Entscheidungsstichwort (Thema)
Vorlage zur Vorabentscheidung. Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Datenschutzbeauftragter. Verbot für einen Verantwortlichen oder einen Auftragsverarbeiter, einen Datenschutzbeauftragten wegen der Erfüllung seiner Aufgaben abzuberufen oder zu benachteiligen. Rechtsgrundlage. Erfordernis funktioneller Unabhängigkeit. Nationale Regelung, die die Entlassung eines Datenschutzbeauftragten verbietet, wenn kein schwerwiegender Grund vorliegt
Normenkette
EUVO 679/2016 Art. 38 Abs. 3 S. 2; AEUV Art. 16
Beteiligte
Tenor
Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass er einer nationalen Regelung nicht entgegensteht, nach der einem bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigten Datenschutzbeauftragten nur aus wichtigem Grund gekündigt werden kann, auch wenn die Kündigung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele der DSGVO nicht beeinträchtigt.
Tatbestand
In der Rechtssache
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Bundesarbeitsgericht (Deutschland) mit Entscheidung vom 30. Juli 2020, beim Gerichtshof eingegangen am 21. Oktober 2020, in dem Verfahren
Leistritz AG
gegen
LH
erlässt
DER GERICHTSHOF (Erste Kammer)
unter Mitwirkung des Kammerpräsidenten A. Arabadjiev sowie der Richterin I. Ziemele (Berichterstatterin) und des Richters P. G. Xuereb,
Generalanwalt: J. Richard de la Tour,
Kanzler: D. Dittert, Referatsleiter,
aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 18. November 2021,
unter Berücksichtigung der Erklärungen
- der Leistritz AG, vertreten durch Rechtsanwalt O. Seeling und Rechtsanwältin C. Wencker,
- von LH, vertreten durch Rechtsanwalt S. Lohneis,
- der deutschen Regierung, vertreten durch J. Möller und S. K. Costanzo als Bevollmächtigte,
- der rumänischen Regierung, vertreten durch E. Gane als Bevollmächtigte,
- des Europäischen Parlaments, vertreten durch O. Hrstková Šolcová, P. López-Carceller und B. Schäfer als Bevollmächtigte,
- des Rates der Europäischen Union, vertreten durch T. Haas und K. Plesniak als Bevollmächtigte,
- der Europäischen Kommission, vertreten durch K. Herrmann, H. Kranenborg und D. Nardi als Bevollmächtigte,
nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 27. Januar 2022
folgendes
Urteil
Entscheidungsgründe
Rz. 1
Das Vorabentscheidungsersuchen betrifft die Auslegung und Gültigkeit von Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2018, L 127, S. 2, im Folgenden: DSGVO).
Rz. 2
Es ergeht im Rahmen eines Rechtsstreits zwischen der Leistritz AG und LH, die in dieser Gesellschaft die Aufgaben der Datenschutzbeauftragten wahrnahm, wegen der Kündigung ihres Arbeitsvertrags aufgrund einer Umstrukturierungsmaßnahme.
Rechtlicher Rahmen
Unionsrecht
Rz. 3
In den Erwägungsgründen 10 und 97 der DSGVO heißt es:
„(10) Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden. …
…
(97) … [Die] Datenschutzbeauftragte[n] sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.”
Rz. 4
Art. 37 („Benennung eines Datenschutzbeauftragten”) DSGVO sieht vor:
„(1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn
- die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß...