Suche

Nutzen Sie die Schnellsuche, um nach den neuesten Urteilen in unserer Datenbank zu suchen!

Bundesverwaltungsgericht
Beschl. v. 25.02.2016, Az.: BVerwG 1 C 28.14
Deaktivierung einer Facebook-Seite i.R.e. datenschutzrechtlichen Anordnung (hier: Fanpage); Aussetzen des Verfahrens bzgl. Einholung der Vorabentscheidung des EuGH; Auswahlverantwortlichkeit in mehrstufigen Anbieterverhältnissen
Gericht: BVerwG
Entscheidungsform: Beschluss
Datum: 25.02.2016
Referenz: JurionRS 2016, 13993
Aktenzeichen: BVerwG 1 C 28.14
ECLI: ECLI:DE:BVerwG:2016:250216B1C28.14.0

Rechtsgrundlagen:

Art. 2 Buchst. d) RL 95/46/EG

Art. 4 Abs. 1 RL 95/46/EG

Art. 17 Abs. 2 RL 95/46/EG

Art. 28 Abs. 1 RL 95/46/EG

Art. 28 Abs. 3 RL 95/46/EG

Art. 28 Abs. 6 RL 95/46/EG

§ 3 Abs. 1 BDSG

§ 3 Abs. 7 BDSG

§ 11 Abs. 1 BDSG

§ 11 Abs. 2 S. 1, 4 BDSG

§ 38 Abs. 5 S. 1, 2 BDSG

Fundstellen:

CR 2016, 729-733

CR 2016, 40-41

DuD 2016, 537-542

DVBl 2016, 3 (Pressemitteilung)

ITRB 2016, 151-152

JuS 2016, 8 (Pressemitteilung)

K&R 2016, 437-442

NVwZ 2016, 1737-1738

NVwZ 2016, 5-6

NZG 2016, 5

ZD 2016, 199

ZD 2016, 393-398

BVerwG, 25.02.2016 - BVerwG 1 C 28.14

Redaktioneller Leitsatz:

Entscheidungserhebliche Fragen betreffend die Auslegung der Art. 2 Buchst. d), Art. 4 Abs. 1, Art. 17 Abs. 2 und Art. 28 Abs. 3 und 6 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, bedürfen der Vorabentscheidung des Gerichtshofs der Europäischen Union.

In der Verwaltungsstreitsache
hat der 1. Senat des Bundesverwaltungsgerichts
am 25. Februar 2016
durch den Vorsitzenden Richter am Bundesverwaltungsgericht Prof. Dr. Berlit,
die Richter am Bundesverwaltungsgericht Prof. Dr. Dörig und Prof. Dr. Kraft
sowie die Richterinnen am Bundesverwaltungsgericht Fricke und Dr. Rudolph
beschlossen:

Tenor:

Das Verfahren wird ausgesetzt.

Es wird gemäß Art. 267 AEUV eine Vorabentscheidung des Gerichtshofs der Europäischen Union zu folgenden Fragen eingeholt:

  1. 1.

    Ist Art. 2 Buchst. d) RL 95/46/EG dahin auszulegen, dass er Haftung und Verantwortlichkeit für Datenschutzverstöße abschließend und erschöpfend regelt oder verbleibt im Rahmen der "geeigneten Maßnahmen" nach Art. 24 RL 95/46/EG und der "wirksame[n] Eingriffsbefugnisse" nach Art. 28 Abs. 3 Spiegelstrich 2 RL 95/46/EG in mehrstufigen Informationsanbieterverhältnissen Raum für eine Verantwortlichkeit einer Stelle, die nicht im Sinne des Art. 2 Buchst. d) RL 95/46/EG für die Datenverarbeitung verantwortlich ist, bei der Auswahl eines Betreibers für sein Informationsangebot?

  2. 2.

    Folgt aus der Pflicht der Mitgliedstaaten nach Art. 17 Abs. 2 RL 95/46/EG, bei der Datenverarbeitung im Auftrag vorzuschreiben, dass der für die Verarbeitung Verantwortliche einen "Auftragsverarbeiter auszuwählen hat, der hinsichtlich der für die Verarbeitung zu treffenden technischen Sicherheitsmaßnahmen und organisatorischen Vorkehrungen ausreichend Gewähr bietet", im Umkehrschluss, dass bei anderen Nutzungsverhältnissen, die nicht mit einer Datenverarbeitung im Auftrag im Sinne des Art. 2 Buchst. e) RL 95/46/EG verbunden sind, keine Pflicht zur sorgfältigen Auswahl besteht und auch nach nationalem Recht nicht begründet werden kann?

  3. 3.

    Ist in Fällen, in denen ein außerhalb der Europäischen Union ansässiger Mutterkonzern in verschiedenen Mitgliedstaaten rechtlich selbständige Niederlassungen (Tochtergesellschaften) unterhält, nach Art. 4, Art. 28 Abs. 6 RL 95/46/EG die Kontrollstelle eines Mitgliedstaates (hier: Deutschland) zur Ausübung der nach Art. 28 Abs. 3 RL 95/46/EG übertragenen Befugnisse gegen die im eigenen Hoheitsgebiet gelegene Niederlassung auch dann befugt, wenn diese Niederlassung allein für die Förderung des Verkaufs von Werbung und sonstige Marketingmaßnahmen mit Ausrichtung auf die Einwohner dieses Mitgliedstaates zuständig ist, während der in einem anderen Mitgliedstaat (hier: Irland) gelegenen selbständigen Niederlassung (Tochtergesellschaft) nach der konzerninternen Aufgabenverteilung die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten im gesamten Gebiet der Europäischen Union und damit auch in dem anderen Mitgliedstaat (hier: Deutschland) obliegt, wenn tatsächlich die Entscheidung über die Datenverarbeitung durch den Mutterkonzern getroffen wird?

  4. 4.

    Sind Art. 4 Abs. 1 Buchst. a), Art. 28 Abs. 3 RL 95/46/EG dahin auszulegen, dass in Fällen, in denen der für die Verarbeitung Verantwortliche eine Niederlassung im Hoheitsgebiet eines Mitgliedstaates (hier: Irland) besitzt und eine weitere, rechtlich selbständige Niederlassung in dem Hoheitsgebiet eines anderen Mitgliedstaates (hier: Deutschland) besteht, die u.a. für den Verkauf von Werbeflächen zuständig ist und deren Tätigkeit auf die Einwohner dieses Staates ausgerichtet ist, die in diesem anderen Mitgliedstaat (hier: Deutschland) zuständige Kontrollstelle Maßnahmen und Anordnungen zur Durchsetzung des Datenschutzrechts auch gegen die nach der konzerninternen Aufgaben- und Verantwortungsverteilung für die Datenverarbeitung nicht verantwortliche weitere Niederlassung (hier: in Deutschland) richten kann oder sind Maßnahmen und Anordnungen dann nur durch die Kontrollbehörde des Mitgliedstaates (hier: Irland) möglich, in dessen Hoheitsgebiet die konzernintern verantwortliche Stelle ihren Sitz hat?

  5. 5.

