–

a Leistritz AG képviseletében O. Seeling és C. Wencker Rechtsanwälte,

–

LH képviseletében S. Lohneis Rechtsanwalt,

–

a német kormány képviseletében J. Möller és S. K. Costanzo, meghatalmazotti minőségben,

–

a román kormány képviseletében E. Gane, meghatalmazotti minőségben,

–

az Európai Parlament képviseletében O. Hrstková Šolcová, P. López‑Carceller és B. Schäfer, meghatalmazotti minőségben,

–

az Európai Unió Tanácsa képviseletében T. Haas és K. Pleśniak, meghatalmazotti minőségben,

–

az Európai Bizottság képviseletében K. Herrmann, H. Kranenborg és D. Nardi, meghatalmazotti minőségben,

1

Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: GDPR) 38. cikke (3) bekezdése második mondatának az értelmezésére vonatkozik.

2

E kérelmet a Leistritz AG és az e társaságban adatvédelmi tisztviselői feladatokat ellátó LH közötti, LH munkaviszonyának e társaság átszervezése miatti megszüntetése tárgyában folyamatban lévő jogvita keretében terjesztették elő.

3

A GDPR (10) és (97) preambulumbekezdésének szövege a következő:

[…]

4

A GDPR‑nak „Az adatvédelmi tisztviselő kijelölése” című 37. cikke a következőképpen szól:

„(1)   Az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor:

[…]

(6)   Az adatvédelmi tisztviselő az adatkezelő vagy az adatfeldolgozó alkalmazottja lehet, vagy szolgáltatási szerződés keretében láthatja el a feladatait.

[…]”

5

A GDPR‑nak „Az adatvédelmi tisztviselő jogállása” című 38. cikkének (3) és (5) bekezdése a következőket írja elő:

„(3)   Az adatkezelő és az adatfeldolgozó biztosítja, hogy az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől ne fogadjon el. Az adatkezelő vagy az adatfeldolgozó az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja. Az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel.

[…]

(5)   Az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban uniós vagy tagállami jogban meghatározott titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti.”

6

A GDPR‑nak „Az adatvédelmi tisztviselő feladatai” című 39. cikke (1) bekezdésének b) pontja a következőképpen rendelkezik:

„Az adatvédelmi tisztviselő legalább a következő feladatokat ellátja:

[…]

[…]”

7

Az 1990. december 20‑i Bundesdatenschutzgesetz (szövetségi adatvédelmi törvény, BGBl. 1990 I, 2954. o.) 2018. május 25. és 2019. november 25. között hatályos változatának (BGBl. 2017 I, 2097. o.; a továbbiakban: BDSG) „Jogállás” című 6. §‑a (4) bekezdésében a következőképpen rendelkezik:

„Az adatvédelmi tisztviselő kizárólag a Bürgerliches Gesetzbuch [(polgári törvénykönyv), a 2002. január 2‑án kihirdetett változata (BGBl. 2002 I, 42. o., helyesbítés: BGB1. 2002 I, 2909. o. és BGBl. 2003 I. 738. o.)] 626. §‑ának megfelelő alkalmazásával bocsátható el. Az adatvédelmi tisztviselő munkaviszonyának felmondása jogellenes, kivéve, ha olyan körülmények állnak fenn, amelyek felhatalmazzák a közigazgatási szervet, hogy alapos okból, felmondási idő nélkül mondjon fel. Az adatvédelmi tisztviselői tevékenység befejezését követően a munkaviszony felmondása egy évig jogellenes, kivéve, ha a közigazgatási szerv jogosult alapos okból, felmondási idő nélkül felmondani.”

8

A BDSG „Nem állami szervek adatvédelmi tisztviselői” című 38. §‑a előírja:

„(1)   A [GDPR] 37. cikke (1) bekezdésének b) és c) pontjában foglaltakon túl az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki, ha a személyes adatok automatizált módon történő kezeléséhez rendszerint legalább tíz személyt folyamatosan foglalkoztat. […]

(2)   A 6. § (4) bekezdését, (5) bekezdésének második mondatát és (6) bekezdését alkalmazni kell, a 6. § (4) bekezdését azonban csak akkor, ha az adatvédelmi tisztviselő kijelölése kötelező.”

