CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:270

DOMSTOLENS DOM (Første Afdeling)

30. marts 2023 (*)

»Præjudiciel forelæggelse – beskyttelse af personoplysninger – forordning (EU) 2016/679 – artikel 88, stk. 1 og 2 – behandling i forbindelse med ansættelsesforhold – regionalt skolesystem – undervisning via videokonference på grund af covid-19-pandemien – gennemførelse uden lærernes udtrykkelige samtykke«

I sag C-34/21,

angående en anmodning om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af Verwaltungsgericht Wiesbaden (forvaltningsdomstolen i Wiesbaden, Tyskland) ved afgørelse af 20. december 2020, indgået til Domstolen den 20. januar 2021, i sagen

Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium

mod

Minister des Hessischen Kultusministeriums,

har

DOMSTOLEN (Første Afdeling),

sammensat af afdelingsformanden, A. Arabadjiev, Domstolens præsident, K. Lenaerts, og Domstolens vicepræsident, L. Bay Larsen, som fungerende dommere i Første Afdeling, samt dommerne A. Kumin og I. Ziemele (refererende dommer),

generaladvokat: M. Campos Sánchez-Bordona,

justitssekretær: fuldmægtig S. Beer,

på grundlag af den skriftlige forhandling og efter retsmødet den 30. juni 2022,

efter at der er afgivet indlæg af:

– Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium ved Rechtsanwalt J. Kolter,

– Minister des Hessischen Kultusministeriums ved C. Meinert,

– den tyske regering ved J. Möller og D. Klebs, som befuldmægtigede,

– den østrigske regering ved G. Kunnert og J. Schmoll, som befuldmægtigede,

– den rumænske regering ved E. Gane og A. Wellman, som befuldmægtigede,

– Europa-Kommissionen ved F. Erlbacher, H. Kranenborg og D. Nardi, som befuldmægtigede,

og efter at generaladvokaten har fremsat forslag til afgørelse i retsmødet den 22. september 2022,

afsagt følgende

Dom

1 Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 88, stk. 1 og 2, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, herefter »databeskyttelsesforordningen«).

2 Denne anmodning er blevet indgivet i forbindelse med en tvist mellem Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium (det centrale personaleudvalg for lærere i delstaten Hessens undervisnings- og kulturministerium, Tyskland) og Minister des Hessischen Kultusministeriums (minister for undervisning og kultur i delstaten Hessen, Tyskland) vedrørende lovligheden af en ordning med direkte transmission af undervisning via videokonference, der blev indført i skolerne i delstaten Hessen (Tyskland) uden forudgående samtykke fra de berørte lærere.

Retsforskrifter

EU-retten

Direktiv 95/46/EF

3 Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31) blev ophævet ved databeskyttelsesforordningen med virkning fra den 25. maj 2018. Direktivets artikel 3 med overskriften »Anvendelsesområde« havde følgende ordlyd:

»1. Dette direktivs bestemmelser anvendes på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af edb, samt på ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

2. Dette direktiv gælder ikke for sådan behandling af personoplysninger,

– som iværksættes med henblik på udøvelse af aktiviteter, der ikke er omfattet af fællesskabsretten, som f. eks. de aktiviteter, der er fastsat i afsnit V og VI i [EU-traktaten som affattet før Lissabontraktaten], og under ingen omstændigheder for behandling, der vedrører den offentlige sikkerhed, forsvar, statens sikkerhed (herunder statens økonomiske interesser, når behandlingen er forbundet med spørgsmål vedrørende statens sikkerhed) og statens aktiviteter på det strafferetlige område

[…]«

Databeskyttelsesforordningen

4 Følgende fremgår af 8.-10., 13., 16., 45. og 155. betragtning til databeskyttelsesforordningen:

»(8) Når denne forordning fastsætter, at der kan indføres specifikationer eller begrænsninger af dens regler ved medlemsstaternes nationale ret, kan medlemsstaterne, i det omfang det er nødvendigt af hensyn til sammenhængen og for at gøre de nationale bestemmelser forståelige for de personer, som de finder anvendelse på, indarbejde elementer af denne forordning i deres nationale ret.

(9) Målsætningerne og principperne i direktiv [95/46] er stadig gyldige, men direktivet har ikke forhindret en fragmentering af gennemførelsen af databeskyttelse i [Den Europæiske Union], manglende retssikkerhed eller en udbredt offentlig opfattelse af, at der er betydelige risici for beskyttelsen af fysiske personer, navnlig i forbindelse med onlineaktivitet. Forskelle i niveauet for beskyttelsen af fysiske personers rettigheder og frihedsrettigheder, navnlig retten til beskyttelse af personoplysninger, i forbindelse med behandling af personoplysninger i medlemsstaterne, kan forhindre fri udveksling af personoplysninger i Unionen. Disse forskelle kan derfor udgøre en hindring for udøvelsen af en række økonomiske aktiviteter på EU-plan, virke konkurrenceforvridende og hindre myndighederne i at varetage de opgaver, de er pålagt i medfør af EU-retten. En sådan forskel i beskyttelsesniveauet skyldes forskelle i gennemførelsen og anvendelsen af direktiv [95/46].

(10) For at sikre et ensartet og højt niveau for beskyttelse af fysiske personer og for at fjerne hindringerne for udveksling af personoplysninger inden for Unionen bør beskyttelsesniveauet for fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af sådanne oplysninger være ensartet i alle medlemsstater. Det bør sikres, at reglerne for beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger anvendes konsekvent og ensartet overalt i Unionen. I forbindelse med behandling af personoplysninger for at overholde en retlig forpligtelse eller for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, bør medlemsstaterne kunne opretholde eller indføre nationale bestemmelser for yderligere at præcisere anvendelsen af denne forordnings bestemmelser. Sammen med generel og horisontal lovgivning om databeskyttelse til gennemførelse af direktiv [95/46] har medlemsstaterne flere sektorspecifikke love på områder, hvor der er behov for mere specifikke bestemmelser. Denne forordning indeholder også en manøvremargen, så medlemsstaterne kan præcisere reglerne heri, herunder for behandling af særlige kategorier af personoplysninger (»følsomme oplysninger«). Denne forordning udelukker således ikke, at medlemsstaternes nationale ret fastlægger omstændighederne i forbindelse med specifikke databehandlingssituationer, herunder mere præcis fastlæggelse af de forhold, hvorunder behandling af personoplysninger er lovlig.

[…]

(13) For at sikre et ensartet beskyttelsesniveau for fysiske personer i hele Unionen og for at hindre, at forskelle hæmmer den frie udveksling af personoplysninger på det indre marked, er der behov for en forordning for at skabe retssikkerhed og gennemsigtighed for erhvervsdrivende, […], at give fysiske personer i alle medlemsstaterne det samme niveau af rettigheder, som kan håndhæves, og forpligtelser og ansvar for dataansvarlige og databehandlere og at sikre konsekvent tilsyn med behandling af personoplysninger og tilsvarende sanktioner i alle medlemsstaterne samt effektivt samarbejde mellem tilsynsmyndighederne i de forskellige medlemsstater. Et velfungerende indre marked kræver, at den frie udveksling af personoplysninger i Unionen hverken indskrænkes eller forbydes af grunde, der vedrører beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger. […]

[…]

(16) Denne forordning finder ikke anvendelse på spørgsmål vedrørende beskyttelse af grundlæggende rettigheder og frihedsrettigheder eller fri udveksling af personoplysninger, der vedrører aktiviteter, som falder uden for EU-retten, såsom aktiviteter vedrørende statens sikkerhed. Denne forordning finder ikke anvendelse på behandling af personoplysninger, der foretages af medlemsstaterne, når de udfører aktiviteter i forbindelse med Unionens fælles udenrigs- og sikkerhedspolitik.

