Das ULD hat beim BVerwG Revision eingelegt, mit der es u. a. eine Verletzung von § 38 Abs. 5 BDSG rügt und verschiedene Verfahrensfehler geltend macht, die sich seiner Ansicht nach auf die Entscheidung des Berufungsgerichts auswirken. Es sieht den Verstoß der Wirtschaftsakademie in der Beauftragung eines ungeeigneten, weil Datenschutzrecht nicht beachtenden Anbieters, hier Facebook Ireland, mit der Erstellung, Bereithaltung und Wartung eines Internetauftritts. Die mit dem angefochtenen Bescheid gegenüber der Wirtschaftsakademie erlassene Anordnung, ihre Fanpage zu deaktivieren, ziele daher auf die Beseitigung dieses Verstoßes, da sie ihr die weitere Nutzung der Facebook-Infrastruktur als technischer Grundlage ihres Webauftritts untersage.
Das Bundesverwaltungsgericht ist wie das Oberverwaltungsgericht der Ansicht, dass die Wirtschaftsakademie selbst nicht als im Sinne von § 3 Abs. 7 BDSG oder Art. 2 Buchst. d der Richtlinie 95/46 für die Verarbeitung der Daten verantwortlich angesehen werden könne. Gleichwohl geht es davon aus, dass dieser Begriff im Interesse eines wirksamen Persönlichkeitsschutzes grundsätzlich weit auszulegen sei, wie dies auch der Gerichtshof in seiner jüngsten einschlägigen Rechtsprechung anerkannt habe. Außerdem hat es in Anbetracht dessen, dass der für die Erhebung und Verarbeitung personenbezogener Daten innerhalb des Facebook-Konzerns auf Unionsebene Verantwortliche Facebook Ireland ist, Zweifel hinsichtlich der Befugnisse, die dem ULD im vorliegenden Fall gegenüber Facebook Germany zustehen. Schließlich sei fraglich, welche Bedeutung für die Zwecke der Ausübung der Einwirkungsbefugnisse des ULD der Beurteilung der für Facebook Ireland zuständigen Kontrollstelle bezüglich der Rechtmäßigkeit der in Rede stehenden Verarbeitung personenbezogener Daten zukomme.
Unter diesen Umständen hat das Bundesverwaltungsgericht beschlossen, das Verfahren auszusetzen und dem Gerichtshof die folgenden Fragen zur Vorabentscheidung vorzulegen:
- Ist Art. 2 Buchst. d der Richtlinie 95/46 dahin auszulegen, dass er Haftung und Verantwortlichkeit für Datenschutzverstöße abschließend und erschöpfend regelt, oder verbleibt im Rahmen der „geeigneten Maßnahmen“ nach Art. 24 dieser Richtlinie und der „wirksame[n] Einwirkungsbefugnisse“ nach Art. 28 Abs. 3 Spiegelstrich 2 dieser Richtlinie in mehrstufigen Informationsanbieterverhältnissen Raum für eine Verantwortlichkeit einer Stelle, die nicht im Sinne von Art. 2 Buchst. d dieser Richtlinie für die Datenverarbeitung verantwortlich ist, bei der Auswahl eines Betreibers für ihr Informationsangebot?
- Folgt aus der Pflicht der Mitgliedstaaten nach Art. 17 Abs. 2 der Richtlinie 95/46, bei der Datenverarbeitung im Auftrag vorzuschreiben, dass der für die Verarbeitung Verantwortliche einen „Auftragsverarbeiter auszuwählen hat, der hinsichtlich der für die Verarbeitung zu treffenden technischen Sicherheitsmaßnahmen und organisatorischen Vorkehrungen ausreichend Gewähr bietet“, im Umkehrschluss, dass bei anderen Nutzungsverhältnissen, die nicht mit einer Datenverarbeitung im Auftrag im Sinne von Art. 2 Buchst. e dieser Richtlinie verbunden sind, keine Pflicht zur sorgfältigen Auswahl besteht und auch nach nationalem Recht nicht begründet werden kann?
- Ist in Fällen, in denen ein außerhalb der Europäischen Union ansässiger Mutterkonzern in verschiedenen Mitgliedstaaten rechtlich selbständige Niederlassungen (Tochtergesellschaften) unterhält, nach Art. 4 und Art. 28 Abs. 6 der Richtlinie 95/46 die Kontrollstelle eines Mitgliedstaats (hier: Deutschland) zur Ausübung der nach Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse gegen die im eigenen Hoheitsgebiet gelegene Niederlassung auch dann befugt, wenn diese Niederlassung allein für die Förderung des Verkaufs von Werbung und sonstige Marketingmaßnahmen mit Ausrichtung auf die Einwohner dieses Mitgliedstaats zuständig ist, während der in einem anderen Mitgliedstaat (hier: Irland) gelegenen selbständigen Niederlassung (Tochtergesellschaft) nach der konzerninternen Aufgabenverteilung die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten im gesamten Gebiet der Europäischen Union und damit auch in dem anderen Mitgliedstaat (hier: Deutschland) obliegt, wenn tatsächlich die Entscheidung über die Datenverarbeitung durch den Mutterkonzern getroffen wird?