9

A polgári törvénykönyv 2002. január 2‑án kihirdetett változatának (a továbbiakban: polgári törvénykönyv) „Törvényi tilalom” című 134. §‑a a következőképpen szól:

„A törvényi tilalomba ütköző jogügylet törvény eltérő rendelkezése hiányában semmis.”

10

A polgári törvénykönyv „Alapos okból történő, azonnali hatályú felmondás” című 626. §‑a előírja:

„(1)   A munkaviszonyt bármelyik szerződő fél alapos okból felmondási idő nélkül felmondhatja, ha olyan körülmények állnak fenn, amelyek alapján az ügy körülményeire tekintettel, a felek érdekeit mérlegelve nem várható el a szolgálati viszonyt felmondó féltől, hogy a szolgálati viszonyt a felmondási idő lejártáig, illetve a szolgálati viszony megállapodás szerinti megszüntetéséig fenntartsa.

(2)   A felmondásra kizárólag két héten belül kerülhet sor. A határidő azon a napon kezdődik, amelyen a felmondásra jogosult fél tudomást szerez a felmondást megalapozó tényekről. […]”

11

A Leistritz egy magánjogi társaság, amely a német jogszabályok alapján köteles adatvédelmi tisztviselőt kijelölni. LH 2018. január 15. óta „jogi csoportvezetőként” dolgozott e társaságnál, illetve 2018. február 1‑jei hatállyal a társaság adatvédelmi tisztviselőjének jelölték ki.

12

A Leistritz 2018. július 13‑i levelével 2018. augusztus 15‑i hatállyal rendes felmondással megszüntette LH munkaviszonyát olyan szerkezetátalakítási intézkedésre hivatkozva, amelynek keretében kiszervezték a belső jogi tanácsadási tevékenységet és az adatvédelmi osztályt.

13

Az LH felmondás érvénytelenségére alapított keresetét elbíráló bíróságok úgy határoztak, hogy e felmondás érvénytelen volt, mivel LH‑nak adatvédelmi tisztviselőként a BDSG 6. §‑a (4) bekezdésének második mondatával összefüggésben értelmezett 38. §‑ának (2) bekezdése alapján kizárólag rendkívüli felmondással, alapos okból mondhatnak fel. Márpedig a Leistritz által ismertetett szerkezetátalakítási intézkedés nem tekinthető ilyen oknak.

14

A kérdést előterjesztő bíróság – amelyhez a Leistritz felülvizsgálati kérelmet nyújtott be – megjegyzi, hogy a német jog alapján LH elbocsátása e rendelkezéseknek és a polgári törvénykönyv 134. §‑ának megfelelően semmis. E bíróság ugyanakkor megjegyzi, hogy a BDSG 6. §‑a (4) bekezdésének második mondatával összefüggésben értelmezett 38. §‑a (2) bekezdésének alkalmazhatósága attól függ, hogy az uniós jog – és különösen a GDPR 38. cikke (3) bekezdésének második mondata – alapján megengedhető‑e az olyan tagállami szabályozás, amely az adatvédelmi tisztviselő elbocsátását az uniós jognál szigorúbb követelményekhez köti. Ha ez nem így van, akkor a kérdést előterjesztő bíróság helyt kell, hogy adjon a felülvizsgálati kérelemnek.

15

A kérdést előterjesztő bíróság pontosítja, hogy kétségeinek oka többek között az, hogy a nemzeti jogirodalom e tekintetben nem egységes. Egyrészt a széles körben elfogadott álláspont szerint a BDSG 6. §‑a (4) bekezdésének második mondatával összefüggésben értelmezett 38. §‑ának (2) bekezdése szerinti, felmondással szembeni különleges védelem esetében a munkajog anyagi jogi szabályáról van szó, amely tekintetében az Unió nem rendelkezik jogalkotási hatáskörrel, ami miatt a GDPR 38. cikke (3) bekezdésének második mondatával való összeütközés nem áll fenn. Másrészt a kisebbségi vélemény képviselői szerint e védelemnek az adatvédelmi tisztviselő tisztségével való összekapcsolása ellentétes az uniós joggal, és ezen összekapcsolás arra irányuló gazdasági nyomást jelent, hogy a már kijelölt adatvédelmi tisztviselőt hosszú távon foglalkoztassák.

16

E körülmények között a Bundesarbeitsgericht (szövetségi munkaügyi bíróság, Németország) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

17

A kérdést előterjesztő bíróság első kérdésével lényegében arra kíván választ kapni, hogy a GDPR 38. cikke (3) bekezdésének második mondatát úgy kell‑e értelmezni, hogy azzal ellentétes az a nemzeti szabályozás, amely előírja, hogy az adatkezelő vagy adatfeldolgozó a személyi állományába tartozó adatvédelmi tisztviselőnek kizárólag alapos okból mondhat fel, akkor is, ha a felmondás nem kapcsolódik e tisztviselő feladatainak ellátásához.

18

Az állandó ítélkezési gyakorlat szerint valamely uniós jogi rendelkezés értelmezéséhez nemcsak a rendelkezés általános nyelvhasználatban elfogadott szokásos jelentésének megfelelő szövegét, hanem szövegkörnyezetét, és annak a szabályozásnak a célkitűzéseit is figyelembe kell venni, amelynek részét képezi (2022. február 22‑iStichting Rookpreventie Jeugd és társai ítélet, C‑160/20, EU:C:2022:101, 29. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

19

Először is, ami a szóban forgó rendelkezés szövegét illeti, emlékeztetni kell arra, hogy a GDPR 38. cikkének (3) bekezdése második mondatában úgy rendelkezik, hogy „[a]z adatkezelő vagy az adatfeldolgozó az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja”.

20

Elöljáróban rá kell mutatni, hogy a GDPR nem határozza meg az „elbocsátás”, „szankcióval sújtás” és „feladatai ellátásával összefüggésben” e 38. cikk (3) bekezdésének második mondatában szereplő fogalmát.

21

Ezzel együtt, először is, e kifejezéseknek az általános nyelvhasználatban elfogadott jelentése szerint az adatkezelővel vagy az adatfeldolgozóval szemben előírt azon tilalom, hogy az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben elbocsássa vagy szankcióval sújtsa, azt jelenti – amint arra a főtanácsnok indítványának 24. és 26. pontjában lényegében rámutatott –, hogy e tisztviselőt minden olyan döntéssel szemben védelemben kell részesíteni, amellyel elbocsátanák, hátrányos helyzetbe hoznák, vagy amely szanckiót jelent.

22

E tekintetben ilyen döntésnek minősülhet az adatvédelmi tisztviselő munkáltató általi elbocsátása, amely megszünteti az e tisztviselő és e munkáltató között a munkaviszonyt, valamint az érintett vállalkozáson belül az adatvédelmi tisztviselői tisztséget.

23

Másodszor meg kell állapítani, hogy a GDPR 38. cikke (3) bekezdésének második mondata különbségtétel nélkül alkalmazandó mind arra az adatvédelmi tisztviselőre, aki az adatkezelő vagy az adatfeldolgozó személyi állományának a tagja, mind arra, aki feladatait az adatkezelővel vagy adatfeldolgozóval a GDPR 37. cikke (6) bekezdésének megfelelően kötött szolgáltatási szerződés keretében látja el.

24

Ebből következik, hogy a GDPR 38. cikke (3) bekezdésének második mondata az adatvédelmi tisztviselő és az adatkezelő vagy adatfeldolgozó közötti jogviszonyra alkalmazandó, függetlenül az e tisztviselő és az adatkezelő vagy adatfeldolgozó közötti munkaviszony jellegétől.

25

Harmadszor rá kell mutatni arra, hogy e rendelkezés olyan korlátot határoz meg, amely – amint azt a főtanácsnok az indítványának 29. pontjában lényegében hangsúlyozta – abban áll, hogy a feladatai ellátásával kapcsolatos indok alapján tilos az adatvédelmi tisztviselő elbocsátása, amely feladatok közé tartozik a GDPR 39. cikke (1) bekezdésének b) pontja értelmében különösen az uniós vagy tagállami adatvédelmi rendelkezéseknek, továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelés ellenőrzése.

26

Másodszor, ami a GDPR 38. cikke (3) bekezdésének második mondata által követett célkitűzést illeti, először is hangsúlyozni kell, hogy e rendelet (97) preambulumbekezdése kimondja, hogy az adatvédelmi tisztviselők – függetlenül attól, hogy az adatkezelő alkalmazásában állnak‑e – módjában kell, hogy álljon kötelezettségeik és feladataik független ellátása. E tekintetben e függetlenségnek szükségszerűen lehetővé kell tennie számukra e feladatoknak a GDPR célkitűzésének megfelelő ellátását, amely rendelet – amint az a (10) preambulumbekezdéséből kitűnik – többek között arra irányul, hogy biztosítsa a természetes személyek magas szintű védelmét az Unión belül, és e célból a személyes adatok kezelése tekintetében biztosítsa a természetes személyek alapvető jogainak és szabadságainak védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén (2020. október 6‑iLa Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 207. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

27

Másodszor, az adatvédelmi tisztviselő funkcionális függetlenségének biztosítására irányuló célkitűzés, amint az a GDPR 38. cikke (3) bekezdésének második mondatából következik, szintén kitűnik e 38. cikk (3) bekezdésének első és harmadik mondatából, amely előírja, hogy e tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől nem fogadhat el, és közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel, valamint az említett 38. cikk (5) bekezdéséből, amely előírja, hogy e tisztviselőt feladatai teljesítésével kapcsolatban titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti.

28

Ily módon a GDPR 38. cikke (3) bekezdésének második mondatát – amely megvédi az adatvédelmi tisztviselőt minden olyan döntéssel szemben, amellyel elbocsátanák vagy hátrányos helyzetbe hoznák, vagy amely szanckiót jelent, amennyiben az ilyen döntés a feladatai ellátásával kapcsolatos – úgy kell tekinteni, hogy az alapvetően az adatvédelmi tisztviselő funkcionális függetlenségének megőrzésére, és ennélfogva a GDPR rendelkezései tényleges érvényesülésének a biztosítására irányul. E rendelkezésnek ezzel szemben nem célja, hogy átfogóan szabályozza az adatkezelő vagy az adatfeldolgozó és a személyi állományának tagjai közötti munkaviszonyt, akiket e rendelkezés csak érintőlegesen, az e célok eléréséhez feltétlenül szükséges mértékben érinthet.

29

Ezt az értelmezést harmadszor az az összefüggés is megerősíti, amelybe az említett rendelkezés illeszkedik, és különösen az a jogalap, amely alapján az uniós jogalkotó elfogadta a GDPR‑t.

30

A GDPR preambulumából ugyanis kitűnik, hogy azt az EUMSZ 16. cikk alapján fogadták el, amelynek (2) bekezdése többek között azt írja elő, hogy a természetes személyeknek az uniós intézmények, szervek és hivatalok által, illetve az uniós jog alkalmazási körébe tartozó tevékenységeik során a személyes adataiknak a tagállamok által végzett feldolgozása tekintetében történő védelmére, valamint az ilyen adatok szabad áramlására vonatkozó szabályokat rendes jogalkotási eljárás keretében az Európai Parlament és a Tanács állapítja meg.

31

Ezzel szemben az adatvédelmi tisztviselőnek a GDPR 38. cikke (3) bekezdésének második mondatában előírt különleges védelmén kívül az adatkezelő vagy adatfeldolgozó által alkalmazott adatvédelmi tisztviselő elbocsátásával szembeni védelemre vonatkozó szabályok megállapítása nem a személyes adatok kezelése tekintetében a természetes személyek védelmének vagy ezen adatok szabad áramlásának, hanem a szociálpolitikának a területére tartozik.

32

Emlékeztetni kell e tekintetben továbbá egyrészt arra, hogy az EUMSZ 4. cikk (2) bekezdésének b) pontja értelmében az Unió és a tagállamok az EUMSZ 2. cikk (2) bekezdése szerinti megosztott hatáskörrel rendelkeznek a szociálpolitikának az EUM‑Szerződésben meghatározott vonatkozásai tekintetében. Másrészt, a munkavállalók munkaviszonyuk megszüntetése esetén történő védelme területén az EUMSZ 153. cikk (1) bekezdésének d) pontja kimondja, hogy az Unió támogatja és kiegészíti a tagállamok tevékenységeit (lásd analógia útján: 2019. november 19‑iTSN és AKT ítélet, C‑609/17 és C‑610/17, EU:C:2019:981, 47. pont).

33

Mindemellett, amint az az EUMSZ 153. cikk (2) bekezdésének b) pontjából következik, a Parlament és a Tanács irányelvek útján fogadhat el e tekintetben minimális követelményeket, és az ilyen minimális követelmények a Bíróság ítélkezési gyakorlata értelmében az EUMSZ 153. cikk (4) bekezdésére tekintettel nem akadályozhatják, hogy a tagállamok olyan szigorúbb védintézkedéseket tartsanak fenn vagy vezessenek be, amelyek a Szerződésekkel összeegyeztethetőek (lásd analógia útján: 2019. november 19‑iTSN és AKT ítélet, C‑609/17 és C‑610/17, EU:C:2019:981, 48. pont).

34

Ebből következik, amint azt a főtanácsnok az indítványa 44. pontjában lényegében hangsúlyozta, hogy a fenntartott hatásköre gyakorlása során minden tagállam szabadon határozhat meg nagyobb védelmet biztosító külön rendelkezéseket az adatvédelmi tisztviselő elbocsátására vonatkozóan, feltéve hogy e rendelkezések összeegyeztethetők az uniós joggal, és különösen a GDPR rendelkezéseivel, többek között a 38. cikke (3) bekezdésének második mondatával.

35

Különösen, amint arra a főtanácsnok az indítványának 50. és 51. pontjában rámutatott, az ilyen fokozott védelem nem veszélyeztetheti a GDPR célkitűzéseinek megvalósítását. Márpedig ez lenne a helyzet, ha e fokozott védelem megakadályozná, hogy az adatkezelő vagy adatfeldolgozó elbocsáthassa az olyan adatvédelmi tisztviselőt, aki már nem rendelkezik a feladatai ellátásához megkövetelt szakmai rátermettséggel, vagy aki azokat nem a GDPR rendelkezéseinek megfelelően látja el.

36

A fenti megfontolásokra tekintettel az első kérdésre azt a választ kell adni, hogy a GDPR 38. cikke (3) bekezdésének második mondatát úgy kell értelmezni, hogy azzal nem ellentétes az a nemzeti szabályozás, amely előírja, hogy az adatkezelő vagy adatfeldolgozó a személyi állományába tartozó adatvédelmi tisztviselőnek kizárólag alapos okból mondhat fel, akkor is, ha a felmondás nem kapcsolódik e tisztviselő feladatainak ellátásához, feltéve hogy e szabályozás nem veszélyezteti a GDPR célkitűzéseinek megvalósítását.

37

Az első kérdésre adott válaszra tekintettel a második és a harmadik kérdésre nem szükséges válaszolni.

38

Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

A fenti indokok alapján a Bíróság (első tanács) a következőképpen határozott:

A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 38. cikke (3) bekezdésének második mondatát úgy kell értelmezni, hogy azzal nem ellentétes az a nemzeti szabályozás, amely előírja, hogy az adatkezelő vagy adatfeldolgozó a személyi állományába tartozó adatvédelmi tisztviselőnek kizárólag alapos okból mondhat fel, akkor is, ha a felmondás nem kapcsolódik e tisztviselő feladatainak ellátásához, feltéve hogy e szabályozás nem veszélyezteti e rendelet célkitűzéseinek megvalósítását.