–

X-FAB Dresden GmbH & Co. KG ved Rechtsanwalt S. Leese,

–

FC ved Prozessbevollmächtigte R. Buschmann og T. Heller,

–

den tyske regering ved J. Möller, D. Klebs og P.-L. Krüger, som befuldmægtigede,

–

Europa-Parlamentet ved O. Hrstková Šolcová og B. Schäfer, som befuldmægtigede,

–

Rådet for Den Europæiske Union ved T. Haas og K. Pleśniak, som befuldmægtigede,

–

Europa-Kommissionen ved A. Bouchagiar, K. Herrmann og H. Kranenborg, som befuldmægtigede,

1

Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 38, stk. 3, andet punktum, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, berigtiget i EUT 2018, L 127, s. 2, herefter »databeskyttelsesforordningen«) og fortolkningen af denne forordnings artikel 38, stk. 6.

2

Anmodningen er blevet indgivet i forbindelse med en tvist mellem X-FAB Dresden GmbH & Co. KG (herefter »X-FAB«) og FC, dennes ansatte, vedrørende X-FAB’s fjernelse af FC fra dennes stilling som databeskyttelsesrådgiver (herefter »databeskyttelsesrådgiveren«).

3

Følgende fremgår af 10. og 97. betragtning til databeskyttelsesforordningen:

[…]

4

Databeskyttelsesforordningens artikel 37 med overskriften »Udpegelse af en databeskyttelsesrådgiver« bestemmer i stk. 5 og 6:

»5.   Databeskyttelsesrådgiveren udpeges på grundlag af sine faglige kvalifikationer, navnlig ekspertise inden for databeskyttelsesret og ‑praksis samt evne til at udføre de opgaver, der er omhandlet i artikel 39.

6.   Databeskyttelsesrådgiveren kan være den dataansvarliges eller databehandlerens medarbejder eller kan udføre hvervet på grundlag af en tjenesteydelseskontrakt.«

5

Databeskyttelsesforordningens artikel 38 med overskriften »Databeskyttelsesrådgiverens stilling« fastsætter i stk. 3, 5 og 6:

»3.   Den dataansvarlige og databehandleren sikrer, at databeskyttelsesrådgiveren ikke modtager instrukser vedrørende udførelsen af disse opgaver. Den pågældende må ikke afskediges eller straffes af den dataansvarlige eller databehandleren for at udføre sine opgaver. Databeskyttelsesrådgiveren rapporterer direkte til det øverste ledelsesniveau hos den dataansvarlige eller databehandleren.

[…]

5.   Databeskyttelsesrådgiveren er underlagt tavshedspligt eller fortrolighed vedrørende udførelsen af sine opgaver i overensstemmelse med EU-retten eller medlemsstaternes nationale ret.

6.   Databeskyttelsesrådgiveren kan udføre andre opgaver og have andre pligter. Den dataansvarlige eller databehandleren sikrer, at sådanne opgaver og pligter ikke medfører en interessekonflikt.«

6

Databeskyttelsesforordningens artikel 39 med overskriften »Databeskyttelsesrådgiverens opgaver« har følgende ordlyd:

»1.   Databeskyttelsesrådgiveren har som minimum følgende opgaver:

2.   Databeskyttelsesrådgiveren tager under udførelsen af sine opgaver behørigt hensyn til den risiko, der er forbundet med behandlingsaktiviteter, under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål.«

7

§ 6 i Bundesdatenschutzgesetz (forbundslov om databeskyttelse) af 20. december 1990 (BGBl. 1990 I, s. 2954), i den affattelse, der var gældende fra den 25. maj 2018 til den 25. november 2019 (BGBl. 2017 I, s. 2097) (herefter »BDSG«), med overskriften »Stillingen« bestemmer i stk. 4:

»Afskedigelse af databeskyttelsesrådgiveren er kun tilladt ved analog anvendelse af § 626 i Bürgerliches Gesetzbuch [(borgerlig lovbog) i den affattelse, der blev bekendtgjort den 2. januar 2002 (BGB1. 2002 I, s. 42, berigtiget i BGBl. 2002 I, s. 2909, og BGBl. 2003 I, s. 738)]. Det er ulovligt at opsige ansættelsesforholdet, medmindre der foreligger omstændigheder, som begrunder, at det offentlige organ kan opsige det af en vægtig grund, uden at opsigelsesfristen overholdes. Efter ophøret af arbejdet som databeskyttelsesrådgiver er det ulovligt at opsige ansættelsesforholdet inden for et år, medmindre det offentlige organ er berettiget til at opsige ansættelsesforholdet af en vægtig grund, uden at opsigelsesfristen overholdes.«