- Sind Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 der Richtlinie 95/46 dahin auszulegen, dass in Fällen, in denen der für die Verarbeitung Verantwortliche eine Niederlassung im Hoheitsgebiet eines Mitgliedstaats (hier: Irland) besitzt und eine weitere, rechtlich selbständige Niederlassung in dem Hoheitsgebiet eines anderen Mitgliedstaats (hier: Deutschland) besteht, die u. a. für den Verkauf von Werbeflächen zuständig ist und deren Tätigkeit auf die Einwohner dieses Staates ausgerichtet ist, die in diesem anderen Mitgliedstaat (hier: Deutschland) zuständige Kontrollstelle Maßnahmen und Anordnungen zur Durchsetzung des Datenschutzrechts auch gegen die nach der konzerninternen Aufgaben- und Verantwortungsverteilung für die Datenverarbeitung nicht verantwortliche weitere Niederlassung (hier: in Deutschland) richten kann, oder sind Maßnahmen und Anordnungen dann nur durch die Kontrollbehörde des Mitgliedstaats (hier: Irland) möglich, in dessen Hoheitsgebiet die konzernintern verantwortliche Stelle ihren Sitz hat?
- Sind die Art. 4 Abs. 1 Buchst. a sowie Art. 28 Abs. 3 und 6 der Richtlinie 95/46 dahin auszulegen, dass in Fällen, in denen die Kontrollbehörde eines Mitgliedstaats (hier: Deutschland) eine in ihrem Hoheitsgebiet tätige Person oder Stelle nach Art. 28 Abs. 3 dieser Richtlinie wegen der nicht sorgfältigen Auswahl eines in den Datenverarbeitungsprozess eingebundenen Dritten (hier: Facebook) in Anspruch nimmt, weil dieser Dritte gegen Datenschutzrecht verstoße, die tätig werdende Kontrollbehörde (hier: Deutschland) an die datenschutzrechtliche Beurteilung der Kontrollbehörde des anderen Mitgliedstaats, in dem der für die Datenverarbeitung verantwortliche Dritte seine Niederlassung hat (hier: Irland), in dem Sinne gebunden ist, dass sie keine hiervon abweichende rechtliche Beurteilung vornehmen darf, oder darf die tätig werdende Kontrollstelle (hier: Deutschland) die Rechtmäßigkeit der Datenverarbeitung durch den in einem anderen Mitgliedstaat (hier: Irland) niedergelassenen Dritten als Vorfrage des eigenen Tätigwerdens selbständig auf seine Rechtmäßigkeit prüfen?
- Soweit der tätig werdenden Kontrollstelle (hier: Deutschland) eine selbständige Überprüfung eröffnet ist: Ist Art. 28 Abs. 6 Satz 2 der Richtlinie 95/46 dahin auszulegen, dass diese Kontrollstelle die ihr nach Art. 28 Abs. 3 dieser Richtlinie übertragenen wirksamen Einwirkungsbefugnisse gegen eine in ihrem Hoheitsgebiet niedergelassene Person oder Stelle wegen der Mitverantwortung für die Datenschutzverstöße des in einem anderen Mitgliedstaat niedergelassenen Dritten nur und erst dann ausüben darf, wenn sie zuvor die Kontrollstelle dieses anderen Mitgliedstaats (hier: Irland) um die Ausübung ihrer Befugnisse ersucht hat?
Zu den Vorlagefragen
Zur ersten und zur zweiten Frage
Mit der ersten und der zweiten Frage, die zusammen zu prüfen sind, möchte das vorlegende Gericht wissen, ob Art. 2 Buchst. d, Art. 17 Abs. 2, Art. 24 und Art. 28 Abs. 3 zweiter Gedankenstrich der Richtlinie 95/46 dahin auszulegen sind, dass sie es zulassen, dass die Verantwortlichkeit einer Stelle in ihrer Eigenschaft als Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage im Fall eines Verstoßes gegen die Vorschriften über den Schutz personenbezogener Daten aufgrund der Entscheidung, ein soziales Netzwerk für die Verbreitung ihres Informationsangebots zu nutzen, festgestellt wird.
