CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document :

Begäran om förhandsavgörande framställd av Bundesverwaltungsgericht (Tyskland) den 14 april 2016 – Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein mot Wirtschaftsakademie Schleswig-Holstein GmbH

(Mål C-210/16)

Rättegångsspråk: tyska

Hänskjutande domstol

Bundesverwaltungsgericht

Parter i målet vid den nationella domstolen

Klagande: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Motpart: Wirtschaftsakademie Schleswig-Holstein GmbH

Intervenient: Facebook Ireland Limited

Ytterligare deltagare i rättegången: Der Vertreter des Bundesinteresses beim Bundesverwaltungsgericht

Tolkningsfrågor

1. Ska artikel 2 d i direktiv 95/46/EG(¹ ) tolkas så, att bestämmelsen uttömmande reglerar ansvar och skyldighet för överträdelser av skyddet för personuppgifter, eller kvarstår inom ramen för ”lämpliga bestämmelser” enligt artikel 24 i direktiv 95/46/EG och ”effektiva befogenheter” enligt artikel 28.3 andra tankstrecket i direktiv 95/46/EG i informationsleverantörsförhållanden i flera nivåer utrymme för ansvar för ett organ som inte i den mening som avses i artikel 2 d i direktiv 95/46/EG är ansvarigt för behandlingen av uppgifter, vid detta organs val av leverantör för sitt informationsutbud?

2. Följer av medlemsstaternas skyldighet enligt artikel 17.2 i direktiv 95/46/EG att föreskriva att den registeransvarige när behandling av uppgifter utförs för dennes räkning ska välja en ”en registerförare som kan ge tillräckliga garantier vad gäller de tekniska säkerhetsåtgärder och de organisatoriska åtgärder som måste vidtas”, motsatsvis att det vid andra användningsförhållanden som inte står i samband med behandling av personuppgifter för den registeransvariges räkning i den mening som avses i artikel 2 e i direktiv 95/46/EG, inte föreligger någon skyldighet att omsorgsfullt välja leverantör och att ett sådant krav inte heller kan uppställas i nationell lagstiftning?

3. Innebär artiklarna 4 och 28.6 i direktiv 95/46/EG att i de fall då en koncern med säte utanför Europeiska unionen är etablerad i flera medlemsstater genom juridiskt självständiga organ (dotterbolag), har tillsynsmyndigheten i en medlemsstat (här Tyskland) rätt att utöva befogenheterna som den tilldelas enligt artikel 28.3 i direktiv 95/46/EG mot etableringsstället i det egna territoriet, om detta etableringsställe endast ansvarar för försäljning av reklam och andra marknadsföringsåtgärder som är riktade till invånarna i denna medlemsstat, medan ett självständigt etableringsställe (dotterbolag) i en annan medlemsstat (här Irland) enligt den koncerninterna uppgiftsfördelningen ensamt har ansvaret för insamling och behandling av personuppgifter inom hela Europeiska unionens territorium och därmed även i den andra medlemsstaten (här Tyskland), när det faktiska beslutet om behandlingen av uppgifter fattas av moderkoncernen?

4. Ska artiklarna 4.1 a och 28.3 i direktiv 95/46/EG tolkas så, att i fall då en registeransvarig är etablerad inom en medlemsstats territorium (här Irland) och även är etablerad inom en annan medlemsstats territorium (här Tyskland) genom ett juridiskt självständigt organ, som bl.a. ansvarar för försäljning av reklamplatser och vars verksamhet är riktad till invånarna i denna medlemsstat, så kan den ansvariga tillsynsmyndigheten i denna andra medlemsstat (här Tyskland) rikta åtgärder och förelägganden för genomförande av personuppgiftsskydd även mot det andra etableringsstället som enligt den koncerninterna uppgifts- och ansvarsfördelningen inte är ansvarigt för behandling av uppgifter (här i Tyskland), eller kan endast tillsynsmyndigheten i den medlemsstat (här Irland) inom vars territorium det koncerninternt ansvariga organet är etablerat vidta åtgärder och utfärda förelägganden?

5. Ska artikel 4.1 a, artikel 28.3 och 28.6 i direktiv 95/46/EG tolkas så, att i fall då tillsynsmyndigheten i en medlemsstat (här Tyskland) vidtar åtgärder mot en person eller ett organ som är verksamt i medlemsstatens territorium enligt artikel 28.3 i direktiv 95/46/EG på grund av att tredje man som den registeransvarige har valt och som är delaktig i behandlingen av uppgifter (här Facebook), eftersom denne tredje man underlåter att följa lagstiftningen om personuppgiftsskydd, så är den tillsynsmyndighet som vidtar åtgärder (här Tyskland) bunden av den bedömning av uppgiftsskyddet som gjorts av tillsynsmyndigheten i den andra medlemsstaten där tredje man som ansvarar för behandlingen av uppgifterna är etablerad (här Irland) i det avseendet att den inte kan göra en avvikande rättslig bedömning, eller får den tillsynsmyndighet som vidtar åtgärder (här Tyskland) självständigt göra en preliminär bedömning av lagenligheten hos behandlingen av uppgifter genom tredje man som är etablerad i en annan medlemsstat (här Irland) innan den vidtar åtgärder?

6. Såvitt den tillsynsmyndighet som vidtar åtgärder (här Tyskland) kan genomföra en självständig prövning: Ska artikel 28.6 andra meningen i direktiv 95/46/EG tolkas så, att denna tillsynsmyndighet får utöva de befogenheter att intervenera som myndigheten tilldelas enligt artikel 28.3 i direktiv 95/46/EG mot en person eller ett organ som är etablerat inom dess territorium på grund av medansvar för överträdelser av personuppgiftslagstiftning begångna av en tredjeman som är etablerad i en annan medlemsstat endast om den tillsynsmyndighet som vidtar åtgärder har ansökt hos tillsynsmyndigheten i den andra medlemsstaten (här Irland) om tillstånd att utöva sin befogenhet?

____________

(¹ ) Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, EGT L 281, s. 31.