SCHLUSSANTRÄGE DES GENERALANWALTS
JEAN RICHARD DE LA TOUR
vom 27. Januar 2022 ( 1 )
Rechtssache C‑534/20
Leistritz AG
gegen
LH
(Vorabentscheidungsersuchen des Bundesarbeitsgerichts [Deutschland])
„Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 38 Abs. 3 Satz 2 – Datenschutzbeauftragter – Verbot der Abberufung wegen der Erfüllung seiner Aufgaben – Rechtsgrundlage – Art. 16 AEUV – Gültigkeit – Erfordernis funktioneller Unabhängigkeit – Umfang der Harmonisierung – Nationale Regelung, die es verbietet, einem Datenschutzbeauftragten zu kündigen, wenn kein wichtiger Grund vorliegt – Datenschutzbeauftragter, dessen Benennung nach dem nationalen Recht verpflichtend ist“
I. Einleitung
1. |
Das Vorabentscheidungsersuchen des Bundesarbeitsgerichts (Deutschland) betrifft die Auslegung und die Gültigkeit von Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ( 2 ). |
2. |
Es ergeht im Rahmen eines Rechtsstreits zwischen LH und ihrem Arbeitgeber, der Leistritz AG, über die Beendigung ihres Arbeitsvertrags wegen einer Umstrukturierung der Abteilungen des Unternehmens, obwohl LH nach dem anwendbaren deutschen Recht aufgrund ihrer Benennung als Datenschutzbeauftragte nur aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist gekündigt werden kann. |
3. |
In den vorliegenden Schlussanträgen werde ich darlegen, weshalb ich der Ansicht bin, dass sich das in Art. 38 Abs. 3 Satz 2 der Verordnung 2016/679 vorgesehene Verbot der Abberufung des Datenschutzbeauftragten nicht aus einer Harmonisierung der materiell-arbeitsrechtlichen Regelungen ergibt, was den Mitgliedstaaten die Möglichkeit eröffnet, den Schutz des Datenschutzbeauftragten in ihren nationalen Rechtsvorschriften in verschiedenen Bereichen entsprechend dem mit dieser Verordnung verfolgten Ziel zu stärken. |
II. Rechtlicher Rahmen
A. Verordnung 2016/679
4. |
In den Erwägungsgründen 10, 13 und 97 der Verordnung 2016/679 heißt es:
…
…
|
5. |
Art. 1 („Gegenstand und Ziele“) dieser Verordnung bestimmt in Abs. 1: „Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.“ |
6. |
Art. 37 („Benennung eines Datenschutzbeauftragten“) dieser Verordnung bestimmt in den Abs. 1 und 4 bis 6: „(1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn
… (4) In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen; falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen. Der Datenschutzbeauftragte kann für derartige Verbände und andere Vereinigungen, die Verantwortliche oder Auftragsverarbeiter vertreten, handeln. (5) Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben. (6) Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.“ |
7. |
Art. 38 („Stellung des Datenschutzbeauftragten“) dieser Verordnung sieht vor: „(1) Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird. … (3) Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters. (4) Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen. (5) Der Datenschutzbeauftragte ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden. (6) Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.“ |
8. |
Art. 39 der Verordnung 2016/679 nennt die Hauptaufgaben des Datenschutzbeauftragten. |
B. Deutsches Recht
9. |
§ 6 („Stellung“) des Bundesdatenschutzgesetzes vom 20. Dezember 1990 ( 3 ) in seiner vom 25. Mai 2018 bis 25. November 2019 geltenden Fassung ( 4 ) bestimmt in Abs. 4: „Die Abberufung der oder des Datenschutzbeauftragten ist nur in entsprechender Anwendung des § 626 des Bürgerlichen Gesetzbuchs zulässig. Die Kündigung des Arbeitsverhältnisses ist unzulässig, es sei denn, dass Tatsachen vorliegen, welche die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Nach dem Ende der Tätigkeit als Datenschutzbeauftragte oder als Datenschutzbeauftragter ist die Kündigung des Arbeitsverhältnisses innerhalb eines Jahres unzulässig, es sei denn, dass die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist.“ |
10. |
§ 38 („Datenschutzbeauftragte nichtöffentlicher Stellen“) BDSG sieht vor: „(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung … 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn[ ( 5 )] Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. … (2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.“ |
11. |
§ 134 („Gesetzliches Verbot“) des Bürgerlichen Gesetzbuchs in der Fassung der Bekanntmachung vom 2. Januar 2002 ( 6 ) lautet: „Ein Rechtsgeschäft, das gegen ein gesetzliches Verbot verstößt, ist nichtig, wenn sich nicht aus dem Gesetz ein anderes ergibt.“ |
12. |
§ 626 („Fristlose Kündigung aus wichtigem Grund“) des Bürgerlichen Gesetzbuchs bestimmt: „(1) Das Dienstverhältnis kann von jedem Vertragsteil aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist gekündigt werden, wenn Tatsachen vorliegen, auf Grund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalles und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung des Dienstverhältnisses bis zum Ablauf der Kündigungsfrist oder bis zu der vereinbarten Beendigung des Dienstverhältnisses nicht zugemutet werden kann. (2) Die Kündigung kann nur innerhalb von zwei Wochen erfolgen. Die Frist beginnt mit dem Zeitpunkt, in dem der Kündigungsberechtigte von den für die Kündigung maßgebenden Tatsachen Kenntnis erlangt. …“ |
III. Ausgangsrechtsstreit und Vorlagefragen
13. |
Leistritz, ein privatrechtlich organisiertes Unternehmen, ist nach deutschem Recht zur Benennung eines Datenschutzbeauftragten verpflichtet. LH arbeitete dort seit dem 15. Januar 2018 als „Teamleiter Recht“ und war ab dem 1. Februar 2018 als betriebliche Datenschutzbeauftragte tätig. |
14. |
Mit Schreiben vom 13. Juli 2018 kündigte Leistritz LH ordentlich zum 15. August 2018 und berief sich dabei auf eine Maßnahme zur Umstrukturierung des Unternehmens, in deren Rahmen die interne Rechtsberatung und der Bereich „Datenschutz“ extern vergeben worden seien. |
15. |
Die von LH mit der Anfechtung der Wirksamkeit ihrer Kündigung befassten Vorinstanzen entschieden, dass LH gemäß § 38 Abs. 2 in Verbindung mit § 6 Abs. 4 Satz 2 BDSG als Datenschutzbeauftragte nur außerordentlich aus wichtigem Grund gekündigt werden könne. Die von Leistritz beschriebene Umstrukturierungsmaßnahme stelle aber keinen wichtigen Grund für eine außerordentliche Kündigung dar. |
16. |
Das vorlegende Gericht, bei dem von Leistritz Revision eingelegt wurde, weist darauf hin, dass die Kündigung von LH nach deutschem Recht gemäß den vorgenannten Bestimmungen und § 134 BGB ( 7 ) nichtig sei. Die Anwendbarkeit dieser Bestimmungen hänge jedoch davon ab, ob nach Unionsrecht, insbesondere nach Art. 38 Abs. 3 Satz 2 der Verordnung 2016/679, eine mitgliedstaatliche Regelung zulässig sei, durch die die arbeitgeberseitige Kündigung eines Datenschutzbeauftragten an strengere Voraussetzungen als nach dem Unionsrecht geknüpft sei. Wäre dies nicht der Fall, wäre die Revision erfolgreich. |
17. |
Unter diesen Umständen hat das Bundesarbeitsgericht (Deutschland) beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
|
18. |
LH, Leistritz, die deutsche und die rumänische Regierung sowie das Europäische Parlament, der Rat der Europäischen Union und die Europäische Kommission haben schriftliche Erklärungen eingereicht. Mit Ausnahme der deutschen und der rumänischen Regierung haben diese Beteiligten in der Sitzung vom 18. November 2021 mündliche Ausführungen gemacht. |
IV. Würdigung
A. Zur ersten Vorlagefrage
19. |
Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 38 Abs. 3 Satz 2 der Verordnung 2016/679 dahin auszulegen ist, dass er einer nationalen Regelung entgegensteht, nach der der Arbeitgeber eines Datenschutzbeauftragten diesem selbst dann nur aus wichtigem Grund kündigen kann, wenn die Kündigung nicht mit der Erfüllung der Aufgaben des Datenschutzbeauftragten in Zusammenhang steht. |
20. |
Die Antwort auf diese Frage setzt erstens voraus, dass geklärt wird, was mit der vom Unionsgesetzgeber in Art. 38 Abs. 3 Satz 2 der Verordnung 2016/679 gebrauchten Wendung „wegen der Erfüllung seiner Aufgaben … abberufen … werden“ gemeint ist. Zweitens wird zu bestimmen sein, ob die Mitgliedstaaten die Garantien erweitern können, die dem Datenschutzbeauftragten nach dieser Bestimmung zugutekommen. |
1. Zum Schutz des Datenschutzbeauftragten nach Art. 38 Abs. 3 Satz 2 der Verordnung 2016/679
21. |
Art. 38 der Verordnung 2016/679 steht in deren Kapitel IV („Verantwortlicher und Auftragsverarbeiter“), konkret in Abschnitt 4 („Datenschutzbeauftragter“). Dieser Abschnitt enthält drei Artikel, die die Benennung eines Datenschutzbeauftragten ( 8 ), seine Stellung ( 9 ) bzw. seine Aufgaben betreffen; Letztere bestehen im Wesentlichen in der persönlichen Beratung hinsichtlich der Datenverarbeitung und in der Überwachung der Einhaltung der Datenschutzvorschriften ( 10 ). |
22. |
Bei der Auslegung von Art. 38 Abs. 3 Satz 2 der Verordnung 2016/679 sind nach ständiger Rechtsprechung des Gerichtshofs nicht nur der Wortlaut dieser Bestimmung, sondern auch der Kontext und die Ziele zu berücksichtigen, die mit der Regelung, zu der sie gehört, verfolgt werden ( 11 ). |
23. |
Zum Wortlaut von Art. 38 Abs. 3 Satz 2 der Verordnung 2016/679 weise ich darauf hin, dass er eine negativ formulierte Verpflichtung zum Ausdruck bringt. Er sieht nämlich vor, dass „[d]er Datenschutzbeauftragte … von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden [darf]“ ( 12 ). |
24. |
Mithin bestimmt diese Vorschrift den Umfang des Schutzes des Datenschutzbeauftragten. Dieser ist vor jeder Entscheidung geschützt, mit der sein Amt beendet würde oder durch die ihm ein Nachteil entstünde, wenn eine solche Entscheidung mit der Erfüllung seiner Aufgaben zusammenhinge. |
25. |
Was die Unterscheidung zwischen der Maßnahme der Abberufung des Datenschutzbeauftragten und einer ihn benachteiligenden Maßnahme betrifft, stelle ich erstens fest, dass keine Bestimmung der Verordnung 2016/679 diese Maßnahmen ausdrücklich oder stillschweigend definiert ( 13 ). |
26. |
Nach einer vergleichenden Prüfung anderer Sprachfassungen kann davon ausgegangen werden, dass Art. 38 Abs. 3 Satz 2 der Verordnung 2016/679 zwei Arten von Maßnahmen erfasst, nämlich diejenigen, die das Amt des Datenschutzbeauftragten beenden, sowie solche, die Sanktionen darstellen oder den Datenschutzbeauftragten unabhängig von ihrem Rahmen benachteiligen. Diese Definitionen können daher Kündigungen abdecken, mit denen der Arbeitgeber einen Arbeitsvertrag beendet ( 14 ). |
27. |
Die Ergebnisse der Recherchen zu der mir zugänglichen Entstehungsgeschichte von Art. 38 der Verordnung 2016/679 können mangels detaillierter Anhaltspunkte keinen Aufschluss über die konkreten Absichten des Unionsgesetzgebers hinsichtlich der Tragweite des Begriffs „abberufen“ geben. Es kann lediglich festgestellt werden, dass die redaktionelle Ergänzung in Bezug auf die Abberufung spät im Gesetzgebungsprozess ( 15 ) erfolgt ist, in dem gleichzeitig hinter „[d]er Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte“ der Satzbestandteil „bei der Erfüllung seiner Aufgaben unabhängig handeln kann“ ( 16 ) gestrichen wurde. Hieraus könnte abgeleitet werden, dass der Gesetzgeber die Pflicht konkretisieren wollte, den Datenschutzbeauftragten nicht wegen der Erfüllung seiner Aufgaben abzuberufen. |
28. |
Ich stelle auch fest, dass sich der Unionsgesetzgeber dazu entschlossen hat, den Wortlaut von Art. 38 Abs. 3 Satz 2 der Verordnung 2016/679 wortgleich in Art. 44 Abs. 3 Abs. 2 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG ( 17 ) zu übernehmen. Jedoch lassen sich den Unterlagen über die Ausarbeitung der Verordnung 2018/1725 keine näheren Angaben entnehmen, was meines Erachtens seinen Grund darin findet, dass in Art. 44 Abs. 8 der Verordnung 2018/1725 dem Datenschutzbeauftragten eine weitere wesentliche Garantie zuteilwird, nämlich dass er „von dem Organ oder der Einrichtung der Union, das beziehungsweise die ihn benannt hat, wenn er die Voraussetzungen für die Wahrnehmung seiner Aufgaben nicht mehr erfüllt und nur mit Zustimmung des Europäischen Datenschutzbeauftragten seines Amtes enthoben werden [kann]“. |
29. |
Zweitens weise ich darauf hin, dass in Art. 38 Abs. 3 Satz 2 der Verordnung 2016/679 nicht danach unterschieden wird, ob der Datenschutzbeauftragte zu den Beschäftigten des Verantwortlichen oder des Auftragsverarbeiters zählt oder nicht ( 18 ). Diese Verordnung enthält nämlich keine Bestimmung über die Wechselwirkung zwischen den vom Arbeitgeber im Rahmen des Arbeitsverhältnisses getroffenen Entscheidungen und denen, die sich auf die Tätigkeit des Datenschutzbeauftragten beziehen. Eine Grenzziehung erfolgt einzig in Bezug auf die Gründe, aus denen das Amt des Datenschutzbeauftragten nicht beendet werden kann, und zwar in Bezug auf jedweden Grund, der sich auf die Erfüllung von dessen Aufgaben bezieht. |
30. |
Das vom Unionsgesetzgeber verfolgte Ziel rechtfertigt die allgemein gehaltene Formulierung von Art. 38 Abs. 3 Satz 2 der Verordnung 2016/679 und die Entscheidung für diese Grenzziehung. |
31. |
Im Entwurf der Begründung des Rates wird nämlich ausgeführt, dass durch die Benennung eines Datenschutzbeauftragten die Einhaltung der Verordnung 2016/679 verbessert werden soll ( 19 ). Deshalb legt Art. 38 Abs. 3 Abs. 2 der Verordnung 2016/679 Pflichten fest, die geeignet sind, die Unabhängigkeit des Datenschutzbeauftragten zu gewährleisten. So ist in diesem Artikel vorgesehen, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Erfüllung dieser Aufgaben erhalten darf und dass er unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters berichtet ( 20 ). Der Datenschutzbeauftragte ist ferner zur Wahrung der Geheimhaltung oder zur Vertraulichkeit verpflichtet ( 21 ). |
32. |
Der Schwerpunkt liegt somit darauf, dass der Tätigkeit des Datenschutzbeauftragten strikte Rahmenbedingungen gesetzt sind, die besonders dann gerechtfertigt sind, wenn der Beauftragte von einem Verantwortlichen benannt wird, der sein Arbeitgeber ist. Daher werden mit dem in Art. 38 Abs. 3 Satz 2 der Verordnung 2016/679 enthaltenen Verbot zugunsten des Datenschutzbeauftragten Vorrechte für die Erfüllung seiner Aufgaben gewährleistet, die in bestimmten Fällen möglicherweise nur schwer mit denjenigen Aufgaben in Einklang zu bringen sind, die vom Arbeitgeber im Rahmen des Arbeitsverhältnisses festgelegt worden sind. |
33. |
Dass diese Bestimmung allein zum Ziel hat, dem Datenschutzbeauftragten zu ermöglichen, seine Aufgaben in vollständiger Unabhängigkeit zu erfüllen, wird durch den Kontext gestützt, in dem die Bestimmung erlassen worden ist. |
34. |
Insoweit ist hervorzuheben, dass nach Art. 1 der Verordnung 2016/679 Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten den Gegenstand dieser Verordnung bilden. Deshalb ist sie auf der Grundlage von Art. 16 Abs. 2 AEUV ( 22 ) erlassen worden, was, wie ich bereits in früheren Schlussanträgen dargelegt habe, zu der Annahme führt, dass, obwohl der Schutz personenbezogener Daten von Natur aus eine Querschnittsmaterie ist, sich die durch die Verordnung 2016/679 vorgenommene Harmonisierung auf die speziell von dieser Verordnung in diesem Bereich abgedeckten Gesichtspunkte beschränkt ( 23 ). |
35. |
Aus all diesen Gründen besteht meines Erachtens kein Zweifel daran, dass der in Art. 38 Abs. 3 Satz 2 der Verordnung 2016/679 vorgesehene spezifische Schutz des Datenschutzbeauftragten dem Gegenstand dieser Verordnung eigen ist, da er die Autonomie des Datenschutzbeauftragten stärkt. Er fällt daher nicht in den weiteren Bereich des Arbeitnehmerschutzes ( 24 ). |
36. |
Folglich stellt sich erneut die Frage, ob es den Mitgliedstaaten über die speziell von der Verordnung 2016/679 abgedeckten Gesichtspunkte hinaus weiterhin freisteht, gesetzgeberisch tätig zu werden, sofern sie dabei nicht gegen den Inhalt und die Ziele dieser Verordnung verstoßen ( 25 ). |
2. Zur Möglichkeit der Mitgliedstaaten, die dem Datenschutzbeauftragten durch Art. 38 Abs. 3 Satz 2 der Verordnung 2016/679 gewährten Garantien zu erweitern
37. |
Meines Erachtens rechtfertigt es das im 13. Erwägungsgrund der Verordnung 2016/679 genannte Ziel dieser Verordnung, in Verfolgung dessen der Unionsgesetzgeber die Unabhängigkeit des Datenschutzbeauftragten in Art. 38 Abs. 3 Satz 2 dieser Verordnung generell gewährleistet ( 26 ), dass es einem Mitgliedstaat möglich sein muss, jedwede weitere Maßnahme, mit der die Autonomie des Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gestärkt werden soll, treffen zu können. |
38. |
Diese Analyse steht weder im Widerspruch zu den Wirkungen einer Verordnung, wie sie in Art. 288 Abs. 2 AEUV definiert sind, noch zu der daraus folgenden Pflicht der Mitgliedstaaten, von einer in allen ihren Teilen verbindlichen und unmittelbar geltenden Verordnung nicht abzuweichen oder sie zu ergänzen, es sei denn, mehrere Bestimmungen dieser Verordnung räumen den Mitgliedstaaten einen Handlungsspielraum ein, von dem sie unter den Voraussetzungen und innerhalb der Grenzen dieser Bestimmungen Gebrauch machen können oder – gegebenenfalls – Gebrauch machen müssen ( 27 ). |
39. |
Ich wiederhole daher meine Auffassung, dass das Ausmaß der mit der Verordnung 2016/679 vorgenommenen Harmonisierung je nach den betreffenden Vorschriften variiert. Die Bestimmung der normativen Tragweite dieser Verordnung erfordert mithin eine Einzelfallprüfung ( 28 ). |
40. |
Insoweit weise ich darauf hin, dass Art. 38 Abs. 3 Satz 2 der Verordnung 2016/679 eine Abberufung des Datenschutzbeauftragten insofern mit einem Verbot belegt, als sie allein mit der – unterstellt korrekten ( 29 ) – Erfüllung seiner Aufgaben zusammenhängt, ohne einen Grad für die Schwere des geltend gemachten Grundes einzuführen oder auf die verschiedenen Gesichtspunkte des Unterordnungsverhältnisses zu seinem Arbeitgeber einzugehen, die sich auf seine Benennung auswirken können. So sind beispielsweise weder die Dauer des Arbeitsvertrags noch der personenbezogene oder betriebsbedingte Grund für dessen Beendigung, die gegebenenfalls Gegenstand eines Aufhebungsvertrags sein kann, oder die Aussetzung des Arbeitsverhältnisses wegen Krankheit, Fortbildung, Jahresurlaub oder Urlaub von langer Dauer in Betracht gezogen worden. |
41. |
Im Übrigen zeigt sich die Absicht des Unionsgesetzgebers, es den Mitgliedstaaten anheimzustellen, die Bestimmungen zum Schutz der Unabhängigkeit des Datenschutzbeauftragten auf der Grundlage eines anhand der Ziele der Verordnung 2016/679 festgelegten Mindestrechtsrahmens zu ergänzen, auch daran, dass es an einer Vorgabe hinsichtlich der Dauer des Amtes des Datenschutzbeauftragten fehlt – anders als in Art. 44 Abs. 8 Satz 1 der Verordnung 2018/1725 vorgesehen – ( 30 ) oder keine Vorgabe betreffend den – hier vorliegenden – Fall einer Unternehmensumstrukturierung getroffen wird, infolge deren die Tätigkeit des Datenschutzbeauftragten aus Gründen ausgelagert wird, die nicht mit der Erfüllung seiner Aufgaben zusammenhängen. |
42. |
Demnach können die Mitgliedstaaten beschließen, die Unabhängigkeit des Datenschutzbeauftragten insofern zu stärken, als er zur Umsetzung der Ziele der Verordnung 2016/679 beiträgt, und zwar namentlich hinsichtlich der arbeitgeberseitigen Kündigung, weil es im Unionsrecht keine Bestimmung gibt, die als Grundlage für einen besonderen und konkreten Schutz des Datenschutzbeauftragten vor einer solchen Kündigung aus einem von der Erfüllung seiner Aufgaben unabhängigen Grund dienen kann, obschon die Beendigung des Arbeitsverhältnisses zwangsläufig die Beendigung dieser Aufgaben bewirkt. |
43. |
Insoweit ist darauf hinzuweisen, dass auf dem Gebiet des Arbeitnehmerschutzes bei Vertragsbeendigung Art. 153 Abs. 1 Buchst. d AEUV klarstellt, dass die Union die Tätigkeit der Mitgliedstaaten unterstützt und ergänzt und dass die Union und die Mitgliedstaaten – allgemeiner – gemäß Art. 4 Abs. 2 Buchst. b AEUV im Bereich der Sozialpolitik hinsichtlich der im AEU‑Vertrag genannten Aspekte über eine geteilte Zuständigkeit im Sinne von Art. 2 Abs. 2 AEUV verfügen. |
44. |
Unter diesen Umständen steht es jedem Mitgliedstaat frei, besondere Vorschriften für die arbeitgeberseitige Kündigung eines Datenschutzbeauftragten vorzusehen, sofern diese mit der in der Verordnung 2016/679 vorgesehenen Regelung zum Schutz des Datenschutzbeauftragten vereinbar sind ( 31 ). |
45. |
Wie sich aus der kursorischen Prüfung der mitgliedstaatlichen Regelungen, in die ich habe Einsicht nehmen können ( 32 ), ergibt, haben die meisten Mitgliedstaaten keine besonderen Bestimmungen für die arbeitgeberseitige Kündigung erlassen und es bei dem unmittelbar geltenden Verbot in Art. 38 Abs. 3 Satz 2 der Verordnung 2016/679 bewenden lassen ( 33 ). |
46. |
Andere Mitgliedstaaten haben sich jedoch dazu entschlossen, diesen Artikel zu ergänzen ( 34 ). |
47. |
Insoweit weise ich darauf hin, dass nach Ansicht der Artikel-29-Datenschutzgruppe „[a]ls normale Management-Regel und wie dies bei jedem anderen Beschäftigten oder Fremdmitarbeiter nach geltendem nationalem Vertrags-, Arbeits- oder Strafrecht der Fall wäre, … ein [Datenschutzbeauftragter] jederzeit von Rechts wegen aus Gründen abberufen werden [kann], die nicht im Zusammenhang mit der Erfüllung seiner Pflichten als [Datenschutzbeauftragter] stehen (beispielsweise wegen Diebstahls, physischer, psychischer oder sexueller Belästigung oder einem vergleichbare[n] groben Fehlverhalten)“ ( 35 ). |
48. |
Unabhängig von der Präferenz der Mitgliedstaaten trägt die Verwaltungs- oder Justizbehörde eines jeden dieser Staaten, die damit betraut ist, die Rechtmäßigkeit des Grundes für die Abberufung des Datenschutzbeauftragten zu überprüfen, meines Erachtens auch dazu bei, dessen Unabhängigkeit zu gewährleisten. |
49. |
Da es nämlich sehr wahrscheinlich ist, dass kein Zusammenhang mit der zufriedenstellenden Erfüllung der Aufgaben des Datenschutzbeauftragten ausdrücklich aus der Entscheidung, ihn abzuberufen ( 36 ), hervorgehen wird, ist ein allein aus der Eigenschaft als Datenschutzbeauftragter hergeleiteter allgemeiner Schutz denkbar. Im vorliegenden Fall ergibt sich aus den Erläuterungen des vorlegenden Gerichts, dass gerade der Begriff „wichtiger Grund“ in seiner Auslegung im deutschen Recht im Interesse eines zusätzlichen Schutzes zu der Annahme führt, dass das Amt des Datenschutzbeauftragten im Fall der Umstrukturierung nicht beendet werden kann ( 37 ). Im gleichen Sinne ließe sich im Übrigen vertreten, dass im Fall wirtschaftlicher Schwierigkeiten des Unternehmens, das zur Benennung eines Datenschutzbeauftragten verpflichtet ist und hierfür einen seiner Beschäftigten ausgewählt hat, die Aufgaben des Datenschutzbeauftragten in Anbetracht des Ziels der Verordnung 2016/679 und des Beitrags, den der Datenschutzbeauftragte zu dessen Erreichung leistet, so lange weiterhin ausgeübt werden müssten, wie der Arbeitgeber weiter tätig ist. |
50. |
Das in Art. 38 Abs. 3 Satz 2 der Verordnung 2016/679 aufgestellte Verbot stößt jedoch dann zwangsläufig an seine Grenzen, wenn es bei der Erfüllung der Aufgaben des Datenschutzbeauftragten im Hinblick auf dessen Verpflichtungen objektiv zu Unzulänglichkeiten kommt. Diese Grenzen müssen im Einklang mit dem von der Verordnung verfolgten Ziel festgelegt werden ( 38 ). |
51. |
Eine ebenso mit dem Ziel der Verordnung 2016/679 im Einklang stehende Auslegung muss meines Erachtens dazu führen, dass ein Datenschutzbeauftragter zulässigerweise abberufen werden kann, wenn er die erforderlichen und etwa in Art. 37 Abs. 5 dieser Verordnung aufgeführten Eignungskriterien für die Erfüllung seiner Aufgaben nicht mehr erfüllt oder den in Art. 38 Abs. 3 Sätze 1 und 3 sowie den in Art. 38 Abs. 5 und 6 dieser Verordnung aufgestellten Verpflichtungen ( 39 ) nicht genügt oder wenn sich der Grad seines Fachwissens als unzureichend erweist ( 40 ). |
52. |
Folglich bin ich der Ansicht, dass Art. 38 Abs. 3 Satz 2 der Verordnung 2016/679 dahin auszulegen ist, dass er einer nationalen Regelung nicht entgegensteht, nach der der Arbeitgeber eines Datenschutzbeauftragten diesem selbst dann nur aus wichtigem Grund kündigen kann, wenn die Kündigung nicht mit der Erfüllung der Aufgaben des Datenschutzbeauftragten in Zusammenhang steht. |
53. |
Sollte jedoch der Gerichtshof diese Auffassung nicht teilen und die erste Frage des vorlegenden Gerichts bejahen, wären die beiden weiteren Vorlagefragen zu beantworten. |
B. Zur zweiten Vorlagefrage
54. |
Mit seiner zweiten Frage möchte das vorlegende Gericht wissen, ob Art. 38 Abs. 3 Satz 2 der Verordnung 2016/679 einer nationalen Regelung entgegensteht, nach der die Kündigung des Datenschutzbeauftragten durch seinen Arbeitgeber, ohne dass ein wichtiger Grund hierfür vorliegt, selbst dann für rechtswidrig erklärt wird, wenn diese Kündigung nicht mit der Erfüllung seiner Aufgaben in Zusammenhang steht, wenn die Benennung des Datenschutzbeauftragten nicht nach Art. 37 Abs. 1 dieser Verordnung, sondern allein nach dem nationalen Recht zwingend vorgeschrieben ist, wie dies Art. 37 Abs. 4 der Verordnung vorsieht. |
55. |
Ich weise darauf hin, dass weder Art. 38 Abs. 3 der Verordnung 2016/679 noch die übrigen Bestimmungen des den Datenschutzbeauftragten betreffenden Abschnitts 4 dieser Verordnung danach unterscheiden, ob die Benennung des Datenschutzbeauftragten verpflichtend oder fakultativ ist. |
56. |
Daher ist dem vorlegenden Gericht meines Erachtens zu antworten, dass Art. 38 Abs. 3 Satz 2 der Verordnung 2016/679 Anwendung findet, ohne dass danach zu unterscheiden wäre, ob der Datenschutzbeauftragte nach Unionsrecht oder nach nationalem Recht verpflichtend benannt wird. |
C. Zur dritten Vorlagefrage
57. |
Die dritte Frage des vorlegenden Gerichts bezieht sich auf die Gültigkeit von Art. 38 Abs. 3 Satz 2 der Verordnung 2016/679 und insbesondere darauf, ob diese Bestimmung auf einer hinreichenden Rechtsgrundlage beruht, namentlich soweit sie Datenschutzbeauftragte erfasst, die in einem Arbeitsverhältnis zum Verantwortlichen stehen. |
58. |
Ich schlage dem Gerichtshof vor, die Auffassung zu vertreten, dass Art. 38 Abs. 3 Satz 2 der Verordnung 2016/679 auf einer hinreichenden Rechtsgrundlage beruht, da er lediglich das Ziel verfolgt, den Datenschutzbeauftragten vor jedweder Behinderung bei der Erfüllung seiner Aufgaben zu bewahren, und da diese Garantie ohne Ansehung des Bestehens eines Arbeitsverhältnisses zur wirksamen Verwirklichung der Ziele dieser Verordnung beiträgt. |
59. |
Zum einen ist nämlich, wie ich im Rahmen der Prüfung der ersten Vorlagefrage dargelegt habe ( 41 ), Art. 16 AEUV die Rechtsgrundlage dieser Verordnung. Außerdem hat der Gerichtshof entschieden, dass diese Vorschrift unbeschadet des Art. 39 EUV eine geeignete Rechtsgrundlage darstellt, wenn der Schutz personenbezogener Daten eines der wesentlichen Ziele oder eine der wesentlichen Komponenten der vom Unionsgesetzgeber erlassenen Regeln ist ( 42 ). |
60. |
Zum anderen ist meines Erachtens eine der Voraussetzungen in Bezug auf die Rolle des Datenschutzbeauftragten und seines Regelungsrahmens, wie sie in der Verordnung 2016/679 definiert werden, vollständig erfüllt. Die Garantie der funktionellen Unabhängigkeit des Datenschutzbeauftragten, die dem Erfordernis genügen soll, ein hohes Schutzniveau für die Beachtung der Grundrechte der von der Verarbeitung personenbezogener Daten betroffenen Personen zu gewährleisten ( 43 ), schlug sich darin nieder, dass in Art. 38 Abs. 3 Satz 2 der Verordnung 2016/679 ein Verbot der Beendigung des Amtes des Datenschutzbeauftragten wegen seiner Aufgaben innewohnender Gründe aufgestellt wurde. Da diese Bestimmung keine Harmonisierung im Arbeitsrecht vorschreibt, hat der Unionsgesetzgeber die ihm durch Art. 16 Abs. 2 AEUV verliehenen normativen Befugnisse nicht überschritten. |
61. |
Was die Grundsätze der Subsidiarität und der Verhältnismäßigkeit betrifft, hinsichtlich deren Beachtung das vorlegende Gericht auch Fragen aufwirft, weise ich erstens darauf hin, dass die verstärkte grenzüberschreitende Verarbeitung personenbezogener Daten es rechtfertigt, dass der grundrechtliche Schutz dieser Daten auf Ebene der Union ( 44 ) erfolgt, indem insbesondere die Vorrechte des als „Schlüsselfigur“ für diesen Schutz ( 45 ) angesehenen Datenschutzbeauftragten sichergestellt werden. Zweitens scheint mir Art. 38 Abs. 3 Satz 2 der Verordnung 2016/679 nicht über das hinauszugehen, was zur Gewährleistung der funktionellen Unabhängigkeit des Datenschutzbeauftragten erforderlich ist. Zwar wirkt sich die in dieser Bestimmung vorgesehene Garantie, nicht abberufen zu werden, zwangsläufig auf das Arbeitsverhältnis aus. Diese Auswirkung soll jedoch nur die praktische Wirksamkeit der Stellung des Datenschutzbeauftragten wahren. |
62. |
Daher ist dem vorlegenden Gericht meiner Ansicht nach zu antworten, dass die Prüfung der dritten Vorlagefrage nichts ergeben hat, was die Gültigkeit von Art. 38 Abs. 3 Satz 2 der Verordnung 2016/679 beeinträchtigen könnte. |
V. Ergebnis
63. |
Nach alledem schlage ich dem Gerichtshof vor, die Vorlagefragen des Bundesarbeitsgerichts (Deutschland) wie folgt zu beantworten:
Hilfsweise, für den Fall, dass der Gerichtshof die erste Vorlagefrage bejaht:
|
( 1 ) Originalsprache: Französisch.
( 2 ) ABl. 2016, L 119, S. 1 (berichtigt ABl. 2018, L 127, S. 2)
( 3 ) BGBl. 1990 I, S. 2954.
( 4 ) BGBl. 2017 I, S. 2097, im Folgenden: BDSG.
( 5 ) In § 38 Abs. 1 Satz 1 BDSG in seiner seit dem 26. November 2019 geltenden Fassung wurde die Anzahl der Beschäftigten auf „20“ erhöht.
( 6 ) BGBl. 2002 I, S. 42, berichtigt S. 2909 und BGBl. 2003 I, S. 738.
( 7 ) Das vorlegende Gericht hat ergänzend darauf hingewiesen, dass nach seiner Rechtsprechung ein wichtiger Grund für die Abberufung nicht darin liegt, dass aufgrund einer organisatorischen Änderung der betriebliche Datenschutz zukünftig durch einen externen Datenschutzbeauftragten gewährleistet werden soll (vgl. Urteil des Bundesarbeitsgerichts, 10 AZR 562/09, vom 23. März 2011, Rn. 18, abrufbar unter der folgenden Internetadresse: https://www.bundesarbeitsgericht.de/entscheidung/10-azr-562-09/).
( 8 ) Art. 37 der Verordnung 2016/679.
( 9 ) Art. 38 dieser Verordnung.
( 10 ) Art. 39 dieser Verordnung.
( 11 ) Vgl. u. a. Urteil vom 12. Mai 2021, Bundesrepublik Deutschland (Red Notice, Interpol) (C‑505/19, EU:C:2021:376, Rn. 77).
( 12 ) Hervorhebung nur hier.
( 13 ) In diesem Zusammenhang hat die durch Art. 29 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24 Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 13) eingesetzte Arbeitsgruppe für den Schutz der Rechte von Personen bei der Verarbeitung personenbezogener Daten (im Folgenden: Artikel-29-Datenschutzgruppe) in dem Dokument „Leitlinien in Bezug auf Datenschutzbeauftragte (DSB)“ (im Folgenden: DSB-Leitlinien), das am 13. Dezember 2016 angenommen und am 5. April 2017 zuletzt überarbeitet worden ist (abrufbar unter folgender Internetadresse: https://ec.europa.eu/newsroom/article29/items/612048/en), ausgeführt, dass „Strafen … verschiedenerlei Formen annehmen und unmittelbarer oder mittelbarer Natur sein [können]. Denkbar sind beispielsweise eine ausbleibende oder verspätet erfolgende Beförderung, die Verwehrung einer beruflichen Fortentwicklung oder der Ausschluss von Leistungen, die anderen Beschäftigten gewährt werden. Dabei ist es nicht erforderlich, dass solche Strafen tatsächlich verhängt werden: Ihre bloße Androhung reicht aus, solange diese dazu dient, den DSB aus im Zusammenhang mit seiner Tätigkeit stehenden Gründen zu bestrafen“ (S. 18). Seit dem Inkrafttreten der Verordnung 2016/679 ist diese Arbeitsgruppe durch den Europäischen Datenschutzausschuss (EDSA) ersetzt worden. Dieser genehmigte die DSB-Leitlinien in seiner ersten Plenumssitzung am 25. Mai 2018 (siehe https://edpb.europa.eu/sites/default/files/files/news/endorsement_of_wp29_documents_en_0.pdf).
( 14 ) Wie LH hervorhebt, zeigen neben der deutschen Sprachfassung („abberufen“) von Art. 38 Abs. 3 Satz 2 der Verordnung 2016/679 etwa die spanische („destituido“), die französische („relevé“) oder die portugiesische („destituído“) Sprachfassung dieser Bestimmung, dass die genannte Verordnung die Beendigung der Tätigkeit als Datenschutzbeauftragter und nicht die Beendigung des Arbeitsverhältnisses („kündigen“) betrifft; siehe auch die englische („dismissed“), die italienische („rimosso“), die polnische („odwoływany“) oder die rumänische („demis“) Sprachfassung.
( 15 ) Vgl. den Vermerk des Vorsitzes des Rates der Europäischen Union vom 3. Oktober 2014 zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) [erste Lesung] – Kapitel IV, abrufbar unter der folgenden Internetadresse: https://data.consilium.europa.eu/doc/document/ST-13772-2014-INIT/de/pdf, betreffend die Einfügung des Umstands in Art. 36 Abs. 3 dieses Vorschlags, dass der Datenschutzbeauftragte wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden darf (S. 34). Vgl. auch den Standpunkt des Rates in erster Lesung im Hinblick auf den Erlass der Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) vom 6. April 2016, abrufbar unter der folgenden Internetadresse: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT&from=FR, mit dem der derzeitige Wortlaut von Art. 38 der Verordnung 2016/679 angenommen worden ist.
( 16 ) Im letzten Satz des 97. Erwägungsgrundes der Verordnung 2016/679 findet sich die Wendung „in vollständiger Unabhängigkeit“.
( 17 ) ABl. 2018, L 295, S. 39.
( 18 ) Siehe Art. 37 Abs. 6 der Verordnung 2016/679.
( 19 ) Vgl. den Standpunkt des Rates in erster Lesung im Hinblick auf den Erlass einer Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) – Entwurf der Begründung des Rates vom 31. März 2016, abrufbar unter folgender Internetadresse: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CONSIL:ST_5419_2016_ADD_1_REV_1&from=FR (S. 22). Zur wichtigen Rolle des Datenschutzbeauftragten bei der Anwendung der Verordnung 2016/679 vgl. 97. Erwägungsgrund dieser Verordnung sowie die Aufgaben des Datenschutzbeauftragten nach Art. 39 der Verordnung. Insoweit hat die Artikel-29-Datenschutzgruppe in den DSB-Leitlinien darauf hingewiesen, dass sie vor dem Erlass der Verordnung 2016/679 argumentiert habe, dass der Datenschutzbeauftragte „ein wichtiger Akteur im Bereich der Rechenschaftspflicht sei und dass die Ernennung eines [Datenschutzbeauftragten] die Einhaltung der Vorschriften erleichtere“ (S. 4). Diese Arbeitsgruppe hat weiter ausgeführt, dass in dieser Verordnung die Bedeutung des Datenschutzbeauftragten „als Schlüsselfigur im neuen Data-Governance-System“ anerkannt wird (S. 5). Zur Veranschaulichung des Informationsbedürfnisses des Verantwortlichen oder seines Auftragsverarbeiters, dem der Datenschutzbeauftragte genügen sollte, vgl. Urteil vom 16. Juli 2020, Facebook Ireland und Schrems (C-311/18, EU:C:2020:559, Rn. 134).
( 20 ) Vgl. Art. 38 Abs. 3 Sätze 1 und 3 der Verordnung 2016/679.
( 21 ) Vgl. Art. 38 Abs. 5 der Verordnung 2016/679.
( 22 ) Vgl. Präambel und zwölfter Erwägungsgrund der Verordnung 2016/679 sowie Urteil vom 15. Juni 2021, Facebook Ireland u. a. (C‑645/19, EU:C:2021:483, Rn. 44).
( 23 ) Vgl. meine Schlussanträge in der Rechtssache Facebook Ireland (C‑319/20, EU:C:2021:979, Nr. 51).
( 24 ) In diesem Zusammenhang bin ich der Auffassung, dass aus den Bestimmungen des Art. 88 Abs. 1 der Verordnung 2016/679 kein Argument für die Annahme hergeleitet werden kann, dass sie eine Öffnungsklausel darstellen.
( 25 ) Vgl. meine Schlussanträge in der Rechtssache Facebook Ireland (C‑319/20, EU:C:2021:979, Nr. 51).
( 26 ) Vgl. Nr. 31 der vorliegenden Schlussanträge.
( 27 ) Vgl. insbesondere hinsichtlich der Verordnung 2016/679 meine Schlussanträge in der Rechtssache Facebook Ireland (C‑319/20, EU:C:2021:979, Nr. 52).
( 28 ) Vgl. meine Schlussanträge in der Rechtssache Facebook Ireland (C‑319/20, EU:C:2021:979, Nr. 52). Darüber hinaus habe ich in Nr. 55 dieser Schlussanträge den Gerichtshof darauf aufmerksam gemacht, dass die Verordnung 2016/679 zahlreiche Öffnungsklauseln enthält, mit denen sie die Normsetzungskompetenz ausdrücklich auf die Mitgliedstaaten überträgt, wodurch sie sich von einer klassischen Verordnung unterscheiden und in die Nähe einer Richtlinie rücken lässt.
( 29 ) Insoweit hat die Artikel-29-Datenschutzgruppe, wie Bielak-Jomaa, E., „Artykuł 38. Status inspektora ochrony danych“, in Bielak-Jomaa, E., und Lubasz, D., RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer, Warschau, 2018, S. 794 bis 806, insbesondere Rn. 5, Abs. 4, hervorhebt, kein Kriterium genannt, das sachdienlich wäre, um zu bestimmen, ob die Aufgaben des Datenschutzbeauftragten korrekt erfüllt werden. Ebenso weist Foret, O., „Le rôle du DPO“, in Bensamoun, A., und Bertrand, B., Le règlement général sur la protection des données, Aspects institutionnels et matériels, Mare et Martin, Paris, 2020, S. 233 bis 239, insbesondere S.235 und 236, darauf hin, dass „der EDSA in seinen Leitlinien klarstellt, dass ‚das verlangte Fachwissen[, um zum Datenschutzbeauftragten benannt zu werden,] … nicht genau umrissen [ist], … jedoch mit der Sensibilität, der Komplexität und der Menge der Daten, die eine Einrichtung verarbeitet, im Einklang stehen [muss]‘“ (vgl. DSB-Leitlinien, S. 13). Vgl. auch S. 14 dieser Leitlinien. Vgl. zudem Nrn. 50 und 51 der vorliegenden Schlussanträge.
( 30 ) Vgl. Bergt, M., „Art. 38. Stellung des Datenschutzbeauftragten“, in Kühling, J., und Buchner, B., Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, Kommentar, 3. Aufl., C. H. Beck, München, 2020, insbesondere Rn. 29. Dieser Autor betont, dass „[a]nders als die Entwürfe von Kommission und Parlament … Art. 38 keine Mindest-Amtszeit [vorsieht], für die der Datenschutzbeauftragte benannt werden muss“.
( 31 ) Vgl. Nrn. 31 und 32 der vorliegenden Schlussanträge. Es kann hinzugefügt werden, dass der Unionsgesetzgeber bewusst diese Option gewählt hat und nicht dem Vorschlag des Wirtschafts- und Sozialausschusses im Rahmen der Gesetzgebungsarbeiten zur Verordnung 2016/679 gefolgt ist, der darauf abzielte, dass „die Bedingungen für [die] Aufgabe [des Datenschutzbeauftragten] [präzisiert werden sollten], insbesondere: den Schutz vor Entlassung, der klar definiert werden und über den Zeitraum, in dem die betreffende Person diese Aufgabe ausgeübt hat, hinausgehen muss“, vgl. Ziff. 4.11.1 der Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses zu dem „Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz- Grundverordnung)“ (ABl. 2012, C 229, S. 90).
( 32 ) Vgl. insbesondere die über die folgenden Internetadressen abrufbaren Informationen: https://www.dlapiperdataprotection.com/index.html?t=data-protection-officers&c=HR&c2= und https://www.dataprotection.ro/index.jsp?page=Responsabilul_cu_protectia_datelor&lang=en.
( 33 ) Dies ist in folgenden Mitgliedstaaten der Fall: Königreich Dänemark, Irland, Republik Kroatien, Italienische Republik, Republik Zypern, Republik Malta, Königreich der Niederlande, Republik Österreich, Republik Polen, Portugiesische Republik, Rumänien und Republik Finnland. In der Republik Kroatien, der Republik Malta, der Republik Polen und in der Republik Bulgarien müssen Abberufung oder Änderung auf der Ebene des Datenschutzbeauftragten der nationalen Datenschutzbehörde mitgeteilt werden. In einigen Mitgliedstaaten wie der Französischen Republik und dem Großherzogtum Luxemburg wurde klargestellt, dass dem Datenschutzbeauftragten nicht der Status eines geschützten Arbeitnehmers (salarié protégé) zuteilwird, der eine im Vergleich zu der von der Verordnung 2016/679 vorgesehenen zusätzliche Garantie böte.
( 34 ) Vgl. im belgischen Recht Art. 6 Abs. 3 des Königlichen Erlasses über die Berater für Sicherheit und Schutz des Privatlebens sowie über die Plattform für die Sicherheit und den Schutz der Daten vom 6. Dezember 2015 (Moniteur belge vom 28. Dezember 2015, S. 79268), der vor dem Inkrafttreten der Verordnung 2016/679 datiert, wonach „der Arbeitgeber oder die zuständige Behörde den Vertrag des Beraters bzw. seine statutarische Bestallung nur aus solchen Gründen beenden bzw. ihn nur aus solchen Gründen seines Amtes entheben kann, die sich nicht auf seine Unabhängigkeit beziehen oder die zeigen, dass er für die Erfüllung seiner Aufgaben nicht qualifiziert ist“. Hervorhebung nur hier. Vgl. auch im spanischen Recht Art. 36 Abs. 2 der Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (Ley Orgánica 3/2018 über den Schutz personenbezogener Daten und die Garantie digitaler Rechte) vom 5. Dezember 2018 (BOE Nr. 294 vom 6. Dezember 2018, S. 119788), der besagt: „Ist der Datenschutzbeauftragte eine natürliche Person innerhalb der Organisation des Verantwortlichen oder des Auftragsverarbeiters, kann er vom Verantwortlichen oder vom Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben weder abberufen noch sanktioniert werden, außer bei vorsätzlichem Fehlverhalten oder grober Fahrlässigkeit bei der Erfüllung dieser Aufgaben“. Hervorhebung nur hier.
( 35 ) Vgl. DSB-Leitlinien (S. 19). Hervorhebung nur hier.
( 36 ) Vgl. in diesem Sinne Fajgielski, P., „Artykuł 38. Status inspektora ochrony danych“, Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Wolters Kluwer, Warschau, 2018, S. 430 bis 437, insbesondere Rn. 5, Abs. 5. Vgl. auch Kremer, S., „§ 6 Datenschutzbeauftragter“, in Laue, P., Nink, J., und Kremer, S., Das neue Datenschutzrecht in der betrieblichen Praxis, 2. Aufl., Nomos, Baden-Baden, 2019, insbesondere Rn. 36, sowie Bergt, M., „Art. 38. Stellung des Datenschutzbeauftragten“, a.a. O., insbesondere Rn. 30, sowie Bussche, A., „Art. 38 DSGVO“, in Plath, K.-U., DSGVO/BDSG, Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG, 3. Aufl.., Otto Schmidt, Köln, 2018, insbesondere Rn. 19.
( 37 ) Vgl. Fn. 7 der vorliegenden Schlussanträge.
( 38 ) Vgl. Nrn. 31, 60 und 61 der vorliegenden Schlussanträge.
( 39 ) Vgl. Nr. 31 der vorliegenden Schlussanträge. Vgl. auch die derzeit anhängigen Rechtssachen X-FAB Dresden (C-453/21) und KISA (C-560/21), in denen der Gerichtshof von zwei anderen Senaten des Bundesarbeitsgerichts angerufen wurde, die die gleichen Vorlagefragen gestellt haben, allerdings in Fällen von Abberufungen wegen Interessenskonflikten. In der ersten dieser Rechtssachen betrifft eine zusätzliche Frage die für einen solchen Konflikt geltenden Kriterien.
( 40 ) Vgl. in diesem Sinne Kremer, S., „§ 6 Datenschutzbeauftragter“, a. a. O., insbesondere Rn. 35, sowie Bussche, A., „Art. 38 DSGVO“, a.a. O., insbesondere Rn. 17.
( 41 ) Vgl. Nr. 34 der vorliegenden Schlussanträge.
( 42 ) Gutachten 1/15 (PNR-Abkommen EU-Kanada) vom 26. Juli 2017 (EU:C:2017:592, Rn. 96).
( 43 ) Vgl. Urteil vom 15. Juni 2021, Facebook Ireland u. a. (C‑645/19, EU:C:2021:483, Rn. 44, 45 und 91).
( 44 ) Vgl. in diesem Sinne Urteil vom 15. Juni 2021, Facebook Ireland u. a. (C‑645/19, EU:C:2021:483, Rn. 45 sowie, entsprechend, Rn. 47).
( 45 ) Vgl. Fn. 19 Satz 4 der vorliegenden Schlussanträge.