Language of document : ECLI:EU:C:2018:388

Ideiglenes változat

A BÍRÓSÁG ÍTÉLETE (nagytanács)

2018. június 5.(*)

„Előzetes döntéshozatal – 95/46/EK irányelv – Személyes adatok – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – Egy olyan Facebook oldal (rajongói oldal) felfüggesztésére irányuló határozat, amely lehetővé teszi ezen oldal látogatói bizonyos adatainak gyűjtését és kezelését – A 2. cikk d) pontja – Személyes adatok kezelője – 4. cikk – Alkalmazandó nemzeti jog – 28. cikk – Nemzeti felügyelő hatóságok – E hatóságok beavatkozási jogköre”

A C‑210/16. sz. ügyben,

az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet a Bundesverwaltungsgericht (szövetségi közigazgatási bíróság, Németország) a Bírósághoz 2016. április 14‑én érkezett, 2016. február 25‑i határozatával terjesztett elő

az Unabhängiges Landeszentrum für Datenschutz SchleswigHolstein

és

a Wirtschaftsakademie SchleswigHolstein

között,

a Facebook Ireland Ltd,

a Vertreter des Bundesinteresses beim Bundesverwaltungsgericht

részvételével folyamatban lévő eljárásban,

A BÍRÓSÁG (nagytanács),

tagjai: K. Lenaerts elnök, A. Tizzano elnökhelyettes (előadó), M. Ilešič, L. Bay Larsen, T. von Danwitz, A. Rosas, J. Malenovský és E. Levits tanácselnökök, Juhász E., A. Borg Barthet, F. Biltgen, K. Jürimäe, C. Lycourgos, M. Vilaras és E. Regan bírák,

főtanácsnok: Y. Bot,

hivatalvezető: C. Strömholm tanácsos,

tekintettel az írásbeli szakaszra és a 2017. június 27‑i tárgyalásra,

figyelembe véve a következők által előterjesztett észrevételeket:

–        az Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein képviseletében U. Karpenstein és M. Kottmann Rechtsanwälte,

–        a Wirtschaftsakademie Schleswig‑Holstein GmbH képviseletében C. Wolff Rechtsanwalt,

–        a Facebook Ireland Ltd képviseletében C. Eggers, H.‑G. Kamann és M. Braun Rechtsanwälte, I. Perego avvocato,

–        a német kormány képviseletében J. Möller, meghatalmazotti minőségben,

–        a belga kormány képviseletében L. Van den Broeck, C. Pochet, P. Cottin és J.‑C. Halleux, meghatalmazotti minőségben,

–        a cseh kormány képviseletében M. Smolek, J. Vláčil és L. Březinová, meghatalmazotti minőségben,

–        Írország képviseletében M. Browne, L. Williams, E. Creedon, G. Gilmore és A. Joyce, meghatalmazotti minőségben,

–        az olasz kormány képviseletében G. Palmieri, meghatalmazotti minőségben, segítője: P. Gentili avvocato dello Stato,

–        a holland kormány képviseletében C. S. Schillemans és M. K. Bulterman, meghatalmazotti minőségben,

–        a finn kormány képviseletében J. Heliskoski, meghatalmazotti minőségben,

–        az Európai Bizottság képviseletében H. Krämer és D. Nardi, meghatalmazotti minőségben,

a főtanácsnok indítványának a 2017. október 24‑i tárgyaláson történt meghallgatását követően,

meghozta a következő

Ítéletet

1        Az előzetes döntéshozatal iránti kérelem a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv (HL 1995. L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.) értelmezésére vonatkozik.

2        E kérelmet az Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein (Schleswig‑Holstein‑i független regionális adatvédelmi hatóság, Németország; a továbbiakban: ULD) és egy oktatással foglalkozó magánjogi vállalkozás, a Wirtschaftsakademie Schleswig‑Holstein GmbH (a továbbiakban: Wirtschaftsakademie) között az ULD által hozott azon határozat jogszerűsége tárgyában folyamatban lévő jogvita keretében terjesztették elő, amely a Wirtschaftsakademiét a Facebook közösségi hálózat (a továbbiakban: Facebook) honlapján fenntartott rajongói oldalának felfüggesztésére kötelezte.

 Jogi háttér

 Az uniós jog

3        A 95/46 irányelv (10), (18), (19) és (26) preambulumbekezdése a következőképpen szól:

„(10)      mivel a személyes adatok feldolgozására [helyesen: kezelésére] vonatkozó nemzeti jogszabályok célja az alapvető jogok és szabadságok, különösen a magánélet tiszteletben tartásához való jog védelme, amelyet mind az emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény 8. cikke, mind a[z uniós] jog általános alapelvei elismernek; mivel ezért az említett jogszabályok közelítése nem vezethet az általuk nyújtott védelem szintjének csökkenéséhez, sőt, magas védelmi szintet kell biztosítson a[z Unión] belül;

[…]

(18)      mivel annak biztosítása érdekében, hogy az egyéneket ne lehessen megfosztani attól a védelemtől, amelyre az irányelv értelmében jogosultak, a[z Unió] területén végzett minden személyesadat‑feldolgozási [helyesen: személyesadat‑kezelési] tevékenységet a tagállamok valamelyikének jogszabályai szerint kell végrehajtani; mivel ezzel összefüggésben, a valamely tagállamban letelepedett adatkezelő felelőssége mellett végzett adatfeldolgozásra [helyesen: adatkezelésre] ennek a tagállamnak a jogszabályai vonatkoznak;

(19)      mivel a valamely tagállamban való letelepedés magában foglalja a tevékenység tényleges gyakorlását tartós jelleggel; e letelepedés [helyesen: telephely] – legyen akár egyszerűen fióktelep, akár jogi személyiséggel rendelkező leányvállalat – jogi formája e tekintetben nem meghatározó tényező; mivel ha egy adatkezelő több tagállamban is letelepedett, főként leányvállalatok révén, a nemzeti szabályozás megkerülésének kizárása érdekében gondoskodnia kell arról, hogy minden egyes szervezete megfeleljen a tevékenységére alkalmazandó nemzeti jogszabályok által meghatározott kötelezettségeknek;

[…]

(26)      mivel a védelem elveit minden azonosított vagy azonosítható személyre vonatkozó információ esetében alkalmazni kell; mivel annak meghatározására, hogy egy személy azonosítható‑e, minden olyan módszert figyelembe kell venni, amit az adatkezelő, vagy más személy valószínűleg felhasználna az említett személy azonosítására; mivel a védelem elvei nem alkalmazhatók az olyan módon anonimmá tett adatokra, ahol az érintett a továbbiakban nem azonosítható; […]”

4        A 95/46 irányelvnek „Az irányelv célja” című 1. cikke a következőt írja elő:

„(1)      A tagállamok ezen irányelvnek megfelelően védik a természetes személyek alapvető jogait és szabadságait, különösen a magánélet tiszteletben tartásához való jogukat a személyes adatok feldolgozása [helyesen: kezelése] tekintetében.

(2)      A tagállamok nem korlátozhatják és nem tilthatják a személyes adatok tagállamok közötti szabad áramlását az (1) bekezdés értelmében biztosított védelemmel kapcsolatos indokok miatt.”

