1.

Het verzoek om een prejudiciële beslissing van het Bundesarbeitsgericht (hoogste federale rechter in arbeidszaken, Duitsland) betreft de uitlegging en de geldigheid van artikel 38, lid 3, tweede volzin, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (hierna: „verordening 2016/679”) ( 2 ).

2.

Dit verzoek is ingediend in het kader van een geding tussen LH en zijn werkgever, Leistritz AG, over de beëindiging van zijn arbeidsovereenkomst wegens een reorganisatie van de dienstverlening van deze vennootschap, terwijl LH als functionaris voor gegevensbescherming volgens de toepasselijke Duitse wet alleen om gewichtige redenen kan worden ontslagen zonder inachtneming van een opzeggingstermijn.

3.

In deze conclusie zal ik uiteenzetten waarom ik van mening ben dat het in artikel 38, lid 3, tweede volzin, van verordening 2016/679 neergelegde verbod op het ontslag van een functionaris voor gegevensbescherming niet voortvloeit uit een harmonisatie van materiële regels van het arbeidsrecht, hetgeen de lidstaten de mogelijkheid laat om de bescherming van deze functionaris in hun nationale regelgeving op verschillende gebieden te versterken overeenkomstig de met die verordening nagestreefde doelstelling.

4.

De overwegingen 10, 13 en 97 van verordening 2016/679 luiden:

[...]

[...]

5.

Artikel 1 van deze verordening, met als opschrift „Onderwerp en doelstellingen”, bepaalt in lid 1:

„Bij deze verordening worden regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens.”

6.

Artikel 37 van die verordening, met als opschrift „Aanwijzing van de functionaris voor gegevensbescherming”, bepaalt in de leden 1, 4, 5 en 6:

„1.   De verwerkingsverantwoordelijke en de verwerker wijzen een functionaris voor gegevensbescherming aan in elk geval waarin:

[...]

4.   In andere dan de in lid 1 bedoelde gevallen kunnen of, indien dat Unierechtelijk of lidstaatrechtelijk is verplicht, moeten de verwerkingsverantwoordelijke of de verwerker of verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, een functionaris voor gegevensbescherming aanwijzen. De functionaris voor gegevensbescherming kan optreden voor dergelijke verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen.

5.   De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 39 bedoelde taken te vervullen.

6.   De functionaris voor gegevensbescherming kan een personeelslid van de verwerkingsverantwoordelijke of de verwerker zijn, of kan de taken op grond van een dienstverleningsovereenkomst verrichten.”

7.

Artikel 38 van verordening 2016/679, met als opschrift „Positie van de functionaris voor gegevensbescherming”, luidt:

„1.   De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.

[...]

3.   De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming geen instructies ontvangt met betrekking tot de uitvoering van die taken. Hij wordt door de verwerkingsverantwoordelijke of de verwerker niet ontslagen of gestraft voor de uitvoering van zijn taken. De functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan het hoogste leidinggevende niveau van de verwerkingsverantwoordelijke of de verwerker.

4.   Betrokkenen kunnen met de functionaris voor gegevensbescherming contact opnemen over alle aangelegenheden die verband houden met de verwerking van hun gegevens en met de uitoefening van hun rechten uit hoofde van deze verordening.

5.   De functionaris voor gegevensbescherming is met betrekking tot de uitvoering van zijn taken overeenkomstig het Unierecht of het lidstatelijk recht tot geheimhouding of vertrouwelijkheid gehouden.

6.   De functionaris voor gegevensbescherming kan andere taken en plichten vervullen. De verwerkingsverantwoordelijke of de verwerker zorgt ervoor dat deze taken of plichten niet tot een belangenconflict leiden.”

8.

Artikel 39 van verordening 2016/679 vermeldt de belangrijkste taken van de functionaris voor gegevensbescherming.

9.

