URTEIL DES GERICHTSHOFS (Sechste Kammer)
9. Februar 2023(*)
„Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 38 Abs. 3 – Datenschutzbeauftragter – Verbot der Abberufung wegen der Erfüllung seiner Aufgaben – Erfordernis der funktionellen Unabhängigkeit – Nationale Regelung, nach der die Abberufung eines Datenschutzbeauftragten bei Fehlen eines wichtigen Grundes verboten ist“
In der Rechtssache C‑560/21
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Bundesarbeitsgericht (Deutschland) mit Entscheidung vom 27. April 2021, beim Gerichtshof eingegangen am 13. September 2021, in dem Verfahren
ZS
gegen
Zweckverband „Kommunale Informationsverarbeitung Sachsen“ KISA, Körperschaft des öffentlichen Rechts,
erlässt
DER GERICHTSHOF (Sechste Kammer)
unter Mitwirkung des Kammerpräsidenten P. G. Xuereb sowie des Richters A. Kumin und der Richterin I. Ziemele (Berichterstatterin),
Generalanwalt: J. Richard de la Tour,
Kanzler: D. Dittert, Referatsleiter,
aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 26. September 2022,
unter Berücksichtigung der Erklärungen
– der deutschen Regierung, vertreten durch J. Möller, D. Klebs und P.‑L. Krüger als Bevollmächtigte,
– der portugiesischen Regierung, vertreten durch P. Barros da Costa, I. Oliveira, A. Pimenta und M. J. Ramos als Bevollmächtigte,
– des Europäischen Parlaments, vertreten durch O. Hrstková Šolcová und B. Schäfer als Bevollmächtigte,
– des Rates der Europäischen Union, vertreten durch T. Haas und K. Pleśniak als Bevollmächtigte,
– der Europäischen Kommission, vertreten durch A. Bouchagiar, K. Herrmann und H. Kranenborg als Bevollmächtigte,
aufgrund des nach Anhörung des Generalanwalts ergangenen Beschlusses, ohne Schlussanträge über die Rechtssache zu entscheiden,
folgendes
Urteil
1 Das Vorabentscheidungsersuchen betrifft die Auslegung und die Gültigkeit von Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2018, L 127, S. 2) (im Folgenden: DSGVO).
2 Es ergeht im Rahmen eines Rechtsstreits zwischen ZS und dem Zweckverband „Kommunale Informationsverarbeitung Sachsen“ KISA, Körperschaft des öffentlichen Rechts (im Folgenden: KISA), der sein Arbeitgeber ist, wegen der von KISA ausgesprochenen Abberufung von ZS von seiner Stellung als Datenschutzbeauftragter.
Rechtlicher Rahmen
Unionsrecht
3 In den Erwägungsgründen 10 und 97 der DSGVO heißt es:
„(10) Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der [Europäischen] Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden. …
…
(97) … Derartige Datenschutzbeauftragte sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.“
4 Art. 37 („Benennung eines Datenschutzbeauftragten“) Abs. 5 und 6 DSGVO bestimmt:
„(5) Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.
(6) Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.“
5 Art. 38 („Stellung des Datenschutzbeauftragten“) Abs. 3, 5 und 6 DSGVO sieht vor:
„(3) Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters.
…
(5) Der Datenschutzbeauftragte ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden.
(6) Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.“
6 Art. 39 („Aufgaben des Datenschutzbeauftragten“) DSGVO lautet:
„(1) Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:
a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
c) Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
d) Zusammenarbeit mit der Aufsichtsbehörde;
e) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.
(2) Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.“
Deutsches Recht
BDSG
7 § 6 („Stellung“) Abs. 4 des Bundesdatenschutzgesetzes vom 20. Dezember 1990 (BGBl. 1990 I S. 2954), in der vom 25. Mai 2018 bis zum 25. November 2019 (BGBl. 2017 I S. 2097) geltenden Fassung (im Folgenden: BDSG) lautet:
„Die Abberufung der oder des Datenschutzbeauftragten ist nur in entsprechender Anwendung des § 626 des Bürgerlichen Gesetzbuchs [in der Fassung der Bekanntmachung vom 2. Januar 2002 (BGBl. 2002 I S. 42, berichtigt im BGBl. 2002 I S. 2909 und BGBl. 2003 I S. 738)] zulässig. Die Kündigung des Arbeitsverhältnisses ist unzulässig, es sei denn, dass Tatsachen vorliegen, welche die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Nach dem Ende der Tätigkeit als Datenschutzbeauftragter ist die Kündigung des Arbeitsverhältnisses innerhalb eines Jahres unzulässig, es sei denn, dass die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist.“
Bürgerliches Gesetzbuch
8 § 626 („Fristlose Kündigung aus wichtigem Grund“) des Bürgerlichen Gesetzbuchs bestimmt:
„(1) Das Dienstverhältnis kann von jedem Vertragsteil aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist gekündigt werden, wenn Tatsachen vorliegen, auf Grund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalles und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung des Dienstverhältnisses bis zum Ablauf der Kündigungsfrist oder bis zu der vereinbarten Beendigung des Dienstverhältnisses nicht zugemutet werden kann.