5        Ezen irányelv „Fogalommeghatározások” című 2. cikkének a szövege a következő:

„Ezen irányelv alkalmazásában:

[…]

b)      »személyes adatok feldolgozása« (»feldolgozás«) [helyesen: »személyes adatok kezelése« (»kezelés«)] a személyes adatokon automatikus vagy nem automatikus módon végzett bármely művelet vagy műveletek összessége, azaz gyűjtés, rögzítés, rendszerezés, tárolás, átalakítás vagy megváltoztatás, visszakeresés, betekintés [helyesen: lekérdezés], felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel révén, összehangolás vagy összekapcsolás, zárolás, törlés, illetve megsemmisítés;

[…]

d)      »adatkezelő« az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely önállóan vagy másokkal együtt meghatározza a személyes adatok feldolgozásának [helyesen: kezelésének] céljait és módját; ha a célokat és módokat egy adott nemzeti vagy [uniós] jogszabály határozza meg, az adatkezelőt vagy a kinevezésére vonatkozó külön szempontokat ez a nemzeti vagy [uniós] jogszabály jelöli ki;

e)      »feldolgozó« az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely személyes adatokat dolgoz fel az adatkezelő nevében;

f)      »harmadik személy« az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely nem azonos az érintettel, az adatkezelővel, a feldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy a feldolgozó közvetlen felügyelete alatt felhatalmazást kaptak az adatok feldolgozására [helyesen: kezelésére];

[…]”

6        Az említett irányelvnek „Az alkalmazandó nemzeti jog” című 4. cikke a következőképpen rendelkezik az (1) bekezdésében:

„A személyes adatok feldolgozására [helyesen: kezelésére] minden tagállam az ezen irányelvnek megfelelően elfogadott nemzeti rendelkezéseket alkalmazza, amennyiben:

a)      az adatfeldolgozást [helyesen: adatkezelést] a tagállam területén az adatkezelő egy szervezete tevékenységeinek keretében végzik; amennyiben ugyanaz az adatkezelő több tagállam területén is letelepedett, meg kell tennie a szükséges intézkedéseket annak biztosítása érdekében, hogy szervezeteinek mindegyike megfeleljen az alkalmazandó nemzeti jog által megállapított kötelezettségeknek;

b)      az adatkezelő nem valamely tagállam területén telepedett le, hanem olyan helyen, amelynek nemzeti joga – a nemzetközi közjog értelmében – alkalmazandó;

c)      az adatkezelő nem telepedett le a[z Unió] területén, és a személyes adatok feldolgozása [helyesen: kezelése] céljából gépi vagy más olyan eszközt alkalmaz, amely a fenti tagállam területén található, kivéve ha ezt az eszközt kizárólag a[z Unió] területén átmenő adatforgalom céljára használják.”

7        A 95/46 irányelv „Az adatfeldolgozás [helyesen: adatkezelés] biztonsága” című 17. cikkének (1) és (2) bekezdése az alábbiak szerint rendelkezik:

„(1)      A tagállamoknak rendelkezniük kell arról, hogy az adatkezelő végrehajtsa a megfelelő technikai és szervezési intézkedéseket a személyes adatok véletlen vagy jogellenes megsemmisülése, véletlen elvesztése, megváltoztatása, jogosulatlan nyilvánosságra hozatala vagy hozzáférése [helyesen: a jogosulatlan hozzáférés] elleni védelme érdekében, különösen, ha a feldolgozás [helyesen: kezelés] közben az adatokat hálózaton keresztül továbbítják, továbbá a feldolgozás [helyesen: kezelés] minden más jogellenes formája ellen.

Tekintettel a technika vívmányaira és alkalmazásuk költségeire, ezen intézkedéseknek olyan szintű biztonságot kell nyújtaniuk, amely megfelel az adatfeldolgozás [helyesen: adatkezelés] által jelentett kockázatoknak és a védendő adatok jellegének.

(2)      A tagállamoknak rendelkezniük kell arról, hogy az adatkezelő – amennyiben az adatfeldolgozás az ő nevében történik – köteles olyan adatfeldolgozót választani, aki a technikai biztonsági intézkedések és az elvégzendő adatfeldolgozásra vonatkozó szervezési intézkedések [helyesen: aki az adatkezelésre vonatkozó technikai biztonsági intézkedések és szervezési intézkedések] tekintetében megfelelő garanciákat nyújt, továbbá köteles biztosítani az említett intézkedések teljesítését.”

8        Ezen irányelv „Szankciók” című 24. cikke szerint:

„A tagállamok elfogadják a megfelelő intézkedéseket ezen irányelv rendelkezéseinek maradéktalan végrehajtása érdekében és különösen megállapítják az irányelv értelmében elfogadott rendelkezések megsértése esetén kiszabható szankciókat.”

9        Az említett irányelvnek „A felügyelő hatóság” című 28. cikkének a szövege a következő:

„(1)      Minden tagállamnak rendelkeznie kell arról, hogy az ezen irányelv értelmében a tagállam által elfogadott nemzeti rendelkezéseknek a területén történő alkalmazását valamely hatóság vagy hatóságok felügyeljék.

Ezek a hatóságok a rájuk ruházott feladatok ellátása során teljes függetlenséggel járnak el.

(2)      Minden tagállamnak rendelkeznie kell arról, hogy a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének jogainak és szabadságainak védelmére vonatkozó közigazgatási intézkedések vagy rendeletek kidolgozásakor a felügyelő hatóságokkal konzultáljanak.

(3)      Minden hatóság különösen a következőkkel rendelkezik:

–        vizsgálati jogkör, mint például az adatfeldolgozási [helyesen: adatkezelési] műveletek tárgyát képező adatokhoz való hozzáférésre vonatkozó jogosultság, továbbá a felügyeleti feladatok ellátásához szükséges valamennyi információ összegyűjtésére vonatkozó jogosultság,

–        tényleges beavatkozási jogosultságok, mint például a 20. cikknek megfelelően végzett adatfeldolgozási [helyesen: adatkezelési] műveletek megkezdése előtti véleményezés joga, e vélemények megfelelő közzétételének biztosítása, az adatok zárolásának, törlésének vagy megsemmisítésének elrendelése, az adatfeldolgozás [helyesen: adatkezelés] átmeneti vagy végleges tilalmának megállapítása, az adatkezelő figyelmeztetése vagy megrovása, illetve az ügy nemzeti parlament vagy más politikai intézmény elé terjesztése,

–        bírósági eljárásban való részvétel joga az irányelv értelmében elfogadott nemzeti rendelkezések megsértése esetén, továbbá e jogsértések igazságszolgáltatási hatóságok elé terjesztésének joga.

A felügyelő hatóság kifogásolható [helyesen: sérelmet okozó] határozatai bíróság előtt megtámadhatók.

[…]

(6)      A felügyelő hatóságok, függetlenül a szóban forgó adatfeldolgozásra [helyesen: adatkezelésre] alkalmazandó nemzeti jogtól, saját tagállamuk területén hatáskörrel rendelkeznek a (3) bekezdés értelmében rájuk ruházott jogosultságok gyakorlására. Valamely tagállam hatósága felkérheti egy másik állam [helyesen: tagállam] hatóságát hatáskörének gyakorlására.

A felügyelő hatóságok a feladataik teljesítéséhez szükséges mértékben együttműködnek egymással, különösen a hasznos információk cseréje révén.

[…]”

 A német jog

10      A Bundesdatenschutzgesetz (az adatvédelemről szóló szövetségi törvény, a továbbiakban: BDSG) 3. §‑a (7) bekezdésének az alapügy tényállása idején hatályos szövege a következőképpen szólt:

„Adatkezelő minden olyan személy vagy szerv, amely személyes adatokat saját maga gyűjt, kezel vagy használ fel, vagy ezt megbízás alapján mással végezteti.”

11      A BDSG‑nek „A személyes adatok megbízás alapján mással történő gyűjtése, kezelése vagy felhasználása” című 11. §‑a a következőképpen szól:

„(1)      Amennyiben a személyes adatokat megbízás alapján más szerv gyűjti, kezeli vagy használja fel, a megbízó adatkezelő felelős a jelen törvény és a személyes adatok védelmére vonatkozó egyéb rendelkezések tiszteletben tartásáért. […]

(2)      Az adatfeldolgozót gondosan kell kiválasztani, különösen figyelembe véve az általa hozott technikai és szervezeti intézkedések megfelelőségét. A megbízást írásba kell foglalni, és különösen az alábbiakat kell részletesen meghatározni: […]

A megbízó adatkezelőnek az adatkezelés megkezdése előtt, majd ezt követően rendszeresen meg kell bizonyosodnia az adatfeldolgozó által hozott technikai és szervezeti intézkedések tiszteletben tartásáról. Ennek eredményét rögzíteni kell.

