2 AZR 225/20 (A)

Datenschutzbeauftragter - Kündigungsschutz - Unionsrecht

Details

  • Aktenzeichen

    2 AZR 225/20 (A)

  • ECLI

    ECLI:DE:BAG:2020:300720.B.2AZR225.20A.0

  • Art

    EuGH-Vorlage

  • Datum

    30.07.2020

  • Senat

    2. Senat

Tenor

I. Der Gerichtshof der Europäischen Union wird gemäß Art. 267 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) um die Beantwortung der folgenden Fragen ersucht:

1. Ist Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) dahin auszulegen, dass er einer Bestimmung des nationalen Rechts, wie hier § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 des Bundesdatenschutzgesetzes (BDSG), entgegensteht, die die ordentliche Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten durch den Verantwortlichen, der sein Arbeitgeber ist, für unzulässig erklärt, unabhängig davon, ob sie wegen der Erfüllung seiner Aufgaben erfolgt?

Falls die erste Frage bejaht wird:

2. Steht Art. 38 Abs. 3 Satz 2 DSGVO einer solchen Bestimmung des nationalen Rechts auch dann entgegen, wenn die Benennung des Datenschutzbeauftragten nicht nach Art. 37 Abs. 1 DSGVO verpflichtend ist, sondern nur nach dem Recht des Mitgliedstaats?

Falls die erste Frage bejaht wird:

3. Beruht Art. 38 Abs. 3 Satz 2 DSGVO auf einer ausreichenden Ermächtigungsgrundlage, insbesondere soweit er Datenschutzbeauftragte erfasst, die in einem Arbeitsverhältnis zum Verantwortlichen stehen?

II. Das Revisionsverfahren wird bis zur Entscheidung des Gerichtshofs der Europäischen Union über das Vorabentscheidungsersuchen ausgesetzt.

Leitsatz

Der Gerichtshof der Europäischen Union wird gemäß Art. 267 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) um die Beantwortung der folgenden Fragen ersucht:

1. Ist Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) dahin auszulegen, dass er einer Bestimmung des nationalen Rechts, wie hier § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 des Bundesdatenschutzgesetzes (BDSG), entgegensteht, die die ordentliche Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten durch den Verantwortlichen, der sein Arbeitgeber ist, für unzulässig erklärt, unabhängig davon, ob sie wegen der Erfüllung seiner Aufgaben erfolgt?

Falls die erste Frage bejaht wird:

2. Steht Art. 38 Abs. 3 Satz 2 DSGVO einer solchen Bestimmung des nationalen Rechts auch dann entgegen, wenn die Benennung des Datenschutzbeauftragten nicht nach Art. 37 Abs. 1 DSGVO verpflichtend ist, sondern nur nach dem Recht des Mitgliedstaats?

Falls die erste Frage bejaht wird:

3. Beruht Art. 38 Abs. 3 Satz 2 DSGVO auf einer ausreichenden Ermächtigungsgrundlage, insbesondere soweit er Datenschutzbeauftragte erfasst, die in einem Arbeitsverhältnis zum Verantwortlichen stehen?

Entscheidungsgründe

1

A. Gegenstand des Ausgangsverfahrens

2

Die Parteien streiten zuletzt noch über die Wirksamkeit einer ordentlichen Kündigung des zwischen ihnen bestehenden Arbeitsverhältnisses.

3

Die Klägerin arbeitete seit 15. Januar 2018 bei der Beklagten zu 1. (im Folgenden Beklagte) als „Teamleiter Recht“. Mit Schreiben von diesem Tag benannte die Beklagte die Klägerin mit Wirkung vom 1. Februar 2018 außerdem zur betrieblichen Datenschutzbeauftragten. Die Beklagte, ein privatrechtlich organisiertes Unternehmen, beschäftigt mindestens 50 Arbeitnehmer und war sowohl nach dem Bundesdatenschutzgesetz (BDSG) in der vom 1. September 2009 bis 24. Mai 2018 geltenden Fassung (aF) als auch nach § 38 Abs. 1 Satz 1 BDSG in der vom 25. Mai 2018 bis 25. November 2019 geltenden Fassung zur Benennung eines Datenschutzbeauftragten verpflichtet.

