FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT
MANUEL CAMPOS SÁNCHEZ-BORDONA
föredraget den 22 september 2022(1)
Mål C‑34/21
Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium,
ytterligare deltagare i rättegången:
Minister des Hessischen Kultusministeriums als Dienststellenleiter
(begäran om förhandsavgörande från Verwaltungsgericht Frankfurt am Main (Förvaltningsdomstolen i Frankfurt am Main, Tyskland))
”Begäran om förhandsavgörande – Skydd av personuppgifter – Förordning (EU) 2016/679 – Behandling av personuppgifter i anställningsförhållanden – Artikel 88.1 – Mer specifik regel – Krav enligt artikel 88.2 – Regionalt skolsystem – Onlineundervisning via videokonferens – Avsaknad av uttryckligt samtycke från lärarna”
1. Tvisten som har gett upphov till denna begäran om förhandsavgörande avser i huvudsak om lärare anställda av ett ministerium i delstaten Hessen (Tyskland) måste lämna sitt samtycke till utsändning av sin undervisning via videokonferens eller om behandlingen av deras personuppgifter(2) – vid avsaknad av samtycke – kan motiveras av ett berättigat syfte i enlighet med förordning (EU) 2016/679.(3)
2. Denna begäran om förhandsavgörande ger domstolen möjlighet att för första gången – om jag inte misstar mig – yttra sig över artikel 88 i dataskyddsförordningen. Enligt denna bestämmelse får medlemsstaterna i lag eller kollektivavtal fastställa mer specifika regler för att säkerställa skyddet av rättigheter och friheter vid behandling av anställdas personuppgifter i anställningsförhållanden.
I. Rättslig ram
A. Unionsrätt. Dataskyddsförordningen
3. Skälen nedan lyder enligt följande:
”…
(8) Om denna förordning föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av denna förordning i nationell rätt.
…
(10) För att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av personuppgifter inom unionen bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater. En konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter bör säkerställas i hela unionen. Vad gäller behandlingen av personuppgifter för att fullgöra en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs av den personuppgiftsansvarige, bör medlemsstaterna tillåtas att behålla eller införa nationella bestämmelser för att närmare fastställa hur bestämmelserna i denna förordning ska tillämpas. …
…
(45) Behandling som grundar sig på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller behandling som krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning, bör ha en grund i unionsrätten eller i en medlemsstats nationella rätt. Denna förordning medför inte något krav på en särskild lag för varje enskild behandling. Det kan räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller om behandlingen krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Behandlingens syfte bör också fastställas i unionsrätten eller i medlemsstaternas nationella rätt. Därtill skulle man genom denna grund kunna ange denna förordnings allmänna villkor för laglig personuppgiftsbehandling och precisera kraven för att fastställa vem den personuppgiftsansvarige är, vilken typ av personuppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut, ändamålsbegränsningar, lagringstid samt andra åtgärder för att tillförsäkra en laglig och rättvis behandling. …
…
(155) En medlemsstats nationella rätt eller kollektivavtal, inbegripet ’verksamhetsöverenskommelser’, får föreskriva särskilda bestämmelser om behandling av anställdas personuppgifter i anställningsförhållanden, särskilt när det gäller villkoren för hur personuppgifter i anställningsförhållanden får behandlas på grundval av samtycke från den anställde, rekrytering, genomförande av anställningsavtalet, inklusive [fullgörelse av] i lag eller kollektivavtal stadgade skyldigheter, ledning, planering och organisering av arbetet, jämställdhet och mångfald i arbetslivet samt hälsa och säkerhet på arbetsplatsen, men också när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsförhållandet.
…”
4. I artikel 5 (Principer för behandling av personuppgifter) föreskrivs följande:
”1. Vid behandling av personuppgifter ska följande gälla:
a) Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).
b) De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning).
c) De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).
d) De ska vara riktiga och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (riktighet).
e) De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering).
f) De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).
2. Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).”
5. I artikel 6 (Laglig behandling av personuppgifter) föreskrivs följande:
”1. Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:
a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.
b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
…
e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.
Led f i första stycket ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.
2. Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning med hänsyn till behandling för att efterleva punkt 1 c och e genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling, inbegripet för andra specifika situationer då uppgifter behandlas i enlighet med kapitel IX.
3. Den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med
a) unionsrätten, eller
b) en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.
Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning, bland annat: de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situationer enligt kapitel IX. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
4. Om en behandling för andra ändamål än det ändamål för vilket personuppgifterna samlades in inte grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1, ska den personuppgiftsansvarige för att fastställa huruvida behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in bland annat beakta följande:
a) Kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen.
b) Det sammanhang inom vilket personuppgifterna har samlats in, särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige.
c) Personuppgifternas art, särskilt huruvida särskilda kategorier av personuppgifter behandlas i enlighet med artikel 9 eller huruvida personuppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott behandlas i enlighet med artikel 10.
d) Eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen.
e) Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.”
6. I artikel 88 (Behandling i anställningsförhållanden) föreskrivs följande:
”1. Medlemsstaterna får i lag eller i kollektivavtal fastställa mer specifika regler för att säkerställa skyddet av rättigheter och friheter vid behandling av anställdas personuppgifter i anställningsförhållanden, särskilt när det gäller rekrytering, genomförande av anställningsavtalet inklusive [fullgörelse av] i lag eller kollektivavtal stadgade skyldigheter, ledning, planering och organisering av arbetet, jämställdhet och mångfald i arbetslivet, hälsa och säkerhet på arbetsplatsen samt skydd av arbetsgivarens eller kundens egendom men också när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsförhållandet.
2. Dessa regler ska innehålla lämpliga och specifika åtgärder för att skydda den registrerades mänskliga värdighet, berättigade intressen och grundläggande rättigheter, varvid hänsyn särskilt ska tas till insyn i behandlingen, överföring av personuppgifter inom en koncern eller en grupp av företag som deltar i gemensam ekonomisk verksamhet samt övervakningssystem på arbetsplatsen.
3. Varje medlemsstat ska till kommissionen anmäla de bestämmelser i sin lagstiftning som den antar i enlighet med punkt 1 senast den 25 maj 2018, samt utan dröjsmål anmäla eventuella senare ändringar som berör dem.”
B. Nationell rätt
1. Hessisches Datenschutz- und Informationsfreiheitsgesetz(4)
7. I 23 § föreskrivs följande:
”1) Anställdas personuppgifter får behandlas för syften som är knutna till anställningsförhållandet om det är nödvändigt för att fatta beslut om ingående av ett anställningsförhållande eller efter att ett anställningsförhållande ingåtts för att genomföra, avsluta eller avveckla anställningsförhållandet, samt för interna åtgärder i samband med planering, organisation, sociala frågor och personalfrågor. Detta gäller även utövande eller fullgörelse av rättigheter och skyldigheter som avser de anställdas representation vilka följer av lag eller avtal, avtal mellan arbetsgivare och personalkommitté i offentlig och privat sektor (kollektivavtal).
…
4) Behandling av personuppgifter inklusive behandling av särskilda kategorier av anställdas personuppgifter för syften i samband med ett anställningsförhållande är tillåten om det sker med stöd av kollektivavtal. Kollektivavtalets parter ska beakta artikel 88.2 i [dataskyddsförordningen].
5) Den personuppgiftsansvarige ska vidta lämpliga åtgärder för att säkerställa att i synnerhet principerna i artikel 5 i [dataskyddsförordningen] för behandling av personuppgifter uppfylls.
…
8) Med anställda avses i denna lag följande:
…
7. Tjänstemän som omfattas av Hessisches Beamtengesetz,[(5)] delstatens domare liksom de personer som utför civiltjänstgöring.
…”
2. Hessisches Beamtengesetz
8. I 86 § punkt 4 föreskrivs följande:
”En offentlig arbetsgivare får endast samla in personuppgifter som rör arbetssökande, tjänstemän och före detta tjänstemän, om det är nödvändigt för att inleda, genomföra, avsluta eller avveckla anställningsförhållandet, samt för åtgärder i samband med organisation, sociala frågor eller personalfrågor, i synnerhet vad gäller planering och fördelning av personalresurser, eller om det är tillåtet enligt en bestämmelse i lag eller avtal som ingåtts mellan arbetsgivare och personalkommitté …”.
II. Faktiska omständigheter, det nationella målet och tolkningsfrågorna
9. Verwaltungsgericht Wiesbaden (Förvaltningsdomstolen i Wiesbaden, Tyskland), varifrån denna begäran om förhandsavgörande ursprungligen kommer, har inte bifogat vare sig någon beskrivning av de faktiska omständigheterna i målet, av de omtvistade bestämmelserna(6) eller av hur förfarandet har förlöpt. Förvaltningsdomstolen i Wiesbaden har snarare koncentrerat sig på att redogöra för de rättsliga oklarheterna.
10. Förvaltningsdomstolen i Wiesbaden har nöjt sig med att konstatera att parterna ”tvistar om huruvida det i samband med onlineundervisning genom videokonferenssystem – utöver samtycke från föräldrarna för deras barn eller från myndiga elever – även är nödvändigt att inhämta samtycke från varje enskild lärare, eller huruvida den behandling av personuppgifter som sker i detta sammanhang omfattas av 23 § punkt 1 första meningen HDSIG …”.
11. Förvaltningsdomstolen i Wiesbaden hyser särskilt tvivel om huruvida 23 § punkt 1 första meningen HDSIG utgör en ”mer specifik regel” med avseende på behandlingen av de anställdas personuppgifter, i den mening som avses i artikel 88 i dataskyddsförordningen. Den menar att den bestämmelsen inte uppfyller kraven i artikel 88.2 i dataskyddsförordningen, av följande skäl:
– Bestämmelsen hänvisar endast till en ”nödvändighet” som rättslig grund för behandlingen av anställdas eller tjänstemäns personuppgifter.
– Varje behandling av arbetstagares personuppgifter som sträcker sig längre än vad som är nödvändigt enligt anställningsavtalet ska genomföras efter en intresseavvägning som går utöver själva behovet, vilket inte föreskrivs i den nationella lagen.
12. Den hänskjutande domstolen uppger sig inte instämma i rättspraxisen från Bundesarbeitsgericht (Federala arbetsdomstolen, Tyskland) vad gäller frågan huruvida den federala motsvarigheten till 23 § punkt 1 första meningen HDSIG(7) är förenlig med artikel 88 i dataskyddsförordningen.
13. Den hänskjutande domstolen anser i stället följande:
– Införandet av principen om ”nödvändighet” i den nationella lagstiftningen utgör inte en konkretisering av kraven i artikel 88.2 i dataskyddsförordningen.
– Hänvisningen till att den personuppgiftsansvarige i synnerhet ska följa principerna i artikel 5 i dataskyddsförordningen tillmötesgår inte heller dessa krav, eftersom artikel 5 inte föreskriver något särskilt skydd för arbetstagare.
– Lagstiftaren har, i princip, tagit hänsyn till artikel 88.2 i dataskyddsförordningen när den kräver att bestämmelsen ska beaktas i kollektivavtal, men den har varken analyserat eller uppfyllt kravkatalogen i punkt 2, inte i själva lagen och inte heller i lagstiftningens förarbeten.
14. Mot denna bakgrund hänsköt den nationella domstolen följande tolkningsfrågor till Europeiska unionens domstol:
”1) Ska artikel 88.1 i [dataskyddsförordningen] tolkas på så sätt att en lagbestämmelse, för att vara en mer specifik regel för att säkerställa skyddet av rättigheter och friheter vid behandling av anställdas personuppgifter i anställningsförhållanden i den mening som avses i artikel 88.1 i [dataskyddsförordningen], måste uppfylla de krav som ställs på sådana lagbestämmelser enligt artikel 88.2 i [den förordningen]?
2) Kan en nationell bestämmelse fortsätta att tillämpas trots att det är uppenbart att den inte uppfyller kraven i artikel 88.2 i [dataskyddsförordningen]?”
III. Förfarandet vid domstolen
15. Begäran om förhandsavgörande inkom till domstolens kansli den 20 januari 2021.
16. Behörigheten att avgöra den ursprungliga tvisten tillföll, med verkan från och med den 1 december 2021,(8) Verwaltungsgericht Frankfurt am Main (Förvaltningsdomstolen i Frankfurt am Main, Tyskland), och förfarandet fortsattes vid denna domstol.
17. Den tyska, den österrikiska och den rumänska regeringen, samt Europeiska kommissionen, har ingett skriftliga yttranden. Samtliga dessa, liksom lärarkårens kommitté, besvarade skriftligen de frågor som domstolen ställde till dem före förhandlingen.
18. Under förhandlingen, som hölls den 30 juni 2022, närvarade lärarkårens kommitté, delstaten Hessens utbildnings- och kulturministerium, den tyska regeringen och kommissionen.
IV. Bedömning
A. Huruvida begäran om förhandsavgörande kan tas upp till prövning
19. Den tyska regeringen har i sitt skriftliga yttrande gjort gällande att begäran om förhandsavgörande bör avvisas. Den menar att den hänskjutande domstolen, vid sin bedömning av huruvida den behandling av personuppgifter som följer av onlineundervisning via videokonferens omfattas av 23 § punkt 1 HDSIG, inte har förklarat skälen till att den uteslutit möjligheten att denna behandling skulle kunna vara tillåten med lärarens samtycke.
20. Den tyska regeringen nyanserade delvis denna invändning under förhandlingen, när den medgav att domstolen skulle behöva yttra sig (det vill säga att begäran om förhandsavgörande skulle kunna tas upp till prövning) om behandlingen inte hade godkänts av de berörda lärarna.
21. En begäran från en nationell domstol kan under alla omständigheter bara avvisas av domstolen då det är uppenbart att den begärda tolkningen av unionsrätten inte har något samband med de verkliga omständigheterna eller saken i det nationella målet eller då frågorna är hypotetiska eller domstolen inte har tillgång till sådana uppgifter om de faktiska eller rättsliga omständigheterna som är nödvändiga för att kunna ge ett användbart svar på de frågor som ställts till den.(9)
22. Ingen av dessa omständigheter föreligger i samband med denna begäran om förhandsavgörande, vars frågor antas vara relevanta.(10) Utgångspunkten är att samtliga lärare inte nödvändigtvis godkänner att deras personuppgifter behandlas, varför det finns ett intresse av att fastställa huruvida den bestämmelse,(11) som skulle utgöra den rättsliga grunden för en behandling som saknar samtycke från den som berörs, är förenlig med unionsrätten.
23. Begäran om förhandsavgörande handlar just om att klargöra huruvida de bestämmelser som ligger till grund för behandlingen av lärarnas personuppgifter, i det fall samtycke saknas, uppfyller kraven i artikel 88.1 och 88.2 i dataskyddsförordningen eller inte. Sambandet mellan målet och de unionsrättsliga bestämmelser vars tolkning efterfrågas är därmed i högsta grad tillräckligt.
B. Prövning i sak
1. Inledande överväganden
24. Med den första tolkningsfrågan önskar den hänskjutande domstolen få veta om en lagbestämmelse, för att utgöra en ”mer specifik regel” i den mening som avses i artikel 88.1 i dataskyddsförordningen, måste uppfylla kraven i artikel 88.2.
25. Lydelsen i artikel 88 i dataskyddsförordningen förefaller innebära att ”mer specifika regler” enligt punkt 1 måste uppfylla kraven enligt punkt 2.
26. Enligt artikel 88.2 i dataskyddsförordningen ska ”[d]essa regler” (det vill säga de mer specifika regler som avses i punkt 1 och som medlemsstaterna får fastställa) innehålla ”lämpliga och specifika åtgärder” för att skydda arbetstagarnas värdighet, berättigade intressen och grundläggande rättigheter. Reglerna ska ta särskild hänsyn till insyn i behandlingen, överföring av personuppgifter inom en koncern eller en grupp av företag samt övervakningssystem på arbetsplatsen.
27. Det finns därmed en uppenbar koppling mellan de båda punkterna i artikel 88 i dataskyddsförordningen: i den andra punkten anges, i obligatoriska ordalag,(12) vilket innehåll de specifika regler ska ha som medlemsstaterna får anta avseende anställningsförhållanden, med hänvisning till den första punkten.
28. Att besvara denna tolkningsfråga medför därmed inga större svårigheter: artikel 88 i dataskyddsförordningen ska tolkas så, att en lagbestämmelse som är avsedd att utgöra en mer specifik regel i den mening som avses i punkt 1, ”måste uppfylla de krav” – för att använda den hänskjutande domstolens ord – som ställs i punkt 2.
29. Det är inte troligt att den hänskjutande domstolen behöver domstolens hjälp för att komma fram till denna slutsats. Den verkliga innebörden av den första tolkningsfrågan bör kanske därför bedömas mot bakgrund av den andra tolkningsfrågan. Här ställs frågan om en nationell bestämmelse som ”inte uppfyller kraven i artikel 88.2” i dataskyddsförordningen(13) kan fortsätta att tillämpas.
30. Med denna utgångspunkt (vilket är den i begäran om förhandsavgörande) breddas diskussionen till frågan om de bestämmelser som medlemsstaterna har antagit med stöd av artikel 88.1 i dataskyddsförordningen, men som inte iakttar villkoren i artikel 88.2, kan grundas på andra bestämmelser i samma förordning, särskilt på andra öppningsklausuler i förordningen, till exempel den i dess artikel 6.2.
31. Den hänskjutande domstolens två tolkningsfrågor är så förbundna med varandra att den österrikiska regeringen och kommissionen lutar åt att ge dem ett gemensamt svar; detta är en inställning som jag delar och som jag kommer att anamma.
2. Artikel 88 i dataskyddsförordningen och offentligt anställda lärare
32. Den hänskjutande domstolen förutsätter, med avseende på de nationella dataskyddsbestämmelserna, att det finns ett anställningsförhållande mellan de lärare som representeras av lärarkårens kommitté och delstaten Hessens utbildnings- och kulturministerium.
33. Detta antagande är förenligt med HDSIG, som i bestämmelserna om behandling av arbetstagares personuppgifter definierar de tjänstemän som omfattas av HBG, bland annat lärare, som anställda.
34. Den hänskjutande domstolen har således inte vid någon tidpunkt ifrågasatt att artikel 88 i dataskyddsförordningen är tillämplig på de av delstatens anställda som innehar offentliga tjänster som lärare.
35. Inte heller parterna eller ytterligare deltagare i rättegången ifrågasatte detta antagande, i samband med att domstolen frågade dem om denna omständighet. Alla är överens om att en anställning som lärare i offentlig sektor inte faller utanför tillämpningsområdet för artikel 88 i dataskyddsförordningen.
36. Jag anser att detta antagande är korrekt och att det kan användas för att analysera räckvidden av artikel 88 i dataskyddsförordningen, när den hänvisar till ”skyddet … vid behandling av anställdas personuppgifter i anställningsförhållanden”.
37. I kategorin arbetstagare – i vid mening – ingår förklarligt nog, vilket har framhållits av den tyska regeringen, de lärare som tillhandahåller delstaten sina tjänster och vars intressen företräds av lärarkårens kommitté.
38. Domstolens rättspraxis om anställningsförhållanden(14) och om begreppet arbetstagare, i samband med deras fria rörlighet och den omständigheten att före detta artikel 39.4 EG (nuvarande artikel 45.4 FEUF) inte är tillämplig på offentliga anställningar, kan, analogt, stödja den lösning som jag föreslår.
39. Av denna rättspraxis, där den funktionella aspekten hos arbetsuppgifterna framhålls, följer att
– begreppet offentlig tjänst, i detta avseende, ska tolkas och tillämpas enhetligt i hela unionen, och medlemsstaterna kan följaktligen inte själva bestämma dess innebörd, och att
– artikel 45.4 FEUF avser anställningar som direkt eller indirekt innefattar myndighetsutövning och fullgörande av arbetsuppgifter som har till mål att skydda statens eller annan offentlig verksamhets allmänna intressen.(15)
40. Eftersom offentligt anställda lärare som sådana inte deltar i myndighetsutövning i strikt mening, utan snarare utövar utbildningsverksamhet(16) som liknar den som tillhandahålls av andra inrättningar eller privata företag, kan de betecknas som ”arbetstagare” i allmän mening och därmed också på området skydd av personuppgifter.
41. Motsatsen skulle, vilket har påpekats av den österrikiska regeringen, innebära att väsentligen likartade situationer – i materiellt hänseende – behandlades på olika vis, nämligen lärarkårens ställning i offentlig och privat sektor. Denna omständighet skulle, såsom kommissionen har påtalat, vara ännu mer graverande i och med att begreppet offentlig tjänst inte är harmoniserat på europeisk nivå; detta skulle medföra att tillämpningsområdet för artikel 88 i dataskyddsförordningen vid skillnader i tolkningen skulle vara avhängigt nationell rätt.
3. Öppningsklausuler i dataskyddsförordningen
42. Såsom framhölls av generaladvokat Bobek i målet Fashion ID(17) innebär det faktum att direktiv 95/46/EG(18) har ersatts av dataskyddsförordningen att det har skett en grundläggande förändring vad gäller beskaffenheten hos det rättsliga instrument som reglerar skyddet för enskilda personer vid behandling av personuppgifter.
43. Instrumentet är inte längre ett direktiv (det vill säga en akt som inför en skyldighet att uppnå ett visst resultat, och som låter de nationella myndigheterna välja metod och medel), utan en förordning, som till alla delar är bindande och direkt tillämplig i alla medlemsstater. Det är, i princip och utan uttryckligt godkännande, inte tillåtet att dess innehåll införlivas med (eller upprepas i) nationell rätt.(19)
44. Även om dataskyddsförordningen har gått längre än den harmonisering som eftersträvades genom direktiv 95/46,(20) var det den omständighet att det inom nästan alla områden av mänsklig aktivitet genereras personuppgifter vars behandling måste skyddas(21) som avgjorde att lagstiftaren tillät medlemsstaterna att
– med sin nationella rätt införliva vissa delar av dataskyddsförordningen, när det i denna fastställs att dess bestämmelser ska specificeras eller begränsas i medlemsstaternas lagstiftning,
– behålla eller införa nationella bestämmelser för att närmare fastställa hur vissa bestämmelser i dataskyddsförordningen ska tillämpas.(22)
45. Trots att dataskyddsförordningen syftar till att säkerställa en konsekvent och enhetlig tillämpning av bestämmelserna om skydd av personuppgifter i hela unionen och undanröja hindren för flödena av personuppgifter inom densamma,(23) har den europeiska lagstiftaren tvingats erkänna – vilket har påpekats av generaladvokat Richard de la Tour – att verkligheten är mer komplicerad än så: dataskyddsförordningen har, trots att den är sektorsövergripande, inte kunnat förekomma alla tänkbara förgreningar av skyddet av personuppgifter på områden som konsumenträtt, konkurrensrätt eller arbetsrätt.(24)
46. Detta är förklaringen till att dataskyddsförordningen ger medlemsstaterna möjlighet att införa ytterligare nationella bestämmelser, som är strängare eller avviker. Medlemsstaterna har ett utrymme för skönsmässig bedömning när det gäller hur dessa bestämmelser (öppningsklausuler) ska genomföras.(25)
47. Den relativa ökningen av denna typ av klausuler har fått negativa konsekvenser för den fullständiga harmoniseringen av skyddet av personuppgifter.(26) Kommissionen har tillstått att den omständigheten att dataskyddsförordningen tvingar medlemsstaterna att lagstifta inom vissa områden, samtidigt som de ges möjlighet att specificera förordningens bestämmelser inom andra, har inneburit en ”viss fragmentering, vilket framför allt beror på den omfattande användningen av frivilliga specifikationsklausuler”.(27)
48. Den klausul som är av särskilt intresse i det nu aktuella målet är den i artikel 88.1 i dataskyddsförordningen. Dock måste viss analys göras av dess koppling till klausulen i artikel 6.1 b och e i samma förordning, vilket skedde under förhandlingen.
a) Artikel 6.2 i dataskyddsförordningen
49. Artikel 6 i dataskyddsförordningen återfinns i dess kapitel II, där de principer anges som ligger till grund för behandling av personuppgifter och som därmed utgör den allmänna grunden för systemet. I artikel 6.1 anges villkoren för att behandlingen av personuppgifter ska vara laglig. Led a i den punkten avser närmare bestämt att den registrerade har lämnat sitt samtycke, och led b att behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part.
50. Dessa villkor läggs till de som följer av de allmänna principerna i artikel 5 i dataskyddsförordningen(28) och kompletterar artiklarna 7–11 om samtycke (artikel 7 och, för barns samtycke, artikel 8), om behandling av särskilda kategorier av personuppgifter (artikel 9) eller av personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott (artikel 10) och om behandling som inte kräver identifiering (artikel 11).
51. Till denna samling principer och regler kan läggas de ”mer specifika bestämmelser” som medlemsstaterna inför (eller behåller) för att i enlighet med artikel 6.2 i dataskyddsförordningen ”anpassa tillämpningen av bestämmelserna” i förordningen med hänsyn till behandling i två konkreta fall, när behandlingen är nödvändig för att
– fullgöra en rättslig förpliktelse (artikel 6.1 c), eller
– utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e).(29)
52. Det fastställs i bestämmelsen att denna ”anpassning” består i att ”närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling”, vilket inkluderar ”andra specifika situationer då uppgifter behandlas i enlighet med kapitel IX”.
53. Denna sista del av bestämmelsen är inte tillräckligt tydlig; det framgår inte klart om den medger – återigen, när det gäller sådana behandlingar som avses i artikel 6.1 c och e – reglering av andra specifika situationer än de som redan anges i kapitel IX, eller om de som anges är de enda som är tillåtna enligt dataskyddsförordningen när det gäller de två typerna av behandling.
b) Artikel 88.1 i dataskyddsförordningen
54. Jag erinrar emellertid om att den öppningsklausul som nu är relevant är den i artikel 88.1 i dataskyddsförordningen, på grund av att det är den som den hänskjutande domstolen har riktat in sig på. Enligt dess lydelse får medlemsstaterna alltså fastställa, i lag eller kollektivavtal, ”mer specifika regler för att säkerställa skyddet av rättigheter och friheter vid behandling av anställdas personuppgifter i anställningsförhållanden”.
55. Behandling av sådana personuppgifter kan göras särskilt i samband med
– rekrytering, genomförande av anställningsavtalet,(30) ledning, planering och organisering av arbetet, jämställdhet och mångfald i arbetslivet, hälsa och säkerhet på arbetsplatsen samt skydd av arbetsgivarens eller kundens egendom,
– kollektivt eller individuellt utövande och åtnjutande av rättigheter och förmåner som är knutna till anställningen, samt
– avslutande av anställningsförhållandet.
56. Möjligheten att kunna anta sådana bestämmelser ger en viss ”avharmoniserande” effekt. De nationella bestämmelser som möjliggörs genom artikel 88.1 i dataskyddsförordningen kan – för en eller flera medlemsstater – ge upphov till skillnader i den allmänna ordning som gäller enligt förordningen, som går utöver den rena ”anpassning” som är tillåten enligt dess artikel 6.2:
– Artikel 6.2 i dataskyddsförordningen ger medlemsstaterna rätt att anpassa tillämpningen av vissa bestämmelser i själva förordningen.
– Artikel 88.1 i dataskyddsförordningen medger däremot att medlemsstaterna fastställer mer specifika regler för att säkerställa skyddet av rättigheter och friheter. Det handlar således om ett mer intensivt regelskapande som inte förekommer när det bara rör sig om att anpassa eller justera tillämpningen av bestämmelserna i dataskyddsförordningen, vars innehåll och räckvidd måste hållas för oföränderliga.(31)
4. 23 § HDSIG i förhållande till dataskyddsförordningen
57. I enlighet med vad som föreskrivs i artikel 88.3 i dataskyddsförordningen anmälde Förbundsrepubliken Tyskland 23 § HDSIG till kommissionen bland de bestämmelser som denna medlemsstat hade antagit med stöd av artikel 88.1 i dataskyddsförordningen.
58. Jag anser, liksom den hänskjutande domstolen och kommissionen, att 23 § HDSIG inte uppfyller villkoret att ”fastställa mer specifika regler” för skyddet av rättigheter vid behandling av personuppgifter i anställningsförhållanden, såsom anges i artikel 88.1 i dataskyddsförordningen.
59. Både 23 § punkt 1 första meningen HDSIG och 86 § punkt 4 första meningen HBG inskränker sig till att föreskriva att anställdas och tjänstemäns personuppgifter får behandlas till följd av anställningsförhållandet, om detta är ”nödvändigt” för något av följande syften:
– För beslutet att ingå anställningsförhållandet, och, efter att det har ingåtts, för att genomföra, avsluta eller avveckla detsamma.
– För vidtagande av interna åtgärder avseende planering och organisation, personalfrågor eller sociala frågor.
60. För att uttrycka det klart och tydligt: i båda bestämmelserna villkoras behandlingen av arbetstagarnas personuppgifter av den omständigheten att den måste vara nödvändig för vissa ändamål.
61. Det rör sig således inte om en formulering som kraftigt skiljer sig från den i artikel 6.1 b i dataskyddsförordningen (”[b]ehandling är endast laglig om [den] är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås”).(32)
62. I 23 § HDSIG upprepas därmed ett villkor som redan anges i artikel 6.1 b i dataskyddsförordningen för att behandlingen ska vara laglig. Därmed tillkommer inte någon specifik regel till skydd för rättigheter i samband med behandling av personuppgifter i anställningsförhållanden.(33)
63. Resultatet blir detsamma om den omtvistade undervisningen skulle omfattas av artikel 6.1 e i dataskyddsförordningen (det vill säga om den omtvistade behandlingen hade varit nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning).(34)
64. När det gäller leden c och e medges i artikel 6.2 i dataskyddsförordningen att medlemsstaterna, vilket jag redan har påpekat, behåller eller inför ”mer specifika bestämmelser … genom att närmare fastställa specifika krav för uppgiftsbehandlingen”.
65. Jag erinrar om att 23 § HDSIG inte utgör en ”mer specifik regel”, utan att den inskränker sig till att tillåta behandling av arbetstagares personuppgifter när detta är nödvändigt; villkoren för en sådan behandling anges inte närmare i bestämmelsen.
66. Den tyska regeringen menar, tvärtemot denna ståndpunkt, att det skulle vara ”omöjligt och ogenomförbart” att på ett detaljerat sätt beskriva de många olika behandlingarna av personuppgifter inom ramen för ett anställningsförhållande. Den tyska regeringen anser att det borde vara tillräckligt med en bestämmelse som i förekommande fall kan utgöra stöd för de behandlingar som inte kräver en mer specifik rättslig grund.(35)
67. När det gäller ovanstående räcker det att konstatera att hur svårt genomförandet än är, är artikel 88.3 i dataskyddsförordningen uttömmande när den föreskriver att varje medlemsstat ska anmäla ”de bestämmelser i sin lagstiftning som den antar i enlighet med punkt 1” till kommissionen. Det vill säga, inte de (grundläggande) bestämmelser som ligger till grund för bestämmelserna med mer specifika regler, utan dessa sistnämnda. Anmälan ska göras på ett individualiserat och uttryckligt sätt.(36)
68. Sammanfattningsvis, vad 23 § HDSIG gör är att upprepa det bemyndigande som redan anges i artikel 88.1 i dataskyddsförordningen; med andra ord: den öppnar dörren som möjliggör ett senare införande (eller behållande) av mer specifika regler.
69. Förutom att 23 § HDSIG inte i sig fastställer ”mer specifika regler”, i den mening som avses i artikel 88.1 i dataskyddsförordningen, innehåller den inte heller ”lämpliga och specifika åtgärder för att skydda den registrerades mänskliga värdighet, berättigade intressen och grundläggande rättigheter”.
70. I och med att sådana åtgärder utelämnas, åsidosätter 23 § HDSIG det villkor som föreskrivs i artikel 88.2 i dataskyddsförordningen för att medlemsstaternas särskiljande lagstiftning om anställningsförhållanden ska kunna godtas.
71. Jag begränsar min granskning i samband med begäran om förhandsavgörande till att avse lagbestämmelser och inte kollektivavtal; jag kommer inte att ägna uppmärksamhet åt dessa sistnämnda.(37)
72. När det gäller dessa bestämmelser kan den nationella lagstiftaren inte, såsom i 23 § punkt 5 HDSIG, begränsa sig till att föreskriva att den personuppgiftsansvarige ska vidta lämpliga åtgärder för att säkerställa att ”principerna i artikel 5 [i dataskyddsförordningen] för behandling av personuppgifter uppfylls”. Denna formulering är överflödig, eftersom varje behandling av personuppgifter, av princip och som minimum, måste uppfylla villkoren i artikel 5 i dataskyddsförordningen.
73. Syftet med artikel 88.2 i dataskyddsförordningen är att införa skyddsåtgärder som säkerställer att den specifika karaktären av de regler som fastställs i enlighet med artikel 88.1 i dataskyddsförordningen återspeglas på vederbörligt sätt. Avsikten är, utan tvekan, att den specifika karaktär som medges genom denna sistnämnda bestämmelse i förekommande fall motsvaras av lämplig specificitet hos skyddsåtgärderna.
74. Ett erkännande av att 23 § HDSIG innehåller specifika regler i enlighet med artikel 88.1 i dataskyddsförordningen skulle innebära en upprepning – vad gäller de skyddsåtgärder som krävs enligt punkt 2 i samma artikel – av de principer som beskrivs i allmänna ordalag i artikel 5 i förordningen. Detta skulle tveklöst bryta den nödvändiga balansen mellan den specifika karaktären av de regler som medges enligt artikel 88.1 i dataskyddsförordningen och den specifika karaktären av de skyddsåtgärder som erfordras enligt artikel 88.2 i samma förordning.
75. Sammanfattningsvis kan 23 § HDSIG inte stödja sig på artikel 88 i dataskyddsförordningen, dels för att den inte fastställer mer specifika regler, dels för att den inskränker sig till att upprepa de allmänna principerna i artikel 5 i dataskyddsförordningen.
5. Kan 23 § HDSIG – trots allt – vara tillämplig?
76. Nu återstår att ta ställning till om 23 § HDSIG – trots vad som anges ovan – skulle kunna vara tillämplig i den nationella rättsordningen. Såsom jag har påpekat tidigare förefaller detta vara vad som i sista hand intresserar den hänskjutande domstolen.
77. Frågeställningen begränsas till att klargöra huruvida de regler som medlemsstaterna antar med stöd av öppningsklausulen i artikel 88.1 i dataskyddsförordningen, men som inte uppfyller kraven i dess artikel 88.2, ändå kan tillämpas i enlighet med andra bestämmelser i samma förordning.
78. Svaret, vars utgångspunkt är att 23 § HDSIG inte innehåller någon ”mer specifik regel” i den mening som avses i artikel 88 i dataskyddsförordningen,(38) kan utvecklas i två riktningar:
– 23 § HDSIG är irrelevant, eller överflödig, i den mån den, i egentlig mening, inte innehåller specifika bestämmelser som säkerställer arbetstagares rätt till skydd av sina personuppgifter i anställningsförhållanden.
– På detta område (anställningsförhållanden) måste de allmänna bestämmelserna i dataskyddsförordningen tillämpas direkt och företrädesvis.
79. Det är en annan fråga – vilket har påpekats av den österrikiska och den rumänska regeringen, liksom av kommissionen, och vilket samtliga tillstod under förhandlingen – att det inte finns något som hindrar att en medlemsstat tillämpar antingen andra bestämmelser i dataskyddsförordningen, eller nationella regler enligt artikel 6.2 i samma förordning, som reglerar behandling av arbetstagares personuppgifter på ett sätt som bidrar till att ”anpassa tillämpningen” av dataskyddsförordningen.
V. Förslag till avgörande
80. Mot bakgrund av vad som ovan anförts föreslår jag att domstolen besvarar Verwaltungsgericht Frankfurt am Main (Förvaltningsdomstolen i Frankfurt am Main, Tyskland) på följande sätt:
Artikel 88.1 och 88.2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) ska tolkas enligt följande:
En lagbestämmelse som antas av en medlemsstat utgör en mer specifik regel för att säkerställa skyddet av rättigheter och friheter vid behandling av anställdas personuppgifter i anställningsförhållanden endast om den uppfyller de krav som ställs på sådana lagbestämmelser enligt artikel 88.2 i förordning 2016/679.
Om lagbestämmelsen inte uppfyller de krav som ställs på sådana lagbestämmelser enligt artikel 88.2 i förordning 2016/679 är den, i förekommande fall, bara tillämplig i den mån den kan omfattas av andra bestämmelser i den förordningen eller av sådana nationella anpassningsbestämmelser som avses i dess artikel 6.2.