[…]

(45) Hvis behandling foretages i overensstemmelse med en retlig forpligtelse, som påhviler den dataansvarlige, eller hvis behandling er nødvendig for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, bør behandlingen have retsgrundlag i EU-retten eller medlemsstaternes nationale ret. Denne forordning indebærer ikke, at der kræves en specifik lov til hver enkelt behandling. Det kan være tilstrækkeligt med en lov som grundlag for adskillige databehandlingsaktiviteter, som baseres på en retlig forpligtelse, som påhviler den dataansvarlige, eller hvis behandling er nødvendig for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse. Det bør også henhøre under EU-retten eller medlemsstaternes nationale ret at fastlægge formålet med behandlingen. Endvidere kan dette retsgrundlag præcisere denne forordnings generelle betingelser for lovlig behandling af personoplysninger og nærmere præcisere, hvem den dataansvarlige er, hvilken type personoplysninger der skal behandles, de berørte registrerede, hvilke enheder personoplysningerne kan videregives til, formålsbegrænsninger, opbevaringsperiode og andre foranstaltninger til at sikre lovlig og rimelig behandling. […]

[…]

(155) Medlemsstaternes nationale ret eller kollektive overenskomster, herunder »lokalaftaler«, kan fastsætte specifikke bestemmelser om behandling af arbejdstageres personoplysninger i ansættelsesforhold, navnlig betingelserne for, hvorledes personoplysninger i ansættelsesforhold kan behandles på grundlag af arbejdstagerens samtykke, og i forbindelse med ansættelse, ansættelseskontrakter, herunder godtgørelse for forpligtelser fastlagt ved lov eller kollektive overenskomster, ledelse, planlægning og tilrettelæggelse af arbejdet, ligestilling og mangfoldighed på arbejdspladsen, sikkerhed og sundhed på arbejdspladsen, individuel eller kollektiv udøvelse og nydelse af rettigheder og fordele i forbindelse med ansættelse samt ophør af ansættelsesforhold.«

5 Databeskyttelsesforordningens artikel 1 med overskriften »Genstand og formål« bestemmer:

»1. I denne forordning fastsættes regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og regler om fri udveksling af personoplysninger.

2. Denne forordning beskytter fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger.

3. Den frie udveksling af personoplysninger i Unionen må hverken indskrænkes eller forbydes af grunde, der vedrører beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger.«

6 Denne forordnings artikel 2 med overskriften »Materielt anvendelsesområde« fastsætter i stk. 1 og 2:

»1. Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

2. Denne forordning gælder ikke for behandling af personoplysninger:

a) under udøvelse af aktiviteter, der falder uden for EU-retten

b) som foretages af medlemsstaterne, når de udfører aktiviteter, der falder inden for rammerne af afsnit V, kapitel 2, […] TEU

c) som foretages af en fysisk person som led i rent personlige eller familiemæssige aktiviteter

d) som foretages af kompetente myndigheder med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed.«

7 Forordningens artikel 4 med overskriften »Definitioner« bestemmer:

»I denne forordning forstås ved:

1) »personoplysninger« enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet

2) »behandling« enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse

[…]«

8 Databeskyttelsesforordningens artikel 5 med overskriften »Principper for behandling af personoplysninger« fastsætter:

»1. Personoplysninger skal:

a) behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«)

b) indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål; viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, skal ikke anses for at være uforenelig med de oprindelige formål (»formålsbegrænsning«)

c) være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«)

d) være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges (»rigtighed«)

e) opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles; personoplysninger kan opbevares i længere tidsrum, hvis personoplysningerne alene behandles til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, under forudsætning af, at der implementeres passende tekniske og organisatoriske foranstaltninger, som denne forordning kræver for at sikre den registreredes rettigheder og frihedsrettigheder (»opbevaringsbegrænsning«)

f) behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).

2. Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«).«

9 Forordningens artikel 6 med overskriften »Lovlig behandling« fastsætter i stk. 1-3:

»1. Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:

a) Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.

b) Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt.

c) Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.

[…]

e) Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.

f) Behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.

Første afsnit, litra f), gælder ikke for behandling, som offentlige myndigheder foretager som led i udførelsen af deres opgaver.

2. Medlemsstaterne kan opretholde eller indføre mere specifikke bestemmelser for at tilpasse anvendelsen af denne forordnings bestemmelser om behandling med henblik på overholdelse af stk. 1, litra c) og e), ved at fastsætte mere præcist specifikke krav til behandling og andre foranstaltninger for at sikre lovlig og rimelig behandling, herunder for andre specifikke databehandlingssituationer som omhandlet i kapitel IX.

3. Grundlaget for behandling i henhold til stk. 1, litra c) og e), skal fremgå af:

a) EU-retten, eller

b) medlemsstaternes nationale ret, som den dataansvarlige er underlagt.

Formålet med behandlingen skal være fastlagt i dette retsgrundlag eller for så vidt angår den behandling, der er omhandlet i stk. 1, litra e), være nødvendig for udførelsen af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. Dette retsgrundlag kan indeholde specifikke bestemmelser med henblik på at tilpasse anvendelsen af bestemmelserne i denne forordning, bl.a. de generelle betingelser for lovlighed af den dataansvarliges behandling, hvilke typer oplysninger der skal behandles, berørte registrerede, hvilke enheder personoplysninger må videregives til, og formålet hermed, formålsbegrænsninger, opbevaringsperioder og behandlingsaktiviteter samt behandlingsprocedurer, herunder foranstaltninger til sikring af lovlig og rimelig behandling såsom i andre specifikke databehandlingssituationer som omhandlet i kapitel IX. EU-retten eller medlemsstaternes nationale ret skal opfylde et formål i samfundets interesse og stå i rimeligt forhold til det legitime mål, der forfølges.«

10 Databeskyttelsesforordningens artikel 88, der er indeholdt i forordningens kapitel IX, med overskriften »[b]ehandling i forbindelse med ansættelsesforhold«, fastsætter:

»1. Medlemsstaterne kan ved lov eller i medfør af kollektive overenskomster fastsætte mere specifikke bestemmelser for at sikre beskyttelse af rettighederne og frihedsrettighederne i forbindelse med behandling af arbejdstageres personoplysninger i ansættelsesforhold, navnlig med henblik på ansættelse, ansættelseskontrakter, herunder opfyldelse af forpligtelser fastsat ved lov eller i kollektive overenskomster, ledelse, planlægning og tilrettelæggelse af arbejdet, ligestilling og mangfoldighed på arbejdspladsen, arbejdsmiljø samt beskyttelse af arbejdsgiveres eller kunders ejendom og med henblik på individuel eller kollektiv udøvelse og nydelse af rettigheder og fordele i forbindelse med ansættelse samt med henblik på ophør af ansættelsesforhold.

2. Disse bestemmelser skal omfatte passende og specifikke foranstaltninger til beskyttelse af den registreredes menneskelige værdighed, legitime interesser og grundlæggende rettigheder, særlig med hensyn til gennemsigtighed i behandlingen, overførsel af personoplysninger inden for en koncern eller gruppe af foretagender, der udøver en fælles økonomisk aktivitet, og overvågningssystemer på arbejdspladsen.

3. Hver medlemsstat giver senest den 25. maj 2018 [Europa-]Kommissionen meddelelse om de bestemmelser, som den vedtager i henhold til stk. 1, og underretter den straks om alle senere ændringer, der berører dem.«

National ret

11 § 26, stk. 1, i Bundesdatenschutzgesetz (forbundslov om databeskyttelse) af 30. juni 2017 (BGBl. 2017 I, s. 2097), bestemmer:

»Ansattes personoplysninger kan behandles til brug for ansættelsesforholdet, hvis dette er nødvendigt for afgørelsen om indgåelse af et ansættelsesforhold eller, efter indgåelsen af ansættelsesforholdet, for dettes gennemførelse, ophør eller afvikling eller med henblik på udøvelse eller opfyldelse af rettigheder og pligter i forbindelse med repræsentation af medarbejdernes interesser, som følger af en lov eller en overenskomst, en virksomheds- eller tjenesteaftale (kollektiv aftale). […]«

12 § 23 i Hessisches Datenschutz- und Informationsfreiheitsgesetz (lov om databeskyttelse og informationsfrihed i delstaten Hessen) af 3. maj 2018 (herefter »HDSIG«) har følgende ordlyd:

»1. Ansattes personoplysninger kan behandles til brug for ansættelsesforholdet, hvis dette er nødvendigt for afgørelsen om indgåelse af et ansættelsesforhold eller, efter indgåelsen af ansættelsesforholdet, for dettes gennemførelse, ophør eller afvikling samt til gennemførelse af interne planlægningsmæssige, organisatoriske, sociale og personalemæssige foranstaltninger. […]

2. Når behandlingen af ansattes personoplysninger foretages på grundlag af et samtykke, skal der ved vurderingen af, om samtykket er afgivet frit, bl.a. tages hensyn til den ansattes afhængighed af arbejdsforholdet og til de omstændigheder, hvorunder samtykket blev givet. Det frie samtykke kan navnlig påvises, hvis der er tale om en retlig eller økonomisk fordel for den ansatte, eller hvis arbejdsgiveren og den ansatte har sammenfaldende interesser. Samtykket skal udfærdiges skriftligt, medmindre en anden form er påkrævet på grund af særlige omstændigheder. Arbejdsgiveren er forpligtet til skriftligt at underrette den ansatte om formålet med databehandlingen og om dennes ret til at trække sit samtykke tilbage, jf. [databeskyttelsesforordningens] artikel 7, stk. 3.

3. Uanset [databeskyttelsesforordningens] artikel 9, stk. 1, er behandlingen af særlige kategorier af personoplysninger som defineret i [databeskyttelsesforordningens] artikel 9, stk. 1, tilladt med henblik på ansættelsesforholdet, når det er nødvendigt for at udøve rettigheder eller overholde retlige forpligtelser, der følger af arbejdsretten, retten til social sikring og social beskyttelse, og der ikke er grund til at antage, at den registreredes legitime interesse i at udelukke behandlingen vejer tungere. Stk. 2 gælder ligeledes for samtykke til behandling af særlige kategorier af personoplysninger. I denne forbindelse skal samtykket udtrykkeligt henvise til disse oplysninger. […]

4. Behandling af personoplysninger, herunder særlige kategorier af ansattes personoplysninger til brug for ansættelsesforholdet, er tilladt på grundlag af kollektive aftaler. I denne forbindelse skal parterne overholde artikel 88, stk. 2, [i databeskyttelsesforordningen].

5. Den dataansvarlige skal træffe egnede foranstaltninger til at sikre, at navnlig principperne for behandling af personoplysninger i artikel 5 [i databeskyttelsesforordningen] bliver overholdt.

[…]

7. Stk. 1-6 finder ligeledes anvendelse, når personoplysninger, herunder særlige kategorier af ansattes personoplysninger, behandles, uden at de er indeholdt eller bestemt til at blive indeholdt i et register. De bestemmelser i Hessisches Beamtengesetz [(HBG) (lov om offentligt ansatte i delstaten Hessen), af 21. juni 2018 (herefter »HBG«)], der finder anvendelse på personalesager, finder tilsvarende anvendelse på arbejdstagere i den offentlige sektor, medmindre andet er fastsat i en overenskomst.

8. Ved ansatte forstås i denne lov:

1. arbejdstagere, herunder vikaransatte i forholdet til brugeren

[…]

7. tjenestemænd, der er omfattet af [HBG], delstatens dommere samt personer i den civile tjeneste.

[…]«

13 HBG’s § 86, stk. 4, bestemmer:

»Arbejdsgiveren må kun indsamle personoplysninger om ansøgere, tjenestemænd samt tidligere tjenestemænd, hvis dette er nødvendigt for at indgå, gennemføre, afslutte eller afvikle ansættelsesforholdet eller for at gennemføre organisatoriske, personalemæssige og sociale foranstaltninger, navnlig også med henblik på planlægning og indsættelse af personale, eller hvis en retsforskrift eller en tjenesteaftale tillader det. […]«

Tvisten i hovedsagen og de præjudicielle spørgsmål

14 Som det fremgår af de sagsakter, der er fremlagt for Domstolen, fastsatte undervisnings- og kulturministeren i delstaten Hessen ved to retsakter, der blev vedtaget i 2020, den retlige og organisatoriske ramme for skoleundervisningen under covid-19-pandemien. Denne ramme gav bl.a. mulighed for, at elever, som ikke kunne være til stede i klassen, kunne deltage i direkte undervisning via videokonference. For at sikre elevernes rettigheder med hensyn til beskyttelsen af personoplysninger blev det fastsat, at tilslutning til videokonferencetjenesten kun kunne tillades med elevernes eget samtykke eller, hvis de var mindreårige, med samtykke fra deres forældre. Der blev imidlertid ikke fastsat bestemmelser om de berørte læreres samtykke til deres deltagelse i denne tjeneste.

15 Det centrale personaleudvalg for lærere i delstaten Hessens undervisnings- og kulturministerium anlagde sag ved Verwaltungsgericht Wiesbaden (forvaltningsdomstolen i Wiesbaden, Tyskland), hvorved udvalget påklagede den omstændighed, at den direkte transmission af undervisningen via videokonference ikke var underlagt en betingelse om de berørte læreres samtykke.

16 Undervisnings- og kulturministeren i delstaten Hessen gjorde for sit vedkommende gældende, at den behandling af personoplysninger, som direkte transmission via videokonferencer udgør, var omfattet af § 23, stk. 1, første punktum, i HDSIG, således at den kunne foretages, uden at der blev anmodet om samtykke fra den pågældende lærer.

17 Verwaltungsgericht Wiesbaden (forvaltningsdomstolen i Wiesbaden) har i denne forbindelse fastslået, at § 23 i HDSIG og § 86 i HBG i overensstemmelse med hensigten hos den hessiske lovgiver hører til kategorien af »mere specifikke bestemmelser«, som medlemsstaterne kan fastsætte i henhold til databeskyttelsesforordningens artikel 88, stk. 1, for at sikre beskyttelsen af rettigheder og frihedsrettigheder i forbindelse med behandling af arbejdstageres personoplysninger i ansættelsesforhold. Den forelæggende ret er imidlertid i tvivl om, hvorvidt § 23, stk. 1, første punktum, i HDSIG og § 86, stk. 4, i HBG er forenelig med kravene i databeskyttelsesforordningens artikel 88, stk. 2.

18 For det første er § 23, stk. 1, første punktum, i HDSIG og § 86, stk. 4, i HBG nemlig baseret på »nødvendigheden« som retsgrundlag for behandlingen af de ansattes oplysninger. Dels udgør indførelsen i loven af princippet om »nødvendighed« ikke en bestemmelse, der præciserer kravene i databeskyttelsesforordningens artikel 88, stk. 2, da den behandling af oplysninger, der er nødvendig i forbindelse med et ansættelsesforhold, allerede er reguleret af databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra b).

19 Dels finder § 23, stk. 1, første punktum, i HDSIG anvendelse, ud over det egentlige kontraktforhold, på enhver behandling af ansattes oplysninger. Det følger imidlertid af databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f), at der i tilfælde af behandling af personoplysninger, der går ud over den behandling, der er strengt nødvendig inden for rammerne af ansættelseskontrakten, skal foretages en afvejning af den registreredes frihed og grundlæggende rettigheder, i det foreliggende tilfælde de ansatte og tjenestemændene, med den legitime interesse, som den registeransvarlige, i det foreliggende tilfælde arbejdsgiveren, forfølger. For så vidt som § 23, stk. 1, første punktum, i HDSIG ikke foreskriver en sådan afvejning, kan denne bestemmelse ikke anses for at være en sektorspecifik standard efter databeskyttelsesforordningens ikrafttræden.

20 For det andet er Verwaltungsgericht Wiesbaden (forvaltningsdomstolen i Wiesbaden) af den opfattelse, at den blotte henvisning i § 23, stk. 5, i HDSIG, hvorefter den registeransvarlige bl.a. skal overholde principperne i databeskyttelsesforordningens artikel 5, ikke opfylder kravene i samme forordnings artikel 88, stk. 2. Sidstnævnte bestemmelse kræver nemlig, at de passende og specifikke bestemmelser, som den omhandler, skal vedtages til beskyttelse af den registreredes menneskelige værdighed, legitime interesser og grundlæggende rettigheder, særligt med hensyn til gennemsigtighed i behandlingen, overførsel af personoplysninger inden for en koncern eller gruppe af foretagender, der udøver en fælles økonomisk aktivitet, og overvågningssystemer på arbejdspladsen, og den er ikke blot endnu en bestemmelse, som brugeren af en national standard også skal overholde. Brugeren af standarden er ikke modtageren for databeskyttelsesforordningens artikel 88, stk. 2.

21 Under disse omstændigheder har Verwaltungsgericht Wiesbaden (forvaltningsdomstolen i Wiesbaden) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»1) Skal [databeskyttelsesforordningens] artikel 88, stk. 1, […] fortolkes således, at en bestemmelse for at være en mere specifik bestemmelse for at sikre beskyttelse af rettighederne og frihedsrettighederne i forbindelse med behandling af arbejdstageres personoplysninger i ansættelsesforhold som omhandlet i [databeskyttelsesforordningens] artikel 88, stk. 1, i førnævnte forordning skal opfylde de krav, der stilles til sådanne bestemmelser i henhold til [databeskyttelsesforordningens] artikel 88, stk. 2, i denne forordning?

2) Kan en national bestemmelse, som åbenbart ikke opfylder kravene i henhold til [databeskyttelsesforordningens] artikel 88, stk. 2, […] alligevel fortsat finde anvendelse?«

22 Ved en meddelelse indgået til Domstolens Justitskontor den 30. november 2021 oplyste Verwaltungsgericht Wiesbaden (forvaltningsdomstolen i Wiesbaden) Domstolen om, at tvisten i hovedsagen som følge af ændringer af den nationale lovgivning, der regulerer den stedlige kompetence for forvaltningsdomstolene i delstaten Hessen, som skulle træde i kraft den 1. december 2021, var blevet overført til Verwaltungsgericht Frankfurt am Main (forvaltningsdomstolen i Frankfurt am Main, Tyskland). Ved en meddelelse indgået til Domstolens Justitskontor den 21. februar 2022 bekræftede sidstnævnte ret denne overførsel og oplyste Domstolen om det nye nummer, der er tildelt tvisten i hovedsagen.

Formaliteten vedrørende anmodningen om præjudiciel afgørelse

23 Den tyske regering har i sit skriftlige indlæg gjort gældende, at anmodningen om præjudiciel afgørelse ikke kan antages til realitetsbehandling, for så vidt som de præjudicielle spørgsmål ikke er relevante for afgørelsen af tvisten i hovedsagen. Domstolens svar vil nemlig ikke være nyttigt for den forelæggende ret, såfremt behandlingen af oplysningerne er tilladt som følge af lærerens samtykke. Den forelæggende ret har imidlertid ikke redegjort for grundene til, at den ikke tager hensyn til en sådan mulighed.

24 Adspurgt herom i retsmødet for Domstolen anerkendte den tyske regering imidlertid, at de præjudicielle spørgsmål var relevante, når lærerens samtykke ikke kunne indhentes.

25 I denne henseende bemærkes, at der ifølge fast retspraksis foreligger en formodning for, at de spørgsmål om en fortolkning af EU-retten, som den nationale ret har stillet på det retlige og faktiske grundlag, som den har fastlagt inden for sit ansvarsområde, og hvis rigtighed det ikke tilkommer Domstolen at efterprøve, er relevante. Domstolen kan kun afvise en anmodning om præjudiciel afgørelse fra en national ret, såfremt det klart fremgår, at den ønskede fortolkning af EU-retten savner enhver forbindelse med realiteten i hovedsagen eller dennes genstand, når problemet er af hypotetisk karakter, eller når Domstolen ikke råder over de faktiske og retlige oplysninger, som er nødvendige for, at den kan foretage en saglig korrekt besvarelse af de forelagte spørgsmål (dom af 1.8.2022, Vyriausioji tarnybinės etikos komisija, C-184/20, EU:C:2022:601, præmis 48 og den deri nævnte retspraksis).

26 I den foreliggende sag fremgår det af forelæggelsesafgørelsen, at parterne i hovedsagen er uenige om, hvorvidt det for at kunne tilbyde direkte transmission af undervisning ved hjælp af videokonferencesystemer ud over forældrenes samtykke på vegne af deres børn eller samtykket fra myndige elever også er nødvendigt at indhente samtykke fra de pågældende lærere, eller om behandlingen af deres personoplysninger derimod er omfattet af § 23, stk. 1, første punktum, i HDSIG og § 86, stk. 4, i HBG.

27 Det er også vigtigt at bemærke, at Verwaltungsgericht Wiesbaden (forvaltningsdomstolen i Wiesbaden) i sin anmodning om præjudiciel afgørelse har anført dels, at den nationale lovgiver har anset § 23 i HDSIG og § 86 i HBG for at være mere specifikke bestemmelser i den forstand, hvori udtrykket er anvendt i databeskyttelsesforordningens artikel 88, dels, at udfaldet af tvisten i hovedsagen afhænger af, om § 23, stk. 1, første punktum, i HDSIG og § 86, stk. 4, i HBG opfylder kravene i databeskyttelsesforordningens artikel 88, således at disse bestemmelser kan udgøre mere specifikke bestemmelser, der finder anvendelse på behandlingen af lærernes personoplysninger i forbindelse med den i hovedsagen omhandlede direkte transmission af undervisning via videokonferencesystemet.

28 I betragtning af de oplysninger, der således er fremlagt i anmodningen om præjudiciel afgørelse, er de af den tyske regering fremførte argumenter ikke af en sådan art, at de kan afkræfte den formodning om relevans, som de forelagte spørgsmål er omfattet af.

29 Under disse omstændigheder kan det hverken lægges til grund, at den ønskede fortolkning af de EU-retlige bestemmelser åbenbart ikke har nogen forbindelse med realiteten eller genstanden for tvisten i hovedsagen, eller at problemet er af hypotetisk karakter, da den forelæggende ret må antages at tage hensyn til denne fortolkning med henblik på at løse tvisten i hovedsagen. Endelig råder Domstolen over de faktiske og retlige oplysninger, som er nødvendige for, at den kan foretage en sagligt korrekt besvarelse af de forelagte spørgsmål.

30 Anmodningen om præjudiciel afgørelse kan derfor antages til realitetsbehandling.

Om de præjudicielle spørgsmål

Indledende bemærkninger

31 De præjudicielle spørgsmål vedrører fortolkningen af databeskyttelsesforordningens artikel 88, stk. 1 og 2, i forbindelse med en tvist vedrørende behandlingen af læreres personoplysninger i forbindelse med den direkte transmission via videokonference af den offentlige undervisning, som de har til opgave at udbyde.

32 Det skal for det første afgøres, om en sådan behandling er omfattet af databeskyttelsesforordningens materielle anvendelsesområde, henset til den omstændighed, at denne forordning i henhold til forordningens artikel 2, stk. 2, litra a), ikke gælder for behandling af personoplysninger »under udøvelse af aktiviteter, der falder uden for EU-retten«, og at medlemsstaterne i henhold til artikel 165, stk. 1, TEUF er ansvarlige for undervisningsindholdet og opbygningen af uddannelsessystemerne.

33 Det følger i denne henseende af Domstolens praksis, at definitionen af databeskyttelsesforordningens materielle anvendelsesområde som fastsat i forordningens artikel 2, stk. 1, er meget vid, og at undtagelserne til dette anvendelsesområde, der er fastsat i denne forordnings artikel 2, stk. 2, skal fortolkes indskrænkende (jf. i denne retning dom af 9.7.2020, Land Hessen, C-272/19, EU:C:2020:535, præmis 68, og af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 61 og 62).

34 I øvrigt skal databeskyttelsesforordningens artikel 2, stk. 2, litra a), sammenholdes med forordningens artikel 2, stk. 2, litra b), og med 16. betragtning hertil, som præciserer, at nævnte forordning ikke gælder for behandling af personoplysninger, der vedrører »aktiviteter, som falder uden for EU-retten, såsom aktiviteter vedrørende statens sikkerhed«, samt »aktiviteter i forbindelse med Unionens fælles udenrigs- og sikkerhedspolitik« (dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 63).

35 Heraf følger, at databeskyttelsesforordningens artikel 2, stk. 2, litra a) og b), som delvist indgår i forlængelse af artikel 3, stk. 2, første led, i direktiv 95/46, følgelig ikke kan fortolkes således, at denne bestemmelse har en videre rækkevidde end den undtagelse, der fulgte af artikel 3, stk. 2, første led, i direktiv 95/46, som fra anvendelsesområdet for dette direktiv allerede udelukker bl.a. behandling af personoplysninger vedrørende »aktiviteter, der ikke er omfattet af fællesskabsretten, som f.eks. de aktiviteter, der er fastsat i afsnit V og VI i [EU-traktaten som affattet før Lissabontraktaten], og under ingen omstændigheder […] behandling, der vedrører den offentlige sikkerhed, forsvar, statens sikkerhed […]« (dom af 22.6.2021 Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 64).

36 I det foreliggende tilfælde er det ubestridt, at tilrettelæggelsen af undervisningen i delstaten Hessen ikke kan henføres under kategorien af aktiviteter, der har til formål at bevare den nationale sikkerhed, som omhandlet i databeskyttelsesforordningens artikel 2, stk. 2, litra a).

37 Følgelig er en behandling af læreres personoplysninger i forbindelse med en direkte transmission via videokonference af den offentlige undervisning, som de udbyder, såsom den i hovedsagen omhandlede, omfattet af databeskyttelsesforordningens materielle anvendelsesområde.

38 For det andet fremgår det af anmodningen om præjudiciel afgørelse, at de lærere, hvis behandling af personoplysninger er genstand for tvisten i hovedsagen, er ansatte eller tjenestemænd i delstaten Hessens offentlige tjeneste.

39 Det skal derfor afgøres, om en sådan behandling af personoplysninger er omfattet af anvendelsesområdet for databeskyttelsesforordningens artikel 88, der omhandler »[b]ehandling[en] i forbindelse med ansættelsesforhold«

40 Det skal i denne forbindelse bemærkes, at databeskyttelsesforordningen ikke definerer begreberne »ansatte« og »ansættelsesforhold« og heller ikke henviser til medlemsstaternes ret til at definere disse begreber. I mangel af en sådan henvisning skal det bemærkes, at det følger af såvel kravene om en ensartet anvendelse af EU-retten som af lighedsprincippet, at en bestemmelse i EU-retten, som ikke indeholder nogen udtrykkelig henvisning til medlemsstaternes ret med henblik på at fastlægge dens betydning og rækkevidde, normalt skal undergives en selvstændig og ensartet fortolkning i hele EU (dom af 2.6.2022, HK mod Danmark og HK mod Privat, C-587/20, EU:C:2022:419, præmis 25 og den deri nævnte retspraksis).

41 Da databeskyttelsesforordningen ikke definerer ordene »ansatte« og »ansættelsesforhold«, bør disse fortolkes i overensstemmelse med deres sædvanlige betydning i almindelig sprogbrug, idet der skal tages hensyn til den kontekst, hvori de anvendes, og de mål, der forfølges med den lovgivning, som de udgør en del af (dom af 2.6.2022, HK mod Danmark og HK mod Privat, C-587/20, EU:C:2022:419, præmis 26 og den deri nævnte retspraksis).

42 Udtrykket »ansat« betegner en person, der udfører sit arbejde inden for rammerne af et underordnelsesforhold til sin arbejdsgiver og dermed under dennes kontrol (dom af 18.3.2021, Kuoni Travel, C-578/19, EU:C:2021:213, præmis 42).

43 Det væsentligste kendetegn ved et »ansættelsesforhold« er ligeledes, at en person i en vis periode præsterer ydelser mod vederlag for en anden og efter dennes anvisninger (dom af 15.7.2021, Ministrstvo za obrambo, C-742/19, EU:C:2021:597, præmis 49).

44 Eftersom et sådant kendetegn er særegent for ansatte og ansættelsesforhold i både den offentlige og den private sektor, skal det heraf udledes, at udtrykkene »ansat« og »ansættelsesforhold«, forstået i deres normale betydning, ikke udelukker personer, der udøver deres erhverv i den offentlige sektor.

45 Rækkevidden af databeskyttelsesforordningens artikel 88, stk. 1, kan nemlig ikke fastlægges ud fra karakteren af det retlige forhold, der knytter den ansatte til arbejdsgiveren. Det er derfor uden interesse, om arbejdstageren er ansat som ansat eller tjenestemand, og endvidere, om ansættelsesforholdet henhører under den offentlige ret eller privatretten, da disse juridiske kriterier er forskellige, alt efter de nationale retssystemer, og følgelig ikke kan udgøre et hensigtsmæssigt kriterium til en selvstændig og ensartet fortolkning af denne bestemmelse (jf. analogt dom af 12.2.1974, Sotgiu, 152/73, EU:C:1974:13, præmis 5, og dom af 3.6.1986, Kommissionen mod Frankrig, 307/84, EU:C:1986:222, præmis 11).

46 Hvad nærmere bestemt angår personer, hvis ansættelsesforhold ikke beror på en ansættelseskontrakt, såsom tjenestemænd, er det korrekt, at databeskyttelsesforordningens artikel 88, stk. 1, henviser til »ansættelseskontrakter«. Det skal dog på den ene side bemærkes, at denne henvisning er medtaget blandt andre formål med behandlingen af personoplysninger i forbindelse med ansættelsesforhold, som kan være omfattet af mere specifikke bestemmelser vedtaget af medlemsstaterne, der er opregnet i databeskyttelsesforordningens artikel 88, stk. 1, og at denne liste under alle omstændigheder ikke er udtømmende, hvilket fremgår af det i denne bestemmelse anvendte adverbium »navnlig«.

47 På den anden side støttes den manglende relevans af kvalificeringen af det retlige forhold mellem den ansatte og den ansættende myndighed af den omstændighed, at også ledelse, planlægning og tilrettelæggelse af arbejdet, ligestilling og mangfoldighed på arbejdspladsen, arbejdsmiljø samt beskyttelse af arbejdsgiveres eller kunders ejendom, individuel eller kollektiv udøvelse og nydelse af rettigheder og fordele i forbindelse med ansættelse samt ophør af ansættelsesforhold, som ligeledes er opført i databeskyttelsesforordningens artikel 88, stk. 1, vedrører ansættelse i både den private og den offentlige sektor.

48 Det kan følgelig ikke udledes af henvisningen til »ansættelseskontrakten« i databeskyttelsesforordningens artikel 88, stk. 1, at beskæftigelse i den offentlige sektor, der ikke er baseret på en ansættelseskontrakt, er udelukket fra denne bestemmelses anvendelsesområde.

49 Den samme konklusion gør sig gældende for så vidt angår den omstændighed, at databeskyttelsesforordningens artikel 88, stk. 2, blandt de tre elementer, som medlemsstaterne »særlig [skal tage] […] hensyn til«, når de vedtager sådanne »mere specifikke bestemmelser«, nævner »overførsel af personoplysninger inden for en koncern eller gruppe af foretagender, der udøver en fælles økonomisk aktivitet«. De to andre elementer, nemlig gennemsigtighed i behandlingen og overvågningssystemer på arbejdspladsen, er nemlig relevante såvel for beskæftigelsen i den private sektor som for beskæftigelsen i den offentlige sektor, uanset hvilket retligt forhold, der består mellem arbejdstageren og arbejdsgiveren.

50 Den fortolkning, der følger af ordlyden af databeskyttelsesforordningens artikel 88, bekræftes af den sammenhæng, hvori denne artikel indgår, og af det formål, der forfølges med den forordning, som den udgør en del af.

51 Som det fremgår af databeskyttelsesforordningens artikel 1, stk. 1, sammenholdt med bl.a. 9., 10. og 13. betragtning hertil, har denne forordning til formål at sikre en harmonisering af de nationale lovgivninger om beskyttelse af personoplysninger, som i princippet er fuldstændig. Bestemmelserne i den nævnte forordning åbner imidlertid mulighed for, at medlemsstaterne kan fastsætte supplerende nationale regler, der er strengere, eller undtagelsesbestemmelser, som overlader medlemsstaterne et skøn med hensyn til, hvorledes disse bestemmelser kan gennemføres (»åbningsbestemmelser«) (jf. i denne retning dom af 28.4.2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, præmis 57).

52 Databeskyttelsesforordningens artikel 88, som er en del af denne forordnings kapitel IX med overskriften »Bestemmelser vedrørende specifikke behandlingssituationer«, udgør en sådan åbningsbestemmelse, eftersom den giver medlemsstaterne mulighed for at vedtage »mere specifikke bestemmelser« med henblik på at sikre beskyttelsen af rettigheder og frihedsrettigheder i forbindelse med behandling af arbejdstageres personoplysninger i ansættelsesforhold.

53 De særlige forhold ved behandlingen af personoplysninger inden for rammerne af ansættelsesforhold og følgelig den mulighed, som medlemsstaterne er tillagt ved databeskyttelsesforordningens artikel 88, stk. 1, kan bl.a. forklares med, at der består et underordnelsesforhold mellem arbejdstageren og arbejdsgiveren, og ikke med karakteren af det retsforhold, der knytter arbejdstageren til sidstnævnte.

54 Det fremgår desuden af databeskyttelsesforordningens artikel 1, stk. 2, sammenholdt med tiende betragtning hertil, at denne forordning bl.a. har til formål at sikre et højt beskyttelsesniveau for fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger, idet denne ret ligeledes anerkendes i artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder og i nær tilknytning til retten til respekt for privatlivet, som er fastsat i chartrets artikel 7 (jf. i denne retning dom af 1.8.2022, Vyriausioji tarnybinės etikos komisija, C-184/20, EU:C:2022:601, præmis 61).

55 En bred fortolkning af databeskyttelsesforordningens artikel 88, stk. 1, hvorefter de »mere specifikke bestemmelser«, som medlemsstaterne kan fastsætte for at sikre beskyttelsen af rettigheder og frihedsrettigheder i forbindelse med behandling af arbejdstageres personoplysninger i ansættelsesforhold, kan vedrøre alle ansatte, uanset karakteren af det retlige forholde, der knytter dem til deres arbejdsgiver, er i overensstemmelse med dette formål.

56 Under disse omstændigheder er en behandling af læreres personoplysninger i forbindelse med en direkte transmission via videokonference af den offentlige undervisning, som de udbyder, såsom den i hovedsagen omhandlede, omfattet af det materielle og personelle anvendelsesområde for databeskyttelsesforordningens artikel 88.

Det første spørgsmål

57 Med det første spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 88 skal fortolkes således, at en retsregel for at kunne kvalificeres som en mere specifik bestemmelse som omhandlet i denne artikels stk. 1 skal opfylde de betingelser, der er fastsat i nævnte artikels stk. 2.

58 Som det er anført i denne doms præmis 52, har medlemsstaterne mulighed for, men ikke pligt til at vedtage sådanne bestemmelser, som kan fastsættes ved lov eller ved kollektive overenskomster.

59 I øvrigt skal medlemsstaterne, når de gør brug af den mulighed, som de tildeles ved en sådan åbningsbestemmelse, anvende deres skønsmargen på de betingelser og inden for de grænser, der er fastsat i databeskyttelsesforordningens bestemmelser, og de skal således lovgive på en sådan måde, at denne forordnings indhold og formål ikke bringes i fare (jf. i denne retning dom af 28.4.2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, præmis 60).

60 Med henblik på at fastlægge de betingelser og begrænsninger, som de regler, der er fastsat i databeskyttelsesforordningens artikel 88, stk. 1 og 2, er underlagt, og dermed for at vurdere det skøn, som medlemsstaterne er overladt ved disse bestemmelser, skal det bemærkes, at der ved fortolkningen af en EU-retlig bestemmelse ikke blot skal tages hensyn til dennes ordlyd, men også til den sammenhæng, hvori den indgår, og de mål, der forfølges med den ordning, som den udgør en del af (dom af 15.3.2022, Autorité des marchés financiers, C-302/20, EU:C:2022:190, præmis 63).

61 Hvad angår ordlyden af databeskyttelsesforordningens artikel 88, stk. 1, fremgår det indledningsvis af anvendelsen af udtrykket »mere specifikke«, at de bestemmelser, der er omhandlet i denne bestemmelse, skal have et specifikt normativt indhold på det område, der reguleres, og som adskiller sig fra databeskyttelsesforordningens generelle bestemmelser.

62 Som anført i denne doms præmis 52, er formålet med de bestemmelser, der er vedtaget på grundlag af denne bestemmelse, dernæst at beskytte de ansattes rettigheder og frihedsrettigheder i forbindelse med behandling af deres personoplysninger i ansættelsesforhold.

63 Endelig følger det af de forskellige formål, med henblik på hvilke behandlingen af personoplysninger kan foretages, således som de er fastsat i databeskyttelsesforordningens artikel 88, stk. 1, at de »mere specifikke bestemmelser«, som den omhandler, kan vedrøre et meget stort antal behandlinger i forbindelse med et ansættelsesforhold, således at de omfatter alle de formål, med henblik på hvilke behandlingen af personoplysninger kan foretages inden for rammerne af et ansættelsesforhold. Da opregningen af disse formål ikke er udtømmende, således som det er blevet anført i nærværende doms præmis 46, råder medlemsstaterne desuden over et skøn med hensyn til den behandling, der således er underlagt disse mere specifikke bestemmelser.

64 Databeskyttelsesforordningens artikel 88, stk. 2, fastsætter, at de bestemmelser, der er vedtaget på grundlag af databeskyttelsesforordningens artikel 88, stk. 1, omfatter passende og specifikke foranstaltninger til beskyttelse af den registreredes menneskelige værdighed, legitime interesser og grundlæggende rettigheder, særlig med hensyn til gennemsigtighed i behandlingen, overførsel af personoplysninger inden for en koncern eller gruppe af foretagender, der udøver en fælles økonomisk aktivitet, og overvågningssystemer på arbejdspladsen.

65 Det fremgår således af ordlyden af databeskyttelsesforordningens artikel 88, at denne artikels stk. 2, sætter rammen for den skønsmargen, der er tilladt de medlemsstater, der påtænker at vedtage »mere specifikke bestemmelser« i henhold til denne artikel stk. 1. Disse bestemmelser kan således for det første ikke begrænse sig til at gentage bestemmelserne i databeskyttelsesforordningen og skal have til formål at sikre beskyttelsen af arbejdstagernes rettigheder og frihedsrettigheder i forbindelse med behandling af deres personoplysninger i ansættelsesforhold, og omfatter passende og specifikke foranstaltninger til beskyttelse af den registreredes menneskelige værdighed, legitime interesser og grundlæggende rettigheder.

66 For det andet skal der særligt tages hensyn til gennemsigtighed i behandlingen, overførsel af personoplysninger inden for en koncern eller gruppe af foretagender, der udøver en fælles økonomisk aktivitet, og overvågningssystemer på arbejdspladsen.

67 Hvad angår den sammenhæng, hvori databeskyttelsesforordningens artikel 88 indgår, bemærkes for det første, at denne bestemmelse skal fortolkes i lyset af ottende betragtning til databeskyttelsesforordningen, hvorefter medlemsstaterne, når denne forordning fastsætter, at der kan indføres specifikationer eller begrænsninger af dens regler ved medlemsstaternes nationale ret – i det omfang det er nødvendigt af hensyn til sammenhængen og for at gøre de nationale bestemmelser forståelige for de personer, som de finder anvendelse på – kan indarbejde elementer af denne forordning i deres nationale ret.

68 For det andet bemærkes, at databeskyttelsesforordningens kapitel II og III fastsætter henholdsvis principperne for behandling af personoplysninger og den registreredes rettigheder, som enhver behandling af personoplysninger skal overholde (dom af 24.2.2022, Valsts ieņēmumu dienests (Behandling af personoplysninger til skatteformål), C-175/20, EU:C:2022:124, præmis 50).

69 Enhver behandling af personoplysninger skal både foregå i overensstemmelse med de principper for behandling af oplysninger, der er opregnet i databeskyttelsesforordningens artikel 5, og overholde et af de principper om behandlingens lovlighed, som er opstillet i nævnte forordnings artikel 6 (dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 96 og den deri nævnte retspraksis).

70 Hvad angår principperne om behandlingens lovlighed fastsætter databeskyttelsesforordningens artikel 6 en udtømmende og fuldstændig liste over de tilfælde, hvor behandling af personoplysninger kan anses for at være lovlig. For at kunne anses for at være lovlig skal behandlingen således være omfattet af et af de tilfælde, som er omhandlet i nævnte artikel 6 (dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 99 og den deri nævnte retspraksis).

71 Medlemsstaterne kan derfor, når de gør brug af den mulighed, som en åbningsbestemmelse i databeskyttelsesforordningen giver dem, indarbejde elementer af databeskyttelsesforordningen i deres lovgivning i det omfang, det er nødvendigt for at sikre sammenhængen og gøre de nationale bestemmelser forståelige for de personer, som de finder anvendelse på, idet de »mere specifikke bestemmelser«, der vedtages på grundlag af databeskyttelsesforordningens artikel 88, stk. 1, ikke kan begrænses til at udgøre en gentagelse af betingelserne for lovligheden af behandlingen af personoplysninger og principperne for en sådan behandling, der er fastsat i henholdsvis artikel 6 og 5 i databeskyttelsesforordningen, eller til at henvise til disse betingelser og principper.

72 Den fortolkning, hvorefter medlemsstaternes skønsmargen i forbindelse med vedtagelsen af bestemmelser på grundlag af databeskyttelsesforordningens artikel 88, stk. 1, er begrænset ved denne artikels stk. 2, er i overensstemmelse med databeskyttelsesforordningens formål, der er nævnt i denne doms præmis 51, som er at sikre en – i princippet fuldstændig – harmonisering af de nationale lovgivninger om beskyttelse af personoplysninger.

73 Som generaladvokaten i det væsentlige har anført i punkt 56, 70 og 73 i forslaget til afgørelse, kan medlemsstaternes mulighed for at vedtage »mere specifikke bestemmelser« på grundlag af databeskyttelsesforordningens artikel 88, stk. 1, nemlig føre til en manglende harmonisering inden for anvendelsesområdet for de nævnte bestemmelser. De betingelser, der er fastsat i denne forordnings artikel 88, stk. 2, afspejler imidlertid grænserne for den forskelsbehandling, der er accepteret i den nævnte forordning, for så vidt som denne manglende harmonisering kun kan tillades, når de forskelle, der fortsat består, ledsages af specifikke og passende garantier, der har til formål at beskytte de ansattes rettigheder og friheder for så vidt angår behandlingen af deres personoplysninger i forbindelse med ansættelsesforhold.

74 For at kunne kvalificeres som en »mere specifik bestemmelse« som omhandlet i databeskyttelsesforordningens artikel 88, stk. 1, skal en retsregel følgelig opfylde de betingelser, der er fastsat i nævnte artikels stk. 2. Ud over at have et normativt indhold, der specifikt vedrører det regulerede område, og som adskiller sig fra databeskyttelsesforordningens generelle bestemmelser, skal disse mere specifikke bestemmelser have til formål at sikre beskyttelsen af arbejdstagernes rettigheder og frihedsrettigheder i forbindelse med behandling af deres personoplysninger i ansættelsesforhold, og omfatter passende og specifikke foranstaltninger til beskyttelse af de registreredes menneskelige værdighed, legitime interesser og grundlæggende rettigheder. Der skal særligt tages hensyn til gennemsigtighed i behandlingen, overførsel af personoplysninger inden for en koncern eller gruppe af foretagender, der udøver en fælles økonomisk aktivitet, og overvågningssystemer på arbejdspladsen.

75 Henset til samtlige ovenstående betragtninger skal det første spørgsmål besvares med, at databeskyttelsesforordningens artikel 88 skal fortolkes således, at en national lovgivning ikke kan udgøre en »mere specifik bestemmelse« som omhandlet i denne artikels stk. 1, hvis den ikke opfylder betingelserne i denne artikels stk. 2.

Det andet spørgsmål

76 Med det andet spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, hvilke konsekvenser der skal drages af en konstatering af uforenelighed mellem de betingelser og begrænsninger, der er fastsat i databeskyttelsesforordningens artikel 88, stk. 1 og 2, og de nationale bestemmelser, der er vedtaget for at sikre beskyttelsen af rettigheder og frihedsrettigheder i forbindelse med behandling af arbejdstageres personoplysninger i ansættelsesforhold.

77 I denne henseende bemærkes, at i henhold til artikel 288, stk. 2, TEUF er en forordning bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat, hvorfor bestemmelserne principielt ikke kræver nogen gennemførelsesforanstaltninger fra medlemsstaterne (dom af 15.6.2021, Facebook Ireland m.fl., C-645/19, EU:C:2021:483, præmis 109).

78 Som nævnt i nærværende doms præmis 51 åbner åbningsbestemmelserne i databeskyttelsesforordningen imidlertid mulighed for, at medlemsstaterne kan fastsætte supplerende nationale regler, der er strengere, eller undtagelsesbestemmelser, som overlader medlemsstaterne et skøn med hensyn til, hvorledes de omhandlede bestemmelser kan gennemføres.

79 Som det er anført i nærværende doms præmis 59, skal medlemsstaterne, når de gør brug af den mulighed, som de indrømmes ved en åbningsbestemmelse i databeskyttelsesforordningen, anvende deres skønsmargen på de betingelser og inden for de grænser, der er fastsat i denne forordnings bestemmelser, og de skal således lovgive på en sådan måde, at indholdet af og formålene med den nævnte forordning ikke bringes i fare.

80 Det tilkommer den forelæggende ret, der alene har kompetence til at fortolke national ret, at vurdere, om de i hovedsagen omhandlede bestemmelser overholder de betingelser og begrænsninger, der er fastsat i databeskyttelsesforordningens artikel 88, som sammenfattet i nærværende doms præmis 74.

81 Som generaladvokaten har anført i punkt 60-62 i forslaget til afgørelse, synes bestemmelser som § 23, stk. 1, i HDSIG og § 86, stk. 4, i HBG, der gør behandlingen af de ansattes personoplysninger betinget af, at denne behandling er nødvendig med henblik på udøvelsen af et ansættelsesforhold, imidlertid at gentage den betingelse om generel lovlighed af behandling, der allerede er fastsat i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra b), uden at tilføje en mere specifik bestemmelse som omhandlet i databeskyttelsesforordningens artikel 88, stk. 1. Sådanne bestemmelser synes nemlig ikke at have et specifikt normativt indhold på det område, der er reguleret, og som adskiller sig fra databeskyttelsesforordningens generelle bestemmelser.

82 Såfremt den forelæggende ret fastslår, at de i hovedsagen omhandlede bestemmelser ikke overholder de betingelser og begrænsninger, der er fastsat i databeskyttelsesforordningens artikel 88, tilkommer det i princippet denne ret at undlade at anvende de nævnte bestemmelser.

83 Det følger således af princippet om EU-rettens forrang, at de bestemmelser i traktaterne og retsakter fra institutionerne, som gælder umiddelbart, for medlemsstaternes nationale ret alene i medfør af deres ikrafttræden bevirker, at enhver modstridende bestemmelse i den eksisterende nationale lovgivning uden videre bliver uanvendelig (dom af 9.3.1978, Simmenthal, 106/77, EU:C:1978:49, præmis 17, af 19.6.1990, Factortame m.fl., C-213/89, EU:C:1990:257, præmis 18, og af 4.2.2016, Ince, C-336/14, EU:C:2016:72, præmis 52).

84 Da der ikke foreligger mere specifikke bestemmelser, som overholder de betingelser og begrænsninger, der er fastsat i databeskyttelsesforordningens artikel 88, er behandling af personoplysninger inden for rammerne af ansættelsesforhold i såvel den private som den offentlige sektor direkte reguleret ved databeskyttelsesforordningens bestemmelser.

85 Det skal i denne forbindelse bemærkes, at databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra c) og e), hvorefter behandling af personoplysninger er lovlig, hvis behandlingen er nødvendig af hensyn til henholdsvis overholdelsen af en retlig forpligtelse, som påhviler den dataansvarlige eller udførelsen af en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, vil kunne finde anvendelse på en behandling af personoplysninger som den i hovedsagen omhandlede.

86 Databeskyttelsesforordningens artikel 6, stk. 3, fastsætter for det første med hensyn til de to tilfælde af lovlighed, der er nævnt i denne forordnings artikel 6, stk. 1, første afsnit, litra c) og e), at behandlingen skal være anerkendt i EU-retten eller retten i den medlemsstat, som den dataansvarlige er underlagt, og tilføjer for det andet, at formålene med denne behandling er defineret i dette retsgrundlag eller for så vidt angår den behandling, der er nævnt i forordningens artikel 6, stk. 1, første afsnit, litra e), er nødvendige for udførelse af en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt (jf. i denne retning dom af 8.12.2022, Inspektor v Inspektorata kam Visshia sadeben savet (Formål med behandling af personoplysninger – strafferetlig efterforskning), C-180/21, EU:C:2022:967, præmis 95).

87 Det skal bemærkes, at Domstolen allerede har fastslået, at de dataansvarliges lovlige behandling af personoplysninger på grundlag af databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra e), ikke alene forudsætter, at disse kan anses for at udføre en opgave i samfundets interesse, men også, at behandlingen af personoplysninger med henblik på udførelsen af en sådan opgave hviler på det i denne forordnings artikel 6, stk. 3, omhandlede retsgrundlag (jf. i denne retning dom af 20.10.2022, Koalitsia »Demokratichna Bulgaria – Obedinenie«, C-306/21, EU:C:2022:813, præmis 52).

88 Såfremt den forelæggende ret konkluderer, at de nationale bestemmelser om behandling af personoplysninger inden for rammerne af ansættelsesforhold ikke overholder de betingelser og begrænsninger, der er fastsat i databeskyttelsesforordningens artikel 88, stk. 1 og 2, skal den følgelig endvidere efterprøve, om de nævnte bestemmelser udgør et retsgrundlag som omhandlet i databeskyttelsesforordningens artikel 6, stk. 3, sammenholdt med 45. betragtning hertil, der opfylder kravene i denne forordning. Hvis dette er tilfældet, kan det ikke udelukkes, at de nationale bestemmelser finder anvendelse.

89 Henset til det ovenstående skal det andet præjudicielle spørgsmål besvares med, at databeskyttelsesforordningens artikel 88, stk. 1 og 2, skal fortolkes således, at nationale bestemmelser, der er vedtaget for at sikre beskyttelsen af arbejdstageres rettigheder og frihedsrettigheder i forbindelse med behandling af deres personoplysninger i ansættelsesforhold, skal undlades anvendt, såfremt disse bestemmelser ikke er i overensstemmelse med de betingelser og begrænsninger, der er fastsat i forordningens artikel 88, stk. 1 og 2, medmindre disse bestemmelser udgør et retsgrundlag som omhandlet i denne forordnings artikel 6, stk. 3, der opfylder kravene i denne forordning.

Sagsomkostninger

90 Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

På grundlag af disse præmisser kender Domstolen (Første Afdeling) for ret:

1) Artikel 88 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)

skal fortolkes således, at

en national lovgivning ikke kan udgøre en »mere specifik bestemmelse« som omhandlet i denne artikels stk. 1, hvis den ikke opfylder betingelserne i denne artikels stk. 2.

2) Artikel 88, stk. 1 og 2, i forordning 2016/679

skal fortolkes således, at

nationale bestemmelser, der er vedtaget for at sikre beskyttelsen af arbejdstageres rettigheder og frihedsrettigheder i forbindelse med behandling af deres personoplysninger i ansættelsesforhold, skal undlades anvendt, såfremt disse bestemmelser ikke er i overensstemmelse med de betingelser og begrænsninger, der er fastsat i forordningens artikel 88, stk. 1 og 2, medmindre disse bestemmelser udgør et retsgrundlag som omhandlet i denne forordnings artikel 6, stk. 3, der opfylder kravene i denne forordning.

Underskrifter

* Processprog: tysk.