Language of document : ECLI:EU:C:2022:710

FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT

MANUEL CAMPOS SÁNCHEZ-BORDONA

föredraget den 22 september 2022(1)

Mål C34/21

Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium,

ytterligare deltagare i rättegången:

Minister des Hessischen Kultusministeriums als Dienststellenleiter

(begäran om förhandsavgörande från Verwaltungsgericht Frankfurt am Main (Förvaltningsdomstolen i Frankfurt am Main, Tyskland))

”Begäran om förhandsavgörande – Skydd av personuppgifter – Förordning (EU) 2016/679 – Behandling av personuppgifter i anställningsförhållanden – Artikel 88.1 – Mer specifik regel – Krav enligt artikel 88.2 – Regionalt skolsystem – Onlineundervisning via videokonferens – Avsaknad av uttryckligt samtycke från lärarna”






1.        Tvisten som har gett upphov till denna begäran om förhandsavgörande avser i huvudsak om lärare anställda av ett ministerium i delstaten Hessen (Tyskland) måste lämna sitt samtycke till utsändning av sin undervisning via videokonferens eller om behandlingen av deras personuppgifter(2) – vid avsaknad av samtycke – kan motiveras av ett berättigat syfte i enlighet med förordning (EU) 2016/679.(3)

2.        Denna begäran om förhandsavgörande ger domstolen möjlighet att för första gången – om jag inte misstar mig – yttra sig över artikel 88 i dataskyddsförordningen. Enligt denna bestämmelse får medlemsstaterna i lag eller kollektivavtal fastställa mer specifika regler för att säkerställa skyddet av rättigheter och friheter vid behandling av anställdas personuppgifter i anställningsförhållanden.

I.      Rättslig ram

A.      Unionsrätt. Dataskyddsförordningen

3.        Skälen nedan lyder enligt följande:

”…

(8)      Om denna förordning föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av denna förordning i nationell rätt.

(10)      För att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av personuppgifter inom unionen bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater. En konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter bör säkerställas i hela unionen. Vad gäller behandlingen av personuppgifter för att fullgöra en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs av den personuppgiftsansvarige, bör medlemsstaterna tillåtas att behålla eller införa nationella bestämmelser för att närmare fastställa hur bestämmelserna i denna förordning ska tillämpas. …

(45)      Behandling som grundar sig på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller behandling som krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning, bör ha en grund i unionsrätten eller i en medlemsstats nationella rätt. Denna förordning medför inte något krav på en särskild lag för varje enskild behandling. Det kan räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller om behandlingen krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Behandlingens syfte bör också fastställas i unionsrätten eller i medlemsstaternas nationella rätt. Därtill skulle man genom denna grund kunna ange denna förordnings allmänna villkor för laglig personuppgiftsbehandling och precisera kraven för att fastställa vem den personuppgiftsansvarige är, vilken typ av personuppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut, ändamålsbegränsningar, lagringstid samt andra åtgärder för att tillförsäkra en laglig och rättvis behandling. …

(155)      En medlemsstats nationella rätt eller kollektivavtal, inbegripet ’verksamhetsöverenskommelser’, får föreskriva särskilda bestämmelser om behandling av anställdas personuppgifter i anställningsförhållanden, särskilt när det gäller villkoren för hur personuppgifter i anställningsförhållanden får behandlas på grundval av samtycke från den anställde, rekrytering, genomförande av anställningsavtalet, inklusive [fullgörelse av] i lag eller kollektivavtal stadgade skyldigheter, ledning, planering och organisering av arbetet, jämställdhet och mångfald i arbetslivet samt hälsa och säkerhet på arbetsplatsen, men också när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsförhållandet.

…”

4.        I artikel 5 (Principer för behandling av personuppgifter) föreskrivs följande:

”1.      Vid behandling av personuppgifter ska följande gälla:

a)      Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).

b)      De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning).

c)      De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).

d)      De ska vara riktiga och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (riktighet).

e)      De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering).

f)      De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).

2.      Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).”

5.        I artikel 6 (Laglig behandling av personuppgifter) föreskrivs följande:

”1.      Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a)      Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

b)      Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

c)      Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

e)      Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

f)      Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Led f i första stycket ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.

2.      Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning med hänsyn till behandling för att efterleva punkt 1 c och e genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling, inbegripet för andra specifika situationer då uppgifter behandlas i enlighet med kapitel IX.

3.      Den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med

a)      unionsrätten, eller

b)      en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.

Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning, bland annat: de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situationer enligt kapitel IX. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

4.      Om en behandling för andra ändamål än det ändamål för vilket personuppgifterna samlades in inte grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1, ska den personuppgiftsansvarige för att fastställa huruvida behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in bland annat beakta följande:

a)      Kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen.

b)      Det sammanhang inom vilket personuppgifterna har samlats in, särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige.

c)      Personuppgifternas art, särskilt huruvida särskilda kategorier av personuppgifter behandlas i enlighet med artikel 9 eller huruvida personuppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott behandlas i enlighet med artikel 10.

d)      Eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen.

e)      Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.”

6.        I artikel 88 (Behandling i anställningsförhållanden) föreskrivs följande:

”1.      Medlemsstaterna får i lag eller i kollektivavtal fastställa mer specifika regler för att säkerställa skyddet av rättigheter och friheter vid behandling av anställdas personuppgifter i anställningsförhållanden, särskilt när det gäller rekrytering, genomförande av anställningsavtalet inklusive [fullgörelse av] i lag eller kollektivavtal stadgade skyldigheter, ledning, planering och organisering av arbetet, jämställdhet och mångfald i arbetslivet, hälsa och säkerhet på arbetsplatsen samt skydd av arbetsgivarens eller kundens egendom men också när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsförhållandet.

2.      Dessa regler ska innehålla lämpliga och specifika åtgärder för att skydda den registrerades mänskliga värdighet, berättigade intressen och grundläggande rättigheter, varvid hänsyn särskilt ska tas till insyn i behandlingen, överföring av personuppgifter inom en koncern eller en grupp av företag som deltar i gemensam ekonomisk verksamhet samt övervakningssystem på arbetsplatsen.

3.      Varje medlemsstat ska till kommissionen anmäla de bestämmelser i sin lagstiftning som den antar i enlighet med punkt 1 senast den 25 maj 2018, samt utan dröjsmål anmäla eventuella senare ändringar som berör dem.”

B.      Nationell rätt

1.      Hessisches Datenschutz- und Informationsfreiheitsgesetz(4)

7.        I 23 § föreskrivs följande:

”1)      Anställdas personuppgifter får behandlas för syften som är knutna till anställningsförhållandet om det är nödvändigt för att fatta beslut om ingående av ett anställningsförhållande eller efter att ett anställningsförhållande ingåtts för att genomföra, avsluta eller avveckla anställningsförhållandet, samt för interna åtgärder i samband med planering, organisation, sociala frågor och personalfrågor. Detta gäller även utövande eller fullgörelse av rättigheter och skyldigheter som avser de anställdas representation vilka följer av lag eller avtal, avtal mellan arbetsgivare och personalkommitté i offentlig och privat sektor (kollektivavtal).

4)      Behandling av personuppgifter inklusive behandling av särskilda kategorier av anställdas personuppgifter för syften i samband med ett anställningsförhållande är tillåten om det sker med stöd av kollektivavtal. Kollektivavtalets parter ska beakta artikel 88.2 i [dataskyddsförordningen].

5)      Den personuppgiftsansvarige ska vidta lämpliga åtgärder för att säkerställa att i synnerhet principerna i artikel 5 i [dataskyddsförordningen] för behandling av personuppgifter uppfylls.

8)      Med anställda avses i denna lag följande:

7.      Tjänstemän som omfattas av Hessisches Beamtengesetz,[(5)] delstatens domare liksom de personer som utför civiltjänstgöring.

…”

2.      Hessisches Beamtengesetz

8.        I 86 § punkt 4 föreskrivs följande:

”En offentlig arbetsgivare får endast samla in personuppgifter som rör arbetssökande, tjänstemän och före detta tjänstemän, om det är nödvändigt för att inleda, genomföra, avsluta eller avveckla anställningsförhållandet, samt för åtgärder i samband med organisation, sociala frågor eller personalfrågor, i synnerhet vad gäller planering och fördelning av personalresurser, eller om det är tillåtet enligt en bestämmelse i lag eller avtal som ingåtts mellan arbetsgivare och personalkommitté …”.

II.    Faktiska omständigheter, det nationella målet och tolkningsfrågorna

9.        Verwaltungsgericht Wiesbaden (Förvaltningsdomstolen i Wiesbaden, Tyskland), varifrån denna begäran om förhandsavgörande ursprungligen kommer, har inte bifogat vare sig någon beskrivning av de faktiska omständigheterna i målet, av de omtvistade bestämmelserna(6) eller av hur förfarandet har förlöpt. Förvaltningsdomstolen i Wiesbaden har snarare koncentrerat sig på att redogöra för de rättsliga oklarheterna.

10.      Förvaltningsdomstolen i Wiesbaden har nöjt sig med att konstatera att parterna ”tvistar om huruvida det i samband med onlineundervisning genom videokonferenssystem – utöver samtycke från föräldrarna för deras barn eller från myndiga elever – även är nödvändigt att inhämta samtycke från varje enskild lärare, eller huruvida den behandling av personuppgifter som sker i detta sammanhang omfattas av 23 § punkt 1 första meningen HDSIG …”.

11.      Förvaltningsdomstolen i Wiesbaden hyser särskilt tvivel om huruvida 23 § punkt 1 första meningen HDSIG utgör en ”mer specifik regel” med avseende på behandlingen av de anställdas personuppgifter, i den mening som avses i artikel 88 i dataskyddsförordningen. Den menar att den bestämmelsen inte uppfyller kraven i artikel 88.2 i dataskyddsförordningen, av följande skäl:

–      Bestämmelsen hänvisar endast till en ”nödvändighet” som rättslig grund för behandlingen av anställdas eller tjänstemäns personuppgifter.

–      Varje behandling av arbetstagares personuppgifter som sträcker sig längre än vad som är nödvändigt enligt anställningsavtalet ska genomföras efter en intresseavvägning som går utöver själva behovet, vilket inte föreskrivs i den nationella lagen.

12.      Den hänskjutande domstolen uppger sig inte instämma i rättspraxisen från Bundesarbeitsgericht (Federala arbetsdomstolen, Tyskland) vad gäller frågan huruvida den federala motsvarigheten till 23 § punkt 1 första meningen HDSIG(7) är förenlig med artikel 88 i dataskyddsförordningen.

13.      Den hänskjutande domstolen anser i stället följande:

–      Införandet av principen om ”nödvändighet” i den nationella lagstiftningen utgör inte en konkretisering av kraven i artikel 88.2 i dataskyddsförordningen.

–      Hänvisningen till att den personuppgiftsansvarige i synnerhet ska följa principerna i artikel 5 i dataskyddsförordningen tillmötesgår inte heller dessa krav, eftersom artikel 5 inte föreskriver något särskilt skydd för arbetstagare.

–      Lagstiftaren har, i princip, tagit hänsyn till artikel 88.2 i dataskyddsförordningen när den kräver att bestämmelsen ska beaktas i kollektivavtal, men den har varken analyserat eller uppfyllt kravkatalogen i punkt 2, inte i själva lagen och inte heller i lagstiftningens förarbeten.

14.      Mot denna bakgrund hänsköt den nationella domstolen följande tolkningsfrågor till Europeiska unionens domstol:

”1)      Ska artikel 88.1 i [dataskyddsförordningen] tolkas på så sätt att en lagbestämmelse, för att vara en mer specifik regel för att säkerställa skyddet av rättigheter och friheter vid behandling av anställdas personuppgifter i anställningsförhållanden i den mening som avses i artikel 88.1 i [dataskyddsförordningen], måste uppfylla de krav som ställs på sådana lagbestämmelser enligt artikel 88.2 i [den förordningen]?

2)      Kan en nationell bestämmelse fortsätta att tillämpas trots att det är uppenbart att den inte uppfyller kraven i artikel 88.2 i [dataskyddsförordningen]?”

III. Förfarandet vid domstolen

15.      Begäran om förhandsavgörande inkom till domstolens kansli den 20 januari 2021.

16.      Behörigheten att avgöra den ursprungliga tvisten tillföll, med verkan från och med den 1 december 2021,(8) Verwaltungsgericht Frankfurt am Main (Förvaltningsdomstolen i Frankfurt am Main, Tyskland), och förfarandet fortsattes vid denna domstol.

17.      Den tyska, den österrikiska och den rumänska regeringen, samt Europeiska kommissionen, har ingett skriftliga yttranden. Samtliga dessa, liksom lärarkårens kommitté, besvarade skriftligen de frågor som domstolen ställde till dem före förhandlingen.

18.      Under förhandlingen, som hölls den 30 juni 2022, närvarade lärarkårens kommitté, delstaten Hessens utbildnings- och kulturministerium, den tyska regeringen och kommissionen.

IV.    Bedömning

A.      Huruvida begäran om förhandsavgörande kan tas upp till prövning

19.      Den tyska regeringen har i sitt skriftliga yttrande gjort gällande att begäran om förhandsavgörande bör avvisas. Den menar att den hänskjutande domstolen, vid sin bedömning av huruvida den behandling av personuppgifter som följer av onlineundervisning via videokonferens omfattas av 23 § punkt 1 HDSIG, inte har förklarat skälen till att den uteslutit möjligheten att denna behandling skulle kunna vara tillåten med lärarens samtycke.

20.      Den tyska regeringen nyanserade delvis denna invändning under förhandlingen, när den medgav att domstolen skulle behöva yttra sig (det vill säga att begäran om förhandsavgörande skulle kunna tas upp till prövning) om behandlingen inte hade godkänts av de berörda lärarna.

21.      En begäran från en nationell domstol kan under alla omständigheter bara avvisas av domstolen då det är uppenbart att den begärda tolkningen av unionsrätten inte har något samband med de verkliga omständigheterna eller saken i det nationella målet eller då frågorna är hypotetiska eller domstolen inte har tillgång till sådana uppgifter om de faktiska eller rättsliga omständigheterna som är nödvändiga för att kunna ge ett användbart svar på de frågor som ställts till den.(9)

22.      Ingen av dessa omständigheter föreligger i samband med denna begäran om förhandsavgörande, vars frågor antas vara relevanta.(10) Utgångspunkten är att samtliga lärare inte nödvändigtvis godkänner att deras personuppgifter behandlas, varför det finns ett intresse av att fastställa huruvida den bestämmelse,(11) som skulle utgöra den rättsliga grunden för en behandling som saknar samtycke från den som berörs, är förenlig med unionsrätten.

23.      Begäran om förhandsavgörande handlar just om att klargöra huruvida de bestämmelser som ligger till grund för behandlingen av lärarnas personuppgifter, i det fall samtycke saknas, uppfyller kraven i artikel 88.1 och 88.2 i dataskyddsförordningen eller inte. Sambandet mellan målet och de unionsrättsliga bestämmelser vars tolkning efterfrågas är därmed i högsta grad tillräckligt.

B.      Prövning i sak

1.      Inledande överväganden

24.      Med den första tolkningsfrågan önskar den hänskjutande domstolen få veta om en lagbestämmelse, för att utgöra en ”mer specifik regel” i den mening som avses i artikel 88.1 i dataskyddsförordningen, måste uppfylla kraven i artikel 88.2.

25.      Lydelsen i artikel 88 i dataskyddsförordningen förefaller innebära att ”mer specifika regler” enligt punkt 1 måste uppfylla kraven enligt punkt 2.

26.      Enligt artikel 88.2 i dataskyddsförordningen ska ”[d]essa regler” (det vill säga de mer specifika regler som avses i punkt 1 och som medlemsstaterna får fastställa) innehålla ”lämpliga och specifika åtgärder” för att skydda arbetstagarnas värdighet, berättigade intressen och grundläggande rättigheter. Reglerna ska ta särskild hänsyn till insyn i behandlingen, överföring av personuppgifter inom en koncern eller en grupp av företag samt övervakningssystem på arbetsplatsen.

27.      Det finns därmed en uppenbar koppling mellan de båda punkterna i artikel 88 i dataskyddsförordningen: i den andra punkten anges, i obligatoriska ordalag,(12) vilket innehåll de specifika regler ska ha som medlemsstaterna får anta avseende anställningsförhållanden, med hänvisning till den första punkten.

28.      Att besvara denna tolkningsfråga medför därmed inga större svårigheter: artikel 88 i dataskyddsförordningen ska tolkas så, att en lagbestämmelse som är avsedd att utgöra en mer specifik regel i den mening som avses i punkt 1, ”måste uppfylla de krav” – för att använda den hänskjutande domstolens ord – som ställs i punkt 2.

29.      Det är inte troligt att den hänskjutande domstolen behöver domstolens hjälp för att komma fram till denna slutsats. Den verkliga innebörden av den första tolkningsfrågan bör kanske därför bedömas mot bakgrund av den andra tolkningsfrågan. Här ställs frågan om en nationell bestämmelse som ”inte uppfyller kraven i artikel 88.2” i dataskyddsförordningen(13) kan fortsätta att tillämpas.

30.      Med denna utgångspunkt (vilket är den i begäran om förhandsavgörande) breddas diskussionen till frågan om de bestämmelser som medlemsstaterna har antagit med stöd av artikel 88.1 i dataskyddsförordningen, men som inte iakttar villkoren i artikel 88.2, kan grundas på andra bestämmelser i samma förordning, särskilt på andra öppningsklausuler i förordningen, till exempel den i dess artikel 6.2.

31.      Den hänskjutande domstolens två tolkningsfrågor är så förbundna med varandra att den österrikiska regeringen och kommissionen lutar åt att ge dem ett gemensamt svar; detta är en inställning som jag delar och som jag kommer att anamma.

2.      Artikel 88 i dataskyddsförordningen och offentligt anställda lärare

32.      Den hänskjutande domstolen förutsätter, med avseende på de nationella dataskyddsbestämmelserna, att det finns ett anställningsförhållande mellan de lärare som representeras av lärarkårens kommitté och delstaten Hessens utbildnings- och kulturministerium.

33.      Detta antagande är förenligt med HDSIG, som i bestämmelserna om behandling av arbetstagares personuppgifter definierar de tjänstemän som omfattas av HBG, bland annat lärare, som anställda.

34.      Den hänskjutande domstolen har således inte vid någon tidpunkt ifrågasatt att artikel 88 i dataskyddsförordningen är tillämplig på de av delstatens anställda som innehar offentliga tjänster som lärare.

35.      Inte heller parterna eller ytterligare deltagare i rättegången ifrågasatte detta antagande, i samband med att domstolen frågade dem om denna omständighet. Alla är överens om att en anställning som lärare i offentlig sektor inte faller utanför tillämpningsområdet för artikel 88 i dataskyddsförordningen.

36.      Jag anser att detta antagande är korrekt och att det kan användas för att analysera räckvidden av artikel 88 i dataskyddsförordningen, när den hänvisar till ”skyddet … vid behandling av anställdas personuppgifter i anställningsförhållanden”.

37.      I kategorin arbetstagare – i vid mening – ingår förklarligt nog, vilket har framhållits av den tyska regeringen, de lärare som tillhandahåller delstaten sina tjänster och vars intressen företräds av lärarkårens kommitté.

38.      Domstolens rättspraxis om anställningsförhållanden(14) och om begreppet arbetstagare, i samband med deras fria rörlighet och den omständigheten att före detta artikel 39.4 EG (nuvarande artikel 45.4 FEUF) inte är tillämplig på offentliga anställningar, kan, analogt, stödja den lösning som jag föreslår.

39.      Av denna rättspraxis, där den funktionella aspekten hos arbetsuppgifterna framhålls, följer att

–      begreppet offentlig tjänst, i detta avseende, ska tolkas och tillämpas enhetligt i hela unionen, och medlemsstaterna kan följaktligen inte själva bestämma dess innebörd, och att

–      artikel 45.4 FEUF avser anställningar som direkt eller indirekt innefattar myndighetsutövning och fullgörande av arbetsuppgifter som har till mål att skydda statens eller annan offentlig verksamhets allmänna intressen.(15)

40.      Eftersom offentligt anställda lärare som sådana inte deltar i myndighetsutövning i strikt mening, utan snarare utövar utbildningsverksamhet(16) som liknar den som tillhandahålls av andra inrättningar eller privata företag, kan de betecknas som ”arbetstagare” i allmän mening och därmed också på området skydd av personuppgifter.

41.      Motsatsen skulle, vilket har påpekats av den österrikiska regeringen, innebära att väsentligen likartade situationer – i materiellt hänseende – behandlades på olika vis, nämligen lärarkårens ställning i offentlig och privat sektor. Denna omständighet skulle, såsom kommissionen har påtalat, vara ännu mer graverande i och med att begreppet offentlig tjänst inte är harmoniserat på europeisk nivå; detta skulle medföra att tillämpningsområdet för artikel 88 i dataskyddsförordningen vid skillnader i tolkningen skulle vara avhängigt nationell rätt.

3.      Öppningsklausuler i dataskyddsförordningen

42.      Såsom framhölls av generaladvokat Bobek i målet Fashion ID(17) innebär det faktum att direktiv 95/46/EG(18) har ersatts av dataskyddsförordningen att det har skett en grundläggande förändring vad gäller beskaffenheten hos det rättsliga instrument som reglerar skyddet för enskilda personer vid behandling av personuppgifter.

43.      Instrumentet är inte längre ett direktiv (det vill säga en akt som inför en skyldighet att uppnå ett visst resultat, och som låter de nationella myndigheterna välja metod och medel), utan en förordning, som till alla delar är bindande och direkt tillämplig i alla medlemsstater. Det är, i princip och utan uttryckligt godkännande, inte tillåtet att dess innehåll införlivas med (eller upprepas i) nationell rätt.(19)

44.      Även om dataskyddsförordningen har gått längre än den harmonisering som eftersträvades genom direktiv 95/46,(20) var det den omständighet att det inom nästan alla områden av mänsklig aktivitet genereras personuppgifter vars behandling måste skyddas(21) som avgjorde att lagstiftaren tillät medlemsstaterna att

–      med sin nationella rätt införliva vissa delar av dataskyddsförordningen, när det i denna fastställs att dess bestämmelser ska specificeras eller begränsas i medlemsstaternas lagstiftning,

–      behålla eller införa nationella bestämmelser för att närmare fastställa hur vissa bestämmelser i dataskyddsförordningen ska tillämpas.(22)

45.      Trots att dataskyddsförordningen syftar till att säkerställa en konsekvent och enhetlig tillämpning av bestämmelserna om skydd av personuppgifter i hela unionen och undanröja hindren för flödena av personuppgifter inom densamma,(23) har den europeiska lagstiftaren tvingats erkänna – vilket har påpekats av generaladvokat Richard de la Tour – att verkligheten är mer komplicerad än så: dataskyddsförordningen har, trots att den är sektorsövergripande, inte kunnat förekomma alla tänkbara förgreningar av skyddet av personuppgifter på områden som konsumenträtt, konkurrensrätt eller arbetsrätt.(24)

46.      Detta är förklaringen till att dataskyddsförordningen ger medlemsstaterna möjlighet att införa ytterligare nationella bestämmelser, som är strängare eller avviker. Medlemsstaterna har ett utrymme för skönsmässig bedömning när det gäller hur dessa bestämmelser (öppningsklausuler) ska genomföras.(25)

47.      Den relativa ökningen av denna typ av klausuler har fått negativa konsekvenser för den fullständiga harmoniseringen av skyddet av personuppgifter.(26) Kommissionen har tillstått att den omständigheten att dataskyddsförordningen tvingar medlemsstaterna att lagstifta inom vissa områden, samtidigt som de ges möjlighet att specificera förordningens bestämmelser inom andra, har inneburit en ”viss fragmentering, vilket framför allt beror på den omfattande användningen av frivilliga specifikationsklausuler”.(27)

48.      Den klausul som är av särskilt intresse i det nu aktuella målet är den i artikel 88.1 i dataskyddsförordningen. Dock måste viss analys göras av dess koppling till klausulen i artikel 6.1 b och e i samma förordning, vilket skedde under förhandlingen.

a)      Artikel 6.2 i dataskyddsförordningen

49.      Artikel 6 i dataskyddsförordningen återfinns i dess kapitel II, där de principer anges som ligger till grund för behandling av personuppgifter och som därmed utgör den allmänna grunden för systemet. I artikel 6.1 anges villkoren för att behandlingen av personuppgifter ska vara laglig. Led a i den punkten avser närmare bestämt att den registrerade har lämnat sitt samtycke, och led b att behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part.

50.      Dessa villkor läggs till de som följer av de allmänna principerna i artikel 5 i dataskyddsförordningen(28) och kompletterar artiklarna 7–11 om samtycke (artikel 7 och, för barns samtycke, artikel 8), om behandling av särskilda kategorier av personuppgifter (artikel 9) eller av personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott (artikel 10) och om behandling som inte kräver identifiering (artikel 11).

51.      Till denna samling principer och regler kan läggas de ”mer specifika bestämmelser” som medlemsstaterna inför (eller behåller) för att i enlighet med artikel 6.2 i dataskyddsförordningen ”anpassa tillämpningen av bestämmelserna” i förordningen med hänsyn till behandling i två konkreta fall, när behandlingen är nödvändig för att

–      fullgöra en rättslig förpliktelse (artikel 6.1 c), eller

–      utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e).(29)

52.      Det fastställs i bestämmelsen att denna ”anpassning” består i att ”närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling”, vilket inkluderar ”andra specifika situationer då uppgifter behandlas i enlighet med kapitel IX”.

53.      Denna sista del av bestämmelsen är inte tillräckligt tydlig; det framgår inte klart om den medger – återigen, när det gäller sådana behandlingar som avses i artikel 6.1 c och e – reglering av andra specifika situationer än de som redan anges i kapitel IX, eller om de som anges är de enda som är tillåtna enligt dataskyddsförordningen när det gäller de två typerna av behandling.

b)      Artikel 88.1 i dataskyddsförordningen

54.      Jag erinrar emellertid om att den öppningsklausul som nu är relevant är den i artikel 88.1 i dataskyddsförordningen, på grund av att det är den som den hänskjutande domstolen har riktat in sig på. Enligt dess lydelse får medlemsstaterna alltså fastställa, i lag eller kollektivavtal, ”mer specifika regler för att säkerställa skyddet av rättigheter och friheter vid behandling av anställdas personuppgifter i anställningsförhållanden”.

55.      Behandling av sådana personuppgifter kan göras särskilt i samband med

–      rekrytering, genomförande av anställningsavtalet,(30) ledning, planering och organisering av arbetet, jämställdhet och mångfald i arbetslivet, hälsa och säkerhet på arbetsplatsen samt skydd av arbetsgivarens eller kundens egendom,

–      kollektivt eller individuellt utövande och åtnjutande av rättigheter och förmåner som är knutna till anställningen, samt

–      avslutande av anställningsförhållandet.

56.      Möjligheten att kunna anta sådana bestämmelser ger en viss ”avharmoniserande” effekt. De nationella bestämmelser som möjliggörs genom artikel 88.1 i dataskyddsförordningen kan – för en eller flera medlemsstater – ge upphov till skillnader i den allmänna ordning som gäller enligt förordningen, som går utöver den rena ”anpassning” som är tillåten enligt dess artikel 6.2:

–      Artikel 6.2 i dataskyddsförordningen ger medlemsstaterna rätt att anpassa tillämpningen av vissa bestämmelser i själva förordningen.

–      Artikel 88.1 i dataskyddsförordningen medger däremot att medlemsstaterna fastställer mer specifika regler för att säkerställa skyddet av rättigheter och friheter. Det handlar således om ett mer intensivt regelskapande som inte förekommer när det bara rör sig om att anpassa eller justera tillämpningen av bestämmelserna i dataskyddsförordningen, vars innehåll och räckvidd måste hållas för oföränderliga.(31)

4.      23 § HDSIG i förhållande till dataskyddsförordningen

57.      I enlighet med vad som föreskrivs i artikel 88.3 i dataskyddsförordningen anmälde Förbundsrepubliken Tyskland 23 § HDSIG till kommissionen bland de bestämmelser som denna medlemsstat hade antagit med stöd av artikel 88.1 i dataskyddsförordningen.

58.      Jag anser, liksom den hänskjutande domstolen och kommissionen, att 23 § HDSIG inte uppfyller villkoret att ”fastställa mer specifika regler” för skyddet av rättigheter vid behandling av personuppgifter i anställningsförhållanden, såsom anges i artikel 88.1 i dataskyddsförordningen.

59.      Både 23 § punkt 1 första meningen HDSIG och 86 § punkt 4 första meningen HBG inskränker sig till att föreskriva att anställdas och tjänstemäns personuppgifter får behandlas till följd av anställningsförhållandet, om detta är ”nödvändigt” för något av följande syften:

–      För beslutet att ingå anställningsförhållandet, och, efter att det har ingåtts, för att genomföra, avsluta eller avveckla detsamma.

–      För vidtagande av interna åtgärder avseende planering och organisation, personalfrågor eller sociala frågor.

60.      För att uttrycka det klart och tydligt: i båda bestämmelserna villkoras behandlingen av arbetstagarnas personuppgifter av den omständigheten att den måste vara nödvändig för vissa ändamål.

61.      Det rör sig således inte om en formulering som kraftigt skiljer sig från den i artikel 6.1 b i dataskyddsförordningen (”[b]ehandling är endast laglig om [den] är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås”).(32)

62.      I 23 § HDSIG upprepas därmed ett villkor som redan anges i artikel 6.1 b i dataskyddsförordningen för att behandlingen ska vara laglig. Därmed tillkommer inte någon specifik regel till skydd för rättigheter i samband med behandling av personuppgifter i anställningsförhållanden.(33)

63.      Resultatet blir detsamma om den omtvistade undervisningen skulle omfattas av artikel 6.1 e i dataskyddsförordningen (det vill säga om den omtvistade behandlingen hade varit nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning).(34)

64.      När det gäller leden c och e medges i artikel 6.2 i dataskyddsförordningen att medlemsstaterna, vilket jag redan har påpekat, behåller eller inför ”mer specifika bestämmelser … genom att närmare fastställa specifika krav för uppgiftsbehandlingen”.

65.      Jag erinrar om att 23 § HDSIG inte utgör en ”mer specifik regel”, utan att den inskränker sig till att tillåta behandling av arbetstagares personuppgifter när detta är nödvändigt; villkoren för en sådan behandling anges inte närmare i bestämmelsen.

66.      Den tyska regeringen menar, tvärtemot denna ståndpunkt, att det skulle vara ”omöjligt och ogenomförbart” att på ett detaljerat sätt beskriva de många olika behandlingarna av personuppgifter inom ramen för ett anställningsförhållande. Den tyska regeringen anser att det borde vara tillräckligt med en bestämmelse som i förekommande fall kan utgöra stöd för de behandlingar som inte kräver en mer specifik rättslig grund.(35)

67.      När det gäller ovanstående räcker det att konstatera att hur svårt genomförandet än är, är artikel 88.3 i dataskyddsförordningen uttömmande när den föreskriver att varje medlemsstat ska anmäla ”de bestämmelser i sin lagstiftning som den antar i enlighet med punkt 1” till kommissionen. Det vill säga, inte de (grundläggande) bestämmelser som ligger till grund för bestämmelserna med mer specifika regler, utan dessa sistnämnda. Anmälan ska göras på ett individualiserat och uttryckligt sätt.(36)

68.      Sammanfattningsvis, vad 23 § HDSIG gör är att upprepa det bemyndigande som redan anges i artikel 88.1 i dataskyddsförordningen; med andra ord: den öppnar dörren som möjliggör ett senare införande (eller behållande) av mer specifika regler.

69.      Förutom att 23 § HDSIG inte i sig fastställer ”mer specifika regler”, i den mening som avses i artikel 88.1 i dataskyddsförordningen, innehåller den inte heller ”lämpliga och specifika åtgärder för att skydda den registrerades mänskliga värdighet, berättigade intressen och grundläggande rättigheter”.

70.      I och med att sådana åtgärder utelämnas, åsidosätter 23 § HDSIG det villkor som föreskrivs i artikel 88.2 i dataskyddsförordningen för att medlemsstaternas särskiljande lagstiftning om anställningsförhållanden ska kunna godtas.

71.      Jag begränsar min granskning i samband med begäran om förhandsavgörande till att avse lagbestämmelser och inte kollektivavtal; jag kommer inte att ägna uppmärksamhet åt dessa sistnämnda.(37)

72.      När det gäller dessa bestämmelser kan den nationella lagstiftaren inte, såsom i 23 § punkt 5 HDSIG, begränsa sig till att föreskriva att den personuppgiftsansvarige ska vidta lämpliga åtgärder för att säkerställa att ”principerna i artikel 5 [i dataskyddsförordningen] för behandling av personuppgifter uppfylls”. Denna formulering är överflödig, eftersom varje behandling av personuppgifter, av princip och som minimum, måste uppfylla villkoren i artikel 5 i dataskyddsförordningen.

73.      Syftet med artikel 88.2 i dataskyddsförordningen är att införa skyddsåtgärder som säkerställer att den specifika karaktären av de regler som fastställs i enlighet med artikel 88.1 i dataskyddsförordningen återspeglas på vederbörligt sätt. Avsikten är, utan tvekan, att den specifika karaktär som medges genom denna sistnämnda bestämmelse i förekommande fall motsvaras av lämplig specificitet hos skyddsåtgärderna.

74.      Ett erkännande av att 23 § HDSIG innehåller specifika regler i enlighet med artikel 88.1 i dataskyddsförordningen skulle innebära en upprepning – vad gäller de skyddsåtgärder som krävs enligt punkt 2 i samma artikel – av de principer som beskrivs i allmänna ordalag i artikel 5 i förordningen. Detta skulle tveklöst bryta den nödvändiga balansen mellan den specifika karaktären av de regler som medges enligt artikel 88.1 i dataskyddsförordningen och den specifika karaktären av de skyddsåtgärder som erfordras enligt artikel 88.2 i samma förordning.

75.      Sammanfattningsvis kan 23 § HDSIG inte stödja sig på artikel 88 i dataskyddsförordningen, dels för att den inte fastställer mer specifika regler, dels för att den inskränker sig till att upprepa de allmänna principerna i artikel 5 i dataskyddsförordningen.

5.      Kan 23 § HDSIG – trots allt – vara tillämplig?

76.      Nu återstår att ta ställning till om 23 § HDSIG – trots vad som anges ovan – skulle kunna vara tillämplig i den nationella rättsordningen. Såsom jag har påpekat tidigare förefaller detta vara vad som i sista hand intresserar den hänskjutande domstolen.

77.      Frågeställningen begränsas till att klargöra huruvida de regler som medlemsstaterna antar med stöd av öppningsklausulen i artikel 88.1 i dataskyddsförordningen, men som inte uppfyller kraven i dess artikel 88.2, ändå kan tillämpas i enlighet med andra bestämmelser i samma förordning.

78.      Svaret, vars utgångspunkt är att 23 § HDSIG inte innehåller någon ”mer specifik regel” i den mening som avses i artikel 88 i dataskyddsförordningen,(38) kan utvecklas i två riktningar:

–      23 § HDSIG är irrelevant, eller överflödig, i den mån den, i egentlig mening, inte innehåller specifika bestämmelser som säkerställer arbetstagares rätt till skydd av sina personuppgifter i anställningsförhållanden.

–      På detta område (anställningsförhållanden) måste de allmänna bestämmelserna i dataskyddsförordningen tillämpas direkt och företrädesvis.

79.      Det är en annan fråga – vilket har påpekats av den österrikiska och den rumänska regeringen, liksom av kommissionen, och vilket samtliga tillstod under förhandlingen – att det inte finns något som hindrar att en medlemsstat tillämpar antingen andra bestämmelser i dataskyddsförordningen, eller nationella regler enligt artikel 6.2 i samma förordning, som reglerar behandling av arbetstagares personuppgifter på ett sätt som bidrar till att ”anpassa tillämpningen” av dataskyddsförordningen.

V.      Förslag till avgörande

80.      Mot bakgrund av vad som ovan anförts föreslår jag att domstolen besvarar Verwaltungsgericht Frankfurt am Main (Förvaltningsdomstolen i Frankfurt am Main, Tyskland) på följande sätt:

Artikel 88.1 och 88.2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) ska tolkas enligt följande:

En lagbestämmelse som antas av en medlemsstat utgör en mer specifik regel för att säkerställa skyddet av rättigheter och friheter vid behandling av anställdas personuppgifter i anställningsförhållanden endast om den uppfyller de krav som ställs på sådana lagbestämmelser enligt artikel 88.2 i förordning 2016/679.

Om lagbestämmelsen inte uppfyller de krav som ställs på sådana lagbestämmelser enligt artikel 88.2 i förordning 2016/679 är den, i förekommande fall, bara tillämplig i den mån den kan omfattas av andra bestämmelser i den förordningen eller av sådana nationella anpassningsbestämmelser som avses i dess artikel 6.2.

1      Originalspråk: spanska.

2      Det är ostridigt att personuppgifter behandlas vid denna typ av utsändning.

3      Europaparlamentets och rådets förordning av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1; rättelse i EUT L 127, 2018, s. 2) (nedan kallad dataskyddsförordningen).

4      Delstaten Hessens lag om dataskydd och informationsfrihet av den 3 maj 2018 (GVBl. I, s. 82); nedan kallad HDSIG.

5      Delstaten Hessens lag om tjänstemän av den 27 maj 2013 (GVBl. s. 218); nedan kallad HBG.

6      Som svar på domstolens frågor förklarade Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium (lärarkårens centralkommitté vid delstaten Hessens utbildnings- och kulturministerium; nedan kallad lärarkårens kommitté) att dess överklagande, som ingavs den 2 december 2020, avsåg två av ministeriets avtal som innehöll anvisningar avseende ”organisatoriska och rättsliga villkor för inledandet av skolåret 2020/2021” (av den 23 juli 2020) respektive ”användning av digitala hjälpmedel inom ramen för skollivet” (av den 20 augusti 2020). Lärarkårens kommitté tillade att ministeriet med denna sistnämnda åtgärd ansåg det vara obehövligt att inhämta lärarnas samtycke för utsändningen av deras kurser, via videokonferens i realtid, riktad till elever som inte behövde närvara i klassrummet; skolans ledning hade nämligen behörighet att organisera kurserna. Behandlingen av de uppgifter som var nödvändiga för detta ändamål kunde, enligt ministeriet, omfattas av 23 § HDSIG.

7      26 § punkt 1 första meningen i Bundesdatenschutzgesetz (federala dataskyddslagen) är motsvarigheten till 23 § punkt 1 första meningen HDSIG.

8      Den 29 november 2021 meddelade Verwaltungsgericht Wiesbaden (Förvaltningsdomstolen i Wiesbaden) EU-domstolen att den, efter ändringar i den nationella lagstiftningen om territoriell behörighet, förklarade sig obehörig till förmån för Verwaltungsgericht Frankfurt am Main (Förvaltningsdomstolen i Frankfurt am Main). Denna sistnämnda domstol informerade domstolen, genom skrivelse som inkom den 21 februari 2022, om det nya målnumret, och lät förstå att den påtog sig begäran om förhandsavgörande som vore den dess egen.

9      Dom av den 27 september 2017, Puškár (C‑73/16, EU:C:2017:725, punkt 50).

10      Dom av den 29 juni 2017, Popławski (C‑579/15, EU:C:2017:503, punkt 16 och där angiven rättspraxis).

11      Den hänskjutande domstolen anser att om 23 § punkt 1 första meningen HDSIG och 86 § punkt 4 HBG inte utgör rättslig grund för behandlingen av personuppgifter i videokonferenssystemen måste en sådan skapas genom ett Dienstvereinbarung (tjänsteavtal) mellan parterna i förfarandet (punkt 25 i begäran om förhandsavgörande).

12      ”Dessa regler ska innehålla …”.

13      Det vill säga, en nationell bestämmelse som ska anses ha utfärdats med stöd av artikel 88.1 i dataskyddsförordningen, eftersom det bara är mot denna sorts bestämmelse som villkoren i punkt 2 riktar sig.

14      För domstolen är ”[d]et viktigaste kännetecknet för ett anställningsförhållande … att en person under en viss tid mot ersättning utför arbete åt en annan person under dennes ledning” (dom av den 15 juli 2021, Ministrstvo za obrambo, C‑742/19, EU:C:2021:597, punkt 49 och där angiven rättspraxis).

15      Se domen av den 30 september 2003, Colegio de Oficiales de la Marina Mercante Española (C‑405/01, EU:C:2003:515, punkterna 38 och 39) med avseende på motsvarande bestämmelse i EG-fördraget.

16      Se, vad gäller förhållandet mellan undervisning och myndighetsutövning, domen av den 15 mars 1988, kommissionen/Grekland (147/86, EU:C:1988:150).

17      Förslag till avgörande föredraget den 19 december 2018 (C‑40/17, EU:C:2018:1039, punkt 47).

18      Europaparlamentets och rådets direktiv av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31).

19      Domstolen fastslog mycket tidigt att en sådan möjlighet skulle skapa ”en oklarhet, både vad gäller de tillämpliga bestämmelsernas rättsliga karaktär och tidpunkten för deras ikraftträdande” (dom av den 7 februari 1973, kommissionen/Italien, 39/72, EU:C:1973:13, punkt 17) och att den skulle kunna hindra förordningens direkta verkan och dölja dess gemenskapskaraktär för medborgarna (dom av den 10 oktober 1973, Variola, 34/73, EU:C:1973:101, punkterna 10 och 11).

20      Se, för ett liknande resonemang, domen av den 6 november 2003, Lindqvist (C‑101/01, EU:C:2003:596, punkt 96).

21      Jag erinrar om att det handlar om en grundläggande rättighet som fastställs i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna.

22      Detta anges uttryckligen i skäl 10 i dataskyddsförordningen.

23      Se domen av den 28 april 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322, punkt 52).

24      Förslag till avgörande av generaladvokat Richard de la Tour i målet Meta Platforms Ireland (C‑319/20, EU:C:2021:979, punkt 51).

25      Dom av den 28 april 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322, punkt 57): ”Enligt [dataskyddsförordningen] finns … en möjlighet för medlemsstaterna att införa ytterligare nationella bestämmelser, som är strängare eller avviker, vilket ger dem ett utrymme för skönsmässig bedömning av hur sådana bestämmelser ska genomföras (’öppningsklausuler’).”

26      Se, rent generellt, Oliver Zöll, i Jürgen Taeger/Detlev Gabel (eds.), ”Kommentar DSGVO-BDSG”, tredje upplagan, Fachmedien Recht und Wirtschaft, dfv Mediengruppe, Frankfurt am Main, 2019, Art. 88, marginal 2.

27      Meddelande från kommissionen till Europaparlamentet och rådet, Dataskydd som en pelare för medborgarnas egenmakt och EU:s strategi för den digitala övergången – tillämpning av den allmänna dataskyddsförordningen under två års tid, COM(2020) 264 final, s. 8. Medlemsstaterna har möjlighet att använda sig av totalt 15 frivilliga specifikationsklausuler, enligt vad som framgår av bilagan till arbetsdokumentet från kommissionens avdelningar som åtföljer meddelandet (SWD(2020) 115 final).

28      Laglighet, korrekthet och öppenhet; ändamålsbegränsning; uppgiftsminimering; riktighet; lagringsminimering; integritet och konfidentialitet; ansvarsskyldighet.

29      Jag anser att den ”nödvändighet” som avses i bestämmelsen har att göra med de inneboende villkoren för utförandet, vid normala omständigheter, av de rättsliga förpliktelser som anges; det är inte sådan ”nödvändighet” som, vid extraordinära omständigheter, kan motivera tillämpning av beredskaps- eller undantagslagstiftning.

30      Inklusive ”[fullgörelse av] i lag eller kollektivavtal stadgade skyldigheter”.

31      Såsom den tyska regeringen påpekar i sin skrivelse för att besvara domstolens frågor, visar uppkomsten av artikel 6.2 och 6.3 samt artikel 88 i dataskyddsförordningen att den sistnämnda artikelns ”autonomi” i förhållande till den förstnämnda är ett svar på den uttryckliga önskan att reglera skyddet av anställdas personuppgifter som ett ”särskilt fall”.

32      Den hänskjutande domstolen menar att det är denna bestämmelse som är tillämplig i ett anställningsförhållande som det i det nationella målet.

33      Behovet att införa distansundervisning med anledning av pandemin fick lagstiftaren i delstaten Hessen att anta 83a § och 83b § i Hessisches Schulgesetz (delstaten Hessens skollag), enligt vilka samtycke ska inhämtas från lärarna i samband med digitala applikationer och videokonferenser. Detta uppgav utbildnings- och kulturministeriet under förhandlingen, och tycks därmed implicit ha medgett att de bestämmelser som dessförinnan hade varit tillämpliga inte gav vederbörligt stöd för sådan undervisning. Denna lagändring hade inte börjat gälla vid tidpunkten för begäran om förhandsavgörande, varför den hänskjutande domstolen inte ställer några frågor till domstolen om den; det ankommer inte heller på domstolen att ta ställning till dess förenlighet med dataskyddsförordningen.

34      Den tyska regeringen anser att lärarna utför en uppgift av allmänt intresse i den mening som avses i artikel 6.1 e i dataskyddsförordningen, även om också andra personuppgifter, såsom elevernas personuppgifter, blir aktuella i samband med onlineundervisning, vilka inte omfattas av tillämpningsområdet för den bestämmelsen.

35      Punkt 28 i den tyska regeringens skriftliga yttrande. Under förhandlingen hade samma regering inga betänkligheter med att beteckna den omtvistade bestämmelsen som ”allmän”.

36      De nationella specifika bestämmelser som avses i artikel 6.2 i dataskyddsförordningen omfattas inte av anmälningsskyldigheten, medan de som avses i artikel 88.1 i samma förordning ska meddelas unionen och samtliga medlemsstater genom kommissionen. Denna dubbelhet förklaras av den ”avharmoniserande” effekt som jag hänvisar till ovan, vilken följer av de nationella regler som avses i artikel 88.1 i dataskyddsförordningen. Verkningarna blir större när bestämmelserna går utöver en ren ”anpassning” av ”tillämpningen av bestämmelserna” i dataskyddsförordningen, i enlighet med dess artikel 6.2.

37      23 § punkt 4 HDSIG medger behandling av arbetstagares personuppgifter enligt vad som föreskrivs i ett kollektivavtal och ålägger förhandlingsparterna att iaktta artikel 88.2 i dataskyddsförordningen i detta sammanhang. Den tyska lagstiftaren beaktade således den möjlighet som erbjöds genom artikel 88.1 i dataskyddsförordningen med avseende på kollektivavtal. Dessa avtal måste även ta hänsyn till vad som anges i artikel 88.2 i dataskyddsförordningen beträffande lämpliga och specifika skyddsåtgärder, vilket också påpekas i HDSIG.

38      Samma sak kan sägas om 79a § i Betriebsverfassungsgesetz (lagen om medbestämmande i arbetslivet, BGBl. I, s. 2518), som trädde i kraft efter begäran om förhandsavgörande och som åberopades av den tyska regeringen i dess svar på domstolens frågor; en bestämmelse som inskränker sig till att kräva att företagsråden följer bestämmelserna om dataskydd, inbegripet själva dataskyddsförordningen.