SCHLUSSANTRÄGE DES GENERALANWALTS
YVES BOT
vom 24. Oktober 2017(1)
Rechtssache C‑210/16
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
gegen
Wirtschaftsakademie Schleswig-Holstein GmbH,
Beteiligte:
Facebook Ireland Ltd,
Vertreter des Bundesinteresses beim Bundesverwaltungsgericht
(Vorabentscheidungsersuchen des Bundesverwaltungsgerichts [Deutschland])
„Vorlage zur Vorabentscheidung – Richtlinie 95/46/EG – Art. 2, 4 und 28 – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und freier Datenverkehr – Anordnung zur Deaktivierung einer Fanpage im sozialen Netzwerk Facebook – Begriff ‚für die Verarbeitung Verantwortlicher‘ – Verantwortlichkeit des Betreibers einer Fanpage – Gemeinsame Verantwortlichkeit – Anwendbares nationales Recht – Umfang der Einwirkungsbefugnisse der Kontrollstellen“
1. Das vorliegende Vorabentscheidungsersuchen betrifft die Auslegung von Art. 2 Buchst. d, Art. 4 Abs. 1, Art. 17 Abs. 2 sowie Art. 28 Abs. 3 und 6 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr(2) in der durch die Verordnung (EG) Nr. 1882/2003 des Europäischen Parlaments und des Rates vom 29. September 2003(3) geänderten Fassung.
2. Dieses Ersuchen ergeht im Rahmen eines Rechtsstreits zwischen der Wirtschaftsakademie Schleswig-Holstein GmbH, einem privatrechtlich organisierten Bildungsunternehmen (im Folgenden: Wirtschaftsakademie), und dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (im Folgenden: ULD) über die Rechtmäßigkeit einer Anordnung des Letzteren gegenüber der Wirtschaftsakademie, mit der dieser aufgegeben wurde, eine bei Facebook Ireland Ltd (im Folgenden: Facebook Ireland) betriebene „Fanpage“ zu deaktivieren.
3. Diese Anordnung wird mit einem behaupteten Verstoß gegen die Bestimmungen des deutschen Rechts zur Umsetzung der Richtlinie 95/46 begründet, insbesondere weil die Besucher einer Fanpage nicht darüber unterrichtet werden, dass ihre personenbezogenen Daten durch das soziale Netzwerk Facebook (im Folgenden: Facebook) mittels auf ihrer Festplatte gesetzter Cookies erhoben werden, wobei diese Erhebung erfolgt, um Besucherstatistiken für den Betreiber dieser Seite zu erstellen und die Verbreitung zielgerichteter Werbung durch Facebook zu ermöglichen.
4. Den Hintergrund der vorliegenden Rechtssache bildet das Phänomen des „Webtracking“, das in der Beobachtung und Analyse des Verhaltens der Internetnutzer zu Geschäfts- und Marketingzwecken besteht. Dieses Webtracking erlaubt es insbesondere, die Interessenschwerpunkte der Internetnutzer durch die Beobachtung ihres Internet-Surfverhaltens festzustellen. Man spricht daher von „verhaltensbezogenem Webtracking“. Dieses erfolgt im Allgemeinen durch die Nutzung von Cookies.
5. Cookies sind Dateien, die auf dem Rechner des Internetnutzers gespeichert werden, sobald er eine Website aufruft.
6. Das Webtracking wird insbesondere mit dem Ziel genutzt, eine Website zu optimieren und wirksamer zu konfigurieren. Es gestattet auch den Werbefachleuten, sich gezielt an die verschiedenen Segmente der Öffentlichkeit zu richten.
7. Nach der Definition der Datenschutzgruppe „Artikel 29“(4) in ihrer Stellungnahme 2/2010 vom 22. Juni 2010 zur Werbung auf Basis von Behavioural Targeting(5) versteht man unter „Werbung auf Basis von Behavioural Targeting … Werbung, die auf der Beobachtung des Verhaltens von Personen über einen Zeitraum hinweg basiert. [Sie] versucht, die Charakteristika dieses Verhaltens durch die Handlungen (wiederholte Besuche von Websites, Interaktionen, Schlüsselwörter, Produktion von Online-Inhalten usw.) zu untersuchen, um ein konkretes Profil zu erstellen und den betroffenen Personen dann Werbung zu senden, die auf ihre aus den Daten erschlossenen Interessen zugeschnitten ist.“(6) Um zu diesem Ergebnis zu gelangen, müssen Informationen vom Browser und dem Endgerät des Nutzers erhoben und sodann ausgewertet werden. Die wichtigste Tracking-Technologie, mit der die Überwachung der Nutzer im Internet möglich ist, basiert auf „Tracking-Cookies“(7). Daher „[nutzt d]ie Werbung auf Basis von Behavioural Targeting … gesammelte Informationen über das Internet-Surfverhalten einer Person, wie z. B. besuchte Websiten oder durchgeführte Suchanfragen, für die Auswahl der Werbeanzeigen, die für diese Person angezeigt werden“(8).
8. Das Tracking des Internet-Surfverhaltens erlaubt es auch, den Betreibern von Websiten Besucherstatistiken über die Personen zu liefern, die diese Seiten aufrufen.
9. Erhebung und Auswertung personenbezogener Daten zum Zweck der Erstellung von Besucherstatistiken und der Verbreitung von zielgerichteter Werbung müssen bestimmte Voraussetzungen erfüllen, um mit den Bestimmungen zum Schutz personenbezogener Daten nach der Richtlinie 95/46 im Einklang zu stehen. Insbesondere dürfen solche Verarbeitungen nicht ohne vorherige Information und Zustimmung der betroffenen Personen erfolgen.
10. Die Prüfung dieser Vereinbarkeit setzt jedoch voraus, im Vorhinein mehrere Fragen zur Definition dessen, was ein für die Verarbeitung Verantwortlicher ist, sowie zur Bestimmung des anwendbaren nationalen Rechts und der Behörde, die für die Ausübung ihrer Einwirkungsbefugnisse zuständig ist, zu beantworten.
11. Die Frage im Zusammenhang mit der Bestimmung des für die Verarbeitung Verantwortlichen wird in einer Situation besonders schwierig, in der ein Wirtschaftsteilnehmer beschließt, die erforderlichen Tools für die Erstellung von Besucherstatistiken und für die Verbreitung von zielgerichteter Werbung nicht auf seiner Website zu installieren, sondern ein soziales Netzwerk wie Facebook in Anspruch zu nehmen und eine Fanpage zu eröffnen, um ähnliche Tools zu nutzen.
12. Auch die Fragen im Zusammenhang mit der Bestimmung des anwendbaren nationalen Rechts und der Behörde, die für die Ausübung ihrer Einwirkungsbefugnisse zuständig ist, werden komplex, wenn die in Rede stehende Verarbeitung personenbezogener Daten mehrere Rechtssubjekte einbezieht, die sich sowohl außerhalb als auch innerhalb der Europäischen Union befinden.
13. Zu einer Zeit, da die Kontrollstellen mehrerer Mitgliedstaaten im Lauf der letzten Monate beschlossen haben, Facebook aufgrund eines Verstoßes gegen die Vorschriften zum Schutz der Daten seiner Nutzer Geldbußen aufzuerlegen(9), wird die hier untersuchte Rechtssache dem Gerichtshof erlauben, den Umfang der Einwirkungsbefugnisse klarzustellen, über die eine Kontrollstelle wie das ULD gegenüber einer Verarbeitung personenbezogener Daten, an der mehrere Akteure beteiligt sind, verfügt.
14. Zum Verständnis der rechtlichen Bedeutung der vorliegenden Rechtssache ist zunächst der Sachverhalt des Ausgangsrechtsstreits darzustellen.
I. Sachverhalt des Ausgangsrechtsstreits und Vorlagefragen
15. Die Wirtschaftsakademie bietet Bildungsdienstleistungen über eine Fanpage an, die auf der Internetseite des sozialen Netzwerks Facebook betrieben wird.
16. Fanpages sind Benutzeraccounts, die bei Facebook u. a. von Privatpersonen oder Unternehmen eingerichtet werden können. Der Fanpage-Betreiber muss sich hierzu bei Facebook registrieren und kann dann die von Letzterer unterhaltene Plattform dazu benutzen, sich den Nutzern dieses sozialen Netzwerks zu präsentieren und Mitteilungen aller Art, u. a. im Hinblick auf den Aufbau einer Geschäftstätigkeit, zu machen.
17. Die Betreiber von Fanpages können mittels des von Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zu ihrer Verfügung gestellten Tools „Facebook Insights“ Besucherstatistiken erhalten. Diese Statistiken werden von Facebook erstellt und vom Betreiber einer Fanpage anhand verschiedener Kriterien, die er wählen kann – wie Alter oder Geschlecht –, personalisiert. Diese Statistiken liefern somit anonyme Informationen über die Eigenschaften und die Gewohnheiten der Personen, die diese Fanpages besucht haben, und gestatten den Betreibern dieser Seiten, gezielter zu kommunizieren.
18. Um solche Besucherstatistiken zu erstellen, speichert Facebook zumindest ein Cookie, das eine eindeutige ID-Nummer enthält und für zwei Jahre aktiv ist, auf dem Rechner der Person, die die Fanpage aufgerufen hat. Die ID-Nummer, die mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird beim Aufrufen der Facebook-Seiten erhoben und verarbeitet.
19. Mit Bescheid vom 3. November 2011 ordnete das ULD gemäß § 38 Abs. 5 Satz 1 Bundesdatenschutzgesetz (im Folgenden: BDSG)(10) gegenüber der Wirtschaftsakademie an, die von ihr unter der Internetadresse https://www.facebook.com/wirtschaftsakademie bei Facebook betriebene Fanpage zu deaktivieren und drohte für den Fall der nicht fristgerechten Umsetzung ein Zwangsgeld an mit der Begründung, dass weder die Wirtschaftsakademie noch Facebook die Besucher der Fanpage darauf hinwiesen, dass Facebook mittels Cookies ihre personenbezogenen Daten erhebe und diese Daten danach verarbeite. Die Wirtschaftsakademie legte gegen diesen Bescheid Widerspruch ein, mit dem sie im Wesentlichen geltend machte, sie sei nach dem anwendbaren Datenschutzrecht für die Datenverarbeitung durch Facebook und die von Facebook gesetzten Cookies nicht verantwortlich.
20. Mit Bescheid vom 16. Dezember 2011 wies das ULD diesen Widerspruch mit der Begründung zurück, dass die Verantwortlichkeit der Wirtschaftsakademie als Diensteanbieter gemäß § 3 Abs. 3 Nr. 4 und § 12 Abs. 1 Telemediengesetz(11) begründet sei. Durch das Einrichten der Fanpage leiste die Wirtschaftsakademie auch einen aktiven und willentlichen Beitrag zur Erhebung von personenbezogenen Daten durch Facebook, von der sie durch die von diesem sozialen Netzwerk bereitgestellte Nutzerstatistik profitiere.
21. Die Wirtschaftsakademie erhob sodann Klage gegen diesen Bescheid vor dem Verwaltungsgericht (Deutschland) und machte geltend, dass ihr die Datenverarbeitungsvorgänge durch Facebook nicht zugerechnet werden könnten und sie Facebook auch nicht im Sinne von § 11 BDSG(12) mit einer von ihr kontrollierten oder beeinflussbaren Datenverarbeitung beauftragt habe. Nach Ansicht der Wirtschaftsakademie wandte sich das ULD daher zu Unrecht an sie und nicht direkt an Facebook.
22. Das Verwaltungsgericht hob mit Urteil vom 9. Oktober 2013 den angefochtenen Bescheid im Wesentlichen mit der Begründung auf, dass der Betreiber einer Fanpage bei Facebook nicht „verantwortliche Stelle“ im Sinne von § 3 Abs. 7 BDSG(13) sei und die Wirtschaftsakademie daher auch nicht Adressat einer Verfügung nach § 38 Abs. 5 BDSG sein könne.
23. Das Oberverwaltungsgericht (Deutschland) wies sodann die Berufung des ULD gegen dieses Urteil als unbegründet zurück und führte im Wesentlichen aus, dass die Untersagung der Datenverarbeitung im angefochtenen Bescheid rechtswidrig sei, da § 38 Abs. 5 Satz 2 BDSG ein abgestuftes Vorgehen vorsehe, auf dessen erster Stufe nur Maßnahmen zur Beseitigung festgestellter Verstöße bei der Datenverarbeitung angeordnet werden dürften. Eine sofortige Untersagung der Datenverarbeitung komme nur in Betracht, wenn ein Datenverarbeitungsverfahren in seiner Gesamtheit unzulässig sei und dieser Mangel nur durch die Einstellung dieses Verfahrens beseitigt werden könne. Dies sei jedoch hier nicht der Fall, da die vom ULD behaupteten Verstöße von Facebook ohne Weiteres beseitigt werden könnten.