8

BDSG’s § 38 med overskriften »Databeskyttelsesrådgiver for ikke-offentlige organer« fastsætter:

»(1)   Som supplement til artikel 37, stk. 1, litra b) og c), i [databeskyttelsesforordningen] udpeger den dataansvarlige og databehandleren en databeskyttelsesrådgiver, for så vidt som de som regel fast beskæftiger mindst ti personer med automatiseret behandling af personoplysninger. […]

(2)   § 6, stk. 4, § 6, stk. 5, andet punktum, og § 6, stk. 6, finder anvendelse, idet § 6, stk. 4, dog kun finder anvendelse, når udpegelsen af en databeskyttelsesrådgiver er obligatorisk.«

9

§ 626 i den borgerlige lovbog med overskriften »Opsigelse uden varsel af en vægtig grund« bestemmer:

»(1)   Tjenesteforholdet kan opsiges af begge parter af en vægtig grund, uden at opsigelsesfristen overholdes, når der foreligger omstændigheder, på grund af hvilke det under hensyntagen til alle omstændighederne i det enkelte tilfælde og efter en afvejning af begge parters interesser ikke kan kræves af den opsigende part, at tjenesteforholdet fortsættes indtil udløbet af opsigelsesfristen eller indtil det aftalte tidspunkt for tjenesteforholdets ophør.

(2)   Opsigelsen kan kun ske inden for to uger. Fristen begynder at løbe på det tidspunkt, hvor den opsigelsesberettigede får kendskab til de omstændigheder, der er afgørende for opsigelsen. […]«

10

FC har været ansat af X-FAB siden den 1. november 1993.

11

I dette selskab varetager han hvervet som formand for samarbejdsudvalget og er derfor delvist fritaget for at arbejde. Han er desuden næstformand for det centrale samarbejdsudvalg, som er blevet oprettet for tre virksomheder i den koncern, som X-FAB er en del af, og som har hjemsted i Tyskland.

12

Med virkning fra den 1. juni 2015 blev FC udpeget særskilt af hver virksomhed som databeskyttelsesrådgiver for X-FAB, dets moderselskab samt sidstnævntes øvrige datterselskaber med hjemsted i Tyskland. Ifølge den forelæggende ret var formålet med denne parallelle udpegelse af FC som databeskyttelsesrådgiver at sikre et ensartet databeskyttelsesniveau i disse virksomheder.

13

Efter anmodning fra tilsynet med databeskyttelses- og informationsfrihed i Thüringen (Tyskland) afskedigede X-FAB og de i nærværende doms præmis 12 nævnte virksomheder ved skrivelser af 1. december 2017 FC fra stillingen som databeskyttelsesrådgiver med øjeblikkelig virkning. Ved særskilte skrivelser af 25. maj 2018 gentog disse virksomheder for god ordens skyld deres tiltag på grundlag af databeskyttelsesforordningens artikel 38, stk. 3, andet punktum, der var trådt i kraft i mellemtiden, idet de påberåbte sig begrundelser knyttet til den koncern, som X-FAB tilhører.

14

Det søgsmål, som FC har anlagt ved de tyske domstole, har til formål at få fastslået, at vedkommende fortsat er databeskyttelsesrådgiver for X-FAB. Sidstnævnte har gjort gældende, at der foreligger en risiko for interessekonflikt, hvis FC varetager hvervet som databeskyttelsesrådgiver samtidig med, at han er formand for samarbejdsudvalget med den begrundelse, at disse to stillinger er uforenelige. Der foreligger følgelig en alvorlig grund til, at FC kan afskediges fra sin stilling som databeskyttelsesrådgiver.

15

Retten i første instans og appelretten gav FC medhold i sit søgsmål. X-FAB har iværksat revisionsappel til Bundesarbeitsgericht (forbundsdomstol i arbejdsretlige sager, Tyskland), der er den forelæggende ret, med påstand om, at appellen forkastes.

