EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62020CC0534

Forslag til afgørelse fra generaladvokat J. Richard de la Tour fremsat den 27. januar 2022.
Leistritz AG mod LH.
Anmodning om præjudiciel afgørelse indgivet af Bundesarbeitsgericht.
Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning (EU) 2016/679 – artikel 38, stk. 3, andet punktum – databeskyttelsesrådgiver – forbud mod, at en dataansvarlig eller en databehandler afskediger eller straffer en databeskyttelsesrådgiver for at udføre sine opgaver – retsgrundlag – artikel 16 TEUF – krav om funktionel uafhængighed – national lovgivning, der forbyder afskedigelse af en databeskyttelsesrådgiver uden en vægtig grund.
Sag C-534/20.

Court reports – general – 'Information on unpublished decisions' section

ECLI identifier: ECLI:EU:C:2022:62

  The document is unavailable in your User interface language.

 FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT

J. RICHARD DE LA TOUR

fremsat den 27. januar 2022 ( 1 )

Sag C-534/20

Leistritz AG

mod

LH

(anmodning om præjudiciel afgørelse indgivet af Bundesarbeitsgericht (forbundsdomstol i arbejdsretlige sager, Tyskland))

»Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning (EU) 2016/679 – artikel 38, stk. 3, andet punktum – databeskyttelsesrådgiver – forbud mod afskedigelse for at udføre sine opgaver – retsgrundlag – artikel 16 TEUF – gyldighed – krav om funktionel uafhængighed – omfang af harmoniseringen – national ordning, der forbyder opsigelse af en databeskyttelsesrådgiver uden en vægtig grund – databeskyttelsesrådgiver, der er obligatorisk udpeget i henhold til national lovgivning«

I. Indledning

1.

Anmodningen om præjudiciel afgørelse fra Bundesarbeitsgericht (forbundsdomstol i arbejdsretlige sager, Tyskland) vedrører fortolkningen og gyldigheden af artikel 38, stk. 3, andet punktum, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) ( 2 ).

2.

Anmodningen er blevet indgivet i forbindelse med en tvist mellem LH og hendes arbejdsgiver, Leistritz AG, vedrørende opsigelsen af hendes ansættelsesforhold begrundet i en omstrukturering af virksomhedens afdelinger, selv om LH i henhold til gældende tysk ret, som følge af, at hun er udpeget som databeskyttelsesrådgiver, kun kan opsiges af en vægtig grund, uden at opsigelsesfristen overholdes.

3.

Jeg vil i dette forslag til afgørelse redegøre for grundene til, at jeg er af den opfattelse, at forbuddet mod afskedigelse af databeskyttelsesrådgiveren i henhold til artikel 38, stk. 3, andet punktum, i forordning 2016/679 ikke følger af en harmonisering af materielle arbejdsretlige regler, hvilket åbner mulighed for, at medlemsstaterne i overensstemmelse med det mål, der forfølges med denne forordning, i deres nationale ordninger kan styrke beskyttelsen af databeskyttelsesrådgiveren på forskellige områder.

II. Retsforskrifter

A.   Forordning 2016/679

4.

Følgende fremgår af 10., 13. og 97. betragtning til forordning 2016/679:

»(10)

For at sikre et ensartet og højt niveau for beskyttelse af fysiske personer og for at fjerne hindringerne for udveksling af personoplysninger inden for [Den Europæiske Union] bør beskyttelsesniveauet for fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af sådanne oplysninger være ensartet i alle medlemsstater. Det bør sikres, at reglerne for beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger anvendes konsekvent og ensartet overalt i Unionen. […]

[…]

(13)

For at sikre et ensartet beskyttelsesniveau for fysiske personer i hele Unionen og for at hindre, at forskelle hæmmer den frie udveksling af personoplysninger på det indre marked, er der behov for en forordning for at skabe retssikkerhed og gennemsigtighed for erhvervsdrivende, herunder mikrovirksomheder og små og mellemstore virksomheder, at give fysiske personer i alle medlemsstaterne det samme niveau af rettigheder, som kan håndhæves, og forpligtelser og ansvar for dataansvarlige og databehandlere og at sikre konsekvent tilsyn med behandling af personoplysninger og tilsvarende sanktioner i alle medlemsstaterne samt effektivt samarbejde mellem tilsynsmyndighederne i de forskellige medlemsstater. […]

[…]

(97)

[…] [D]atabeskyttelsesrådgivere bør, uanset om de er ansat hos den dataansvarlige eller ej, være i stand til at udøve deres hverv på uafhængig vis.«

5.

Denne forordnings artikel 1 med overskriften »Genstand og formål« bestemmer i stk. 1:

»I denne forordning fastsættes regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og regler om fri udveksling af personoplysninger.«

6.

Nævnte forordnings artikel 37 med overskriften »Udpegelse af en databeskyttelsesrådgiver« er i stk. 1 og 4-6 affattet som følger:

»1.   Den dataansvarlige og databehandleren udpeger altid en databeskyttelsesrådgiver, når:

a)

behandling foretages af en offentlig myndighed eller et offentligt organ, undtagen domstole, der handler i deres egenskab af domstol

b)

den dataansvarliges eller databehandlerens kerneaktiviteter består af behandlingsaktiviteter, der i medfør af deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede i stort omfang, eller

c)

den dataansvarliges eller databehandlerens kerneaktiviteter består af behandling i stort omfang af særlige kategorier af oplysninger, jf. artikel 9, eller personoplysninger vedrørende straffedomme og lovovertrædelser, jf. artikel 10.

[…]

4.   I andre tilfælde end de i stk. 1 omhandlede kan eller, når det kræves i henhold til EU-retten eller medlemsstaternes nationale ret, skal den dataansvarlige eller databehandleren eller sammenslutninger og andre organer, som repræsenterer kategorier af dataansvarlige eller databehandlere, udpege en databeskyttelsesrådgiver. Databeskyttelsesrådgiveren kan handle på vegne af sådanne sammenslutninger og andre organer, som repræsenterer dataansvarlige eller databehandlere.

5.   Databeskyttelsesrådgiveren udpeges på grundlag af sine faglige kvalifikationer, navnlig ekspertise inden for databeskyttelsesret og -praksis samt evne til at udføre de opgaver, der er omhandlet i artikel 39.

6.   Databeskyttelsesrådgiveren kan være den dataansvarliges eller databehandlerens medarbejder eller kan udføre hvervet på grundlag af en tjenesteydelseskontrakt.«

7.

Af denne forordnings artikel 38 med overskriften »Databeskyttelsesrådgiverens stilling« fremgår følgende:

»1.   Den dataansvarlige og databehandleren sikrer, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.

[…]

3.   Den dataansvarlige og databehandleren sikrer, at databeskyttelsesrådgiveren ikke modtager instrukser vedrørende udførelsen af disse opgaver. Den pågældende må ikke afskediges eller straffes af den dataansvarlige eller databehandleren for at udføre sine opgaver. Databeskyttelsesrådgiveren rapporterer direkte til det øverste ledelsesniveau hos den dataansvarlige eller databehandleren.

4.   Registrerede kan kontakte databeskyttelsesrådgiveren angående alle spørgsmål om behandling af deres oplysninger og om udøvelse af deres rettigheder i henhold til denne forordning.

5.   Databeskyttelsesrådgiveren er underlagt tavshedspligt eller fortrolighed vedrørende udførelsen af sine opgaver i overensstemmelse med EU-retten eller medlemsstaternes nationale ret.

6.   Databeskyttelsesrådgiveren kan udføre andre opgaver og have andre pligter. Den dataansvarlige eller databehandleren sikrer, at sådanne opgaver og pligter ikke medfører en interessekonflikt.«

8.

I artikel 39 i forordning 2016/679 fastlægges databeskyttelsesrådgiverens vigtigste opgaver.

B.   Tysk ret

9.

§ 6 i Bundesdatenschutzgesetz (forbundslov om databeskyttelse, Tyskland) af 20. december 1990 ( 3 ), i den affattelse, der var gældende fra den 25. maj 2018 til den 25. november 2019 ( 4 ), hvilken bestemmelse har overskriften »Stillingen«, fastsætter i stk. 4:

»Afskedigelse af databeskyttelsesrådgiveren er kun tilladt ved analog anvendelse af § 626 i Bürgerliches Gesetzbuch [(borgerlig lovbog)]. Det er ulovligt at opsige ansættelsesforholdet, medmindre der foreligger omstændigheder, som begrunder, at det offentlige organ kan opsige det af en vægtig grund, uden at opsigelsesfristen overholdes. Efter ophøret af arbejdet som databeskyttelsesrådgiver er det ulovligt at opsige ansættelsesforholdet inden for et år, medmindre det offentlige organ er berettiget til at opsige ansættelsesforholdet af en vægtig grund, uden at opsigelsesfristen overholdes.«

10.

I BDSG’s § 38 med overskriften »Databeskyttelsesrådgiver for ikke-offentlige organer« bestemmes følgende:

»(1)   Som supplement til artikel 37, stk. 1, litra b) og c), i forordning […] 2016/679 udpeger den dataansvarlige og databehandleren en databeskyttelsesrådgiver, for så vidt som de som regel fast beskæftiger mindst ti personer[ ( 5 )] med automatiseret behandling af personoplysninger. […]

(2)   § 6, stk. 4, § 6, stk. 5, andet punktum, og § 6, stk. 6, finder anvendelse, idet § 6, stk. 4, dog kun finder anvendelse, når udpegelsen af en databeskyttelsesrådgiver er obligatorisk.«

11.

§ 134 i den borgerlige lovbog, i den affattelse, der blev bekendtgjort den 2. januar 2002 ( 6 ), hvilken bestemmelse har overskriften »Lovbestemt forbud«, har følgende ordlyd:

»En retshandel, der er i strid med et lovbestemt forbud, er ugyldig, medmindre andet følger af loven.«

12.

Af den borgerlige lovbogs § 626 med overskriften »Opsigelse uden varsel af en vægtig grund« fremgår følgende:

»(1)   Tjenesteforholdet kan opsiges af begge parter af en vægtig grund, uden at opsigelsesfristen overholdes, når der foreligger omstændigheder, på grund af hvilke det under hensyntagen til alle omstændighederne i det enkelte tilfælde og efter en afvejning af begge parters interesser ikke kan kræves af den opsigende part, at tjenesteforholdet fortsættes indtil udløbet af opsigelsesfristen eller indtil det aftalte tidspunkt for tjenesteforholdets ophør.

(2)   Opsigelsen kan kun ske inden for to uger. Fristen begynder at løbe på det tidspunkt, hvor den opsigelsesberettigede får kendskab til de omstændigheder, der er afgørende for opsigelsen. […]«

III. Tvisten i hovedsagen og de præjudicielle spørgsmål

13.

Leistritz er en privatretligt organiseret virksomhed, der i henhold til tysk lovgivning er forpligtet til at udpege en databeskyttelsesrådgiver. LH arbejdede fra den 15. januar 2018 i denne virksomhed som teamleder for den juridiske afdeling (»Teamleiter Recht«) og var fra den 1. februar 2018 desuden virksomhedens interne databeskyttelsesrådgiver.

14.

Ved skrivelse af 13. juli 2018 opsagde Leistritz LH’s ansættelsesforhold ordinært med virkning fra den 15. august 2018 og påberåbte sig derved en omstrukturering af virksomheden, i forbindelse med hvilken virksomhedens interne juridiske funktioner såvel som området for databeskyttelse blev udliciteret.

15.

De tidligere instanser, for hvilke LH havde gjort gældende, at opsigelsen var ugyldig, fastslog, at LH som databeskyttelsesrådgiver i henhold til BDSG’s § 38, stk. 2, sammenholdt med samme lovs § 6, stk. 4, andet punktum, kun kunne opsiges ekstraordinært af en vægtig grund (»aus wichtigem Grund«) Den af Leistritz beskrevne omstrukturering udgør imidlertid ikke en vægtig grund for en ekstraordinær opsigelse.

16.

Den forelæggende ret, som behandler den af Leistritz indgivne revisionsanke, har påpeget, at opsigelsen af LH i medfør af tysk lovgivning er ugyldig i henhold til disse bestemmelser og den borgerlige lovbogs § 134 ( 7 ). Den nævnte ret har dog anført, at spørgsmålet, om sådanne bestemmelser finder anvendelse, afhænger af, om en ordning i en medlemsstat, hvorefter en opsigelse af en databeskyttelsesrådgivers ansættelsesforhold er knyttet til strengere betingelser end i henhold til EU-retten, er tilladt i henhold til EU-retten, navnlig artikel 38, stk. 3, andet punktum, i forordning 2016/679. Såfremt dette ikke er tilfældet, påhviler det den forelæggende ret at tage revisionsanken til følge.

17.

Under disse omstændigheder har Bundesarbeitsgericht (forbundsdomstol i arbejdsretlige sager) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»1)

Skal artikel 38, stk. 3, andet punktum, i forordning [2016/679] fortolkes således, at denne bestemmelse er til hinder for en bestemmelse i national lovgivning, i den foreliggende sag § 38, stk. 1 og 2, sammenholdt med § 6, stk. 4, andet punktum, i [BDSG], hvorefter den dataansvarliges ordinære opsigelse af databeskyttelsesrådgiverens ansættelsesforhold, idet den dataansvarlige er dennes arbejdsgiver, er ulovlig, uafhængigt af, om opsigelsen skyldes udførelsen af dennes opgaver?

2)

Såfremt det første spørgsmål besvares bekræftende:

Er artikel 38, stk. 3, andet punktum, i forordning 2016/679 også til hinder for en sådan bestemmelse i national lovgivning, såfremt udpegelsen af databeskyttelsesrådgiveren ikke er obligatorisk i henhold til artikel 37, stk. 1, i [denne forordning], men kun i henhold til medlemsstatens lovgivning?

3)

Såfremt det første spørgsmål besvares bekræftende:

Hviler artikel 38, stk. 3, andet punktum, i forordning 2016/679 på et tilstrækkeligt [rets]grundlag, navnlig for så vidt som denne bestemmelse omfatter databeskyttelsesrådgivere, der står i et ansættelsesforhold til den dataansvarlige?«

18.

LH, Leistritz, den tyske og den rumænske regering såvel som Europa-Parlamentet, Rådet for Den Europæiske Union og Europa-Kommissionen har indgivet skriftlige indlæg. Disse parter, med undtagelse af den tyske og den rumænske regering, har afgivet mundtlige indlæg i retsmødet, som blev afholdt den 18. november 2021.

IV. Bedømmelse

A.   Om det første præjudicielle spørgsmål

19.

Den forelæggende ret ønsker med det første spørgsmål nærmere bestemt oplyst, om artikel 38, stk. 3, andet punktum, i forordning 2016/679 skal fortolkes således, at denne bestemmelse er til hinder for en national ordning, som fastsætter, at en databeskyttelsesrådgivers arbejdsgiver kun kan opsige denne af en vægtig grund, selv når opsigelsen ikke er forbundet med databeskyttelsesrådgiverens udførelse af sine opgaver.

20.

Besvarelsen af dette spørgsmål forudsætter for det første, at det præciseres, hvad formuleringen »afskediges […] for at udføre sine opgaver«, som EU-lovgiver har anvendt i artikel 38, stk. 3, andet punktum, i forordning 2016/679, dækker over. For det andet skal det fastlægges, hvorvidt medlemsstaterne har mulighed for at udvide de garantier, som databeskyttelsesrådgiveren er omfattet af i henhold til denne bestemmelse.

1. Om beskyttelsen af databeskyttelsesrådgiveren i henhold til artikel 38, stk. 3, andet punktum, i forordning 2016/679

21.

Artikel 38 i forordning 2016/679 optræder i denne forordnings kapitel IV om »[den] [d]ataansvarlige og databehandler[en]«, specifikt i afdeling 4 med overskriften »Databeskyttelsesrådgiver«. Denne afdeling indeholder tre artikler, der omhandler henholdsvis udpegelse af en databeskyttelsesrådgiver ( 8 ), dennes stilling ( 9 ) og dennes opgaver, som i det væsentlige består i at give personlig rådgivning om databehandling og at overvåge overholdelsen af databeskyttelsesreglerne ( 10 ).

22.

Med henblik på fortolkningen af artikel 38, stk. 3, andet punktum, i forordning 2016/679 skal der ifølge Domstolens faste praksis ikke blot tages hensyn til denne bestemmelses ordlyd, men også til den sammenhæng, hvori den indgår, og til de mål, der forfølges med den lovgivning, som den er en del af ( 11 ).

23.

Hvad angår ordlyden af artikel 38, stk. 3, andet punktum, i forordning 2016/679 noterer jeg, at der heri kommer en negativt formuleret forpligtelse til udtryk. Det fastsættes nemlig heri, at »[databeskyttelsesrådgiveren] [ikke] må […] afskediges eller straffes af den dataansvarlige eller databehandleren for at udføre sine opgaver« ( 12 ).

24.

Denne bestemmelse fastsætter således den ydre afgrænsning vedrørende beskyttelsen af databeskyttelsesrådgiveren. Sidstnævnte er for det første beskyttet mod enhver afgørelse, hvorved den pågældendes hverv ville blive bragt til ophør, eller hvorved den pågældende ville blive påført en ulempe, når for det andet en sådan afgørelse indtræffer i forbindelse med den pågældendes udførelse af sine opgaver.

25.

For så vidt angår sondringen mellem den foranstaltning, der består i afskedigelse af databeskyttelsesrådgiveren, og den, hvorved den pågældende straffes, konstaterer jeg for det første, at der ikke er nogen bestemmelse i forordning 2016/679, som udtrykkeligt eller stiltiende definerer disse foranstaltninger ( 13 ).

26.

Det kan efter en sammenlignende undersøgelse af andre sprogversioner fastslås, at der i artikel 38, stk. 3, andet punktum, i forordning 2016/679 er omhandlet to slags foranstaltninger, nærmere bestemt foranstaltninger, hvorved databeskyttelsesrådgiverens hverv bringes til ophør, og foranstaltninger, der, uanset hvilken sammenhæng de indgår i, udgør sanktioner eller stiller databeskyttelsesrådgiveren ugunstigt. Disse definitioner kan følgelig omfatte opsigelser, hvorved arbejdsgiveren bringer et ansættelsesforhold til ophør ( 14 ).

27.

Resultaterne af min søgning vedrørende den lovgivningsmæssige tilblivelseshistorie for artikel 38 i forordning 2016/679, som jeg har kunnet få adgang til, gør det i mangel af detaljerede oplysninger ikke muligt at bringe klarhed over EU-lovgivers nøjagtige hensigt hvad angår rækkevidden af formuleringen »afskediges«. Det kan alene konstateres, at den redaktionelle tilføjelse med hensyn til afskedigelse indtraf sent i den lovgivningsproces ( 15 ), under hvilken der samtidig blev fjernet følgende sætningsled, som optrådte efter »[d]en dataansvarlige [og] databehandleren sikrer, at databeskyttelsesrådgiveren«: »kan handle på uafhængig vis under udførelsen af sine opgaver« ( 16 ). Det kunne heraf udledes, at EU-lovgiver har ønsket at tydeliggøre forpligtelsen til ikke at afskedige databeskyttelsesrådgiveren for at udføre sine opgaver.

28.

Jeg noterer ligeledes, at EU-lovgiver har valgt at gengive den nøjagtige ordlyd af artikel 38, stk. 3, andet punktum, i forordning 2016/679 i artikel 44, stk. 3, andet punktum, i Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF ( 17 ). Der kan imidlertid ikke af dokumentationen om udarbejdelsen af forordning 2018/1725 udledes nærmere angivelser, hvilket efter min opfattelse er begrundet ved indføjelsen i artikel 44, stk. 8, af en væsentlig garanti, der gives databeskyttelsesrådgiveren, nemlig at denne »[kun] kan […] afskediges af den eller det af Unionens institutioner eller organer, som udpegede vedkommende, hvis den pågældende ikke længere opfylder de krav, der stilles for udførelsen af vedkommendes opgaver, og kun med samtykke fra Den Europæiske Tilsynsførende for Databeskyttelse«.

29.

For det andet noterer jeg, at der i artikel 38, stk. 3, andet punktum, i forordning 2016/679 ikke sondres i forhold til, hvorvidt databeskyttelsesrådgiveren er eller ikke er den dataansvarliges eller databehandlerens medarbejder ( 18 ). Denne forordning indeholder nemlig ingen bestemmelse om det indbyrdes forhold mellem beslutninger, som arbejdsgiveren træffer inden for rammerne af tjenesteforholdet, og beslutninger, der er knyttet til databeskyttelsesrådgiverens hverv. Den eneste afgrænsning vedrører grundene til, at databeskyttelsesrådgiverens hverv ikke kan bringes til ophør, dvs. enhver grund, der er knyttet til den pågældendes udførelse af sine opgaver.

30.

Hvad angår det mål, som EU-lovgiver har forfulgt, begrunder dette den generelle formulering, der præger affattelsen af artikel 38, stk. 3, andet punktum, i forordning 2016/679, såvel som valget af denne afgrænsning.

31.

Det præciseres nemlig i udkastet til Rådets begrundelse, at formålet med at udpege en databeskyttelsesrådgiver er at forbedre overholdelsen af forordning 2016/679 ( 19 ). Det er af denne grund, at der i denne forordnings artikel 38, stk. 3, andet punktum, fastsættes en række forpligtelser, der er egnede til at sikre databeskyttelsesrådgiverens uafhængighed. Således fremgår det af samme artikel, at databeskyttelsesrådgiveren ikke må modtage instrukser vedrørende udførelsen af sine opgaver, og at den pågældende skal rapportere direkte til det øverste ledelsesniveau hos den dataansvarlige eller databehandleren ( 20 ). Databeskyttelsesrådgiveren er ligeledes underlagt tavshedspligt eller fortrolighed ( 21 ).

32.

Der er på denne måde lagt vægt på at sætte strenge rammer for databeskyttelsesrådgiverens hverv, hvilket er særligt begrundet, når databeskyttelsesrådgiveren udpeges af en dataansvarlig, som er dennes arbejdsgiver. Gennem forbuddet i artikel 38, stk. 3, andet punktum, i forordning 2016/679 sikres følgelig bestemte beføjelser, der tildeles databeskyttelsesrådgiveren med henblik på dennes udførelse af sine opgaver, men som i visse tilfælde kan være vanskelige at forene med de beføjelser, som arbejdsgiveren fastlægger inden for rammerne af tjenesteforholdet.

33.

Den analyse, hvorefter denne bestemmelse alene har til formål at sætte databeskyttelsesrådgiveren i stand til at udføre sit hverv på uafhængig vis, bestyrkes af den sammenhæng, hvori bestemmelsen blev vedtaget.

34.

Det skal i denne henseende fremhæves, at genstanden for forordning 2016/679 i henhold til artikel 1 heri er at fastsætte regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og regler om fri udveksling af personoplysninger. Forordningen blev således vedtaget på grundlag af artikel 16, stk. 2, TEUF ( 22 ), hvilket, således som jeg har redegjort for i et tidligere forslag til afgørelse, fører til den antagelse, at den harmonisering, der foretages i denne forordning – selv om beskyttelsen af personoplysninger efter sin karakter er tværgående – begrænser sig til de aspekter, der er specifikt omfattet af den nævnte forordning på dette område ( 23 ).

35.

Af samtlige disse grunde hersker der efter min opfattelse ingen tvivl om, at den specifikke beskyttelse af databeskyttelsesrådgiveren i henhold til artikel 38, stk. 3, andet punktum, i forordning 2016/679 er særegen for genstanden for denne forordning, for så vidt som denne beskyttelse styrker databeskyttelsesrådgiverens autonomi. Den falder dermed ikke ind under det bredere område vedrørende beskyttelse af arbejdstagere ( 24 ).

36.

Som følge heraf melder sig atter spørgsmålet om, hvorvidt medlemsstaterne, ud over de specifikke aspekter, der er omfattet af forordning 2016/679, frit kan fastsætte regler under forudsætning af, at indholdet og formålene med denne forordning ikke derved berøres ( 25 ).

2. Om medlemsstaternes mulighed for at udvide de garantier, som databeskyttelsesrådgiveren er givet i medfør af artikel 38, stk. 3, andet punktum, i forordning 2016/679

37.

Det formål med forordning 2016/679, der fremgår af 13. betragtning hertil, og i overensstemmelse med hvilket EU-lovgiver i denne forordnings artikel 38, stk. 3, andet punktum ( 26 ) har sikret databeskyttelsesrådgiverens uafhængighed generelt, begrunder efter min opfattelse, at det skal være muligt for en medlemsstat at træffe enhver yderligere foranstaltning, som sigter mod at styrke databeskyttelsesrådgiverens autonomi under dennes udførelse af sine opgaver.

38.

Denne analyse er hverken i modstrid med virkningerne af en forordning, således som disse er defineret i artikel 288, stk. 2, TEUF, eller med den deraf følgende forpligtelse for medlemsstaterne til ikke at fravige en forordning, der er bindende i alle enkeltheder, og som gælder umiddelbart, eller supplere den, medmindre den pågældende forordning indeholder bestemmelser, hvorved medlemsstaterne indrømmes en manøvremargin, som disse alt efter omstændighederne kan eller skal gøre brug af under de forudsætninger og inden for de begrænsninger, som fremgår af disse bestemmelser ( 27 ).

39.

Jeg gentager derfor min opfattelse, hvorefter omfanget af den harmonisering, der foretages i forordning 2016/679, er forskelligt alt afhængigt af, hvilke bestemmelser der er tale om. Fastlæggelsen af denne forordnings normative rækkevidde kræver således en undersøgelse i hvert enkelt tilfælde ( 28 ).

40.

Jeg noterer i denne henseende, at der i artikel 38, stk. 3, andet punktum, i forordning 2016/679 fastsættes et forbud mod afskedigelse af databeskyttelsesrådgiveren, alene for så vidt som afskedigelsen er forbundet med databeskyttelsesrådgiverens – antageligvis korrekte – udførelse af sine opgaver ( 29 ), uden at der indføres en angivelse af grovheden med hensyn til den påberåbte grund, eller at der tages højde for de forskellige aspekter af underordnelsesforholdet til arbejdsgiveren, der kan indvirke på udpegelsen af den pågældende. Der er således f.eks. ikke taget højde for ansættelsesforholdets varighed eller for en personlig eller økonomisk begrundelse for opsigelsen heraf, som i givet fald vil kunne være genstand for forhandling, og ej heller for en afbrydelse af tjenesteforholdet på grund af sygdom, efter- eller videreuddannelse, årlig ferie eller længerevarende orlov.

41.

EU-lovgivers hensigt om at overlade til medlemsstaterne at supplere bestemmelserne til beskyttelse af databeskyttelsesrådgiverens uafhængighed på grundlag af nogle lovgivningsmæssige rammer, der med hensyn til databeskyttelsesrådgiverens udførelse af sine opgaver er minimale, og som fastlægges ud fra formålene med forordning 2016/679, kommer derudover ligeledes til udtryk ved, at der ikke er nogen forskrift om varigheden af databeskyttelsesrådgiverens hverv – i modsætning til i artikel 44, stk. 8, første punktum, i forordning 2018/1725 – ( 30 ) eller, som i den foreliggende sag, om det tilfælde, hvor en omstrukturering af en virksomhed bevirker, at databeskyttelsesrådgiverens funktioner udliciteres af grunde, der ikke er forbundet med dennes udførelse af sit hverv.

42.

Som følge heraf kan medlemsstaterne beslutte at styrke databeskyttelsesrådgiverens uafhængighed, for så vidt som databeskyttelsesrådgiveren bidrager til at gennemføre formålene med forordning 2016/679, mere specifikt vedrørende opsigelse, eftersom der ikke findes nogen EU-retlig bestemmelse, der kan tjene som grundlag for en særlig, konkret beskyttelse af databeskyttelsesrådgiveren mod opsigelse af en grund, der er uafhængig af dennes udførelse af sine opgaver, selv om opsigelsen af tjenesteforholdet nødvendigvis bevirker, at disse opgaver bringes til ophør.

43.

Der erindres i denne henseende om, at det på området for beskyttelse af arbejdstagere ved ophævelse af en arbejdskontrakt i artikel 153, stk. 1, litra d), TEUF præciseres, at Unionen støtter og supplerer medlemsstaternes indsats, og om, at Unionen og medlemsstaterne, mere generelt, i medfør af artikel 4, stk. 2, litra b), TEUF på området for social- og arbejdsmarkedspolitik for så vidt angår de aspekter, der er fastlagt i EUF-traktaten, deler kompetence i den forstand, hvori udtrykket er anvendt i artikel 2, stk. 2, TEUF.

44.

Under disse omstændigheder kan den enkelte medlemsstat frit fastsætte særlige bestemmelser vedrørende opsigelse af databeskyttelsesrådgiveren, forudsat at disse bestemmelser er forenelige med den ordning til beskyttelse af databeskyttelsesrådgiveren, som er fastsat i forordning 2016/679 ( 31 ).

45.

Som det fremgår af den kortfattede gennemgang af medlemsstaternes lovgivning, som jeg har kunnet foretage ( 32 ), har de fleste medlemsstater ikke vedtaget særlige bestemmelser om opsigelse, idet de har begrænset sig til forbuddet i artikel 38, stk. 3, andet punktum, i forordning 2016/679, som gælder umiddelbart ( 33 ).

46.

Andre medlemsstater har imidlertid valgt at supplere den omhandlede bestemmelse ( 34 ).

47.

Jeg gør i denne forbindelse opmærksom på, at »Artikel 29-gruppen« har påpeget, at, »[s]om det gælder for en normal lederstilling, og som det ville være tilfældet for enhver anden medarbejder eller kontrahent under og underlagt gældende national kontrakt-, arbejds- eller strafferet, kan en databeskyttelsesrådgiver stadig afskediges legitimt af andre grunde end udførelsen af opgaverne som databeskyttelsesrådgiver (f.eks. i tilfælde af tyveri, fysisk, psykologisk eller seksuel chikane eller lignende grov forseelse)« ( 35 ).

48.

Uafhængigt af medlemsstaternes valg bidrager det administrative eller judicielle organ, som i hver enkelt af disse har til opgave at efterprøve, om begrundelsen for at afskedige databeskyttelsesrådgiveren er lovlig, efter min opfattelse ligeledes til at sikre databeskyttelsesrådgiverens uafhængighed.

49.

Da det i høj grad er sandsynligt, at det ikke fremgår udtrykkeligt af beslutningen om at afskedige databeskyttelsesrådgiveren, at afskedigelsen er forbundet med den pågældendes tilfredsstillende udførelse af sine opgaver ( 36 ), kan det således komme på tale med en generel beskyttelse, der alene følger af hvervet som databeskyttelsesrådgiver. Det fremgår i det foreliggende tilfælde af den forelæggende rets forklaringer, at det er begrebet »vægtig grund« (»wichtiger Grund«), således som dette er fortolket i tysk ret, der fører til den antagelse, at databeskyttelsesrådgiverens hverv af hensyn til en supplerende beskyttelse ikke kan bringes til ophør i tilfælde af omstrukturering ( 37 ). I samme retning kunne det i øvrigt antages, at databeskyttelsesrådgiverens opgaver i tilfælde af, at en virksomhed, der er forpligtet til at udpege en databeskyttelsesrådgiver, og som med henblik herpå har valgt en af sine medarbejdere, oplever økonomiske vanskeligheder – i betragtning af formålet med forordning 2016/679 og databeskyttelsesrådgiverens bidrag til opfyldelsen heraf – bør vedblive med at blive udført, så længe arbejdsgiverens aktivitet varer ved.

50.

Forbuddet i artikel 38, stk. 3, andet punktum, i forordning 2016/679 har imidlertid nødvendigvis nogle begrænsninger, når der i forbindelse med databeskyttelsesrådgiverens udførelse af sine opgaver er tale om objektive utilstrækkeligheder under hensyntagen til dennes forpligtelser. Disse begrænsninger skal fastlægges i overensstemmelse med det mål, der forfølges med denne forordning ( 38 ).

51.

En fortolkning, der på tilsvarende vis er i overensstemmelse med formålet med forordning 2016/679, bør således efter min opfattelse føre til en anerkendelse af, at en databeskyttelsesrådgiver kan afskediges, såfremt den pågældende ikke længere opfylder de nødvendige egnethedskriterier for udførelsen af sine opgaver, såsom de kriterier, der er omhandlet i denne forordnings artikel 37, stk. 5, eller ikke opfylder de forpligtelser, der fremgår af den nævnte forordnings artikel 38, stk. 3, første og tredje punktum, og artikel 38, stk. 5 og 6 ( 39 ), eller endvidere såfremt den pågældendes ekspertiseniveau viser sig at være utilstrækkeligt ( 40 ).

52.

Jeg er følgelig af den opfattelse, at artikel 38, stk. 3, andet punktum, i forordning 2016/679 skal fortolkes således, at denne bestemmelse ikke er til hinder for en national ordning, som fastsætter, at en databeskyttelsesrådgivers arbejdsgiver kun kan opsige denne af en vægtig grund, selv når opsigelsen ikke er forbundet med databeskyttelsesrådgiverens udførelse af sine opgaver.

53.

Såfremt Domstolen imidlertid ikke er enig i denne opfattelse og beslutter at besvare den forelæggende rets første spørgsmål bekræftende, vil de to øvrige præjudicielle spørgsmål skulle besvares.

B.   Om det andet præjudicielle spørgsmål

54.

Med det andet spørgsmål ønsker den forelæggende ret oplyst, om artikel 38, stk. 3, andet punktum, i forordning 2016/679 er til hinder for en national ordning, hvorefter arbejdsgiverens opsigelse af databeskyttelsesrådgiveren er ulovlig uden en vægtig grund, selv når opsigelsen ikke er forbundet med den pågældendes udførelse af sine opgaver, såfremt udpegelsen af databeskyttelsesrådgiveren ikke er obligatorisk i henhold til denne forordnings artikel 37, stk. 1, men kun i henhold til national ret, således som det fremgår af den nævnte forordnings artikel 37, stk. 4.

55.

Jeg noterer, at der hverken i artikel 38, stk. 3, i forordning 2016/679 eller i de øvrige bestemmelser i denne forordnings afdeling 4, som omhandler databeskyttelsesrådgiveren, sondres i forhold til, om udpegelsen af databeskyttelsesrådgiveren er obligatorisk eller frivillig.

56.

Følgelig skal den forelæggende rets spørgsmål efter min opfattelse besvares med, at artikel 38, stk. 3, andet punktum, i forordning 2016/679 finder anvendelse, uden at der skal sondres i forhold til, om databeskyttelsesrådgiveren er obligatorisk udpeget i henhold til EU-retten eller i henhold til national ret.

C.   Om det tredje præjudicielle spørgsmål

57.

Med det tredje spørgsmål har den forelæggende ret udtrykt tvivl med hensyn til gyldigheden af artikel 38, stk. 3, andet punktum, i forordning 2016/679 og særligt med hensyn til, hvorvidt denne bestemmelse hviler på et tilstrækkeligt retsgrundlag, navnlig for så vidt som den omfatter databeskyttelsesrådgivere, der står i et ansættelsesforhold til den dataansvarlige.

58.

Jeg foreslår Domstolen at lægge til grund, at artikel 38, stk. 3, andet punktum, i forordning 2016/679 hviler på et tilstrækkeligt retsgrundlag, for så vidt som denne bestemmelse alene har til formål at beskytte databeskyttelsesrådgiveren mod enhver hindring i forbindelse med dennes udførelse af sine opgaver, og da denne garanti uden hensyntagen til, om der består et tjenesteforhold, bidrager til den effektive gennemførelse af formålene med denne forordning.

59.

For det første udgør artikel 16 TEUF nemlig det retsgrundlag, som den nævnte forordning er støttet på, således som jeg har redegjort for inden for rammerne af min bedømmelse af det første præjudicielle spørgsmål ( 41 ). Domstolen har endvidere fastslået, at denne bestemmelse, med forbehold af artikel 39 TEU, udgør et passende retsgrundlag, når beskyttelsen af personoplysninger er et af de væsentlige formål med eller led i de af EU-lovgiver vedtagne regler ( 42 ).

60.

For det andet er én af disse betingelser med hensyn til databeskyttelsesrådgiverens rolle og rammerne herfor, som fastlagt i forordning 2016/679, efter min opfattelse fuldt ud opfyldt. Den garanti for databeskyttelsesrådgiverens funktionelle uafhængighed, som har til formål at sikre et højt niveau med hensyn til overholdelsen af de grundlæggende rettigheder, der gælder for de registrerede, der er berørt af behandlingen af personoplysninger ( 43 ), kommer i denne forordnings artikel 38, stk. 3, andet punktum, til udtryk ved formuleringen af et forbud mod at bringe databeskyttelsesrådgiverens hverv til ophør af grunde, der er uadskilleligt forbundne med dennes opgaver. Da der i denne bestemmelse på ingen måde pålægges en harmonisering på det arbejdsretlige område, har EU-lovgiver ikke overskredet de normative beføjelser, som denne er tildelt ved artikel 16, stk. 2, TEUF.

61.

Hvad angår overholdelsen af subsidiaritetsprincippet og proportionalitetsprincippet, som den forelæggende ret ligeledes har udtrykt tvivl om, vil jeg for det første anføre, at intensiveringen af den grænseoverskridende behandling af personoplysninger begrunder, at beskyttelsen af disse oplysninger med hensyn til de grundlæggende rettigheder gennemføres på EU-plan ( 44 ), idet der bl.a. sikres beføjelser til databeskyttelsesrådgiveren, som anses for en »central aktør« i forbindelse med denne beskyttelse ( 45 ). For det andet går artikel 38, stk. 3, andet punktum, i forordning 2016/679 efter min opfattelse ikke ud over, hvad der er nødvendigt for at sikre databeskyttelsesrådgiverens funktionelle uafhængighed. Den garanti for ikke at blive afskediget, som er fastsat i denne bestemmelse, har ganske vist nødvendigvis en indvirkning på tjenesteforholdet. Denne indvirkning har imidlertid alene til formål at beskytte den effektive virkning af databeskyttelsesrådgiverens stilling.

62.

Følgelig skal den forelæggende rets spørgsmål efter min opfattelse besvares med, at der ved undersøgelsen af det tredje præjudicielle spørgsmål ikke er blevet klarlagt noget forhold, som kan påvirke gyldigheden af artikel 38, stk. 3, andet punktum, i forordning 2016/679.

V. Forslag til afgørelse

63.

Henset til samtlige ovenstående betragtninger foreslår jeg Domstolen at besvare de af Bundesarbeitsgericht (forbundsdomstol i arbejdsretlige sager, Tyskland) forelagte præjudicielle spørgsmål som følger:

»Principalt:

Artikel 38, stk. 3, andet punktum, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at denne bestemmelse ikke er til hinder for en national ordning, som fastsætter, at en databeskyttelsesrådgivers arbejdsgiver kun kan opsige denne af en vægtig grund, selv når opsigelsen ikke er forbundet med databeskyttelsesrådgiverens udførelse af sine opgaver.

Subsidiært, såfremt Domstolen besvarer det første spørgsmål bekræftende:

Artikel 38, stk. 3, andet punktum, i forordning 2016/679 finder anvendelse, uden at der skal sondres i forhold til, om databeskyttelsesrådgiveren er obligatorisk udpeget i henhold til EU-retten eller i henhold til national ret.

Der er ved undersøgelsen af det tredje præjudicielle spørgsmål ikke blevet klarlagt noget forhold, som kan påvirke gyldigheden af artikel 38, stk. 3, andet punktum, i forordning 2016/679.«


( 1 ) – Originalsprog: fransk.

( 2 ) – EUT 2016, L 119, s. 1, berigtiget i EUT 2018, L 127, s. 2.

( 3 ) – BGBl. 1990 I, s. 2954.

( 4 ) – BGBl. 2017 I, s. 2097, herefter »BDSG«.

( 5 ) – I BDSG’s § 38, stk. 1, første punktum, i den affattelse, der har været gældende siden den 26.11.2019, er antallet af beskæftigede blevet forhøjet til »20«.

( 6 ) – BGBl. 2002 I, s. 42, berigtiget på s. 2909, og BGBl. 2003 I, s. 738.

( 7 ) – Den forelæggende ret har endvidere henvist til, at der ifølge dens praksis ikke ligger en vægtig grund til afskedigelse deri, at virksomhedens databeskyttelse på grund af en organisatorisk ændring i fremtiden skal sikres af en ekstern databeskyttelsesrådgiver (jf. dom fra Bundesarbeitsgericht (forbundsdomstol i arbejdsretlige sager), nr. 10 AZR 562/09 af 23.3.2011, præmis 18, som er tilgængelig på følgende websted: https://www.bundesarbeitsgericht.de/entscheidung/10-azr-562-09/).

( 8 ) – Denne forordnings artikel 37.

( 9 ) – Nævnte forordnings artikel 38.

( 10 ) – Samme forordnings artikel 39.

( 11 ) – Jf. bl.a. dom af 12.5.2021, Bundesrepublik Deutschland (Efterlysningsblad (rødt hjørne) fra INTERPOL) (C-505/19, EU:C:2021:376, præmis 77).

( 12 ) – Min fremhævelse.

( 13 ) – I dokumentet »Retningslinjer for databeskyttelsesrådgivere« (herefter »retningslinjer for databeskyttelsesrådgivere«), der blev vedtaget den 13.12.2016 og revideret den 5.4.2017, og som er tilgængelige på webstedet: https://ec.europa.eu/newsroom/article29/items/612048/en præciserede gruppen vedrørende beskyttelse af personer i forbindelse med behandling af personoplysninger, som var blevet nedsat ved artikel 29 i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24.10.1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31) (herefter »Artikel 29-gruppen«), følgende: »Sanktioner kan antage forskellige former og kan være direkte eller indirekte. De kan for eksempel bestå af udebleven eller forsinket forfremmelse, forhindringer for karriereudvikling, udelukkelse fra personalegoder, som andre medarbejdere modtager. Det er ikke nødvendigt, at disse sanktioner faktisk udføres; den blotte trussel er tilstrækkelig, så længe de bruges til at straffe databeskyttelsesrådgiveren på grund af årsager relateret til dennes aktiviteter« (s. 16 og 17). Fra ikrafttrædelsen af forordning 2016/679 blev denne gruppe erstattet med Det Europæiske Databeskyttelsesråd (Databeskyttelsesrådet). Nævnte råd godkendte retningslinjerne for databeskyttelsesrådgivere ved dets første plenarforsamling den 25.5.2018 (jf. https://edpb.europa.eu/sites/default/files/files/news/endorsement_of_wp29_documents_en_0.pdf).

( 14 ) – Ud over den tyske sprogversion af artikel 38, stk. 3, andet punktum, i forordning 2016/679 (»abberufen«) viser f.eks. den spanske (»destituido«), den franske (»relevé«) og den portugisiske (»destituído«) sprogversion af denne bestemmelse, således som LH har fremhævet, tydeligt, at der i denne forordning er tale om at bringe databeskyttelsesrådgiverens hverv til ophør og ikke »tjenesteforholdet« (»kündigen« på tysk). Jf. ligeledes den engelske (»dismissed«), den italienske (»rimosso«), den polske (»odwoływany«) og den rumænske (»demis«) sprogversion.

( 15 ) – Jf. note fra formandskabet for Rådet for Den Europæiske Union af 3.10.2014 vedrørende forslag til Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse) [Førstebehandling] – Kapitel IV, som er tilgængelig på webstedet https://data.consilium.europa.eu/doc/document/ST-13772-2014-INIT/da/pdf, for så vidt angår tilføjelsen i det nævnte forslags artikel 36, stk. 3, af den omstændighed, at [databeskyttelsesrådgiveren] ikke må straffes for at udføre sine opgaver (s. 34). Jf. ligeledes Rådets førstebehandlingsholdning med henblik på vedtagelse af Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) af 6.4.2016, som er tilgængelig på webstedet https://eur-lex.europa.eu/legal-content/DA/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT&from=FR, hvorved den nugældende ordlyd af artikel 38 i forordning 2016/679 blev vedtaget.

( 16 ) – Formuleringen »på uafhængig vis« fremgår af sidste punktum i 97. betragtning til forordning 2016/679.

( 17 ) – EUT 2018, L 295, s. 39.

( 18 ) – Jf. artikel 37, stk. 6, i forordning 2016/679.

( 19 ) – Jf. Rådets førstebehandlingsholdning med henblik på vedtagelse af Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) – Udkast til Rådets begrundelse, af 31.3.2016, som er tilgængelig på følgende websted: https://eur-lex.europa.eu/legal-content/DA/TXT/PDF/?uri=CONSIL:ST_5419_2016_ADD_1_REV_1&from=FR (s. 22). Hvad angår databeskyttelsesrådgivers vigtige rolle ved anvendelsen af forordning 2016/679 jf. 97. betragtning til denne forordning og desuden databeskyttelsesrådgivers opgaver, som er fastlagt i nævnte forordnings artikel 39. I denne forbindelse mindede »Artikel 29-gruppen« i retningslinjerne for databeskyttelsesrådgivere om, at den før vedtagelsen af forordning 2016/679 havde hævdet, at databeskyttelsesrådgiveren var »hjørnestenen i ansvarlighed, og at udpegelsen af en databeskyttelsesrådgiver kan lette overholdelse[n af reglerne]« (s. 5). Denne gruppe anførte ligeledes, at denne forordning anerkender databeskyttelsesrådgiveren »som en central aktør i det nye datastyringssystem« (s. 6). Jf. til illustration af den dataansvarliges eller dennes databehandlers informationsbehov, som databeskyttelsesrådgiveren skal imødekomme, dom af 16.7.2020, Facebook Ireland og Schrems (C-311/18, EU:C:2020:559, præmis 134).

( 20 ) – Jf. artikel 38, stk. 3, første og tredje punktum, i forordning 2016/679.

( 21 ) – Jf. artikel 38, stk. 5, i forordning 2016/679.

( 22 ) – Jf. præambel og 12. betragtning til forordning 2016/679 samt dom af 15.6.2021, Facebook Ireland m.fl. (C-645/19, EU:C:2021:483, præmis 44).

( 23 ) – Jf. mit forslag til afgørelse Facebook Ireland (C-319/20, EU:C:2021:979, punkt 51).

( 24 ) – Jeg er i denne forbindelse af den opfattelse, at bestemmelserne i den nævnte forordnings artikel 88, stk. 1, ikke kan bruges som argument for at antage, at disse bestemmelser udgør en åbningsklausul.

( 25 ) – Jf. mit forslag til afgørelse Facebook Ireland (C-319/20, EU:C:2021:979, punkt 51).

( 26 ) – Jf. punkt 31 i dette forslag til afgørelse.

( 27 ) – Jf. bl.a. hvad angår forordning 2016/679 mit forslag til afgørelse Facebook Ireland (C-319/20, EU:C:2021:979, punkt 52).

( 28 ) – Jf. mit forslag til afgørelse Facebook Ireland (C-319/20, EU:C:2021:979, punkt 52). I punkt 55 heri henledte jeg desuden Domstolens opmærksomhed på det forhold, at forordning 2016/679 indeholder flere åbningsklausuler, gennem hvilke denne forordning udtrykkeligt overdrager den normative kompetence til medlemsstaterne, hvorved den adskiller sig fra en traditionel forordning og kan sammenlignes med et direktiv.

( 29 ) – Som E. Bielak-Jomaa har fremhævet i »Artykuł 38. Status inspektora ochrony danych«, i E. Bielak-Jomaa og D. Lubasz, RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer, Warszawa, 2018, s. 794-806, særligt punkt 5, fjerde afsnit, har »Artikel 29-gruppen« i denne henseende ikke anført noget kriterium, der ville være formålstjenligt med henblik på at afgøre, hvorvidt databeskyttelsesrådgiverens opgaver udføres korrekt. Ligeledes har O. Foret i »Le rôle du DPO«, i A. Bensamoun og B. Bertrand, Le règlement général sur la protection des données, Aspects institutionnels et matériels, Mare et Martin, Paris, 2020, s. 233-239, særligt s. 235 og 236, påpeget, at »Databeskyttelsesrådet i sine retningslinjer har præciseret, at […] »det påkrævede ekspertiseniveau [for at blive udpeget som databeskyttelsesrådgiver] [ikke] er […] præcist defineret, [men] skal være […] rimeligt i forhold til behandlingsaktiviteternes følsomhed, kompleksitet og omfang i den pågældende organisation«« (jf. retningslinjer for databeskyttelsesrådgivere, s. 13). Jf. ligeledes s. 14 i disse retningslinjer. Jf. endvidere punkt 50 og 51 i dette forslag til afgørelse.

( 30 ) – Jf. M. Bergt, »Art 38. Stellung des Datenschutzbeauftragten«, i J. Kühling og B. Buchner, Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, Kommentar, 3. udg., C.H. Beck, München, 2020, særligt punkt 29. Denne forfatter har fremhævet, at »[i] modsætning til i Kommissionens og Parlamentets udkast fastsættes der i artikel 38 ingen minimumsperiode for det hverv, som databeskyttelsesrådgiveren skal udpeges til« [O.a.: Domstolens oversættelse].

( 31 ) – Jf. punkt 31 og 32 i dette forslag til afgørelse. Det kan tilføjes, at EU-lovgiver bevidst har indarbejdet denne mulighed ved ikke at have fulgt det forslag fra Det Europæiske Økonomiske og Sociale Udvalg i forbindelse med lovgivningsarbejdet vedrørende forordning 2016/679, som tilsigtede, at »[v]ilkårene for udøvelsen af [databeskyttelsesrådgivernes] funktion bør præciseres bedre. Især bør beskyttelsen mod afskedigelse klart defineres, og den bør strække sig ud over den periode, hvor den pågældende har haft dette hverv«: Jf. punkt 4.11.1 i Det Europæiske Økonomiske og Sociale Udvalgs udtalelse om forslag til Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse) (EUT 2012, C 229, s. 90).

( 32 ) – Jf. bl.a. de oplysninger, der er tilgængelige på følgende websteder: https://www.dlapiperdataprotection.com/index.html?t=data-protection-officers&c=HR&c2= og https://www.dataprotection.ro/index.jsp?page=Responsabilul_cu_protectia_datelor&lang=en

( 33 ) – Dette er tilfældet for Kongeriget Danemark, Irland, Republikken Kroatien, Den Italienske Republik, Republikken Cypern, Republikken Malta, Kongeriget Nederlandene, Republikken Østrig, Republikken Polen, Den Portugisiske Republik, Rumænien og Republikken Finland. I Republikken Kroatien, Republikken Malta og Republikken Polen såvel som i Republikken Bulgarien skal afskedigelse eller udskiftning af databeskyttelsesrådgiveren meddeles den nationale databeskyttelsesmyndighed. I enkelte medlemsstater som f.eks. Den Franske Republik og Storhertugdømmet Luxembourg er det blevet præciseret, at databeskyttelsesrådgiveren ikke har status som beskyttet arbejdstager, hvilket angiveligt indebærer en supplerende garanti i forhold til den, der er fastsat i forordning 2016/679.

( 34 ) – Jf. i belgisk ret artikel 6, stk. 3, i kongelig anordning af 6.12.2015 om rådgivere for sikkerhed og beskyttelse af privatlivets fred og om platformen for datasikkerhed- og beskyttelse (Moniteur belge af 28.12.2015, s. 79268), som går forud for ikrafttrædelsen af forordning 2016/679, og hvorefter »[a]rbejdsgiveren eller den kompetente myndighed kun kan opsige rådgiverens ansættelsesforhold, bringe den pågældendes vedtægtsbetingede beskæftigelse som rådgiver til ophør eller fjerne den pågældende fra sin stilling af grunde, som ikke vedrører den pågældendes uafhængighed, eller af grunde, hvoraf det fremgår, at den pågældende ikke er kvalificeret til at udføre sine opgaver«. Min fremhævelse. Jf. ligeledes i spansk ret artikel 36, stk. 2, i Ley orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (organisk lov nr. 3/2018 om beskyttelse af personoplysninger og om sikring af digitale rettigheder) af 5.12.2018 (BOE nr. 294 af 6.12.2018, s. 119788), hvorefter, »[n]år databeskyttelsesrådgiveren er en fysisk person i den dataansvarliges eller databehandlerens organisation, kan den pågældende hverken afskediges eller straffes af den dataansvarlige eller databehandleren under henvisning til dennes udførelse af sit hverv, bortset fra i tilfælde af en forsætlig handling eller grov pligtforsømmelse under udførelsen af dette hverv […]«. Min fremhævelse.

( 35 ) – Jf. retningslinjerne for databeskyttelsesrådgivere (s. [17]). Min fremhævelse.

( 36 ) – Jf. i denne retning P. Fajgielski, »Artykuł 38. Status inspektora ochrony danych«, Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Wolters Kluwer, Warszawa, 2018, s. 430-437, særligt punkt 5, femte afsnit. Jf. ligeledes S. Kremer, »§ 6 Datenschutzbeauftragter«, i P. Laue og S. Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, 2. udg., Nomos, Baden-Baden, 2019, særligt punkt 36, M. Bergt, »Art 38. Stellung des Datenschutzbeauftragten«, op.cit., særligt punkt 30, og A. Bussche, »Art. 38 DSGVO«, i K.-U. Plath, DSGVO/BDSG, Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG, 3. udg., Otto Schmidt, Köln, 2018, særligt punkt 19.

( 37 ) – Jf. fodnote 7 i dette forslag til afgørelse.

( 38 ) – Jf. punkt 31, 60 og 61 i dette forslag til afgørelse.

( 39 ) – Jf. punkt 31 i dette forslag til afgørelse. Jf. ligeledes de verserende sager X-FAB Dresden (C-453/21) og KISA (C-560/21), i forbindelse med hvilke to forskellige afdelinger ved Bundesarbeitsgericht (forbundsdomstol i arbejdsretlige sager) har forelagt Domstolen de samme præjudicielle spørgsmål, men i sager om afskedigelse på grund af interessekonflikter. I førstnævnte sag vedrører et supplerende spørgsmål kriterierne for en sådan konflikt.

( 40 ) – Jf. i denne retning S. Kremer, »§ 6 Datenschutzbeauftragter«, op.cit., særligt punkt 35, og A. Bussche, »Art. 38 DSGVO«, op.cit., særligt punkt 17.

( 41 ) – Jf. punkt 34 i dette forslag til afgørelse.

( 42 ) – Udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017 (EU:C:2017:592, præmis 96).

( 43 ) – Jf. dom af 15.6.2021, Facebook Ireland m.fl. (C-645/19, EU:C:2021:483, præmis 44, 45 og 91).

( 44 ) – Jf. i denne retning dom af 15.6.2021, Facebook Ireland m.fl. (C-645/19, EU:C:2021:483, præmis 45 og analogt præmis 47).

( 45 ) – Jf. fodnote 19, fjerde punktum, i dette forslag til afgørelse.

Top