§ 6 van het Bundesdatenschutzgesetz (federale wet inzake gegevensbescherming; hierna: „BDSG”) van 20 december 1990 ( 3 ), in de van 25 mei 2018 tot en met 25 november 2019 geldende versie ( 4 ), met als opschrift „Positie”, bepaalt in lid 4:

„De functionaris voor gegevensbescherming mag uitsluitend worden ontslagen met overeenkomstige toepassing van § 626 van het Bürgerliche Gesetzbuch (burgerlijk wetboek; hierna: „BGB”). Beëindiging van de arbeidsverhouding is niet toegestaan tenzij er sprake is van feiten op grond waarvan het overheidsorgaan gerechtigd is de arbeidsverhouding om gewichtige redenen te beëindigen zonder inachtneming van een opzeggingstermijn. Het is niet toegestaan om de arbeidsverhouding binnen een jaar na afloop van de activiteiten als functionaris voor gegevensbescherming te beëindigen, tenzij het overheidsorgaan gerechtigd is de arbeidsverhouding om gewichtige redenen te beëindigen zonder inachtneming van een opzeggingstermijn.”

10.

§ 38 BDSG, met als opschrift „Functionarissen voor gegevensbescherming die niet bij overheidsorganen in dienst zijn”, bepaalt:

„(1)   In aanvulling op artikel 37, lid 1, onder b) en c), van [verordening 2016/679] wijzen de verwerkingsverantwoordelijke en de verwerker een functionaris voor gegevensbescherming aan, indien zij in de regel ten minste tien personen[ ( 5 )] in dienst hebben die zich doorlopend bezighouden met de geautomatiseerde verwerking van persoonsgegevens. [...]

(2)   § 6, lid 4, lid 5, tweede volzin, en lid 6 is van toepassing, met dien verstande dat § 6, lid 4, slechts van toepassing is wanneer de aanwijzing van een functionaris voor gegevensbescherming verplicht is.”

11.

§ 134 BGB, in de versie die is bekendgemaakt op 2 januari 2002 ( 6 ), met als opschrift „Wettelijk verbod”, luidt:

„Een rechtshandeling die een wettelijk verbod schendt, is nietig tenzij de wet anders bepaalt.”

12.

§ 626 BGB, met als opschrift „Opzegging om gewichtige redenen zonder inachtneming van een opzeggingstermijn”, bepaalt:

„(1)   De arbeidsverhouding kan door elk van de contractpartijen om gewichtige redenen worden opgezegd zonder inachtneming van een opzeggingstermijn indien er sprake is van feiten op grond waarvan, rekening houdend met alle omstandigheden van het concrete geval en na afweging van de belangen van beide contractpartijen, redelijkerwijs niet van de opzeggende partij kan worden verwacht dat zij de arbeidsverhouding voortzet tot het verstrijken van de opzeggingstermijn of tot de contractueel overeengekomen beëindiging van de arbeidsverhouding.

(2)   Opzegging is uitsluitend mogelijk binnen twee weken. De termijn begint te lopen vanaf het tijdstip waarop de tot opzegging van de overeenkomst gerechtigde partij kennis krijgt van de voor de opzegging relevante feiten. [...]”

13.

Leistritz is een privaatrechtelijke vennootschap die krachtens het Duitse recht verplicht is om een functionaris voor gegevensverwerking aan te wijzen. LH is als hoofd van de dienst juridische zaken en als bedrijfsfunctionaris voor gegevensbescherming bij deze onderneming werkzaam geweest vanaf respectievelijk 15 januari 2018 en 1 februari 2018.

14.

Bij brief van 13 juli 2018 heeft Leistritz de arbeidsverhouding van LH met ingang van 15 augustus 2018 beëindigd met inachtneming van een opzeggingstermijn, waarbij zij zich beriep op een herstructureringsmaatregel van de onderneming, in het kader waarvan de bedrijfswerkzaamheden van juridische advisering en de dienstverlening van gegevensbescherming werden uitbesteed.

15.

Volgens de feitenrechters bij wie LH de geldigheid van zijn ontslag heeft aangevochten, kan LH als functionaris voor gegevensbescherming op grond van § 38, lid 2, juncto § 6, lid 4, tweede volzin, BDSG, alleen maar om gewichtige redenen worden ontslagen zonder inachtneming van een opzeggingstermijn indien er daarvoor gewichtige redenen zijn. De door Leistritz beschreven herstructureringsmaatregel vormt echter geen gewichtige reden voor een ontslag zonder inachtneming van een opzeggingstermijn.

16.