4

Die Beklagte kündigte das Arbeitsverhältnis mit Schreiben vom 13. Juli 2018 ordentlich zum 15. August 2018. Zur Wirksamkeit der Kündigung berief sie sich auf eine Umstrukturierungsmaßnahme, die zum Wegfall des Beschäftigungsbedürfnisses für die Klägerin geführt habe. Die Klägerin hat mit ihrer Klage rechtzeitig die Unwirksamkeit der Kündigung geltend gemacht. Die Vorinstanzen haben der Klage stattgegeben. Die ordentliche Kündigung erweise sich schon deshalb als unwirksam, da der Klägerin als Datenschutzbeauftragter nach § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG nur außerordentlich aus wichtigem Grund gekündigt werden könne. Darüber hinaus stelle die von der Beklagten beschriebene Umstrukturierungsmaßnahme auch keinen wichtigen Grund für eine außerordentliche Kündigung dar. Dagegen hat sich die Beklagte mit ihrer Revision gewandt.

5

B. Das einschlägige nationale Recht

6

I. Bundesdatenschutzgesetz in der vom 25. Mai 2018 bis 25. November 2019 geltenden Fassung (BGBl. 2017 I S. 2097):

        

1.    

„§ 6   

                 

Stellung

                 

…       

                 

(4) Die Abberufung der oder des Datenschutzbeauftragten ist nur in entsprechender Anwendung des § 626 des Bürgerlichen Gesetzbuchs zulässig. Die Kündigung des Arbeitsverhältnisses ist unzulässig, es sei denn, dass Tatsachen vorliegen, welche die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Nach dem Ende der Tätigkeit als Datenschutzbeauftragte oder als Datenschutzbeauftragter ist die Kündigung des Arbeitsverhältnisses innerhalb eines Jahres unzulässig, es sei denn, dass die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist.“

        

2.    

„§ 38 

                 

Datenschutzbeauftragte nichtöffentlicher Stellen

                 

(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

                 

(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.“

7

In § 38 Abs. 1 Satz 1 BDSG in der seit 26. November 2019 geltenden Fassung ist die Beschäftigtenzahl von „zehn“ auf „20“ erhöht worden.

8

II. Bürgerliches Gesetzbuch (BGB) in der Fassung der Bekanntmachung vom 2. Januar 2002 (BGBl. I S. 42, berichtigt S. 2909 und BGBl. 2003 I S. 738):

        

1.    

„§ 134

                 

Gesetzliches Verbot

                 

Ein Rechtsgeschäft, das gegen ein gesetzliches Verbot verstößt, ist nichtig, wenn sich nicht aus dem Gesetz ein anderes ergibt.“

        

2.    

„§ 626

                 

Fristlose Kündigung aus wichtigem Grund

                 

(1) Das Dienstverhältnis kann von jedem Vertragsteil aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist gekündigt werden, wenn Tatsachen vorliegen, auf Grund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalles und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung des Dienstverhältnisses bis zum Ablauf der Kündigungsfrist oder bis zu der vereinbarten Beendigung des Dienstverhältnisses nicht zugemutet werden kann.

                 

(2) Die Kündigung kann nur innerhalb von zwei Wochen erfolgen. Die Frist beginnt mit dem Zeitpunkt, in dem der Kündigungsberechtigte von den für die Kündigung maßgebenden Tatsachen Kenntnis erlangt. …“

9

III. Kündigungsschutzgesetz (KSchG) in der Fassung der Bekanntmachung vom 25. August 1969 (BGBl. I S. 1317), zuletzt geändert durch Art. 4 des Gesetzes vom 17. Juli 2017 (BGBl. I S. 2509):

        

        

„§ 1   

                 

Sozial ungerechtfertigte Kündigungen

                 

(1) Die Kündigung des Arbeitsverhältnisses gegenüber einem Arbeitnehmer, dessen Arbeitsverhältnis in demselben Betrieb oder Unternehmen ohne Unterbrechung länger als sechs Monate bestanden hat, ist rechtsunwirksam, wenn sie sozial ungerechtfertigt ist.

