Gründe
Zu den Vorlagefragen
Zur ersten und zur zweiten Frage
25Mit der ersten und der zweiten Frage, die zusammen zu prüfen sind, möchte das vorlegende Gericht wissen, ob Art. 2 Buchst. d, Art. 17 Abs. 2, Art. 24 und Art. 28 Abs. 3 zweiter Gedankenstrich der Richtlinie 95/46 dahin auszulegen sind, dass sie es zulassen, dass die Verantwortlichkeit einer Stelle in ihrer Eigenschaft als Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage im Fall eines Verstoßes gegen die Vorschriften über den Schutz personenbezogener Daten aufgrund der Entscheidung, ein soziales Netzwerk für die Verbreitung ihres Informationsangebots zu nutzen, festgestellt wird.
26Zur Beantwortung dieser Fragen ist darauf hinzuweisen, dass die Richtlinie 95/46, wie sich aus ihrem Art. 1 Abs. 1 und ihrem zehnten Erwägungsgrund ergibt, darauf abzielt, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre, bei der Verarbeitung personenbezogener Daten zu gewährleisten (Urteil vom , Ryneš, C-212/13, EU:C:2014:2428, Rn. 27 und die dort angeführte Rechtsprechung).
27Diesem Ziel entsprechend ist der Begriff des „für die Verarbeitung Verantwortlichen“ in Art. 2 Buchst. d der Richtlinie weit definiert als natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
28Wie der Gerichtshof bereits entschieden hat, besteht das Ziel dieser Bestimmung nämlich darin, durch eine weite Definition des Begriffs des „Verantwortlichen“ einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten (Urteil vom , Google Spain und Google, C-131/12, EU:C:2014:317, Rn. 34).
29Zudem verweist der Begriff des „für die Verarbeitung Verantwortlichen“, da er sich, wie Art. 2 Buchst. d der Richtlinie 95/46 ausdrücklich vorsieht, auf die Stelle bezieht, die „allein oder gemeinsam mit anderen“ über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, nicht zwingend auf eine einzige Stelle und kann mehrere an dieser Verarbeitung beteiligte Akteure betreffen, wobei dann jeder von ihnen den Datenschutzvorschriften unterliegt.
30Es ist festzustellen, dass im vorliegenden Fall in erster Linie die Facebook Inc. und, was die Union betrifft, Facebook Ireland über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Facebook-Nutzer und der Personen entscheiden, die die auf Facebook unterhaltenen Fanpages besucht haben, und somit unter den Begriff des „für die Verarbeitung Verantwortlichen“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 fallen, was in der vorliegenden Rechtssache nicht in Zweifel gezogen wird.
31Zur Beantwortung der vorgelegten Fragen ist jedoch zu prüfen, ob und inwieweit der Betreiber einer auf Facebook unterhaltenen Fanpage wie die Wirtschaftsakademie im Rahmen dieser Fanpage gemeinsam mit Facebook Ireland und der Facebook Inc. einen Beitrag zur Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher dieser Fanpage leistet und somit ebenfalls als „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden kann.
32Insoweit schließt offenbar jede Person, die eine Fanpage auf Facebook einrichten möchte, mit Facebook Ireland einen speziellen Vertrag über die Eröffnung einer solchen Seite und unterzeichnet dazu die Nutzungsbedingungen dieser Seite einschließlich der entsprechenden Cookie-Richtlinie, was zu prüfen Sache des nationalen Gerichts ist.
33Wie aus den dem Gerichtshof vorgelegten Akten hervorgeht, erfolgt die im Ausgangsverfahren in Rede stehende Datenverarbeitung im Wesentlichen in der Weise, dass Facebook auf dem Computer oder jedem anderen Gerät der Personen, die die Fanpage besucht haben, Cookies platziert, die die Speicherung von Informationen in den Web-Browsern bezwecken und für die Dauer von zwei Jahren wirksam bleiben, sofern sie nicht gelöscht werden. Außerdem geht aus den Akten hervor, dass in der Praxis Facebook die in den Cookies gespeicherten Informationen empfängt, aufzeichnet und verarbeitet, insbesondere wenn eine Person die „Facebook-Dienste, Dienste, die von anderen Mitgliedern der Facebook-Unternehmensgruppe bereitgestellt werden, und Dienste, die von anderen Unternehmen bereitgestellt werden, die die Facebook-Dienste nutzen“, besucht. Außerdem können andere Stellen wie Facebook-Partner oder sogar Dritte „auf den Facebook-Diensten Cookies verwenden, um [diesem sozialen Netzwerk direkt] bzw. den auf Facebook werbenden Unternehmen Dienstleistungen bereitzustellen“.