Zur Beantwortung dieser Fragen ist darauf hinzuweisen, dass die Richtlinie 95/46, wie sich aus ihrem Art. 1 Abs. 1 und ihrem zehnten Erwägungsgrund ergibt, darauf abzielt, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre, bei der Verarbeitung personenbezogener Daten zu gewährleisten (Urteil vom 11. Dezember 2014, Ryneš, C-212/13, EU:C:2014:2428, Rn. 27 und die dort angeführte Rechtsprechung).
Diesem Ziel entsprechend ist der Begriff des „für die Verarbeitung Verantwortlichen“ in Art. 2 Buchst. d der Richtlinie weit definiert als natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Wie der Gerichtshof bereits entschieden hat, besteht das Ziel dieser Bestimmung nämlich darin, durch eine weite Definition des Begriffs des „Verantwortlichen“ einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten (Urteil vom 13. Mai 2014, Google Spain und Google, C-131/12, EU:C:2014:317, Rn. 34).
Zudem verweist der Begriff des „für die Verarbeitung Verantwortlichen“, da er sich, wie Art. 2 Buchst. d der Richtlinie 95/46 ausdrücklich vorsieht, auf die Stelle bezieht, die „allein oder gemeinsam mit anderen“ über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, nicht zwingend auf eine einzige Stelle und kann mehrere an dieser Verarbeitung beteiligte Akteure betreffen, wobei dann jeder von ihnen den Datenschutzvorschriften unterliegt.
Es ist festzustellen, dass im vorliegenden Fall in erster Linie die Facebook Inc. und, was die Union betrifft, Facebook Ireland über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Facebook-Nutzer und der Personen entscheiden, die die auf Facebook unterhaltenen Fanpages besucht haben, und somit unter den Begriff des „für die Verarbeitung Verantwortlichen“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 fallen, was in der vorliegenden Rechtssache nicht in Zweifel gezogen wird.
Zur Beantwortung der vorgelegten Fragen ist jedoch zu prüfen, ob und inwieweit der Betreiber einer auf Facebook unterhaltenen Fanpage wie die Wirtschaftsakademie im Rahmen dieser Fanpage gemeinsam mit Facebook Ireland und der Facebook Inc. einen Beitrag zur Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher dieser Fanpage leistet und somit ebenfalls als „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden kann.
Insoweit schließt offenbar jede Person, die eine Fanpage auf Facebook einrichten möchte, mit Facebook Ireland einen speziellen Vertrag über die Eröffnung einer solchen Seite und unterzeichnet dazu die Nutzungsbedingungen dieser Seite einschließlich der entsprechenden Cookie-Richtlinie, was zu prüfen Sache des nationalen Gerichts ist.
Wie aus den dem Gerichtshof vorgelegten Akten hervorgeht, erfolgt die im Ausgangsverfahren in Rede stehende Datenverarbeitung im Wesentlichen in der Weise, dass Facebook auf dem Computer oder jedem anderen Gerät der Personen, die die Fanpage besucht haben, Cookies platziert, die die Speicherung von Informationen in den Web-Browsern bezwecken und für die Dauer von zwei Jahren wirksam bleiben, sofern sie nicht gelöscht werden. Außerdem geht aus den Akten hervor, dass in der Praxis Facebook die in den Cookies gespeicherten Informationen empfängt, aufzeichnet und verarbeitet, insbesondere wenn eine Person die „Facebook-Dienste, Dienste, die von anderen Mitgliedern der Facebook-Unternehmensgruppe bereitgestellt werden, und Dienste, die von anderen Unternehmen bereitgestellt werden, die die Facebook-Dienste nutzen“, besucht. Außerdem können andere Stellen wie Facebook-Partner oder sogar Dritte „auf den Facebook-Diensten Cookies verwenden, um [diesem sozialen Netzwerk direkt] bzw. den auf Facebook werbenden Unternehmen Dienstleistungen bereitzustellen“.
Diese Verarbeitungen personenbezogener Daten sollen u. a. zum einen Facebook ermöglichen, sein System der Werbung, die es über sein Netzwerk verbreitet, zu verbessern. Zum anderen sollen sie dem Betreiber der Fanpage ermöglichen, zum Zweck der Steuerung der Vermarktung seiner Tätigkeit Statistiken, die Facebook aufgrund der Besuche dieser Seite erstellt, zu erhalten, die es ihm beispielsweise ermöglichen, Kenntnis von den Profilen der Besucher zu verlangen, die seine Fanpage schätzen oder die seine Anwendungen nutzen, um ihnen relevantere Inhalte bereitstellen und Funktionen entwickeln zu können, die für sie von größerem Interesse sein könnten.
Auch wenn der bloße Umstand der Nutzung eines sozialen Netzwerks wie Facebook für sich genommen einen Facebook-Nutzer nicht für die von diesem Netzwerk vorgenommene Verarbeitung personenbezogener Daten mitverantwortlich macht, ist indes darauf hinzuweisen, dass der Betreiber einer auf Facebook unterhaltenen Fanpage mit der Einrichtung einer solchen Seite Facebook die Möglichkeit gibt, auf dem Computer oder jedem anderen Gerät der Person, die seine Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Konto verfügt.
In diesem Rahmen geht aus den dem Gerichtshof unterbreiteten Angaben hervor, dass die Einrichtung einer Fanpage auf Facebook von Seiten ihres Betreibers eine Parametrierung u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten impliziert, die sich auf die Verarbeitung personenbezogener Daten zum Zweck der Erstellung der aufgrund der Besuche der Fanpage erstellten Statistiken auswirkt. Mit Hilfe von durch Facebook zur Verfügung gestellten Filtern kann der Betreiber die Kriterien festlegen, nach denen diese Statistiken erstellt werden sollen, und sogar die Kategorien von Personen bezeichnen, deren personenbezogene Daten von Facebook ausgewertet werden. Folglich trägt der Betreiber einer auf Facebook unterhaltenen Fanpage zur Verarbeitung der personenbezogenen Daten der Besucher seiner Seite bei.
Insbesondere kann der Fanpage-Betreiber demografische Daten über seine Zielgruppe – und damit die Verarbeitung dieser Daten – verlangen, so u. a. Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstatus und berufliche Situation, Informationen über den Lebensstil und die Interessen seiner Zielgruppe und Informationen über die Käufe und das Online-Kaufverhalten der Besucher seiner Seite, die Kategorien von Waren oder Dienstleistungen, die sie am meisten interessieren, sowie geografische Daten, die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind, und ihm ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten.
Zwar werden die von Facebook erstellten Besucherstatistiken ausschließlich in anonymisierter Form an den Betreiber der Fanpage übermittelt, jedoch beruht die Erstellung dieser Statistiken auf der vorhergehenden Erhebung – durch die von Facebook auf dem Computer oder jedem anderen Gerät der Personen, die diese Seite besucht haben, gesetzten Cookies – und der Verarbeitung der personenbezogenen Daten dieser Besucher für diese statistischen Zwecke. Die Richtlinie 95/46 verlangt jedenfalls nicht, dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat.
Unter diesen Umständen ist festzustellen, dass der Betreiber einer auf Facebook unterhaltenen Fanpage wie die Wirtschaftsakademie durch die von ihm vorgenommene Parametrierung u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt ist. Daher ist der Betreiber im vorliegenden Fall als in der Union gemeinsam mit Facebook Ireland für diese Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 einzustufen.
Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nämlich nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.
Im Übrigen ist hervorzuheben, dass die bei Facebook unterhaltenen Fanpages auch von Personen besucht werden können, die keine Facebook-Nutzer sind und somit nicht über ein Benutzerkonto bei diesem sozialen Netzwerk verfügen. In diesem Fall erscheint die Verantwortlichkeit des Betreibers der Fanpage hinsichtlich der Verarbeitung der personenbezogenen Daten dieser Personen nochhöher, da das bloße Aufrufen der Fanpage durch Besucher automatisch die Verarbeitung ihrer personenbezogenen Daten auslöst.
Unter diesen Umständen trägt die Anerkennung einer gemeinsamen Verantwortlichkeit des Betreibers des sozialen Netzwerks und des Betreibers einer bei diesem Netzwerk unterhaltenen Fanpage im Zusammenhang mit der Verarbeitung personenbezogener Daten der Besucher dieser Fanpage dazu bei, entsprechend den Anforderungen der Richtlinie 95/46 einen umfassenderen Schutz der Rechte sicherzustellen, über die die Personen verfügen, die eine Fanpage besuchen.
Klarzustellen ist, dass das Bestehen einer gemeinsamen Verantwortlichkeit, wie der Generalanwalt in den Nrn. 75 und 76 seiner Schlussanträge ausgeführt hat, aber nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure zur Folge hat, die von einer Verarbeitung personenbezogener Daten betroffen sind. Vielmehr können diese Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sein, dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist.
Nach alledem ist auf die erste und die zweite Frage zu antworten, dass Art. 2 Buchst. d der Richtlinie 95/46 dahin auszulegen ist, dass der Begriff des „für die Verarbeitung Verantwortlichen“ im Sinne dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst.
Zur dritten und zur vierten Frage
Mit der dritten und der vierten Frage, die zusammen zu prüfen sind, möchte das vorlegende Gericht wissen, ob die Art. 4 und 28 der Richtlinie 95/46 dahin auszulegen sind, dass dann, wenn ein außerhalb der Union ansässiges Unternehmen mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, die Kontrollstelle eines Mitgliedstaats zur Ausübung der ihr durch Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung auch dann befugt ist, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet dieses Mitgliedstaats zuständig ist und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliegt, oder ob es Sache der Kontrollstelle des letztgenannten Mitgliedstaats ist, diese Befugnisse gegenüber der zweiten Niederlassung auszuüben.
Das ULD und die italienische Regierung haben Zweifel hinsichtlich der Zulässigkeit dieser Fragen geäußert, da diese für die Entscheidung des Ausgangsrechtsstreits nicht relevant seien. Adressat des angefochtenen Bescheids sei nämlich die Wirtschaftsakademie, so dass sich dieser Bescheid weder auf die Facebook Inc. noch auf eine von deren im Unionsgebiet ansässigen Tochtergesellschaften beziehe.
Hierzu ist darauf hinzuweisen, dass es im Rahmen der mit Art. 267 AEUV eingerichteten Zusammenarbeit zwischen dem Gerichtshof und den nationalen Gerichten allein Sache des mit dem Rechtsstreit befassten nationalen Gerichts ist, in dessen Verantwortungsbereich die zu erlassende gerichtliche Entscheidung fällt, im Hinblick auf die Besonderheiten der Rechtssache sowohl die Erforderlichkeit einer Vorabentscheidung für den Erlass seines Urteils als auch die Erheblichkeit der dem Gerichtshof von ihm vorgelegten Fragen zu beurteilen. Betreffen daher die vorgelegten Fragen die Auslegung des Unionsrechts, ist der Gerichtshof grundsätzlich gehalten, darüber zu befinden (Urteil vom 6. September 2016, Petruhhin, C-182/15, EU:C:2016:630, Rn. 19 und die dort angeführte Rechtsprechung).
Im vorliegenden Fall ist darauf hinzuweisen, dass das vorlegende Gericht geltend macht, dass die Beantwortung der dritten und der vierten Vorlagefrage durch den Gerichtshof für die Entscheidung des Ausgangsrechtsstreits erforderlich sei. Es führt nämlich aus, dass in dem Fall, dass im Licht dieser Antwort festgestellt werden sollte, dass das ULD die behaupteten Verstöße gegen das Recht auf Schutz der personenbezogenen Daten beenden könne, indem es eine Maßnahme gegen Facebook Germany erlasse, dieser Umstand das Vorliegen eines Ermessensfehlers bezüglich des angefochtenen Bescheids belegen könnte, da dieser dann zu Unrecht gegen die Wirtschaftsakademie erlassen worden wäre.
Unter diesen Umständen sind die dritte und die vierte Frage zulässig.
Zur Beantwortung dieser Fragen ist zunächst darauf hinzuweisen, dass nach Art. 28 Abs. 1 und 3 der Richtlinie 95/46 jede Kontrollstelle sämtliche Befugnisse ausübt, die ihr im Hoheitsgebiet ihres Mitgliedstaats durch das nationale Recht übertragen wurden, um in diesem Hoheitsgebiet die Einhaltung der Datenschutzvorschriften sicherzustellen (vgl. in diesem Sinne Urteil vom 1. Oktober 2015, Weltimmo, C-230/14, EU:C:2015:639, Rn. 51).
Die Frage, welches nationale Recht auf die Verarbeitung personenbezogener Daten anwendbar ist, ist in Art. 4 der Richtlinie 95/46 geregelt. Nach dessen Abs. 1 Buchst. a wendet jeder Mitgliedstaat die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. Klarstellend heißt es in dieser Vorschrift, dass der Verantwortliche, wenn er eine Niederlassung im Hoheitsgebiet mehrerer Mitgliedstaaten besitzt, die notwendigen Maßnahmen ergreift, damit jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhält.
Aus dieser Vorschrift in Verbindung mit Art. 28 Abs. 1 und 3 der Richtlinie 95/46 geht somit hervor, dass dann, wenn das nationale Recht des Mitgliedstaats der Kontrollstelle nach Art. 4 Abs. 1 Buchs. a dieser Richtlinie anwendbar ist, weil die in Rede stehende Verarbeitung im Rahmen der Tätigkeiten einer Niederlassung des für die Verarbeitung im Hoheitsgebiet dieses Mitgliedstaats Verantwortlichen ausgeführt wird, diese Kontrollstelle sämtliche Befugnisse ausüben kann, die ihr durch dieses Recht gegenüber dieser Niederlassung übertragen wurden, und zwar unabhängig davon, ob der für die Verarbeitung Verantwortliche auch in anderen Mitgliedstaaten Niederlassungen unterhält.
Um zu bestimmen, ob eine Kontrollstelle unter Umständen wie denen des Ausgangsverfahrens berechtigt ist, gegenüber einer im Hoheitsgebiet ihres Mitgliedstaats ansässigen Niederlassung die Befugnisse auszuüben, die ihr durch das nationale Recht übertragen wurden, ist somit zu prüfen, ob die beiden Voraussetzungen nach Art. 4 Abs. 1 Buchst. a der Richtlinie 96/46 vorliegen, d. h. zum einen, ob es sich um eine „Niederlassung …, die der für die Verarbeitung Verantwortliche … besitzt“, im Sinne dieser Vorschrift handelt, und zum anderen, ob diese Verarbeitung „im Rahmen der Tätigkeiten“ dieser Niederlassung im Sinne dieser Vorschrift ausgeführt wird.
Was erstens die Voraussetzung anbelangt, wonach der für die Verarbeitung personenbezogener Daten Verantwortliche im Hoheitsgebiet des Mitgliedstaats der betreffenden Kontrollstelle eine Niederlassung besitzen muss, ist darauf hinzuweisen, dass es im 19. Erwägungsgrund der Richtlinie 95/46 heißt, dass eine Niederlassung im Hoheitsgebiet eines Mitgliedstaats die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraussetzt und dass die Rechtsform einer solchen Niederlassung, die eine Agentur oder eine Zweigstelle sein kann, in dieser Hinsicht nicht maßgeblich ist (Urteil vom 1. Oktober 2015, Weltimmo, C-230/14, EU:C:2015:639, Rn. 28 und die dort angeführte Rechtsprechung).
Im vorliegenden Fall steht fest, dass die Facebook Inc. als gemeinsam mit Facebook Ireland für die Verarbeitung personenbezogener Daten Verantwortliche in Deutschland über eine dauerhafte Niederlassung verfügt, nämlich Facebook Germany, die in Hamburg ansässig ist, und dass die letztgenannte Gesellschaft in diesem Mitgliedstaat effektiv und tatsächlich Tätigkeiten ausübt. Sie stellt daher eine Niederlassung im Sinne von Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 dar.
Was zweitens die Voraussetzung anbelangt, wonach die Verarbeitung personenbezogener Daten „im Rahmen der Tätigkeiten“ der betreffenden Niederlassung ausgeführt werden muss, ist zunächst darauf hinzuweisen, dass die Wendung „im Rahmen der Tätigkeiten einer Niederlassung“ im Hinblick auf das Ziel der Richtlinie 95/46, nämlich bei der Verarbeitung personenbezogener Daten einen wirksamen und umfassenden Schutz der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere des Rechts auf Privatleben, zu gewährleisten, nicht eng ausgelegt werden kann (Urteil vom 1. Oktober 2015, Weltimmo, C-230/14, EU:C:2015:639, Rn. 25 und die dort angeführte Rechtsprechung).
Sodann ist darauf hinzuweisen, dass Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 nicht verlangt, dass diese Verarbeitung „von“ der betreffenden Niederlassung selbst ausgeführt wird, sondern lediglich, dass sie „im Rahmen der Tätigkeiten“ der Niederlassung ausgeführt wird (Urteil vom 13. Mai 2014, Google Spain und Google, C-131/12, EU:C:2014:317, Rn. 52).
Im vorliegenden Fall geht aus der Vorlageentscheidung und den von Facebook Ireland eingereichten schriftlichen Erklärungen hervor, dass Facebook Germany für die Förderung des Verkaufs von Werbeflächen verantwortlich ist und Tätigkeiten ausübt, die für in Deutschland wohnhafte Personen bestimmt sind.
Wie in den Rn. 33 und 34 des vorliegenden Urteils ausgeführt, hat die im Ausgangsverfahren in Rede stehende Verarbeitung personenbezogener Daten, die durch die Facebook Inc. gemeinsam mit Facebook Ireland ausgeführt wird und in der Erhebung solcher Daten mittels Cookies besteht, die auf den Computern oder jedem anderen Gerät der Besucher auf Facebook unterhaltener Fanpages gesetzt werden, u. a. zum Ziel, es diesem sozialen Netzwerk zu ermöglichen, sein Werbesystem zu verbessern, um die von ihm verbreiteten Mitteilungen zielgerichteter zu gestalten.
Wie der Generalanwalt in Nr. 94 seiner Schlussanträge ausgeführt hat, ist aber aufgrund dessen, dass zum einen ein soziales Netzwerk wie Facebook einen wesentlichen Teil seiner Einnahmen aus der Werbung erwirtschaftet, die auf den eingerichteten Webseiten eingeblendet und von den Nutzern aufgerufen wird, und zum anderen die in Deutschland ansässige Facebook-Niederlassung die Aufgabe hat, in diesem Mitgliedstaat für die Förderung des Verkaufs der Werbeflächen zu sorgen, mit denen die von Facebook angebotenen Dienstleistungen rentabel gemacht werden sollen, anzunehmen, dass die Tätigkeiten dieser Niederlassung als mit der im Ausgangsverfahren in Rede stehenden Verarbeitung personenbezogener Daten, für die die Facebook Inc. gemeinsam mit Facebook Ireland verantwortlich ist, untrennbar verbunden anzusehen sind. Diese Verarbeitung ist somit als im Rahmen der Tätigkeiten einer Niederlassung des für die Verarbeitung Verantwortlichen ausgeführt im Sinne von Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 anzusehen (vgl. in diesem Sinne Urteil vom 13. Mai 2014 Google Spain und Google, C-131/12, EU:C:2014:317, Rn. 55 und 56).
Da nach Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 auf die im Ausgangsverfahren in Rede stehende Verarbeitung personenbezogener Daten deutsches Recht anwendbar ist, folgt daraus, dass die deutsche Kontrollstelle gemäß Art. 28 Abs. 1 dieser Richtlinie zuständig war, dieses Recht auf diese Verarbeitung anzuwenden.
Folglich war diese Kontrollstelle zuständig, zur Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten im deutschen Hoheitsgebiet von sämtlichen Befugnissen, über die sie nach den deutschen Bestimmungen zur Umsetzung von Art. 28 Abs. 3 der Richtlinie 95/46 verfügt, gegenüber Facebook Germany Gebrauch zu machen.
Klarzustellen ist noch, dass der vom vorlegenden Gericht in seiner dritten Frage hervorgehobene Umstand, dass die strategischen Entscheidungen hinsichtlich der Erhebung und Verarbeitung personenbezogener Daten bezüglich Personen, die im Unionsgebiet wohnhaft sind, von einer in einem Drittland ansässigen Muttergesellschaft – im vorliegenden Fall der Facebook Inc. – getroffen werden, nicht geeignet ist, die Zuständigkeit der dem Recht eines Mitgliedstaats unterliegenden Kontrollstelle gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung des für die Verarbeitung dieser Daten Verantwortlichen in Frage zu stellen.
Nach alledem ist auf die dritte und die vierte Vorlagefrage zu antworten, dass die Art. 4 und 28 der Richtlinie 95/46 dahin auszulegen sind dass dann, wenn ein außerhalb der Union ansässiges Unternehmen mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, die Kontrollstelle eines Mitgliedstaats zur Ausübung der ihr durch Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung dieses Unternehmens auch dann befugt ist, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet dieses Mitgliedstaats zuständig ist und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliegt.
Zur fünften und zur sechsten Frage
Mit der fünften und der sechsten Frage, die zusammen zu prüfen sind, möchte das vorlegende Gericht wissen, ob Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 und 6 der Richtlinie 95/46 dahin auszulegen sind, dass die Kontrollstelle eines Mitgliedstaats, wenn sie beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen Mitgliedstaat hat, die Einwirkungsbefugnisse nach Art. 28 Abs. 3 dieser Richtlinie auszuüben, zuständig ist, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.
Zur Beantwortung dieser Fragen ist darauf hinzuweisen, dass, wie aus der Antwort auf die erste und die zweite Vorlagefrage hervorgeht, Art. 2 Buchst. d der Richtlinie 95/46 dahin auszulegen ist, dass er es unter Umständen wie denen des Ausgangsverfahrens ermöglicht, im Fall eines Verstoßes gegen die Vorschriften über den Schutz personenbezogener Daten die Verantwortlichkeit einer Stelle wie die Wirtschaftsakademie in ihrer Eigenschaft als Betreiber einer bei Facebook unterhaltenen Fanpage festzustellen.
Daraus folgt, dass die Kontrollstelle des Mitgliedstaats, in dessen Hoheitsgebiet die verantwortliche Stelle ihren Sitz hat, nach Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 1 und 3 der Richtlinie 95/46 zuständig ist, ihr nationales Recht anzuwenden und somit gegenüber dieser Stelle von sämtlichen, ihr durch dieses nationale Recht übertragenen Befugnissen gemäß Art. 28 Abs. 3 dieser Richtlinie Gebrauch zu machen.
Wie Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46 vorsieht, nehmen die Kontrollstellen, die mit der Überwachung der Anwendung der von dem Mitgliedstaat, dem sie unterstehen, zur Umsetzung dieser Richtlinie erlassenen Vorschriften beauftragt sind, im Hoheitsgebiet dieses Mitgliedstaats die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahr. Dieses Erfordernis ergibt sich auch aus dem Primärrecht der Union, namentlich aus Art. 8 Abs. 3 der Charta der Grundrechte der Europäischen Union und aus Art. 16 Abs. 2 AEUV (vgl. in diesem Sinne Urteil vom 6. Oktober 2015, Schrems, C-362/14, EU:C:2015:650, Rn. 40).
Außerdem sorgen die Kontrollstellen zwar nach Art. 28 Abs. 6 Unterabs. 2 der Richtlinie 95/46 für die zur Erfüllung ihrer Kontrollaufgaben notwendige gegenseitige Zusammenarbeit, insbesondere durch den Austausch sachdienlicher Informationen, jedoch sieht diese Richtlinie weder irgendein Prioritätskriterium vor, das das Eingreifen der Kontrollstellen im Verhältnis untereinander regeln würde, noch schreibt sie vor, dass die Kontrollstelle eines Mitgliedstaats verpflichtet wäre, dem gegebenenfalls von der Kontrollstelle eines anderen Mitgliedstaats geäußerten Standpunkt zu folgen.
Somit ist eine Kontrollstelle, deren Zuständigkeit nach nationalem Recht anerkannt ist, in keiner Weise verpflichtet, sich das Ergebnis, zu dem eine andere Kontrollstelle in einer entsprechenden Situation gelangt ist, zu eigen zu machen.
Insoweit ist darauf hinzuweisen, dass aufgrund dessen, dass die nationalen Kontrollstellen gemäß Art. 8 Abs. 3 GRCh (der Charta der Grundrechte der Europäischen Union) und Art. 28 der Richtlinie 95/46 die Einhaltung der Unionsvorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zu überwachen haben, jede von ihnen zu der Prüfung befugt ist, ob bei einer Verarbeitung personenbezogener Daten im Hoheitsgebiet ihres Mitgliedstaats die in der Richtlinie 95/46 aufgestellten Anforderungen eingehalten werden (vgl. in diesem Sinne Urteil vom 6. Oktober 2015, Schrems, C-362/14, EU:C:2015:650, Rn. 47).
Da Art. 28 der Richtlinie 95/46 seinem Wesen nach bei jeder Verarbeitung personenbezogener Daten zur Anwendung kommt, auch wenn eine Kontrollstelle eines anderen Mitgliedstaats eine Entscheidung getroffen hat, muss eine Kontrollstelle, wenn sich eine Person mit einer Eingabe zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung ihrer personenbezogenen Daten an sie wendet, in völliger Unabhängigkeit prüfen, ob bei der Verarbeitung dieser Daten die in der Richtlinie aufgestellten Anforderungen gewahrt werden (vgl. in diesem Sinne Urteil vom 6. Oktober 2015, Schrems, C-362/14, EU:C:2015:650, Rn. 57).
Daraus folgt, dass im vorliegenden Fall das ULD nach dem mit der Richtlinie 95/46 geschaffenen System befugt war, die Rechtmäßigkeit der im Ausgangsverfahren in Rede stehenden Datenverarbeitung unabhängig von den von der irischen Kontrollstelle vorgenommenen Bewertungen zu beurteilen.
Daher ist auf die fünfte und die sechste Frage zu antworten, dass Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 und 6 der Richtlinie 95/46 dahin auszulegen sind, dass die Kontrollstelle eines Mitgliedstaats, wenn sie beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen Mitgliedstaat hat, die Einwirkungsbefugnisse nach Art. 28 Abs. 3 dieser Richtlinie auszuüben, zuständig ist, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.
Kosten
Für die Parteien des Ausgangsverfahrens ist das Verfahren ein Zwischenstreit in dem beim vorlegenden Gericht anhängigen Rechtsstreit; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.
Aus diesen Gründen hat der Gerichtshof (Große Kammer) für Recht erkannt:
- Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass der Begriff des „für die Verarbeitung Verantwortlichen“ im Sinne dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst.
- Die Art. 4 und 28 der Richtlinie 95/46 sind dahin auszulegen, dass dann, wenn ein außerhalb der Europäischen Union ansässiges Unternehmenmehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält,die Kontrollstelle eines Mitgliedstaats zur Ausübung der ihr durch Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse gegenübereiner im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassungdieses Unternehmens auch dann befugt ist, wenn nach derkonzerninternen Aufgabenverteilung zum einen diese Niederlassungallein für den Verkauf von Werbeflächen und sonstigeMarketingtätigkeiten im Hoheitsgebiet dieses Mitgliedstaats zuständigist und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Europäischen Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliegt.
- Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 und 6 der Richtlinie 95/46 sind dahin auszulegen, dass die Kontrollstelle eines Mitgliedstaats, wenn sie beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen Mitgliedstaat hat, die Einwirkungsbefugnisse nach Art. 28 Abs. 3 dieser Richtlinie auszuüben, zuständig ist, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.
E-Learning Datenschutz
- Datenschutz praktische Lektion
-
