Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
EuGH 22.06.2022 - C-534/20
EuGH 22.06.2022 - C-534/20 - URTEIL DES GERICHTSHOFS (Erste Kammer) - 22. Juni 2022 ( *1) - „Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 38 Abs. 3 Satz 2 – Datenschutzbeauftragter – Verbot für einen Verantwortlichen oder einen Auftragsverarbeiter, einen Datenschutzbeauftragten wegen der Erfüllung seiner Aufgaben abzuberufen oder zu benachteiligen – Rechtsgrundlage – Art. 16 AEUV – Erfordernis funktioneller Unabhängigkeit – Nationale Regelung, die die Entlassung eines Datenschutzbeauftragten verbietet, wenn kein schwerwiegender Grund vorliegt“
Leitsatz
In der Rechtssache C-534/20
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Bundesarbeitsgericht (Deutschland) mit Entscheidung vom 30. Juli 2020, beim Gerichtshof eingegangen am 21. Oktober 2020, in dem Verfahren
Leistritz AG
gegen
LH
erlässt
DER GERICHTSHOF (Erste Kammer)
unter Mitwirkung des Kammerpräsidenten A. Arabadjiev sowie der Richterin I. Ziemele (Berichterstatterin) und des Richters P. G. Xuereb,
Generalanwalt: J. Richard de la Tour,
Kanzler: D. Dittert, Referatsleiter,
aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 18. November 2021,
unter Berücksichtigung der Erklärungen
der Leistritz AG, vertreten durch Rechtsanwalt O. Seeling und Rechtsanwältin C. Wencker,
von LH, vertreten durch Rechtsanwalt S. Lohneis,
der deutschen Regierung, vertreten durch J. Möller und S. K. Costanzo als Bevollmächtigte,
der rumänischen Regierung, vertreten durch E. Gane als Bevollmächtigte,
des Europäischen Parlaments, vertreten durch O. Hrstková Šolcová, P. López-Carceller und B. Schäfer als Bevollmächtigte,
des Rates der Europäischen Union, vertreten durch T. Haas und K. Pleśniak als Bevollmächtigte,
der Europäischen Kommission, vertreten durch K. Herrmann, H. Kranenborg und D. Nardi als Bevollmächtigte,
nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 27. Januar 2022
folgendes
Entscheidungsgründe
Urteil
Das Vorabentscheidungsersuchen betrifft die Auslegung und Gültigkeit von Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2018, L 127, S. 2, im Folgenden: DSGVO).
Es ergeht im Rahmen eines Rechtsstreits zwischen der Leistritz AG und LH, die in dieser Gesellschaft die Aufgaben der Datenschutzbeauftragten wahrnahm, wegen der Kündigung ihres Arbeitsvertrags aufgrund einer Umstrukturierungsmaßnahme.
Rechtlicher Rahmen
Unionsrecht
In den Erwägungsgründen 10 und 97 der DSGVO heißt es:
Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden. …
…
… [Die] Datenschutzbeauftragte[n] sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.“
Art. 37 („Benennung eines Datenschutzbeauftragten“) DSGVO sieht vor:
„(1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn
die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,
die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.
…
(6) Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.
…“
Art. 38 („Stellung des Datenschutzbeauftragten“) Abs. 3 und 5 DSGVO sieht vor:
„(3) Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters.