34Diese Verarbeitungen personenbezogener Daten sollen u. a. zum einen Facebook ermöglichen, sein System der Werbung, die es über sein Netzwerk verbreitet, zu verbessern. Zum anderen sollen sie dem Betreiber der Fanpage ermöglichen, zum Zweck der Steuerung der Vermarktung seiner Tätigkeit Statistiken, die Facebook aufgrund der Besuche dieser Seite erstellt, zu erhalten, die es ihm beispielsweise ermöglichen, Kenntnis von den Profilen der Besucher zu erlangen, die seine Fanpage schätzen oder die seine Anwendungen nutzen, um ihnen relevantere Inhalte bereitstellen und Funktionen entwickeln zu können, die für sie von größerem Interesse sein könnten.
35Auch wenn der bloße Umstand der Nutzung eines sozialen Netzwerks wie Facebook für sich genommen einen Facebook-Nutzer nicht für die von diesem Netzwerk vorgenommene Verarbeitung personenbezogener Daten mitverantwortlich macht, ist indes darauf hinzuweisen, dass der Betreiber einer auf Facebook unterhaltenen Fanpage mit der Einrichtung einer solchen Seite Facebook die Möglichkeit gibt, auf dem Computer oder jedem anderen Gerät der Person, die seine Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Konto verfügt.
36In diesem Rahmen geht aus den dem Gerichtshof unterbreiteten Angaben hervor, dass die Einrichtung einer Fanpage auf Facebook von Seiten ihres Betreibers eine Parametrierung u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten impliziert, die sich auf die Verarbeitung personenbezogener Daten zum Zweck der Erstellung der aufgrund der Besuche der Fanpage erstellten Statistiken auswirkt. Mit Hilfe von durch Facebook zur Verfügung gestellten Filtern kann der Betreiber die Kriterien festlegen, nach denen diese Statistiken erstellt werden sollen, und sogar die Kategorien von Personen bezeichnen, deren personenbezogene Daten von Facebook ausgewertet werden. Folglich trägt der Betreiber einer auf Facebook unterhaltenen Fanpage zur Verarbeitung der personenbezogenen Daten der Besucher seiner Seite bei.
37Insbesondere kann der Fanpage-Betreiber demografische Daten über seine Zielgruppe – und damit die Verarbeitung dieser Daten – verlangen, so u. a. Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstatus und berufliche Situation, Informationen über den Lebensstil und die Interessen seiner Zielgruppe und Informationen über die Käufe und das Online-Kaufverhalten der Besucher seiner Seite, die Kategorien von Waren oder Dienstleistungen, die sie am meisten interessieren, sowie geografische Daten, die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind, und ihm ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten.
38Zwar werden die von Facebook erstellten Besucherstatistiken ausschließlich in anonymisierter Form an den Betreiber der Fanpage übermittelt, jedoch beruht die Erstellung dieser Statistiken auf der vorhergehenden Erhebung – durch die von Facebook auf dem Computer oder jedem anderen Gerät der Personen, die diese Seite besucht haben, gesetzten Cookies – und der Verarbeitung der personenbezogenen Daten dieser Besucher für diese statistischen Zwecke. Die Richtlinie 95/46 verlangt jedenfalls nicht, dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat.
39Unter diesen Umständen ist festzustellen, dass der Betreiber einer auf Facebook unterhaltenen Fanpage wie die Wirtschaftsakademie durch die von ihm vorgenommene Parametrierung u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt ist. Daher ist der Betreiber im vorliegenden Fall als in der Union gemeinsam mit Facebook Ireland für diese Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 einzustufen.
40Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nämlich nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.
