Urteil : BDSG darf strengere Anforderungen an Abberufung eines DSB stellen als DS-GVO : aus der RDV 2/2023, Seite 116 bis 119
(EuGH, Urteil vom 9. Februar 2023 – C-453/21, C-560/21 –)
- Art. 38 Abs. 3 S. 2 der Verordnung (EU) 2016/679 […] (Datenschutz-Grundverordnung) ist dahin auszulegen, dass er einer nationalen Regelung nicht entgegensteht, nach der ein bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigter Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann, auch wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele dieser Verordnung nicht beeinträchtigt.
- Art. 38 Abs. 6 der Verordnung (EU) 2016/679 ist dahin auszulegen, dass ein „Interessenkonflikt“ im Sinne dieser Bestimmung bestehen kann, wenn einem Datenschutzbeauftragten andere Aufgaben oder Pflichten übertragen werden, die ihn dazu veranlassen würden, die Zwecke und Mittel der Verarbeitung personenbezogener Daten bei dem Verantwortlichen oder seinem Auftragsverarbeiter festzulegen. Ob dies der Fall ist, muss das nationale Gericht im Einzelfall auf der Grundlage einer Würdigung aller relevanten Umstände, insbesondere der Organisationsstruktur des Verantwortlichen oder seines Auftragsverarbeiters, und im Licht aller anwendbaren Rechtsvorschriften, einschließlich etwaiger interner Vorschriften des Verantwortlichen oder des Auftragsverarbeiters, feststellen.
Zur ersten Vorlagefrage:
Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 38 Abs. 3 S. 2 DS-GVO dahin auszulegen ist, dass er einer nationalen Regelung entgegensteht, nach der ein bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigter Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann, auch wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhängt. […]
Was als Erstes den Wortlaut der in Rede stehenden Bestimmung betrifft, so darf nach Art. 38 Abs. 3 S. 2 DS-GVO „[d] er Datenschutzbeauftragte … von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden“.
Insoweit hat der Gerichtshof in seinem Urt. v. 22. Juni 2022, Leistritz (C-534/20, EU:C:2022:495, Rn. 20 und 21), nachdem er zunächst festgestellt hat, dass in der DS-GVO die Begriffe „abberufen“, „benachteiligt“ und „wegen der Erfüllung seiner Aufgaben“ aus Art. 38 Abs. 3 S. 2 nicht definiert werden, ausgeführt, dass erstens nach dem gewöhnlichen Sprachgebrauch das Verbot für den Verantwortlichen oder den Auftragsverarbeiter, einen Datenschutzbeauftragten abzuberufen oder zu benachteiligen, bedeutet, dass der Datenschutzbeauftragte vor jeder Entscheidung zu schützen ist, mit der sein Amt beendet würde, durch die ihm ein Nachteil entstünde oder die eine Sanktion darstellte.
Eine solche Entscheidung könnte aber in der vom Arbeitgeber getroffenen Maßnahme der Abberufung eines Datenschutzbeauftragten liegen, die zur Folge hätte, dass der Datenschutzbeauftragte von seinen Aufgaben bei dem Verantwortlichen oder seinem Auftragsverarbeiter entbunden würde.
Zweitens gilt, wie der Gerichtshof ebenfalls festgestellt hat, Art. 38 Abs. 3 S. 2 DS-GVO gemäß Art. 37 Abs. 6 DS-GVO gleichermaßen für Datenschutzbeauftragte, die Beschäftigte des Verantwortlichen oder des Auftragsverarbeiters sind, und für diejenigen, die ihre Aufgaben auf der Grundlage eines mit dem Verantwortlichen oder dem Auftragsverarbeiter geschlossenen Dienstvertrags erfüllen, so dass Art. 38 Abs. 3 S. 2 DS-GVO im Verhältnis zwischen einem Datenschutzbeauftragten und einem Verantwortlichen oder einem Auftragsverarbeiter unabhängig von der Art des sie verbindenden Beschäftigungsverhältnisses gilt (Urt. v. 22. Juni 2022, Leistritz, C-534/20, EU:C:2022:495, Rn. 23 und 24).
Drittens wird mit der letztgenannten Bestimmung eine Grenze gezogen, mit der die Abberufung eines Datenschutzbeauftragten aus Gründen, die sich auf die Erfüllung seiner Aufgaben beziehen, verboten wird; zu diesen Aufgaben gehört gemäß Art. 39 Abs. 1 Buchst. b DS-GVO insbesondere die Überwachung der Einhaltung der Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten (vgl. in diesem Sinne Urteil vom 22. Juni 2022, Leistritz, C-534/20, EU:C:2022:495, Rn. 25).