De verwijzende rechter, die moet beslissen op het door Leistritz ingestelde beroep in Revision, merkt op dat het ontslag van LH naar Duits recht nietig is volgens die bepalingen en § 134 BGB. ( 7 ) Hij wijst er evenwel op dat de toepasselijkheid van de bepalingen in kwestie afhangt van het antwoord op de vraag of het Unierecht, met name artikel 38, lid 3, tweede volzin, van verordening 2016/679, een regeling van een lidstaat toestaat waarbij de beëindiging van de arbeidsverhouding van een functionaris voor gegevensbescherming wordt onderworpen aan strengere voorwaarden dan die welke worden gesteld in het Unierecht. Indien dat niet is toegestaan, moet hij het beroep in Revision toewijzen.

17.

In deze omstandigheden heeft het Bundesarbeitsgericht besloten de behandeling van de zaak te schorsen en het Hof de volgende prejudiciële vragen te stellen:

18.

LH, Leistritz, de Duitse en de Roemeense regering alsook het Europees Parlement, de Raad van de Europese Unie en de Europese Commissie hebben schriftelijke opmerkingen ingediend. Met uitzondering van de Duitse en de Roemeense regering hebben deze partijen mondeling pleidooi gehouden ter terechtzitting van 18 november 2021.

19.

Met zijn eerste vraag wenst de verwijzende rechter in wezen van het Hof te vernemen of artikel 38, lid 3, tweede volzin, van verordening 2016/679 aldus moet worden uitgelegd dat het in de weg staat aan een nationale regeling op grond waarvan een functionaris voor gegevensbescherming alleen om een gewichtige reden kan worden ontslagen door zijn werkgever, ook al houdt dit ontslag geen verband met de uitvoering van zijn taken.

20.

Om deze vraag te beantwoorden, moet in de eerste plaats worden gepreciseerd wat er wordt verstaan onder de uitdrukking „ontslagen [...] voor de uitvoering van zijn taken”, die de Uniewetgever in artikel 38, lid 3, tweede volzin, van verordening 2016/679 bezigt. In de tweede plaats zal moeten worden vastgesteld of de lidstaten de mogelijkheid hebben om de waarborgen uit te breiden die de functionaris voor gegevensbescherming geniet op grond van die bepaling.

21.

Artikel 38 van verordening 2016/679 is opgenomen in hoofdstuk IV van deze verordening, dat betrekking heeft op de „verwerkingsverantwoordelijke en verwerker”, meer bepaald in afdeling 4, met als opschrift „Functionaris voor gegevensbescherming”. Deze afdeling bevat drie artikelen, die betrekking hebben op respectievelijk, de aanwijzing van de functionaris voor gegevensbescherming ( 8 ), zijn positie ( 9 ) en zijn taken, die hoofdzakelijk bestaan in het verstrekken van persoonlijk advies over de gegevensverwerking en het toezien op de naleving van de gegevensbeschermingsbepalingen ( 10 ).

22.

Bij de uitlegging van artikel 38, lid 3, tweede volzin, van verordening 2016/679 dient volgens vaste rechtspraak van het Hof niet alleen rekening te worden gehouden met de bewoordingen van deze bepaling, maar ook met haar context en met de doelstellingen die worden nagestreefd met de regeling waarvan zij deel uitmaakt. ( 11 )

23.

Wat betreft de formulering van artikel 38, lid 3, tweede volzin, van verordening 2016/679, merk ik op dat hierin een verplichting wordt uitgedrukt in negatieve bewoordingen. Het artikel bepaalt immers dat „[de functionaris voor gegevensbescherming] door de verwerkingsverantwoordelijke of de verwerker niet [wordt] ontslagen of gestraft voor de uitvoering van zijn taken”. ( 12 )

24.

Bij deze bepaling wordt dan ook de reikwijdte van de aan de functionaris voor gegevensbescherming geboden bescherming vastgesteld. Deze wordt, ten eerste, beschermd tegen elke beslissing die aan zijn positie een einde maakt of hem nadeel toebrengt, wanneer ten tweede, die beslissing verband houdt met de uitvoering van zijn taken.

25.

Wat betreft het onderscheid tussen het ontslag van de functionaris voor gegevensbescherming en zijn bestraffing, stel ik ten eerste vast dat deze maatregelen in geen enkele bepaling van verordening 2016/679 uitdrukkelijk of impliciet worden omschreven. ( 13 )

26.