…
(5) Der Datenschutzbeauftragte ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden.“
Art. 39 („Aufgaben des Datenschutzbeauftragten“) Abs. 1 Buchst. b DSGVO bestimmt:
„Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:
…
Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
…“
Deutsches Recht
§ 6 („Stellung“) Abs. 4 des Bundesdatenschutzgesetzes vom 20. Dezember 1990 (BGBl. 1990 I, S. 2954), in der vom 25. Mai 2018 bis zum 25. November 2019 (BGBl. 2017 I, S. 2097) geltenden Fassung (im Folgenden: BDSG) lautet:
„Die Abberufung der oder des Datenschutzbeauftragten ist nur in entsprechender Anwendung des § 626 des Bürgerlichen Gesetzbuchs [in der am 2. Januar 2002 veröffentlichten Fassung (BGBl. 2002 I, S. 42, und Berichtigungen BGBl. 2002 I, S. 2909, und BGBl. 2003 I, S. 738)] zulässig. Die Kündigung des Arbeitsverhältnisses ist unzulässig, es sei denn, dass Tatsachen vorliegen, welche die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Nach dem Ende der Tätigkeit als Datenschutzbeauftragte oder als Datenschutzbeauftragter ist die Kündigung des Arbeitsverhältnisses innerhalb eines Jahres unzulässig, es sei denn, dass die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist.“
§ 38 („Datenschutzbeauftragte nichtöffentlicher Stellen“) BDSG sieht vor:
„(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c [DSGVO] benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. …
(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.“
§ 134 („Gesetzliches Verbot“) des Bürgerlichen Gesetzbuchs in der am 2. Januar 2002 veröffentlichten Fassung (im Folgenden: BGB) lautet:
„Ein Rechtsgeschäft, das gegen ein gesetzliches Verbot verstößt, ist nichtig, wenn sich nicht aus dem Gesetz ein anderes ergibt.“
§ 626 („Fristlose Kündigung aus wichtigem Grund“) BGB bestimmt:
„(1) Das Dienstverhältnis kann von jedem Vertragsteil aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist gekündigt werden, wenn Tatsachen vorliegen, auf Grund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalles und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung des Dienstverhältnisses bis zum Ablauf der Kündigungsfrist oder bis zu der vereinbarten Beendigung des Dienstverhältnisses nicht zugemutet werden kann.
(2) Die Kündigung kann nur innerhalb von zwei Wochen erfolgen. Die Frist beginnt mit dem Zeitpunkt, in dem der Kündigungsberechtigte von den für die Kündigung maßgebenden Tatsachen Kenntnis erlangt. …“
Ausgangsverfahren und Vorlagefragen
Leistritz ist eine privatrechtlich organisierte Gesellschaft, die nach deutschem Recht zur Benennung eines Datenschutzbeauftragten verpflichtet ist. LH arbeitete dort ab dem 15. Januar 2018 als „Teamleiterin Recht“ und ab dem 1. Februar 2018 als Datenschutzbeauftragte.
Mit Schreiben vom 13. Juli 2018 kündigte Leistritz LH ordentlich zum 15. August 2018 und berief sich dabei auf eine Umstrukturierungsmaßnahme, die zur Auslagerung der internen Rechtsberatungstätigkeit und der Datenschutzabteilung geführt habe.
Die mit der Anfechtung der Wirksamkeit der Kündigung durch LH befassten Gerichte entschieden, dass die Kündigung unwirksam sei, da LH als Datenschutzbeauftragte gemäß § 38 Abs. 2 in Verbindung mit § 6 Abs. 4 Satz 2 BDSG nur außerordentlich aus wichtigem Grund gekündigt werden könne. Die von Leistritz beschriebene Umstrukturierungsmaßnahme stelle keinen wichtigen Grund dar.
Das mit der von Leistritz eingelegten Revision befasste vorlegende Gericht weist darauf hin, dass die Kündigung von LH nach deutschem Recht gemäß den vorgenannten Bestimmungen und § 134 BGB nichtig sei. Die Anwendbarkeit von § 38 Abs. 2 in Verbindung mit § 6 Abs. 4 Satz 2 BDSG hänge jedoch davon ab, ob nach Unionsrecht, insbesondere Art. 38 Abs. 3 Satz 2 DSGVO, eine mitgliedstaatliche Regelung zulässig sei, durch die die Kündigung des Arbeitsverhältnisses eines Datenschutzbeauftragten an strengere Voraussetzungen als nach dem Unionsrecht geknüpft sei. Wäre dies nicht der Fall, wäre die Revision erfolgreich.
Die Zweifel des vorlegenden Gerichts beruhten u. a. darauf, dass das nationale Schrifttum diese Frage unterschiedlich beurteile. Überwiegend werde die Auffassung vertreten, bei dem Sonderkündigungsschutz in § 38 Abs. 2 in Verbindung mit § 6 Abs. 4 Satz 2 BDSG handele es sich um eine materiell-arbeitsrechtliche Regelung, für die keine Gesetzgebungskompetenz der Union bestehe, weshalb eine Kollision mit Art. 38 Abs. 3 Satz 2 DSGVO ausscheide. Die minderheitliche Gegenansicht nehme an, die Verknüpfung dieses Schutzes mit der Stellung des Datenschutzbeauftragten sei unionsrechtswidrig; es werde ein wirtschaftlicher Druck aufgebaut, an einem einmal benannten Datenschutzbeauftragten dauerhaft festzuhalten.