16

Den forelæggende ret har bemærket, at udfaldet af denne revisionsappel afhænger af fortolkningen af EU-retten. Navnlig opstår spørgsmålet om, hvorvidt databeskyttelsesforordningens artikel 38, stk. 3, andet punktum, er til hinder for, at en medlemsstats lovgivning underlægger fjernelsen fra tjenesten som databeskyttelsesrådgiver strengere betingelser end dem, der er fastsat i EU-retten, og, i bekræftende fald, om denne bestemmelse er baseret på et tilstrækkeligt retsgrundlag. Såfremt Domstolen finder, at de betingelser, som BDSG undergiver fjernelsen fra tjenesten, er i overensstemmelse med EU-retten, skal det afgøres, om hvervet som formand for samarbejdsudvalget og hvervet som databeskyttelsesrådgiver i samme virksomhed kan varetages af en og samme person, eller om dette medfører en interessekonflikt som omhandlet i databeskyttelsesforordningens artikel 38, stk. 6, andet punktum.

17

Under disse omstændigheder har Bundesarbeitsgericht (forbundsdomstol i arbejdsretlige sager) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

Såfremt det første spørgsmål besvares bekræftende:

Såfremt det første spørgsmål besvares bekræftende:

Såfremt det første spørgsmål besvares benægtende:

18

Med det første spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 38, stk. 3, andet punktum, skal fortolkes således, at denne bestemmelse er til hinder for en national lovgivning, der fastsætter, at en dataansvarlig eller en databehandler kun kan fjerne en databeskyttelsesrådgiver, der er ansat hos den pågældende, fra stillingen, af en vægtig grund, selv om fjernelsen ikke er forbundet med denne databeskyttelsesrådgivers udførelse af sine opgaver.

19

Som det følger af fast retspraksis, skal der ved fortolkningen af en EU-retlig bestemmelse tages hensyn til ikke alene dens ordlyd i overensstemmelse med dens sædvanlige betydning i almindelig sprogbrug, men også til den sammenhæng, hvori den indgår, og til de mål, der forfølges med den ordning, som den udgør en del af (dom af 22.6.2022, Leistritz, C-534/20, EU:C:2022:495, præmis 18 og den deri nævnte retspraksis).

20

Hvad angår ordlyden af den omhandlede bestemmelse skal det i første række bemærkes, at databeskyttelsesforordningens artikel 38, stk. 3, i andet punktum bestemmer, at »[databeskyttelsesrådgiveren ikke må] afskediges eller straffes af den dataansvarlige eller databehandleren for at udføre sine opgaver«.

21

I denne henseende har Domstolen i sin dom af 22. juni 2022, Leistritz (C-534/20, EU:C:2022:495, præmis 20 og 21), efter at have konstateret, at databeskyttelsesforordningen ikke definerer udtrykkene »afskediges«, »straffes« og »for at udføre sine opgaver«, som er indeholdt i artikel 38, stk. 3, andet punktum, for det første fremhævet, at i overensstemmelse med disse udtryks betydning i det almindelige sprogbrug betyder forbuddet mod, at den dataansvarlige eller databehandleren afskediger eller straffer en databeskyttelsesrådgiver, at denne databeskyttelsesrådgiver skal være beskyttet mod enhver afgørelse, hvorved den pågældendes hverv bringes til ophør, den pågældende stilles ringere, eller som udgør en sanktion.

22

En foranstaltning, hvorved en databeskyttelsesrådgiver fjernes fra stillingen, som iværksættes af dennes arbejdsgiver, og som medfører, at databeskyttelsesrådgiveren afskediges hos den dataansvarlige eller databehandleren, kan imidlertid udgøre en sådan afgørelse.