Op basis van een vergelijking met andere taalversies kan worden aangenomen dat in artikel 38, lid 3, tweede volzin, van verordening 2016/679 wordt verwezen naar twee soorten maatregelen, te weten die waarbij een einde wordt gemaakt aan de positie van de functionaris voor gegevensbescherming en die waarbij een sanctie wordt opgelegd of waarbij deze functionaris wordt benadeeld, ongeacht het kader waarin zij worden genomen. Daaronder kan dus het ontslag vallen waardoor de werkgever een einde maakt aan een arbeidsovereenkomst. ( 14 )

27.

De resultaten van het onderzoek naar de totstandkomingsgeschiedenis van artikel 38 van verordening 2016/679 die ik kon raadplegen, werpen bij gebreke van gedetailleerde aanwijzingen geen nader licht op de precieze bedoelingen van de Uniewetgever wat de betekenis van het woord „ontslagen” betreft. Vastgesteld kan enkel worden dat de redactionele toevoeging betreffende het ontslag in een laat stadium van het wetgevingsproces heeft plaatsgevonden ( 15 ), waarbij tegelijkertijd de zinsnede is geschrapt die volgde op „[d]e verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming”, te weten de zinsnede „zijn taken onafhankelijk kan vervullen”. ( 16 ) Daaruit zou kunnen worden afgeleid dat deze wetgever een concrete invulling heeft willen geven aan de verplichting om de functionaris voor gegevensbescherming niet te ontslaan wegens de uitvoering van zijn taken.

28.

Ik merk tevens op dat de Uniewetgever ervoor gekozen heeft om de bewoordingen van artikel 38, lid 3, tweede volzin, van verordening 2016/679 letterlijk over te nemen in artikel 44, lid 3, tweede volzin, van verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van verordening (EG) nr. 45/2001 en besluit nr. 1247/2002/EG ( 17 ). Aan de documenten betreffende de uitwerking van verordening 2018/1725 kunnen evenwel geen nadere aanwijzingen worden ontleend, hetgeen mijns inziens wordt verklaard door het feit dat in artikel 44, lid 8, nog een andere belangrijke waarborg voor de functionaris voor gegevensbescherming is opgenomen, te weten dat „[i]ndien de functionaris voor gegevensbescherming niet langer aan de voor de uitoefening van zijn functie vereiste voorwaarden voldoet en alleen met instemming van de Europese Toezichthouder voor gegevensbescherming, [...] hij door de instelling of het orgaan van de Unie waardoor hij is aangewezen, [kan] worden ontslagen”.

29.

Ten tweede merk ik op dat in artikel 38, lid 3, tweede volzin, van verordening 2016/679 geen onderscheid wordt gemaakt naargelang de functionaris voor gegevensbescherming al dan niet een personeelslid is van de verwerkingsverantwoordelijke of de verwerker. ( 18 ) Deze verordening bevat namelijk geen enkele bepaling over de wisselwerking tussen de besluiten die de werkgever in het kader van de arbeidsverhouding neemt en de besluiten die betrekking hebben op de taken van de functionaris voor gegevensbescherming. De enige opgelegde beperking betreft de reden waarom aan de positie van de functionaris voor gegevensbescherming geen einde kan worden gemaakt, te weten elke reden die verband houdt met de uitvoering van zijn taken.

30.

Wat betreft de door de Uniewetgever nagestreefde doelstelling, deze rechtvaardigt de formulering in algemene bewoordingen van artikel 38, lid 3, tweede volzin, van verordening 2016/679 alsook de keuze van die beperking.

31.

In de ontwerpmotivering van de Raad wordt immers gepreciseerd dat de aanwijzing van een functionaris voor gegevensbescherming ertoe strekt de naleving van verordening 2016/679 te verbeteren. ( 19 ) Daarom worden in artikel 38, lid 3, tweede volzin, van deze verordening verplichtingen neergelegd om de onafhankelijkheid van de functionaris voor gegevensbescherming te kunnen waarborgen. In datzelfde artikel wordt dan ook bepaald dat deze functionaris geen instructies mag ontvangen met betrekking tot de uitvoering van zijn taken en rechtstreeks verslag moet uitbrengen aan het hoogste leidinggevende niveau van de verwerkingsverantwoordelijke of de verwerker. ( 20 ) Daarnaast is hij tot geheimhouding of vertrouwelijkheid gehouden. ( 21 )

32.