41Im Übrigen ist hervorzuheben, dass die bei Facebook unterhaltenen Fanpages auch von Personen besucht werden können, die keine Facebook-Nutzer sind und somit nicht über ein Benutzerkonto bei diesem sozialen Netzwerk verfügen. In diesem Fall erscheint die Verantwortlichkeit des Betreibers der Fanpage hinsichtlich der Verarbeitung der personenbezogenen Daten dieser Personen noch höher, da das bloße Aufrufen der Fanpage durch Besucher automatisch die Verarbeitung ihrer personenbezogenen Daten auslöst.
42Unter diesen Umständen trägt die Anerkennung einer gemeinsamen Verantwortlichkeit des Betreibers des sozialen Netzwerks und des Betreibers einer bei diesem Netzwerk unterhaltenen Fanpage im Zusammenhang mit der Verarbeitung personenbezogener Daten der Besucher dieser Fanpage dazu bei, entsprechend den Anforderungen der Richtlinie 95/46 einen umfassenderen Schutz der Rechte sicherzustellen, über die die Personen verfügen, die eine Fanpage besuchen.
43Klarzustellen ist, dass das Bestehen einer gemeinsamen Verantwortlichkeit, wie der Generalanwalt in den Nrn. 75 und 76 seiner Schlussanträge ausgeführt hat, aber nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure zur Folge hat, die von einer Verarbeitung personenbezogener Daten betroffen sind. Vielmehr können diese Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sein, dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist.
44Nach alledem ist auf die erste und die zweite Frage zu antworten, dass Art. 2 Buchst. d der Richtlinie 95/46 dahin auszulegen ist, dass der Begriff des „für die Verarbeitung Verantwortlichen“ im Sinne dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst.
Zur dritten und zur vierten Frage
45Mit der dritten und der vierten Frage, die zusammen zu prüfen sind, möchte das vorlegende Gericht wissen, ob die Art. 4 und 28 der Richtlinie 95/46 dahin auszulegen sind, dass dann, wenn ein außerhalb der Union ansässiges Unternehmen mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, die Kontrollstelle eines Mitgliedstaats zur Ausübung der ihr durch Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung auch dann befugt ist, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet dieses Mitgliedstaats zuständig ist und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliegt, oder ob es Sache der Kontrollstelle des letztgenannten Mitgliedstaats ist, diese Befugnisse gegenüber der zweiten Niederlassung auszuüben.
46Das ULD und die italienische Regierung haben Zweifel hinsichtlich der Zulässigkeit dieser Fragen geäußert, da diese für die Entscheidung des Ausgangsrechtsstreits nicht relevant seien. Adressat des angefochtenen Bescheids sei nämlich die Wirtschaftsakademie, so dass sich dieser Bescheid weder auf die Facebook Inc. noch auf eine von deren im Unionsgebiet ansässigen Tochtergesellschaften beziehe.
47Hierzu ist darauf hinzuweisen, dass es im Rahmen der mit Art. 267 AEUV eingerichteten Zusammenarbeit zwischen dem Gerichtshof und den nationalen Gerichten allein Sache des mit dem Rechtsstreit befassten nationalen Gerichts ist, in dessen Verantwortungsbereich die zu erlassende gerichtliche Entscheidung fällt, im Hinblick auf die Besonderheiten der Rechtssache sowohl die Erforderlichkeit einer Vorabentscheidung für den Erlass seines Urteils als auch die Erheblichkeit der dem Gerichtshof von ihm vorgelegten Fragen zu beurteilen. Betreffen daher die vorgelegten Fragen die Auslegung des Unionsrechts, ist der Gerichtshof grundsätzlich gehalten, darüber zu befinden (Urteil vom , Petruhhin, C-182/15, EU:C:2016:630, Rn. 19 und die dort angeführte Rechtsprechung).
48Im vorliegenden Fall ist darauf hinzuweisen, dass das vorlegende Gericht geltend macht, dass die Beantwortung der dritten und der vierten Vorlagefrage durch den Gerichtshof für die Entscheidung des Ausgangsrechtsstreits erforderlich sei. Es führt nämlich aus, dass in dem Fall, dass im Licht dieser Antwort festgestellt werden sollte, dass das ULD die behaupteten Verstöße gegen das Recht auf Schutz der personenbezogenen Daten beenden könne, indem es eine Maßnahme gegen Facebook Germany erlasse, dieser Umstand das Vorliegen eines Ermessensfehlers bezüglich des angefochtenen Bescheids belegen könnte, da dieser dann zu Unrecht gegen die Wirtschaftsakademie erlassen worden wäre.
49Unter diesen Umständen sind die dritte und die vierte Frage zulässig.
50Zur Beantwortung dieser Fragen ist zunächst darauf hinzuweisen, dass nach Art. 28 Abs. 1 und 3 der Richtlinie 95/46 jede Kontrollstelle sämtliche Befugnisse ausübt, die ihr im Hoheitsgebiet ihres Mitgliedstaats durch das nationale Recht übertragen wurden, um in diesem Hoheitsgebiet die Einhaltung der Datenschutzvorschriften sicherzustellen (vgl. in diesem Sinne Urteil vom , Weltimmo, C-230/14, EU:C:2015:639, Rn. 51).
51Die Frage, welches nationale Recht auf die Verarbeitung personenbezogener Daten anwendbar ist, ist in Art. 4 der Richtlinie 95/46 geregelt. Nach dessen Abs. 1 Buchst. a wendet jeder Mitgliedstaat die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. Klarstellend heißt es in dieser Vorschrift, dass der Verantwortliche, wenn er eine Niederlassung im Hoheitsgebiet mehrerer Mitgliedstaaten besitzt, die notwendigen Maßnahmen ergreift, damit jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhält.
52Aus dieser Vorschrift in Verbindung mit Art. 28 Abs. 1 und 3 der Richtlinie 95/46 geht somit hervor, dass dann, wenn das nationale Recht des Mitgliedstaats der Kontrollstelle nach Art. 4 Abs. 1 Buchs. a dieser Richtlinie anwendbar ist, weil die in Rede stehende Verarbeitung im Rahmen der Tätigkeiten einer Niederlassung des für die Verarbeitung im Hoheitsgebiet dieses Mitgliedstaats Verantwortlichen ausgeführt wird, diese Kontrollstelle sämtliche Befugnisse ausüben kann, die ihr durch dieses Recht gegenüber dieser Niederlassung übertragen wurden, und zwar unabhängig davon, ob der für die Verarbeitung Verantwortliche auch in anderen Mitgliedstaaten Niederlassungen unterhält.
53Um zu bestimmen, ob eine Kontrollstelle unter Umständen wie denen des Ausgangsverfahrens berechtigt ist, gegenüber einer im Hoheitsgebiet ihres Mitgliedstaats ansässigen Niederlassung die Befugnisse auszuüben, die ihr durch das nationale Recht übertragen wurden, ist somit zu prüfen, ob die beiden Voraussetzungen nach Art. 4 Abs. 1 Buchst. a der Richtlinie 96/46 vorliegen, d. h. zum einen, ob es sich um eine „Niederlassung …, die der für die Verarbeitung Verantwortliche … besitzt“, im Sinne dieser Vorschrift handelt, und zum anderen, ob diese Verarbeitung „im Rahmen der Tätigkeiten“ dieser Niederlassung im Sinne dieser Vorschrift ausgeführt wird.
54Was erstens die Voraussetzung anbelangt, wonach der für die Verarbeitung personenbezogener Daten Verantwortliche im Hoheitsgebiet des Mitgliedstaats der betreffenden Kontrollstelle eine Niederlassung besitzen muss, ist darauf hinzuweisen, dass es im 19. Erwägungsgrund der Richtlinie 95/46 heißt, dass eine Niederlassung im Hoheitsgebiet eines Mitgliedstaats die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraussetzt und dass die Rechtsform einer solchen Niederlassung, die eine Agentur oder eine Zweigstelle sein kann, in dieser Hinsicht nicht maßgeblich ist (Urteil vom , Weltimmo, C-230/14, EU:C:2015:639, Rn. 28 und die dort angeführte Rechtsprechung).
