FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT
M. CAMPOS SÁNCHEZ-BORDONA
fremsat den 22. september 2022 (1)
Sag C-34/21
Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium
procesdeltager:
Minister des Hessischen Kultusministeriums als Dienststellenleiter
(anmodning om præjudiciel afgørelse indgivet af Verwaltungsgericht Frankfurt am Main (forvaltningsdomstolen i Frankfurt am Main, Tyskland))
»Præjudiciel forelæggelse – beskyttelse af personoplysninger – forordning (EU) 2016/679 – behandling af personoplysninger i forbindelse med ansættelsesforhold – artikel 88, stk. 1 – mere specifik bestemmelse – krav i henhold til artikel 88, stk. 2 – regionalt skolesystem – livestreamundervisning ved hjælp af videokonference – manglende udtrykkeligt samtykke fra lærerne«
1. I den tvist, som har givet anledning til denne anmodning om præjudiciel afgørelse, ønskes det nærmere bestemt oplyst, om lærere, der er ansat under et ministerium i Hessen (Tyskland), skal give samtykke til transmission af deres undervisning ved hjælp af videokonference, eller om behandlingen af deres personoplysninger (2), såfremt de ikke giver samtykke hertil, kan støttes på en legitim interesse som de i forordning (EU) 2016/679 (3) omhandlede.
2. Denne anmodning om præjudiciel afgørelse giver Domstolen lejlighed til for første gang, medmindre jeg tager fejl, at tage stilling til databeskyttelsesforordningens artikel 88. Det fremgår af denne bestemmelse, at medlemsstaterne ved lov eller i medfør af kollektive overenskomster kan fastsætte mere specifikke bestemmelser for at sikre beskyttelse af rettighederne og frihedsrettighederne i forbindelse med behandling af arbejdstageres personoplysninger i ansættelsesforhold.
I. Retsforskrifter
A. EU-retten. Databeskyttelsesforordningen
3. Nedenstående betragtninger har følgende ordlyd:
»[…]
(8) Når denne forordning fastsætter, at der kan indføres specifikationer eller begrænsninger af dens regler ved medlemsstaternes nationale ret, kan medlemsstaterne, i det omfang det er nødvendigt af hensyn til sammenhængen og for at gøre de nationale bestemmelser forståelige for de personer, som de finder anvendelse på, indarbejde elementer af denne forordning i deres nationale ret.
[…]
(10) For at sikre et ensartet og højt niveau for beskyttelse af fysiske personer og for at fjerne hindringerne for udveksling af personoplysninger inden for Unionen bør beskyttelsesniveauet for fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af sådanne oplysninger være ensartet i alle medlemsstater. Det bør sikres, at reglerne for beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger anvendes konsekvent og ensartet overalt i Unionen. I forbindelse med behandling af personoplysninger for at overholde en retlig forpligtelse eller for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, bør medlemsstaterne kunne opretholde eller indføre nationale bestemmelser for yderligere at præcisere anvendelsen af denne forordnings bestemmelser. […]
[…]
(45) Hvis behandling foretages i overensstemmelse med en retlig forpligtelse, som påhviler den dataansvarlige, eller hvis behandling er nødvendig for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, bør behandlingen have retsgrundlag i EU-retten eller medlemsstaternes nationale ret. Denne forordning indebærer ikke, at der kræves en specifik lov til hver enkelt behandling. Det kan være tilstrækkeligt med en lov som grundlag for adskillige databehandlingsaktiviteter, som baseres på en retlig forpligtelse, som påhviler den dataansvarlige, eller hvis behandling er nødvendig for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse. Det bør også henhøre under EU-retten eller medlemsstaternes nationale ret at fastlægge formålet med behandlingen. Endvidere kan dette retsgrundlag præcisere denne forordnings generelle betingelser for lovlig behandling af personoplysninger og nærmere præcisere, hvem den dataansvarlige er, hvilken type personoplysninger der skal behandles, de berørte registrerede, hvilke enheder personoplysningerne kan videregives til, formålsbegrænsninger, opbevaringsperiode og andre foranstaltninger til at sikre lovlig og rimelig behandling. […]
[…]
(155) Medlemsstaternes nationale ret eller kollektive overenskomster, herunder »lokalaftaler«, kan fastsætte specifikke bestemmelser om behandling af arbejdstageres personoplysninger i ansættelsesforhold, navnlig betingelserne for, hvorledes personoplysninger i ansættelsesforhold kan behandles på grundlag af arbejdstagerens samtykke, og i forbindelse med ansættelse, ansættelseskontrakter, herunder godtgørelse for forpligtelser fastlagt ved lov eller kollektive overenskomster, ledelse, planlægning og tilrettelæggelse af arbejdet, ligestilling og mangfoldighed på arbejdspladsen, sikkerhed og sundhed på arbejdspladsen, individuel eller kollektiv udøvelse og nydelse af rettigheder og fordele i forbindelse med ansættelse samt ophør af ansættelsesforhold.
[…]«
4. Artikel 5 (»Principper for behandling af personoplysninger«) bestemmer:
»1. Personoplysninger skal:
a) behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«)
b) indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål; viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, skal ikke anses for at være uforenelig med de oprindelige formål (»formålsbegrænsning«)
c) være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«)
d) være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges (»rigtighed«)
e) opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles; personoplysninger kan opbevares i længere tidsrum, hvis personoplysningerne alene behandles til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, under forudsætning af, at der implementeres passende tekniske og organisatoriske foranstaltninger, som denne forordning kræver for at sikre den registreredes rettigheder og frihedsrettigheder (»opbevaringsbegrænsning«)
f) behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).
2. Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«).«
5. Databeskyttelsesforordningens artikel 6 (»Lovlig behandling«) foreskriver:
»1. Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:
a) Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.
b) Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt.
c) Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.
[…]
e) Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.
f) Behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.
Første afsnit, litra f), gælder ikke for behandling, som offentlige myndigheder foretager som led i udførelsen af deres opgaver.
2. Medlemsstaterne kan opretholde eller indføre mere specifikke bestemmelser for at tilpasse anvendelsen af denne forordnings bestemmelser om behandling med henblik på overholdelse af stk. 1, litra c) og e), ved at fastsætte mere præcist specifikke krav til behandling og andre foranstaltninger for at sikre lovlig og rimelig behandling, herunder for andre specifikke databehandlingssituationer som omhandlet i kapitel IX.
3. Grundlaget for behandling i henhold til stk. 1, litra c) og e), skal fremgå af:
a) EU-retten, eller
b) medlemsstaternes nationale ret, som den dataansvarlige er underlagt.
Formålet med behandlingen skal være fastlagt i dette retsgrundlag eller for så vidt angår den behandling, der er omhandlet i stk. 1, litra e), være nødvendig for udførelsen af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. Dette retsgrundlag kan indeholde specifikke bestemmelser med henblik på at tilpasse anvendelsen af bestemmelserne i denne forordning, bl.a. de generelle betingelser for lovlighed af den dataansvarliges behandling, hvilke typer oplysninger der skal behandles, berørte registrerede, hvilke enheder personoplysninger må videregives til, og formålet hermed, formålsbegrænsninger, opbevaringsperioder og behandlingsaktiviteter samt behandlingsprocedurer, herunder foranstaltninger til sikring af lovlig og rimelig behandling såsom i andre specifikke databehandlingssituationer som omhandlet i kapitel IX. EU-retten eller medlemsstaternes nationale ret skal opfylde et formål i samfundets interesse og stå i rimeligt forhold til det legitime mål, der forfølges.
4. Når behandling til et andet formål end det, som personoplysningerne er indsamlet til, ikke er baseret på den registreredes samtykke eller EU-retten eller medlemsstaternes nationale ret, som udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til de mål, der er omhandlet i artikel 23, stk. 1, tager den dataansvarlige, for at afgøre, om behandling til et andet formål er forenelig med det formål, som personoplysningerne oprindelig blev indsamlet til, bl.a. hensyn til følgende:
a) enhver forbindelse mellem det formål, som personoplysningerne er indsamlet til, og formålet med den påtænkte viderebehandling
b) den sammenhæng, hvori personoplysningerne er blevet indsamlet, navnlig med hensyn til forholdet mellem den registrerede og den dataansvarlige
c) personoplysningernes art, navnlig om særlige kategorier af personoplysninger behandles, jf. artikel 9, eller om personoplysninger vedrørende straffedomme og lovovertrædelser behandles, jf. artikel 10
d) den påtænkte viderebehandlings mulige konsekvenser for de registrerede
e) tilstedeværelse af fornødne garantier, som kan omfatte kryptering eller pseudonymisering.«
6. Artikel 88 (»Behandling i forbindelse med ansættelsesforhold«) bestemmer:
»1. Medlemsstaterne kan ved lov eller i medfør af kollektive overenskomster fastsætte mere specifikke bestemmelser for at sikre beskyttelse af rettighederne og frihedsrettighederne i forbindelse med behandling af arbejdstageres personoplysninger i ansættelsesforhold, navnlig med henblik på ansættelse, ansættelseskontrakter, herunder opfyldelse af forpligtelser fastsat ved lov eller i kollektive overenskomster, ledelse, planlægning og tilrettelæggelse af arbejdet, ligestilling og mangfoldighed på arbejdspladsen, arbejdsmiljø samt beskyttelse af arbejdsgiveres eller kunders ejendom og med henblik på individuel eller kollektiv udøvelse og nydelse af rettigheder og fordele i forbindelse med ansættelse samt med henblik på ophør af ansættelsesforhold.
2. Disse bestemmelser skal omfatte passende og specifikke foranstaltninger til beskyttelse af den registreredes menneskelige værdighed, legitime interesser og grundlæggende rettigheder, særlig med hensyn til gennemsigtighed i behandlingen, overførsel af personoplysninger inden for en koncern eller gruppe af foretagender, der udøver en fælles økonomisk aktivitet, og overvågningssystemer på arbejdspladsen.
3. Hver medlemsstat giver senest den 25. maj 2018 Kommissionen meddelelse om de bestemmelser, som den vedtager i henhold til stk. 1, og underretter den straks om alle senere ændringer, der berører dem.«
B. National ret
1. Hessisches Datenschutz- und Informationsfreiheitsgesetz (4)
7. § 23 bestemmer:
»(1) Ansattes personoplysninger kan behandles til brug for ansættelsesforholdet, hvis dette er nødvendigt for afgørelsen om indgåelse af et ansættelsesforhold eller, efter indgåelsen af ansættelsesforholdet, for dettes gennemførelse, ophør eller afvikling samt til gennemførelse af interne planlægningsmæssige, organisatoriske, sociale og personalemæssige foranstaltninger. Dette gælder også med henblik på udøvelse eller opfyldelse af rettigheder og pligter i forbindelse med repræsentation af medarbejdernes interesser, som følger af en lov eller en overenskomst, en virksomheds- eller tjenesteaftale (kollektiv aftale).
[…]
(4) Behandling af personoplysninger, herunder særlige kategorier af ansattes personoplysninger til brug for ansættelsesforholdet, er tilladt på grundlag af kollektive aftaler. I denne forbindelse skal parterne overholde artikel 88, stk. 2, [i databeskyttelsesforordningen].
(5) Den dataansvarlige skal træffe egnede foranstaltninger til at sikre, at navnlig principperne for behandling af personoplysninger i artikel 5 [i databeskyttelsesforordningen] bliver overholdt.
[…]
(8) Ved ansatte forstås i denne lov:
[…]
7. tjenestemænd, der er omfattet af Hessisches Beamtengesetz [(5)], delstatens dommere samt personer i den civile tjeneste.
[…]«
2. Hessisches Beamtengesetz
8. § 86, stk. 4, bestemmer:
»Arbejdsgiveren må kun indsamle personoplysninger om ansøgere, tjenestemænd samt tidligere tjenestemænd, hvis dette er nødvendigt for at indgå, gennemføre, afslutte eller afvikle ansættelsesforholdet eller for at gennemføre organisatoriske, personalemæssige og sociale foranstaltninger, navnlig også med henblik på planlægning og indsættelse af personale, eller hvis en retsforskrift eller en tjenesteaftale tillader det […]«
II. De faktiske omstændigheder, hovedsagen og de præjudicielle spørgsmål
9. Verwaltungsgericht Wiesbaden (forvaltningsdomstolen i Wiesbaden, Tyskland), som oprindeligt har forelagt denne anmodning om præjudiciel afgørelse, har hverken tilvejebragt en detaljeret beskrivelse af de faktiske omstændigheder i sagen, af de bestemmelser, der anfægtes i sagen (6), eller af sagens forløb, men har i stedet fokuseret på at redegøre for sin tvivl med hensyn til de juridiske aspekter.
10. Forvaltningsdomstolen i Wiesbaden har blot fastslået, at tvisten mellem parterne »drejer sig om, hvorvidt der ved indførelse af livestreamundervisning ved hjælp af videokonferencesystemer foruden forældrenes samtykke for deres børn eller myndige elevers samtykke også kræves samtykke fra den pågældende lærer, eller om den databehandling, der sker i denne forbindelse, er omfattet af [HDSIG’s] § 23, stk. 1, første punktum […]«.
11. Den nævnte domstol er navnlig i tvivl om, hvorvidt HDSIG’s § 23, stk. 1, første punktum, udgør en bestemmelse, der skal anses for en »mere specifik bestemmelse« i forbindelse med behandlingen af de ansattes personoplysninger som omhandlet i databeskyttelsesforordningens artikel 88. Efter dens opfattelse opfylder denne bestemmelse ikke kravene i databeskyttelsesforordningens artikel 88, stk. 2, af følgende grunde:
– Den henviser kun til »nødvendigheden« som retsgrundlag for behandlingen af de ansattes, henholdsvis tjenestemændenes data.
– Ved enhver behandling af ansattes oplysninger, som går ud over den rent nødvendige databehandling i medfør af ansættelseskontrakten, skal der foretages en interesseafvejning, der går ud over den simple »nødvendighed«, hvilken afvejning ikke er omhandlet i den nationale lovgivning.
12. Den forelæggende ret har anført, at den ikke tilslutter sig Bundesarbeitsgerichts (forbundsdomstol i arbejdsretlige sager, Tyskland) praksis med hensyn til spørgsmålet om, hvorvidt den bestemmelse, som svarer til HDSIG’s § 23, stk. 1, første punktum, på forbundsstatsniveau (7), er forenelig med databeskyttelsesforordningens artikel 88.
13. Den forelæggende ret har derimod anført følgende:
– Optagelsen af princippet om »nødvendighed« i den nationale lovgivning udgør ikke en konkretisering af kravene i databeskyttelsesforordningens artikel 88, stk. 2.
– Henvisningen til, at den dataansvarlige navnlig skal overholde principperne i databeskyttelsesforordningens artikel 5, opfylder heller ikke de nævnte krav, eftersom artikel 5 ikke indeholder nogen særlig beskyttelse af de ansatte.
– Lovgiver har ganske vist principielt taget hensyn til artikel 88, stk. 2, i [databeskyttelsesforordningen] og krævet den overholdt i forbindelse med kollektive aftaler, men lovgiver har ikke behandlet eller opfyldt listen over krav i stk. 2 hverken i selve loven eller i begrundelsen for den pågældende lovbestemmelse.
14. På denne baggrund har den forelæggende ret forelagt Domstolen følgende præjudicielle spørgsmål:
»1) Skal artikel 88, stk. 1, i [databeskyttelsesforordningen] fortolkes således, at en [lov]bestemmelse for at være en mere specifik bestemmelse for at sikre beskyttelse af rettighederne og frihedsrettighederne i forbindelse med behandling af arbejdstageres personoplysninger i ansættelsesforhold som omhandlet i artikel 88, stk. 1, i [databeskyttelsesforordningen] skal opfylde de krav, der stilles til sådanne bestemmelser i henhold til artikel 88, stk. 2, i [databeskyttelsesforordningen]?
2) Kan en national bestemmelse, som åbenbart ikke opfylder kravene i henhold til artikel 88, stk. 2, i [databeskyttelsesforordningen], alligevel fortsat finde anvendelse?«
III. Retsforhandlingerne for Domstolen
15. Anmodningen om præjudiciel afgørelse indgik til Domstolen den 20. januar 2021.
16. Kompetencen til at træffe afgørelse i hovedsagen er pr. den 1. december 2021 (8) tillagt Verwaltungsgericht Frankfurt am Main (forvaltningsdomstolen i Frankfurt am Main, Tyskland), for hvilken domstol sagens videre behandling har fundet sted.
17. Den tyske, den østrigske og den rumænske regering samt Europa-Kommissionen har afgivet skriftlige indlæg. Ovennævnte aktører, samt lærernes personaleudvalg, har skriftligt besvaret de spørgsmål, som Domstolen fremsendte til dem inden retsmødet.
18. Lærernes personaleudvalg, Delstaten Hessens undervisnings- og kulturministerium, den tyske regering og Kommissionen deltog i det retsmøde, der blev afholdt den 30. juni 2022.
IV. Bedømmelse
A. Formaliteten med hensyn til den præjudicielle forelæggelse
19. Den tyske regering har i sit skriftlige indlæg gjort gældende, at den præjudicielle forelæggelse bør afvises, eftersom den forelæggende ret i forbindelse med spørgsmålet, om behandlingen af personoplysninger i forbindelse med livestreamundervisning ved hjælp af videokonference er omfattet af HDSIG’s § 23, stk. 1, ikke har gjort rede for, hvorfor denne behandling ikke skulle kunne være tilladt som følge af lærerens samtykke.
20. I retsmødet har den tyske regering til dels nuanceret denne indsigelse og anerkendt, at Domstolen ville skulle træffe afgørelse (dvs. at forelæggelsen kan antages til realitetsbehandling), såfremt de berørte lærere ikke havde givet samtykke til behandlingen.
21. Domstolen kan under alle omstændigheder kun afvise at træffe afgørelse om et præjudicielt spørgsmål forelagt af en national ret, hvis det klart fremgår, at den ønskede fortolkning af EU-retten savner enhver forbindelse med realiteten i hovedsagen eller dennes genstand, såfremt problemet er af hypotetisk karakter, eller såfremt Domstolen ikke råder over de faktiske og retlige oplysninger, som er nødvendige for, at den kan give en hensigtsmæssig besvarelse af de forelagte spørgsmål (9).
22. Ingen af disse omstændigheder foreligger i forbindelse med denne præjudicielle forelæggelse, hvor formodningen for, at den er relevant, gælder (10). Præmissen for forelæggelsen er, at ikke nødvendigvis alle lærere giver samtykke til behandling af deres personoplysninger, og dermed består interessen i at afgøre, om den bestemmelse (11), der udgør retsgrundlaget for en sådan behandling uden samtykke fra den berørte, er forenelig med EU-retten.
23. Det præjudicielle spørgsmål drejer sig netop om at afgøre, om den lovgivning, der tillader behandling af lærernes personoplysninger uden deres samtykke, opfylder kravene i databeskyttelsesforordningens artikel 88, stk. 1 og 2. Der foreligger således ubestrideligt en tilstrækkelig tæt tilknytning mellem tvisten og de bestemmelser i EU-retten, der ønskes fortolket.
B. Realiteten
1. Indledende betragtninger
24. Den forelæggende ret ønsker med sit første spørgsmål oplyst, om en lovbestemmelse for at være en »mere specifik bestemmelse« som omhandlet i databeskyttelsesforordningens artikel 88, stk. 1, skal opfylde kravene i samme forordnings artikel 88, stk. 2.
25. Det må af ordlyden af databeskyttelsesforordningens artikel 88 udledes, at de »mere specifikke bestemmelser«, der er nævnt i stk. 1, skal opfylde kravene i stk. 2.
26. I henhold til databeskyttelsesforordningens artikel 88, stk. 2, skal »[d]isse bestemmelser« (dvs. de mere specifikke bestemmelser, som er nævnt i stk. 1, og som medlemsstaterne kan fastsætte) omfatte »passende og specifikke foranstaltninger« til beskyttelse af de ansattes værdighed, legitime interesser og grundlæggende rettigheder. Disse bestemmelser skal navnlig tage hensyn til gennemsigtighed i behandlingen, overførsel af personoplysninger inden for en koncern eller gruppe af foretagender og overvågningssystemer på arbejdspladsen.
27. Der er således en tydelig forbindelse mellem begge stykker i databeskyttelsesforordningens artikel 88: stk. 2 præciserer, i bindende vendinger (12), indholdet af de specifikke bestemmelser, som medlemsstaterne i medfør af stk. 1 kan fastsætte i forbindelse med ansættelsesforhold.
28. Svaret på det første præjudicielle spørgsmål giver således ikke anledning til større vanskeligheder: Databeskyttelsesforordningens artikel 88 skal fortolkes således, at en lovbestemmelse, der skal udgøre en »mere specifik bestemmelse« som omhandlet i stk. 1, »skal opfylde de krav« – for nu at bruge den forelæggende rets formulering – der stilles i stk. 2.
29. Det er ikke sandsynligt, at den forelæggende ret har brug for Domstolens bistand for at nå til denne konklusion. Derfor skal den faktiske betydning af det første præjudicielle spørgsmål måske snarere bestemmes i lyset af det andet præjudicielle spørgsmål. Med det andet præjudicielle spørgsmål ønskes det oplyst, om en national bestemmelse, som »ikke opfylder kravene i henhold til artikel 88, stk. 2,« i databeskyttelsesforordningen (13), fortsat kan finde anvendelse.
30. Ud fra dette synspunkt (som er den forelæggende rets synspunkt) er spørgsmålet, om en medlemsstats lovbestemmelser, der er fastsat i henhold til databeskyttelsesforordningens artikel 88, stk. 1, men som ikke er i overensstemmelse med artikel 88, stk. 2, kan støttes på andre bestemmelser i databeskyttelsesforordningen. Navnlig på andre åbningsbestemmelser i denne forordning som f.eks. artikel 6, stk. 2.
31. På grund af den overlappende karakter af den forelæggende rets to spørgsmål har den østrigske regering og Kommissionen foreslået at besvare dem samlet, og jeg har tilsluttet mig og vil følge denne tilgang.
2. Databeskyttelsesforordningens artikel 88 og tjenestemandsansatte lærere
32. Den forelæggende ret har forudsat, at lærere, der er repræsenteret i lærernes personaleudvalg, og Hessens undervisnings- og kulturministerium har en arbejdsaftale hvad angår de nationale databeskyttelsesregler.
33. Dette udgangspunkt er i overensstemmelse med HDSIG, som i forbindelse med reguleringen af behandlingen af arbejdstageres personoplysninger anser tjenestemænd, der er omfattet af HBG, herunder lærere, for at være ansatte i den nævnte lovs forstand.
34. Den forelæggende ret har således på intet tidspunkt rejst tvivl om, hvorvidt databeskyttelsesforordningens artikel 88 finder anvendelse på delstatens tjenestemandsansatte lærere.
35. Heller ikke sagens parter eller procesdeltageren, som Domstolen har adspurgt om dette punkt, har rejst tvivl om dette udgangspunkt. Alle er enige om, at status som tjenestemandsansat lærer ikke falder uden for anvendelsesområdet for databeskyttelsesforordningens artikel 88.
36. Denne tilgang er efter min opfattelse korrekt og kan anvendes til at undersøge rækkevidden af databeskyttelsesforordningens artikel 88, som henviser til »beskyttelse af […] arbejdstageres personoplysninger i ansættelsesforhold«.
37. Således som den tyske regering har fremhævet, omfatter kategorien arbejdstager i bred forstand naturligvis tjenestemandsansatte lærere, der er ansat i delstatens tjeneste, og hvis interesser varetages af lærernes personaleudvalg.
38. Domstolens praksis med hensyn til ansættelsesforhold (14) og begrebet arbejdstagere for så vidt angår disses frie bevægelighed samt den omstændighed, at den tidligere artikel 39, stk. 4, TEF (nu artikel 45, stk. 4, TEUF) ikke finder anvendelse på ansættelser i den offentlige administration, kan analogt pege på den løsning, som jeg foreslår.
39. Følgende fremgår af denne praksis, der fremhæver det funktionelle aspekt af de opgaver, der udføres:
– Begrebet offentlig administration i denne forstand skal fortolkes og anvendes ensartet i hele Unionen og kan derfor ikke overlades til medlemsstaternes helt frie skøn.
– Artikel 45, stk. 4, TEUF vedrører de stillinger, der indebærer en direkte eller indirekte deltagelse i udøvelsen af offentlig myndighed og i de funktioner, som skal sikre statens eller andre offentlige enheders almene interesser (15).
40. Eftersom tjenestemandsansatte lærere som sådan ikke deltager i udøvelsen af offentlig myndighed i snæver forstand, men snarere leverer en uddannelsesmæssig tjenesteydelse (16), der er lig de tjenesteydelser, som lærere leverer til andre enheder eller private virksomheder, kan de anses for at være »arbejdstagere« generelt og følgelig på området for beskyttelse af oplysninger.
41. Således som den østrigske regering har fremhævet, ville alt andet medføre, at situationer, der i det væsentlige er ens, behandles uens, f.eks. situationen for tjenestemandsansatte lærere og situationen for lærere i den private sektor ud fra et materielt synspunkt. Dette ville være endnu mere alvorligt, for så vidt som begrebet offentlig tjeneste ikke er harmoniseret inden for EU, således som Kommissionen har anført, og således ville anvendelsesområdet for databeskyttelsesforordningens artikel 88 i tilfælde af en anden fortolkning afhænge af den nationale lovgivning.
3. Åbne bestemmelser i databeskyttelsesforordningen
42. Således som generaladvokat Bobek fremhævede i Fashion ID-sagen (17), har databeskyttelsesforordningens ophævelse af direktiv 95/46/EF (18) især skabt en grundlæggende ændring af karakteren af det retlige instrument, der regulerer beskyttelsen af fysiske personer på området for behandling af personoplysninger.
43. Dette instrument er ikke længere et direktiv (dvs. en retsakt, der medfører en resultatforpligtelse og overlader det til de nationale myndigheder at bestemme form og midler for gennemførelsen), men derimod en forordning. Sidstnævnte, som er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat, tillader principielt ikke, medmindre der foreligger en udtrykkelig tilladelse, at dens indhold indarbejdes (eller gengives) i nationale bestemmelser (19).
44. Selv om databeskyttelsesforordningen er mere vidtgående end den harmonisering, der blev tilstræbt med direktiv 95/46 (20), var den omstændighed, at det næsten er alle former for menneskelig aktivitet, der skaber personoplysninger, hvis behandling skal beskyttes (21), afgørende for, at lovgiver gav medlemsstaterne beføjelse til at:
– indarbejde elementer af databeskyttelsesforordningen i deres nationale ret, når denne forordning fastsætter, at der kan indføres specifikationer eller begrænsninger af dens regler ved medlemsstaternes nationale ret
– opretholde eller indføre nationale bestemmelser for yderligere at præcisere anvendelsen af databeskyttelsesforordningens bestemmelser (22).
45. Selv om databeskyttelsesforordningen har til formål at sikre, at reglerne for beskyttelse anvendes konsekvent og ensartet overalt i Unionen, og at fjerne hindringerne for udveksling af personoplysninger inden for denne (23), har EU-lovgiver, således som generaladvokat Richard de la Tour har fastslået, været nødt til at anerkende, at virkeligheden er mere kompleks: Databeskyttelsesforordningen kunne på trods af sin tværgående karakter ikke foregribe alle de mulige forgreninger, som beskyttelsen af personoplysninger kan have på andre områder vedrørende bl.a. arbejdsret, konkurrenceret eller forbrugerret (24).
46. Dette forklarer, at databeskyttelsesforordningen åbner mulighed for, at medlemsstaterne kan fastsætte supplerende nationale regler, der er strengere, eller undtagelsesbestemmelser. Medlemsstaterne er overladt et skøn med hensyn til, hvorledes disse bestemmelser kan gennemføres (»åbningsbestemmelser«) (25).
47. Den relativt store udbredelse af denne form for bestemmelser har været til skade for en fuld harmonisering af beskyttelsen af personoplysninger (26). Som Kommissionen har anerkendt, har den omstændighed, at databeskyttelsesforordningen forpligter medlemsstaterne til at lovgive på nogle områder, samtidig med at den giver dem mulighed for at præcisere denne forordnings regler på andre, medført »en vis fragmentering, som især skyldes den udbredte brug af fakultative specificerende bestemmelser« (27).
48. Den bestemmelse, der især er relevant i denne sag, er bestemmelsen i databeskyttelsesforordningens artikel 88, stk. 1. Det er imidlertid nødvendigt kort at undersøge denne bestemmelses forhold til bestemmelsen i samme forordnings artikel 6, stk. 1, litra b) og e), hvilket skete i retsmødet.
a) Databeskyttelsesforordningens artikel 6, stk. 2
49. Artikel 6, stk. 1, som indgår i databeskyttelsesforordningens kapitel II, som fastlægger de »principper«, der ligger til grund for behandlingen af personoplysninger og dermed fastlægger den generelle ordning for systemet, opregner betingelserne for, at en behandling er lovlig. Den nævnte bestemmelses litra a) nævner nærmere bestemt den registreredes samtykke, og litra b), at behandlingen er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i.
50. Disse betingelser supplerer de betingelser, der følger af de principper, som databeskyttelsesforordningens artikel 5 fastlægger generelt (28), og som præciseres i databeskyttelsesforordningens artikel 7-11 med hensyn til samtykke (artikel 7 og med hensyn til børn artikel 8), behandling af særlige kategorier af personoplysninger (artikel 9) eller behandling af personoplysninger vedrørende straffedomme og lovovertrædelser (artikel 10) og behandling, der ikke kræver identifikation (artikel 11).
51. Ud over denne samling af principper og regler kan nævnes »mere specifikke bestemmelser«, som medlemsstaterne kan indføre (eller opretholde) for i overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 2, at »tilpasse anvendelsen af [databeskyttelsesforordningens] bestemmelser« med henblik på to konkrete behandlinger, når disse er nødvendige:
– for at overholde en retlig forpligtelse [artikel 6, stk. 1, litra c)].
– af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse [artikel 6, stk. 1, litra e)] (29).
52. Denne »tilpasning«, tilføjes det i bestemmelsen, består i at fastsætte »mere præcist specifikke krav til behandling og andre foranstaltninger for at sikre lovlig og rimelig behandling«, herunder »for andre specifikke databehandlingssituationer som omhandlet i kapitel IX«.
53. Sidstnævnte formulering i bestemmelsen er ikke så klar, som det kunne ønskes, eftersom det ikke er let at fastslå, om der – igen med henblik på de i artikel 6, stk. 1, litra c) og e), nævnte behandlinger – herved tillades regulering af andre specifikke situationer end dem, der allerede er nævnt i kapitel IX, eller om sidstnævnte situationer er de eneste, der er omfattet af databeskyttelsesforordningen med henblik på de to nævnte behandlinger.
b) Databeskyttelsesforordningens artikel 88, stk. 1
54. Under alle omstændigheder er den åbningsbestemmelse, der er relevant her, som nævnt databeskyttelsesforordningens artikel 88, stk. 1, fordi den forelæggende ret har lagt vægt på den. Jeg minder om, at det fremgår af denne bestemmelse, at medlemsstaterne ved lov eller i medfør af kollektive overenskomster kan fastsætte »mere specifikke bestemmelser for at sikre beskyttelse af rettighederne og frihedsrettighederne i forbindelse med behandling af arbejdstageres personoplysninger i ansættelsesforhold«.
55. Behandlingen af disse personoplysninger kan navnlig ske med henblik på:
– ansættelse, ansættelseskontrakter (30), ledelse, planlægning og tilrettelæggelse af arbejdet, ligestilling og mangfoldighed på arbejdspladsen, arbejdsmiljø samt beskyttelse af arbejdsgiveres eller kunders ejendom
– individuel eller kollektiv udøvelse og nydelse af rettigheder og fordele i forbindelse med ansættelse og
– ophør af ansættelsesforhold.
56. Beføjelsen til at fastsætte sådanne bestemmelser indebærer en vis »afharmoniserende« virkning. Nationale bestemmelser, der er tilladt i henhold til databeskyttelsesforordningens artikel 88, stk. 1, kan for en eller flere medlemsstater betyde, at der indføres forskelle i den generelle ordning i databeskyttelsesforordningen, som er mere vidtgående end blot den »tilpasning«, der er tilladt i henhold til databeskyttelsesforordningens artikel 6, stk. 2:
– Databeskyttelsesforordningens artikel 6, stk. 2, giver medlemsstaterne beføjelse til at tilpasse anvendelsen af visse bestemmelser i databeskyttelsesforordningen.
– Databeskyttelsesforordningens artikel 88, stk. 1, tillader derimod, at medlemsstaterne fastsætter mere specifikke bestemmelser for at sikre beskyttelse. Der er således tale om en mere intens form for indførelse af lovgivning, som ikke gør sig gældende, når det blot drejer sig om at tilpasse eller justere anvendelsen af databeskyttelsesforordningens bestemmelser, hvis indhold og rækkevidde skal anses for definitive (31).
4. HDSIG’s § 23 sammenholdt med databeskyttelsesforordningen
57. I overensstemmelse med databeskyttelsesforordningens artikel 88, stk. 3, gav Forbundsrepublikken Tyskland Kommissionen meddelelse om, at de bestemmelser, som denne medlemsstat havde vedtaget i henhold til databeskyttelsesforordningens artikel 88, stk. 1, omfattede HDSIG’s § 23.
58. Efter min opfattelse, som på dette punkt er i tråd med den forelæggende rets og Kommissionens opfattelse, opfylder HDSIG’s § 23 ikke kravet om at »fastsætte mere specifikke bestemmelser« for at sikre beskyttelse af rettighederne i forbindelse med behandling af personoplysninger i ansættelsesforhold, således som databeskyttelsesforordningens artikel 88, stk. 1, foreskriver.
59. Såvel HDSIG’s § 23, stk. 1, første punktum, som HBG’s § 86, stk. 4, første punktum, bestemmer blot, at ansattes og tjenestemænds personoplysninger kan behandles til brug for ansættelsesforholdet, hvis dette er »nødvendigt« med henblik på et af disse formål:
– for afgørelsen om indgåelse af et ansættelsesforhold eller, efter indgåelsen af ansættelsesforholdet, for dettes gennemførelse, ophør eller afvikling eller
– for gennemførelsen af interne planlægningsmæssige, organisatoriske, sociale og personalemæssige foranstaltninger.
60. Begge bestemmelser betinger strengt taget behandlingen af ansattes personoplysninger af den blotte omstændighed, at dette er nødvendigt med henblik på bestemte formål.
61. Der er således ikke tale om en bestemmelse, der adskiller sig meget fra databeskyttelsesforordningens artikel 6, stk. 1, litra b) (»Behandling er kun lovlig, hvis […] [den] er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt«) (32).
62. HDSIG’s § 23 gentager således en betingelse, der allerede er opstillet i databeskyttelsesforordningens artikel 6, stk. 1, litra b), for, at behandlingen generelt er lovlig. Den tilføjer derimod ingen specifik bestemmelse med henblik på at beskytte de rettigheder, der er involveret i behandlingen af personoplysninger i ansættelsesforhold (33).
63. Det samme resultat ville blive opnået, hvis den omtvistede undervisningsaktivitet faldt ind under databeskyttelsesforordningens artikel 6, stk. 1, litra e) (dvs. hvis den omtvistede behandling var nødvendig for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse) (34).
64. I tilfældene i litra c) og e) giver databeskyttelsesforordningens artikel 6, stk. 2, som nævnt medlemsstaterne beføjelse til at opretholde eller indføre »mere specifikke bestemmelser […] ved at fastsætte mere præcist specifikke krav til behandling […]«.
65. Jeg skal gentage, at HDSIG’s § 23 ikke udgør en »mere specifik bestemmelse«, men derimod blot tillader behandling af arbejdstagernes oplysninger, når dette er nødvendigt. Bestemmelsen går ikke så vidt som til at præcisere betingelserne og vilkårene for denne eventuelle behandling.
66. Den tyske regering har heroverfor anført, at det ville være »umuligt og uigennemførligt« at beskrive de mange forskellige former for behandling af oplysninger på arbejdsområdet i detaljer. Efter den tyske regerings opfattelse burde det være tilstrækkeligt med en lovbestemmelse, som behandlinger, der ikke kræver et mere specifikt retsgrundlag, i givet fald kan støttes på (35).
67. I forhold til det ovenstående er det tilstrækkeligt at anføre, at uanset hvor vanskelig opgaven måtte forekomme, er databeskyttelsesforordningens artikel 88, stk. 3, udtømmende, idet det heri bestemmes, at medlemsstaterne skal give Kommissionen meddelelse om »de bestemmelser, som [de] vedtager i henhold til stk. 1« i samme artikel. Dvs. ikke de (grundlæggende) bestemmelser, som bestemmelser, der fastsætter mere specifikke bestemmelser, støttes på, men derimod netop sidstnævnte bestemmelser. Meddelelsen skal gives på et individuelt grundlag og på en tydelig måde (36).
68. Sammenfattende er det, som HDSIG’s § 23 gør, at gentage den beføjelse, der allerede fremgår af databeskyttelsesforordningens artikel 88, stk. 1, eller, med andre ord, bane vej for en efterfølgende indførelse (eller opretholdelse) af mere specifikke bestemmelser.
69. Ud over at HDSIG’s § 23 ikke i sig selv fastsætter »mere specifikke bestemmelser« som omhandlet i databeskyttelsesforordningens artikel 88, stk. 1, indeholder førstnævnte bestemmelse heller ikke »passende og specifikke foranstaltninger til beskyttelse af den registreredes menneskelige værdighed, legitime interesser og grundlæggende rettigheder«.
70. Eftersom HDSIG’s § 23 udelader denne type foranstaltninger, opfylder denne bestemmelse ikke betingelsen i databeskyttelsesforordningens artikel 88, stk. 2, for at medlemsstaternes differentierende lovgivning i forbindelse med ansættelsesforhold kan accepteres.
71. Eftersom den præjudicielle forelæggelse er begrænset til undersøgelsen af lovbestemmelser og ikke kollektive overenskomster, vil jeg ikke rette opmærksomheden mod sidstnævnte (37), men derimod udelukkende mod førstnævnte.
72. Med hensyn til disse bestemmelser kan den nationale lovgiver ikke blot bestemme, således som HDSIG’s § 23, stk. 5, gør, at den dataansvarlige skal træffe egnede foranstaltninger til at sikre, at »principperne for behandling af personoplysninger i artikel 5 [i databeskyttelsesforordningen] bliver overholdt«. Denne bestemmelse er overflødig, eftersom enhver behandling af oplysninger principielt og som minimum skal opfylde betingelserne i databeskyttelsesforordningens artikel 5.
73. Det, som databeskyttelsesforordningens artikel 88, stk. 2, vedrører, er indførelse af foranstaltninger, der med henblik på beskyttelse sikrer den nødvendige overensstemmelse med den specifikke karakter af de foranstaltninger, der er truffet i overensstemmelse med databeskyttelsesforordningens artikel 88, stk. 1. Dette har i sidste ende til formål, at den specifikke karakter, som sidstnævnte bestemmelse tillader, i givet fald svarer til den specifikke karakter, der kræves af beskyttelsen.
74. Såfremt det anerkendes, at HDSIG’s § 23 indeholder en specifik bestemmelse i henhold til databeskyttelsesforordningens artikel 88, stk. 1, vil førstnævnte bestemmelse for så vidt angår den beskyttelse, som sidstnævnte artikels stk. 2 kræver, gentage den beskyttelse, som databeskyttelsesforordningens artikel 5 fastlægger generelt. Således ville den nødvendige balance mellem den specifikke karakter af de bestemmelser, der er tilladt i henhold til databeskyttelsesforordningens artikel 88, stk. 1, og den specifikke karakter af foranstaltningerne til »beskyttelse«, som samme artikels stk. 2 kræver, til syvende og sidst være ødelagt.
75. Jeg er sammenfattende af den opfattelse, at HDSIG’s § 23 ikke kan støttes på databeskyttelsesforordningens artikel 88. Dels fordi den ikke fastsætter mere specifikke bestemmelser, dels fordi den blot gentager den generelle beskyttelse, der er fastlagt i databeskyttelsesforordningens artikel 5.
5. Kan HDSIG’s § 23 alligevel finde anvendelse?
76. Spørgsmålet er, om HDSIG’s § 23 på trods af det ovenstående kan anvendes i den nationale retsorden. Som nævnt forekommer dette at være dét, som den forelæggende ret i sidste ende ønsker oplyst.
77. Dette spørgsmål drejer sig om at afgøre, om bestemmelser, der fastsættes af medlemsstaterne i henhold til åbningsbestemmelsen i databeskyttelsesforordningens artikel 88, stk. 1, og som ikke opfylder kravene i samme forordnings artikel 88, stk. 2, kan anvendes på grundlag af andre bestemmelser i databeskyttelsesforordningen.
78. Svaret, hvis forudsætning er, at HDSIG’s § 23 ikke indeholder »mere specifikke bestemmelser« som omhandlet i databeskyttelsesforordningens artikel 88 (38), kan udtrykkes på to måder:
– HDSIG’s § 23 bliver irrelevant eller overflødig, for så vidt som den i egentlig forstand ikke indeholder specifikke bestemmelser, der sikrer arbejdstagernes ret til beskyttelse af deres personoplysninger i ansættelsesforhold.
– På dette område (ansættelsesforhold) skal bestemmelserne i databeskyttelsesforordningens almindelige ordning anvendes direkte og fortrinsvist.
79. Som den østrigske og den rumænske regering samt Kommissionen har anført, og som alle deltagerne i retsmødet har anerkendt, er noget helt andet, at der intet er til hinder for, at en medlemsstat enten anvender andre bestemmelser i databeskyttelsesforordningen eller i henhold til denne forordnings artikel 6, stk. 2, anvender nationale bestemmelser, der regulerer behandlingen af arbejdstagernes oplysninger, på en måde, der bidrager til at »tilpasse anvendelsen« af databeskyttelsesforordningen.
V. Forslag til afgørelse
80. På baggrund af det ovenstående foreslår jeg, at Domstolen svarer Verwaltungsgericht Frankfurt am Main (forvaltningsdomstolen i Frankfurt am Main, Tyskland) således:
»Artikel 88, stk. 1 og 2, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således:
En lovbestemmelse, der er fastsat af en medlemsstat, udgør kun en mere specifik bestemmelse for at sikre beskyttelse af rettighederne og frihedsrettighederne i forbindelse med behandling af arbejdstageres personoplysninger i ansættelsesforhold, hvis den opfylder kravene i henhold til artikel 88, stk. 2, i forordning 2016/679.
Hvis den pågældende lovbestemmelse ikke opfylder kravene i henhold til artikel 88, stk. 2, i forordning 2016/679, kan den kun, i påkommende tilfælde, finde anvendelse, for så vidt som den kan støttes på andre bestemmelser i denne forordning eller på nationale bestemmelser med henblik på tilpasning såsom de i artikel 6, stk. 2, nævnte.«