Was als Zweites das mit Art. 38 Abs. 3 S. 2 DS-GVO verfolgte Ziel betrifft, ist erstens darauf hinzuweisen, dass nach dem 97. ErwG der DS-GVO die Datenschutzbeauftragten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können sollten. Diese Unabhängigkeit muss es ihnen notwendigerweise ermöglichen, diese Aufgaben im Einklang mit dem Ziel der DS-GVO auszuüben, die, wie sich aus ihrem zehnten ErwG ergibt, namentlich darauf abzielt, innerhalb der Union ein hohes Datenschutzniveau für natürliche Personen zu gewährleisten und zu diesem Zweck für eine unionsweit gleichmäßige und einheitliche Anwendung der Vorschriften zum Schutz der Grundrechte und Grundfreiheiten dieser Personen bei der Verarbeitung personenbezogener Daten zu sorgen (Urt. v. 22. Juni 2022, Leistritz, C-534/20, EU:C:2022:495, Rn. 26 und die dort angeführte Rechtsprechung).
Zweitens ergibt sich das in Art. 38 Abs. 3 S. 2 DS-GVO genannte Ziel, die unabhängige Stellung des Datenschutzbeauftragten zu gewährleisten, auch aus Art. 38 Abs. 3 Satz 1 und 3 DS-GVO, wonach der Datenschutzbeauftragte keine Anweisungen bezüglich der Ausübung seiner Aufgaben erhält und unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters berichtet, sowie aus Art. 38 Abs. 5, wonach der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden ist (Urt. v. 22. Juni 2022, Leistritz, C-534/20, EU:C:2022:495, Rn. 27).
Mit Art. 38 Abs. 3 Satz 2 DS-GVO, der den Datenschutzbeauftragten vor jeder Entscheidung im Zusammenhang mit der Erfüllung seiner Aufgaben schützt, mit der sein Amt beendet würde, durch die ihm ein Nachteil entstünde oder die eine Sanktion darstellte, soll demnach im Wesentlichen die funktionelle Unabhängigkeit des Datenschutzbeauftragten gewahrt und damit die Wirksamkeit der Bestimmungen der DS-GVO gewährleistet werden (Urt. v. 22. Juni 2022, Leistritz, C-534/20, EU:C:2022:495, Rn. 28).
Als Drittes wird, wie der Gerichtshof ebenfalls entschieden hat, diese Auslegung durch den Regelungszusammenhang der Bestimmung und insbesondere durch die Rechtsgrundlage bestätigt, auf der der Unionsgesetzgeber die DS-GVO erlassen hat (Urt. v. 22. Juni 2022, Leistritz, C-534/20, EU:C:2022:495, Rn. 29).
Laut der Präambel der DS-GVO wurde diese nämlich auf der Grundlage von Art. 16 AEUV erlassen. Nach Art. 16 Abs. 2 AEUV erlassen das Europäische Parlament und der Rat der Europäischen Union gemäß dem ordentlichen Gesetzgebungsverfahren Vorschriften zum einen über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union sowie durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen, und zum anderen über den freien Datenverkehr (Urt. v. 22. Juni 2022, Leistritz, C-534/20, EU:C:2022:495, Rn. 30).
Insoweit geht es bei der Festlegung von Vorschriften zum Schutz eines bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigten Datenschutzbeauftragten vor Abberufung nur insoweit um den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, als diese Vorschriften darauf abzielen, die funktionelle Unabhängigkeit des Datenschutzbeauftragten gemäß Art. 38 Abs. 3 Satz 2 DS-GVO zu wahren (vgl. in diesem Sinne Urt. v. 22. Juni 2022, Leistritz, C-534/20, EU:C:2022:495, Rn. 31).
Daraus folgt, dass es jedem Mitgliedstaat freisteht, in Ausübung seiner vorbehaltenen Zuständigkeit besondere, strengere Vorschriften für die Abberufung eines Datenschutzbeauftragten vorzusehen, sofern diese mit dem Unionsrecht und insbesondere mit den Bestimmungen der DS-GVO, vor allem Art. 38 Abs. 3 S. 2 DS-GVO, vereinbar sind (vgl. in diesem Sinne Urt. v. 22. Juni 2022, Leistritz, C-534/20, EU:C:2022:495, Rn. 34).
Insbesondere darf ein strengerer Schutz die Verwirklichung der Ziele der DS-GVO nicht beeinträchtigen. Dies wäre aber der Fall, wenn dieser Schutz jede durch einen Verantwortlichen oder einen Auftragsverarbeiter ausgesprochene Abberufung eines Datenschutzbeauftragten verböte, der nicht mehr die für die Erfüllung seiner Aufgaben gemäß Art. 37 Abs. 5 DS-GVO erforderliche berufliche Qualifikation besitzt oder seine Aufgaben nicht im Einklang mit der DS-GVO erfüllt (vgl. in diesem Sinne Urt. v. 22. Juni 2022, Leistritz, C-534/20, EU:C:2022:495, Rn. 35).
Insoweit ist daran zu erinnern, dass die DS-GVO, wie in Rn. 25 des vorliegenden Urteils ausgeführt worden ist, darauf abzielt, innerhalb der Union ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten, und dass der Datenschutzbeauftragte zur Verwirklichung dieses Ziels seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können muss.
Ein strengerer Schutz des Datenschutzbeauftragten, der seine Abberufung verhindern würde, wenn er aufgrund eines Interessenkonflikts seine Aufgaben nicht oder nicht mehr in vollständiger Unabhängigkeit wahrnehmen könnte, würde die Verwirklichung dieses Ziels beeinträchtigen.
Es ist Sache des nationalen Gerichts, sicherzustellen, dass besondere Vorschriften wie die in Rn. 31 des vorliegenden Urteils genannten mit dem Unionsrecht und insbesondere mit den Bestimmungen der DS-GVO vereinbar sind.
Nach alledem ist auf die erste Frage zu antworten, dass Art. 38 Abs. 3 S. 2 DS-GVO dahin auszulegen ist, dass er einer nationalen Regelung nicht entgegensteht, nach der ein bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigter Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann, auch wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele dieser Verordnung nicht beeinträchtigt. […]
Zur vierten Vorlagefrage:
Mit seiner vierten Frage möchte das vorlegende Gericht im Wesentlichen wissen, unter welchen Voraussetzungen das Vorliegen eines „Interessenkonflikts“ im Sinne von Art. 38 Abs. 6 DS-GVO festgestellt werden kann.
Was als Erstes den Wortlaut der fraglichen Bestimmung betrifft, ist darauf hinzuweisen, dass nach Art. 38 Abs. 6 DS-GVO „[d]er Datenschutzbeauftragte andere Aufgaben und Pflichten wahrnehmen [kann]. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.“
Somit ergibt sich aus dem Wortlaut dieser Bestimmung erstens, dass die Wahrnehmung der Aufgaben des Datenschutzbeauftragten und die Wahrnehmung anderer Aufgaben beim Verantwortlichen oder seinem Auftragsverarbeiter nach der DS-GVO grundsätzlich nicht unvereinbar sind. Art. 38 Abs. 6 dieser Verordnung sieht nämlich ausdrücklich vor, dass der Datenschutzbeauftragte mit der Wahrnehmung anderer Aufgaben und Pflichten als denen betraut werden kann, die ihm nach Art. 39 DS-GVO obliegen.
Zweitens müssen der Verantwortliche oder sein Auftragsverarbeiter sicherstellen, dass diese anderen Aufgaben und Pflichten nicht zu einem „Interessenkonflikt“ führen. Angesichts der Bedeutung dieses Ausdrucks ist im gewöhnlichen Sprachgebrauch davon auszugehen, dass der Datenschutzbeauftragte entsprechend dem mit Art. 38 Abs. 6 DS-GVO verfolgten Ziel nicht mit der Wahrnehmung von Aufgaben oder Pflichten betraut werden darf, die die Ausübung seiner Stellung als Datenschutzbeauftragter beeinträchtigen könnten.
Zu diesem Ziel ist als Zweites festzustellen, dass diese Bestimmung wie die anderen in Rn. 25 des vorliegenden Urteils genannten Bestimmungen im Wesentlichen die funktionelle Unabhängigkeit des Datenschutzbeauftragten wahren und damit die Wirksamkeit der Bestimmungen der DS-GVO gewährleisten soll.
Was als Drittes den Zusammenhang betrifft, in den sich Art. 38 Abs. 6 DS-GVO einfügt, ist darauf hinzuweisen, dass dem Datenschutzbeauftragten nach Art. 39 Abs. 1 Buchst. b) DS-GVO u.a. die Aufgabe der Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen obliegt.
Daraus folgt insbesondere, dass einem Datenschutzbeauftragten keine Aufgaben oder Pflichten übertragen werden dürfen, die ihn dazu veranlassen würden, die Zwecke und Mittel der Verarbeitung personenbezogener Daten bei dem Verantwortlichen oder seinem Auftragsverarbeiter festzulegen. Nach den Datenschutzvorschriften der Union oder der Mitgliedstaaten muss der Datenschutzbeauftragte die Überwachung dieser Zwecke und Mittel nämlich unabhängig durchführen.
Ob ein Interessenkonflikt im Sinne von Art. 38 Abs. 6 DS-GVO vorliegt, ist im Einzelfall auf der Grundlage einer Würdigung aller relevanten Umstände, insbesondere der Organisationsstruktur des Verantwortlichen oder seines Auftragsverarbeiters, und im Licht aller anwendbaren Rechtsvorschriften, einschließlich etwaiger interner Vorschriften des Verantwortlichen oder des Auftragsverarbeiters, festzustellen.
Nach alledem ist auf die vierte Frage zu antworten, dass Art. 38 Abs. 6 DS-GVO dahin auszulegen ist, dass ein „Interessenkonflikt“ im Sinne dieser Bestimmung bestehen kann, wenn einem Datenschutzbeauftragten andere Aufgaben oder Pflichten übertragen werden, die ihn dazu veranlassen würden, die Zwecke und Mittel der Verarbeitung personenbezogener Daten bei dem Verantwortlichen oder seinem Auftragsverarbeiter festzulegen. Ob dies der Fall ist, muss das nationale Gericht im Einzelfall auf der Grundlage einer Würdigung aller relevanten Umstände, insbesondere der Organisationsstruktur des Verantwortlichen oder seines Auftragsverarbeiters, und im Licht aller anwendbaren Rechtsvorschriften, einschließlich etwaiger interner Vorschriften des Verantwortlichen oder des Auftragsverarbeiters, feststellen.