Benadrukt wordt dus dat de positie van de functionaris voor gegevensbescherming strikt geregeld is, wat in het bijzonder gerechtvaardigd is wanneer deze functionaris wordt aangewezen door een verwerkingsverantwoordelijke die zijn werkgever is. Het in artikel 38, lid 3, tweede volzin, van verordening 2016/679 neergelegde verbod waarborgt dan ook de voorrechten die de functionaris voor gegevensbescherming geniet met het oog op de uitvoering van zijn taken, die in bepaalde gevallen moeilijk verenigbaar kunnen zijn met de taken die de werkgever in het kader van de arbeidsverhouding heeft vastgesteld.

33.

Dat bovengenoemde bepaling er enkel toe strekt de onafhankelijke uitvoering van de taken van functionaris voor gegevensbescherming te regelen, vindt steun in de context waarin zij is vastgesteld.

34.

In zoverre moet worden benadrukt dat verordening 2016/679 volgens artikel 1 ervan tot doel heeft regels vast te stellen betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens. Deze verordening is dan ook vastgesteld op de grondslag van artikel 16, lid 2, VWEU ( 22 ), zodat moet worden aangenomen dat – zoals ik reeds in een eerdere conclusie heb uiteengezet – de bij deze verordening doorgevoerde harmonisatie niettegenstaande de transversale aard van de bescherming van persoonsgegevens beperkt is tot de aspecten die op dit gebied specifiek worden geregeld in die verordening. ( 23 )

35.

Om al deze redenen lijdt het mijns inziens geen twijfel dat de specifieke bescherming die bij artikel 38, lid 3, tweede volzin, van verordening 2016/679 wordt geboden aan de functionaris voor gegevensbescherming, past bij de doelstelling van die verordening, omdat daarmee de autonomie van die functionaris wordt versterkt. Zij valt dus niet binnen het ruimere gebied van werknemersbescherming. ( 24 )

36.

Derhalve rijst opnieuw de vraag of het de lidstaten, afgezien van de aspecten die specifiek worden geregeld in verordening 2016/679, nog steeds vrijstaat om wetgeving vast te stellen, mits zij geen afbreuk doen aan de inhoud en de doelstellingen van deze verordening. ( 25 )

37.

Mijns inziens rechtvaardigt het in overweging 13 vermelde doel van verordening 2016/679, op grond waarvan de Uniewetgever de onafhankelijkheid van de functionaris voor gegevensbescherming in algemene bewoordingen waarborgt in artikel 38, lid 3, tweede volzin, van deze verordening ( 26 ), dat lidstaten elke andere maatregel moeten kunnen nemen ter versterking van de autonomie van die functionaris bij de uitvoering van zijn taken.

38.

Deze analyse is niet in strijd met de in artikel 288, tweede alinea, VWEU omschreven gevolgen van een verordening, noch met de daaruit voortvloeiende verplichting van de lidstaten om niet af te wijken van een in al haar onderdelen verbindende en rechtstreeks toepasselijke verordening of om een dergelijke verordening aan te vullen, wanneer de bepalingen van de verordening in kwestie de lidstaten een manoeuvreerruimte laten die zij naargelang van het geval moeten of kunnen aanwenden onder de voorwaarden en binnen de grenzen die in die bepalingen zijn vastgesteld. ( 27 )

39.

Ik herhaal dan ook mijn standpunt dat de omvang van de bij verordening 2016/679 doorgevoerde harmonisatie verschilt naargelang van de in ogenschouw genomen bepalingen. De normatieve draagwijdte van de verordening moet dus van geval tot geval worden bepaald. ( 28 )

40.

In dit verband wijs ik erop dat artikel 38, lid 3, tweede volzin, van verordening 2016/679 het ontslag van de functionaris voor gegevensbescherming verbiedt voor zover dit ontslag uitsluitend verband houdt met de uitvoering van zijn taken – in de veronderstelling dat deze op behoorlijke wijze plaatsvindt ( 29 ) – zonder dat de ernst van de aangevoerde reden wordt gepreciseerd en zonder dat aandacht wordt besteed aan de verschillende aspecten van de gezagsverhouding met zijn werkgever die invloed kunnen hebben op zijn aanwijzing. Buiten beschouwing gebleven zijn dan ook bijvoorbeeld de duur van de arbeidsovereenkomst of de persoonlijke dan wel economische reden voor de beëindiging van deze overeenkomst, waarover eventueel onderhandeld kan worden, of nog de opschorting van de arbeidsverhouding wegens ziekte, bijscholing, jaarlijkse vakantie of langdurig verlof.

41.

Dat de Uniewetgever de bedoeling had om het aan de lidstaten over te laten de bepalingen ter bescherming van de onafhankelijkheid van de functionaris voor gegevensbescherming aan te vullen op basis van een overeenkomstig de doelstellingen van verordening 2016/679 vastgestelde minimale wettelijke regeling voor de uitvoering van de taken van die functionaris, blijkt overigens ook uit het feit dat deze verordening geen voorschrift als artikel 44, lid 8, eerste volzin, van verordening 2018/1725 bevat, dat betrekking heeft op de duur van de positie van functionaris voor gegevensbescherming ( 30 ), noch een voorschrift dat ziet op het geval waarin – zoals in casu – een bedrijf wordt gereorganiseerd met als gevolg dat de positie van functionaris voor gegevensbescherming wordt uitbesteed om redenen die geen verband houden met de uitvoering van zijn opdracht.

42.

Derhalve kunnen de lidstaten de onafhankelijkheid van de functionaris voor gegevensbescherming – voor zover hij bijdraagt aan de verwezenlijking van de doelstellingen van verordening 2016/679 – versterken, meer bepaald op het gebied van ontslag, aangezien er geen Unierechtelijke bepaling is die als grondslag kan dienen voor een bijzondere en concrete bescherming van die functionaris tegen ontslag om een reden die geen verband houdt met de uitvoering van zijn taken, terwijl de beëindiging van de arbeidsverhouding noodzakelijkerwijs tot gevolg heeft dat aan zijn taken een einde komt.

43.

In zoverre moet in herinnering worden gebracht dat in artikel 153, lid 1, onder d), VWEU op het gebied van de bescherming van werknemers bij de beëindiging van de arbeidsovereenkomst wordt gepreciseerd dat het optreden van de lidstaten door de Unie wordt ondersteund en aangevuld, alsmede dat – meer in het algemeen – de Unie en de lidstaten op het gebied van het sociaal beleid krachtens artikel 4, lid 2, onder b), VWEU, voor de in dit Verdrag genoemde aspecten een gedeelde bevoegdheid hebben in de zin van artikel 2, lid 2, VWEU.

44.

Het staat elke lidstaat dan ook vrij om bijzondere bepalingen vast te stellen inzake het ontslag van de functionaris voor gegevensbescherming, mits deze bepalingen verenigbaar zijn met de in verordening 2016/679 neergelegde regeling ter bescherming van die functionaris. ( 31 )

45.

Zoals blijkt uit het summiere onderzoek van de regelgeving van de lidstaten die ik heb kunnen raadplegen ( 32 ), hebben de meeste lidstaten geen specifieke bepalingen over ontslag vastgesteld en zich beperkt tot het rechtstreeks toepasselijke verbod dat is neergelegd in artikel 38, lid 3, tweede volzin, van verordening 2016/679. ( 33 )

46.

Andere lidstaten hebben er daarentegen wel voor gekozen om deze bepaling aan te vullen. ( 34 )

47.

Dienaangaande merk ik op dat de WP29 het volgende heeft overwogen: „Als normale procedure binnen de bedrijfsvoering en zoals ook het geval zou zijn voor elke andere werknemer of aannemer krachtens en in toepassing van een geldende nationale overeenkomst of arbeids‑ en strafwetgeving, kan een functionaris voor gegevensbescherming nog steeds rechtmatig worden ontslagen om andere redenen dan voor het uitvoeren van zijn/haar taken als functionaris voor gegevensbescherming (bv. bij diefstal, fysieke, psychologische of seksuele intimidatie of gelijkaardig ernstig wangedrag).” ( 35 )

48.

Ongeacht de keuze die de lidstaten hebben gemaakt, draagt mijns inziens ook de administratieve of rechterlijke instantie die er in de onderscheiden lidstaten mee belast is de rechtmatigheid van de reden voor het ontslag van de functionaris voor gegevensbescherming te toetsen, ertoe bij om de onafhankelijkheid van deze functionaris te waarborgen.

49.

Aangezien het namelijk zeer waarschijnlijk is dat uit de beslissing om de functionaris voor gegevensbescherming te ontslaan niet uitdrukkelijk zal blijken of er een verband bestaat tussen dit ontslag en de al dan niet behoorlijke uitvoering van de taken van die functionaris ( 36 ), is een algemene bescherming uit hoofde van de enkele hoedanigheid van functionaris voor gegevensbescherming denkbaar. In casu blijkt uit de toelichting van de verwijzende rechter dat het begrip „gewichtige reden”, zoals dat naar Duits recht wordt uitgelegd, met zich meebrengt dat omwille van de extra bescherming wordt aangenomen dat er aan de positie van de functionaris voor gegevensbescherming geen einde kan worden gemaakt in geval van een herstructurering. ( 37 ) In dezelfde zin kan er overigens van worden uitgegaan dat bij economische problemen van de onderneming die verplicht is om een functionaris voor gegevensbescherming aan te wijzen en daarvoor een van zijn werknemers heeft geselecteerd, deze functionaris zijn taken wegens de doelstelling van verordening 2016/679 en zijn bijdrage aan de verwezenlijking van deze doelstelling moet blijven uitvoeren zolang de werkzaamheden van de werkgever voortduren.

50.

Het in artikel 38, lid 3, tweede volzin, van verordening 2016/679 neergelegde verbod heeft evenwel noodzakelijkerwijs grenzen ingeval er, gelet op de verplichtingen van de functionaris voor gegevensbescherming, sprake is van een objectief disfunctioneren bij de uitvoering van de taken van deze functionaris. Deze grenzen moeten worden vastgesteld in overeenstemming met de doelstelling van die verordening. ( 38 )

51.

Zo noopt een evenzeer met de doelstelling van verordening 2016/679 overeenstemmende uitlegging er mijns inziens toe dat een functionaris voor gegevensbescherming kan worden ontslagen wanneer hij niet meer voldoet aan de voor de uitvoering van zijn taken noodzakelijke kwaliteitscriteria die worden vermeld in artikel 37, lid 5, van deze verordening of tekortschiet in de verplichtingen die zijn neergelegd in artikel 38, lid 3, eerste en derde volzin, en leden 5 en 6, van die verordening ( 39 ), dan wel wanneer zijn deskundigheid ontoereikend blijkt ( 40 ).

52.

Derhalve ben ik van mening dat artikel 38, lid 3, tweede volzin, van verordening 2016/679 aldus moet worden uitgelegd dat het niet in de weg staat aan een nationale regeling op grond waarvan een functionaris voor gegevensbescherming alleen om een gewichtige reden kan worden ontslagen door zijn werkgever, ook al houdt dit ontslag geen verband met de uitvoering van zijn taken.

53.

Indien het Hof dit standpunt echter niet zou delen en de eerste vraag van de verwijzende rechter bevestigend zou beantwoorden, zouden de twee overige prejudiciële vragen moeten worden beantwoord.

54.

Met zijn tweede vraag wenst de verwijzende rechter te vernemen of artikel 38, lid 3, tweede volzin, van verordening 2016/679 zich verzet tegen een nationale regeling op grond waarvan een functionaris voor gegevensbescherming alleen om een gewichtige reden kan worden ontslagen door zijn werkgever , ook al houdt dit ontslag geen verband met de uitvoering van zijn taken, wanneer de aanwijzing van de functionaris voor gegevensbescherming niet verplicht is krachtens artikel 37, lid 1, van voormelde verordening, maar uitsluitend krachtens het nationale recht, zoals bepaald is in artikel 37, lid 4, van die verordening.

55.

Ik merk op dat noch in artikel 38, lid 3, van verordening 2016/679 noch in de overige bepalingen van afdeling 4 van deze verordening, welke afdeling betrekking heeft op de functionaris voor gegevensbescherming, een onderscheid wordt gemaakt naargelang de aanwijzing van deze functionaris verplicht dan wel facultatief is.

56.

Ik ben dan ook van mening dat op de tweede vraag van de verwijzende rechter moet worden geantwoord dat artikel 38, lid 3, tweede volzin, van verordening 2016/679 van toepassing is zonder dat een onderscheid hoeft te worden gemaakt naargelang de aanwijzing van de functionaris voor gegevensbescherming verplicht is krachtens het Unierecht dan wel krachtens het nationale recht.

