Entscheidungsstichwort (Thema)
Vorlage zur Vorabentscheidung. Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Datenschutzbeauftragter. Verbot der Abberufung wegen der Erfüllung seiner Aufgaben. Erfordernis der funktionellen Unabhängigkeit. Nationale Regelung, nach der die Abberufung eines Datenschutzbeauftragten bei Fehlen eines wichtigen Grundes verboten ist
Normenkette
EUVO 679/2016 Art. 38 Abs. 3
Beteiligte
Zweckverband „Kommunale Informationsverarbeitung Sachsen” KISA, Körperschaft des öffentlichen Rechts |
Tenor
Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass er einer nationalen Regelung nicht entgegensteht, nach der ein bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigter Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann, auch wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele dieser Verordnung nicht beeinträchtigt.
Tatbestand
In der Rechtssache
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Bundesarbeitsgericht (Deutschland) mit Entscheidung vom 27. April 2021, beim Gerichtshof eingegangen am 13. September 2021, in dem Verfahren
ZS
gegen
Zweckverband „Kommunale Informationsverarbeitung Sachsen” KISA, Körperschaft des öffentlichen Rechts,
erlässt
DER GERICHTSHOF (Sechste Kammer)
unter Mitwirkung des Kammerpräsidenten P. G. Xuereb sowie des Richters A. Kumin und der Richterin I. Ziemele (Berichterstatterin),
Generalanwalt: J. Richard de la Tour,
Kanzler: D. Dittert, Referatsleiter,
aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 26. September 2022,
unter Berücksichtigung der Erklärungen
- der deutschen Regierung, vertreten durch J. Möller, D. Klebs und P.-L. Krüger als Bevollmächtigte,
- der portugiesischen Regierung, vertreten durch P. Barros da Costa, I. Oliveira, A. Pimenta und M. J. Ramos als Bevollmächtigte,
- des Europäischen Parlaments, vertreten durch O. Hrstková Šolcová und B. Schäfer als Bevollmächtigte,
- des Rates der Europäischen Union, vertreten durch T. Haas und K. Pleśniak als Bevollmächtigte,
- der Europäischen Kommission, vertreten durch A. Bouchagiar, K. Herrmann und H. Kranenborg als Bevollmächtigte,
aufgrund des nach Anhörung des Generalanwalts ergangenen Beschlusses, ohne Schlussanträge über die Rechtssache zu entscheiden,
folgendes
Urteil
Entscheidungsgründe
Rz. 1
Das Vorabentscheidungsersuchen betrifft die Auslegung und die Gültigkeit von Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2018, L 127, S. 2) (im Folgenden: DSGVO).
Rz. 2
Es ergeht im Rahmen eines Rechtsstreits zwischen ZS und dem Zweckverband „Kommunale Informationsverarbeitung Sachsen” KISA, Körperschaft des öffentlichen Rechts (im Folgenden: KISA), der sein Arbeitgeber ist, wegen der von KISA ausgesprochenen Abberufung von ZS von seiner Stellung als Datenschutzbeauftragter.
Rechtlicher Rahmen
Unionsrecht
Rz. 3
In den Erwägungsgründen 10 und 97 der DSGVO heißt es:
„(10) Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der [Europäischen] Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden. …
…
(97) … Derartige Datenschutzbeauftragte sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.”
Rz. 4
Art. 37 („Benennung eines Datenschutzbeauftragten”) Abs. 5 und 6 DSGVO bestimmt:
„(5) Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.
(6) Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.”
Rz. 5
Art. 38 („Stellung des Datenschutzbeauftragten”) Abs. 3, 5 und 6 DSGVO sieht vor:
„(3) Der Verantwortliche und der Auftragsvera...