Unter diesen Umständen hat das Bundesarbeitsgericht (Deutschland) das Verfahren ausgesetzt und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorgelegt:
Ist Art. 38 Abs. 3 Satz 2 DSGVO dahin auszulegen, dass er einer Bestimmung des nationalen Rechts, wie hier § 38 Abs. 1 und 2 in Verbindung mit § 6 Abs. 4 Satz 2 BDSG, entgegensteht, die die ordentliche Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten durch den Verantwortlichen, der sein Arbeitgeber ist, für unzulässig erklärt, unabhängig davon, ob sie wegen der Erfüllung seiner Aufgaben erfolgt?
Falls die erste Frage bejaht wird:
Steht Art. 38 Abs. 3 Satz 2 DSGVO einer solchen Bestimmung des nationalen Rechts auch dann entgegen, wenn die Benennung des Datenschutzbeauftragten nicht nach Art. 37 Abs. 1 DSGVO verpflichtend ist, sondern nur nach dem Recht des Mitgliedstaats?
Falls die erste Frage bejaht wird:
Beruht Art. 38 Abs. 3 Satz 2 DSGVO auf einer ausreichenden Ermächtigungsgrundlage, insbesondere soweit er Datenschutzbeauftragte erfasst, die in einem Arbeitsverhältnis zum Verantwortlichen stehen?
Zu den Vorlagefragen
Zur ersten Frage
Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 38 Abs. 3 Satz 2 DSGVO dahin auszulegen ist, dass er einer nationalen Regelung entgegensteht, nach der einem bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigten Datenschutzbeauftragten nur aus wichtigem Grund gekündigt werden kann, auch wenn die Kündigung nicht mit der Erfüllung seiner Aufgaben zusammenhängt.
Nach ständiger Rechtsprechung sind bei der Auslegung von Unionsvorschriften nicht nur ihr Wortlaut entsprechend ihrem Sinn nach dem gewöhnlichen Sprachgebrauch, sondern auch ihr Zusammenhang und die Ziele zu berücksichtigen, die mit der Regelung, zu der sie gehören, verfolgt werden (Urteil vom 22. Februar 2022, Stichting Rookpreventie Jeugd u. a., C-160/20, EU:C:2022:101, Rn. 29 und die dort angeführte Rechtsprechung).
Was als Erstes den Wortlaut der in Rede stehenden Bestimmung betrifft, so darf nach Art. 38 Abs. 3 Satz 2 DSGVO „[d]er Datenschutzbeauftragte … von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden“.
Hierzu ist zunächst festzustellen, dass in der DSGVO die Begriffe „abberufen“, „benachteiligt“ und „wegen der Erfüllung seiner Aufgaben“ aus Art. 38 Abs. 3 Satz 2 nicht definiert werden.
Doch bedeutet erstens nach dem gewöhnlichen Sprachgebrauch das Verbot für den Verantwortlichen oder den Auftragsverarbeiter, einen Datenschutzbeauftragten abzuberufen oder zu benachteiligen, dass der Datenschutzbeauftragte vor jeder Entscheidung zu schützen ist, mit der sein Amt beendet würde, durch die ihm ein Nachteil entstünde oder die eine Sanktion darstellte, wie es der Generalanwalt in den Nrn. 24 und 26 seiner Schlussanträge im Wesentlichen ausgeführt hat.
Eine solche Entscheidung könnte in der vom Arbeitgeber ausgesprochenen Kündigung eines Datenschutzbeauftragten liegen, mit der das Arbeitsverhältnis zwischen diesem und dem Arbeitgeber und damit auch die Stellung des Datenschutzbeauftragten im betreffenden Unternehmen beendet würden.