23

Som Domstolen ligeledes har fastslået, finder databeskyttelsesforordningens artikel 38, stk. 3, andet punktum, for det andet anvendelse uden forskel på såvel den databeskyttelsesrådgiver, der er den dataansvarliges eller databehandlerens medarbejder, som på den, der udøver hvervet på grundlag af en tjenesteydelseskontrakt indgået med disse i henhold til databeskyttelsesforordningens artikel 37, stk. 6, hvorfor databeskyttelsesforordningens artikel 38, stk. 3, andet punktum, finder anvendelse på forholdet mellem en databeskyttelsesrådgiver og en dataansvarlig eller en databehandler, uanset arten af det ansættelsesforhold, som knytter databeskyttelsesrådgiveren til de sidstnævnte (dom af 22.6.2022, Leistritz, C-534/20, EU:C:2022:495, præmis 23 og 24).

24

For det tredje bemærkes, at denne sidstnævnte bestemmelse fastsætter en grænse, der består i at forbyde afskedigelse af databeskyttelsesrådgiveren på grund af dennes udøvelse af sine opgaver, hvilke i henhold til databeskyttelsesforordningens artikel 39, stk. 1, litra b), navnlig omfatter overvågning af overholdelsen af EU-retten eller national ret i medlemsstaterne om databeskyttelse og af den dataansvarliges eller af databehandlerens politikker om beskyttelse af personoplysninger (jf. i denne retning dom af 22.6.2022, Leistritz, C-534/20, EU:C:2022:495, præmis 25).

25

Hvad i anden række angår det formål, der forfølges med databeskyttelsesforordningens artikel 38, stk. 3, andet punktum, fremgår det for det første af 97. betragtning til denne forordning, at databeskyttelsesrådgivere, uanset om de er ansat hos den dataansvarlige eller ej, skal være i stand til at udøve deres hverv på uafhængig vis. En sådan uafhængighed skal nødvendigvis gøre det muligt for dem at udføre deres opgaver i overensstemmelse med databeskyttelsesforordningens formål, således som det fremgår af 10. betragtning hertil, som er at sikre et højt niveau for beskyttelse af fysiske personer inden for Unionen, og med henblik herpå sikre, at reglerne for beskyttelse af disse personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger anvendes konsekvent og ensartet overalt i Unionen (dom af 22.6.2022, Leistritz, C-534/20, EU:C:2022:495, præmis 26 og den deri nævnte retspraksis).

26

For det andet fremgår formålet om at sikre databeskyttelsesrådgiverens funktionelle uafhængighed, således som det følger af databeskyttelsesforordningens artikel 38, stk. 3, andet punktum, ligeledes af denne forordnings artikel 38, stk. 3, første og tredje punktum, som foreskriver, at denne rådgiver ikke skal modtage instrukser vedrørende udførelsen af sine opgaver og direkte rapporterer til det øverste ledelsesniveau hos den dataansvarlige eller databehandleren, og af databeskyttelsesforordningens artikel 38, stk. 5, der med hensyn til denne udøvelse fastsætter, at den nævnte databeskyttelsesrådgiver er underlagt tavshedspligt eller fortrolighed (dom af 22.6.2022, Leistritz, C-534/20, EU:C:2022:495, præmis 27).

27

Databeskyttelsesforordningens artikel 38, stk. 3, andet punktum, skal således ved at beskytte databeskyttelsesrådgiveren mod enhver afgørelse, der bringer dennes hverv til ophør, som stiller den pågældende ringere, eller som udgør en sanktion, når en sådan afgørelse vedrører udøvelsen af den pågældendes funktioner, anses for i det væsentlige at have til formål at bevare den databeskyttelsesrådgiverens funktionelle uafhængighed og dermed at sikre effektiviteten af databeskyttelsesforordningens bestemmelser (dom af 22.6.2022, Leistritz, C-534/20, EU:C:2022:495, præmis 28).

28

Som Domstolen ligeledes har fastslået, understøttes denne fortolkning i tredje række af den sammenhæng, hvori den nævnte bestemmelse indgår, og navnlig af det retsgrundlag, som EU-lovgiver har anvendt med henblik på vedtagelsen af databeskyttelsesforordningen (dom af 22.6.2022, Leistritz, C-534/20, EU:C:2022:495, præmis 29).

29

Det fremgår af databeskyttelsesforordningens præambel, at forordningen blev vedtaget på grundlag af artikel 16 TEUF, hvis stk. 2 bl.a. bestemmer, at Europa-Parlamentet og Rådet for Den Europæiske Union efter den almindelige lovgivningsprocedure fastsætter regler for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger foretaget af Unionens institutioner, organer, kontorer og agenturer samt af medlemsstaterne under udøvelse af aktiviteter, der er omfattet af EU-retten, og regler for den frie udveksling af personoplysninger (dom af 22.6.2022, Leistritz, C-534/20, EU:C:2022:495, præmis 30).

30

I denne henseende henhører fastsættelsen af regler om beskyttelse mod afskedigelse af en databeskyttelsesrådgiver, der er ansat af en dataansvarlig eller en databehandler, kun under beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger, når det er strengt nødvendigt i henhold til sådanne regler at sikre databeskyttelsesrådgiverens funktionelle uafhængighed i overensstemmelse med databeskyttelsesforordningens artikel 38, stk. 3, andet punktum (jf. i denne retning dom af 22.6.2022, Leistritz, C-534/20, EU:C:2022:495, præmis 31).

31

Det følger heraf, at hver medlemsstat ved udøvelsen af sin kompetence frit kan fastsætte særlige beskyttelsesbestemmelser vedrørende afskedigelse af databeskyttelsesrådgiveren, for så vidt som disse bestemmelser er forenelige med EU-retten og navnlig med databeskyttelsesforordningens bestemmelser, herunder navnlig denne forordnings artikel 38, stk. 3, andet punktum (jf. i denne retning dom af 22.6.2022, Leistritz, C-534/20, EU:C:2022:495, præmis 34).

32

En sådan øget beskyttelse kan navnlig ikke bringe opfyldelsen af databeskyttelsesforordningens formål i fare. Dette ville imidlertid være tilfældet, hvis den forhindrede enhver fjernelse foretaget af en dataansvarlig eller en databehandler af en databeskyttelsesrådgiver, som ikke længere besidder de faglige kvalifikationer, der er nødvendige for udførelsen af dennes opgaver i overensstemmelse med databeskyttelsesforordningens artikel 37, stk. 5, eller som ikke opfylder disse i henhold til denne forordnings bestemmelser (jf. i denne retning dom af 22.6.2022, Leistritz, C-534/20, EU:C:2022:495, præmis 35).

33

I denne henseende bemærkes, således som det er blevet anført i nærværende doms præmis 25, at databeskyttelsesforordningen tilsigter at sikre et højt beskyttelsesniveau for fysiske personer i Unionen for så vidt angår behandlingen af deres personoplysninger, og at en databeskyttelsesrådgiver for at opfylde dette formål skal være i stand til at udøve sine opgaver og funktioner i fuld uafhængighed.

34

En udvidet beskyttelse af databeskyttelsesrådgiveren, som forhindrer enhver fjernelse af denne i det tilfælde, hvor den pågældende ikke eller ikke længere er i stand til at udføre sine opgaver i fuld uafhængighed på grund af en interessekonflikt, ville således bringe virkeliggørelsen af dette formål i fare.

35

Det påhviler den nationale retsinstans at sikre sig, at særlige bestemmelser som de i nærværende doms præmis 31 omhandlede er forenelige med EU-retten og navnlig med databeskyttelsesforordningens bestemmelser.

36

Henset til ovenstående betragtninger skal det første spørgsmål besvares med, at databeskyttelsesforordningens artikel 38, stk. 3, andet punktum, skal fortolkes således, at denne bestemmelse ikke er til hinder for en national lovgivning, der fastsætter, at en dataansvarlig eller en databehandler kun kan fjerne en databeskyttelsesrådgiver, der er ansat hos den pågældende, fra stillingen af en vægtig grund, selv om fjernelsen ikke er forbundet med denne databeskyttelsesrådgivers udførelse af sine opgaver, for så vidt som en sådan lovgivning ikke bringer gennemførelsen af databeskyttelsesforordningens formål i fare.

37

Henset til besvarelsen af det første spørgsmål er det ufornødent at besvare det andet og det tredje spørgsmål.

38

Med det fjerde spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, under hvilke betingelser det kan fastslås, at der foreligger en »interessekonflikt« som omhandlet i databeskyttelsesforordningens artikel 38, stk. 6.

39

Hvad for det første angår ordlyden af den omhandlede bestemmelse bemærkes, at det fremgår af databeskyttelsesforordningens artikel 38, stk. 6, andet punktum, at »[d]atabeskyttelsesrådgiveren kan udføre andre opgaver og have andre pligter. Den dataansvarlige eller databehandleren sikrer, at sådanne opgaver og pligter ikke medfører en interessekonflikt«.