    Sind Art. 4 Abs. 1 Buchst. a), Art. 28 Abs. 3 und 6 RL 95/46/EG dahin auszulegen, dass in Fällen, in denen die Kontrollbehörde eines Mitgliedstaates (hier: Deutschland) eine in ihrem Hoheitsgebiet tätige Person oder Stelle nach Art. 28 Abs. 3 RL 95/46/EG wegen der nicht sorgfältigen Auswahl eines in den Datenverarbeitungsprozess eingebundenen Dritten (hier: Facebook) in Anspruch nimmt, weil dieser Dritte gegen Datenschutzrecht verstoße, die tätig werdende Kontrollbehörde (hier: Deutschland) an die datenschutzrechtliche Beurteilung der Kontrollbehörde des anderen Mitgliedstaates, in dem der für die Datenverarbeitung verantwortliche Dritte seine Niederlassung hat (hier: Irland), in dem Sinne gebunden ist, dass sie keine hiervon abweichende rechtliche Beurteilung vornehmen darf, oder darf die tätig werdende Kontrollstelle (hier: Deutschland) die Rechtmäßigkeit der Datenverarbeitung durch den in einem anderen Mitgliedstaat (hier: Irland) niedergelassenen Dritten als Vorfrage des eigenen Tätigwerdens selbständig auf seine Rechtmäßigkeit prüfen?

  6. 6.

    Soweit der tätig werdenden Kontrollstelle (hier: Deutschland) eine selbständige Überprüfung eröffnet ist: Ist Art. 28 Abs. 6 Satz 2 RL 95/46/EG dahin auszulegen, dass diese Kontrollstelle die ihr nach Art. 28 Abs. 3 RL 95/46/EG übertragenen wirksamen Einwirkungsbefugnisse gegen eine in ihrem Hoheitsgebiet niedergelassene Person oder Stelle wegen der Mitverantwortung für die Datenschutzverstöße des in einem anderen Mitgliedstaat niedergelassenen Dritten nur und erst dann ausüben darf, wenn sie zuvor die Kontrollstelle dieses anderen Mitgliedstaates (hier: Irland) um die Ausübung ihrer Befugnisse ersucht hat?

Gründe

I

1

Die Beteiligten streiten um die Rechtmäßigkeit einer datenschutzrechtlichen Anordnung des Beklagten an die Klägerin, ihre bei der Beigeladenen unterhaltene Facebook-Seite (Fanpage) zu deaktivieren.

2

Die Klägerin ist ein privatrechtlich organisiertes Bildungsunternehmen, das unter anderem den Weiterbildungsauftrag ihrer Gesellschafterin - der von den drei Industrie- und Handelskammern in Schleswig-Holstein getragenen "Fördererstiftung Wirtschaftsakademie Schleswig-Holstein" - wahrnimmt. Die Klägerin bewirbt ihre Bildungsangebote u.a. durch eine sogenannte Fanpage bei der Beigeladenen.

3

Fanpages sind spezielle Benutzeraccounts, die bei Facebook von Unternehmen, gemeinnützigen Einrichtungen, Künstlern oder Prominenten eingerichtet werden können. Der Fanpage-Anbieter muss sich hierzu bei Facebook registrieren und kann dann die von Facebook unterhaltene Plattform dazu benutzen, sich den Nutzern dieser Plattform zu präsentieren und Äußerungen aller Art in den Medien- und Meinungsmarkt einzubringen. Betreiber von Fanpages bei Facebook können mit Hilfe des von Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zur Verfügung gestellten Werkzeuges "Facebook-Insights" anonymisierte Statistik-Informationen über Nutzer erhalten. Die durch Facebook erstellten Statistiken enthalten (aggregierte, anonymisierte) Angaben über die Nutzung der Fanpage. Hierfür wird bei Aufruf der Fanpage durch Facebook zumindest ein sogenannter Cookie auf dem Rechner des Nutzers gespeichert, der eine eindeutige ID-Nummer enthält und für zwei Jahre wirksam ist; die ID-Nummer, die mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird bei Aufruf von Facebook-Seiten erhoben und verarbeitet. Ein Hinweis auf die Tatsache der Speicherung und die Funktionsweise dieses Cookies sowie die nachfolgende Datenverarbeitung erfolgte durch die Klägerin oder die Beigeladene -jedenfalls in dem hier relevanten Zeitraum bis zum Erlass der Widerspruchsentscheidung - nicht.

4

Mit Bescheid vom 3. November 2011 ordnete der Beklagte - nach Anhörung der Klägerin - gemäß § 38 Abs. 5 Satz 1 BDSG gegenüber der Klägerin an, dafür Sorge zu tragen, dass die von ihr unter www.facebook.com/wirtschaftsakademie bei Facebook betriebene Fanpage deaktiviert wird, und drohte für den Fall der nicht fristgerechten Umsetzung ein Zwangsgeld an. Die Klägerin legte fristgerecht Widerspruch ein, mit dem sie im Kern geltend machte, sie sei datenschutzrechtlich für die Datenverarbeitung durch Facebook und die durch Facebook gesetzten Cookies nicht verantwortlich.

5

In ihrem Widerspruchsbescheid vom 16. Dezember 2011 sieht der Beklagte die datenschutzrechtliche Verantwortlichkeit der Wirtschaftsakademie Schleswig-Holstein GmbH als Diensteanbieter durch § 3 Abs. 3 Nr. 4, § 12 Abs. 1 TMG i.V.m. § 3 Abs. 7 BDSG begründet. Durch das Einrichten der Fanpage leiste die Klägerin auch einen aktiven und willentlichen Beitrag zur Erhebung von personenbezogenen Nutzerdaten durch Facebook, von der sie durch die von Facebook bereitgestellte Nutzerstatistik profitiere.

6

Mit ihrer Klage hat die Klägerin geltend gemacht, dass es bereits an der Verarbeitung personenbezogener Daten durch sie fehle. Ihr seien Datenverarbeitungsvorgänge durch Facebook nicht zuzurechnen. Sie habe insoweit Facebook auch nicht im Sinne des § 11 BDSG mit einer von ihr kontrollierten oder beeinflussbaren Datenverarbeitung beauftragt. Schließlich habe der Beklagte das ihm eingeräumte Ermessen fehlerhaft betätigt, indem er sich an die Klägerin und nicht direkt an Facebook gewandt habe.

7

Der Beklagte hat die Anordnung als formell und materiell rechtmäßig verteidigt.

8

Die vom Verwaltungsgericht beigeladene Facebook Ireland Ltd. (Dublin) unterstützt das Vorbringen der Klägerin und macht geltend, der Bescheid sei schon deswegen rechtswidrig, weil der Beklagte nicht das in der Ermächtigungsgrundlage des § 38 Abs. 5 BDSG vorgesehene gestufte Verfahren eingehalten habe. Die Anordnung sei auch deswegen rechtswidrig, weil die Klägerin mangels Gestaltungs-, Einwirkungs- oder Kontrollmöglichkeiten im Hinblick auf die Fanpage keine datenschutzrechtlich verantwortliche Stelle sei und sie insoweit auch keine telemedienrechtliche Datenschutzverantwortung treffe. Es bestehe auch kein Zusammenwirken im Sinne einer "gemeinsamen Zwecksetzung" (das zudem für eine datenschutzrechtliche Mitverantwortung nicht ausreiche). Datenschutzrechtliche Verantwortlichkeit beziehe sich auf die Entscheidung über "Zwecke und Mittel" der Verarbeitung, nicht auf die Entscheidung über das "Ob" der Datenverarbeitung selbst. Auch das Unionsrecht sehe keine Gesamtverantwortung qua Zurechnung vor. Mangels Gestaltungs-, Weisungs- und Kontrollmöglichkeiten bestehe auch kein Auftragsverhältnis im Sinne des § 11 BDSG. Die datenschutzrechtliche Verantwortlichkeit sei im Unionsrecht (Art. 2 Buchst. d) RL 95/46/EG) und im nationalen Recht (§ 3 Abs. 7 BDSG) abschließend geregelt und durch die Entscheidungsgewalt über die Zwecke und Mittel der Verarbeitung personenbezogener Daten geprägt; eine nationalautonome Erweiterung der Verantwortlichkeit sei unionsrechtlich unzulässig. Die von Facebook vorgenommene Datenverarbeitung sei zudem nach dem hier allein maßgeblichen irischen Datenschutzrecht materiell rechtmäßig. Schließlich sei die Anordnung ermessensfehlerhaft.

9

Das Verwaltungsgericht hob durch Urteil vom 9. Oktober 2013 den angefochtenen Bescheid im Kern mit der Begründung auf, dass der Betreiber einer Fanpage bei Facebook nicht "verantwortliche Stelle" im Sinne des § 3 Abs. 7 BDSG sei und daher auch nicht Adressat einer Verfügung nach § 38 Abs. 5 BDSG sein könne.

10

Das Oberverwaltungsgericht hat die Berufung als unbegründet zurückgewiesen und zur Begründung im Kern ausgeführt: Die angeordnete Deaktivierung komme ungeachtet der weiterhin möglichen internen Nutzung der Untersagung der Datenverarbeitung nach § 38 Abs. 5 Satz 2 BDSG als solcher gleich. Dies lasse § 38 Abs. 5 BDSG indes nicht zu, weil er ein abgestuftes Vorgehen vorsehe, in dessen erster Stufe nur Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten angeordnet werden dürften. Eine Ausnahme komme nur in Betracht, wenn ein Datenverarbeitungsverfahren in seiner Gesamtheit unzulässig ist und dieser Mangel nur durch die Einstellung des Verarbeitungsverfahrens beseitigt werden kann, wenn also die Einhaltung des abgestuften Verfahrens objektiv sinn- und zwecklos erscheine. Dies sei vorliegend nicht der Fall. Denn die vom Beklagten behaupteten Verstöße könnten von Facebook ohne Weiteres beseitigt werden. Soweit der Beklagte nicht die für Facebook zuständige Kontrollstelle sei (was keiner abschließenden Entscheidung bedürfe), dürfe er deshalb nicht anstelle von Facebook und abweichend vom vorgeschriebenen Verfahren einen Dritten im Sinne des Art. 2 Buchst. f) RL 95/46/EG belangen.

11

Die Anordnung sei auch deswegen rechtswidrig, weil die Klägerin im Sinne des § 3 Abs. 7 BDSG keine verantwortliche Stelle im Hinblick auf die von Facebook aus Anlass des Fanpage-Betriebes erhobenen Daten sei und eine Anordnung nach § 38 Abs. 5 BDSG nur gegenüber der verantwortlichen Stelle ergehen könne. Über den Zweck und die Mittel der Erhebung und Verarbeitung der für "Insights" genutzten personenbezogenen Daten entscheide allein Facebook; die Klägerin erhalte allein anonymisierte, statistische Informationen.

12

§ 38 Abs. 5 BDSG erlaube keine Anordnung gegenüber Dritten (also Personen oder Stellen außerhalb der verantwortlichen Stelle). Die von der zivilgerichtlichen Rechtsprechung entwickelte Störerhaftung im Internet sei auf die Eingriffsverwaltung nicht übertragbar. Auch wenn § 38 Abs. 5 BDSG den Adressaten der Untersagungsanordnung nicht ausdrücklich nenne, ergebe sich - über Anhaltspunkte bereits im Wortlaut der Regelung selbst - aus dem systematischen Zusammenhang, dem Sinn und Zweck der Regelung sowie ihrer Entstehungsgeschichte, dass Adressat allein die verantwortliche Stelle sein könne. Das Berufungsgericht lässt daher offen, ob die Beigeladene (bzw. ihre Konzernmutter) personenbezogene Daten verarbeitet und ob diese Datenverarbeitung gegen deutsches bzw. irisches Datenschutzrecht verstößt.

13

Mit seiner Revision rügt der Beklagte u.a. eine Verletzung des § 38 Abs. 5 BDSG und macht verschiedene Verfahrensfehler des Berufungsgerichts geltend. Der Beklagte sieht nunmehr den Verstoß der Klägerin in der Beauftragung eines ungeeigneten, weil Datenschutzrecht nicht beachtenden Anbieters - hier: die Beigeladene - mit der Erstellung, Bereithaltung und Wartung eines Internetauftritts; die Deaktivierungsanordnung ziele auf die Beseitigung dieses Verstoßes der Klägerin, indem ihr die weitere Nutzung der Facebook-Infrastruktur als technischer Grundlage ihres Webauftritts untersagt werde.

14

Die Klägerin und die Beigeladene verteidigen das angefochtene Berufungsurteil.

15

Der Vertreter des Bundesinteresses bei dem Bundesverwaltungsgericht verweist darauf, dass die im Revisionsverfahren angesprochenen Rechtsfragen auch den Gegenstand der Verhandlungen über die Datenschutz-Grundverordnung bildeten. Die Klägerin sei datenschutzrechtlich nicht verantwortlich, weil der Betreiber einer Fanpage als Facebook-Nutzer keinen Einfluss auf die Erhebung, Verarbeitung oder Auswertung der personenbezogenen Daten, die durch Facebook erfolge, habe.

II

16

Der Rechtsstreit ist auszusetzen. Es ist eine Vorabentscheidung des Gerichtshofs der Europäischen Union (im Folgenden: Gerichtshof) zu den im Beschlusstenor formulierten Fragen einzuholen (Art. 267 AEUV). Die Fragen betreffen die Auslegung der Art. 2 Buchst. d), Art. 4 Abs. 1, Art. 17 Abs. 2 und Art. 28 Abs. 3 und 6 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 S. 31). Da es um die Auslegung von Unionsrecht geht, ist der Gerichtshof zuständig.

17

1. Für die rechtliche Beurteilung der Anfechtungsklage gegen die von dem Beklagten erlassene datenschutzaufsichtsbehördliche Anordnung ist hier auf die Sach- und Rechtslage im Zeitpunkt der letzten Verwaltungsentscheidung, also der Widerspruchsentscheidung, abzustellen (Dezember 2011). Zu diesem Zeitpunkt waren die hier maßgeblichen Art. 2 Buchst. d), Art. 4 Abs. 1, Art. 17 Abs. 2 und Art. 28 Abs. 3 und 6 der Richtlinie 95/46/EG in Kraft getreten, und die Umsetzungsfrist für sie war gemäß Art. 32 der Richtlinie 95/46/EG abgelaufen. Diese Richtlinie sowie nachfolgende Änderungen wurden u.a. durch das Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze vom 18. Mai 2001 (BGBl. I S. 904) in das nationale Recht umgesetzt. Den rechtlichen Rahmen dieses Rechtsstreits bilden folgende nationale Vorschriften, die - soweit hier einschlägig - auch derzeit noch unverändert gelten:

18

§ 3 Abs. 1 und 7, § 11 Abs. 1 und 2, § 38 Abs. 5 des Bundesdatenschutzgesetzes (BDSG) vom 20. Dezember 1990 (BGBl. I S. 2954) in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), für den hier maßgeblichen Zeitraum zuletzt geändert durch das Gesetz zur Änderung datenschutzrechtlicher Vorschriften (DSRÄndG) vom 14. August 2009 (BGBl. I S. 2814).

