Prüfung der Vereinbarkeit des Sonderkündigungsschutzes des Datenschutzbeauftragten nach § 38 Abs. 2 i.V.m. § 6 Abs. 4 Satz 2 BDSG mit Art. 38 Abs. 3 Satz 2 DSGVO
Unionsrechtliche Beurteilung des Sonderkündigungsschutzes des Datenschutzbeauftragten je nach der Rechtsgrundlage seiner Benennung
Gründe:
A. Gegenstand des Ausgangsverfahrens
Die Parteien streiten zuletzt noch über die Wirksamkeit einer ordentlichen Kündigung des zwischen ihnen bestehenden Arbeitsverhältnisses.
Die Klägerin arbeitete seit 15. Januar 2018 bei der Beklagten zu 1. (im Folgenden Beklagte) als "Teamleiter Recht". Mit Schreiben
von diesem Tag benannte die Beklagte die Klägerin mit Wirkung vom 1. Februar 2018 außerdem zur betrieblichen Datenschutzbeauftragten.
Die Beklagte, ein privatrechtlich organisiertes Unternehmen, beschäftigt mindestens 50 Arbeitnehmer und war sowohl nach dem
Bundesdatenschutzgesetz (
BDSG) in der vom 1. September 2009 bis 24. Mai 2018 geltenden Fassung (aF) als auch nach §
38 Abs.
1 Satz 1
BDSG in der vom 25. Mai 2018 bis 25. November 2019 geltenden Fassung zur Benennung eines Datenschutzbeauftragten verpflichtet.
Die Beklagte kündigte das Arbeitsverhältnis mit Schreiben vom 13. Juli 2018 ordentlich zum 15. August 2018. Zur Wirksamkeit
der Kündigung berief sie sich auf eine Umstrukturierungsmaßnahme, die zum Wegfall des Beschäftigungsbedürfnisses für die Klägerin
geführt habe. Die Klägerin hat mit ihrer Klage rechtzeitig die Unwirksamkeit der Kündigung geltend gemacht. Die Vorinstanzen
haben der Klage stattgegeben. Die ordentliche Kündigung erweise sich schon deshalb als unwirksam, da der Klägerin als Datenschutzbeauftragter
nach §
38 Abs.
2 iVm. §
6 Abs.
4 Satz 2
BDSG nur außerordentlich aus wichtigem Grund gekündigt werden könne. Darüber hinaus stelle die von der Beklagten beschriebene
Umstrukturierungsmaßnahme auch keinen wichtigen Grund für eine außerordentliche Kündigung dar. Dagegen hat sich die Beklagte
mit ihrer Revision gewandt.
B. Das einschlägige nationale Recht
1. "§ 6
Stellung
...
(4) Die Abberufung der oder des Datenschutzbeauftragten ist nur in entsprechender Anwendung des §
626 des
Bürgerlichen Gesetzbuchs zulässig. Die Kündigung des Arbeitsverhältnisses ist unzulässig, es sei denn, dass Tatsachen vorliegen, welche die öffentliche
Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Nach dem Ende der Tätigkeit als
Datenschutzbeauftragte oder als Datenschutzbeauftragter ist die Kündigung des Arbeitsverhältnisses innerhalb eines Jahres
unzulässig, es sei denn, dass die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist
berechtigt ist."
2. "§ 38
Datenschutzbeauftragte nichtöffentlicher Stellen
(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter
eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit
der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter
Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder
verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für
Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen
eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.
(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten
verpflichtend ist."
In §
38 Abs.
1 Satz 1
BDSG in der seit 26. November 2019 geltenden Fassung ist die Beschäftigtenzahl von "zehn" auf "20" erhöht worden.
II.
Bürgerliches Gesetzbuch (
BGB) in der Fassung der Bekanntmachung vom 2. Januar 2002 (BGBl. I S. 42, berichtigt S. 2909 und BGBl. 2003 I S. 738):
1. "§ 134
Gesetzliches Verbot
Ein Rechtsgeschäft, das gegen ein gesetzliches Verbot verstößt, ist nichtig, wenn sich nicht aus dem Gesetz ein anderes ergibt."
2. "§ 626
Fristlose Kündigung aus wichtigem Grund
(1) Das Dienstverhältnis kann von jedem Vertragsteil aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist gekündigt werden,
wenn Tatsachen vorliegen, auf Grund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalles und unter
Abwägung der Interessen beider Vertragsteile die Fortsetzung des Dienstverhältnisses bis zum Ablauf der Kündigungsfrist oder
bis zu der vereinbarten Beendigung des Dienstverhältnisses nicht zugemutet werden kann.