                 

(2) Sozial ungerechtfertigt ist die Kündigung, wenn sie nicht durch Gründe, die in der Person oder in dem Verhalten des Arbeitnehmers liegen, oder durch dringende betriebliche Erfordernisse, die einer Weiterbeschäftigung des Arbeitnehmers in diesem Betrieb entgegenstehen, bedingt ist. …“

10

C. Einschlägige Vorschriften des Unionsrechts

11

Verordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie (RL) 95/46/EG (Datenschutz-Grundverordnung; im Folgenden DSGVO; ABl. L 119 vom 4. Mai 2016 S. 1):

        

1.    

„Artikel 37

                 

Benennung eines Datenschutzbeauftragten

                 

…       

                 

(4) In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen; falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen. …“

        

2.    

„Artikel 38

                 

Stellung des Datenschutzbeauftragten

                 

…       

                 

(3) Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. …“

        

3.    

„Artikel 88

                 

Datenverarbeitung im Beschäftigtenkontext

                 

(1) Die Mitgliedstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses vorsehen.

                 

…“    

12

D. Erforderlichkeit der Entscheidung des Gerichtshofs und Erörterung der Vorlagefragen

13

I. Erforderlichkeit der Entscheidung des Gerichtshofs

14

1. Nach nationalem Recht wäre die Kündigung vom 13. Juli 2018 nach § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG und § 134 BGB nichtig und die Revision der Beklagten unbegründet. Das Arbeitsverhältnis eines Arbeitnehmers, der zugleich verpflichtend benannter Datenschutzbeauftragter ist, kann nur außerordentlich aus wichtigem Grund nach § 626 BGB wirksam gekündigt werden. Die Beklagte hat aber nur eine ordentliche Kündigung ausgesprochen.

15

2. Die Anwendbarkeit von § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG hängt nach dem Verständnis des Senats davon ab, ob nach Unionsrecht, insbesondere Art. 38 Abs. 3 Satz 2 DSGVO, eine mitgliedstaatliche Regelung zulässig ist, durch die eine Kündigung des Arbeitsverhältnisses eines Datenschutzbeauftragten an strengere Voraussetzungen als nach dem Unionsrecht geknüpft ist. Hierüber kann der Senat nicht ohne Anrufung des Gerichtshofs nach Art. 267 AEUV befinden. Müssten dagegen § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 BDSG wegen des Anwendungsvorrangs von Unionsrecht (insbesondere Art. 38 Abs. 3 Satz 2 DSGVO) unangewendet bleiben, wäre die Revision der Beklagten erfolgreich. Mit der vom Landesarbeitsgericht gegebenen Begründung durfte es die Kündigung nicht als nichtig ansehen.

16

II. Erläuterung der ersten Vorlagefrage

17

1. Der Senat kann nicht eindeutig beurteilen, ob neben der Regelung in Art. 38 Abs. 3 Satz 2 DSGVO mitgliedstaatliche Normen anwendbar sind, die die Möglichkeit der Kündigung des Arbeitsverhältnisses eines betrieblichen Datenschutzbeauftragten gegenüber den unionsrechtlichen Regelungen einschränken.

18

2. Nach Art. 38 Abs. 3 Satz 2 DSGVO darf der Datenschutzbeauftragte von dem Verantwortlichen wegen der Erfüllung seiner Aufgaben nicht abberufen (in der englischen Sprachfassung „dismissed“, was nach dem Verständnis des Senats als Verbot einer Kündigung verstanden werden kann) oder benachteiligt werden. Demgegenüber sieht § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 BDSG vor, dass ein verpflichtend benannter Datenschutzbeauftragter nur aus wichtigem Grund (vgl. § 626 BGB) abberufen und sein Arbeitsverhältnis ebenfalls nur aus wichtigem Grund gekündigt werden kann, auch wenn die Abberufung oder Kündigung – wie vorliegend – nicht mit der Erfüllung seiner Aufgaben in einem Zusammenhang stehen. Das nationale Recht sieht – wenn der verpflichtend zu benennende Datenschutzbeauftragte für den Verantwortlichen oder Auftragsverarbeiter zugleich als Arbeitnehmer beschäftigt wird – neben dem Schutz vor einer Abberufung zusätzlich einen Kündigungsschutz für das Arbeitsverhältnis vor. Dieser besteht ein Jahr über den Zeitpunkt einer etwaigen Abberufung hinaus fort und ist unabhängig davon, ob die Benennung eines Datenschutzbeauftragten auch nach Art. 37 Abs. 1 DSGVO verpflichtend ist und der Arbeitnehmer den allgemeinen Kündigungsschutz nach nationalem Recht (§ 1 Abs. 1 KSchG) erworben hat. Der Senat weist ergänzend darauf hin, dass nach nationalem Recht ein wichtiger Grund für die Abberufung nicht darin liegt, dass aufgrund einer organisatorischen Änderung der betriebliche Datenschutz zukünftig durch einen externen Datenschutzbeauftragten gewährleistet werden soll (vgl. BAG 23. März 2011 – 10 AZR 562/09 – Rn. 18).

19

3. Die DSGVO ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat (Art. 99 Abs. 2 DSGVO iVm. Art. 288 Abs. 2 AEUV). Nach der Rechtsprechung des Gerichtshofs bewirken gemäß dem Grundsatz des Vorrangs des Unionsrechts die Bestimmungen des AEU-Vertrags und die unmittelbar geltenden Rechtsakte der Organe in ihrem Verhältnis zum innerstaatlichen Recht der Mitgliedstaaten, dass allein durch ihr Inkrafttreten jede entgegenstehende Bestimmung des nationalen Rechts ohne Weiteres unanwendbar wird (EuGH 4. Februar 2016 – C-336/14 – Rn. 52; 14. Juni 2012 – C-606/10 – Rn. 73). Die DSGVO will – wie schon die durch sie aufgehobene RL 95/46/EG vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23. November 1995 S. 31) – durch Harmonisierung der nationalen Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten den freien Verkehr dieser Daten zwischen Mitgliedstaaten sicherstellen (vgl. Erwägungsgründe 9 ff. DSGVO; EuGH 20. Mai 2003 – C-465/00 ua.- Rn. 39). Wegen der von der RL 95/46/EG bewirkten Vollharmonisierung konnten nach der Rechtsprechung des Gerichtshofs auch verschärfende nationale Regelungen unzulässig sein (EuGH 24. November 2011 – C-468/10 und C-469/10 – Rn. 29 ff.).

20

4. Die unionsrechtliche Rechtslage wird im nationalen Schrifttum unterschiedlich beurteilt.

21

a) Überwiegend wird die Auffassung vertreten, bei dem Sonderkündigungsschutz in § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 2 und Satz 3 BDSG handele es sich um materiell-arbeitsrechtliche Regelungen, für die gemäß Art. 153 AEUV keine Gesetzgebungskompetenz der Union bestehe, weshalb eine Kollision mit Art. 38 Abs. 3 Satz 2 DSGVO ausscheide. Außerdem könne sich der nationale Gesetzgeber bei einer Lückenfüllung auf die arbeitsrechtliche Öffnungsklausel des Art. 88 DSGVO stützen (vgl. Däubler in Däubler/Wedde/Weichert/Sommer EU-DSGVO und BDSG 2. Aufl. § 6 BDSG Rn. 6; EuArbRK/Franzen 3. Aufl. VO 2016/679/EU Art. 38 Rn. 1). Nach den Materialien zur Neufassung des BDSG ist auch der deutsche Gesetzgeber offenbar davon ausgegangen, dass es sich bei § 6 Abs. 4 BDSG um eine arbeitsrechtliche Regelung handelt, die ergänzend zu den Vorgaben der DSGVO entsprechend der bis zum 24. Mai 2018 geltenden nationalen Rechtslage beibehalten werden könne (vgl. BT-Drs. 18/11325 S. 82).

22

b) Die Gegenansicht nimmt an, die Verknüpfung des arbeitsrechtlichen Kündigungsschutzes mit der Stellung des Datenschutzbeauftragten sei im Bereich der nichtöffentlichen Stellen unionsrechtswidrig, jedenfalls soweit es sich um nach Art. 37 Abs. 1 DSGVO verpflichtend zu benennende Datenschutzbeauftragte handele. Es werde ein wirtschaftlicher Druck aufgebaut, an einem einmal benannten Datenschutzbeauftragten dauerhaft festzuhalten (vgl. Kühling/Sackmann in Kühling/Buchner DS-GVO/BDSG 2. Aufl. § 38 BDSG Rn. 20; von dem Bussche in Plath DSGVO/BDSG 3. Aufl. § 6 BDSG Rn. 2, 20). Ebenso wird in Frage gestellt, ob der Sonderkündigungsschutz für den internen Datenschutzbeauftragten überhaupt in den Anwendungsbereich von Art. 88 Abs. 1 DSGVO fällt.

23

III. Erläuterung der zweiten Vorlagefrage

24

1. Für den Fall, dass die erste Vorlagefrage bejaht wird, möchte der Senat wissen, ob das Unionsrecht, insbesondere Art. 38 Abs. 3 Satz 2 DSGVO, dem weitergehenden nationalen Kündigungsschutz auch dann entgegensteht, wenn die Benennung des Datenschutzbeauftragten nicht nach Art. 37 Abs. 1 DSGVO verpflichtend ist, sondern nur nach dem Recht des Mitgliedstaats.

25

2. Das Unionsrecht könnte dahingehend auszulegen sein, dass ein etwaiger Anwendungsvorrang des Art. 38 Abs. 3 Satz 2 DSGVO lediglich für nach Unionsrecht verpflichtend benannte Datenschutzbeauftragte besteht, da die Regelung nur insoweit als abschließend zu betrachten sein könnte. Die Voraussetzungen, unter denen ein Datenschutzbeauftragter verpflichtend zu benennen ist, sind in Art. 37 Abs. 1 DSGVO und in § 38 Abs. 1 BDSG unterschiedlich geregelt und decken sich nicht. Die Vorinstanz hat im Ausgangsverfahren bislang nur festgestellt, dass die Klägerin nach § 38 Abs. 1 BDSG verpflichtend als Datenschutzbeauftragte benannt wurde. Ob eine solche Verpflichtung auch nach Art. 37 Abs. 1 DSGVO bestand, bedürfte gegebenenfalls weiterer Feststellungen.

26

3. Außerdem bedarf es einer Klärung, wie in diesem Zusammenhang Art. 37 Abs. 4 Satz 1 Halbs. 2 DSGVO zu verstehen ist. Der Wortlaut der Norm ließe jedenfalls die Auslegung zu, dass ein nach dem Recht eines Mitgliedstaats verpflichtend benannter Datenschutzbeauftragter damit auch iSd. DSGVO verpflichtend benannt ist. Nach der unionsrechtlichen Regelung „müssen“ (englische Sprachfassung: „shall“) die Verantwortlichen einen Datenschutzbeauftragten benennen, falls ihnen dies nach dem Recht des Mitgliedstaats vorgeschrieben ist. Sollte Art. 37 Abs. 4 Satz 1 Halbs. 2 DSGVO so auszulegen sein, wäre – sofern die erste Vorlagefrage bejaht wird – ein nach nationalem Recht bestehender Kündigungsschutz unzulässig, selbst wenn die Benennung des Datenschutzbeauftragten nicht nach Art. 37 Abs. 1 DSGVO verpflichtend ist, sondern nur nach nationalem Recht.

27

IV. Erläuterung der dritten Vorlagefrage

28

1. Für den Fall der Bejahung der ersten Vorlagefrage möchte der Senat wissen, ob Art. 38 Abs. 3 Satz 2 DSGVO auf einer ausreichenden Ermächtigungsgrundlage beruht, insbesondere soweit er Datenschutzbeauftragte erfasst, die in einem Arbeitsverhältnis zum Verantwortlichen stehen, oder ob seiner Wirksamkeit mangels einer solchen Ermächtigungsgrundlage Hinderungsgründe entgegenstehen.

29

2. Für die Europäische Union gilt gemäß Art. 5 Abs. 1 und Abs. 2 EUV der Grundsatz der begrenzten Einzelermächtigung. Er wird konkretisiert durch Art. 2 ff. AEUV. Die Union wird danach nur innerhalb der Grenzen der Zuständigkeiten tätig, die die Mitgliedstaaten ihr in den Verträgen zur Verwirklichung der darin niedergelegten Ziele übertragen haben.

30

a) Der Erlass der DSGVO wird insbesondere auf Art. 16 AEUV gestützt (vgl. Eingangsformel und Erwägungsgrund 12 DSGVO). Unionsrechtliche Regelungen über die Datenverarbeitung durch Privatpersonen könnten nach dem Verständnis des Senats lediglich auf der Basis des Terminus „freier Datenverkehr“ in Art. 16 Abs. 2 Satz 1 letzter Halbsatz AEUV ergehen. Allerdings wird der Wortlaut von Art. 16 Abs. 2 Satz 1 AEUV im nationalen Schrifttum teilweise so verstanden, dass sich die vertraglich eingeräumte Rechtssetzungsbefugnis der Union lediglich auf den Datenschutz bei der Datenverarbeitung der Unionsorgane, die Datenverarbeitung der öffentlichen Stellen bei der Umsetzung des Unionsrechts und auf die grenzüberschreitende Datenverarbeitung beschränkt (vgl. Giesen CR 2012, 550, 554). Die bisherige Rechtsprechung des Gerichtshofs zur RL 95/46/EG und Art. 100a EGV ist nicht von einem so engen Verständnis ausgegangen (vgl. EuGH 20. Mai 2003 – C-465/00 ua. – Rn. 39 ff.).

31

b) Andererseits könnte die Ermächtigungsgrundlage zur Rechtsangleichung im Binnenmarkt gemäß Art. 114 Abs. 1 AEUV maßgeblich sein (zu RL 95/46/EG und Art. 100a EGV EuGH 20. Mai 2003 – C-465/00 ua. – Rn. 39 ff.). Einem Rückgriff auf Art. 114 Abs. 1 AEUV als Kompetenzgrundlage könnte aber in Bezug auf Art. 38 Abs. 3 Satz 2 DSGVO Art. 114 Abs. 2 AEUV entgegenstehen, wonach Absatz 1 ua. nicht für Bestimmungen über die Rechte und Interessen der Arbeitnehmer gilt. Dies wäre dann kein Hindernis, wenn die DSGVO keine spezifische Zielrichtung in Bezug auf Arbeitnehmerrechte enthielte, sondern nur die Regelung einer Querschnittsmaterie mit bloßen Reflexen auch auf die Rechtsstellung von Beschäftigten (vgl. EuArbRK/Franzen 3. Aufl. AEUV Art. 16 Rn. 3).

32

3. Wenngleich der Senat die im nationalen Schrifttum geäußerten und nachfolgend dargestellten Bedenken in Bezug auf die Gültigkeit der DSGVO nicht teilt, bittet er den Gerichtshof, zur Klärung der unionsrechtlichen Rechtslage und aus Gründen der Rechtsklarheit auf diese einzugehen.

33

a) Teilweise wird vom Schrifttum ein Verstoß gegen das unionsrechtliche Subsidiaritätsprinzip (Art. 5 Abs. 3 Unterabs. 1 EUV) angenommen (ausführliche Darstellung bei Morasch Datenverarbeitung im Beschäftigungskontext S. 38 ff.). In Übereinstimmung mit dieser Sichtweise hat der Deutsche Bundesrat mit Beschluss vom 30. März 2012 (BR-Drs. 52/12 (Beschluss)) eine Subsidiaritätsrüge nach Art. 12 Buchst. b EUV iVm. Art. 6 des Protokolls über die Anwendung der Grundsätze der Subsidiarität und der Verhältnismäßigkeit vom 13. Dezember 2007 (ABl. C 306 vom 17. Dezember 2007 S. 150) gegen den ursprünglichen Vorschlag der DSGVO erhoben.

34

b) Schließlich wird die DSGVO vereinzelt im nationalen Schrifttum wegen eines Verstoßes gegen das Verhältnismäßigkeitsprinzip des Art. 5 Abs. 4 Unterabs. 1 EUV für unwirksam gehalten (vgl. Giesen NVwZ 2019, 1711, 1712).

35

E. Das Revisionsverfahren ist in entsprechender Anwendung von § 148 Abs. 1 ZPO bis zur Entscheidung des Gerichtshofs über das Vorabentscheidungsersuchen auszusetzen.

        

    Koch    

        

    Niemann    

        

    Schlünder    

        

        

        

    Söller    

        

    Alex