40

Det følger således for det første af denne bestemmelses ordlyd, at databeskyttelsesforordningen ikke fastslår, at der principielt er uforenelighed mellem på den ene side udøvelsen af databeskyttelsesrådgiverens funktioner og på den anden side udøvelsen af andre funktioner hos den dataansvarlige eller databehandleren. Databeskyttelsesforordningens artikel 38, stk. 6, fastsætter nemlig specifikt, at databeskyttelsesrådgiveren kan overdrages udførelsen af andre opgaver og pligter end dem, der påhviler denne i henhold til denne forordnings artikel 39.

41

For det andet forholder det sig ikke desto mindre således, at den dataansvarlige eller databehandleren skal sikre, at disse andre opgaver og pligter ikke medfører en »interessekonflikt«. Henset til betydningen af disse udtryk i sædvanlig sprogbrug skal det fastslås, at i overensstemmelse med det formål, der forfølges med databeskyttelsesforordningens artikel 38, stk. 6, kan databeskyttelsesrådgiveren ikke overdrages udførelsen af opgaver eller pligter, der kan skade udøvelsen af de funktioner, som vedkommende udøver som databeskyttelsesrådgiver.

42

Hvad angår dette formål bemærkes for det andet, at denne bestemmelse i lighed med de øvrige bestemmelser, der er nævnt i nærværende doms præmis 25, i det væsentlige har til formål at bevare databeskyttelsesrådgiverens funktionelle uafhængighed og dermed at sikre effektiviteten af databeskyttelsesforordningens bestemmelser.

43

Hvad for det tredje angår den sammenhæng, hvori databeskyttelsesforordningens artikel 38, stk. 6, indgår, bemærkes, at det fremgår af databeskyttelsesforordningens artikel 39, stk. 1, litra b), at databeskyttelsesrådgiveren bl.a. har til opgave at overvåge overholdelsen af denne forordning, af anden EU-ret eller national ret i medlemsstaterne om databeskyttelse og af den dataansvarliges eller databehandlerens politikker om beskyttelse af personoplysninger, herunder fordeling af ansvar, oplysningskampagner og uddannelse af det personale, der medvirker ved behandlingsaktiviteter, og de tilhørende revisioner.

44

Det følger navnlig heraf, at en databeskyttelsesrådgiver ikke kan overdrages opgaver eller pligter, der ville medføre, at vedkommende kan fastlægge formålene med og hjælpemidlerne til behandlingen af personoplysninger hos den dataansvarlige eller databehandleren. Tilsynet med disse formål og midler skal nemlig i overensstemmelse med EU-retten eller medlemsstaternes lovgivning om databeskyttelse kunne udføres uafhængigt af databeskyttelsesrådgiveren.

45

Afgørelsen af, om der foreligger en interessekonflikt som omhandlet i databeskyttelsesforordningens artikel 38, stk. 6, skal foretages fra sag til sag på grundlag af en vurdering af samtlige relevante omstændigheder, navnlig den organisatoriske struktur hos den dataansvarlige eller databehandleren og i lyset af alle gældende regler, herunder disse sidstnævntes eventuelle interne regler.

46

Henset til samtlige ovenstående betragtninger skal det fjerde spørgsmål besvares med, at databeskyttelsesforordningens artikel 38, stk. 6, skal fortolkes således, at der kan foreligge en »interessekonflikt« som omhandlet i denne bestemmelse, når en databeskyttelsesrådgiver får overdraget andre opgaver eller pligter, der medfører, at vedkommende kan fastlægge formålene med og hjælpemidlerne til behandlingen af personoplysninger hos den dataansvarlige eller databehandleren, hvilket det tilkommer den nationale retsinstans at afgøre fra sag til sag på grundlag af en vurdering af alle relevante omstændigheder, navnlig den dataansvarliges eller databehandlerens organisatoriske struktur og i lyset af alle gældende regler, herunder disse sidstnævntes eventuelle interne regler.

47

Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

På grundlag af disse præmisser kender Domstolen (Sjette Afdeling) for ret: