Language of document : ECLI:EU:C:2022:62

FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT

JEAN RICHARD DE LA TOUR

föredraget den 27 januari 2022(1)

Mål C534/20

Leistritz AG

mot

LH

(begäran om förhandsavgörande från Bundesarbeitsgericht (Federala arbetsdomstolen, Tyskland))

”Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Artikel 38.3 andra meningen – Dataskyddsombud – Förbud mot att avsätta ett dataskyddsombud för att ha utfört sina uppgifter – Rättslig grund – Artikel 16 FEUF – Giltighet – Krav på funktionellt oberoende – Harmoniseringens räckvidd – Nationell lagstiftning enligt vilken det är förbjudet att säga upp ett dataskyddsombud om det inte föreligger synnerliga skäl – Skyldighet att utse ett dataskyddsombud enligt nationell rätt”






I.      Inledning

1.        Begäran om förhandsavgörande från Bundesarbeitsgericht (Federala arbetsdomstolen, Tyskland)) avser tolkningen och giltigheten av artikel 38.3 andra meningen i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).(2)

2.        Begäran har framställts i en tvist mellan LH och dennes arbetsgivare, Leistritz AG, avseende uppsägningen av LH:s anställningsavtal med anledning av en omorganisation, trots att LH, enligt tillämplig tysk rätt, endast kan sägas upp på grund av synnerliga skäl utan att iaktta uppsägningstid på grund av att LG är utnämnd som dataskyddsombud.

3.        I förevarande förslag till avgörande kommer jag att ange varför jag anser att förbudet mot att avsätta ett dataskyddsombud enligt artikel 38.3 andra meningen i förordning 2016/679 inte är en följd av en harmonisering av de materiella bestämmelserna i arbetsrätten, vilket ger medlemsstaterna möjlighet att stärka skyddet för dataskyddsombud i deras nationella lagstiftningar på olika områden i enlighet med det syfte som eftersträvas i förordningen.

II.    Tillämpliga bestämmelser

A.      Förordning 2016/679

4.        I skälen 10, 13 och 97 i förordning 2016/679 anges följande:

”(10)      För att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av personuppgifter inom [Europeiska] unionen bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater. En konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter bör säkerställas i hela unionen …

(13)      För att säkerställa en enhetlig nivå för skyddet av fysiska personer över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden behövs en förordning som skapar rättslig säkerhet och öppenhet för ekonomiska aktörer, däribland mikroföretag samt små och medelstora företag, och som ger fysiska personer i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter samt ålägger personuppgiftsansvariga och personuppgiftsbiträden samma ansvar, så att övervakningen av behandling av personuppgifter blir enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyndigheterna i olika medlemsstater effektivt …

(97)      … [D]dataskyddsombud bör, oavsett om de är anställda av den personuppgiftsansvarige eller ej, kunna fullgöra sitt uppdrag och utföra sina uppgifter på ett oberoende sätt.”

5.        Artikel 1 i förordningen har rubriken ”Syfte”, vari följande föreskrivs i punkt 1:

”I denna förordning fastställs bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter och om det fria flödet av personuppgifter.”

6.        Artikel 37 i förordning 2016/679 har rubriken ”Utnämning av dataskyddsombudet”, och följande föreskrivs i punkterna 1 och 4–6:

”1.      Den personuppgiftsansvarige och personuppgiftsbiträdet ska under alla omständigheter utnämna ett dataskyddsombud om

a)      behandlingen genomförs av en myndighet eller ett offentligt organ, förutom när detta sker som en del av domstolarnas dömande verksamhet,

b)      den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling som, på grund av sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning, eller

c)      den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling i stor omfattning av särskilda kategorier av uppgifter i enlighet med artikel 9 och personuppgifter som rör fällande domar i brottmål och överträdelser, som avses i artikel 10.

4.      I andra fall än de som avses i punkt 1 får eller, om så krävs enligt unionsrätten eller medlemsstaternas nationella rätt, ska den personuppgiftsansvarige eller personuppgiftsbiträdet eller sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden utnämna ett dataskyddsombud. Dataskyddsombudet får agera för sådana sammanslutningar och andra organ som företräder personuppgiftsansvariga eller personuppgiftsbiträden.

5.      Dataskyddsombudet ska utses på grundval av yrkesmässiga kvalifikationer och, i synnerhet, sakkunskap om lagstiftning och praxis avseende dataskydd samt förmågan att fullgöra de uppgifter som avses i artikel 39.

6.      Dataskyddsombudet får ingå i den personuppgiftsansvariges eller personuppgiftsbiträdets personal, eller utföra uppgifterna på grundval av ett tjänsteavtal.”

7.        Artikel 38 i förordningen har rubriken ”Dataskyddsombudets ställning”, och föreskriver följande:

”1.      Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att dataskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter.

3.      Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att uppgiftskyddsombudet inte tar emot instruktioner som gäller utförandet av dessa uppgifter. Han eller hon får inte avsättas eller bli föremål för sanktioner av den personuppgiftsansvarige eller personuppgiftsbiträdet för att ha utfört sina uppgifter. Dataskyddsombudet ska rapportera direkt till den personuppgiftsansvariges eller personuppgiftsbiträdets högsta förvaltningsnivå.

4.      Den registrerade får kontakta dataskyddsombudet med avseende på alla frågor som rör behandlingen av dennes personuppgifter och utövandet av dennes rättigheter enligt denna förordning.

5.      Dataskyddsombudet ska, när det gäller dennes genomförande av sina uppgifter, vara bundet av sekretess eller konfidentialitet i enlighet med unionsrätten eller medlemsstaternas nationella rätt.

6.      Dataskyddsombudet får fullgöra andra uppgifter och uppdrag. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska se till att sådana uppgifter och uppdrag inte leder till en intressekonflikt.”

8.        I artikel 39 i förordning 2016/679 anges dataskyddsombudets huvudsakliga uppgifter.

B.      Tysk rätt

9.        I 6 § i Bundesdatenschutzgesetz (federala dataskyddslagen)(3) av den 20 december 1990 i den lydelse som var tillämplig under perioden 25 maj 2018–25 november 2019(4), med rubriken ”Status”, föreskrivs följande i punkt 4:

”Dataskyddsombud får endast avsättas genom analog tillämpning av 626 § Bürgerliches Gesetzbuch [civillagen]. En uppsägning av anställningsförhållandet är ogiltig såvida det inte finns omständigheter som berättigar den offentliga myndigheten till uppsägning av synnerliga skäl, utan att iaktta någon uppsägningstid. När uppdraget som dataskyddsombud har upphört är en uppsägning av anställningsförhållandet inom ett år ogiltig, såvida den offentliga myndigheten inte är berättigad till uppsägning av synnerliga skäl, utan att iaktta någon uppsägningstid.”

10.      I 38 § BDSG, med rubriken ”Dataskyddsombud inom icke offentliga organ”, föreskrivs följande:

”(1)      Utöver vad som föreskrivs i artikel 37.1 b och c i förordning … 2016/679 ska den personuppgiftsansvarige och personuppgiftsbiträdet utnämna ett dataskyddsombud om de normalt stadigvarande[(5)] sysselsätter minst tio personer med automatiserad hantering av personuppgifter. …

(2)      6 § styckena 4, 5 andra meningen och 6 är tillämpliga. Detta gäller emellertid endast 6 § stycke 4 om det föreligger en skyldighet att utnämna ett personuppgiftsbiträde eller ett dataskyddsombud.”

11.      134 § i civillagen, i den lydelse som offentliggjordes den 2 januari 2002,(6) med rubriken ”Lagstadgat förbud”, har följande lydelse:

”En rättshandling som strider mot ett lagstadgat förbud är ogiltig, såvida inget annat föreskrivs enligt lag.”

12.      626 § i denna lag har rubriken ”Omedelbar uppsägning på grund av synnerliga skäl”, och föreskriver följande:

(1)      Varje avtalspart kan säga upp anställningsförhållandet av synnerliga skäl utan iakttagande av uppsägningstid om det föreligger sakförhållanden som med beaktande av samtliga omständigheter i det enskilda fallet och en avvägning mellan båda avtalsparternas intressen gör att det inte rimligen kan krävas att den uppsägande parten fortsätter anställningsförhållandet till dess att uppsägningstiden eller den avtalade perioden för anställningsförhållandet har löpt ut.

(2)      Uppsägningen kan endast göras inom två veckor. Fristen börjar löpa vid den tidpunkt som den part som har rätt att säga upp anställningsförhållandet har erhållit kännedom om de avgörande omständigheterna …”

III. Målet vid den nationella domstolen och tolkningsfrågorna

13.      Leistritz är ett privaträttsligt bolag som enligt tysk rätt är skyldigt att utse ett dataskyddsombud. LH arbetade där som chef för rättsfrågor och internt dataskyddsombud från och med den 15 januari 2018 respektive den 1 februari 2018.

14.      Genom skrivelse av den 13 juli 2018 sade Leistritz upp LH med uppsägningstid, med verkan från den 15 augusti 2018, och åberopade omstruktureringsåtgärder, i samband med vilken den rättsliga rådgivningen och dataskyddsavdelningen lades ut på entreprenad.

15.      De domstolar som prövade LH:s bestridande av giltigheten av uppsägningen beslutade att enligt 38 § 2 jämförd med 6 § 4 andra meningen BDSG fick LH i egenskap av dataskyddsombud endast sägas upp utan uppsägningstid om det förelåg synnerliga skäl. Den omstruktureringsåtgärd som Leistritz hade beskrivit utgjorde emellertid inte något synnerligt skäl för uppsägning utan uppsägningstid.

16.      Den hänskjutande domstolen, som ska pröva det överklagande som Leistritz ingav, påpekade att enligt tysk rätt är uppsägningen av LH ogiltig med stöd av dessa bestämmelser och 134 § i civillagen.(7) Den hänskjutande domstolen angav dock att frågan om sådana bestämmelser kan tillämpas beror på huruvida en medlemsstats lagstiftning, genom vilken en uppsägning av dataskyddsombudet är förenad med strängare krav än enligt unionslagstiftningen, i synnerhet artikel 38.3 andra meningen i förordning 2016/679, är tillåten enligt unionsrätten. Om så inte är fallet ska överklagandet bifallas.

17.      Bundesarbeitsgericht (Federala arbetsdomstolen) beslutade mot denna bakgrund att vilandeförklara målet och att ställa följande tolkningsfrågor till EU‑domstolen:

”1)      Ska artikel 38.3 andra meningen i förordning [2016/679] tolkas så, att den utgör hinder mot en bestämmelse i nationell rätt, såsom i förevarande mål 38 § styckena 1 och 2 jämförd med 6 § stycke 4 andra meningen [BDSG], enligt vilken en uppsägning av dataskyddsombudet genom den personuppgiftsansvarige, vilken är nämnda ombuds arbetsgivare, är ogiltig, oberoende av om den sker på grund av att vederbörande har utfört sina uppgifter?

2)      Om den första frågan besvaras jakande:

Utgör artikel 38.3 andra meningen i [förordning 2016/679] även hinder mot en sådan bestämmelse i nationell rätt om det inte föreligger någon skyldighet att utnämna ett dataskyddsombud enligt artikel 37.1 i [förordningen], utan enbart enligt medlemsstatens lagstiftning?

3)      Om den första frågan besvaras jakande:

Grundar sig artikel 38.3 andra meningen i [förordning 2016/679] på ett tillräcklig bemyndigande, i synnerhet såvitt bestämmelsen omfattar dataskyddsombud som är anställda av den personuppgiftsansvarige?”

18.      LH, Leistritz, den tyska och den rumänska regeringen samt Europaparlamentet, Europeiska unionens råd och Europeiska kommissionen har inkommit med skriftliga yttranden. Parterna, med undantag av den tyska och den rumänska regeringen, yttrade sig muntligen vid förhandlingen den 18 november 2021.

IV.    Bedömning

A.      Den första tolkningsfrågan

19.      Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida artikel 38.3 andra meningen i förordning 2016/679 ska tolkas så, att den utgör hinder för en nationell lagstiftning enligt vilken en arbetsgivare till ett dataskyddsombud endast får säga upp honom eller henne om det föreligger synnerliga skäl, även om uppsägningen saknar samband med utförandet av uppgifterna.

20.      För att besvara denna fråga måste det för det första preciseras vad som avses med uttrycket ”får inte avsättas … för att ha utfört sina uppgifter”, vilket unionslagstiftaren har använt i artikel 38.3 andra meningen i förordning 2016/679. För det andra ska det fastställas huruvida medlemsstaterna har möjlighet att utvidga de garantier som dataskyddsombudet åtnjuter med stöd av bestämmelsen.

1.      Dataskyddsombudets skydd enligt artikel 38.3 andra meningen i förordning 2016/679

21.      Artikel 38 i förordning 2016/679 återfinns i kapitel IV, som avser ”[p]ersonuppgiftsansvarig och personuppgiftsbiträde”, särskilt i avsnitt 4, med rubriken ”Dataskyddsombud”. Förevarande avsnitt innehåller tre artiklar som avser utnämning av dataskyddsombudet(8), dess ställning(9) respektive dess uppgifter, som huvudsakligen består i att ge personliga råd om databehandling och att kontrollera att dataskyddsbestämmelser iakttas(10).

22.      Vid tolkningen av artikel 38.3 andra meningen i förordning 2016/679 ska, enligt domstolens fasta praxis, inte bara lydelsen beaktas, utan också sammanhanget och de mål som eftersträvas med de föreskrifter som bestämmelsen ingår i.(11)

23.      När det gäller lydelsen av artikel 38.3 andra meningen i förordning 2016/679, vill jag påpeka att den uttrycker en skyldighet i negerande termer. Det anges nämligen följande: ”[Dataskyddsombudet] får inte avsättas eller bli föremål för sanktioner av den personuppgiftsansvarige eller personuppgiftsbiträdet för att ha utfört sina uppgifter.”(12)

24.      I bestämmelsen fastställs således omfattningen av skyddet för dataskyddsombudet. Ombudet är skyddat mot varje beslut att avsätta personen eller att missgynna denne när ett sådant beslut har samband med utförandet av hans eller hennes uppgifter.

25.      När det gäller skillnaden mellan åtgärden att avsätta dataskyddsombudet och sanktionsåtgärden, konstaterar jag för det första att åtgärderna inte definieras uttryckligen eller underförstått i någon bestämmelse i förordning 2016/679.(13)

26.      Vid en jämförelse mellan andra språkversioner kan två typer av åtgärder anses omfattas av artikel 38.3 andra meningen i förordning 2016/679, nämligen åtgärder som innebär att ställningen som dataskyddsombud upphör och åtgärder som utgör sanktioner eller missgynnar dataskyddsombudet, oavsett vilken form de har. Dessa definitioner kan således omfatta uppsägningar genom vilka arbetsgivaren säger upp ett anställningsavtal.(14)

27.      Resultatet av efterforskningarna om lagstiftningshistoriken bakom artikel 38 i förordning 2016/679, som jag har kunnat få tillgång till, har inte bringat klarhet i unionslagstiftarens exakta avsikt vad gäller innebörden av begreppet ”avsättas”, i och med att det saknas detaljerade uppgifter. Det kan endast konstateras att det redaktionella tillägget av avsättning skedde sent i lagstiftningsprocessen(15), under vilken följande del av meningen, som angavs efter ”den registeransvarige eller registerföraren ska se till att uppgiftskyddsombudet”, samtidigt togs bort: ”kan agera på ett oberoende sätt när det gäller utförandet av hans eller hennes arbetsuppgifter”.(16) Härav kan utläsas att lagstiftaren önskade konkretisera skyldigheten att inte avsätta dataskyddsombudet för att ha utfört sina uppgifter.

28.      Jag vill även påpeka att unionslagstiftaren valde att använda exakt samma lydelse i artikel 38.3 andra meningen i förordning 2016/679 som i artikel 44.3 andra meningen i Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG(17). Det går dock inte att utläsa några förtydliganden från handlingarna om utarbetandet av förordning 2018/1725, vilket enligt min mening beror på att det i artikel 44.8 lades till en väsentlig garanti för dataskyddsombudet, nämligen att denne ”får avsättas från sitt uppdrag av den unionsinstitution eller det unionsorgan som utsett honom eller henne om han eller hon inte längre uppfyller de krav som ställs för att han eller hon ska kunna utföra sina uppgifter endast efter medgivande av Europeiska datatillsynsmannen”.

29.      För det andra görs det inte åtskillnad i artikel 38.3 andra meningen i förordning 2016/679 beroende på om dataskyddsombudet ingår i den personuppgiftsansvariges eller personuppgiftsbiträdets personal.(18) Förevarande förordning innehåller inte någon bestämmelse om att det ska föreligga ett ömsesidigt beroende mellan de beslut som fattas av arbetsgivaren inom ramen för ett anställningsförhållande och de beslut som avser ställningen som dataskyddsombud. Den enda begränsning som fastställs avser skälet till att dataskyddsombudets ställning inte kan upphöra, det vill säga alla skäl som hänför sig till att personen har utfört sina uppgifter.

30.      När det gäller det syfte som unionslagstiftaren eftersträvar motiverar det att artikel 38.3 andra meningen i förordning 2016/679 är formulerad i allmänna termer och att denna begränsning valdes.

31.      Det preciseras nämligen i utkastet till rådets motivering att ändamålet med att utse ett dataskyddsombud är att förbättra efterlevnaden av förordning 2016/679.(19) Det är skälet till att artikel 38.3 andra meningen fastställer skyldigheter som kan säkerställa dataskyddsombudets oberoende. Det föreskrivs således i samma artikel att dataskyddsombudet inte ska ta emot instruktioner som gäller utförandet av dessa uppgifter och att dataskyddsombudet ska rapportera direkt till den personuppgiftsansvariges eller personuppgiftsbiträdets högsta förvaltningsnivå.(20) Dataskyddsombudet är även bundet av sekretess eller konfidentialitet.(21)

32.      Tyngdpunkten ligger således i den strikta regleringen av dataskyddsombudets ställning, vilken är särskilt motiverad när ombudet utses av en personuppgiftsansvarig som är ombudets arbetsgivare. Genom förbudet i artikel 38.3 andra meningen i förordning 2016/679 garanteras således de befogenheter som dataskyddsombudet har för att utföra sina uppgifter, vilka i vissa fall kan vara svåra att förena med de befogenheter som arbetsgivaren har fastställt inom ramen för anställningsförhållandet.

33.      Bedömningen att denna bestämmelse enbart har till syfte att reglera hur ställningen som dataskyddsombud ska utövas oberoende stöds av det sammanhang i vilket bestämmelsen antogs.

34.      Enligt artikel 1 i förordning 2016/679 är syftet med förordningen att fastställa bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter och om det fria flödet av personuppgifter. Förordningen antogs således på grundval av artikel 16.2 FEUF(22), vilket, såsom jag redan har angett i tidigare förslag till avgörande, innebär att den harmonisering som företas genom förordning 2016/679 är, även om skyddet av personuppgifter är sektorsövergripande, begränsat till aspekter som specifikt omfattas av denna förordning på detta område.(23)

35.      Av samtliga dessa skäl råder det enligt min mening inget tvivel om att det särskilda skyddet för dataskyddsombudet, som föreskrivs i artikel 38.3 andra meningen i förordning 2016/679, är specifikt för syftet med förordningen, eftersom det förstärker dataskyddsombudets oberoende. Det omfattas således inte av det mer omfattande tillämpningsområdet för skyddet för arbetstagare.(24)

36.      Följaktligen uppkommer återigen frågan huruvida medlemsstaterna, bortsett från de aspekter som specifikt omfattas av förordning 2016/679, fortfarande har sin lagstiftningsrätt, förutsatt att de inte inkräktar på förordningens innehåll och syften.(25)

2.      Huruvida medlemsstaterna får utvidga det skydd som dataskyddsombudet har enligt artikel 38.3 andra meningen i förordning 2016/679

37.      Jag anser att det syfte med förordning 2016/679 som anges i skäl 13 i förordningen, med stöd av vilket unionslagstiftaren i generella termer i artikel 38.3 andra meningen i förordningen garanterar dataskyddsombudet oberoende(26), motiverar att en medlemsstat måste kunna vidta varje annan åtgärd som syftar till att stärka ombudets självständighet vid utförandet av sina uppgifter.

38.      Denna bedömning strider varken mot verkningarna av en förordning, såsom de definieras i artikel 288 andra stycket FEUF, eller mot medlemsstaternas efterföljande skyldighet att inte avvika från en förordning som är bindande till alla delar och direkt tillämplig eller komplettera den, om inte medlemsstaterna ges ett utrymme för skönsmässig bedömning, vilka beroende på det enskilda fallet ska eller får använda sig av detta utrymme under de förutsättningar och begränsningar som föreskrivs i dessa bestämmelser.(27)

39.      Jag upprepar följaktligen min uppfattning att omfattningen av den harmonisering som genomförs genom förordning 2016/679 varierar mellan de olika bestämmelserna. Det krävs alltså en granskning i varje enskilt fall för att fastställa förordningens normativa räckvidd.(28)

40.      Artikel 38.3 andra meningen i förordning 2016/679 behandlar den situation där dataskyddsombudet avsätts i den mån det endast sker med avseende på utförandet av ombudets uppgifter, vilket antas ha utförts korrekt,(29) i form av ett förbud, utan att införa någon svårighetsgrad i det åberopade skälet eller beakta olika aspekter av den underordnade ställningen till sin arbetsgivare, vilket kan påverka utnämningen av dataskyddsombudet. Som exempel beaktas således inte hur länge anställningsavtalet har varat eller om det har avbrutits av personliga eller ekonomiska skäl, vilket i förekommande fall kan förhandlas fram, eller om anställningsförhållandet är vilande på grund av sjukdom, utbildning, årlig semester eller en längre tids ledighet.

41.      Att unionslagstiftaren har för avsikt att låta medlemsstaterna komplettera skyddsbestämmelserna för dataskyddsombudets oberoende på grundval av en lägsta lagstiftningsram om ombudets utförande av sina uppgifter, som definieras utifrån syftet med förordning 2016/679, framgår även av att det saknas bestämmelser om hur länge dataskyddsombudets mandat ska vara – till skillnad från vad som föreskrivs i artikel 44.8 första meningen i förordning 2018/1725(30) – eller som avser en omorganisering av ett företag som syftar till att lägga ut dataskyddsombudets uppgifter på entreprenad av skäl som saknar samband med dataskyddsombudets fullgörande av sitt uppdrag, såsom i förevarande fall.

42.      Medlemsstaterna kan följaktligen besluta att förstärka dataskyddsombudets oberoende, i och med att ombudet deltar i genomförandet av syftet med förordning 2016/679, särskilt i fråga om uppsägningar, eftersom det inte finns någon bestämmelse i unionsrätten som kan utgöra grund för ett särskilt och konkret skydd mot uppsägning på grund av skäl som inte avser dataskyddsombudets utförande av sina uppgifter, även om anställningsförhållandet med nödvändighet leder till ställningen upphör.

43.      På området för skydd för arbetstagarna, då deras anställningsavtal slutar gälla, preciseras i artikel 153.1 d FEUF att unionen ska understödja och komplettera medlemsstaternas verksamhet, och på det socialpolitiska området har unionen och medlemsstaterna mer generellt, enligt artikel 4.2 b FEUF, delad befogenhet, i den mening som avses i artikel 2.2 FEUF, i fråga om aspekter som anges i EUF-fördraget.

44.      Under dessa omständigheter står det varje medlemsstat fritt att anta särskilda bestämmelser om uppsägning av ett dataskyddsombud, förutsatt att dessa bestämmelser är förenliga med skyddsreglerna för dataskyddsombuden i förordning 2016/679.(31)

45.      Såsom framgår av den kortfattade analysen av medlemsstaternas lagstiftningar som jag har kunnat konsultera(32), har de flesta av dem inte antagit några särskilda bestämmelser om uppsägning, utan begränsat sig till förbudet i artikel 38.3 andra meningen i förordning 2016/679, som är direkt tillämpligt.(33)

46.      Andra medlemsstater har emellertid valt att komplettera denna artikel.(34)

47.      Artikel 29-arbetsgruppen ansåg att ”[s]om en normal förvaltningsregel, och som för alla andra anställda eller leverantörer som omfattas av tillämplig nationell avtals-, arbets- eller straffrätt, kan dataskyddsombud lagligen avsättas av andra skäl än för att ha utfört sina uppgifter som dataskyddsombud (t.ex. stöld, alternativt fysiska, psykologiska eller sexuella trakasserier eller liknande grova tjänstefel)”.(35)

48.      Jag anser att oavsett vad medlemsstaterna väljer, bidrar det administrativa eller rättsliga organ i varje medlemsstat som ska pröva lagenligheten av skälen för att avsätta ett dataskyddsombud, till att säkerställa dataskyddsombudets oberoende.

49.      Eftersom det är högst troligt att det inte uttryckligen framgår av beslutet att avsätta dataskyddsombudet att det finns ett samband med att personen har fullgjort uppdraget tillfredsställande,(36) är det tänkbart att det finns ett allmänt skydd enbart på grund av personens ställning som dataskyddsombud. I förevarande fall framgår det av den hänskjutande domstolens förklaringar att det är begreppet ”synnerliga skäl”, såsom det tolkas i tysk rätt, som leder till att det, för att ge ett ytterligare skydd, anses att dataskyddsombudets ställning inte får upphöra vid en omstrukturering.(37) På samma sätt skulle det för övrigt kunna anses att om ett företag med ekonomiska svårigheter är skyldigt att utse ett dataskyddsombud och i detta syfte har valt en av sina anställda, ska dennes uppdrag, med anledning av syftet med förordning 2016/679 och av att ett sådan ombud bidrar till att syftet efterlevs, fortsätta att utöva uppgifterna så länge arbetsgivarens verksamhet pågår.

50.      Förbudet i artikel 38.3 andra meningen i förordning 2016/679 är dock med nödvändighet begränsat när det föreligger objektiva brister i dataskyddsombudets utförande av sina uppgifter med avseende på hans eller hennes skyldigheter. Dessa gränser ska fastställas i enlighet med det syfte som eftersträvas med förordningen.(38)

51.      En tolkning som i lika hög grad är förenlig med syftet med förordning 2016/679 ska således enligt min mening leda till att ett dataskyddsombud får avsättas när han eller hon inte längre uppfyller de kvalitativa kriterier som är nödvändiga för att utföra uppgifterna, såsom de som anges i artikel 37.5 i förordningen, eller inte uppfyller de skyldigheter som fastställts i artikel 38.3 första och tredje meningen och 38.5 och 38.6(39) i förordningen eller när sakkunskapsnivån visar sig vara otillräcklig.(40)

52.      Jag anser följaktligen att artikel 38.3 andra meningen i förordning 2016/679 ska tolkas så, att den inte utgör hinder för en nationell lagstiftning enligt vilken en arbetsgivare till ett dataskyddsombud endast får säga upp honom eller henne om det föreligger synnerliga skäl, även om uppsägningen saknar samband med att dataskyddsombudet har utfört sina uppgifter.

53.      Om domstolen emellertid inte delar denna uppfattning och beslutar att besvara den hänskjutande domstolens första fråga jakande, ska de två andra tolkningsfrågorna besvaras.

B.      Den andra tolkningsfrågan

54.      Den hänskjutande domstolen har ställt den andra frågan för att få klarhet i huruvida artikel 38.3 andra meningen i förordning 2016/679 utgör hinder för en nationell lagstiftning enligt vilken arbetsgivarens uppsägning av ett dataskyddsombud är rättsstridig om det inte föreligger synnerliga skäl för uppsägningen, även om uppsägningen saknar samband med att dataskyddsombudet har utfört sina uppgifter, när det inte föreligger någon skyldighet att utnämna ett dataskyddsombud enligt artikel 37.1 i förordningen, utan endast enligt nationell rätt, såsom föreskrivs i artikel 37.4 i förordningen.

55.      Varken artikel 38.3 i förordning 2016/679 eller de övriga bestämmelserna i avsnitt 4 i förordningen, avseende dataskyddsombud, gör någon åtskillnad beroende på om utnämningen av dataskyddsombudet är obligatorisk eller frivillig.

56.      Följaktligen anser jag att den hänskjutande domstolens fråga ska besvaras så, att artikel 38.3 andra meningen i förordning 2016/679 är tillämplig utan att det är nödvändigt att göra någon åtskillnad beroende på det föreligger en skyldighet att utnämna ett dataskyddsombud enligt unionsrätten eller enligt nationell rätt.

C.      Den tredje tolkningsfrågan

57.      Den hänskjutande domstolen har ställt den tredje frågan för att få klarhet i huruvida artikel 38.3 andra meningen i 2016/679 är giltig och särskilt om den grundar sig på ett tillräcklig bemyndigande, i synnerhet såvitt bestämmelsen omfattar dataskyddsombud som är knutna till den personuppgiftsansvarige genom ett anställningsavtal.

58.      Jag föreslår att domstolen ska slå fast att artikel 38.3 andra meningen i förordning 2016/679 vilar på ett tillräckligt bemyndigande, eftersom den endast har till syfte att skydda dataskyddsombudet mot varje hinder för att utföra sina uppgifter och att denna garanti, oberoende av om det finns ett anställningsförhållande, bidrar till att uppnå förordningens syften på ett effektivt sätt.

59.      Såsom jag har angett i samband med bedömningen av den första tolkningsfrågan(41) utgör nämligen artikel 16 FEUF den rättsliga grunden för förordningen. Domstolen har dessutom slagit fast att denna artikel utgör, utan att det påverkar tillämpningen av artikel 39 FEU, den korrekta rättsliga grunden när skyddet av personuppgifter är ett av de väsentliga syftena med eller en av de väsentliga beståndsdelarna i de regler som unionslagstiftaren antagit.(42)

60.      Dessutom är ett av dessa villkor enligt min mening helt uppfyllt när det gäller dataskyddsombudets roll och dess reglering, såsom definieras i förordning 2016/679. Garantin för dataskyddsombudets funktionella oberoende, som syftar till att uppfylla kravet att på en hög skyddsnivå säkerställa att de grundläggande rättigheterna för de personer som berörs av behandlingen av personuppgifter iakttas,(43) har i artikel 38.3 andra meningen i förordningen kommit till uttryck i ett förbud mot att avsätta dataskyddsombudet av skäl som är hänförliga till uppgifterna. Eftersom denna bestämmelse inte innebär någon som helst harmonisering av arbetsrätten, har unionslagstiftaren inte överskridit sina normativa befogenheter enligt artikel 16.2 FEUF.

61.      När det gäller iakttagandet av subsidiaritets- och proportionalitetsprinciperna, kring vilka den hänskjutande domstolen även har ställt frågor, vill jag för det första påpeka att intensifieringen av den gränsöverskridande behandlingen av personuppgifter motiverar att skyddet för personuppgifter, med avseende på de grundläggande rättigheterna, genomförs på unionsnivå,(44) bland annat genom att säkerställa de befogenheter som tillfaller ett dataskyddsombud, som anses som en viktig aktör för detta skydd(45). För det andra anser jag inte att artikel 38.3 andra meningen i förordning 2016/679 går utöver vad som är nödvändigt för att garantera dataskyddsombudets funktionella oberoende. Den garanti för att inte avsättas som föreskrivs i bestämmelsen påverkar visserligen nödvändigtvis anställningsförhållandet. Påverkan syftar dock endast till att bevara den ändamålsenliga verkan av dataskyddsombudets ställning.

62.      Följaktligen anser jag att den hänskjutande domstolens fråga ska besvaras så, att det vid prövningen av den tredje tolkningsfrågan inte har framkommit någon omständighet som kan påverka giltigheten av artikel 38.3 andra meningen i förordning 2016/679.

V.      Förslag till avgörande

63.      Mot denna bakgrund föreslår jag att EU-domstolen ska besvara de tolkningsfrågor som har ställts av Bundesarbeitsgericht (Federala arbetsdomstolen, Tyskland) på följande sätt:

I första hand:

–        Artikel 38.3 andra meningen i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) ska tolkas så, att den inte utgör hinder för en nationell lagstiftning enligt vilken ett dataskyddsombuds arbetsgivare endast får säga upp honom eller henne om det föreligger synnerliga skäl, även om uppsägningen saknar samband med att dataskyddsombudet har utfört sina uppgifter.

I andra hand, för det fall att domstolen besvarar den första tolkningsfrågan jakande:

–        Artikel 38.3 andra meningen i förordning 2016/679 är tillämplig utan att det är nödvändigt att göra någon åtskillnad beroende på om det föreligger en skyldighet att utnämna ett dataskyddsombud enligt unionsrätten eller enligt nationell rätt.

–        Vid prövningen av den tredje tolkningsfrågan har det inte framkommit någon omständighet som kan påverka giltigheten av artikel 38.3 andra meningen i förordning 2016/679.


1      Originalspråk: franska.


2      EUT L 119, 2016, s. 1 och rättelser i EUT L 127, 2018, s. 2 och EUT L 74, 2021, s. 35.


3      BGBl. 1990 I, s. 2954.


4      BGBl. 2017 I, s. 2097 (nedan kallad BDSG).


5      I 38 § 1 första meningen BDSG, i den lydelse som gäller sedan den 26 november 2019, har antalet sysselsatta höjts till ”20”.


6      BGBl. 2002 I, s. 42, rättelse, s. 2909, och BGBl. 2003 I, s. 738.


7      Den hänskjutande domstolen har tillagt att enligt dess praxis utgör det inte synnerliga skäl för en avsättning att företagets dataskydd på grund av en organisatorisk ändring i framtiden ska säkerställas av ett externt dataskyddsombud (se dom meddelad av Bundesarbeitsgericht (Federala arbetsdomstolen) 10 AZR 562/09, av den 23 mars 2011, punkt 18, tillgänglig på följande webbadress: https://www.bundesarbeitsgericht.de/entscheidung/10-azr-562–09/).


8      Artikel 37 i förordningen.


9      Artikel 38 i förordningen.


10      Artikel 39 i samma förordning.


11      Se, bland annat, dom av den 12 maj 2021, Bundesrepublik Deutschland (Rött meddelande från Interpol) (C‑505/19, EU:C:2021:376, punkt 77).


12      Min kursivering.


13      I ”[r]iktlinjer[na] om dataskyddsombud”, som antogs den 13 december 2016 och som granskades den 5 april 2017, tillgängliga på webbadressen https://ec.europa.eu/newsroom/article29/items/612048/en, preciserade arbetsgruppen för skydd av enskilda med avseende på behandling av personuppgifter, som inrättades genom artikel 29 i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 13) (nedan kallad Artikel 29-arbetsgruppen) följande: ”Sanktioner kan ha olika former och vara direkta eller indirekta. De kan till exempel bestå i att den berörda personen inte blir befordrad eller att befordran dröjer, att personen förhindras att gå vidare i karriären, eller inte får förmåner som andra anställda får. Sanktionerna behöver inte förverkligas – bara ett hot är tillräckligt om de används för att bestraffa dataskyddsombudet av skäl som har samband med verksamheten som dataskyddsombud” (s. 18 och 19). Sedan förordning 2016/679 trädde i kraft har arbetsgruppen ersatts av Europeiska dataskyddsstyrelsen (EDPB). Styrelsen godkände riktlinjerna om dataskyddsombud vid sitt första möte i plenum den 25 maj 2018 (se https://edpb.europa.eu/sites/default/files/files/news/endorsement_of_wp29_documents_en_0.pdf).


14      Såsom LH har understrukit anges det, utöver i den tyska språkversionen av artikel 38.3 andra meningen i förordning 2016/679 (”abberufen”), tydligt i andra språkversioner, såsom den spanska (”destituido”), den franska (”relevé”) eller den portugisiska (”destituído”), att förordningen avser den omständigheten att dataskyddsombudets ställning upphör och inte anställningsförhållandet (”kündigen” på tyska). Se även den engelska språkversionen (”dismissed”), den italienska språkversionen (”rimosso”, den polska (”odwoływany”) och den rumänska språkversionen (”demis”).


15      Se not från ordförandeskapet för Europeiska unionens råd av den 3 oktober 2014 om förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning) [första behandlingen] – Kapitel IV, tillgänglig på webbadressen https://data.consilium.europa.eu/doc/document/ST-13772–2014-INIT/fr/pdf, angående tillägget i artikel 36.3 i förslaget för att inte dataskyddsombudet skulle kunna bli föremål för påföljder för att ha utfört sina arbetsuppgifter (s. 34). Se även rådets ståndpunkt vid första behandlingen inför antagandet av rådets förordning om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EC (allmän dataskyddsförordning), av den 6 april 2016, som är tillgänglig på webbadressen https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT&from=FR, genom vilken den nuvarande lydelsen av artikel 38 i förordning 2016/679 antogs.


16      Uttrycket ”på ett oberoende sätt” förekommer i den sista meningen i skäl 97 i förordning 2016/679.


17      EUT L 295, 2018, s. 39.


18      Se artikel 37.6 i förordning 2016/679.


19      Se rådets ståndpunkt vid första behandlingen inför antagandet av Europaparlamentets och rådets förordning om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän dataskyddsförordning) och om upphävande av direktiv 95/46/EG - Utkast till rådets motivering, av den 31 mars 2016, som är tillgänglig på följande webbadress: https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CONSIL:ST_5419_2016_ADD_1_REV_1&from=FR (s. 22). När det gäller dataskyddsombudets huvudsakliga roll vid tillämpningen av förordning 2016/679, se skäl 97 i förordningen och ombudets uppgifter som fastställs artikel 39 i förordningen. Artikel 29-arbetsgruppen erinrade i sina riktlinjer om dataskyddsombud om att innan förordning 2016/679 antogs hävdade den att dataskyddsombudet var ”en hörnsten för ansvarsskyldigheten, och att utnämnande av ett dataskyddsombud underlätt[ade] efterlevnaden” (s. 5). Arbetsgruppen påpekade även att förordningen erkänner dataskyddsombud ”som viktiga aktörer i det nya dataförvaltningssystemet” (s. 6). Se, som ett exempel på den personuppgiftsansvariges eller personuppgiftsbiträdets behov av information som dataskyddsombudet ska tillgodose, dom av den 16 juli 2020, Facebook Ireland och Schrems (C‑311/18, EU:C:2020:559, punkt 134).


20      Se artikel 38.3 den första och den tredje meningen i förordning 2016/679.


21      Se artikel 38.5 i förordning 2016/679.


22      Se ingressen och skäl 12 i förordning 2016/679 samt dom av den 15 juni 2021, Facebook Ireland m.fl. (C‑645/19, EU:C:2021:483, punkt 44).


23      Se mitt förslag till avgörande i målet Facebook Ireland (C‑319/20, EU:C:2021:979, punkt 51).


24      I detta sammanhang anser jag att artikel 88.1 i förordningen inte kan användas som argument för att anse att den utgör en öppningsklausul.


25      Se mitt förslag till avgörande i målet Facebook Ireland (C‑319/20, EU:C:2021:979, punkt 51).


26      Se punkt 31 ovan.


27      Se, bland annat, när det gäller förordning 2016/679, mitt förslag till avgörande i målet Facebook Ireland (C‑319/20, EU:C:2021:979, punkt 52).


28      Se mitt förslag till avgörande i målet Facebook Ireland (C‑319/20, EU:C:2021:979, punkt 52). Dessutom har jag redan, i punkt 55 i det förslaget, påpekat för domstolen att förordning 2016/679 innehåller flera öppningsklausuler genom vilka förordningen uttryckligen överför den normativa behörigheten till medlemsstaterna, vilket gör det möjligt att särskilja den från en traditionell förordning och gör att den närmar sig ett direktiv.


29      Såsom har understrukits av Bielak-Jomaa, E., ”Artykuł 38. Status inspektora ochrony danych”, i Bielak-Jomaa, E., och Lubasz, D., RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer, Warszawa, 2018, s. 794–806, särskilt punkt 5 fjärde stycket, har inte Artikel 29-arbetsgruppen angett något kriterium som skulle kunna vara användbart för att avgöra huruvida dataskyddsombudets uppgifter har utförts korrekt eller felaktigt. På samma sätt har Foret, O., ”Le rôle du DPO”, i Bensamoun, A., och Bertrand, B., Le règlement général sur la protection des données, Aspects institutionnels et matériels, Mare et Martin, Paris, 2020, s. 233– 239, särskilt s. 235 och 236 påpekat att ”EDPB har i sina riktlinjer preciserat att … ’[d]en sakkunskapsnivå som krävs definieras inte strikt, men måste ändå stå i proportion till mängden behandlade uppgifter samt till hur känsliga och komplexa de uppgifter är som en organisation behandlar (se riktlinjerna om dataskyddsombud (s.13)). Se även s. 14 i riktlinjerna. Se dessutom punkterna 50–51 ovan.


30      Se Bergt, M., ”Art 38. Stellung des Datenschutzbeauftragten”, i Kühling, J., och Buchner, B., Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, Kommentar, tredje upplagan, C.H. Beck, München, 2020, särskilt punkt 29. Författaren har understrukit att ”[t]ill skillnad från kommissionen och parlamentets förslag föreskrivs det inte i artikel 38 någon lägsta mandattid under vilken dataskyddsombudet ska vara utnämnt” (fri översättning).


31      Se ovan punkterna 31 och 32. Det kan tilläggas att unionslagstiftaren avsiktligen valde detta genom att inte välja Europeiska ekonomiska och sociala kommitténs förslag under lagstiftningsarbetet med förordning 2016/679, vilket syftade till att på ett bättre sätt förtydliga ”[f]örutsättningarna för uppgiftsskyddsombudets arbete … särskilt vad gäller skyddet mot uppsägning, som bör vara tydligt definierat och sträcka sig längre än den period under vilken personen i fråga innehar denna befattning”: Se punkt 4.11.1 i yttrande från Europeiska ekonomiska och sociala kommittén om ”Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning)” (EUT C 229, 2012, s. 90).


32      Se, bland annat, den information som finns tillgänglig på följande webbadresser: https://www.dlapiperdataprotection.com/index.html?t=data-protection-officers&c=HR&c2= och https://www.dataprotection.ro/index.jsp?page=Responsabilul_cu_protectia_datelor&lang=en.


33      Så är fallet med Konungariket Danmark, Irland, Republiken Kroatien, Republiken Italien, Republiken Cypern, Republiken Malta, Konungariket Nederländerna, Republiken Österrike, Republiken Polen, Republiken Portugal, Rumänien och Republiken Finland. I Republiken Kroatien, Republiken Malta och Republiken Polen, liksom i Republiken Bulgarien, ska avsättning eller ändring av dataskyddsombud anmälas till den nationella myndigheten för skydd av personuppgifter. I vissa medlemsstater, såsom Republiken Frankrike och Storhertigdömet Luxemburg, har det preciserats att uppgiftsskyddsombudet inte har ställning som skyddad anställd, vilket skulle ge en ytterligare garanti än den som föreskrivs i förordning 2016/679.


34      Se, i den belgiska lagen, artikel 6 tredje stycket i arrêté royal relatif aux conseillers en sécurité et en protection de la vie privée et à la plate-forme de la sécurité et de la protection des données, du 6 décembre 2015, (den kungliga kungörelsen av den 6 december 2015 om säkerhets- och integritetsrådgivare och plattformar för säkerhet och dataskydd) (Moniteur belge av den 28 december 2015, s. 79268), som var gällande innan förordning 2016/679 trädde i kraft, enligt vilken ”[e]n arbetsgivare eller behörig myndighet endast får säga upp rådgivaren, avbryta rådgivarens lagstadgade tjänst eller flytta personen från dess ställning på grund av skäl som inte är hänförliga till hans eller hennes oberoende eller på grund av skäl som visar att han eller hon inte är behörig att utföra uppgifterna”. Min kursivering. Se även, i den spanska lagen, artikel 36.2 i Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitale (lag nr 3/2018 om skydd för personuppgifter och för digitala rättigheter) av den 5 december 2018 (BOE nr 294, av den 6 december 2018, s. 119788)), där det föreskrivs att ”[o]m dataskyddsombudet är en fysisk person inom den personuppgiftsansvariges och personuppgiftsbiträdets organisation, kan personen inte avsättas eller bli föremål för sanktioner av den personuppgiftsansvarige eller personuppgiftsbiträdet för att ha utfört sina uppgifter, förutom i fråga om ett avsiktligt åsidosättande eller grovt åsidosättande som skett av oaktsamhet vid utförandet av uppgifterna …”. Min kursivering.


35      Se riktlinjerna om dataskyddsombud (s. 19). Min kursivering.


36      Se, för ett liknande resonemang, Fajgielski, P., ”Artykuł 38. Status inspektora ochrony danych”, Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Wolters Kluwer, Warszawa, 2018, s. 430–437, särskilt femte stycket, femte meningen. Se, även, Kremer, S., ”§ 6 Datenschutzbeauftragter”, i Laue, P., Nink, J. och Kremer, S., Das neue Datenschutzrecht in der betrieblichen Praxis, andra upplagan, Nomos, Baden-Baden, 2019, särskilt punkt 36, och Bergt, M., ”Art 38. Stellung des Datenschutzbeauftragten”, anfört arbete, särskilt punkt 30 och Bussche, A., ”Art. 38 DSGVO”, i Plath, K.-U., DSGVO/BDSG, Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG, tredje upplagan, Otto Schmidt, Köln, 2018, särskilt punkt 19.


37      Se ovan fotnot 7.


38      Se ovan punkterna 31, 60 och 61.


39      Se punkt 31 ovan. Se även målen X-FAB Dresden (C‑453/21) och KISA (C‑560/21), som ännu inte avgjorts av domstolen, i vilka två olika avdelningar vid Bundesarbeitsgericht (Federala arbetsdomstolen) har hänskjutit samma tolkningsfrågor, men i fall där avsättningen skett på grund av intressekonflikter. I det första målet avser en ytterligare fråga kriterierna för en sådan konflikt.


40      Se, för ett liknande resonemang, Kremer, S., ”§ 6 Datenschutzbeauftragter”, anfört arbete, särskilt punkt 35, och Bussche, A., ”Art. 38 DSGVO”, anfört arbete, särskilt punkt 17.


41      Se punkt 34 ovan.


42      Yttrande 1/15 (Avtal om passageraruppgifter mellan EU och Kanada), av den 26 juli 2017 (EU:C:2017:592, punkt 96).


43      Se dom av den 15 juni 2021, Facebook Ireland m.fl. (C‑645/19, EU:C:2021:483, punkterna 44, 45 och 91).


44      Se, för ett liknande resonemang, dom av den 15 juni 2021, Facebook Ireland m.fl. (C‑645/19, EU:C:2021:483, punkt 45 och, analogt, punkt 47).


45      Se ovan fotnot 19 fjärde meningen.