(2) Die Kündigung kann nur innerhalb von zwei Wochen erfolgen. Die Frist beginnt mit dem Zeitpunkt, in dem der Kündigungsberechtigte
von den für die Kündigung maßgebenden Tatsachen Kenntnis erlangt. ..."
III. Kündigungsschutzgesetz (KSchG) in der Fassung der Bekanntmachung vom 25. August 1969 (BGBl. I S. 1317), zuletzt geändert durch Art. 4 des Gesetzes vom 17. Juli 2017 (BGBl. I S. 2509):
"§ 1
Sozial ungerechtfertigte Kündigungen
(1) Die Kündigung des Arbeitsverhältnisses gegenüber einem Arbeitnehmer, dessen Arbeitsverhältnis in demselben Betrieb oder
Unternehmen ohne Unterbrechung länger als sechs Monate bestanden hat, ist rechtsunwirksam, wenn sie sozial ungerechtfertigt
ist.
(2) Sozial ungerechtfertigt ist die Kündigung, wenn sie nicht durch Gründe, die in der Person oder in dem Verhalten des Arbeitnehmers
liegen, oder durch dringende betriebliche Erfordernisse, die einer Weiterbeschäftigung des Arbeitnehmers in diesem Betrieb
entgegenstehen, bedingt ist. ..."
C. Einschlägige Vorschriften des Unionsrechts
Verordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten,
zum freien Datenverkehr und zur Aufhebung der Richtlinie (RL) 95/46/EG (Datenschutz-Grundverordnung; im Folgenden DSGVO; ABl. L 119 vom 4. Mai 2016 S. 1):
1. "Artikel 37
Benennung eines Datenschutzbeauftragten
...
(4) In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder der Auftragsverarbeiter oder Verbände
und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten
benennen; falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen.
..."
2. "Artikel 38
Stellung des Datenschutzbeauftragten
...
(3) Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner
Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen
oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. ..."
3. "Artikel 88
Datenverarbeitung im Beschäftigtenkontext
(1) Die Mitgliedstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur
Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im
Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung
von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten, des Managements, der Planung und der
Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des
Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden
individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses vorsehen.
..."
D. Erforderlichkeit der Entscheidung des Gerichtshofs und Erörterung der Vorlagefragen
I. Erforderlichkeit der Entscheidung des Gerichtshofs
1. Nach nationalem Recht wäre die Kündigung vom 13. Juli 2018 nach §
38 Abs.
2 iVm. §
6 Abs.
4 Satz 2
BDSG und §
134 BGB nichtig und die Revision der Beklagten unbegründet. Das Arbeitsverhältnis eines Arbeitnehmers, der zugleich verpflichtend
benannter Datenschutzbeauftragter ist, kann nur außerordentlich aus wichtigem Grund nach §
626 BGB wirksam gekündigt werden. Die Beklagte hat aber nur eine ordentliche Kündigung ausgesprochen.
2. Die Anwendbarkeit von §
38 Abs.
2 iVm. §
6 Abs.
4 Satz 2
BDSG hängt nach dem Verständnis des Senats davon ab, ob nach Unionsrecht, insbesondere Art. 38 Abs. 3 Satz 2 DSGVO, eine mitgliedstaatliche Regelung zulässig ist, durch die eine Kündigung des Arbeitsverhältnisses eines Datenschutzbeauftragten
an strengere Voraussetzungen als nach dem Unionsrecht geknüpft ist. Hierüber kann der Senat nicht ohne Anrufung des Gerichtshofs
nach Art. 267 AEUV befinden. Müssten dagegen §
38 Abs. 1 und Abs. 2 iVm. §
6 Abs.
4 Satz 2
BDSG wegen des Anwendungsvorrangs von Unionsrecht (insbesondere Art. 38 Abs. 3 Satz 2 DSGVO) unangewendet bleiben, wäre die Revision der Beklagten erfolgreich. Mit der vom Landesarbeitsgericht gegebenen Begründung
durfte es die Kündigung nicht als nichtig ansehen.
II. Erläuterung der ersten Vorlagefrage
1. Der Senat kann nicht eindeutig beurteilen, ob neben der Regelung in Art. 38 Abs. 3 Satz 2 DSGVO mitgliedstaatliche Normen anwendbar sind, die die Möglichkeit der Kündigung des Arbeitsverhältnisses eines betrieblichen
Datenschutzbeauftragten gegenüber den unionsrechtlichen Regelungen einschränken.
2. Nach Art. 38 Abs. 3 Satz 2 DSGVO darf der Datenschutzbeauftragte von dem Verantwortlichen wegen der Erfüllung seiner Aufgaben nicht abberufen (in der englischen
Sprachfassung "dismissed", was nach dem Verständnis des Senats als Verbot einer Kündigung verstanden werden kann) oder benachteiligt
werden. Demgegenüber sieht §
38 Abs.
1 und Abs.
2 iVm. §
6 Abs.
4 BDSG vor, dass ein verpflichtend benannter Datenschutzbeauftragter nur aus wichtigem Grund (vgl. §
626 BGB) abberufen und sein Arbeitsverhältnis ebenfalls nur aus wichtigem Grund gekündigt werden kann, auch wenn die Abberufung oder
Kündigung - wie vorliegend - nicht mit der Erfüllung seiner Aufgaben in einem Zusammenhang stehen. Das nationale Recht sieht
- wenn der verpflichtend zu benennende Datenschutzbeauftragte für den Verantwortlichen oder Auftragsverarbeiter zugleich als
Arbeitnehmer beschäftigt wird - neben dem Schutz vor einer Abberufung zusätzlich einen Kündigungsschutz für das Arbeitsverhältnis
vor. Dieser besteht ein Jahr über den Zeitpunkt einer etwaigen Abberufung hinaus fort und ist unabhängig davon, ob die Benennung
eines Datenschutzbeauftragten auch nach Art. 37 Abs. 1 DSGVO verpflichtend ist und der Arbeitnehmer den allgemeinen Kündigungsschutz nach nationalem Recht (§ 1 Abs. 1 KSchG) erworben hat. Der Senat weist ergänzend darauf hin, dass nach nationalem Recht ein wichtiger Grund für die Abberufung nicht
darin liegt, dass aufgrund einer organisatorischen Änderung der betriebliche Datenschutz zukünftig durch einen externen Datenschutzbeauftragten
gewährleistet werden soll (vgl. BAG 23. März 2011 - 10 AZR 562/09 - Rn. 18).
3. Die DSGVO ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat (Art. 99 Abs. 2 DSGVO iVm. Art. 288 Abs. 2 AEUV). Nach der Rechtsprechung des Gerichtshofs bewirken gemäß dem Grundsatz des Vorrangs des Unionsrechts die Bestimmungen des
AEU-Vertrags und die unmittelbar geltenden Rechtsakte der Organe in ihrem Verhältnis zum innerstaatlichen Recht der Mitgliedstaaten,
dass allein durch ihr Inkrafttreten jede entgegenstehende Bestimmung des nationalen Rechts ohne Weiteres unanwendbar wird
(EuGH 4. Februar 2016 - C-336/14 - Rn. 52; 14. Juni 2012 - C-606/10 - Rn. 73). Die DSGVO will - wie schon die durch sie aufgehobene RL 95/46/EG vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr
(ABl. L 281 vom 23. November 1995 S. 31) - durch Harmonisierung der nationalen Vorschriften zum Schutz natürlicher Personen
bei der Verarbeitung personenbezogener Daten den freien Verkehr dieser Daten zwischen Mitgliedstaaten sicherstellen (vgl.
Erwägungsgründe 9 ff. DSGVO; EuGH 20. Mai 2003 - C-465/00 ua.- Rn. 39). Wegen der von der RL 95/46/EG bewirkten Vollharmonisierung konnten nach der Rechtsprechung des Gerichtshofs auch verschärfende nationale Regelungen unzulässig
sein (EuGH 24. November 2011 - C-468/10 und C-469/10 - Rn. 29 ff.).
4. Die unionsrechtliche Rechtslage wird im nationalen Schrifttum unterschiedlich beurteilt.
a) Überwiegend wird die Auffassung vertreten, bei dem Sonderkündigungsschutz in §
38 Abs.
2 iVm. §
6 Abs.
4 Satz 2 und Satz 3
BDSG handele es sich um materiell-arbeitsrechtliche Regelungen, für die gemäß Art. 153 AEUV keine Gesetzgebungskompetenz der Union bestehe, weshalb eine Kollision mit Art. 38 Abs. 3 Satz 2 DSGVO ausscheide. Außerdem könne sich der nationale Gesetzgeber bei einer Lückenfüllung auf die arbeitsrechtliche Öffnungsklausel
des Art. 88 DSGVO stützen (vgl. Däubler in Däubler/Wedde/Weichert/Sommer EU-DSGVO und
BDSG 2. Aufl. §
6 BDSG Rn. 6; EuArbRK/Franzen 3. Aufl. VO 2016/679/EU Art. 38 Rn. 1). Nach den Materialien zur Neufassung des
BDSG ist auch der deutsche Gesetzgeber offenbar davon ausgegangen, dass es sich bei §
6 Abs.
4 BDSG um eine arbeitsrechtliche Regelung handelt, die ergänzend zu den Vorgaben der DSGVO entsprechend der bis zum 24. Mai 2018 geltenden nationalen Rechtslage beibehalten werden könne (vgl. BT-Drs. 18/11325 S.
82).
b) Die Gegenansicht nimmt an, die Verknüpfung des arbeitsrechtlichen Kündigungsschutzes mit der Stellung des Datenschutzbeauftragten
sei im Bereich der nichtöffentlichen Stellen unionsrechtswidrig, jedenfalls soweit es sich um nach Art. 37 Abs. 1 DSGVO verpflichtend zu benennende Datenschutzbeauftragte handele. Es werde ein wirtschaftlicher Druck aufgebaut, an einem einmal
benannten Datenschutzbeauftragten dauerhaft festzuhalten (vgl. Kühling/Sackmann in Kühling/Buchner DS-GVO/BDSG 2. Aufl. §
38 BDSG Rn. 20; von dem Bussche in Plath DSGVO/BDSG 3. Aufl. §
6 BDSG Rn. 2, 20). Ebenso wird in Frage gestellt, ob der Sonderkündigungsschutz für den internen Datenschutzbeauftragten überhaupt
in den Anwendungsbereich von Art. 88 Abs. 1 DSGVO fällt.
III. Erläuterung der zweiten Vorlagefrage
1. Für den Fall, dass die erste Vorlagefrage bejaht wird, möchte der Senat wissen, ob das Unionsrecht, insbesondere Art. 38 Abs. 3 Satz 2 DSGVO, dem weitergehenden nationalen Kündigungsschutz auch dann entgegensteht, wenn die Benennung des Datenschutzbeauftragten nicht
nach Art. 37 Abs. 1 DSGVO verpflichtend ist, sondern nur nach dem Recht des Mitgliedstaats.
2. Das Unionsrecht könnte dahingehend auszulegen sein, dass ein etwaiger Anwendungsvorrang des Art. 38 Abs. 3 Satz 2 DSGVO lediglich für nach Unionsrecht verpflichtend benannte Datenschutzbeauftragte besteht, da die Regelung nur insoweit als abschließend
zu betrachten sein könnte. Die Voraussetzungen, unter denen ein Datenschutzbeauftragter verpflichtend zu benennen ist, sind
in Art. 37 Abs. 1 DSGVO und in §
38 Abs. 1
BDSG unterschiedlich geregelt und decken sich nicht. Die Vorinstanz hat im Ausgangsverfahren bislang nur festgestellt, dass die
Klägerin nach §
38 Abs.
1 BDSG verpflichtend als Datenschutzbeauftragte benannt wurde. Ob eine solche Verpflichtung auch nach Art. 37 Abs. 1 DSGVO bestand, bedürfte gegebenenfalls weiterer Feststellungen.
3. Außerdem bedarf es einer Klärung, wie in diesem Zusammenhang Art. 37 Abs. 4 Satz 1 Halbs. 2 DSGVO zu verstehen ist. Der Wortlaut der Norm ließe jedenfalls die Auslegung zu, dass ein nach dem Recht eines Mitgliedstaats verpflichtend
benannter Datenschutzbeauftragter damit auch iSd. DSGVO verpflichtend benannt ist. Nach der unionsrechtlichen Regelung "müssen" (englische Sprachfassung: "shall") die Verantwortlichen
einen Datenschutzbeauftragten benennen, falls ihnen dies nach dem Recht des Mitgliedstaats vorgeschrieben ist. Sollte Art.
37 Abs. 4 Satz 1 Halbs. 2 DSGVO so auszulegen sein, wäre - sofern die erste Vorlagefrage bejaht wird - ein nach nationalem Recht bestehender Kündigungsschutz
unzulässig, selbst wenn die Benennung des Datenschutzbeauftragten nicht nach Art. 37 Abs. 1 DSGVO verpflichtend ist, sondern nur nach nationalem Recht.
IV. Erläuterung der dritten Vorlagefrage
1. Für den Fall der Bejahung der ersten Vorlagefrage möchte der Senat wissen, ob Art. 38 Abs. 3 Satz 2 DSGVO auf einer ausreichenden Ermächtigungsgrundlage beruht, insbesondere soweit er Datenschutzbeauftragte erfasst, die in einem
Arbeitsverhältnis zum Verantwortlichen stehen, oder ob seiner Wirksamkeit mangels einer solchen Ermächtigungsgrundlage Hinderungsgründe
entgegenstehen.
2. Für die Europäische Union gilt gemäß Art. 5 Abs. 1 und Abs. 2 EUV der Grundsatz der begrenzten Einzelermächtigung. Er wird konkretisiert durch Art. 2 ff. AEUV. Die Union wird danach nur innerhalb der Grenzen der Zuständigkeiten tätig, die die Mitgliedstaaten ihr in den Verträgen
zur Verwirklichung der darin niedergelegten Ziele übertragen haben.
a) Der Erlass der DSGVO wird insbesondere auf Art. 16 AEUV gestützt (vgl. Eingangsformel und Erwägungsgrund 12 DSGVO). Unionsrechtliche Regelungen über die Datenverarbeitung durch Privatpersonen könnten nach dem Verständnis des Senats lediglich
auf der Basis des Terminus "freier Datenverkehr" in Art. 16 Abs. 2 Satz 1 letzter Halbsatz AEUV ergehen. Allerdings wird der Wortlaut von Art. 16 Abs. 2 Satz 1 AEUV im nationalen Schrifttum teilweise so verstanden, dass sich die vertraglich eingeräumte Rechtssetzungsbefugnis der Union
lediglich auf den Datenschutz bei der Datenverarbeitung der Unionsorgane, die Datenverarbeitung der öffentlichen Stellen bei
der Umsetzung des Unionsrechts und auf die grenzüberschreitende Datenverarbeitung beschränkt (vgl. Giesen CR 2012, 550, 554). Die bisherige Rechtsprechung des Gerichtshofs zur RL 95/46/EG und Art. 100a EGV ist nicht von einem so engen Verständnis ausgegangen (vgl. EuGH 20. Mai 2003 - C-465/00 ua. - Rn. 39 ff.).
b) Andererseits könnte die Ermächtigungsgrundlage zur Rechtsangleichung im Binnenmarkt gemäß Art. 114 Abs. 1 AEUV maßgeblich sein (zu RL 95/46/EG und Art. 100a EGV EuGH 20. Mai 2003 - C-465/00 ua. - Rn. 39 ff.). Einem Rückgriff auf Art. 114 Abs. 1 AEUV als Kompetenzgrundlage könnte aber in Bezug auf Art. 38 Abs. 3 Satz 2 DSGVO Art. 114 Abs. 2 AEUV entgegenstehen, wonach Absatz 1 ua. nicht für Bestimmungen über die Rechte und Interessen der Arbeitnehmer gilt. Dies wäre dann kein Hindernis, wenn die
DSGVO keine spezifische Zielrichtung in Bezug auf Arbeitnehmerrechte enthielte, sondern nur die Regelung einer Querschnittsmaterie
mit bloßen Reflexen auch auf die Rechtsstellung von Beschäftigten (vgl. EuArbRK/Franzen 3. Aufl. AEUV Art. 16 Rn. 3).
3. Wenngleich der Senat die im nationalen Schrifttum geäußerten und nachfolgend dargestellten Bedenken in Bezug auf die Gültigkeit
der DSGVO nicht teilt, bittet er den Gerichtshof, zur Klärung der unionsrechtlichen Rechtslage und aus Gründen der Rechtsklarheit auf
diese einzugehen.
a) Teilweise wird vom Schrifttum ein Verstoß gegen das unionsrechtliche Subsidiaritätsprinzip (Art. 5 Abs. 3 Unterabs. 1 EUV) angenommen (ausführliche Darstellung bei Morasch Datenverarbeitung im Beschäftigungskontext S. 38 ff.). In Übereinstimmung
mit dieser Sichtweise hat der Deutsche Bundesrat mit Beschluss vom 30. März 2012 (BR-Drs. 52/12 (Beschluss)) eine Subsidiaritätsrüge
nach Art. 12 Buchst. b EUV iVm. Art. 6 des Protokolls über die Anwendung der Grundsätze der Subsidiarität und der Verhältnismäßigkeit vom 13. Dezember 2007 (ABl.
C 306 vom 17. Dezember 2007 S. 150) gegen den ursprünglichen Vorschlag der DSGVO erhoben.
b) Schließlich wird die DSGVO vereinzelt im nationalen Schrifttum wegen eines Verstoßes gegen das Verhältnismäßigkeitsprinzip des Art. 5 Abs. 4 Unterabs. 1 EUV für unwirksam gehalten (vgl. Giesen NVwZ 2019, 1711, 1712).
E. Das Revisionsverfahren ist in entsprechender Anwendung von §
148 Abs.
1 ZPO bis zur Entscheidung des Gerichtshofs über das Vorabentscheidungsersuchen auszusetzen.