(2) Die Kündigung kann nur innerhalb von zwei Wochen erfolgen. Die Frist beginnt mit dem Zeitpunkt, in dem der Kündigungsberechtigte von den für die Kündigung maßgebenden Tatsachen Kenntnis erlangt. …“
Ausgangsverfahren und Vorlagefragen
9 ZS ist seit dem 1. Januar 2002 bei KISA beschäftigt. KISA, die sowohl nach der DSGVO als auch nach dem BDSG hierzu verpflichtet war, benannte ihn am 27. Februar 2004 als Datenschutzbeauftragten.
10 Mit Schreiben vom 15. August 2018 berief KISA ZS als Datenschutzbeauftragten mit Wirkung zum 31. August 2018 ab und begründete dies damit, dass zwischen seiner Tätigkeit als Datenschutzbeauftragter und seiner sonstigen beruflichen Tätigkeit ein Interessenkonflikt bestehe. ZS machte geltend, dass es im vorliegenden Fall an einem wichtigen Grund fehle, der seine Abberufung rechtfertigen könne.
11 Beim Bundesarbeitsgericht (Deutschland), dem vorlegenden Gericht, ist eine Revision gegen die Entscheidung eines deutschen Gerichts anhängig, mit der die Klage von ZS insoweit abgewiesen wurde. Das vorlegende Gericht weist darauf hin, dass der Erfolg dieser Revision von der Auslegung des Unionsrechts abhänge. Insbesondere stelle sich die Frage, ob Art. 38 Abs. 3 Satz 2 DSGVO einer Regelung eines Mitgliedstaats entgegenstehe, die die Abberufung eines Datenschutzbeauftragten strengeren Voraussetzungen unterwerfe, als sie im Unionsrecht vorgesehen seien, und, falls ja, ob diese Bestimmung auf einer ausreichenden Ermächtigungsgrundlage beruhe.
12 Unter diesen Umständen hat das Bundesarbeitsgericht beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
1. Ist Art. 38 Abs. 3 Satz 2 DSGVO dahin auszulegen, dass er einer Bestimmung des nationalen Rechts, wie hier § 6 Abs. 4 Satz 1 BDSG, entgegensteht, die die Abberufung des Datenschutzbeauftragten durch den Verantwortlichen, der sein Arbeitgeber ist, an die dort genannten Voraussetzungen knüpft, unabhängig davon, ob sie im Wege der Erfüllung seiner Aufgaben erfolgt?
Falls die erste Frage bejaht wird:
2. Beruht Art. 38 Abs. 3 Satz 2 DSGVO auf einer ausreichenden Ermächtigungsgrundlage, insbesondere soweit die Bestimmung Datenschutzbeauftragte erfasst, die in einem Arbeitsverhältnis zum Verantwortlichen stehen?
Vorlagefragen
Zur ersten Vorlagefrage
13 Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 38 Abs. 3 Satz 2 DSGVO dahin auszulegen ist, dass er einer nationalen Regelung entgegensteht, nach der ein bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigter Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann, auch wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhängt.
14 Nach ständiger Rechtsprechung sind bei der Auslegung von Unionsvorschriften nicht nur ihr Wortlaut entsprechend ihrem Sinn nach dem gewöhnlichen Sprachgebrauch, sondern auch ihr Zusammenhang und die Ziele zu berücksichtigen, die mit der Regelung, zu der sie gehören, verfolgt werden (Urteil vom 22. Juni 2022, Leistritz, C‑534/20, EU:C:2022:495, Rn. 18 und die dort angeführte Rechtsprechung).
15 Was als Erstes den Wortlaut der in Rede stehenden Bestimmung betrifft, so darf nach Art. 38 Abs. 3 Satz 2 DSGVO „[d]er Datenschutzbeauftragte … von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden“.
16 Insoweit hat der Gerichtshof in seinem Urteil vom 22. Juni 2022, Leistritz (C‑534/20, EU:C:2022:495, Rn. 21), nachdem er zunächst festgestellt hat, dass in der DSGVO die Begriffe „abberufen“, „benachteiligt“ und „wegen der Erfüllung seiner Aufgaben“ aus Art. 38 Abs. 3 Satz 2 nicht definiert werden, ausgeführt, dass erstens nach dem gewöhnlichen Sprachgebrauch das Verbot für den Verantwortlichen oder den Auftragsverarbeiter, einen Datenschutzbeauftragten abzuberufen oder zu benachteiligen, bedeutet, dass der Datenschutzbeauftragte vor jeder Entscheidung zu schützen ist, mit der sein Amt beendet würde, durch die ihm ein Nachteil entstünde oder die eine Sanktion darstellte.
17 Eine solche Entscheidung könnte aber in der vom Arbeitgeber getroffenen Maßnahme der Abberufung eines Datenschutzbeauftragten liegen, die zur Folge hätte, dass der Datenschutzbeauftragte von seinen Aufgaben bei dem Verantwortlichen oder seinem Auftragsverarbeiter entbunden würde.
18 Zweitens gilt, wie der Gerichtshof ebenfalls festgestellt hat, Art. 38 Abs. 3 Satz 2 DSGVO gemäß Art. 37 Abs. 6 DSGVO gleichermaßen für Datenschutzbeauftragte, die Beschäftigte des Verantwortlichen oder des Auftragsverarbeiters sind, und für diejenigen, die ihre Aufgaben auf der Grundlage eines mit dem Verantwortlichen oder dem Auftragsverarbeiter geschlossenen Dienstvertrags erfüllen, so dass Art. 38 Abs. 3 Satz 2 DSGVO im Verhältnis zwischen einem Datenschutzbeauftragten und einem Verantwortlichen oder einem Auftragsverarbeiter unabhängig von der Art des sie verbindenden Beschäftigungsverhältnisses gilt (Urteil vom 22. Juni 2022, Leistritz, C‑534/20, EU:C:2022:495, Rn. 23 und 24).
19 Drittens wird mit der letztgenannten Bestimmung eine Grenze gezogen, mit der die Abberufung eines Datenschutzbeauftragten aus Gründen, die sich auf die Erfüllung seiner Aufgaben beziehen, verboten wird; zu diesen Aufgaben gehört gemäß Art. 39 Abs. 1 Buchst. b DSGVO insbesondere die Überwachung der Einhaltung der Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten (vgl. in diesem Sinne Urteil vom 22. Juni 2022, Leistritz, C‑534/20, EU:C:2022:495, Rn. 25).
20 Was als Zweites das mit Art. 38 Abs. 3 Satz 2 DSGVO verfolgte Ziel betrifft, ist erstens darauf hinzuweisen, dass nach dem 97. Erwägungsgrund der DSGVO die Datenschutzbeauftragten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können sollten. Diese Unabhängigkeit muss es ihnen notwendigerweise ermöglichen, diese Aufgaben im Einklang mit dem Ziel der DSGVO auszuüben, die, wie sich aus ihrem zehnten Erwägungsgrund ergibt, namentlich darauf abzielt, innerhalb der Union ein hohes Datenschutzniveau für natürliche Personen zu gewährleisten und zu diesem Zweck für eine unionsweit gleichmäßige und einheitliche Anwendung der Vorschriften zum Schutz der Grundrechte und Grundfreiheiten dieser Personen bei der Verarbeitung personenbezogener Daten zu sorgen (Urteil vom 22. Juni 2022, Leistritz, C‑534/20, EU:C:2022:495, Rn. 26 und die dort angeführte Rechtsprechung).
21 Zweitens ergibt sich das in Art. 38 Abs. 3 Satz 2 DSGVO genannte Ziel, die unabhängige Stellung des Datenschutzbeauftragten zu gewährleisten, auch aus Art. 38 Abs. 3 Satz 1 und Satz 3 DSGVO, wonach der Datenschutzbeauftragte keine Anweisungen bezüglich der Ausübung seiner Aufgaben erhält und unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters berichtet, sowie aus Art. 38 Abs. 5, wonach der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden ist (Urteil vom 22. Juni 2022, Leistritz, C‑534/20, EU:C:2022:495, Rn. 27).
22 Mit Art. 38 Abs. 3 Satz 2 DSGVO, der den Datenschutzbeauftragten vor jeder Entscheidung im Zusammenhang mit der Erfüllung seiner Aufgaben schützt, mit der sein Amt beendet würde, durch die ihm ein Nachteil entstünde oder die eine Sanktion darstellte, soll demnach im Wesentlichen die funktionelle Unabhängigkeit des Datenschutzbeauftragten gewahrt und damit die Wirksamkeit der Bestimmungen der DSGVO gewährleistet werden (Urteil vom 22. Juni 2022, Leistritz, C‑534/20, EU:C:2022:495, Rn. 28).
23 Als Drittes wird, wie der Gerichtshof ebenfalls entschieden hat, diese Auslegung durch den Regelungszusammenhang der Bestimmung und insbesondere durch die Rechtsgrundlage bestätigt, auf der der Unionsgesetzgeber die DSGVO erlassen hat (Urteil vom 22. Juni 2022, Leistritz, C‑534/20, EU:C:2022:495, Rn. 29).
24 Laut der Präambel der DSGVO wurde diese nämlich auf der Grundlage von Art. 16 AEUV erlassen. Nach Art. 16 Abs. 2 AEUV erlassen das Europäische Parlament und der Rat der Europäischen Union gemäß dem ordentlichen Gesetzgebungsverfahren Vorschriften zum einen über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union sowie durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen, und zum anderen über den freien Datenverkehr (Urteil vom 22. Juni 2022, Leistritz, C‑534/20, EU:C:2022:495, Rn. 30).
25 Insoweit geht es bei der Festlegung von Vorschriften zum Schutz eines bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigten Datenschutzbeauftragten vor Abberufung nur insoweit um den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, als diese Vorschriften darauf abzielen, die funktionelle Unabhängigkeit des Datenschutzbeauftragten gemäß Art. 38 Abs. 3 Satz 2 DSGVO zu wahren (vgl. in diesem Sinne Urteil vom 22. Juni 2022, Leistritz, C‑534/20, EU:C:2022:495, Rn. 31).
26 Daraus folgt, dass es jedem Mitgliedstaat freisteht, in Ausübung seiner vorbehaltenen Zuständigkeit besondere, strengere Vorschriften für die Abberufung eines Datenschutzbeauftragten vorzusehen, sofern diese mit dem Unionsrecht und insbesondere mit den Bestimmungen der DSGVO, vor allem Art. 38 Abs. 3 Satz 2 DSGVO, vereinbar sind (vgl. in diesem Sinne Urteil vom 22. Juni 2022, Leistritz, C‑534/20, EU:C:2022:495, Rn. 34).
27 Insbesondere darf ein strengerer Schutz die Verwirklichung der Ziele der DSGVO nicht beeinträchtigen. Dies wäre aber der Fall, wenn dieser Schutz jede durch einen Verantwortlichen oder einen Auftragsverarbeiter ausgesprochene Abberufung eines Datenschutzbeauftragten verböte, der nicht mehr die für die Erfüllung seiner Aufgaben gemäß Art. 37 Abs. 5 DSGVO erforderliche berufliche Qualifikation besitzt oder seine Aufgaben nicht im Einklang mit der DSGVO erfüllt (vgl. in diesem Sinne Urteil vom 22. Juni 2022, Leistritz, C‑534/20, EU:C:2022:495, Rn. 35).
28 Insoweit ist daran zu erinnern, dass die DSGVO, wie in Rn. 20 des vorliegenden Urteils ausgeführt worden ist, darauf abzielt, innerhalb der Union ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten, und dass der Datenschutzbeauftragte zur Verwirklichung dieses Ziels seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können muss.
29 Ein strengerer Schutz des Datenschutzbeauftragten, der seine Abberufung verhindern würde, wenn er aufgrund eines Interessenkonflikts seine Aufgaben nicht oder nicht mehr in vollständiger Unabhängigkeit wahrnehmen könnte, würde die Verwirklichung dieses Ziels beeinträchtigen.
30 Es ist Sache des nationalen Gerichts, sicherzustellen, dass besondere Vorschriften wie die in Rn. 27 des vorliegenden Urteils genannten mit dem Unionsrecht und insbesondere mit den Bestimmungen der DSGVO vereinbar sind.
31 Nach alledem ist auf die erste Frage zu antworten, dass Art. 38 Abs. 3 Satz 2 DSGVO dahin auszulegen ist, dass er einer nationalen Regelung nicht entgegensteht, nach der ein bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigter Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann, auch wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele dieser Verordnung nicht beeinträchtigt.
Zur zweiten Frage
32 Angesichts der Antwort auf die erste Frage braucht die zweite Frage nicht beantwortet zu werden.
Kosten
33 Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des bei dem vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.
Aus diesen Gründen hat der Gerichtshof (Sechste Kammer) für Recht erkannt:
Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass er einer nationalen Regelung nicht entgegensteht, nach der ein bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigter Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann, auch wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele dieser Verordnung nicht beeinträchtigt.
Verkündet in öffentlicher Sitzung in Luxemburg am 9. Februar 2023.
Der Kanzler | | Der Kammerpräsident |
A. Calot Escobar | | P. G. Xuereb |