55Im vorliegenden Fall steht fest, dass die Facebook Inc. als gemeinsam mit Facebook Ireland für die Verarbeitung personenbezogener Daten Verantwortliche in Deutschland über eine dauerhafte Niederlassung verfügt, nämlich Facebook Germany, die in Hamburg ansässig ist, und dass die letztgenannte Gesellschaft in diesem Mitgliedstaat effektiv und tatsächlich Tätigkeiten ausübt. Sie stellt daher eine Niederlassung im Sinne von Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 dar.
56Was zweitens die Voraussetzung anbelangt, wonach die Verarbeitung personenbezogener Daten „im Rahmen der Tätigkeiten“ der betreffenden Niederlassung ausgeführt werden muss, ist zunächst darauf hinzuweisen, dass die Wendung „im Rahmen der Tätigkeiten einer Niederlassung“ im Hinblick auf das Ziel der Richtlinie 95/46, nämlich bei der Verarbeitung personenbezogener Daten einen wirksamen und umfassenden Schutz der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere des Rechts auf Privatleben, zu gewährleisten, nicht eng ausgelegt werden kann (Urteil vom , Weltimmo, C-230/14, EU:C:2015:639, Rn. 25 und die dort angeführte Rechtsprechung).
57Sodann ist darauf hinzuweisen, dass Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 nicht verlangt, dass diese Verarbeitung „von“ der betreffenden Niederlassung selbst ausgeführt wird, sondern lediglich, dass sie „im Rahmen der Tätigkeiten“ der Niederlassung ausgeführt wird (Urteil vom , Google Spain und Google, C-131/12, EU:C:2014:317, Rn. 52).
58Im vorliegenden Fall geht aus der Vorlageentscheidung und den von Facebook Ireland eingereichten schriftlichen Erklärungen hervor, dass Facebook Germany für die Förderung des Verkaufs von Werbeflächen verantwortlich ist und Tätigkeiten ausübt, die für in Deutschland wohnhafte Personen bestimmt sind.
59Wie in den Rn. 33 und 34 des vorliegenden Urteils ausgeführt, hat die im Ausgangsverfahren in Rede stehende Verarbeitung personenbezogener Daten, die durch die Facebook Inc. gemeinsam mit Facebook Ireland ausgeführt wird und in der Erhebung solcher Daten mittels Cookies besteht, die auf den Computern oder jedem anderen Gerät der Besucher auf Facebook unterhaltener Fanpages gesetzt werden, u. a. zum Ziel, es diesem sozialen Netzwerk zu ermöglichen, sein Werbesystem zu verbessern, um die von ihm verbreiteten Mitteilungen zielgerichteter zu gestalten.
60Wie der Generalanwalt in Nr. 94 seiner Schlussanträge ausgeführt hat, ist aber aufgrund dessen, dass zum einen ein soziales Netzwerk wie Facebook einen wesentlichen Teil seiner Einnahmen aus der Werbung erwirtschaftet, die auf den eingerichteten Webseiten eingeblendet und von den Nutzern aufgerufen wird, und zum anderen die in Deutschland ansässige Facebook-Niederlassung die Aufgabe hat, in diesem Mitgliedstaat für die Förderung des Verkaufs der Werbeflächen zu sorgen, mit denen die von Facebook angebotenen Dienstleistungen rentabel gemacht werden sollen, anzunehmen, dass die Tätigkeiten dieser Niederlassung als mit der im Ausgangsverfahren in Rede stehenden Verarbeitung personenbezogener Daten, für die die Facebook Inc. gemeinsam mit Facebook Ireland verantwortlich ist, untrennbar verbunden anzusehen sind. Diese Verarbeitung ist somit als im Rahmen der Tätigkeiten einer Niederlassung des für die Verarbeitung Verantwortlichen ausgeführt im Sinne von Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 anzusehen (vgl. in diesem Sinne Urteil vom Google Spain und Google, C-131/12, EU:C:2014:317, Rn. 55 und 56).
61Da nach Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 auf die im Ausgangsverfahren in Rede stehende Verarbeitung personenbezogener Daten deutsches Recht anwendbar ist, folgt daraus, dass die deutsche Kontrollstelle gemäß Art. 28 Abs. 1 dieser Richtlinie zuständig war, dieses Recht auf diese Verarbeitung anzuwenden.
62Folglich war diese Kontrollstelle zuständig, zur Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten im deutschen Hoheitsgebiet von sämtlichen Befugnissen, über die sie nach den deutschen Bestimmungen zur Umsetzung von Art. 28 Abs. 3 der Richtlinie 95/46 verfügt, gegenüber Facebook Germany Gebrauch zu machen.
63Klarzustellen ist noch, dass der vom vorlegenden Gericht in seiner dritten Frage hervorgehobene Umstand, dass die strategischen Entscheidungen hinsichtlich der Erhebung und Verarbeitung personenbezogener Daten bezüglich Personen, die im Unionsgebiet wohnhaft sind, von einer in einem Drittland ansässigen Muttergesellschaft – im vorliegenden Fall der Facebook Inc. – getroffen werden, nicht geeignet ist, die Zuständigkeit der dem Recht eines Mitgliedstaats unterliegenden Kontrollstelle gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung des für die Verarbeitung dieser Daten Verantwortlichen in Frage zu stellen.
64Nach alledem ist auf die dritte und die vierte Vorlagefrage zu antworten, dass die Art. 4 und 28 der Richtlinie 95/46 dahin auszulegen sind dass dann, wenn ein außerhalb der Union ansässiges Unternehmen mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, die Kontrollstelle eines Mitgliedstaats zur Ausübung der ihr durch Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung dieses Unternehmens auch dann befugt ist, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet dieses Mitgliedstaats zuständig ist und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliegt.
Zur fünften und zur sechsten Frage
65Mit der fünften und der sechsten Frage, die zusammen zu prüfen sind, möchte das vorlegende Gericht wissen, ob Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 und 6 der Richtlinie 95/46 dahin auszulegen sind, dass die Kontrollstelle eines Mitgliedstaats, wenn sie beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen Mitgliedstaat hat, die Einwirkungsbefugnisse nach Art. 28 Abs. 3 dieser Richtlinie auszuüben, zuständig ist, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.
66Zur Beantwortung dieser Fragen ist darauf hinzuweisen, dass, wie aus der Antwort auf die erste und die zweite Vorlagefrage hervorgeht, Art. 2 Buchst. d der Richtlinie 95/46 dahin auszulegen ist, dass er es unter Umständen wie denen des Ausgangsverfahrens ermöglicht, im Fall eines Verstoßes gegen die Vorschriften über den Schutz personenbezogener Daten die Verantwortlichkeit einer Stelle wie die Wirtschaftsakademie in ihrer Eigenschaft als Betreiber einer bei Facebook unterhaltenen Fanpage festzustellen.
67Daraus folgt, dass die Kontrollstelle des Mitgliedstaats, in dessen Hoheitsgebiet die verantwortliche Stelle ihren Sitz hat, nach Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 1 und 3 der Richtlinie 95/46 zuständig ist, ihr nationales Recht anzuwenden und somit gegenüber dieser Stelle von sämtlichen, ihr durch dieses nationale Recht übertragenen Befugnissen gemäß Art. 28 Abs. 3 dieser Richtlinie Gebrauch zu machen.
68Wie Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46 vorsieht, nehmen die Kontrollstellen, die mit der Überwachung der Anwendung der von dem Mitgliedstaat, dem sie unterstehen, zur Umsetzung dieser Richtlinie erlassenen Vorschriften beauftragt sind, im Hoheitsgebiet dieses Mitgliedstaats die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahr. Dieses Erfordernis ergibt sich auch aus dem Primärrecht der Union, namentlich aus Art. 8 Abs. 3 der Charta der Grundrechte der Europäischen Union und aus Art. 16 Abs. 2 AEUV (vgl. in diesem Sinne Urteil vom , Schrems, C-362/14, EU:C:2015:650, Rn. 40).
69Außerdem sorgen die Kontrollstellen zwar nach Art. 28 Abs. 6 Unterabs. 2 der Richtlinie 95/46 für die zur Erfüllung ihrer Kontrollaufgaben notwendige gegenseitige Zusammenarbeit, insbesondere durch den Austausch sachdienlicher Informationen, jedoch sieht diese Richtlinie weder irgendein Prioritätskriterium vor, das das Eingreifen der Kontrollstellen im Verhältnis untereinander regeln würde, noch schreibt sie vor, dass die Kontrollstelle eines Mitgliedstaats verpflichtet wäre, dem gegebenenfalls von der Kontrollstelle eines anderen Mitgliedstaats geäußerten Standpunkt zu folgen.
70Somit ist eine Kontrollstelle, deren Zuständigkeit nach nationalem Recht anerkannt ist, in keiner Weise verpflichtet, sich das Ergebnis, zu dem eine andere Kontrollstelle in einer entsprechenden Situation gelangt ist, zu eigen zu machen.
71Insoweit ist darauf hinzuweisen, dass aufgrund dessen, dass die nationalen Kontrollstellen gemäß Art. 8 Abs. 3 der Charta der Grundrechte der Europäischen Union und Art. 28 der Richtlinie 95/46 die Einhaltung der Unionsvorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zu überwachen haben, jede von ihnen zu der Prüfung befugt ist, ob bei einer Verarbeitung personenbezogener Daten im Hoheitsgebiet ihres Mitgliedstaats die in der Richtlinie 95/46 aufgestellten Anforderungen eingehalten werden (vgl. in diesem Sinne Urteil vom , Schrems, C-362/14, EU:C:2015:650, Rn. 47).
72Da Art. 28 der Richtlinie 95/46 seinem Wesen nach bei jeder Verarbeitung personenbezogener Daten zur Anwendung kommt, auch wenn eine Kontrollstelle eines anderen Mitgliedstaats eine Entscheidung getroffen hat, muss eine Kontrollstelle, wenn sich eine Person mit einer Eingabe zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung ihrer personenbezogenen Daten an sie wendet, in völliger Unabhängigkeit prüfen, ob bei der Verarbeitung dieser Daten die in der Richtlinie aufgestellten Anforderungen gewahrt werden (vgl. in diesem Sinne Urteil vom , Schrems, C-362/14, EU:C:2015:650, Rn. 57).
73Daraus folgt, dass im vorliegenden Fall das ULD nach dem mit der Richtlinie 95/46 geschaffenen System befugt war, die Rechtmäßigkeit der im Ausgangsverfahren in Rede stehenden Datenverarbeitung unabhängig von den von der irischen Kontrollstelle vorgenommenen Bewertungen zu beurteilen.
74Daher ist auf die fünfte und die sechste Frage zu antworten, dass Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 und 6 der Richtlinie 95/46 dahin auszulegen sind, dass die Kontrollstelle eines Mitgliedstaats, wenn sie beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen Mitgliedstaat hat, die Einwirkungsbefugnisse nach Art. 28 Abs. 3 dieser Richtlinie auszuüben, zuständig ist, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.
Kosten
75Für die Parteien des Ausgangsverfahrens ist das Verfahren ein Zwischenstreit in dem beim vorlegenden Gericht anhängigen Rechtsstreit; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.
Aus diesen Gründen hat der Gerichtshof (Große Kammer) für Recht erkannt:
1. Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass der Begriff des „für die Verarbeitung Verantwortlichen“ im Sinne dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst.
2. Die Art. 4 und 28 der Richtlinie 95/46 sind dahin auszulegen, dass dann, wenn ein außerhalb der Europäischen Union ansässiges Unternehmen mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, die Kontrollstelle eines Mitgliedstaats zur Ausübung der ihr durch Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung dieses Unternehmens auch dann befugt ist, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet dieses Mitgliedstaats zuständig ist und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Europäischen Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliegt.
3. Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 und 6 der Richtlinie 95/46 sind dahin auszulegen, dass die Kontrollstelle eines Mitgliedstaats, wenn sie beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen Mitgliedstaat hat, die Einwirkungsbefugnisse nach Art. 28 Abs. 3 dieser Richtlinie auszuüben, zuständig ist, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.
Diese Entscheidung steht in Bezug zu
Fundstelle(n):
NAAAJ-56947