbeauftragte andere Aufgaben und Pflichten wahrnehmen [kann]. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.“
Somit ergibt sich aus dem Wortlaut dieser Bestimmung erstens, dass die Wahrnehmung der Aufgaben des Datenschutzbeauftragten und die Wahrnehmung anderer Aufgaben beim Verantwortlichen oder seinem Auftragsverarbeiter nach der DSGVO grundsätzlich nicht unvereinbar sind. Art. 38 Abs. 6 dieser Verordnung sieht nämlich ausdrücklich vor, dass der Datenschutzbeauftragte mit der Wahrnehmung anderer Aufgaben und Pflichten als denen betraut werden kann, die ihm nach Art. 39 DSGVO obliegen.
Zweitens müssen der Verantwortliche oder sein Auftragsverarbeiter sicherstellen, dass diese anderen Aufgaben und Pflichten nicht zu einem „Interessenkonflikt“ führen. Angesichts der Bedeutung dieses Ausdrucks im gewöhnlichen Sprachgebrauch ist davon auszugehen, dass der Datenschutzbeauftragte entsprechend dem mit Art. 38 Abs. 6 DSGVO verfolgten Ziel nicht mit der Wahrnehmung von Aufgaben oder Pflichten betraut werden darf, die die Ausübung seiner Stellung als Datenschutzbeauftragter beeinträchtigen könnten.
Zu diesem Ziel ist als Zweites festzustellen, dass diese Bestimmung wie die anderen in Rn. 25 des vorliegenden Urteils genannten Bestimmungen im Wesentlichen die funktionelle Unabhängigkeit des Datenschutzbeauftragten wahren und damit die Wirksamkeit der Bestimmungen der DSGVO gewährleisten soll.
Was als Drittes den Zusammenhang betrifft, in den sich Art. 38 Abs. 6 DSGVO einfügt, ist darauf hinzuweisen, dass dem Datenschutzbeauftragten nach Art. 39 Abs. 1 Buchst. b DSGVO u. a. die Aufgabe der Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen obliegt.
Daraus folgt insbesondere, dass einem Datenschutzbeauftragten keine Aufgaben oder Pflichten übertragen werden dürfen, die ihn dazu veranlassen würden, die Zwecke und Mittel der Verarbeitung personenbezogener Daten bei dem Verantwortlichen oder seinem Auftragsverarbeiter festzulegen. Nach den Datenschutzvorschriften der Union oder der Mitgliedstaaten muss der Datenschutzbeauftragte die Überwachung dieser Zwecke und Mittel nämlich unabhängig durchführen werden.
Ob ein Interessenkonflikt im Sinne von Art. 38 Abs. 6 DSGVO vorliegt, ist im Einzelfall auf der Grundlage einer Würdigung aller relevanten Umstände, insbesondere der Organisationsstruktur des Verantwortlichen oder seines Auftragsverarbeiters, und im Licht aller anwendbaren Rechtsvorschriften, einschließlich etwaiger interner Vorschriften des Verantwortlichen oder des Auftragsverarbeiters, festzustellen.
Nach alledem ist auf die vierte Frage zu antworten, dass Art. 38 Abs. 6 DSGVO dahin auszulegen ist, dass ein „Interessenkonflikt“ im Sinne dieser Bestimmung bestehen kann, wenn einem Datenschutzbeauftragten andere Aufgaben oder Pflichten übertragen werden, die ihn dazu veranlassen würden, die Zwecke und Mittel der Verarbeitung personenbezogener Daten bei dem Verantwortlichen oder seinem Auftragsverarbeiter festzulegen. Ob dies der Fall ist, muss das nationale Gericht im Einzelfall auf der Grundlage einer Würdigung aller relevanten Umstände, insbesondere der Organisationsstruktur des Verantwortlichen oder seines Auftragsverarbeiters, und im Licht aller anwendbaren Rechtsvorschriften, einschließlich etwaiger interner Vorschriften des Verantwortlichen oder des Auftragsverarbeiters, feststellen.
Kosten
Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des bei dem vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.
Gründe
Aus diesen Gründen hat der Gerichtshof (Sechste Kammer) für Recht erkannt:
Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass er einer nationalen Regelung nicht entgegensteht, nach der ein bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigter Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann, auch wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele dieser Verordnung nicht beeinträchtigt.
Art. 38 Abs. 6 der Verordnung (EU) 2016/679 ist dahin auszulegen, dass ein „Interessenkonflikt “ im Sinne dieser Bestimmung bestehen kann, wenn einem Datenschutzbeauftragten andere Aufgaben oder Pflichten übertragen werden, die ihn dazu veranlassen würden, die Zwecke und Mittel der Verarbeitung personenbezogener Daten bei dem Verantwortlichen oder seinem Auftragsverarbeiter festzulegen. Ob dies der Fall ist, muss das nationale Gericht im Einzelfall auf der Grundlage einer Würdigung aller relevanten Umstände, insbesondere der Organisationsstruktur des Verantwortlichen oder seines Auftragsverarbeiters, und im Licht aller anwendbaren Rechtsvorschriften, einschließlich etwaiger interner Vorschriften des Verantwortlichen oder des Auftragsverarbeiters, feststellen.
Xuereb
Kumin
Ziemele
Verkündet in öffentlicher Sitzung in Luxemburg am 9. Februar 2023.
Der Kanzler
A. Calot Escobar
Der Kammerpräsident
P. G. Xuereb
( *1)Verfahrenssprache: Deutsch.
Kontakt zur AOK Bayern
Persönlicher Ansprechpartner
E-Mail-Service
Bankdaten