24. Die Anordnung sei auch deswegen rechtswidrig, weil die Klägerin im Sinne von § 3 Abs. 7 BDSG keine verantwortliche Stelle hinsichtlich der von Facebook aus Anlass des Fanpage-Betriebs erhobenen Daten sei und eine Anordnung nach § 38 Abs. 5 BDSG nur gegenüber der verantwortlichen Stelle ergehen könne. Über den Zweck und die Mittel der Erhebung und Verarbeitung der für „Facebook Insights“ genutzten personenbezogenen Daten entscheide im vorliegenden Fall allein Facebook. Die Klägerin erhalte lediglich anonymisierte, statistische Informationen.
25. § 38 Abs. 5 BDSG erlaube keine Anordnung gegenüber Dritten. Die von der zivilgerichtlichen Rechtsprechung entwickelte Störerhaftung im Internet sei auf die Eingriffsverwaltung nicht übertragbar. Auch wenn § 38 Abs. 5 BDSG den Adressaten der Untersagungsanordnung nicht ausdrücklich nenne, ergebe sich aus dem systematischen Zusammenhang, dem Sinn und Zweck dieser Regelung sowie ihrer Entstehungsgeschichte, dass Adressat allein die verantwortliche Stelle sein könne.
26. Mit seiner Revision beim Bundesverwaltungsgericht (Deutschland) rügt das ULD u. a. eine Verletzung von § 38 Abs. 5 BDSG und macht verschiedene Verfahrensfehler des Berufungsgerichts geltend. Es sieht den Verstoß der Wirtschaftsakademie in der Beauftragung eines ungeeigneten, weil Datenschutzrecht nicht beachtenden Anbieters – hier: Facebook Ireland – mit der Erstellung, Bereithaltung und Wartung eines Internetauftritts. Die Deaktivierungsanordnung ziele daher auf die Beseitigung dieses Verstoßes der Wirtschaftsakademie, indem ihr die weitere Nutzung der Facebook-Infrastruktur als technischer Grundlage ihres Webauftritts untersagt werde.
27. Das vorlegende Gericht ist der Ansicht, dass die Wirtschaftsakademie für die Erhebung und Verarbeitung der Daten der Personen, die die Fanpage aufrufen, durch die Beigeladene des Ausgangsverfahrens, nämlich Facebook Ireland, nicht die „Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt“, im Sinne von § 3 Abs. 7 BDSG bzw. die „Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“, im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 sei. Zwar verschaffe die Wirtschaftsakademie durch ihre Entscheidung, eine Fanpage auf der von der Beigeladenen des Ausgangsverfahrens bzw. ihrer Muttergesellschaft (im vorliegenden Fall Facebook Inc., USA) betriebenen Plattform einzurichten, der Beigeladenen des Ausgangsverfahrens objektiv die Möglichkeit, bei Aufruf dieser Fanpage Cookies zu setzen und über diese Daten zu erheben. Aus dieser Entscheidung folge allerdings nicht, dass die Wirtschaftsakademie Art und Umfang der Verarbeitung von Daten der Nutzer ihrer Fanpage durch die Beigeladene des Ausgangsverfahrens beeinflussen, steuern, gestalten oder sonst kontrollieren könnte. Auch die Nutzungsbedingungen für die Fanpage eröffneten der Wirtschaftsakademie keine Einwirkungs- oder Kontrollrechte. Die einseitig gesetzten Nutzungsbedingungen der Beigeladenen des Ausgangsverfahrens seien nicht Ergebnis eines Aushandlungsprozesses und verschafften der Wirtschaftsakademie auch nicht das Recht, der Beigeladenen des Ausgangsverfahrens die Erhebung und Verarbeitung der Daten von Nutzern der Fanpage zu untersagen.
28. Das vorlegende Gericht räumt ein, dass die Legaldefinition des „für die Verarbeitung Verantwortlichen“ in Art. 2 Buchst. d der Richtlinie 95/46 im Interesse eines wirksamen Persönlichkeitsschutzes grundsätzlich weit auszulegen sei. Die Wirtschaftsakademie entspreche dieser Definition aber nicht, da sie keinen rechtlichen oder tatsächlichen Einfluss auf die Modalitäten der Nutzung der Verarbeitung personenbezogener Daten durch die Beigeladene des Ausgangsverfahrens in eigener Verantwortungs- und Gestaltungsmacht habe. Insoweit reiche es nicht aus, dass die Wirtschaftsakademie objektiv aus der von der Beigeladenen des Ausgangsverfahrens betriebenen Funktion „Facebook Insights“ Nutzen ziehen könne, indem ihr in anonymisierter Form Daten zur Nutzung ihrer Fanpage übermittelt würden.
29. Nach Ansicht des vorlegenden Gerichts kann die Wirtschaftsakademie auch nicht als Auftraggeber einer Datenverarbeitung im Auftrag im Sinne von § 11 BDSG sowie Art. 2 Buchst. e und Art. 17 Abs. 2 und 3 der Richtlinie 95/46 angesehen werden.
30. Das vorlegende Gericht hält eine Klärung für erforderlich, ob bzw. unter welchen Voraussetzungen die Kontroll- und Einwirkungsbefugnisse der Datenschutzaufsichtsbehörde allein gegenüber dem „für die Verarbeitung Verantwortlichen“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 ausgeübt werden können oder ob daneben, wegen der Entscheidung einer Stelle, Facebook für ihr Informationsangebot zu nutzen, Raum für eine Verantwortlichkeit dieser Stelle bleibt, die nach der Definition in dieser Bestimmung nicht verantwortlich ist.
31. Für den letzteren Fall fragt sich das vorlegende Gericht, ob sich eine solche Verantwortlichkeit auf eine entsprechende Heranziehung der Auswahl- und Überprüfungspflichten aus Art. 17 Abs. 2 der Richtlinie 95/46 bei einer Datenverarbeitung im Auftrag stützen kann.
32. Um über die Rechtmäßigkeit der im vorliegenden Fall getroffenen Anordnung entscheiden zu können, hält das vorlegende Gericht auch die Klärung bestimmter Fragen zur Zuständigkeit der Kontrollstellen und zur Reichweite ihrer Einwirkungsbefugnisse für erforderlich.
33. Insbesondere fragt sich das vorlegende Gericht hinsichtlich der Zuständigkeitsverteilung zwischen den Datenschutzkontrollbehörden in Fällen, in denen eine Muttergesellschaft, wie Facebook Inc., im Unionsgebiet über mehrere Niederlassungen verfüge und die konzerninternen Aufgaben dieser Niederlassungen unterschiedlich seien.
34. Das vorlegende Gericht weist insoweit darauf hin, dass der Gerichtshof in seinem Urteil vom 13. Mai 2014, Google Spain und Google(14), entschieden habe, dass „Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 dahin auszulegen ist, dass im Sinne dieser Bestimmung eine Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung ausgeführt wird, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet eines Mitgliedstaats besitzt, wenn der Suchmaschinenbetreiber in einem Mitgliedstaat für die Förderung des Verkaufs der Werbeflächen der Suchmaschine und diesen Verkauf selbst eine Zweigniederlassung oder Tochtergesellschaft gründet, deren Tätigkeit auf die Einwohner dieses Staates ausgerichtet ist“(15). Das vorlegende Gericht fragt sich, ob diese Anknüpfung an eine Niederlassung wie Facebook Germany GmbH, die nach den Angaben in der Vorlageentscheidung für die Förderung des Verkaufs der Werbeflächen und diesen Verkauf selbst sowie andere Marketingtätigkeiten, die auf die Einwohner Deutschlands ausgerichtet seien, zuständig sei, im Hinblick auf die Anwendbarkeit der Richtlinie 95/46 und die Bestimmung der zuständigen Kontrollstelle auf eine Konstellation übertragbar sei, bei der eine in einem anderen Mitgliedstaat (im vorliegenden Fall Irland) niedergelassene Tochtergesellschaft als im gesamten Unionsgebiet „für die Verarbeitung Verantwortlicher“ auftrete.
35. Zu den Adressaten einer Maßnahme nach Art. 28 Abs. 3 der Richtlinie 95/46 legt das vorlegende Gericht dar, dass die Anordnung gegenüber der Wirtschaftsakademie ermessens- und daher rechtswidrig sein könnte, wenn die vom ULD angenommenen Verstöße gegen das anwendbare Datenschutzrecht durch ein Vorgehen direkt gegen die in Deutschland gelegene Niederlassung Facebook Germany beseitigt werden könnten.
36. Das vorlegende Gericht weist auch darauf hin, dass das ULD sich nicht an die Feststellungen und Bewertungen des Data Protection Commissioner (Datenschutzbeauftragter, Irland) gebunden sehe, der nach den Angaben der Wirtschaftsakademie und der Beigeladenen des Ausgangsverfahrens die im Ausgangsverfahren in Rede stehende Verarbeitung personenbezogener Daten nicht beanstandet habe. Dieses Gericht möchte daher zum einen wissen, ob eine solche eigenständige Beurteilung durch das ULD zulässig ist, und zum anderen, ob Art. 28 Abs. 6 Satz 2 der Richtlinie 95/46 das ULD in Anbetracht der unterschiedlichen Beurteilung der Vereinbarkeit der im Ausgangsverfahren in Rede stehenden Datenverarbeitung mit den Vorschriften der Richtlinie 95/46 durch diese beiden Kontrollstellen verpflichtete, den Datenschutzbeauftragten um die Ausübung seiner Befugnisse gegenüber Facebook Ireland zu ersuchen.
37. Unter diesen Umständen hat das Bundesverwaltungsgericht das Verfahren ausgesetzt und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorgelegt:
1. Ist Art. 2 Buchst. d der Richtlinie 95/46 dahin auszulegen, dass er Haftung und Verantwortlichkeit für Datenschutzverstöße abschließend und erschöpfend regelt, oder verbleibt im Rahmen der „geeigneten Maßnahmen“ nach Art. 24 dieser Richtlinie und der „wirksame[n] Eingriffsbefugnisse“ nach Art. 28 Abs. 3 Spiegelstrich 2 dieser Richtlinie in mehrstufigen Informationsanbieterverhältnissen Raum für eine Verantwortlichkeit einer Stelle, die nicht im Sinne von Art. 2 Buchst. d dieser Richtlinie für die Datenverarbeitung verantwortlich ist, bei der Auswahl eines Betreibers für sein Informationsangebot?
2. Folgt aus der Pflicht der Mitgliedstaaten nach Art. 17 Abs. 2 der Richtlinie 95/46, bei der Datenverarbeitung im Auftrag vorzuschreiben, dass der für die Verarbeitung Verantwortliche einen „Auftragsverarbeiter auszuwählen hat, der hinsichtlich der für die Verarbeitung zu treffenden technischen Sicherheitsmaßnahmen und organisatorischen Vorkehrungen ausreichend Gewähr bietet“, im Umkehrschluss, dass bei anderen Nutzungsverhältnissen, die nicht mit einer Datenverarbeitung im Auftrag im Sinne von Art. 2 Buchst. e dieser Richtlinie verbunden sind, keine Pflicht zur sorgfältigen Auswahl besteht und auch nach nationalem Recht nicht begründet werden kann?
3. Ist in Fällen, in denen ein außerhalb der Europäischen Union ansässiger Mutterkonzern in verschiedenen Mitgliedstaaten rechtlich selbständige Niederlassungen (Tochtergesellschaften) unterhält, nach Art. 4 und Art. 28 Abs. 6 der Richtlinie 95/46 die Kontrollstelle eines Mitgliedstaats (hier: Deutschland) zur Ausübung der nach Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse gegen die im eigenen Hoheitsgebiet gelegene Niederlassung auch dann befugt, wenn diese Niederlassung allein für die Förderung des Verkaufs von Werbung und sonstige Marketingmaßnahmen mit Ausrichtung auf die Einwohner dieses Mitgliedstaats zuständig ist, während der in einem anderen Mitgliedstaat (hier: Irland) gelegenen selbständigen Niederlassung (Tochtergesellschaft) nach der konzerninternen Aufgabenverteilung die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten im gesamten Gebiet der Europäischen Union und damit auch in dem anderen Mitgliedstaat (hier: Deutschland) obliegt, wenn tatsächlich die Entscheidung über die Datenverarbeitung durch den Mutterkonzern getroffen wird?
4. Sind Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 der Richtlinie 95/46 dahin auszulegen, dass in Fällen, in denen der für die Verarbeitung Verantwortliche eine Niederlassung im Hoheitsgebiet eines Mitgliedstaats (hier: Irland) besitzt und eine weitere, rechtlich selbständige Niederlassung in dem Hoheitsgebiet eines anderen Mitgliedstaats (hier: Deutschland) besteht, die u. a. für den Verkauf von Werbeflächen zuständig ist und deren Tätigkeit auf die Einwohner dieses Staates ausgerichtet ist, die in diesem anderen Mitgliedstaat (hier: Deutschland) zuständige Kontrollstelle Maßnahmen und Anordnungen zur Durchsetzung des Datenschutzrechts auch gegen die nach der konzerninternen Aufgaben- und Verantwortungsverteilung für die Datenverarbeitung nicht verantwortliche weitere Niederlassung (hier: in Deutschland) richten kann, oder sind Maßnahmen und Anordnungen dann nur durch die Kontrollbehörde des Mitgliedstaats (hier: Irland) möglich, in dessen Hoheitsgebiet die konzernintern verantwortliche Stelle ihren Sitz hat?
5. Sind die Art. 4 Abs. 1 Buchst. a sowie Art. 28 Abs. 3 und 6 der Richtlinie 95/46 dahin auszulegen, dass in Fällen, in denen die Kontrollbehörde eines Mitgliedstaats (hier: Deutschland) eine in ihrem Hoheitsgebiet tätige Person oder Stelle nach Art. 28 Abs. 3 dieser Richtlinie wegen der nicht sorgfältigen Auswahl eines in den Datenverarbeitungsprozess eingebundenen Dritten (hier: Facebook) in Anspruch nimmt, weil dieser Dritte gegen Datenschutzrecht verstoße, die tätig werdende Kontrollbehörde (hier: Deutschland) an die datenschutzrechtliche Beurteilung der Kontrollbehörde des anderen Mitgliedstaats, in dem der für die Datenverarbeitung verantwortliche Dritte seine Niederlassung hat (hier: Irland), in dem Sinne gebunden ist, dass sie keine hiervon abweichende rechtliche Beurteilung vornehmen darf, oder darf die tätig werdende Kontrollstelle (hier: Deutschland) die Rechtmäßigkeit der Datenverarbeitung durch den in einem anderen Mitgliedstaat (hier: Irland) niedergelassenen Dritten als Vorfrage des eigenen Tätigwerdens selbständig auf seine Rechtmäßigkeit prüfen?
6. Soweit der tätig werdenden Kontrollstelle (hier: Deutschland) eine selbständige Überprüfung eröffnet ist: Ist Art. 28 Abs. 6 Satz 2 der Richtlinie 95/46 dahin auszulegen, dass diese Kontrollstelle die ihr nach Art. 28 Abs. 3 dieser Richtlinie übertragenen wirksamen Einwirkungsbefugnisse gegen eine in ihrem Hoheitsgebiet niedergelassene Person oder Stelle wegen der Mitverantwortung für die Datenschutzverstöße des in einem anderen Mitgliedstaat niedergelassenen Dritten nur und erst dann ausüben darf, wenn sie zuvor die Kontrollstelle dieses anderen Mitgliedstaats (hier: Irland) um die Ausübung ihrer Befugnisse ersucht hat?
II. Würdigung
38. Es ist darauf hinzuweisen, dass die Fragen des vorlegenden Gerichts nicht den Punkt betreffen, ob die Verarbeitung personenbezogener Daten, auf die sich die Rügen des ULD beziehen, nämlich die Erhebung und Auswertung der Daten der Personen, die Fanpages aufrufen, ohne dass diese Personen zuvor darüber informiert werden, den Vorschriften der Richtlinie 95/46 entspricht oder nicht.
39. Nach den Angaben des vorlegenden Gerichts hängt die Rechtmäßigkeit der von ihm zu beurteilenden Anordnung von den folgenden Umständen ab. Zunächst sei zu bestimmen, ob das ULD seine Einwirkungsbefugnisse gegen eine Person habe ausüben dürfen, die nicht die Eigenschaft als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 habe. Sodann hänge die Rechtmäßigkeit der Anordnung auch davon ab, ob das ULD dafür zuständig sei, hinsichtlich der im Ausgangsverfahren in Rede stehenden Verarbeitung personenbezogener Daten tätig zu werden, ob nicht ferner der Umstand, dass es seine Anordnung nicht an Facebook Germany statt an die Wirtschaftsakademie gerichtet habe, einen Beurteilungsfehler darstelle, und ob schließlich das ULD nicht einen anderen Beurteilungsfehler begangen habe, indem es der Wirtschaftsakademie aufgegeben habe, ihre Fanpage zu schließen, obwohl es zuvor den Datenschutzbeauftragten hätte ersuchen müssen, seine Befugnisse gegenüber Facebook Ireland auszuüben.
A. Zur ersten und zur zweiten Vorlagefrage
40. Mit der ersten und der zweiten Vorlagefrage, die meines Erachtens gemeinsam zu prüfen sind, möchte das vorlegende Gericht vom Gerichtshof wissen, ob Art. 17 Abs. 2, Art. 24 und Art. 28 Abs. 3 zweiter Gedankenstrich der Richtlinie 95/46 dahin auszulegen sind, dass sie den Kontrollstellen gestatten, ihre Einwirkungsbefugnisse gegenüber einer Stelle auszuüben, die nicht als „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchst. d dieser Richtlinie angesehen werden kann, die aber trotzdem im Fall eines Verstoßes gegen die Vorschriften über den Schutz personenbezogener Daten aufgrund der Entscheidung dieser Stelle, ein soziales Netzwerk wie Facebook für die Verbreitung seines Informationsangebots zu nutzen, verantwortlich gemacht werden könnte.
41. Diese Fragen beruhen auf der Prämisse, dass die Wirtschaftsakademie kein „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 ist. Deshalb möchte dieses Gericht wissen, ob sich eine Anordnung wie die im Ausgangsverfahren in Rede stehende gegen eine Person richten kann, die die von dieser Bestimmung festgelegten Kriterien nicht erfüllt.
42. Ich bin jedoch der Ansicht, dass diese Prämisse unzutreffend ist. Meines Erachtens ist nämlich davon auszugehen, dass die Wirtschaftsakademie für die in der Erhebung von personenbezogenen Daten durch Facebook bestehende Phase der Verarbeitung gemeinsam mit Facebook verantwortlich ist.
43. Der „für die Verarbeitung Verantwortliche“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 ist „die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“(16).
44. Der für eine Verarbeitung Verantwortliche spielt eine grundlegende Rolle im Rahmen des von der Richtlinie 95/46 geschaffenen Systems, und seine Bestimmung ist daher wesentlich. Diese Richtlinie sieht nämlich vor, dass dem für die Verarbeitung Verantwortlichen eine Reihe von Verpflichtungen obliegen, die den Schutz personenbezogener Daten sicherstellen sollen(17). Diese grundlegende Rolle hat der Gerichtshof in seinem Urteil vom 13. Mai 2014, Google Spain und Google(18), betont. Er hat nämlich entschieden, dass der für die Verarbeitung Verantwortliche in seinem Verantwortungsbereich im Rahmen seiner Befugnisse und Möglichkeiten dafür zu sorgen hat, dass die in Rede stehende Datenverarbeitung den Anforderungen der Richtlinie 95/46 entspricht, damit die darin vorgesehenen Garantien ihre volle Wirksamkeit entfalten können und ein wirksamer und umfassender Schutz der betroffenen Personen, insbesondere ihres Rechts auf Achtung des Privatlebens, tatsächlich verwirklicht werden kann(19).
45. Zudem ist nach der Rechtsprechung des Gerichtshofs der Begriff des für die Verarbeitung Verantwortlichen weit zu definieren, um einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten(20).
46. Der für die Verarbeitung personenbezogener Daten Verantwortliche ist die Person, die entscheidet, warum und auf welche Weise diese Daten verarbeitet werden. Die Artikel-29-Datenschutzgruppe weist darauf hin, dass „[d]er Begriff ‚für die Verarbeitung Verantwortlicher‘ … ein funktionelles Konzept [ist], das die Zuweisung der Verantwortlichkeiten anhand des tatsächlichen Einflusses und damit auf der Grundlage einer Analyse der Fakten und nicht einer formellen Analyse ermöglichen soll“(21).
47. Als Entwickler dieser Verarbeitung sind es meiner Ansicht nach Facebook Inc. und für die Union Facebook Ireland, die deren Ziele und Modalitäten hauptsächlich bestimmten.
48. Insbesondere hat Facebook Inc. das allgemeine Geschäftsmodell ausgearbeitet, das dazu führt, dass die Erhebung personenbezogener Daten beim Besuch von Fanpages und sodann die Auswertung dieser Daten zum einen die Verbreitung personalisierter Werbung und zum anderen die Erstellung von Besucherstatistiken für die Betreiber dieser Seiten gestatten.
49. Ferner ergibt sich aus den Akten, dass Facebook Ireland von Facebook Inc. mit der Verarbeitung personenbezogener Daten in der Union beauftragt ist. Nach den Ausführungen von Facebook Ireland kann die Funktionsweise des sozialen Netzwerks in der Union gewisse Anpassungen erfahren(22).
50. Außerdem steht zwar fest, dass alle im Unionsgebiet wohnhaften Personen, die Facebook nutzen wollen, bei ihrer Anmeldung einen Vertrag mit Facebook Ireland abschließen müssen, doch werden gleichzeitig die personenbezogenen Daten der im Unionsgebiet wohnhaften Nutzer von Facebook ganz oder teilweise an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet(23).
51. In Anbetracht der Beteiligung von Facebook Inc. und, was die Union angeht, von Facebook Ireland an der Entscheidung über die Zwecke und Mittel der im Ausgangsverfahren in Rede stehenden Verarbeitung personenbezogener Daten sind diese beiden Rechtssubjekte unter Berücksichtigung der vorliegenden Umstände als gemeinsam für diese Verarbeitung verantwortlich anzusehen. Insoweit ist darauf hinzuweisen, dass Art. 2 Buchst. d der Richtlinie 95/46 ausdrücklich die Möglichkeit einer solchen gemeinsamen Verantwortlichkeit vorsieht. Wie das vorlegende Gericht selbst darlegt, wird es letztlich ihm obliegen, zur Bestimmung der für die Verarbeitung im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 verantwortlichen Niederlassung oder Niederlassungen die konzerninternen Entscheidungs- und Datenverarbeitungsstrukturen von Facebook aufzuklären(24).
52. Hinsichtlich der in der Erhebung von personenbezogenen Daten durch Facebook bestehenden Phase der Verarbeitung(25) muss zur gemeinsamen Verantwortlichkeit von Facebook Inc. und Facebook Ireland meines Erachtens diejenige eines Betreibers einer Fanpage, wie die Wirtschaftsakademie, hinzutreten.
53. Der Betreiber einer Fanpage ist zwar vor allem ein Nutzer von Facebook, das er in Anspruch nimmt, um dessen Tools zu nutzen und somit in den Genuss einer besseren Wahrnehmbarkeit zu kommen. Diese Feststellung schließt jedoch nicht aus, dass er auch als Verantwortlicher für die den Gegenstand des Ausgangsverfahrens bildende Phase der Verarbeitung personenbezogener Daten, nämlich die Erhebung solcher Daten durch Facebook, angesehen werden kann.
54. Zur Frage, ob der Betreiber einer Fanpage über die Zwecke und Mittel der Verarbeitung „entscheidet“, ist zu prüfen, ob dieser Betreiber einen rechtlichen oder tatsächlichen Einfluss auf diese Zwecke und Mittel ausübt. Dieses Element der Definition lässt den Schluss zu, dass der für die Verarbeitung Verantwortliche nicht derjenige ist, der die Verarbeitung personenbezogener Daten durchführt, sondern derjenige, der über deren Mittel und Zwecke entscheidet.
55. Indem der Betreiber der Fanpage Facebook für die Verbreitung seines Informationsangebots nutzt, schließt er sich dem Grundsatz der Durchführung einer Verarbeitung personenbezogener Daten der Besucher seiner Seite zum Zweck der Erstellung von Besucherstatistiken an(26). Auch wenn er selbstverständlich nicht der Entwickler des Tools „Facebook Insights“ ist, nimmt dieser Betreiber durch dessen Nutzung an der Entscheidung über die Zwecke und Modalitäten der Verarbeitung personenbezogener Daten der Besucher seiner Seite teil.
56. Zum einen könnte diese Verarbeitung nämlich nicht ohne die vorherige Entscheidung des Betreibers einer Fanpage erfolgen, diese im sozialen Netzwerk Facebook einzurichten und zu nutzen. Indem der Betreiber der Fanpage die Verarbeitung personenbezogener Daten der Nutzer dieser Seite ermöglicht, schließt er sich dem von Facebook eingerichteten System an. Er erhält so eine bessere Übersicht über das Profil der Nutzer seiner Fanpage und gestattet gleichzeitig Facebook, die im Rahmen dieses sozialen Netzwerks verbreitete Werbung gezielter einzusetzen. Durch das Akzeptieren der Mittel und Zwecke der Verarbeitung personenbezogener Daten, wie sie von Facebook im Voraus festgelegt werden, ist der Betreiber der Fanpage als Beteiligter an ihrer Bestimmung anzusehen. Ebenso wie der Betreiber einer Fanpage somit einen bestimmenden Einfluss auf das Auslösen der Verarbeitung personenbezogener Daten der Besucher dieser Seite ausübt, verfügt er außerdem auch über die Macht, diese Verarbeitung zu beenden, indem er seine Fanpage schließt.