Zweitens gilt Art. 38 Abs. 3 Satz 2 DSGVO gemäß Art. 37 Abs. 6 DSGVO gleichermaßen für Datenschutzbeauftragte, die Beschäftigte des Verantwortlichen oder des Auftragsverarbeiters sind und für diejenigen, die ihre Aufgaben auf der Grundlage eines mit dem Verantwortlichen oder dem Auftragsverarbeiter geschlossenen Dienstvertrags erfüllen.
Daher gilt Art. 38 Abs. 3 Satz 2 DSGVO im Verhältnis zwischen einem Datenschutzbeauftragten und einem Verantwortlichen oder einem Auftragsverarbeiter, und zwar unabhängig von der Art des sie verbindenden Beschäftigungsverhältnisses.
Drittens wird in dieser Bestimmung eine Grenze gezogen, mit der, wie der Generalanwalt in Nr. 29 seiner Schlussanträge im Wesentlichen ausgeführt hat, die Kündigung eines Datenschutzbeauftragten aus Gründen, die sich auf die Erfüllung seiner Aufgaben beziehen, verboten wird; zu diesen Aufgaben gehört gemäß Art. 39 Abs. 1 Buchst. b DSGVO insbesondere die Überwachung der Einhaltung der Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten.
Was als Zweites das mit Art. 38 Abs. 3 Satz 2 DSGVO verfolgte Ziel betrifft, ist erstens darauf hinzuweisen, dass nach dem 97. Erwägungsgrund der DSGVO die Datenschutzbeauftragten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können sollten. Diese Unabhängigkeit muss es ihnen notwendigerweise ermöglichen, diese Aufgaben im Einklang mit dem Ziel der DSGVO auszuüben, die, wie sich aus ihrem zehnten Erwägungsgrund ergibt, namentlich darauf abzielt, innerhalb der Union ein hohes Datenschutzniveau für natürliche Personen zu gewährleisten und zu diesem Zweck für eine unionsweit gleichmäßige und einheitliche Anwendung der Vorschriften zum Schutz der Grundrechte und Grundfreiheiten dieser Personen bei der Verarbeitung personenbezogener Daten zu sorgen (Urteil vom 6. Oktober 2020, La Quadrature du Net u. a., C-511/18, C-512/18 und C-520/18, EU:C:2020:791, Rn. 207 sowie die dort angeführte Rechtsprechung).
Zweitens ergibt sich das in Art. 38 Abs. 3 Satz 2 DSGVO genannte Ziel, die unabhängige Stellung des Datenschutzbeauftragten zu gewährleisten, auch aus Art. 38 Abs. 3 Satz 1 und 3, wonach der Datenschutzbeauftragte keine Anweisungen bezüglich der Ausübung seiner Aufgaben erhält und unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters berichtet, sowie aus Art. 38 Abs. 5, wonach der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden ist.
Mit Art. 38 Abs. 3 Satz 2 DSGVO, der den Datenschutzbeauftragten vor jeder Entscheidung im Zusammenhang mit der Erfüllung seiner Aufgaben schützt, mit der sein Amt beendet würde, durch die ihm ein Nachteil entstünde oder die eine Sanktion darstellte, soll demnach im Wesentlichen die funktionelle Unabhängigkeit des Datenschutzbeauftragten gewahrt und damit die Wirksamkeit der Bestimmungen der DSGVO gewährleistet werden. Mit dieser Bestimmung wird hingegen nicht bezweckt, insgesamt das Arbeitsverhältnis zwischen einem Verantwortlichen oder einem Auftragsverarbeiter und dessen Beschäftigten zu regeln; dieses ist allenfalls beiläufig betroffen, soweit dies für die Erreichung dieser Ziele unbedingt erforderlich ist.
Als Drittes wird diese Auslegung durch den Regelungszusammenhang der Bestimmung und insbesondere durch die Rechtsgrundlage bestätigt, auf der der Unionsgesetzgeber die DSGVO erlassen hat.
Laut der Präambel der DSGVO wurde diese nämlich auf der Grundlage von Art. 16 AEUV erlassen. Nach Art. 16 Abs. 2 AEUV erlassen das Europäische Parlament und der Rat der Europäischen Union gemäß dem ordentlichen Gesetzgebungsverfahren Vorschriften zum einen über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union sowie durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen, und zum anderen über den freien Datenverkehr.
Mit Ausnahme des besonderen Schutzes des Datenschutzbeauftragten nach Art. 38 Abs. 3 Satz 2 DSGVO geht es bei der Festlegung von Vorschriften zum Kündigungsschutz eines bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigten Datenschutzbeauftragten hingegen weder um den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten noch um den freien Datenverkehr, sondern um Sozialpolitik.
In diesem Bereich haben die Union und die Mitgliedstaaten nach Art. 4 Abs. 2 Buchst. b AEUV hinsichtlich der im AEU-Vertrag genannten Aspekte eine geteilte Zuständigkeit im Sinne von Art. 2 Abs. 2 AEUV. Außerdem unterstützt und ergänzt die Union nach Art. 153 Abs. 1 Buchst. d AEUV die Tätigkeit der Mitgliedstaaten auf dem Gebiet des Arbeitnehmerschutzes bei Beendigung des Arbeitsverhältnisses (vgl. entsprechend Urteil vom 19. November 2019, TSN und AKT, C-609/17 und C-610/17, EU:C:2019:981, Rn. 47).
Allerdings können das Parlament und der Rat hierzu nach Art. 153 Abs. 2 Buchst. b AEUV nur durch Richtlinien Mindestvorschriften erlassen, die nach der Rechtsprechung des Gerichtshofs im Hinblick auf Art. 153 Abs. 4 AEUV die Mitgliedstaaten nicht daran hindern, strengere Schutzmaßnahmen beizubehalten oder zu treffen, die mit den Verträgen vereinbar sind (vgl. entsprechend Urteil vom 19. November 2019, TSN und AKT, C-609/17 und C-610/17, EU:C:2019:981, Rn. 48).
Daraus folgt, wie der Generalanwalt in Nr. 44 seiner Schlussanträge im Wesentlichen ausgeführt hat, dass es jedem Mitgliedstaat freisteht, in Ausübung seiner vorbehaltenen Zuständigkeit besondere, strengere Vorschriften für die arbeitgeberseitige Kündigung eines Datenschutzbeauftragten vorzusehen, sofern diese mit dem Unionsrecht und insbesondere mit den Bestimmungen der DSGVO, vor allem Art. 38 Abs. 3 Satz 2 DSGVO, vereinbar sind.
Insbesondere darf, wie der Generalanwalt in den Nrn. 50 und 51 seiner Schlussanträge ausgeführt hat, ein strengerer Schutz die Verwirklichung der Ziele der DSGVO nicht beeinträchtigen. Dies wäre aber der Fall, wenn dieser Schutz jede durch einen Verantwortlichen oder einen Auftragsverarbeiter ausgesprochene Kündigung eines Datenschutzbeauftragten verböte, der nicht mehr die für die Erfüllung seiner Aufgaben erforderlichen beruflichen Eigenschaften besitzt oder seine Aufgaben nicht im Einklang mit der DSGVO erfüllt.
Nach alledem ist auf die erste Frage zu antworten, dass Art. 38 Abs. 3 Satz 2 DSGVO dahin auszulegen ist, dass er einer nationalen Regelung nicht entgegensteht, nach der einem bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigten Datenschutzbeauftragten nur aus wichtigem Grund gekündigt werden kann, auch wenn die Kündigung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele der DSGVO nicht beeinträchtigt.
Zur zweiten und zur dritten Frage
Angesichts der Antwort auf die erste Frage brauchen die zweite und die dritte Frage nicht beantwortet zu werden.
Kosten
Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des bei dem vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.
Gründe
Aus diesen Gründen hat der Gerichtshof (Erste Kammer) für Recht erkannt:
Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass er einer nationalen Regelung nicht entgegensteht, nach der einem bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigten Datenschutzbeauftragten nur aus wichtigem Grund gekündigt werden kann, auch wenn die Kündigung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele der DSGVO nicht beeinträchtigt.
Arabadjiev
Ziemele
Xuereb
Verkündet in öffentlicher Sitzung in Luxemburg am 22. Juni 2022.
Der Kanzler
A. Calot Escobar
Der Präsident der Ersten Kammer
A. Arabadjiev
( *1)Verfahrenssprache: Deutsch.
Kontakt zur AOK Niedersachsen
Persönlicher Ansprechpartner
0800 0265637