§ 3 Abs. 1 und 7 BDSG

(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). (...)

(7) Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.

§ 11 Abs. 1 und 2 BDSG

(1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in den §§ 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen.

(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: (...)

Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.

§ 38 Abs. 5 BDSG

(5) Zur Gewährleistung der Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz kann die Aufsichtsbehörde Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen. Bei schwerwiegenden Verstößen oder Mängeln, insbesondere solchen, die mit einer besonderen Gefährdung des Persönlichkeitsrechts verbunden sind, kann sie die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren untersagen, wenn die Verstöße oder Mängel entgegen der Anordnung nach Satz 1 und trotz der Verhängung eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden. Sie kann die Abberufung des Beauftragten für den Datenschutz verlangen, wenn er die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit nicht besitzt.

19

Als Hintergrund des Rechtsstreites ist auf § 12 Abs. 1 und 3 des Telemediengesetzes (TMG) vom 26. Februar 2007 (BGBl. I S. 179), für den hier maßgeblichen Zeitraum zuletzt geändert durch das Erste Gesetz zur Änderung des Telemediengesetzes (1. Telemedienänderungsgesetz) vom 31. Mai 2010 (BGBl I. S. 692) hinzuweisen, das in Teilen auch der Umsetzung der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 S. 37) dient.

§ 12 Abs. 1 und 3 TMG

(1) Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.

(2) (...)

(3) Soweit nichts anderes bestimmt ist, sind die jeweils geltenden Vorschriften für den Schutz personenbezogener Daten anzuwenden, auch wenn die Daten nicht automatisiert verarbeitet werden.

20

2. Die Vorlagefragen sind entscheidungserheblich und bedürfen einer Klärung durch den Gerichtshof; von ihrer Beantwortung hängt ab, ob die Revision zumindest im Sinne einer Zurückverweisung Erfolg hat.

21

a) Nach § 38 Abs. 5 BDSG kann die Aufsichtsbehörde Maßnahmen und Anordnungen nur zur Gewährleistung der Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz treffen.

22

aa) Die angefochtene Anordnung zur Deaktivierung der bei Facebook unterhaltenen Fanpage ist nach dem Eingriffsgewicht als Maßnahme nach § 38 Abs. 5 Satz 2 BDSG zur Untersagung des Einsatzes eines einzelnen Verfahrens zu werten, die bei schwerwiegenden Verstößen oder Mängeln statthaft ist. Diese Anordnung ist nicht schon deswegen rechtswidrig und aufzuheben, weil ihr keine Aufforderung zur Beseitigung festgestellter Verstöße nach § 38 Abs. 5 Satz 1 BDSG vorangegangen ist. Von der im Gesetz aus Gründen der Verhältnismäßigkeit vorgegebenen Stufenfolge beim Einschreiten der Datenschutzaufsichtsbehörde ist dann eine Ausnahme zu machen, wenn der Adressat der Anordnung diese Mängel nicht beseitigen kann, weil er keinen direkten, steuernden oder gestaltenden Einfluss auf die als rechtswidrig beanstandete Datenverarbeitung hat. Nach den für den Senat bindenden (§ 137 VwGO) tatsächlichen Feststellungen des Berufungsgerichts ist dies der Fall. Auch die Klägerin und die beigeladene Facebook Ireland Ltd. machen übereinstimmend geltend, dass die Erhebung und Verarbeitung der Daten der Besucher der Fanpage ausschließlich durch die Beigeladene erfolgt und die Klägerin weder im Rahmen des Benutzungsverhältnisses über die Fanpage rechtlich noch sonst tatsächlich Art und Umfang der Datenerhebung und -verarbeitung gestalten oder beeinflussen kann. Die fehlende unmittelbare Einwirkungs- und Entscheidungsmacht der Klägerin über Art und Umfang der Verarbeitung der Nutzerdaten schließt bei unterstellter datenschutzrechtlicher Pflichtenstellung eine Anwendung des § 38 Abs. 5 BDSG ebenfalls nicht aus; zur wirksamen Durchsetzung des Datenschutzrechts (s.a. Art. 28 Abs. 3 RL 95/46/EG) ist die adressatoffen gefasste Eingriffsermächtigung nicht auf ein Vorgehen gegen die "für die Verarbeitung Verantwortliche" im Sinne des Art. 2 Buchst. d) RL 95/46/EG beschränkt, wenn und soweit anderweitige datenschutzrechtliche Pflichten bestehen. Die personale Reichweite der Eingriffsbefugnis folgt hier der materiellrechtlichen Pflichtigkeit.

23

Bei als gegeben unterstellter Verantwortlichkeit der Klägerin, die nach nationalem Recht nicht nach den Vorschriften des Telemediengesetzes, sondern nur nach denen des Bundesdatenschutzgesetzes begründet werden kann, sind im Ergebnis auch die weiteren, zwischen den Beteiligten ebenfalls umstrittenen Voraussetzungen der Anordnung erfüllt.

24

bb) Die Klägerin ist allerdings für die Erhebung und Verarbeitung der Nutzerdaten ihrer Fanpage durch die Beigeladene nicht die "Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt" (§ 3 Abs. 7 BDSG) bzw. die "Stelle, die allein oder gemeinsam mit anderen über die Zwecke, Bedingungen und Mittel der Verarbeitung von personenbezogenen Daten entscheidet" (Art. 2 Buchst. d) RL 95/46/EG).

25

Zwar verschafft die Klägerin durch ihre Entscheidung, eine Fanpage auf der von der Beigeladenen bzw. ihrer Muttergesellschaft betriebenen Plattform einzurichten, der Beigeladenen objektiv die Möglichkeit, bei Aufruf dieser Fanpage Cookies zu setzen und über diese Daten zu erheben. Jedenfalls bei Fanpage-Nutzern, die bei Facebook registriert sind, handelt es sich um auch personenbezogene Daten im Sinne des Art. 2 Buchst. a) RL 95/46/EG, und zwar selbst dann, wenn sie sich bei Fanpageaufruf nicht bei Facebook angemeldet hatten. Bei nichtregistrierten Nutzern hängt die Zuordnung der über einen Cookie zugewiesenen ID-Nummer als personenbezogenes Datum u.a. von den Anforderungen ab, die an das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen zu stellen sind (s. dazu BGH, Vorabentscheidungsersuchen vom 28. Oktober 2014 - VI ZR 135/13 - ).

26

Nach den bindenden tatsächlichen Feststellungen des Berufungsgerichts folgt aus dieser Entscheidung allerdings nicht, dass die Klägerin Art und Umfang der Verarbeitung von Daten der Nutzer ihrer Homepage durch die Beigeladene beeinflussen, steuern, gestalten oder sonst kontrollieren könnte. Auch die Nutzungsbedingungen für die Fanpage eröffnen der Klägerin insoweit keine Einwirkungs- oder Kontrollrechte; die einseitig gesetzten Nutzungsbedingungen der Beigeladenen sind nicht Ergebnis eines Aushandlungsprozesses im Einzelfall und verschaffen der Klägerin auch nicht das Recht, der Beigeladenen die Erhebung und Verarbeitung der Daten von Nutzern der Fanpage zu untersagen. Die Beigeladene lässt auch sonst nicht die Einrichtung einer Fanpage zu, bei der sie sich nicht die Befugnis zur Erhebung und Verarbeitung von Nutzerdaten vorbehält. Auch tatsächlich hat die Klägerin keine Entscheidungs-, Gestaltungs- oder Kontrollbefugnisse.

27

Ihre Entscheidung, für ihr Informations- und Kommunikationsangebot auch die Facebook-Infrastruktur zu nutzen, macht die Klägerin nicht zu einer Stelle, die - allein oder gemeinsam mit der Beigeladenen - über die Zwecke, Bedingungen und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 2 Buchst. d) RL 95/46/EG) bzw. zur verantwortlichen Stelle im Sinne des § 3 Abs. 7 BDSG. Allerdings ist die Legaldefinition des "für die Verarbeitung Verantwortlichen" in Art. 2 Buchst. d) RL 95/46/EG, die maßgeblich auch die Auslegung des § 3 Abs. 7 BDSG steuert, im Interesse eines wirksamen Persönlichkeitsschutzes grundsätzlich weit auszulegen (s.a. Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen "für die Verarbeitung Verantwortlicher" und "Auftragsverarbeiter" vom 16. Februar 2010, Working Paper 169 [00264/10/DE WP 169]). Das funktionale Verständnis lässt auch Raum für die Möglichkeit einer pluralistischen Kontrolle, die verschiedene Grade der Verantwortung bis hin zu einer "gesamtschuldnerischen" Haftung (Artikel-29-Datenschutzgruppe, a.a.O., Working Paper 169 [00264/10/DE WP 169], 39) zulässt. Die Fähigkeit, über die Zwecke und Mittel der jeweiligen Datenverarbeitung auch entscheiden zu können, ist aber ein prägendes, unverzichtbares Element des Art. 2 Buchst. d) der Richtlinie 95/46/EG. Eine Stelle, die weder einen rechtlichen noch einen tatsächlichen Einfluss auf die Entscheidung hat, wie personenbezogene Daten verarbeitet werden, kann nicht als für die Verarbeitung Verantwortlicher angesehen werden.

28

Die Klägerin kann allein durch den Verzicht auf die weitere Nutzung ihrer Fanpage eine weitere Verarbeitung der Daten von Nutzern dieser Fanpage durch die Beigeladene verhindern. Dies verschafft ihr aber keinen rechtlichen oder tatsächlichen Einfluss auf Ob, Art und Umfang der Nutzung der Datenverarbeitung durch die Beigeladene in eigener Verantwortungs- und Gestaltungsmacht. Eine hinreichende Einflussmöglichkeit oder gar eine (Mit-)Entscheidungsmacht folgt auch nicht daraus, dass informationshaltige Fanpages die Attraktivität der von der Beigeladenen betriebenen Plattform selbst - für die Nutzer und die geschäftlichen Aktivitäten der Beigeladenen - steigern mögen oder die Klägerin objektiv aus der von der Beigeladenen betriebenen Funktion "Facebook Insights" Nutzen ziehen kann, indem ihr in anonymisierter Form Daten zur Nutzung ihrer Fanpage übermittelt werden.

29

cc) Die Klägerin ist für die Verarbeitung von Daten der Nutzer ihrer Fanpage durch die Beigeladene auch nicht Auftraggeber einer Datenverarbeitung im Auftrag (§ 11 BDSG; Art. 2 Buchst. e), Art. 17 Abs. 2 und 3 RL 95/46/EG).

30

Zwischen der Klägerin und der Beigeladenen besteht zwar ein Rechtsverhältnis in Bezug auf die Bereitstellung einer Fanpage; die Klägerin ist insoweit Nutzerin der Plattform, die von der Beigeladenen betrieben wird. Mit dem Nutzungsverhältnis erteilt die Klägerin der Beigeladenen aber nicht einen Auftrag zur Erhebung und Verarbeitung von Daten der Nutzer ihrer Fanpage. Diese Datennutzung ist keine Haupt- oder Nebenpflicht aus dem Fanpage-Benutzungsverhältnis. Wegen der technischen Besonderheiten der von der Beigeladenen betriebenen Plattform hat die Klägerin zu keinem Zeitpunkt die Möglichkeit, auf die hier in Rede stehenden Daten ihrer Nutzer zuzugreifen. Die Datenverarbeitung durch Facebook ist auch sonst von den Beteiligten des Fanpage-Nutzungsverhältnisses weder objektiv als gemeinsam verantwortete Datennutzung ausgestaltet noch subjektiv von diesen als gemeinsame gewollt. Dass der Klägerin bei der Entscheidung für die Plattform der Beigeladenen bekannt sein konnte, dass diese Daten von Fanpage-Nutzern erhebt und verarbeitet, verwandelt das Vertrags- oder Nutzungsverhältnis betreffend die Fanpage nicht in ein Auftragsdatenverarbeitungsverhältnis. Die Auftragsdatenverarbeitung folgt der Verantwortlichkeit, begründet diese aber nicht. Die hohe Zahl von Nutzern des sozialen Netzwerkes der Beigeladenen und der dadurch erhoffte Nutzen für die Verbreitung des eigenen Informationsangebots schließen es aus, dass die Klägerin sich allein deswegen für die Plattform der Beigeladenen entschieden haben könnte, um sich einer datenschutzrechtlichen Verantwortlichkeit zu entziehen.

31

b) Das vorlegende Gericht hält eine Klärung für erforderlich, ob bzw. unter welchen Voraussetzungen sich in mehrstufigen Anbieterverhältnissen, wie sie für soziale Netzwerke kennzeichnend sind, die Kontroll- und Eingriffsbefugnisse der Datenschutzaufsichtsbehörde allein auf die "verantwortliche Stelle" im Sinne des Art. 2 Buchst. d) RL 95/46/EG (§ 3 Abs. 7 BDSG) beziehen können oder ob daneben Raum für eine Verantwortlichkeit einer Stelle, die nicht im Sinne des Art. 2 Buchst. d) RL 95/46/EG für die Datenverarbeitung verantwortlich ist, bei der Auswahl eines Betreibers für sein Informationsangebot bleibt. Hierauf zielt die erste Vorlagefrage.

32

aa) Art. 28 Abs. 3 Spiegelstrich 2 RL 95/46/EG sieht vor, dass jede Kontrollstelle über wirksame Kontrollbefugnisse einschließlich der Möglichkeit verfügen muss, das vorläufige oder endgültige Verbot einer Verarbeitung anzuordnen. Art. 24 RL 95/46/EG gibt den Mitgliedstaaten auf, geeignete Maßnahmen zu ergreifen, um die volle Anwendung der Bestimmung der Richtlinie sicherzustellen. Die Datenschutzrichtlinie zielt auf einen wirksamen und umfassenden Schutz des Rechts auf die Privatsphäre (Art. 8 Europäische Menschenrechtskonvention) auf einem hohen Schutzniveau (Erwägungsgründe 2 und 10 RL 95/46/EG). Der Gerichtshof der Europäischen Union (EuGH) betont in gefestigter Rechtsprechung die Bedeutung sowohl des auch durch Art. 7 GRC gewährleisteten Grundrechts auf Achtung des Privatlebens als auch des durch Art. 8 GRC gewährleisteten Grundrechts auf Schutz personenbezogener Daten (vgl. EuGH, Urteile vom 7. Mai 2009 - C-553/07 [ECLI:EU:C:2009:293], Rijkeboer - Rn. 47; vom 8. April 2014 - C-293/12, C-594/12 [ECLI:EU:C:2014:238], Digital Rights Ireland u.a.- Rn. 53; vom 13. Mai 2014 - C-131/12 [ECLI:EU:C:2014:317], Google Spain und Google - Rn. 53, 66 und 74 und vom 6. Oktober 2015 - C-362/14 [ECLI:EU:C:2015:650], Schrems -Rn. 39).

33

bb) In Informationsanbieterverhältnissen, in denen Anbieter von (auch) an eine breitere Öffentlichkeit gerichteten Informationen eine Infrastruktur wie die von der Beigeladenen angebotene benutzen, bei der sie aufgrund der Nutzungsbedingungen die Verarbeitung personenbezogener Daten durch den Infrastrukturanbieter selbst nicht beherrschen können (gestufte oder mehrstufige Informationsanbieterverhältnisse), wird es im Interesse eines wirksamen Schutzes der Grundrechte und -freiheiten der Nutzer des Informationsangebotes für erforderlich gehalten, auch den Informationsanbieter selbst in die Verantwortung zu nehmen (eingehend Martini/Fritzsche, Mitverantwortung in sozialen Netzwerken. Facebook-Fanpage-Betreiber in der datenschutzrechtlichen Grauzone, NVwZ-Extra 21/2015, 11 ff.). Diese datenschutzrechtliche Verantwortung bezieht sich zwar nicht auf die Erhebung und Verarbeitung der Daten durch den Infrastrukturanbieter selbst, die in einer Infrastruktur wie der von der Beigeladenen angebotenen rechtlich und tatsächlich durch den Informationsanbieter nicht gesteuert werden kann. Sie bezieht sich aber auf die sorgfältige Auswahl des Betreibers der Infrastruktur, die für das eigene Informationsangebot genutzt wird. Für den Nutzer des Informationsangebotes ist regelmäßig nicht erkennbar, dass für eine an die bloße Nutzung anknüpfende Datenverarbeitung nicht der Informationsanbieter, sondern der Infrastrukturbetreiber "verantwortliche Stelle" ist; auch soweit aus dem Seitendesign des Informationsangebotes erkannt werden kann, dass es sich um ein Informationsangebot im Rahmen einer bestimmten Infrastruktur handelt, erschließt sich daraus nicht die Verteilung der Verantwortlichkeiten.

34

cc) Vor diesem Hintergrund erstrebt die erste Vorlagefrage die Klärung, ob mit dem Begriff des "für die Verarbeitung Verantwortlichen" (Art. 2 Buchst. d) RL 95/46/EG) auch die möglichen Adressaten von Eingriffsmaßnahmen abschließend und erschöpfend umschrieben sind oder ob im Rahmen der "geeigneten Maßnahmen" nach Art. 24 und der "wirksamen Eingriffsbefugnisse" nach Art. 28 Abs. 3 Spiegelstrich RL 95/46/EG daneben Raum für eine datenschutzrechtliche Verantwortlichkeit für die Auswahl des Betreibers eines Informationsangebotes bleibt.

35

c) Die zweite Vorlagefrage zielt auf den rechtlichen Anknüpfungspunkt für eine der Verantwortung nach Art. 2 Buchst. d) RL 95/46/EG vorgelagerte Auswahlverantwortlichkeit in mehrstufigen Anbieterverhältnissen. Nach dem nationalen Recht kommt insoweit in Betracht, die Auswahl- und Überprüfungspflichten (§ 11 Abs. 2 Satz 1 und 4 BDSG), die der nationale Gesetzgeber in Umsetzung des Art. 17 Abs. 2 RL 95/46/EG bei einer Datenverarbeitung im Auftrag vorgeschrieben hat, entsprechend heranzuziehen (s. Martini/Fritzsche, Mitverantwortung in sozialen Netzwerken. Facebook-Fanpage-Betreiber in der datenschutzrechtlichen Grauzone, NVwZ-Extra 21/2015, 12). Der gemeinsame und im Ergebnis für eine Analogie möglicherweise hinreichende Grundgedanke ist, dass sich ein Informationsanbieter nicht durch die Wahl eines bestimmten Infrastrukturanbieters von datenschutzschutzrechtlichen Pflichten im Verhältnis zu den Nutzern seines Informationsangebotes soll freizeichnen dürfen, die er bei einem reinen Content-Provider zu erfüllen hätte. Dass ein Informationsanbieter in den sozialen Netzwerken wie dem der Beigeladenen zugleich auch dessen Nutzer ist, schafft wegen der für die Nutzer des Informationsangebotes nicht hinreichend klaren Verantwortungsteilung eine spezifische, von der Verantwortungsverteilung nach Art. 2 Buchst. d) RL 95/46/EG nicht erfasste Gefährdungslage; dies gilt umso mehr, als sich das Informationsangebot nicht allein an in dem Netzwerk angemeldete, registrierte Nutzer richtet.

36

Bei unionsrechtskonformer Auslegung kommt eine entsprechende Anwendung der Auswahl- und Kontrollpflichten des § 11 Abs. 2 Satz 1 und 4 BDSG allerdings dann nicht in Betracht, wenn aus Art. 17 Abs. 2 RL 95/46/EG im Umkehrschluss folgt, dass einem Informationsanbieter datenschutzrechtliche Auswahl- und Kontrollpflichten nur und ausschließlich bei einer Datenverarbeitung im Auftrag auferlegt werden können. Die Auferlegung weitergehender Pflichten ist nach dem Wortlaut allerdings nicht ausgeschlossen; sie bewirkt auch keine neuen oder zusätzlichen materiellrechtlichen Bedingungen in Bezug auf die Zulässigkeit der Verarbeitung personenbezogener Daten (dazu EuGH, Urteil vom 24. November 2011 - C-468/10, C-469/10 [ECLI:EU:C:2011:777], ASNEF/FECEMD -). Für einen Umkehrschluss mag indes eine klare und eindeutige Verantwortungszuweisung allein an den Infrastrukturanbieter sprechen; die Nutzer von Infrastrukturangeboten und Plattformen bleiben zudem von der Notwendigkeit befreit, die Rechtmäßigkeit der Datenverarbeitung durch den ausgewählten Anbieter (inzident) überprüfen zu müssen.

37

d) Für den Fall, dass einen Informationsanbieter in mehrstufigen Anbieterverhältnissen eine Verantwortlichkeit bei der Auswahl seines Infrastrukturanbieters trifft, setzt die Rechtmäßigkeit der hier getroffenen Anordnung weiterhin jedenfalls voraus, dass diese Auswahlverantwortlichkeit verletzt worden ist, weil es bei dem ausgewählten Anbieter - hier der Beigeladenen - bei der Erhebung und Verarbeitung von Daten der Nutzer des Informationsangebotes der Klägerin zu hinreichend gewichtigen Verstößen gegen das Datenschutzrecht kommt. Diese Frage ist zwischen den Beteiligten umstritten und vom Berufungsgericht nicht abschließend geklärt worden. Auf der Grundlage der getroffenen tatsächlichen Feststellungen kann das vorlegende Gericht sie nicht abschließend beantworten. Zu ihrer Beantwortung bedarf es auch der Klärung der zu 3. bis 6. gestellten Fragen zur Zuständigkeit der hier handelnden Datenschutzkontrollbehörde und der Reichweite ihrer Prüfungsbefugnis.

38

aa) Zwischen den Beteiligten steht zu Recht nicht im Streit, dass die Erhebung und Verarbeitung von Daten der Nutzer der von der Klägerin betriebenen Fanpage durch Facebook als Infrastrukturanbieter in den räumlichen Anwendungsbereich der RL 95/46/EG fällt, soweit es sich um personenbezogene Daten im Sinne des Art. 2 Buchst. a) RL 95/46/EG handelt. Denn die in den Vereinigten Staaten von Amerika ansässige Muttergesellschaft, die Facebook Inc., unterhält neben der für die Förderung des Verkaufs von Werbung und sonstige Marketingmaßnahmen mit Ausrichtung auf die Einwohner der Bundesrepublik Deutschland betrauten Tochtergesellschaft Facebook Germany GmbH (mit Sitz in Hamburg) die in der Irischen Republik ansässige Tochtergesellschaft Facebook Ireland Ltd. - die Beigeladene -, die nach eigenem Bekunden konzernintern die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten (u.a.) im gesamten Gebiet der Europäischen Union trägt. Jedenfalls müssen alle im Unionsgebiet wohnhaften Personen, die Facebook nutzen wollen, bei ihrer Anmeldung einen Vertrag mit Facebook Ireland Ltd. abschließen (s.a. EuGH, Urteil vom 6. Oktober 2015 - C-362/14 - Rn. 27). Der Beklagte hat allerdings geltend gemacht, dass tatsächlich die Entscheidung über Art und Umfang der Datenverarbeitung und die Datenverarbeitung selbst nicht durch die Beigeladene erfolge, weil die personenbezogenen Daten der im Unionsgebiet wohnhaften Nutzer von Facebook ganz oder teilweise an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet werden (s.a. EuGH, Urteil vom 6. Oktober 2015 - C-362/14 - Rn. 27).

39

Im Rahmen der Bestimmung der für etwaige Aufsichts- und Kontrollmaßnahmen zuständigen Kontrollstelle bedarf es dann aber der Klärung der mit Vorlagefrage zu 3. aufgeworfenen Frage. Es sind die Voraussetzungen zu bestimmen, unter denen eine (von mehreren) Niederlassungen eines außerhalb der Europäischen Union ansässigen Mutterkonzerns als "für die Verarbeitung Verantwortliche" im Sinne der Art. 4 und Art. 2 Buchst. d) RL 95/46/EG angesehen werden kann. Insbesondere ist zu klären, ob es dafür ausreicht, dass sich eine der Niederlassungen in der Europäischen Union (hier: die beigeladene Facebook Ireland Ltd.) selbst als die für die Datenverarbeitung im gesamten Unionsgebiet insoweit Verantwortliche bezeichnet, auch wenn physikalisch die Datenverarbeitung ganz oder teilweise von dem Mutterkonzern außerhalb des Unionsgebiets durchgeführt und maßgeblich von diesem gesteuert wird. Wird dies bejaht, kommt es auf die Einzelheiten der konzerninternen Entscheidungs- und Datenverarbeitungsstrukturen nicht an. Wird dies verneint, kann hingegen auch eine andere Niederlassung (hier: Deutschland) als Verantwortliche angesehen werden, die der Aufsicht und Kontrolle nach Art. 28 Abs. 6 RL 95/46/EG unterliegt, wenn die Datenverarbeitung tatsächlich nicht im Gebiet der Gemeinschaft erfolgt. Dann sind vom nationalen Gericht für die Bestimmung der verantwortlichen Niederlassung zunächst die Einzelheiten der konzerninternen Entscheidungs- und Datenverarbeitungsstrukturen aufzuklären.

40

bb) Die Vorlagefrage zu 4. richtet sich auf die Zuständigkeitsverteilung zwischen den Datenschutzkontrollbehörden in Fällen, in denen ein Mutterkonzern (hier: Facebook Inc., USA) im Unionsgebiet mehrere Niederlassungen unterhält, die aber unterschiedliche Aufgaben haben. In seinem Urteil vom 13. Mai 2014 (EuGH, Urteil vom 13. Mai 2014 - C-131/12 -) hat der Gerichtshof der Europäischen Union Art. 4 Abs. 1 Buchst. a) RL 95/46/EG dahin ausgelegt, dass im Sinne dieser Bestimmung eine Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung ausgeführt wird, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet eines Mitgliedstaates besitzt, wenn der die Verarbeitung Durchführende in einem Mitgliedstaat für die Förderung des Verkaufs der Werbeflächen für sein Datenverarbeitungsangebot und diesen Verkauf selbst eine Zweigniederlassung oder Tochtergesellschaft gründet, deren Tätigkeit auf die Einwohner dieses Staates ausgerichtet ist. Klärungsbedürftig ist, ob diese Anknüpfung an eine (allein) für Marketing und Vertrieb zuständige Niederlassung in einem Mitgliedstaat (hier: Deutschland) für die Anwendbarkeit der Datenschutzrichtlinie und die Zuständigkeit der Kontrollbehörde auch auf eine Konstellation übertragbar ist, bei der eine in einem anderen Mitgliedstaat (hier: Irland) niedergelassenen Tochtergesellschaft nach der konzerninternen Aufgaben- und Verantwortungsteilung auch im Außenverhältnis als im gesamten Unionsgebiet "für die Verarbeitung Verantwortlicher" auftritt. Insoweit keine Klärung bewirkt aus Sicht des vorlegenden Gerichts das Urteil des Gerichtshofs vom 1. Oktober 2015 (EuGH, Urteil vom 1. Oktober 2015 - C-230/14 [ECLI:EU:C:2015:639], Weltimmo -); dort war nicht die Konstellation zweier rechtlich selbständiger Tochtergesellschaften, denen konzernintern unterschiedliche sachliche und regionale Aufgaben zugewiesen waren, einer außerhalb des Unionsgebiets ansässigen Muttergesellschaft zu beurteilen. Bei der vorliegend in Rede stehenden Konstellation kommt es auf die Reichweite der Kontroll- und Aufsichtsbefugnisse in Deutschland gelegener Kontrollstellen, die an die für Werbung und Marketing zuständige Niederlassung Facebook Germany GmbH anknüpfen, nicht zuletzt wegen der Auswahl des Adressaten einer Maßnahme nach Art. 28 Abs. 3 RL 95/46/EG (bzw. § 38 Abs. 5 BDSG) an. Ein Vorgehen gegen die Klägerin könnte dann - unabhängig von der Beurteilung der Rechtmäßigkeit der Datenverarbeitung durch Facebook - ermessens- und daher rechtswidrig sein, wenn die von der Kontrollbehörde angenommenen Verstöße gegen das Datenschutzrecht durch ein Vorgehen direkt gegen die in Deutschland gelegene Niederlassung Facebook Germany beseitigt werden könnten.

41

cc) Zwischen den Beteiligten steht im Streit, ob bzw. in welchem Umfang die Verarbeitung von Daten der Nutzer der Fanpage der Klägerin durch Facebook gegen (deutsches oder irisches) Datenschutzrecht verstößt. Die Klägerin und die Beigeladene machen geltend, dass die für die Beigeladene zuständige Datenschutzkontrollbehörde, der irische Data Protection Commissioner, die Datenverarbeitung durch die Beigeladene insgesamt und insbesondere auch die von dem Beklagten beanstandeten Funktionen bei der Erhebung und Verarbeitung der Daten von Fanpage-Nutzern intensiv geprüft und nicht beanstandet habe. Der Beklagte vertritt eine hiervon abweichende rechtliche Beurteilung und sieht sich an die Feststellungen und Bewertungen des Data Protection Commissioner nicht gebunden. Die Vorlagefrage zu 5. zielt auf die Klärung, ob/in welchem Umfange eine solche eigenständige rechtliche Beurteilung als Vorfrage vorgenommen werden darf.

42

Die Ausführungen im Urteil des Gerichtshofs vom 1. Oktober 2015 (EuGH, Urteil vom 1. Oktober 2015 - C-230/14 - Rn. 51 ff.) zur Bestimmung des anzuwendenden Rechts und der zuständigen Kontrollstelle klären diese Frage nicht. Aus Art. 28 Abs. 1 und 3 RL 95/46/EG ergibt sich, dass jede Kontrollstelle sämtliche Befugnisse ausübt, die ihr im Hoheitsgebiet ihres Mitgliedstaates übertragen wurden, um in diesem Hoheitsgebiet die Einhaltung der Datenschutzvorschriften sicherzustellen; eine Kontrollstelle darf keine Sanktionen außerhalb des Hoheitsgebiets ihres Mitgliedstaates verhängen und auch sonst nicht hoheitliche Maßnahmen jenseits ihrer territorialen Zuständigkeit ergreifen. Gegenstand des Ausgangsverfahrens ist indes eine Anordnung gegenüber einer im eigenen Hoheitsgebiet gelegenen Stelle, bei der die Rechtmäßigkeit der Datenverarbeitung durch die Beigeladene nur eine Vorfrage bildet. Ein hoheitliches Vorgehen gegen die Beigeladene ist hiermit gerade nicht verbunden.

43

Nach Art. 28 Abs. 6 RL 95/46/EG ist jede Kontrollstelle im Hoheitsgebiet ihres Mitgliedstaates für die Ausübung der ihr gemäß Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse zuständig, unabhängig vom anwendbaren einzelstaatlichen Recht. Dies stellt indes nicht zweifelsfrei klar, dass die jeweils zuständige Kontrollbehörde zur umfassenden selbständigen Prüfung und Beurteilung der Datenschutzkonformität der Datenverarbeitung durch eine in einem Mitgliedstaat niedergelassene Stelle befugt ist. Allerdings ordnen die Art. 28 ff. RL 95/46/EG eine vorrangige oder gar ausschließliche Prüfungs- und Bewertungskompetenz allein der für den Sitz der verantwortlichen Niederlassung nicht ausdrücklich an; auch ist eine rechtliche Bindung an die rechtliche Bewertung der für die Niederlassung zuständigen Kontrollbehörde eines anderen Mitgliedstaates nicht vorgeschrieben und bewirkte eine problematische Wirkung ihrer Tätigkeit über ihren territorialen Zuständigkeitsbereich hinaus. Die sogenannte Artikel-29-Datenschutzgruppe hat zwar u.a. zur Aufgabe, zu einer einheitlichen Anwendung der Datenschutzrichtlinie beizutragen (Art. 30 Abs. 1 Buchst. a) RL 95/46/EG); sie hat aber keine Kompetenz zur verbindlichen Entscheidung divergierender rechtlicher Bewertungen verschiedener nationaler Kontrollbehörden. All dies kann dafür sprechen, dass jede Kontrollstelle ohne Bindung an die Bewertungen der für die jeweilige Niederlassung zuständigen Kontrollbehörde eines anderen Mitgliedstaates die Vereinbarkeit einer Datenverarbeitung mit dem Datenschutzrecht prüfen und bewerten kann, soweit dies als Vorfrage für ein Handeln in eigener Zuständigkeit erheblich ist.

44

dd) Für den Fall, dass der Kontrollstelle, die im Rahmen ihrer Zuständigkeit tätig wird, eine selbständige Überprüfung der Datenverarbeitung einer in einem anderen Mitgliedstaat gelegenen Niederlassung eröffnet ist, ist zu Art. 28 Abs. 6 Satz 2 RL 95/46/EG zu klären, ob die dort jeder Kontrollstelle eröffnete Möglichkeit, die Kontrollstelle eines anderen Mitgliedstaates um die Ausübung ihrer Befugnisse zu ersuchen, eine Pflicht umfassen kann, von dieser Möglichkeit auch Gebrauch zu machen. Die Vorlagefrage zu 6. wirft diese Frage deswegen auf, weil der Beklagte zwar im Rahmen seiner Anordnung gegen die Klägerin mit seiner eigenständigen Bewertung der Vorfrage der Datenschutzkonformität der Verarbeitung durch die Beigeladene von der Beurteilung des irischen Data Protection Commissioner abweicht, diesen aber nicht förmlich um die Ausübung seiner Befugnisse gegenüber der Beigeladenen ersucht hat. Eine Anordnung gegen die Klägerin wegen Nichtbeachtung ihrer Auswahlverantwortlichkeit, die an Datenschutzverstöße der Beigeladenen anknüpft, wäre jedenfalls dann ermessenswidrig, wenn aus Art. 28 Abs. 6 Satz 2 RL 95/46/EG eine unbedingte, umfassende Pflicht, den irischen Data Protection Commissioner um die Ausübung seiner Befugnisse zu ersuchen, jedenfalls dann folgte, wenn von dessen Bewertung der Datenschutzkonformität der Datenverarbeitung durch die Beigeladenen abgewichen werden soll.

Prof. Dr. Berlit

Prof. Dr. Dörig

Prof. Dr. Kraft

Fricke

Dr. Rudolph

Verkündet am 25. Februar 2016

Hinweis: Das Dokument wurde redaktionell aufgearbeitet und unterliegt in dieser Form einem besonderen urheberrechtlichen Schutz. Eine Nutzung über die Vertragsbedingungen der Nutzungsvereinbarung hinaus - insbesondere eine gewerbliche Weiterverarbeitung außerhalb der Grenzen der Vertragsbedingungen - ist nicht gestattet.