57. Zum anderen hat, obwohl die Zwecke und Modalitäten des Tools „Facebook Insights“ als solche allgemein von Facebook Inc. gemeinsam mit Facebook Ireland festgelegt werden, der Betreiber einer Fanpage die Möglichkeit, die konkrete Umsetzung dieses Tools zu beeinflussen, indem er die Kriterien definiert, auf deren Grundlage die Besucherstatistiken erstellt werden. Wenn Facebook den Betreiber einer Fanpage ersucht, das Zielpublikum seiner Seite zu erstellen oder zu ändern, weist es ihn darauf hin, dass es sein Bestes tun werde, um diese Seite den Personen zu zeigen, die für ihn am wichtigsten sind. Der Betreiber einer Fanpage kann mittels Filtern ein personalisiertes Zielpublikum festlegen, was ihm erlaubt, nicht nur die Personengruppe genau zu bestimmen, an die die Informationen über sein kommerzielles Angebot verbreitet werden, sondern insbesondere die Kategorien von Personen zu bezeichnen, deren personenbezogene Daten sodann von Facebook erhoben werden. Daher bestimmt der Betreiber einer Fanpage, indem er das Publikum festlegt, das er erreichen möchte, gleichzeitig, welche Zielgruppe Gegenstand einer Erhebung und sodann einer Auswertung ihrer personenbezogenen Daten durch Facebook werden kann. Der Betreiber einer Fanpage ist das auslösende Element einer Verarbeitung solcher Daten, wenn er diese Seite einrichtet, und er spielt daher darüber hinaus auch eine maßgebliche Rolle bei der Umsetzung dieser Verarbeitung durch Facebook. Auf diese Weise nimmt er an der Entscheidung über die Mittel und Zwecke dieser Verarbeitung teil, indem er auf diese einen tatsächlichen Einfluss ausübt.
58. Aus alledem leite ich ab, dass unter Umständen wie denen des Ausgangsrechtsstreits ein Betreiber einer Fanpage eines sozialen Netzwerks wie Facebook als Verantwortlicher für die Phase der Verarbeitung personenbezogener Daten anzusehen ist, die in der Erhebung von Daten über die diese Seite besuchenden Personen durch dieses soziale Netzwerk besteht.
59. Diese Schlussfolgerung wird durch die Feststellung bestärkt, dass ein Betreiber einer Fanpage wie die Wirtschaftsakademie zum einen und Dienstleister wie Facebook Inc. und Facebook Ireland zum anderen jeweils eng verknüpfte Zwecke verfolgen. Die Wirtschaftsakademie möchte Besucherstatistiken zum Zweck der Steuerung der Vermarktung ihrer Tätigkeit erhalten, und um diese zu erlangen, ist eine Verarbeitung personenbezogener Daten erforderlich. Dieselbe Verarbeitung wird auch Facebook erlauben, die über sein Netzwerk verbreitete Werbung gezielter einzusetzen.
60. Eine Auslegung, die sich ausschließlich auf die Bedingungen des Vertrags zwischen der Wirtschaftsakademie und Facebook Ireland stützte, ist daher zurückzuweisen. Die vertragliche Aufgabenverteilung kann nämlich nur einen Hinweis auf die tatsächliche Rolle der Vertragsparteien bei der Umsetzung einer Verarbeitung personenbezogener Daten liefern. Andernfalls könnten diese Parteien die Verantwortlichkeit für die Verarbeitung künstlich einer von ihnen zuweisen. Dies gilt umso mehr in einer Situation, in der die allgemeinen Geschäftsbedingungen im Vorhinein vom sozialen Netzwerk vorbereitet werden und nicht verhandelbar sind. Daher kann nicht gesagt werden, dass derjenige, der dem Vertrag nur zustimmen oder ihn ablehnen kann, nicht ein für die Verarbeitung Verantwortlicher sein kann. Sobald dieser Vertragspartner die Vereinbarung freiwillig geschlossen hat, kann er im Hinblick auf seinen konkreten Einfluss auf die Mittel und die Zwecke dieser Verarbeitung immer noch ein für die Verarbeitung Verantwortlicher sein.
61. Daher schließt die Tatsache, dass der Vertrag und die Geschäftsbedingungen von einem Dienstleister gestaltet wurden und der Wirtschaftsteilnehmer, der die von diesem Dienstleister angebotenen Dienstleistungen nutzt, keinen Zugang zu den Daten hat, nicht aus, dass er als ein für die Verarbeitung Verantwortlicher angesehen werden kann, da er die Vertragsbedingungen aus freien Stücken angenommen und damit die volle Verantwortung für sie übernommen hat(27). Mit der Artikel-29-Datenschutzgruppe ist auch anzuerkennen, dass ein etwaiges Ungleichgewicht im Machtverhältnis zwischen dem Anbieter und dem Empfänger der Dienstleistung die Einstufung des Letzteren als „für die Verarbeitung Verantwortlichen“ unberührt lässt(28).
62. Damit eine Person als ein für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden kann, ist es außerdem nicht erforderlich, dass diese Person über eine umfassende Kontrolle über alle Gesichtspunkte einer Verarbeitung verfügt. Wie die belgische Regierung in der mündlichen Verhandlung zu Recht ausgeführt hat, gibt es eine solche Kontrolle in der Praxis immer weniger. Die Verarbeitungen sind zunehmend komplexer Natur in dem Sinne, dass es sich um mehrere verschiedene Verarbeitungen handelt, die mehrere Beteiligte einbeziehen, die selbst in unterschiedlichem Umfang Kontrolle ausüben. Folglich kann die Auslegung, die dem Bestehen einer umfassenden Kontrolle über alle Gesichtspunkte der Verarbeitung Vorrang einräumt, zu schwerwiegenden Lücken im Bereich des Schutzes personenbezogener Daten führen.
63. Der dem Urteil vom 13. Mai 2014, Google Spain und Google(29), zugrunde liegende Sachverhalt veranschaulicht dies. In dieser Rechtssache ging es nämlich um eine Situation mehrstufiger Informationsanbieterverhältnisse, in denen verschiedene Beteiligte jeweils einen anderen Einfluss auf die Verarbeitung ausübten. In dieser Rechtssache hat es der Gerichtshof abgelehnt, den Begriff „für die Verarbeitung Verantwortlicher“ eng auszulegen. Er hat festgestellt, dass der Suchmaschinenbetreiber „als derjenige, der über die Zwecke und Mittel [seiner] Tätigkeit entscheidet, … in seinem Verantwortungsbereich im Rahmen seiner Befugnisse und Möglichkeiten dafür zu sorgen [hat], dass die Tätigkeit den Anforderungen der Richtlinie 95/46 entspricht“(30). Der Gerichtshof hat außerdem auf die Möglichkeit einer gemeinsamen Verantwortlichkeit des Suchmaschinenbetreibers und der Herausgeber von Websites hingewiesen(31).
64. Wie die belgische Regierung bin ich der Ansicht, dass die weite Auslegung des Begriffs „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46, der meines Erachtens im Rahmen der vorliegenden Rechtssache der Vorzug zu geben ist, geeignet ist, Missbrauch zu verhindern. Andernfalls genügte es nämlich, dass ein Unternehmen die Dienstleistungen eines Dritten nutzt, um sich seinen Verpflichtungen im Bereich des Schutzes personenbezogener Daten zu entziehen. Mit anderen Worten darf man meiner Meinung nach nicht zwischen dem Unternehmen, das seine Website mit Tools ausstattet, die den von Facebook angebotenen entsprechen, und dem Unternehmen, das dem sozialen Netzwerk Facebook beitritt, um dessen Tools zu nutzen, unterscheiden. Es ist somit sicherzustellen, dass die Wirtschaftsteilnehmer, die einen Bereithaltungsdienst für ihre Internetseite in Anspruch nehmen, sich nicht ihrer Verantwortung entziehen können, indem sie sich den allgemeinen Geschäftsbedingungen eines Dienstleisters unterwerfen. Außerdem ist es, wie die belgische Regierung in der mündlichen Verhandlung ausgeführt hat, nicht unangemessen, von den Unternehmen zu erwarten, dass sie bei der Auswahl ihres Dienstleisters sorgfältig sind.
65. Meines Erachtens befreit daher der Umstand, dass ein Betreiber einer Fanpage die von Facebook angebotene Plattform nutzt und die dazugehörigen Dienstleistungen in Anspruch nimmt, diesen nicht von seinen Verpflichtungen im Bereich des Schutzes personenbezogener Daten. Insoweit würde die Wirtschaftsakademie, wenn sie eine Internetseite außerhalb von Facebook eingerichtet hätte, indem sie ein „Facebook Insights“ entsprechendes Tool umgesetzt hätte, um Besucherstatistiken zu erstellen, als Verantwortlicher für die Verarbeitung angesehen, die für die Erstellung solcher Statistiken erforderlich ist. Meiner Meinung nach dürfte ein solcher Wirtschaftsteilnehmer nicht allein aus dem Grund, dass er die Plattform des sozialen Netzwerks Facebook nutzt, um seine Tätigkeit zu vermarkten, davon befreit sein, die Vorschriften über den Schutz personenbezogener Daten nach der Richtlinie 95/46 zu beachten. Wie das vorlegende Gericht selbst zu Recht darlegt, soll sich ein Informationsanbieter nicht durch die Wahl eines bestimmten Infrastrukturanbieters von datenschutzschutzrechtlichen Pflichten im Verhältnis zu den Nutzern seines Informationsangebots freizeichnen dürfen, die er bei einem reinen Content-Provider zu erfüllen hätte(32). Eine gegenteilige Auslegung würde die Gefahr einer Umgehung der Vorschriften über den Schutz personenbezogener Daten schaffen.
66. Meines Erachtens darf man auch nicht künstlich zwischen der in der vorliegenden Rechtssache und der in der Rechtssache C‑40/17, Fashion ID(33), in Rede stehenden Situation unterscheiden.
67. Die letztere Rechtssache betrifft den Fall, dass der Betreiber einer Website in seine Site ein sogenanntes „Social Plugin“ (im vorliegenden Fall den „Gefällt mir“-Button von Facebook) eines externen Anbieters (nämlich Facebook) einfügt, das eine Übermittlung von personenbezogenen Daten vom Rechner des Nutzers der Website an den externen Anbieter zur Folge hat.
68. Im Rahmen des jener Rechtssache zugrunde liegenden Rechtsstreits wirft eine Verbraucherschutzorganisation der Gesellschaft Fashion ID vor, dass diese, indem sie in ihre Website das vom sozialen Netzwerk Facebook zur Verfügung gestellte Plugin „Gefällt mir“ eingefügt habe, Letzterem gestattet habe, Zugang zu den personenbezogenen Daten der Nutzer dieser Seite zu erlangen, ohne dass diese eingewilligt hätten und unter Verstoß gegen die von den Bestimmungen über den Schutz personenbezogener Daten vorgesehenen Informationspflichten. Es stellt sich daher die Frage, ob Fashion ID, da sie Facebook den Zugang zu den personenbezogenen Daten der Nutzer ihrer Internetseite gestattet, als „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 eingestuft werden kann.
69. Ich sehe insoweit keinen grundlegenden Unterschied zwischen dem Fall eines Fanpage-Betreibers und dem des Betreibers einer Website, der den Code eines Webtracking-Dienstleisters in seine Website einbindet und somit ohne Wissen des Internetnutzers die Übermittlung von Daten, das Setzen von Cookies und die Erhebung von Daten zugunsten des Webtracking-Dienstleisters unterstützt.
70. Die Social Plugins erlauben es den Betreibern von Websites, gewisse Dienste der sozialen Netzwerke auf ihren eigenen Websites zu nutzen, um deren Wahrnehmbarkeit zu erhöhen, z. B. indem sie in ihre Seite den „Gefällt mir“-Button von Facebook einfügen. Wie die Betreiber von Fanpages können die Betreiber von Websites, die Social Plugins enthalten, den Dienst „Facebook Insights“ nutzen, um genaue statistische Informationen über die Nutzer ihrer Seite zu erhalten.
71. Wie im Fall des Besuchs einer Fanpage wird der Besuch einer Website, die ein Social Plugin enthält, eine Übermittlung personenbezogener Daten an den betreffenden Dienstleister auslösen.
72. Meiner Ansicht nach müsste in einem solchen Kontext der Betreiber einer Website, die ein Social Plugin enthält, soweit er einen tatsächlichen Einfluss auf die die Übermittlung personenbezogener Daten an Facebook betreffende Phase der Verarbeitung ausübt, wie der Betreiber einer Fanpage als „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 eingestuft werden(34).
73. Wie die belgische Regierung zu Recht ausführt, ändert zudem die Feststellung, dass die Wirtschaftsakademie aufgrund ihrer Entscheidung, für ihr Informationsangebot durch Facebook angebotene Dienstleistungen in Anspruch zu nehmen, als gemeinsam für die Verarbeitung Verantwortliche auftritt, nichts an den Verpflichtungen, die Facebook Inc. und Facebook Ireland in ihrer Eigenschaft als für die Verarbeitung Verantwortliche obliegen. Es ist nämlich offensichtlich, dass diese beiden Rechtssubjekte in Bezug auf die Zwecke und Mittel der Verarbeitung personenbezogener Daten, die im Rahmen des Besuchs einer Fanpage erfolgt, einen bestimmenden Einfluss ausüben, und dass sie diese auch für ihre eigenen Zwecke und Interessen nutzen.
74. Indes trägt die Anerkennung einer gemeinsamen Verantwortlichkeit der Betreiber von Fanpages für die in der Erhebung von personenbezogenen Daten durch Facebook bestehende Phase der Verarbeitung dazu bei, einen umfassenderen Schutz der Rechte sicherzustellen, über die die Personen verfügen, die diese Art von Seiten besuchen. Außerdem ist eine aktive Einbeziehung der Betreiber von Fanpages in die Beachtung der Vorschriften über den Schutz personenbezogener Daten durch ihre Bestimmung zu für die Verarbeitung Verantwortliche geeignet, durch eine Reflexwirkung einen Anreiz für das soziale Netzwerk selbst zu schaffen, diese Vorschriften einzuhalten.
75. Es ist auch darauf hinzuweisen, dass das Bestehen einer gemeinsamen Verantwortlichkeit keine gleichrangige Verantwortlichkeit bedeutet. Im Gegenteil können die verschiedenen für die Verarbeitung Verantwortlichen in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein(35).
76. Laut der Artikel-29-Datenschutzgruppe „[dient d]ie Möglichkeit einer pluralistischen Kontrolle … zur Abdeckung der zunehmenden Zahl von Fällen, in denen verschiedene Parteien als für die Verarbeitung Verantwortliche handeln. Die Prüfung der gemeinsamen Kontrolle sollte in gleicher Weise erfolgen wie die Prüfung der ‚alleinigen‘ Kontrolle: Dabei sollte ein materieller und funktioneller Ansatz verfolgt werden, wobei der Schwerpunkt auf der Frage liegen sollte, ob mehr als eine Partei über die Zwecke und die wesentlichen Elemente der Mittel entscheiden. Die Beteiligung der Parteien an der Bestimmung der Zwecke und Mittel der Verarbeitung kann im Rahmen einer gemeinsamen Kontrolle jedoch verschiedene Formen aufweisen und muss nicht gleichmäßig verteilt sein.“(36) Sind nämlich „mehrere Akteure an Entscheidungen beteiligt …, kann ihre Beziehung sehr eng (z. B. vollständig übereinstimmende Zwecke und Mittel der Verarbeitung) oder eher locker sein (es stimmen z. B. nur die Zwecke oder nur die Mittel oder nur Teile davon überein). Daher sollten zahlreiche unterschiedliche Typologien für die gemeinsame Kontrolle betrachtet und ihre rechtlichen Folgen bewertet werden, wobei eine gewisse Flexibilität erforderlich ist, um der zunehmenden Komplexität der heutigen Gegebenheiten im Bereich der Datenverarbeitung Rechnung zu tragen.“(37)
77. Nach alledem ist der Betreiber einer Fanpage im sozialen Netzwerk Facebook neben Facebook Inc. und Facebook Ireland meines Erachtens als für die Verarbeitung personenbezogener Daten, die im Hinblick auf die Erstellung von diese Seite betreffenden Besucherstatistiken erfolgt, Verantwortlicher anzusehen.
B. Zur dritten und zur vierten Vorlagefrage
78. Mit der dritten und der vierten Vorlagefrage, die meiner Meinung nach gemeinsam zu prüfen sind, ersucht das vorlegende Gericht den Gerichtshof um Hinweise zur Auslegung von Art. 4 Abs. 1 Buchst. a sowie Art. 28 Abs. 1, 3 und 6 der Richtlinie 95/46 in einem Fall, in dem eine außerhalb der Union ansässige Muttergesellschaft, wie Facebook Inc., über mehrere Niederlassungen Dienstleistungen erbringt, die ein soziales Netzwerk in der Union betreffen. Unter diesen Niederlassungen ist eine von der Muttergesellschaft als die für die Verarbeitung personenbezogener Daten Verantwortliche in der Union bestimmt (Facebook Ireland), während die andere für die Förderung des Verkaufs von Werbeflächen und Marketingmaßnahmen mit Ausrichtung auf die Einwohner Deutschlands zuständig ist (Facebook Germany). Bei dieser Ausgestaltung möchte das vorlegende Gericht zum einen wissen, ob die deutsche Kontrollstelle ihre auf die Unterbrechung der streitigen Verarbeitung personenbezogener Daten gerichteten Einwirkungsbefugnisse ausüben darf, und zum anderen, gegenüber welcher Niederlassung solche Befugnisse ausgeübt werden können.
79. Zu den Bedenken des ULD und der italienischen Regierung hinsichtlich der Zulässigkeit der dritten und der vierten Vorlagefrage weise ich darauf hin, dass das Bundesverwaltungsgericht in seiner Vorlageentscheidung darlegt, dass es Erläuterungen zu diesen Fragen benötigt, um über die Rechtmäßigkeit der im Ausgangsverfahren in Rede stehenden Anordnung entscheiden zu können. Insbesondere führt dieses Gericht aus, dass die Anordnung gegen die Wirtschaftsakademie ermessens- und daher rechtswidrig sein könnte, wenn die vom ULD angenommenen Verstöße gegen das anwendbare Datenschutzrecht durch ein Vorgehen direkt gegen die Tochtergesellschaft Facebook Germany beseitigt werden könnten, die in Deutschland niedergelassen ist(38). Diese Überlegung des vorlegenden Gerichts erlaubt es meines Erachtens, die Gründe zu verstehen, aus denen dieses dem Gerichtshof die dritte und die vierte Vorlagefrage stellt. In Anbetracht der für Vorlagefragen geltenden Vermutung der Entscheidungserheblichkeit(39) schlage ich folglich dem Gerichtshof vor, diese Fragen zu beantworten.
80. Art. 4 („Anwendbares einzelstaatliches Recht“) der Richtlinie 95/46 sieht Folgendes vor:
„(1) Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an,
a) die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. Wenn der Verantwortliche eine Niederlassung im Hoheitsgebiet mehrerer Mitgliedstaaten besitzt, ergreift er die notwendigen Maßnahmen, damit jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhält;
…“
81. In ihrer Stellungnahme 8/2010 vom 16. Dezember 2010 zum anwendbaren Recht(40) weist die Artikel-29-Datenschutzgruppe auf die Anwendung von Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 in folgender Situation hin: „Ein soziales Netz hat seinen Sitz in einem Drittland und eine Niederlassung in einem Mitgliedstaat der [Union]. Seine Politik für die Verarbeitung personenbezogener Daten von [Unions]-Bürgern wird von der Niederlassung festgelegt und umgesetzt. Das soziale Netz richtet sich aktiv an alle in den Mitgliedstaaten ansässigen Personen. Ein Großteil seiner Kunden und auch seiner Einnahmen stammen aus diesem Personenkreis. Das soziale Netz arbeitet mit Cookies, die es auf den Rechnern der in der [Union] ansässigen Benutzer setzt. Gemäß Artikel 4 Absatz 1 Buchstabe a [der Richtlinie 95/46] ist in diesem Fall das Datenschutzrecht des Mitgliedstaats, in dem das Unternehmen seinen [Unions]-Sitz hat, das anwendbare Recht. Ob das soziale Netz Mittel verwendet, die im Hoheitsgebiet eines anderen Mitgliedstaats belegen sind, ist hierbei irrelevant, da die gesamte Verarbeitung im Rahmen der Tätigkeiten der einzigen Niederlassung erfolgt und eine kumulative Anwendung von Artikel 4 Absatz 1 Buchstabe a und Artikel 4 Absatz 1 Buchstabe c laut [dieser] Richtlinie ausgeschlossen ist.“(41) Die Artikel-29-Datenschutzgruppe führt auch aus, dass „die Kontrollstelle des Mitgliedstaats, in dem das soziale Netz seinen [Unions]-Sitz hat, nach Artikel 28 Absatz 6 [dieser Richtlinie] verpflichtet [ist], mit anderen Kontrollstellen zusammenzuarbeiten, um beispielsweise Anträge oder Beschwerden von Bürgern anderer [Unions]-Länder zu bearbeiten“(42).
82. Der in Nr. 81 dargestellte Fall bereitet kaum Schwierigkeiten hinsichtlich der Bestimmung des anwendbaren nationalen Rechts. In dieser Fallgestaltung, in der die Muttergesellschaft nur über eine einzige Niederlassung in der Union verfügt, ist nämlich das Recht des Mitgliedstaats, in dem sich diese Niederlassung befindet, auf die in Rede stehende Verarbeitung personenbezogener Daten anwendbar.
83. Die Situation wird komplexer, wenn, wie es in der vorliegenden Rechtssache der Fall ist, eine Gesellschaft mit Sitz in einem Drittstaat, wie Facebook Inc., ihre Tätigkeiten in der Union zum einen über eine Niederlassung ausübt, die von dieser Gesellschaft als diejenige bestimmt wird, die innerhalb des Facebook-Konzerns die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten im gesamten Gebiet der Union hat (Facebook Ireland), und zum anderen über andere Niederlassungen, von denen sich eine in Deutschland befindet (Facebook Germany) und nach den Angaben in der Vorlageentscheidung für die Förderung des Verkaufs von Werbeflächen und sonstige Marketingmaßnahmen mit Ausrichtung auf die Einwohner dieses Mitgliedstaats zuständig ist(43).
84. Ist in einem solchen Fall die deutsche Kontrollstelle für die Ausübung von Einwirkungsbefugnissen zuständig, die darauf gerichtet sind, die Verarbeitung personenbezogener Daten zu beenden, für die Facebook Inc. und Facebook Ireland gemeinsam verantwortlich sind?
85. Zur Beantwortung dieser Frage ist zu bestimmen, ob die deutsche Kontrollstelle ihr nationales Recht auf eine solche Verarbeitung anwenden kann.
86. Insoweit folgt aus Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46, dass eine Datenverarbeitung, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt wird, dem Recht des Mitgliedstaats unterliegt, in dessen Hoheitsgebiet sich diese Niederlassung befindet.
87. Der Gerichtshof hat bereits entschieden, dass die Wendung „im Rahmen der Tätigkeiten einer Niederlassung“ in Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 im Hinblick auf das Ziel dieser Richtlinie, nämlich bei der Verarbeitung personenbezogener Daten einen wirksamen und umfassenden Schutz der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere des Rechts auf Privatleben, zu gewährleisten, nicht eng ausgelegt werden kann(44).
88. Die Anwendbarkeit des zur Richtlinienumsetzung ergangenen Gesetzes eines Mitgliedstaats auf eine Verarbeitung personenbezogener Daten hängt von zwei Voraussetzungen ab. Erstens muss der für die Verarbeitung Verantwortliche im betreffenden Mitgliedstaat eine „Niederlassung“ besitzen. Zweitens muss die Verarbeitung „im Rahmen der Tätigkeiten“ dieser Niederlassung ausgeführt werden.
89. Was als Erstes den Begriff der Niederlassung im Sinne von Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 betrifft, hat der Gerichtshof, indem er diesen Begriff weit und flexibel ausgelegt hat, bereits ausgeführt, dass er jede tatsächliche und effektive Tätigkeit umfasst, die mittels einer festen Einrichtung ausgeübt wird, selbst wenn sie nur geringfügig ist(45), womit er eine formalistische Sichtweise ausgeschlossen hat(46).
90. Unter diesem Blickwinkel sind sowohl der Grad an Beständigkeit der Einrichtung als auch die effektive Ausübung der wirtschaftlichen Tätigkeiten im fraglichen Mitgliedstaat(47) unter Beachtung des besonderen Charakters dieser Tätigkeiten und der in Rede stehenden Dienstleistungen(48) zu bewerten. Insoweit ist unstreitig, dass Facebook Germany, deren Sitz sich in Hamburg (Deutschland) befindet, in Deutschland effektiv und tatsächlich eine Tätigkeit mittels einer festen Einrichtung ausübt. Sie stellt somit eine „Niederlassung“ im Sinne von Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 dar.
91. Was als Zweites die Frage anbelangt, ob die betreffende Verarbeitung personenbezogener Daten „im Rahmen der Tätigkeiten“ dieser Niederlassung im Sinne von Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 ausgeführt wird, hat der Gerichtshof bereits darauf hingewiesen, dass nach dieser Vorschrift die in Rede stehende Verarbeitung personenbezogener Daten nicht „von“ der betreffenden Niederlassung selbst ausgeführt werden muss, sondern lediglich „im Rahmen der Tätigkeiten“ der Niederlassung(49).
92. Wie sich aus der Stellungnahme 8/2010 ergibt, „[ist d]er ‚Rahmen der Tätigkeiten‘ – und nicht der Ort, an dem sich die Daten befinden – … ein bestimmender Faktor bei der Ermittlung des Anwendungsbereichs des anwendbaren Rechts. Der Begriff ‚Rahmen der Tätigkeiten‘ impliziert nämlich, dass nicht das Recht des Mitgliedstaats, in dem der für die Verarbeitung Verantwortliche niedergelassen ist, das anwendbare Recht ist, sondern das Recht des Mitgliedstaats, in dem eine Niederlassung des für die Verarbeitung Verantwortlichen Tätigkeiten vornimmt, die [mit der] Verarbeitung personenbezogener Daten [verbunden sind oder diese Verarbeitung] mit sich bringen. Vor diesem Hintergrund ist es von entscheidender Bedeutung, in welchem Maße die Niederlassung(en) Tätigkeiten durchführt bzw. durchführen, in deren Rahmen personenbezogene Daten verarbeitet werden. Zu berücksichtigen ist zudem, welcher Art die Tätigkeiten der Niederlassungen sind, und auch der Notwendigkeit der Sicherstellung eines wirksamen Schutzes der Rechte des Einzelnen ist Rechnung zu tragen. Bei der Analyse dieser Kriterien sollte ein funktioneller Ansatz verfolgt werden: Ausschlaggebende Faktoren sollten nicht so sehr die von den Beteiligten mit Blick auf das anwendbare Recht durchgeführten theoretischen Bewertungen, sondern vielmehr ihr praktisches Vorgehen und ihre Interaktion sein.“(50)
93. Im Urteil vom 13. Mai 2014, Google Spain und Google(51), hatte der Gerichtshof zu prüfen, ob diese Voraussetzung erfüllt war. Er hat sie weit ausgelegt, indem er festgestellt hat, dass die Verarbeitung personenbezogener Daten, die für den Dienst einer Suchmaschine wie Google Search erfolgt, die von einem Unternehmen betrieben wird, das seinen Sitz in einem Drittstaat hat, jedoch in einem Mitgliedstaat über eine Niederlassung verfügt, „im Rahmen der Tätigkeiten“ dieser Niederlassung ausgeführt wird, wenn diese die Aufgabe hat, in dem Mitgliedstaat für die Förderung des Verkaufs der angebotenen Werbeflächen der Suchmaschine, mit denen die Dienstleistung der Suchmaschine rentabel gemacht werden soll, und diesen Verkauf selbst zu sorgen(52). Der Gerichtshof hat nämlich darauf hingewiesen, dass „[u]nter solchen Umständen … die Tätigkeiten des Suchmaschinenbetreibers und die seiner Niederlassung in dem betreffenden Mitgliedstaat untrennbar miteinander verbunden [sind], da die die Werbeflächen betreffenden Tätigkeiten das Mittel darstellen, um die in Rede stehende Suchmaschine wirtschaftlich rentabel zu machen, und die Suchmaschine gleichzeitig das Mittel ist, das die Durchführung dieser Tätigkeiten ermöglicht“(53). Der Gerichtshof hat zur Stützung seiner Lösung ergänzt, dass, da „zusammen“ mit den personenbezogenen Daten auf einer Seite mit Suchergebnissen „auf derselben Seite die mit den Suchbegriffen verknüpften Werbeanzeigen angezeigt werden, … festzustellen [ist], dass die in Rede stehende Verarbeitung personenbezogener Daten im Rahmen der Werbetätigkeit erfolgt, die von der Niederlassung, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet eines Mitgliedstaats – im vorliegenden Fall in Spanien – besitzt, ausgeübt wird“(54).
94. Nach den Angaben in der Vorlageentscheidung ist Facebook Germany für die Förderung des Verkaufs von Werbeflächen und sonstige Marketingmaßnahmen mit Ausrichtung auf die Einwohner Deutschlands zuständig. Da die im Ausgangsverfahren in Rede stehende Verarbeitung personenbezogener Daten, die in der Erhebung solcher Daten durch Cookies besteht, die auf den Rechnern der Besucher von Fanpages gesetzt werden, insbesondere den Zweck hat, Facebook zu erlauben, die von ihm verbreitete Werbung gezielter einzusetzen, ist davon auszugehen, dass eine solche Verarbeitung im Rahmen der Tätigkeiten ausgeführt wird, die Facebook Germany in Deutschland ausübt. Insoweit ist in Anbetracht des Umstands, dass ein soziales Netzwerk wie Facebook einen Großteil seiner Einnahmen aus der Werbung erwirtschaftet, die auf den eingerichteten Websiten eingeblendet und von den Nutzern aufgerufen wird(55), anzunehmen, dass die Tätigkeiten der gemeinsam für die Verarbeitung Verantwortlichen, Facebook Inc. und Facebook Ireland, untrennbar mit denjenigen einer Niederlassung wie Facebook Germany verbunden sind. Nach der Verarbeitung personenbezogener Daten, die durch das Setzen eines Cookies auf dem Rechner eines Besuchers einer zum Domain-Name Facebook.com gehörenden Seite ermöglicht wird, geht der Besuch einer Facebook-Seite außerdem Hand in Hand mit der Anzeige von Werbung, die die Interessenschwerpunkte dieses Benutzers betrifft, auf derselben Website. Daraus ist abzuleiten, dass die in Rede stehende Verarbeitung personenbezogener Daten im Rahmen der Werbetätigkeit erfolgt, die von der Niederlassung ausgeübt wird, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet eines Mitgliedstaats – im vorliegenden Fall in Deutschland – besitzt.
95. Der Umstand, dass der Facebook-Konzern, anders als es im Rahmen der Rechtssache der Fall war, in der das Urteil vom 13. Mai 2014, Google Spain und Google(56), ergangen ist, über einen Sitz in der Union, im vorliegenden Fall in Irland, verfügt, steht einer Übertragung der vom Gerichtshof in diesem Urteil vorgenommenen Auslegung von Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 auf die vorliegende Rechtssache nicht entgegen. In diesem Urteil hat der Gerichtshof den Willen zum Ausdruck gebracht, zu verhindern, dass eine Verarbeitung personenbezogener Daten den in dieser Richtlinie vorgesehenen Verpflichtungen und Garantien entzogen wird. Im Rahmen des vorliegenden Verfahrens ist vorgebracht worden, dass sich das Problem einer solchen Umgehung hier nicht stelle, da der für die Verarbeitung Verantwortliche seinen Sitz in einem Mitgliedstaat, im vorliegenden Fall in Irland, habe. Nach dieser Sichtweise wäre daher Art. 4 Abs. 1 Buchst. a dieser Richtlinie dahin auszulegen, dass danach dieser für die Verarbeitung Verantwortliche nur ein einziges nationales Recht zu berücksichtigen hätte und nur einer einzigen Kontrollstelle unterstünde, nämlich das irische Recht bzw. der irischen Kontrollstelle.
96. Eine solche Auslegung ist jedoch mit dem Wortlaut von Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 und mit der Entstehungsgeschichte dieser Bestimmung unvereinbar. Wie nämlich die belgische Regierung in der mündlichen Verhandlung zu Recht dargelegt hat, führt diese Richtlinie weder einen Mechanismus einer einzigen Anlaufstelle noch das Herkunftslandprinzip ein(57). Insoweit darf nicht das politische Ziel, das die Europäische Kommission in ihrem Vorschlag für eine Richtlinie anstrebte, mit der Lösung verwechselt werden, die schließlich vom Rat der Europäischen Union gebilligt wurde. Dieser Gesetzgeber hat entschieden, in der Richtlinie 95/46 der Anwendung des nationalen Rechts des Mitgliedstaats, in dem die Hauptniederlassung des für die Verarbeitung Verantwortlichen ihren Sitz hat, keinen Vorrang einzuräumen. Das mit der Richtlinie gewählte Ergebnis zeigt den Willen der Mitgliedstaaten, ihre nationalen Durchführungsbefugnisse zu bewahren. Indem der Unionsgesetzgeber nicht das Herkunftslandprinzip festgelegt hat, hat er jedem Mitgliedstaat gestattet, seine eigenen nationalen Rechtsvorschriften anzuwenden, und somit die Kumulierung von anwendbaren nationalen Rechtsvorschriften ermöglicht(58).
97. Mit Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 hat sich der Unionsgesetzgeber bewusst dafür entschieden, im Fall des Bestehens mehrerer Niederlassungen eines für die Verarbeitung Verantwortlichen in der Union zu gestatten, dass mehrere nationale Rechtsvorschriften über den Schutz personenbezogener Daten auf die Verarbeitungen personenbezogener Daten der Gebietsansässigen der betreffenden Mitgliedstaaten anwendbar sein können, um einen wirksamen Schutz ihrer Rechte in diesen Mitgliedstaaten sicherzustellen.
98. Dies wird durch den 19. Erwägungsgrund der Richtlinie 95/46 bestätigt, nach dem, „[w]enn der Verantwortliche im Hoheitsgebiet mehrerer Mitgliedstaaten niedergelassen ist, insbesondere mit einer Filiale, … er vor allem zur Vermeidung von Umgehungen sicherstellen [muss], dass jede dieser Niederlassungen die Verpflichtungen einhält, die im jeweiligen einzelstaatlichen Recht vorgesehen sind, das auf ihre jeweiligen Tätigkeiten anwendbar ist“.
99. Aus Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46, dessen Satz 2 entsprechend dem 19. Erwägungsgrund dieser Richtlinie bestimmt, dass, wenn der Verantwortliche eine Niederlassung im Hoheitsgebiet mehrerer Mitgliedstaaten besitzt, er die notwendigen Maßnahmen ergreift, damit jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhält, leite ich daher ab, dass die Struktur eines Konzerns, die durch das Bestehen von Niederlassungen des für die Verarbeitung Verantwortlichen in mehreren Mitgliedstaaten gekennzeichnet ist, nicht bewirken darf, dass dieser Verantwortliche das Recht des Mitgliedstaats, in dessen Zuständigkeitsbereich sich jede dieser Niederlassungen jeweils befindet, umgehen kann.
100. Ich füge dem hinzu, dass die Auslegung im Sinne der ausschließlichen Anwendung des Rechts des Mitgliedstaats, in dem sich der Unionssitz eines internationalen Konzerns befindet, meines Erachtens seit dem Urteil vom 28. Juli 2016, Verein für Konsumenteninformation(59), nicht mehr vertreten werden kann. In diesem Urteil hat der Gerichtshof entschieden, dass die Verarbeitung personenbezogener Daten durch ein im elektronischen Geschäftsverkehr tätiges Unternehmen dem Recht jenes Mitgliedstaats unterliegt, auf den das Unternehmen seine Geschäftstätigkeit ausrichtet, wenn sich zeigt, dass das Unternehmen die fragliche Datenverarbeitung im Rahmen der Tätigkeiten einer Niederlassung vornimmt, die sich in diesem Mitgliedstaat befindet. Der Gerichtshof hat in diesem Sinne entschieden, obwohl Amazon, ebenso wie Facebook, ein Unternehmen ist, das nicht nur über einen Unionssitz in einem Mitgliedstaat verfügt, sondern auch eine physische Präsenz in mehreren Mitgliedstaaten hat. In einem solchen Fall ist auch zu prüfen, ob die Datenverarbeitung im Rahmen der Tätigkeiten einer Niederlassung in einem anderen Mitgliedstaat erfolgt als demjenigen, in dem sich der Unionssitz des für die Verarbeitung Verantwortlichen befindet.
101. Wie die belgische Regierung darlegt, ist es daher durchaus möglich, dass eine andere Niederlassung als diejenige des Unionssitzes eines Unternehmens für die Anwendung von Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 maßgeblich ist.
102. Im Rahmen des mit dieser Richtlinie geschaffenen Systems ist daher der Ort, an dem die Verarbeitung erfolgt, ebenso wie der Ort, an dem der für die Verarbeitung Verantwortliche seinen Sitz innerhalb der Union hat, im Fall des Bestehens mehrerer Niederlassungen dieses Verantwortlichen in der Union nicht ausschlaggebend, um das auf eine Datenverarbeitung anwendbare nationale Recht zu bestimmen und um einer Kontrollstelle die Zuständigkeit zur Ausübung ihrer Einwirkungsbefugnisse zu verleihen.
103. In dieser Hinsicht sollte der Gerichtshof meines Erachtens die mit der Datenschutz-Grundverordnung(60) geschaffene Regelung, die ab dem 25. Mai 2018 gelten wird, nicht vorwegnehmen. Im Rahmen dieser Regelung wird ein Mechanismus einer einzigen Anlaufstelle eingeführt. Das bedeutet, dass ein für die Verarbeitung Verantwortlicher, der grenzüberschreitende Verarbeitungen durchführt, wie Facebook, nur über eine Aufsichtsbehörde als Ansprechpartner verfügen wird, nämlich die federführende Aufsichtsbehörde, die diejenige des Ortes der Hauptniederlassung des für die Verarbeitung Verantwortlichen sein wird. Allerdings sind diese Regelung sowie das ausgeklügelte Verfahren für die Zusammenarbeit, das durch sie geschaffen wird, noch nicht anwendbar.
104. Da Facebook beschlossen hat, seine Hauptniederlassung in der Union in Irland zu errichten, wird zwar die Kontrollstelle dieses Mitgliedstaats bei der Prüfung, ob Facebook die Vorschriften der Richtlinie 95/46 beachtet, eine bedeutende Rolle spielen. Wie diese Kontrollstelle jedoch selbst anerkennt, bedeutet dies nicht, dass sie im Rahmen des aktuellen Systems, das sich auf diese Richtlinie gründet, über eine ausschließliche Zuständigkeit in Bezug auf die Tätigkeiten von Facebook in der Union verfügt(61).
105. Nach alledem bin ich wie die belgische und die niederländische Regierung sowie das ULD der Auffassung, dass die Auslegung von Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 durch den Gerichtshof im Urteil vom 13. Mai 2014, Google Spain und Google(62), auch in einem Fall wie dem im Ausgangsverfahren in Rede stehenden anwendbar ist, in dem ein für die Verarbeitung Verantwortlicher seinen Sitz in einem Mitgliedstaat der Union hat und über mehrere Niederlassungen in der Union verfügt.
106. Folglich ist auf der Grundlage der Angaben des vorlegenden Gerichts zur Art der von Facebook Germany ausgeübten Tätigkeiten davon auszugehen, dass die streitige Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten dieser Niederlassung durchgeführt wird und dass Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 in einer Situation wie der im Ausgangsverfahren in Rede stehenden die Anwendung des deutschen Datenschutzrechts erlaubt(63).
107. Die deutsche Kontrollstelle ist daher befugt, ihr nationales Recht auf die im Ausgangsverfahren in Rede stehende Verarbeitung personenbezogener Daten anzuwenden.
108. Aus Art. 28 Abs. 1 dieser Richtlinie geht hervor, dass jede von einem Mitgliedstaat eingerichtete Kontrollstelle dafür Sorge zu tragen hat, dass die von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen Vorschriften im Hoheitsgebiet dieses Mitgliedstaats eingehalten werden.
109. Nach Art. 28 Abs. 3 der Richtlinie 95/46 verfügen diese Kontrollstellen insbesondere über Untersuchungsbefugnisse, wie das Recht auf Einholung aller für die Erfüllung ihres Kontrollauftrags erforderlichen Informationen, und über wirksame Einwirkungsbefugnisse, wie die Befugnis, die Sperrung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung anzuordnen, oder die Befugnis, eine Verwarnung oder eine Ermahnung an den für die Verarbeitung Verantwortlichen zu richten. Diese Einwirkungsbefugnisse können die Befugnis umfassen, den für die Datenverarbeitung Verantwortlichen mit einer Sanktion zu belegen, indem gegen ihn ein Bußgeld verhängt wird(64).
110. Art. 28 Abs. 6 der Richtlinie 95/46 hat folgenden Wortlaut:
„Jede Kontrollstelle ist im Hoheitsgebiet ihres Mitgliedstaats für die Ausübung der ihr gemäß Absatz 3 übertragenen Befugnisse zuständig, unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist. Jede Kontrollstelle kann von einer Kontrollstelle eines anderen Mitgliedstaats um die Ausübung ihrer Befugnisse ersucht werden.
Die Kontrollstellen sorgen für die zur Erfüllung ihrer Kontrollaufgaben notwendige gegenseitige Zusammenarbeit, insbesondere durch den Austausch sachdienlicher Informationen.“
111. Da das Recht ihres Mitgliedstaats auf die im Ausgangsverfahren in Rede stehende Verarbeitung personenbezogener Daten anwendbar ist, ist die deutsche Kontrollstelle in der Lage, ihre gesamten Einwirkungsbefugnisse auszuüben, um sicherzustellen, dass das deutsche Recht von Facebook im deutschen Hoheitsgebiet angewandt und eingehalten wird. Diese Schlussfolgerung ergibt sich aus dem Urteil vom 1. Oktober 2015, Weltimmo(65), das die Tragweite von Art. 28 Abs. 1, 3 und 6 der Richtlinie 95/46 präzisiert hat.
112. Die Hauptfrage in jener Rechtssache bestand darin, die Zuständigkeit der ungarischen Kontrollstelle zur Verhängung einer Geldbuße gegen einen Dienstleister mit Sitz in einem anderen Mitgliedstaat, nämlich der Slowakei, zu bestimmen. Vor der Bestimmung dieser Zuständigkeit war zu prüfen, ob das ungarische Recht nach dem von Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 aufgestellten Kriterium anwendbar war oder nicht.
113. Im ersten Teil seiner Antwort hat der Gerichtshof dem vorlegenden Gericht einige Hinweise gegeben, die diesem gestatteten, die Existenz einer Niederlassung des für die Verarbeitung Verantwortlichen in Ungarn nachzuweisen. Er ist außerdem davon ausgegangen, dass diese Verarbeitung im Rahmen der Tätigkeiten dieser Niederlassung durchgeführt wurde und dass Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 in einer Situation wie der in dieser Rechtssache in Rede stehenden die Anwendung des ungarischen Datenschutzrechts erlaubte.
114. Dieser erste Teil der Antwort des Gerichtshofs war daher geeignet, die Zuständigkeit der ungarischen Kontrollstelle für die Verhängung einer Geldbuße nach ungarischem Recht gegen einen Dienstleister mit Sitz in einem anderen Mitgliedstaat, im vorliegenden Fall Weltimmo, zu bestätigen.
115. Mit anderen Worten verfügte, da das ungarische Recht nach dem Kriterium in Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 als das anwendbare nationale Recht anerkannt werden konnte, die ungarische Kontrollstelle über die Zuständigkeit für die Sicherstellung der Einhaltung dieses Rechts im Fall eines Verstoßes dagegen durch einen für die Verarbeitung Verantwortlichen, auch wenn dieser in der Slowakei eingetragen war. Aufgrund dieser Bestimmung der Richtlinie 95/46 konnte angenommen werden, dass Weltimmo, obwohl in der Slowakei eingetragen, auch in Ungarn niedergelassen war. Das Bestehen einer Niederlassung des für die Verarbeitung Verantwortlichen in Ungarn, die Tätigkeiten ausübte, in deren Rahmen diese Verarbeitung erfolgte, stellte daher den notwendigen Anknüpfungspunkt für die Anerkennung der Anwendbarkeit des ungarischen Rechts und somit für die Zuständigkeit der ungarischen Kontrollstelle für die Sicherstellung der Einhaltung dieses Rechts im ungarischen Hoheitsgebiet dar.
116. Der zweite Teil der Antwort des Gerichtshofs, in der dieser auf den Grundsatz der Territorialität der Befugnisse jeder Kontrollstelle hingewiesen hat, wurde nur hilfsweise gegeben, nämlich „für den Fall …, dass die ungarische Kontrollstelle der Ansicht sein sollte, dass Weltimmo nicht in Ungarn, sondern in einem anderen Mitgliedstaat über eine Niederlassung im Sinne von Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 verfügt und Tätigkeiten ausübt, in deren Rahmen die Verarbeitung der … personenbezogenen Daten ausgeführt wird“(66). Es handelte sich daher um die Antwort auf die Frage, ob „für den Fall, dass die ungarische Kontrollstelle zu dem Schluss gelangt, dass das auf die Verarbeitung der personenbezogenen Daten anwendbare Recht nicht das ungarische Recht ist, sondern das Recht eines anderen Mitgliedstaats, Art. 28 Abs. 1, 3 und 6 der Richtlinie 95/46 dahin auszulegen ist, dass diese Stelle nur die in Art. 28 Abs. 3 dieser Richtlinie vorgesehenen Befugnisse gemäß dem Recht dieses anderen Mitgliedstaats ausüben und keine Sanktionen verhängen darf“(67).
117. In diesem zweiten Teil seiner Antwort hat der Gerichtshof folglich sowohl den sachlichen als auch den räumlichen Umfang der Befugnisse präzisiert, die eine Kontrollstelle in einer besonderen Situation, nämlich derjenigen, in der das Recht des Mitgliedstaats dieser Kontrollstelle nicht anwendbar ist, ausüben kann.
118. Für diesen Fall hat der Gerichtshof festgestellt, dass „die Befugnisse dieser Kontrollstelle … nicht notwendigerweise sämtliche der ihr gemäß dem Recht ihres Mitgliedstaats übertragenen Befugnisse [umfassen]“(68). So „kann diese Stelle ihre Untersuchungsbefugnisse unabhängig vom anwendbaren Recht ausüben und noch bevor sie weiß, welches nationale Recht auf die fragliche Verarbeitung anzuwenden ist. Wenn sie jedoch zu dem Schluss gelangen sollte, dass das Recht eines anderen Mitgliedstaats anwendbar ist, darf sie keine Sanktionen außerhalb des Hoheitsgebiets ihres Mitgliedstaats verhängen. In einer solchen Situation obliegt es ihr in Wahrnehmung der Verpflichtung zur Zusammenarbeit, die Art. 28 Abs. 6 [der Richtlinie 95/46] vorsieht, die Kontrollstelle dieses anderen Mitgliedstaats zu ersuchen, einen möglichen Verstoß gegen dieses Recht festzustellen und Sanktionen zu verhängen, wenn das nach diesem Recht zulässig ist, und sich dabei gegebenenfalls auf die ihr übermittelten Informationen zu stützen.“(69)
119. Ich ziehe aus dem Urteil vom 1. Oktober 2015, Weltimmo(70), folgende Erkenntnisse für die vorliegende Rechtssache.
120. Im Unterschied zu dem Fall, auf den der Gerichtshof seine Überlegung betreffend die Befugnisse der Kontrollstellen in diesem zweiten Teil des Urteils vom 1. Oktober 2015, Weltimmo(71), gestützt hat, entspricht die vorliegende Rechtssache einer Situation, die der dem ersten Teil dieses Urteils entsprechenden ähnlich ist, in der, wie ich dargelegt habe, das anwendbare nationale Recht dasjenige des Mitgliedstaats der Kontrollstelle ist, die ihre Einwirkungsbefugnisse ausübt, und zwar aufgrund des Bestehens einer Niederlassung des für die Verarbeitung Verantwortlichen im Hoheitsgebiet dieses Mitgliedstaats, deren Tätigkeit untrennbar mit dieser Verarbeitung verbunden ist. Das Bestehen dieser Niederlassung in Deutschland stellt den notwendigen Anknüpfungspunkt für die Anwendung des deutschen Rechts auf die streitige Verarbeitung personenbezogener Daten dar.
121. Ist diese Voraussetzung erfüllt, so ist die Zuständigkeit der deutschen Kontrollstelle für die Sicherstellung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten im deutschen Hoheitsgebiet durch den Gebrauch sämtlicher Befugnisse, über die sie nach den deutschen Bestimmungen zur Umsetzung von Art. 28 Abs. 3 der Richtlinie 95/46 verfügt, zu bejahen. Solche Befugnisse können eine Anordnung umfassen, die in einem vorläufigen oder endgültigen Verbot einer Verarbeitung besteht.
122. Zur Frage, an welches Rechtssubjekt eine solche Maßnahme zu richten ist, erscheinen zwei Lösungen vorstellbar.
123. Die erste Lösung besteht darin, auf der Grundlage einer engen Auslegung des räumlichen Anwendungsbereichs der Einwirkungsbefugnisse, über die die Kontrollstellen verfügen, anzunehmen, dass die Kontrollstellen diese Befugnisse nur gegenüber der Niederlassung des für die Verarbeitung Verantwortlichen, die im Hoheitsgebiet ihres Mitgliedstaats gelegen ist, ausüben können. Wenn, wie es in der vorliegenden Rechtssache der Fall ist, diese Niederlassung, hier Facebook Germany, nicht der für die Verarbeitung Verantwortliche ist und daher selbst einer Anordnung der Kontrollstelle auf Beendigung einer Datenverarbeitung nicht Folge leisten kann, wird sie diese Anordnung an den für die Verarbeitung Verantwortlichen übermitteln müssen, damit dieser sie ausführen kann.
124. Die zweite Lösung besteht demgegenüber in der Annahme, dass eine die Beendigung einer solchen Verarbeitung anordnende Maßnahme unmittelbar an den für die Verarbeitung Verantwortlichen zu richten ist, da er der einzige ist, der einen bestimmenden Einfluss auf die in Rede stehende Datenverarbeitung ausübt.
125. Meiner Meinung nach ist dieser zweiten Lösung der Vorzug zu geben, da sie im Einklang mit der grundlegenden Rolle steht, die der für die Verarbeitung Verantwortliche im Rahmen des von der Richtlinie 95/46 geschaffenen Systems einnimmt(72). Mit einer solchen Lösung wird vermieden, zwingend den Weg über die Niederlassung zu gehen, die Tätigkeiten ausübt, in deren Rahmen eine Verarbeitung ausgeführt wird, so dass sie eine unmittelbare und wirksame Anwendung der nationalen Vorschriften zum Schutz personenbezogener Daten sicherstellen kann. Außerdem bleibt die Kontrollstelle, die eine die Beendigung einer Datenverarbeitung anordnende Maßnahme unmittelbar an einen für die Verarbeitung Verantwortlichen, der nicht im Hoheitsgebiet ihres Mitgliedstaats einen Sitz hat, wie Facebook Inc. oder Facebook Ireland, richtet, innerhalb der Grenzen ihrer Zuständigkeit, die darin besteht, sicherzustellen, dass diese Verarbeitung mit dem Recht dieses Staates in dessen Hoheitsgebiet im Einklang steht. Es spielt insoweit keine Rolle, dass der oder die für die Verarbeitung Verantwortlichen ihren Sitz in einem anderen Mitgliedstaat oder auch einem Drittstaat haben.
126. Ich weise im Zusammenhang mit meinem Antwortvorschlag zur ersten und zur zweiten Vorlagefrage auch darauf hin, dass im Hinblick auf das Ziel, einen möglichst umfassenden Schutz der Rechte der Personen sicherzustellen, die die Fanpages aufrufen, die Möglichkeit für das ULD, seine Einwirkungsbefugnisse gegenüber Facebook Inc. und Facebook Ireland auszuüben, meines Erachtens keineswegs ausschließt, Maßnahmen gegen die Wirtschaftsakademie zu ergreifen, und daher als solche deren Rechtmäßigkeit nicht berühren kann(73).
127. Nach alledem ist Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 dahin auszulegen, dass im Sinne dieser Bestimmung eine Verarbeitung personenbezogener Daten wie die im Ausgangsrechtsstreit in Rede stehende im Rahmen der Tätigkeiten einer Niederlassung ausgeführt wird, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet eines Mitgliedstaats besitzt, wenn ein ein soziales Netzwerk betreibendes Unternehmen in einem Mitgliedstaat für die Förderung des Verkaufs der Werbeflächen dieses Unternehmens und diesen Verkauf selbst eine Tochtergesellschaft gründet, deren Tätigkeit auf die Einwohner dieses Staates ausgerichtet ist.
128. Außerdem ist in einer Situation wie der im Ausgangsverfahren in Rede stehenden, in der das auf die betreffende Verarbeitung personenbezogener Daten anwendbare nationale Recht dasjenige des Mitgliedstaats einer Kontrollstelle ist, Art. 28 Abs. 1, 3 und 6 der Richtlinie 95/46 dahin auszulegen, dass diese Kontrollstelle sämtliche wirksamen Einwirkungsbefugnisse, die ihr gemäß Art. 28 Abs. 3 dieser Richtlinie übertragen sind, gegenüber dem für die Verarbeitung Verantwortlichen ausüben darf, und zwar auch dann, wenn dieser Verantwortliche seinen Sitz in einem anderen Mitgliedstaat oder einem Drittstaat hat.
C. Zur fünften und zur sechsten Vorlagefrage
129. Mit der fünften und der sechsten Vorlagefrage, die meines Erachtens gemeinsam zu prüfen sind, möchte das vorlegende Gericht vom Gerichtshof wissen, ob Art. 28 Abs. 1, 3 und 6 der Richtlinie 95/46 dahin auszulegen ist, dass unter Umständen wie den im Ausgangsverfahren in Rede stehenden die Kontrollstelle des Mitgliedstaats, in dem sich die Niederlassung (Facebook Germany) des für die Verarbeitung Verantwortlichen befindet, ihre Einwirkungsbefugnisse selbständig ausüben darf, ohne verpflichtet zu sein, zuvor die Kontrollstelle des Mitgliedstaats, in dem der für die Verarbeitung Verantwortliche (Facebook Ireland) seinen Sitz hat, um die Ausübung ihrer Befugnisse zu ersuchen.
130. In seiner Vorlageentscheidung legt das Bundesverwaltungsgericht den Zusammenhang zwischen diesen beiden Vorlagefragen und der Kontrolle der Rechtmäßigkeit der Anordnung dar, die es im Rahmen des Ausgangsrechtsstreits vorzunehmen hat. Es weist darauf hin, dass eine gegen die Wirtschaftsakademie gerichtete Anordnung als Ermessenswidrigkeit des ULD angesehen werden könnte, wenn Art. 28 Abs. 6 der Richtlinie 95/46 dahin auszulegen wäre, dass er unter Umständen wie denen des Ausgangsrechtsstreits eine Pflicht einer Kontrollstelle wie des ULD vorsehe, die Kontrollstelle eines anderen Mitgliedstaats, im vorliegenden Fall den Datenschutzbeauftragten, um die Ausübung ihrer Befugnisse zu ersuchen, wenn diese beiden Behörden die Konformität der Datenverarbeitung durch Facebook Ireland mit den Vorschriften der Richtlinie 95/46 unterschiedlich beurteilten.
131. Wie der Gerichtshof in seinem Urteil vom 1. Oktober 2015, Weltimmo(74), entschieden hat, ist für den Fall, dass das auf die betreffende Verarbeitung personenbezogener Daten anwendbare Recht nicht das Recht des Mitgliedstaats der Kontrollstelle ist, die ihre Einwirkungsbefugnisse ausüben möchte, sondern das eines anderen Mitgliedstaats, Art. 28 Abs. 1, 3 und 6 der Richtlinie 95/46 dahin auszulegen, dass diese Kontrollstelle keine Sanktionen auf der Grundlage des Rechts ihres Mitgliedstaats gegen den für die Verarbeitung Verantwortlichen verhängen darf, der nicht im Hoheitsgebiet dieses Mitgliedstaats niedergelassen ist, sondern nach Art. 28 Abs. 6 dieser Richtlinie die Kontrollstelle des Mitgliedstaats, dessen Recht anwendbar ist, ersuchen muss, einzuschreiten(75).
132. In einem solchen Fall verliert die Kontrollstelle des ersten Mitgliedstaats ihre Zuständigkeit zur Ausübung ihrer Sanktionsbefugnisse gegenüber einem für die Verarbeitung Verantwortlichen, der seinen Sitz in einem anderen Mitgliedstaat hat. Es obliegt ihr daher in Wahrnehmung der Verpflichtung zur Zusammenarbeit, die Art. 28 Abs. 6 dieser Richtlinie vorsieht, die Kontrollstelle dieses anderen Mitgliedstaats zu ersuchen, einen möglichen Verstoß gegen das Recht dieses Staates festzustellen und Sanktionen zu verhängen, wenn das nach diesem Recht zulässig ist, und sich dabei gegebenenfalls auf die ihr übermittelten Informationen zu stützen(76).
133. Wie ich bereits ausgeführt habe, geht es in der vorliegenden Rechtssache um einen ganz anderen Fall, da das anwendbare Recht dasjenige des Mitgliedstaats der Kontrollstelle ist, die ihre Einwirkungsbefugnisse ausüben möchte. In diesem Fall ist Art. 28 Abs. 6 der Richtlinie 95/46 dahin auszulegen, dass er diese Kontrollstelle nicht verpflichtet, die Kontrollstelle des Mitgliedstaats, in dem der für die Verarbeitung Verantwortliche seinen Sitz hat, zu ersuchen, ihre Einwirkungsbefugnisse gegenüber Letzterem auszuüben.
134. Hinzugefügt sei, dass nach Art. 28 Abs. 1 Satz 2 der Richtlinie 95/46 die Kontrollstelle, die für die Ausübung ihrer Einwirkungsbefugnisse gegenüber einem für die Verarbeitung Verantwortlichen zuständig ist, der seinen Sitz in einem anderen als ihrem Mitgliedstaat hat, die ihr zugewiesenen Aufgaben in völliger Unabhängigkeit wahrnimmt.
135. Wie sich aus den vorstehenden Ausführungen ergibt, sieht die Richtlinie 95/46 weder das Herkunftslandprinzip noch einen Mechanismus einer einzigen Anlaufstelle, wie ihn die Verordnung 2016/679 enthält, vor. Infolgedessen unterliegt ein für die Verarbeitung Verantwortlicher, der Niederlassungen in mehreren Mitgliedstaaten besitzt, der vollen Kontrolle mehrerer Kontrollstellen, wenn das Recht der Mitgliedstaaten dieser Kontrollstellen anwendbar ist. Abstimmung und Zusammenarbeit zwischen diesen Kontrollstellen sind zwar selbstverständlich wünschenswert, jedoch zwingt nichts eine Kontrollstelle, deren Zuständigkeit festgestellt worden ist, ihren Standpunkt an dem einer anderen Kontrollstelle auszurichten.
136. Aus alledem schließe ich, dass Art. 28 Abs. 1, 3 und 6 der Richtlinie 95/46 dahin auszulegen ist, dass unter Umständen wie den im Ausgangsverfahren in Rede stehenden die Kontrollstelle des Mitgliedstaats, in dem sich die Niederlassung des für die Verarbeitung Verantwortlichen befindet, ihre Einwirkungsbefugnisse gegenüber diesem Verantwortlichen selbständig ausüben darf, ohne verpflichtet zu sein, zuvor die Kontrollstelle des Mitgliedstaats, in dem dieser Verantwortliche seinen Sitz hat, um die Ausübung ihrer Befugnisse zu ersuchen.
III. Ergebnis
137. Nach alledem schlage ich dem Gerichtshof vor, die Vorlagefragen des Bundesverwaltungsgerichts wie folgt zu beantworten:
1. Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in der durch die Verordnung (EG) Nr. 1882/2003 des Europäischen Parlaments und des Rates vom 29. September 2003 geänderten Fassung ist dahin auszulegen, dass der Betreiber einer Fanpage eines sozialen Netzwerks wie Facebook ein für die Verarbeitung Verantwortlicher im Sinne dieser Bestimmung hinsichtlich der Phase der Verarbeitung von personenbezogenen Daten ist, die in der Erhebung von Daten über die diese Seite besuchenden Personen durch dieses soziale Netzwerk im Hinblick auf die Erstellung von diese Seite betreffenden Besucherstatistiken besteht.
2. Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 in der durch die Verordnung Nr. 1882/2003 geänderten Fassung ist dahin auszulegen, dass im Sinne dieser Bestimmung eine Verarbeitung personenbezogener Daten wie die im Ausgangsverfahren in Rede stehende im Rahmen der Tätigkeiten einer Niederlassung ausgeführt wird, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet eines Mitgliedstaats besitzt, wenn ein ein soziales Netzwerk betreibendes Unternehmen in einem Mitgliedstaat für die Förderung des Verkaufs der Werbeflächen dieses Unternehmens und diesen Verkauf selbst eine Tochtergesellschaft gründet, deren Tätigkeit auf die Einwohner dieses Staates ausgerichtet ist.
3. In einer Situation wie der im Ausgangsverfahren in Rede stehenden, in der das auf die betreffende Verarbeitung personenbezogener Daten anwendbare nationale Recht dasjenige des Mitgliedstaats einer Kontrollstelle ist, ist Art. 28 Abs. 1, 3 und 6 der Richtlinie 95/46 in der durch die Verordnung Nr. 1882/2003 geänderten Fassung dahin auszulegen, dass diese Kontrollstelle sämtliche wirksamen Einwirkungsbefugnisse, die ihr gemäß Art. 28 Abs. 3 dieser Richtlinie übertragen sind, gegenüber dem für die Verarbeitung Verantwortlichen ausüben darf, und zwar auch dann, wenn dieser Verantwortliche seinen Sitz in einem anderen Mitgliedstaat oder einem Drittstaat hat.
4. Art. 28 Abs. 1, 3 und 6 der Richtlinie 95/46 in der durch die Verordnung Nr. 1882/2003 geänderten Fassung ist dahin auszulegen, dass unter Umständen wie den im Ausgangsverfahren in Rede stehenden die Kontrollstelle des Mitgliedstaats, in dem sich die Niederlassung des für die Verarbeitung Verantwortlichen befindet, ihre Einwirkungsbefugnisse gegenüber diesem Verantwortlichen selbständig ausüben darf, ohne verpflichtet zu sein, zuvor die Kontrollstelle des Mitgliedstaats, in dem dieser Verantwortliche seinen Sitz hat, um die Ausübung ihrer Befugnisse zu ersuchen.