57.

Met zijn derde vraag wenst de verwijzende rechter te vernemen of artikel 38, lid 3, tweede volzin, van verordening 2016/679 geldig is en in het bijzonder of deze bepaling op een toereikende rechtsgrondslag berust, met name voor zover zij betrekking heeft op functionarissen voor gegevensbescherming die met de verwerkingsverantwoordelijke verbonden zijn door een arbeidsovereenkomst.

58.

Ik geef het Hof in overweging te oordelen dat artikel 38, lid 3, tweede volzin, van verordening 2016/679 op een toereikende rechtsgrondslag berust omdat het artikel uitsluitend tot doel heeft de functionaris voor gegevensbescherming te beschermen tegen elke belemmering bij de uitvoering van zijn taken en deze waarborg ongeacht het al dan niet bestaan van een arbeidsverhouding bijdraagt aan de daadwerkelijke verwezenlijking van de met die verordening nagestreefde doelstellingen.

59.

Ten eerste vormt namelijk artikel 16 VWEU de rechtsgrondslag waarop verordening 2016/679 berust, zoals ik in het kader van de analyse van de eerste prejudiciële vraag heb uiteengezet. ( 41 ) Bovendien heeft het Hof geoordeeld dat dit artikel, onverminderd artikel 39 VEU, een passende rechtsgrondslag vormt wanneer de bescherming van persoonsgegevens een van de essentiële doelen of componenten van de door de Uniewetgever vastgestelde regels is. ( 42 )

60.

Ten tweede is mijns inziens aan een van die voorwaarden geheel voldaan wanneer het gaat om de rol van de functionaris voor gegevensbescherming en de voor hem geldende regeling, zoals die rol en die regeling worden omschreven in verordening 2016/679. De waarborg van de functionele onafhankelijkheid van deze functionaris, waarmee wordt beoogd te voldoen aan het vereiste om op een hoog niveau de eerbiediging van de grondrechten van de bij de verwerking van persoonsgegevens betrokken personen te waarborgen ( 43 ), komt in artikel 38, lid 3, tweede volzin, van die verordening tot uitdrukking in het verbod om aan zijn positie een einde te maken om redenen die inherent zijn aan zijn taken. Aangezien deze bepaling niet verplicht tot enige arbeidsrechtelijke harmonisatie, heeft de Uniewetgever de hem bij artikel 16, lid 2, VWEU toegekende normatieve bevoegdheden niet overschreden.

61.

Wat betreft de inachtneming van het subsidiariteits‑ en het evenredigheidsbeginsel, waarover bij de verwijzende rechter eveneens vragen rijzen, merk ik ten eerste op dat de intensivering van de grensoverschrijdende verwerking van persoonsgegevens rechtvaardigt dat de bescherming van deze gegevens uit het oogpunt van de grondrechten haar beslag krijgt op het niveau van de Unie ( 44 ), met name door het waarborgen van de voorrechten van de functionaris voor gegevensbescherming, die als een „sleutelfiguur” voor deze bescherming wordt beschouwd ( 45 ). Ten tweede komt het mij voor dat artikel 38, lid 3, tweede volzin, van verordening 2016/679 niet verder gaat dan noodzakelijk is om de functionele onafhankelijkheid van die functionaris te waarborgen. De in deze bepaling opgenomen waarborg van het ontslagverbod is weliswaar noodzakelijkerwijs van invloed op de arbeidsverhouding, maar daarmee wordt enkel beoogd het nuttig effect van de positie van de functionaris voor de gegevensbescherming te behouden.

62.

Derhalve ben ik van mening dat op de derde vraag van de verwijzende rechter moet worden geantwoord dat bij het onderzoek van deze prejudiciële vraag niet is gebleken van feiten of omstandigheden die afbreuk kunnen doen aan de geldigheid van artikel 38, lid 3, tweede volzin, van verordening 2016/679.

63.

Gelet op een en ander geef ik Het Hof in overweging om de prejudiciële vragen van het Bundesarbeitsgericht te beantwoorden als volgt:

„Primair:

Subsidiair, voor het geval dat het Hof de eerste prejudiciële vraag bevestigend zou beantwoorden: