Rechtssache C‑534/20

Leistritz AG

gegen

LH

(Vorabentscheidungsersuchen des Bundesarbeitsgerichts)

Urteil des Gerichtshofs (Erste Kammer) vom 22. Juni 2022

„Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 38 Abs. 3 Satz 2 – Datenschutzbeauftragter – Verbot für einen Verantwortlichen oder einen Auftragsverarbeiter, einen Datenschutzbeauftragten wegen der Erfüllung seiner Aufgaben abzuberufen oder zu benachteiligen – Rechtsgrundlage – Art. 16 AEUV – Erfordernis funktioneller Unabhängigkeit – Nationale Regelung, die die Entlassung eines Datenschutzbeauftragten verbietet, wenn kein schwerwiegender Grund vorliegt“

Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung 2016/679 – Datenschutzbeauftragter – Stellung – Verbot für einen Verantwortlichen oder einen Auftragsverarbeiter, einen Datenschutzbeauftragten wegen der Erfüllung seiner Aufgaben abzuberufen oder zu benachteiligen – Nationale Regelung, die die Entlassung eines Datenschutzbeauftragten verbietet, wenn kein schwerwiegender Grund vorliegt – Kündigung, die nicht mit der Erfüllung der Aufgaben des Datenschutzbeauftragten zusammenhängt – Zulässigkeit – Voraussetzung – Einhaltung der Ziele dieser Verordnung

(Verordnung 2016/679 des Europäischen Parlaments und des Rates, Art. 38 Abs. 3 Satz 2)

(vgl. Rn. 21-36 und Tenor)

Zusammenfassung

LH arbeitet seit dem 1. Februar 2018 als Datenschutzbeauftragte bei der Leistritz AG. Nach deutschem Recht ist Leistritz zur Benennung einer oder eines Datenschutzbeauftragten verpflichtet. Im Juli 2018 kündigte Leistritz LH ordentlich und berief sich dabei auf eine Umstrukturierungsmaßnahme, die zur Auslagerung der Datenschutzabteilung geführt habe.

Die mit der Anfechtung der Wirksamkeit der Kündigung durch LH befassten Gerichte entschieden, dass die Kündigung unwirksam sei. Nach deutschem Recht habe LH in ihrer Eigenschaft als Datenschutzbeauftragte nämlich nur außerordentlich aus wichtigem Grund gekündigt werden können, und die Umstrukturierungsmaßnahme von Leistritz stelle keinen wichtigen Grund dar.

Das mit der von Leistritz eingelegten Revision befasste Bundesarbeitsgericht (Deutschland) fragt, ob nach der Datenschutz-Grundverordnung ( 1 ) eine mitgliedstaatliche Regelung zulässig ist, durch die die arbeitgeberseitige Kündigung eines Datenschutzbeauftragten an strengere Voraussetzungen als nach dem Unionsrecht geknüpft ist.

In seinem Urteil hat der Gerichtshof entschieden, dass Art. 38 Abs. 3 Satz 2 DSGVO ( 2 ) einer nationalen Regelung nicht entgegensteht, nach der einem bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigten Datenschutzbeauftragten nur aus wichtigem Grund gekündigt werden kann. Dies gilt auch dann, wenn die Kündigung nicht mit der Erfüllung der Aufgaben des Datenschutzbeauftragten zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele der DSGVO nicht beeinträchtigt.

Würdigung durch den Gerichtshof

Der Gerichtshof hebt erstens hervor, dass nach Art. 38 Abs. 3 Satz 2 DSGVO das Verbot für den Verantwortlichen oder den Auftragsverarbeiter, einen Datenschutzbeauftragten abzuberufen oder zu benachteiligen, bedeutet, dass dieser vor jeder Entscheidung zu schützen ist, mit der sein Amt beendet würde, durch die ihm ein Nachteil entstünde oder die eine Sanktion darstellte. Eine solche Entscheidung kann in der vom Arbeitgeber ausgesprochenen Kündigung eines Datenschutzbeauftragten liegen, mit der das Arbeitsverhältnis zwischen diesem und dem Arbeitgeber beendet würde. Was dieses Arbeitsverhältnis betrifft, stellt der Gerichtshof fest, dass Art. 38 Abs. 3 Satz 2 DSGVO sowohl für Datenschutzbeauftragte gilt, die Beschäftigte des Verantwortlichen oder des Auftragsverarbeiters sind, als auch für diejenigen, die ihre Aufgaben auf der Grundlage eines mit dem Verantwortlichen oder dem Auftragsverarbeiter geschlossenen Dienstvertrags erfüllen. Daher gilt diese Bestimmung im Verhältnis zwischen einem Datenschutzbeauftragten und einem Verantwortlichen oder einem Auftragsverarbeiter unabhängig von der Art des sie verbindenden Beschäftigungsverhältnisses. Außerdem wird in dieser Bestimmung eine Grenze gezogen, mit der die arbeitgeberseitige Kündigung eines Datenschutzbeauftragten aus Gründen, die sich auf die Erfüllung seiner Aufgaben beziehen, verboten wird ( 3 ).

Was zweitens das mit Art. 38 Abs. 3 Satz 2 DSGVO verfolgte Ziel betrifft, sollten nach der DSGVO ( 4 ) die Datenschutzbeauftragten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können, im Einklang mit dem Ziel der DSGVO ( 5 ). Das Ziel, die unabhängige Stellung des Datenschutzbeauftragten ( 6 ) zu gewährleisten, bedeutet, dass der Datenschutzbeauftragte keine Anweisungen bezüglich der Ausübung seiner Aufgaben erhält, unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters berichtet und bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden ist. Folglich soll Art. 38 Abs. 3 Satz 2 DSGVO die Unabhängigkeit des Datenschutzbeauftragten wahren, da er ihn vor jeder Entscheidung im Zusammenhang mit der Erfüllung seiner Aufgaben schützt, mit der sein Amt beendet würde, durch die ihm ein Nachteil entstünde oder die eine Sanktion darstellte. Mit dieser Bestimmung wird hingegen nicht bezweckt, insgesamt das Arbeitsverhältnis zwischen einem Verantwortlichen oder einem Auftragsverarbeiter und dessen Beschäftigten zu regeln.

Was drittens schließlich den Regelungszusammenhang von Art. 38 Abs. 3 Satz 2 DSGVO betrifft, stellt der Gerichtshof fest, dass es beim Kündigungsschutz eines bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigten Datenschutzbeauftragten – mit Ausnahme des besonderen Schutzes des Datenschutzbeauftragten nach dieser Bestimmung – nicht um eine Regelung geht, die auf der Grundlage für die DSGVO ( 7 ) erlassen werden könnte, sondern um Sozialpolitik, in der eine geteilte Zuständigkeit ( 8 ) der Union und der Mitgliedstaaten besteht. Auf dem Gebiet des Arbeitnehmerschutzes bei Beendigung des Arbeitsverhältnisses unterstützt und ergänzt die Union die Tätigkeit der Mitgliedstaaten, indem sie hierzu Mindestvorschriften erlässt. Daher steht es jedem Mitgliedstaat frei, in Ausübung seiner vorbehaltenen Zuständigkeit besondere, strengere Vorschriften für die arbeitgeberseitige Kündigung eines Datenschutzbeauftragten vorzusehen, sofern diese mit der DSGVO vereinbar sind. Insbesondere darf ein strengerer Schutz die Verwirklichung der Ziele der DSGVO nicht beeinträchtigen. Dies wäre aber der Fall, wenn dieser Schutz jede durch einen Verantwortlichen oder einen Auftragsverarbeiter ausgesprochene Kündigung eines Datenschutzbeauftragten verböte, der nicht mehr die für die Erfüllung seiner Aufgaben erforderlichen beruflichen Eigenschaften besitzt oder seine Aufgaben nicht im Einklang mit der DSGVO erfüllt.

( 1 ) Siehe insbesondere Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, im Folgenden: DSGVO).

( 2 ) Nach Art. 38 Abs. 3 Satz 2 DSGVO darf der Datenschutzbeauftragte von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.

( 3 ) Zu diesen Aufgaben gehört gemäß Art. 39 Abs. 1 Buchst. b DSGVO insbesondere die Überwachung der Einhaltung der Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten.

( 4 ) Insbesondere gemäß dem 97. Erwägungsgrund der DSGVO.

( 5 ) Die DSGVO soll, wie sich aus ihrem zehnten Erwägungsgrund ergibt, u. a. ein hohes Datenschutzniveau für natürliche Personen in der Union gewährleisten.

( 6 ) Dieses Ziel ergibt sich aus Art. 38 Abs. 3 Sätze 1, 2 und 3 sowie aus Art. 38 Abs. 5 DSGVO.

( 7 ) Nach Art. 16 Abs. 2 AEUV, der Rechtsgrundlage für die DSGVO, können Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und über den freien Datenverkehr erlassen werden.

( 8 ) Gemäß Art. 4 Abs. 2 Buchst. b AEUV.