[…]”

12      A BDSG 38. §‑ának (5) bekezdése a következőképp rendelkezik:

„A jelen törvény, valamint az adatvédelemre vonatkozó további rendelkezések tiszteletben tartásának biztosítása érdekében a felügyelő hatóság a személyes adatok gyűjtése, kezelése vagy felhasználása során megállapított jogsértés, illetve technikai vagy szervezeti mulasztás orvoslása céljából intézkedéseket hozhat. Súlyos jogsértések vagy mulasztások esetén, különösen, ha fennáll a magánélethez való jog megsértésének fokozott veszélye, megtilthatja az adatok gyűjtését, kezelését vagy felhasználását bizonyos eljárások megindítása útján, amennyiben a jogsértés vagy mulasztás orvoslására megfelelő időn belül, az első szakaszban kiszabott intézkedés sérelmével és kényszerítő bírság kiszabása ellenére sem került sor. Kérheti az adatvédelmi megbízott visszahívását, ha az nem rendelkezik a feladatainak ellátásához szükséges megbízhatósággal és szakmai tapasztalattal.”

13      A 2007. február 26‑i Telemediengesetz (az elektronikus médiáról szóló törvény, BGB1. 2017 I, 179. o.; a továbbiakban: TMG) 12. §‑a a következőképpen szól:

„(1)      A szolgáltató csak akkor gyűjthet és használhat fel személyes adatokat elektronikus média rendelkezésre bocsátása céljából, ha ezt e törvény vagy kifejezetten az elektronikus médiára vonatkozó más jogszabály lehetővé teszi, vagy a felhasználó ebbe beleegyezett.

[…]

(3)      Eltérő rendelkezés hiányában a személyes adatok védelmére vonatkozó hatályos rendelkezéseket kell alkalmazni akkor is, ha az adatkezelésre nem automatizált módon kerül sor.”

 Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések

14      A Wirtschaftsakademie képzési szolgáltatásokat ajánl a Facebookon fenntartott rajongói oldala útján.

15      A rajongói oldalak olyan felhasználói fiókok, amelyeket magánszemélyek vagy vállalkozások hozhatnak létre. Ennek érdekében a rajongói oldal létrehozója, miután regisztrálta magát a Facebookon, a Facebook által kifejlesztett felületet felhasználhatja arra, hogy bemutassa magát e közösségi oldal felhasználóinak és a rajongói oldal látogatóinak, valamint bármilyen tartalmat megosszon a média‑ és véleménypiacon. A rajongói oldalak adminisztrátorai a Facebook által ingyenesen és nem módosítható felhasználási feltételek mellett a rendelkezésükre bocsátott Facebook Insights elnevezésű eszköz segítségével hozzájuthatnak ezen oldalak anonim látogatottsági statisztikáihoz. Ezen adatokat olyan, két évig működőképes és a Facebook által a rajongói oldal látogatói számítógépének merevlemezére vagy más eszközére mentett információcsomagok (a továbbiakban: cookiek vagy sütik) segítségével gyűjtik, amelyek mindegyike egyedi felhasználói azonosítót tartalmaz. A felhasználói azonosítót, amely összefüggésbe hozható a Facebookon regisztrált felhasználó bejelentkezési adataival, a rajongói oldalak megnyitásának pillanatában gyűjtik be és kezelik. E tekintetben az előzetes döntéshozatalra utaló határozatból kitűnik, hogy – legalábbis az alapeljárás tekintetében releváns időszak alatt – a Wirtschaftsakademie és a Facebook Ireland Ltd sem adott tájékoztatást a mentési műveletről és e cookie működéséről, vagy az adatok ezt követő kezeléséről.

16      Az ULD a 95/46 irányelv 28. cikke szerinti felügyelő hatóságkénti minőségében – amelynek feladata a Németországi Szövetségi Köztársaság által ezen irányelv értelmében elfogadott rendelkezések Schleswig‑Holstein szövetségi tartomány (Németország) területén történő alkalmazásának felügyelete – 2011. november 3‑i határozatával (a továbbiakban: megtámadott határozat) a BDSG 38. §‑a (5) bekezdésének első mondata alapján kötelezte a Wirtschaftsakademie‑t arra, hogy bírság terhe mellett az előírt határidőn belül függessze fel a Facebookon a www.facebook.com/wirtschaftsakademie címen általa létrehozott rajongói oldalt, azzal az indokkal, hogy a Wirtschaftsakademie és a Facebook sem tájékoztatta a rajongói oldal látogatóit arról, hogy utóbbi cookiek segítségével gyűjtött rájuk vonatkozó személyes adatokat, és hogy ezt követően kezelték ezen információkat. A Wirtschaftsakademie panaszt nyújtott be e határozat ellen, lényegében arra hivatkozva, hogy az alkalmazandó adatvédelmi jogra tekintettel a Facebook által végzett adatkezelésért és az általa elhelyezett cookiekért sem felel.

17      2011. december 16‑i határozatával az ULD elutasította ezt a panaszt, és megállapította, hogy a BDSG 3. §‑ának (7) bekezdésével összefüggésben értelmezett TMH 3. §‑a (3) bekezdésének 4. pontja és 12. §‑ának (1) bekezdése alapján fennáll a Wirtschaftsakademie mint szolgáltató felelőssége. Az ULD kifejtette, hogy a Wirtschaftsakademie rajongói oldalának létrehozatalával tevékenyen és szándékosan hozzájárult az e rajongói oldal látogatóira vonatkozó személyes adatok Facebook általi gyűjtéséhez, amely adatokból a Facebook által a rendelkezésére bocsátott statisztikák révén előnye származott.

18      A Wirtschaftsakademie keresetet nyújtott be e határozattal szemben a Verwaltungsgerichthez (közigazgatási bíróság, Németország) arra hivatkozva, hogy a személyes adatok Facebook általi kezelése nem tudható be neki, és általa ellenőrzött vagy befolyásolható adatkezeléssel sem bízta meg a Facebookot a BDSG 11. §‑a értelmében. A Wirtschaftsakademie ebből azt a következtetést vonta le, hogy az ULD‑nek közvetlenül a Facebookkal szemben kellett volna fellépnie, és nem vele szemben kellett volna elfogadnia a megtámadott határozatot.

19      A Verwaltungsgericht (közigazgatási bíróság) 2013. október 9‑i ítéletével lényegében azzal az indokkal megsemmisítette a megtámadott határozatot, hogy – mivel a Facebookon fenntartott rajongói oldal adminisztrátora nem minősül a BDSG 3. §‑ának (7) bekezdése értelmében vett adatkezelőnek – a Wirtschaftsakademie nem lehet a BDSG 38. §‑ának (5) bekezdése alapján hozott intézkedés címzettje.

20      Az Oberverwaltungsgericht (legfelsőbb közigazgatási bíróság, Németország) megalapozatlanként elutasította az ULD által ezen ítélettel szemben benyújtott fellebbezést. E bíróság lényegében megállapította, hogy a megtámadott határozat jogellenesen tiltotta meg az adatkezelést, mivel a BDSG 38. §‑a (5) bekezdésének második mondata lépcsőzetes eljárásmódot ír elő, amelynek első lépcsője kizárólag az adatkezelés során megállapított jogsértések orvoslását szolgáló intézkedések elfogadására biztosít lehetőséget. Az adatkezelés azonnali megtiltására csak abban az esetben nyílik mód, ha az adatkezelési eljárás egésze jogellenesnek minősül, amit csupán ezen eljárás felfüggesztésével lehet orvosolni. Márpedig az Oberverwaltungsgericht (legfelsőbb közigazgatási bíróság) szerint a jelen esetben nem ez volt a helyzet, mivel az ULD által kifogásolt jogsértéseket a Facebook meg tudta volna szüntetni.

21      Az Oberverwaltungsgericht (legfelsőbb közigazgatási bíróság) hozzáteszi, hogy a megtámadott határozat azon indoknál fogva is jogellenes, hogy a BDSG 38. §‑ának (5) bekezdése szerinti kötelező határozat csak a BDSG 3. §‑a (7) bekezdésének értelmében vett adatkezelővel szemben hozható meg, a Wirtschaftsakademie pedig nem ilyen szerv a Facebook által gyűjtött adatok tekintetében. Ugyanis egyedül a Facebook határozta meg a Facebook Insights eszköz keretében felhasznált személyes adatok gyűjtésének és kezelésének célját és eszközeit, a Wirtschaftsakademie csak anonimizált statisztikai adatokhoz jutott hozzá.

22      Az ULD felülvizsgálati kérelmet nyújtott be a Bundesverwaltungsgerichthez (szövetségi közigazgatási bíróság, Németország), és más érvek mellett a BDSG 38. §‑a (5) bekezdésének megsértésére és a fellebbviteli bíróság határozatát érintő eljárási szabálysértésekre hivatkozott. Úgy véli, hogy a Wirtschaftsakademie által elkövetett jogsértés abból ered, hogy az internetes oldal létrehozására, tárolására és fenntartására nem megfelelő szolgáltatót – a jelen esetben a Facebook Irelandet – választott, amely nem tartja tiszteletben az adatvédelemre irányadó jogszabályokat. A Wirtschaftsakademie‑nek a megtámadott határozattal a rajongói oldalának felfüggesztésére való kötelezése így e jogsértés orvoslását célozta, mivel megtiltotta számára, hogy internetes oldalának technikai alapjaként továbbra is a Facebook infrastruktúráját használja.

23      A Bundesverwaltungsgerichtnek (szövetségi közigazgatási bíróság) – az Oberverwaltungsgerichthez (legfelsőbb közigazgatási bíróság) hasonlóan – az a véleménye, hogy a Wirtschaftsakademie nem tekinthető a BDSG 3. §‑ának (7) bekezdése vagy a 95/46 irányelv 2. cikkének d) pontja értelmében vett adatkezelőnek. Az előbbi bíróság ugyanakkor úgy ítéli meg, hogy e fogalmat főszabály szerint tágan kell értelmezni a magánélethez való jog hatékony védelme érdekében, amint azt a Bíróság az e területre vonatkozó, legújabb ítélkezési gyakorlatában elismerte. Emellett kétségei vannak azon jogkörök tekintetében, amelyekkel az ULD a Facebook Germanyvel szemben a jelen esetben rendelkezik, tekintettel arra, hogy a személyes adatok Facebook csoporton belüli gyűjtéséért és kezeléséért uniós szinten a Facebook Ireland a felelős. Végezetül az a kérdése merül fel, hogy az ULD beavatkozási jogköreinek gyakorlása tekintetében milyen hatása van azon felügyelő hatóság által a személyes adatok kezelésének jogszerűségével kapcsolatban végzett értékelésnek, amelynek joghatósága a Facebook Irelandre kiterjed.

24      Ilyen körülmények között a Bundesverwaltungsgericht (szövetségi közigazgatási bíróság) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

„1)      Úgy kell‑e értelmezni a [95/46] irányelv 2. cikkének d) pontját, hogy az kimerítően szabályozza az adatvédelemmel kapcsolatos jogsértésekért való felelősséget, vagy [az ezen] irányelv 24. cikke szerinti »megfelelő intézkedések« és […] 28. cikke (3) bekezdésének második francia bekezdése szerinti »tényleges beavatkozási jogosultságok« keretében többszintű adatszolgáltatói jogviszonyokban lehetőség van valamely, a[z említett] irányelv 2. cikkének d) pontja szerinti adatkezelőnek nem minősülő szerv felelősségének megállapítására az információ‑kínálatát terjesztő szolgáltató megválasztása miatt?

2)      Az következik‑e a contrario a tagállamoknak a [95/46] irányelv 17. cikkének (2) bekezdése szerinti azon kötelezettségéből, hogy a megbízás alapján történő adatkezelés körében rendelkezniük kell arról, hogy az adatkezelő »köteles olyan adatfeldolgozót választani, aki az adatkezelésre vonatkozó technikai biztonsági intézkedések és szervezési intézkedések tekintetében megfelelő garanciákat nyújt«, hogy ezen irányelv 2. cikkének e) pontja szerinti, megbízás alapján történő adatkezeléssel nem párosuló egyéb használati jogviszonyok esetében nem áll fenn, és a nemzeti jog alapján sem írható elő a gondos kiválasztásra vonatkozó kötelezettség?

3)      Azokban az esetekben, amelyekben az Európai Unión kívül székhellyel rendelkező anyavállalat különböző tagállamokban jogilag önálló szervezeteket (leányvállalatokat) tart fenn, a [95/46] irányelv 4. cikke és 28. cikkének (6) bekezdése alapján akkor is lehetősége van‑e valamely tagállam (a jelen ügyben: Németország) felügyelő hatóságának a [95/46] irányelv 28. cikkének (3) bekezdése értelmében ráruházott jogosultságok gyakorlására az említett tagállam saját területén lévő szervezettel szemben, ha e szervezet kizárólag a hirdetések értékesítésének előmozdításáért és az e tagállam lakosságát célzó egyéb marketingintézkedésekért felel, míg a vállalatcsoporton belüli feladatmegosztás alapján a valamely más tagállamban (a jelen ügyben: Írországban) lévő önálló szervezet (leányvállalat) felel kizárólagosan az Unió teljes területén, tehát a másik tagállamban (a jelen ügyben: Németországban) is a személyes adatok gyűjtéséért és kezeléséért, ha az adatkezelésre vonatkozó döntést ténylegesen az anyavállalat hozza meg?

4)      Úgy kell‑e értelmezni a [95/46] irányelv 4. cikkének (1) bekezdését és 28. cikkének (3) bekezdését, hogy azokban az esetekben, amelyekben az adatkezelő egy szervezettel rendelkezik valamely tagállam (a jelen ügyben: Írország) területén, és egy további, jogilag önálló szervezet működik valamely más tagállam (a jelen ügyben: Németország) területén, mely utóbbi többek között a hirdetési felületek értékesítéséért felel, és tevékenysége ezen állam lakosságát célozza, e másik tagállam (a jelen ügyben: Németország) felügyelő hatósága a vállalatcsoporton belüli feladat‑ és felelősségmegosztás alapján az adatkezelésért nem felelős további (a jelen ügyben: németországi) szervezettel szemben is hozhat az adatvédelmi jog végrehajtására irányuló intézkedéseket és határozatokat, vagy az intézkedéseket és határozatokat ebben az esetben csak azon tagállam (a jelen ügyben: Írország) felügyelő hatósága hozhatja meg, amelynek a területén a vállalatcsoporton belüli adatkezelő székhelye van?

5)      Úgy kell‑e értelmezni a [95/46] irányelv 4. cikke (1) bekezdésének a) pontját, valamint 28. cikkének (3) és (6) bekezdését, hogy azokban az esetekben, amelyekben valamely tagállam (a jelen ügyben: Németország) felügyelő hatósága eljár az e tagállam területén működő személlyel vagy szervvel szemben [ezen] irányelv 28. cikkének (3) bekezdése alapján az adatkezelési műveletbe bevont harmadik személy (a jelen ügyben: a Facebook) gondatlan kiválasztása miatt, mert e harmadik személy adatvédelmi jogot sért, az eljáró (a jelen ügyben: németországi) felügyelő hatóság kötve van az adatkezelő harmadik személy szervezetének helye szerinti másik tagállam (a jelen ügyben: Írország) felügyelő hatóságának adatvédelmi jogi értékeléséhez olyan értelemben, hogy nem alakíthat ki ettől eltérő jogi értékelést, vagy az eljáró (a jelen ügyben: németországi) felügyelő hatóság saját eljárásának előzetes kérdéseként önállóan megvizsgálhatja a valamely más tagállamban (a jelen ügyben: Írországban) letelepedett harmadik személy által végzett adatkezelés jogszerűségét?

6)      Amennyiben az eljáró (a jelen ügyben: németországi) felügyelő hatóság önálló ellenőrzést végezhet: úgy kell‑e értelmezni a [95/46] irányelv 28. cikke (6) bekezdésének második mondatát, hogy e felügyelő hatóság csak és kizárólag akkor gyakorolhatja [az ezen] irányelv 28. cikkének (3) bekezdése értelmében ráruházott tényleges beavatkozási jogosultságokat az illetékességi területén letelepedett személlyel vagy szervvel szemben a más tagállamban letelepedett harmadik személy adatvédelemmel kapcsolatos jogsértéseiért való közös felelősség miatt, ha előtte felkérte e másik tagállam (a jelen ügyben: Írország) felügyelő hatóságát hatáskörének gyakorlására?”

 Az előzetes döntéshozatalra előterjesztett kérdésekről

 Az első és a második kérdésről

25      A kérdést előterjesztő bíróság együttesen megvizsgálandó első és második kérdése lényegében arra irányul, hogy a 95/46 irányelv 2. cikkének d) pontját, 17. cikkének (2) bekezdését, 24. cikkét és 28. cikke (3) bekezdésének második francia bekezdését úgy kell‑e értelmezni, hogy a személyes adatok védelmére vonatkozó szabályok sérelme esetén e rendelkezések lehetővé teszik a valamely közösségi hálózaton fenntartott rajongói oldal adminisztrátorakénti minőségében eljáró szerv felelősségének azon döntése miatti megállapítását, hogy az információ‑kínálatának terjesztéséhez e közösségi hálózatot vette igénybe.

26      E kérdések megválaszolásához emlékeztetni kell arra, hogy a 95/46 irányelvnek – amint az az 1. cikkének (1) bekezdéséből és (10) preambulumbekezdéséből következik – az a célja, hogy biztosítsa a természetes személyek alapvető jogainak és szabadságainak, különösen a személyes adatok kezelése tekintetében a magánélet tiszteletben tartásához való jognak a magas szintű védelmét (2014. december 11‑i Ryneš ítélet, C‑212/13, EU:C:2014:2428, 27. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

27      E célkitűzésnek megfelelően ezen irányelv 2. cikkének d) pontja szélesen határozza meg az „adatkezelő” fogalmát, így az kiterjed azon természetes vagy jogi személyre, hatóságra, intézményre vagy bármely más szervre, amely önállóan vagy másokkal együtt meghatározza a személyes adatok kezelésének céljait és módját.

28      Amint a Bíróság már kimondta, e rendelkezés – az „adatkezelő” fogalmának tág meghatározásával – ugyanis arra irányul, hogy az érintetteknek hatékony és teljes védelmet biztosítson (2014. május 13‑i Google Spain és Google ítélet, C‑131/12, EU:C:2014:317, 34. pont).

29      Továbbá, mivel – amint a 95/46 irányelv 2. cikkének d) pontja kifejezetten előírja – az „adatkezelő” fogalma azon szervre irányul, amely „önállóan vagy másokkal együtt” meghatározza a személyes adatok kezelésének céljait és módját, e fogalom nem feltétlenül egyetlen szervre utal, és az e kezelésben részt vevő több szereplőt is érinthet, és így mindegyikükre vonatkoznak a személyes adatok védelmére vonatkozó rendelkezések.

30      A jelen esetben a Facebook Inc.‑t, az Unió tekintetében pedig a Facebook Irelandet kell úgy tekinteni, mint amely elsődlegesen meghatározza a Facebook‑használók, valamint a Facebookon fenntartott rajongói oldalakat korábban meglátogató személyek személyes adatai kezelésének céljait és módját, és így az „adatkezelő” 95/46 irányelv 2. cikkének d) pontja szerinti fogalma alá tartoznak, ami nem vitatott a jelen ügyben.

31      Az előterjesztett kérdések megválaszolása céljából ugyanakkor meg kell vizsgálni, hogy a Facebookon fenntartott rajongói oldal olyan adminisztrátora, mint a Wirtschaftsakademie, hozzájárul‑e, és ha igen, milyen mértékben, az említett rajongói oldalakat meglátogató személyek személyes adatai kezelésének céljai és módja meghatározásához, és így ő is „adatkezelőnek” tekinthető a 95/46 irányelv 2. cikkének d) pontja értelmében.

32      E tekintetben bizonyos, hogy minden olyan személy, aki vagy amely rajongói oldalt kíván létrehozni a Facebookon, az ilyen oldal megnyitására vonatkozó, egyedi szerződést köt a Facebook Irelanddel, és ennek címén aláveti magát ezen oldal használati feltételeinek, ideértve az ezen oldallal kapcsolatos cookiekra vonatkozó politikát, aminek vizsgálata a nemzeti bíróság feladata.

33      Amint a Bírósághoz benyújtott iratokból kiderül, az alapeljárás tárgyát képező adatkezelésre főként az adatok internetes böngészőben való tárolását szolgáló cookieknak a Facebook által a rajongói oldal látogatóinak számítógépén vagy más eszközén való elhelyezése révén kerül sor, és e cookiek – ha nem törlik őket – két évig működőképesek maradnak. Az is kiderül ezen iratokból, hogy a gyakorlatban a Facebook megkapja, regisztrálja és kezeli a cookiekban tárolt információkat, különösen akkor, amikor valaki „Facebook‑szolgáltatásokat, a Facebook más társaságai által kínált szolgáltatásokat és a Facebook‑szolgáltatásokat használó más vállalkozások által kínált szolgáltatásokat” keres fel. Más felek, így a Facebook partnerei vagy akár harmadik személyek is „használhatnak cookiekat a Facebook‑szolgáltatásokon, hogy [szolgáltatásokat kínáljanak közvetlenül e közösségi háló] és a Facebookon hirdető vállalkozások számára”.

34      E személyesadat‑kezelés különösen annak lehetővé tételére irányul, hogy egyfelől a Facebook javítsa a hálózatán keresztül terjesztett hirdetési rendszerét, másfelől a rajongói oldal adminisztrátora tevékenysége reklámozásának irányítása céljából a Facebook által készített statisztikai adatokhoz jusson ezen oldal látogatottságára vonatkozóan, ami lehetővé teszi például a rajongói oldalát kedvelő látogatók vagy az alkalmazásait használó személyek profiljának megismerését abból a célból, hogy számukra relevánsabb tartalmat javasolhasson és nekik jobban tetsző eszközöket fejleszthessen ki.

35      Márpedig, bár a Facebookhoz hasonló közösségi hálózat puszta használata nem teszi a Facebook valamely felhasználóját együttesen felelőssé a személyes adatok e hálózat általi kezeléséért, meg kell jegyezni, hogy a Facebookon fenntartott rajongói oldal adminisztrátora az ilyen oldal létrehozásával lehetőséget ad a Facebook számára, hogy cookiekat helyezzen el a rajongói oldalát meglátogató személy számítógépén vagy más eszközén, függetlenül attól, hogy e személy rendelkezik‑e Facebook fiókkal, vagy sem.

36      Ennek körében a Bíróság rendelkezésére álló információkból kiderül, hogy valamely rajongói oldal Facebookon való létrehozása az adminisztrátorától – különösen az oldal célközönsége, valamint tevékenységeinek irányítási vagy reklámozási céljai alapján történő – beállítási tevékenységet követel meg, amely befolyásolja a rajongói oldal látogatási statisztikáinak készítése céljából történő személyesadat‑kezelést. Az adminisztrátor a Facebook által a rendelkezésére bocsátott szűrők segítségével meghatározhatja azon kritériumokat, amelyek alapján a Facebook e statisztikákat elkészítheti, és meghatározhatja azon személykategóriákat is, amelyek személyes adatait az utóbbi felhasználhatja. Következésképpen a Facebookon fenntartott rajongói oldal adminisztrátora közreműködik az oldalát meglátogató személyek személyes adatainak kezelésében.

37      Konkrétan, a rajongói oldal adminisztrátora kérheti a célközönségére – többek között annak kor, nem, családi állapot és szakmai helyzet szerinti összetételre – vonatkozó demográfiai adatok, a célközönsége életmódjára és érdeklődési körére vonatkozó adatok, az oldalát meglátogató személyek online vásárlásaira és vásárlási szokásaira, valamint az őket leginkább érdeklő termékek vagy szolgáltatások kategóriáira vonatkozó adatok, továbbá olyan földrajzi adatok gyűjtését – tehát az ilyen adatok kezelését –, amelyek alapján a rajongói oldal adminisztrátora eldöntheti, hogy hol nyújtson különleges kedvezményeket vagy szervezzen eseményeket, és általában célzottabbá teheti az információszolgáltatását.

38      Habár a Facebook által készített látogatottsági statisztikákat kizárólag anonimizált formában adják át a rajongói oldal adminisztrátorának, e statisztikák elkészítése az ezen oldalt korábban meglátogató személyek személyes adatainak statisztikai célból – a Facebook által a számítógépükön vagy más eszközükön elhelyezett cookiek révén – történő előzetes gyűjtésén és kezelésén alapul. Abban az esetben, amikor több szereplő együttesen felelős ugyanazon adatkezelésért, a 95/46 irányelv semmiképpen nem követeli meg, hogy mindegyik adatkezelőnek hozzáférése legyen az érintett személyes adatokhoz.

39      E körülményekre tekintettel meg kell állapítani, hogy a Facebookon fenntartott rajongói oldal olyan adminisztrátora, mint a Wirtschaftsakademie, a – többek között a célközönsége, valamint tevékenységeinek irányítási vagy reklámozási céljai alapján végzett – beállítási tevékenysége révén részt vesz a rajongói oldalát meglátogató személyek személyes adatainak kezelésére vonatkozó célok és ezen adatkezelés módjának meghatározásában. Ezért ezen adminisztrátort a jelen esetben a Facebook Irelanddel együttesen a 95/46 irányelv 2. cikkének d) pontja szerinti adatkezelőnek kell minősíteni az Unióban.

40      Az ugyanis, hogy valamely rajongói oldal adminisztrátora a Facebook által létrehozott felületet az ahhoz kapcsolódó szolgáltatásokat igénybe vétele céljából használja, nem mentesíti őt a személyes adatok védelme terén fennálló kötelezettségeinek tiszteletben tartása alól.

41      Végezetül ki kell emelni, hogy a Facebookon fenntartott rajongói oldalakat olyan személyek is meglátogathatják, akik nem Facebook‑felhasználók, és akik így nem rendelkeznek e közösségi hálózaton felhasználói fiókkal. Ebben az esetben a rajongói oldal adminisztrátorának az e személyek személyes adatainak kezelése tekintetében fennálló felelőssége még fokozottabb, mivel a rajongóioldal‑látogatók általi egyszerű felkeresése automatikusan előidézi a személyes adataik kezelését.

42      E körülményekre tekintettel a közösségi hálózat üzemeltetőjének és az e hálózaton fenntartott rajongói oldal adminisztrátorának az e rajongói oldal látogatóira vonatkozó személyes adatok kezelése tekintetében fennálló együttes felelősségének elismerése hozzájárul azon jogok teljesebb védelmének biztosításához, amelyekkel a rajongói oldalt meglátogató személyek a 95/46 irányelv követelményeinek megfelelően rendelkeznek.

43      Mindemellett pontosítani kell, hogy – amint azt a főtanácsnok indítványának 75. és 76. pontjában megjegyezte – az együttes felelősség fennállása nem feltétlenül jelenti a személyesadat‑kezeléssel érintett különböző szereplők azonos felelősségét. Éppen ellenkezőleg, mivel e szereplők az adatkezelés eltérő szakaszaiban és különböző mértékben vehetnek részt, a felelősségük mértékét a jelen ügyre jellemző valamennyi releváns körülmény figyelembevételével kell értékelni.

44      A fenti megfontolásokra tekintettel az első és a második kérdésre azt a választ kell adni, hogy a 95/46 irányelv 2. cikkének d) pontját úgy kell értelmezni, hogy az „adatkezelő” e rendelkezés értelmében vett fogalma kiterjed a valamely közösségi hálózaton fenntartott rajongói oldal adminisztrátorára.

 A harmadik és a negyedik kérdésről

45      A kérdést előterjesztő bíróság együttesen megvizsgálandó harmadik és negyedik kérdése lényegében arra irányul, hogy a 95/46 irányelv 4. és 28. cikkét úgy kell‑e értelmezni, hogy amennyiben valamely, az Unión kívül letelepedett vállalkozás különböző tagállamokban több telephellyel rendelkezik, valamely tagállam felügyelő hatósága még akkor is gyakorolhatja az ezen irányelv 28. cikkének (3) bekezdése értelmében ráruházott jogosultságokat az e tagállam területén található telephellyel szemben, ha a vállalatcsoporton belüli feladatmegosztás alapján egyfelől e telephely az említett tagállam területén kizárólag a hirdetési felületek értékesítéséért és más marketingtevékenységekért felel, másfelől a személyes adatok gyűjtésének és kezelésének kizárólagos felelőssége az Unió egész területén egy másik tagállamban letelepedett szervezetre hárul, vagy pedig a fenti jogosultságokat ez utóbbi tagállam felügyelő hatóságának kell gyakorolnia a második szervezettel szemben.

46      Az ULD‑nek és az olasz kormánynak kétségei vannak e kérdések elfogadhatósága tekintetében, mivel szerinte azok nem relevánsak az alapjogvita eldöntése szempontjából. A megtámadott határozatnak ugyanis a Wirtschaftsakademie a címzettje, és nem a Facebook Inc. vagy az Unió területén letelepedett valamelyik leányvállalata.

47      E tekintetben emlékeztetni kell arra, hogy a Bíróság és a nemzeti bíróságok között az EUMSZ 267. cikkel létrehozott együttműködés keretében kizárólag az ügyben eljáró és a meghozandó határozatért felelős nemzeti bíróság feladata annak eldöntése, hogy az ügy sajátos jellemzőire tekintettel az ítélet meghozatalához szükség van‑e az előzetes döntéshozatalra, és hogy a Bíróságnak feltett kérdések relevánsak‑e. Következésképpen, ha a feltett kérdések az uniós jog értelmezésére vonatkoznak, a Bíróság főszabály szerint köteles határozatot hozni (2016. szeptember 6‑i Petruhhin ítélet, C‑182/15, EU:C:2016:630, 19. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

48      A jelen esetben meg kell állapítani, hogy a kérdést előterjesztő bíróság azt állítja, hogy az alapjogvita eldöntéséhez szüksége van a Bíróságnak az előzetes döntéshozatalra előterjesztett harmadik és a negyedik kérdésre adandó válaszára. Kifejti ugyanis, hogy amennyiben e válasz alapján megállapítást nyerne, hogy az ULD a Facebook Germanyvel szembeni intézkedés meghozatala révén orvosolhatja a személyes adatok védelméhez való jog állítólagos megsértését, e körülmény alapján megállapítható lenne, hogy a megtámadott határozat értékelési hibát tartalmaz, mivel azt tévesen hozták meg a Wirtschaftsakademiével szemben.

49      E körülmények mellett a harmadik és a negyedik kérdés elfogadható.

50      E kérdések megválaszolása érdekében előzetesen emlékeztetni kell arra, hogy a 95/46 irányelv 28. cikkének (1) és (3) bekezdése értelmében a felügyelő hatóságok a saját tagállamuk területén a nemzeti jog által számukra biztosított összes jogosultsággal rendelkeznek annak érdekében, hogy e területen biztosítsák az adatvédelemre vonatkozó szabályok tiszteletben tartását (lásd ebben az értelemben: 2015. október 1‑jei Weltimmo ítélet, C‑230/14, EU:C:2015:639, 51. pont).

51      Azon kérdést, hogy melyik nemzeti jog alkalmazandó a személyes adatok kezelésére, a 95/46 irányelv 4. cikke szabályozza. E cikk (1) bekezdésének a) pontja értelmében a személyes adatok kezelésére minden tagállam az ezen irányelvnek megfelelően elfogadott nemzeti rendelkezéseket alkalmazza, amennyiben az adatkezelést e tagállam területén az adatkezelő egy szervezete tevékenységeinek keretében végzik. E rendelkezés pontosítja, hogy amennyiben ugyanaz az adatkezelő több tagállam területén is letelepedett, meg kell tennie a szükséges intézkedéseket annak biztosítása érdekében, hogy szervezeteinek mindegyike megfeleljen az alkalmazandó nemzeti jog által megállapított kötelezettségeknek.

52      E rendelkezés és a 95/46 irányelv 28. cikke (1) és (3) bekezdésének együttes értelmezéséből így az következik, hogy amennyiben ezen irányelv 4. cikke (1) bekezdésének a) pontja értelmében azon tagállam nemzeti joga alkalmazandó, amelynek joghatósága alá a felügyelő hatóság tartozik, mivel a szóban forgó adatkezelést e tagállam területén az adatkezelő egy szervezete tevékenységeinek keretében végzik, ezen felügyelő hatóság az e jog által e szervezettel szemben számára biztosított összes jogosultsággal rendelkezik, függetlenül attól, hogy az adatkezelő rendelkezik‑e szervezettel más tagállamokban is.

53      Így, annak meghatározásához, hogy a felügyelő hatóság az alapügy körülményeihez hasonló körülmények között megalapozottan gyakorolja‑e az azon tagállam területén letelepedett szervezettel szemben a nemzeti jog által számára biztosított jogköröket, amelynek joghatósága alá e hatóság tartozik, meg kell vizsgálni, hogy teljesül‑e a 95/46 irányelv 4. cikke (1) bekezdésének a) pontjában támasztott két feltétel, nevezetesen egyfelől az, hogy „az adatkezelő egy szervezetéről” van‑e szó e rendelkezés értelmében, másfelől az említett adatkezelést ugyanezen rendelkezés értelmében e szervezet „tevékenységeinek keretében” végzik‑e.

54      Ami először is azon feltételt illeti, amely szerint a személyes adatok kezelőjének szervezettel kell rendelkeznie azon tagállam területén, amelynek joghatósága alá az érintett felügyelő hatóság tartozik, emlékeztetni kell arra, hogy a 95/46 irányelv (19) preambulumbekezdése szerint a valamely tagállamban való letelepedés magában foglalja a tevékenység tényleges gyakorlását tartós jelleggel, és e letelepedés – legyen akár egyszerűen fióktelep, akár jogi személyiséggel rendelkező leányvállalat – jogi formája e tekintetben nem meghatározó tényező (2015. október 1‑jei Weltimmo ítélet, C‑230/14, EU:C:2015:639, 28. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

55      A jelen esetben nem vitatott, hogy a Facebook Inc. – mint amely a személyes adatok kezeléséért a Facebook Irelanddel együttesen felelős – állandó telephellyel rendelkezik Németországban, ez nevezetesen a hamburgi székhelyű Facebook Germany, és ez utóbbi társaság tényleges tevékenységet gyakorol az említett tagállamban. Ezért a 95/46 irányelv 4. cikke (1) bekezdésének a) pontja értelmében vett szervezetnek minősül.

56      Ami másodsorban azon feltételt illeti, amely szerint a személyes adatok kezelését az érintett szervezet „tevékenységeinek keretében” kell végezni, legelőször is emlékeztetni kell arra, hogy – tekintettel a 95/46 irányelv által követett azon célra, amely a természetes személyek alapvető jogainak és szabadságainak, különösen a személyes adatok kezelése tekintetében a magánélet tiszteletben tartásához való joguknak a hatékony és teljes védelmét kívánja biztosítani – az „egy szervezete tevékenységeinek keretében” kifejezést nem lehet megszorítóan értelmezni (2015. október 1‑jei Weltimmo ítélet, C‑230/14, EU:C:2015:639, 25. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

57      Ezt követően ki kell emelni, hogy a 95/46 irányelv 4. cikke (1) bekezdésének a) pontja nem azt követeli meg, hogy az ilyen adatkezelést az érintett szervezet „maga” valósítsa meg, hanem csupán azt, hogy „tevékenységeinek keretében” végezze (2014. május 13‑i Google Spain és Google ítélet, C‑131/12, EU:C:2014:317, 52. pont).

58      A jelen esetben az előzetes döntéshozatalra utaló határozatból, valamint a Facebook Ireland által benyújtott írásbeli észrevételekből kiderül, hogy a Facebook Germany feladata a reklámozás és a reklámhelyek értékesítése, és e tevékenységeket Németországban tartózkodó személyek javára folytatja.

59      Amint a jelen ítélet 33. és 34. pontjában felidézésre került, az alapügy tárgyát képező, a Facebook Inc. által a Facebook Irelanddel együttesen végzett személyesadat‑kezelésnek, amely az ilyen adatoknak a Facebookon fenntartott rajongói oldal látogatóinak számítógépén vagy más eszközén elhelyezett cookiek segítségével történő gyűjtéséből áll, többek között az a célja, hogy lehetővé tegye e közösségi hálózat számára a hirdetési rendszerének javítását, az általa terjesztett információk célzottabbá tétele érdekében.

60      Márpedig, amint a főtanácsnok indítványának 94. pontjában megjegyezte, tekintettel egyfelől arra, hogy a Facebookhoz hasonló közösségi hálózat bevételei nagyrészt azokból a reklámokból származnak, amelyeket a felhasználói által létrehozott és látogatott weboldalakon tesznek közzé, másfelől pedig arra, hogy a Facebook Németországban letelepedett szervezetének célja, hogy e tagállamban biztosítsák azon hirdetéseket és reklámhelyek értékesítését, amelyek a Facebook által nyújtott szolgáltatások nyereségességét szolgálják, e szervezet tevékenységeit úgy kell tekinteni, mint amelyek elválaszthatatlanul összekapcsolódnak az alapügy tárgyát képező azon személyesadat‑kezeléssel, amelyért a Facebook Inc. a Facebook Irelanddel együttesen felelős. Ennélfogva az ilyen adatkezelést úgy kell tekinteni, hogy arra a 95/46 irányelv 4. cikke (1) bekezdésének a) pontja értelmében az adatkezelő egy szervezete tevékenységeinek keretében kerül sor (lásd ebben az értelemben: 2014. május 13‑i Google Spain és Google ítélet, C‑131/12, EU:C:2014:317, 55. és 56. pont).

61      Ebből következik, hogy – mivel a német jog a 95/46 irányelv 4. cikke (1) bekezdésének a) pontja értelmében alkalmazandó az alapügy tárgyát képező személyesadat‑kezelésre – a német felügyelő hatóság ezen irányelv 28. cikkének (1) bekezdésének megfelelően hatáskörrel rendelkezett arra, hogy e jogot az említett adatkezelésre alkalmazza.

62      Következésképpen e felügyelő hatóságnak kiterjed a hatásköre arra, hogy a személyes adatok védelmére vonatkozó szabályok német területen történő tiszteletben tartásának biztosítása érdekében a 95/46 irányelv 28. cikkének (3) bekezdését átültető nemzeti rendelkezések alapján rendelkezésére álló valamennyi jogkörét gyakorolja a Facebook Germanyvel szemben.

63      Rá kell továbbá mutatni, hogy a kérdést előterjesztő bíróság által a harmadik kérdésében kiemelt azon körülmény, amely szerint az Unió területén tartózkodó személyek személyes adatainak gyűjtésére és kezelésére vonatkozó stratégiai döntéseket egy harmadik országban letelepedett anyavállalat – a jelen esetben a Facebook Inc. – hozza meg, nem kérdőjelezi meg a valamely tagállam joghatósága alá tartozó felügyelő hatóságnak az ugyanezen állam területén letelepedett, az említett adatkezelésért felelős szervezettel szembeni hatáskörét.

64      A fentiekre tekintettel a harmadik és negyedik kérdésre azt a választ kell adni, hogy a 95/46 irányelv 4. és 28. cikkét úgy kell értelmezni, hogy amennyiben valamely, az Unión kívül letelepedett vállalkozás különböző tagállamokban több telephellyel rendelkezik, valamely tagállam felügyelő hatósága még akkor is gyakorolhatja az ezen irányelv 28. cikkének (3) bekezdése értelmében ráruházott jogosultságokat az e tagállam területén található telephellyel szemben, ha a vállalatcsoporton belüli feladatmegosztás alapján egyfelől e telephely az említett tagállam területén kizárólag a hirdetési felületek értékesítéséért és más marketingtevékenységekért felel, másfelől a személyes adatok gyűjtésének és kezelésének kizárólagos felelőssége az Unió egész területén egy másik tagállamban letelepedett szervezetre hárul.

 Az ötödik és a hatodik kérdésről

65      A kérdést előterjesztő bíróság együttesen megvizsgálandó ötödik és hatodik kérdése lényegében arra irányul, hogy a 95/46 irányelv 4. cikke (1) bekezdésének a) pontját, valamint 28. cikkének (3) és (6) bekezdését úgy kell‑e értelmezni, hogy amennyiben valamely tagállam felügyelő hatósága a személyes adatok védelmére vonatkozó szabályoknak az ezen adatok kezeléséért felelős és egy másik tagállamban székhellyel rendelkező harmadik személy általi megsértése miatt az e tagállam területén található telephellyel szemben kívánja gyakorolni az ezen irányelv 28. cikkének (3) bekezdésében szereplő beavatkozási jogköreit, e felügyelő hatóság hatásköre kiterjed arra, hogy az utóbbi tagállam felügyelő hatóságától függetlenül értékelje az ilyen adatkezelés jogszerűségét, és a területén található telephellyel szemben anélkül gyakorolhatja beavatkozási jogköreit, hogy e másik tagállam felügyelő hatóságát előzetesen beavatkozásra hívná fel.

66      E kérdések megválaszolása érdekében emlékeztetni kell arra, hogy – amint az előzetes döntéshozatalra előterjesztett első és második kérdésre adott válaszból következik – a 95/46 irányelv 2. cikkének d) pontját úgy kell értelmezni, hogy az alapügyben szereplőkhöz hasonló körülmények között a személyes adatok védelmére vonatkozó szabályok sérelme esetén lehetővé teszi a Wirtschaftsakademiéhez hasonló szervezetnek a Facebookon fenntartott rajongói oldal adminisztrátorakénti minőségében fennálló felelősségének megállapítását.

67      Ebből következik, hogy a 95/46 irányelv 4. cikke (1) bekezdésének a) pontja, valamint 28. cikkének (1) és (3) bekezdése értelmében azon tagállam felügyelő hatósága, amelynek területén e telephely található, hatáskörrel rendelkezik arra, hogy nemzeti jogát alkalmazza, és így az említett telephellyel szemben mindazokat a jogköröket gyakorolja, amelyeket e nemzeti jog ezen irányelv 28. cikke (3) bekezdésének megfelelően biztosít számára.

68      Amint az említett irányelv 28. cikke (1) bekezdésének második albekezdése előírja, a felügyelő hatóságok – amelyek azon tagállam területén, amelynek joghatósága alá tartoznak, felügyelik a tagállamok által ugyanezen irányelv értelmében elfogadott nemzeti rendelkezések alkalmazását – a rájuk ruházott feladatok ellátása során teljes függetlenséggel járnak el. E követelmény az elsődleges uniós jogból, nevezetesen az Európai Unió Alapjogi Chartája 8. cikkének (3) bekezdéséből és az EUMSZ 16. cikk (2) bekezdéséből is következik (lásd ebben az értelemben: 2015. október 6‑i Schrems ítélet, C‑362/14, EU:C:2015:650, 40. pont).

69      Továbbá, noha a 95/46 irányelv 28. cikke (6) bekezdésének második albekezdése értelmében a felügyelő hatóságok a feladataik teljesítéséhez szükséges mértékben együttműködnek egymással, különösen a hasznos információk cseréje révén, ugyanezen irányelv nem ír elő olyan elsőbbségi kritériumot, amely szabályozná valamely felügyelő hatóság beavatkozásának elsőbbségét egy másik felügyelő hatósághoz képest, és azt sem írja elő kötelezettségként valamely tagállam felügyelő hatósága számára, hogy adott esetben egy másik tagállam felügyelő hatósága által kifejtett állásponthoz igazodjon.

70      Így semmi nem kötelezi azon felügyelő hatóságot, amelynek illetékességét a nemzeti joga elismeri, hogy egy másik felügyelő hatóság által hasonló helyzetben alkalmazott megoldást válasszon.

71      E tekintetben emlékeztetni kell arra, hogy mivel az Alapjogi Charta 8. cikkének (3) bekezdésével és a 95/46 irányelv 28. cikkével összhangban a nemzeti felügyelő hatóságok feladata a természetes személyek számára a személyes adatok kezelése vonatkozásában biztosított védelemre vonatkozó uniós szabályok tiszteletben tartásának felügyelete, mindegyik hatóság hatáskörrel rendelkezik tehát annak ellenőrzésére, hogy a személyes adatoknak azon tagállam területén való kezelése, amelyre a hatóság joghatósága kiterjed, tiszteletben tartja‑e a 95/46 irányelvben támasztott követelményeket (lásd ebben az értelemben: 2015. október 6‑i Schrems ítélet, C‑362/14, EU:C:2015:650, 47. pont).

72      Mivel a 95/46 irányelv 28. cikke jellegénél fogva alkalmazandó minden személyesadat‑kezelésre, még akkor is, ha egy másik tagállam felügyelő hatósága határozatot hozott, a valamely személy által a rá vonatkozó személyes adatok kezelése vonatkozásában a jogainak vagy szabadságainak védelmével kapcsolatban benyújtott kérelmekkel foglalkozó felügyelő hatóságnak teljesen függetlenül eljárva meg kell vizsgálnia, hogy ezen adatkezelés tiszteletben tartja‑e az említett irányelvben támasztott követelményeket (lásd ebben az értelemben: 2015. október 6‑i Schrems ítélet, C‑362/14, EU:C:2015:650, 57. pont)

73      Ebből következik, hogy a jelen esetben a 95/46 irányelvvel létrehozott rendszer értelmében az ULD jogosult arra, hogy az ír felügyelő hatóság által végzett értékeléstől függetlenül megvizsgálja a szóban forgó adatkezelés jogszerűségét.

74      Következésképpen az ötödik és hatodik kérdésre azt a választ kell adni, hogy a 95/46 irányelv 4. cikke (1) bekezdésének a) pontját, valamint 28. cikkének (3) és (6) bekezdését úgy kell értelmezni, hogy amennyiben valamely tagállam felügyelő hatósága a személyes adatok védelmére vonatkozó szabályoknak az ezen adatok kezeléséért felelős és egy másik tagállamban székhellyel rendelkező harmadik személy általi megsértése miatt az e tagállam területén található telephellyel szemben kívánja gyakorolni az ezen irányelv 28. cikkének (3) bekezdésében szereplő beavatkozási jogköreit, e felügyelő hatóság hatásköre kiterjed arra, hogy az utóbbi tagállam felügyelő hatóságától függetlenül értékelje az ilyen adatkezelés jogszerűségét, és a területén található telephellyel szemben anélkül gyakorolhatja beavatkozási jogköreit, hogy e másik tagállam felügyelő hatóságát előzetesen beavatkozásra hívná fel.

 A költségekről

75      Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

A fenti indokok alapján a Bíróság (nagytanács) a következőképpen határozott:

1)      A személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv 2. cikkének d) pontját úgy kell értelmezni, hogy az „adatkezelő” e rendelkezés értelmében vett fogalma kiterjed a valamely közösségi hálózaton fenntartott rajongói oldal adminisztrátorára.

2)      A 95/46 irányelv 4. és 28. cikkét úgy kell értelmezni, hogy amennyiben valamely, az Unión kívül letelepedett vállalkozás különböző tagállamokban több telephellyel rendelkezik, valamely tagállam felügyelő hatósága még akkor is gyakorolhatja az ezen irányelv 28. cikkének (3) bekezdése értelmében ráruházott jogosultságokat e vállalkozásnak az e tagállam területén található telephelyével szemben, ha a vállalatcsoporton belüli feladatmegosztás alapján egyfelől e telephely az említett tagállam területén kizárólag a hirdetési felületek értékesítéséért és más marketingtevékenységekért felel, másfelől a személyes adatok gyűjtésének és kezelésének kizárólagos felelőssége az Unió egész területén egy másik tagállamban letelepedett szervezetre hárul.

3)      A 95/46 irányelv 4. cikke (1) bekezdésének a) pontját, valamint 28. cikkének (3) és (6) bekezdését úgy kell értelmezni, hogy amennyiben valamely tagállam felügyelő hatósága a személyes adatok védelmére vonatkozó szabályoknak az ezen adatok kezeléséért felelős és egy másik tagállamban székhellyel rendelkező harmadik személy általi megsértése miatt az e tagállam területén található telephellyel szemben kívánja gyakorolni az ezen irányelv 28. cikkének (3) bekezdésében szereplő beavatkozási jogköreit, e felügyelő hatóság hatásköre kiterjed arra, hogy az utóbbi tagállam felügyelő hatóságától függetlenül értékelje az ilyen adatkezelés jogszerűségét, és a területén található telephellyel szemben anélkül gyakorolhatja beavatkozási jogköreit, hogy e másik tagállam felügyelő hatóságát előzetesen beavatkozásra hívná fel.

Aláírások


*      Az eljárás nyelve: német.