Language of document :

Anmodning om præjudiciel afgørelse indgivet af Bundesverwaltungsgericht (Tyskland) den 14. april 2016 – Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein mod Wirtschaftsakademie Schleswig-Holstein GmbH

(Sag C-210/16)

Processprog: tysk

Den forelæggende ret

Bundesverwaltungsgericht

Parter i hovedsagen

Sagsøgt og appellant: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Sagsøger og indstævnt: Wirtschaftsakademie Schleswig-Holstein GmbH

Adciteret: Facebook Ireland Limited

Procesdeltager: Repræsentant for Forbundsrepublikkens interesser ved Bundesverwaltungsgericht

Præjudicielle spørgsmål

Skal artikel 2, litra d), i direktiv 95/46/EF 1 fortolkes således, at den endeligt og udtømmende regulerer ansvaret for brud på datasikkerheden, eller bliver der inden for rammerne af »de fornødne foranstaltninger« i henhold til artikel 24 i direktiv 95/46/EF og [af beføjelser til at kunne] »gribe effektivt ind« i henhold til artikel 28, stk. 3, andet led, i direktiv 95/46/EF i flertrins informationsudbyderforhold plads til et ansvar for et organ, som ikke er ansvarligt for databehandling i den betydning, hvori udtrykket er anvendt i artikel 2, litra d), i direktiv 95/46/EF, ved valget af en registerfører til dets informationsudbud?

Kan det af medlemsstaternes forpligtelse i henhold til artikel 17, stk. 2, i direktiv 95/46/EF til at fastsætte i forbindelse med databehandling ved en registerfører, at »den registeransvarlige skal vælge en registerfører, som frembyder den fornødne garanti med hensyn til de tekniske sikkerhedsforanstaltninger og organisatoriske foranstaltninger, der skal træffes«, omvendt sluttes, at der ved andre udbyder/bruger-relationer, som ikke er forbundet med databehandling ved en registerfører som omhandlet i artikel 2, litra e), i direktiv 95/46/EF, ikke består nogen forpligtelse til at foretage et omhyggeligt valg, og at det heller ikke kan begrundes efter national ret?

Er en tilsynsmyndighed i en medlemsstat (her: Tyskland) i tilfælde, hvor en moderkoncern, som er hjemmehørende uden for Den Europæiske Union, driver juridisk selvstændige virksomheder (datterselskaber) i forskellige medlemsstater, kompetent i henhold til artikel 4, og artikel 28, stk. 6, i direktiv 95/46/EF til at udøve de beføjelser, der tillægges den i overensstemmelse med artikel 28, stk. 3, i direktiv 95/46/EF over for en virksomhed, der ligger på medlemsstatens eget område, også i det tilfælde, hvor denne virksomhed udelukkende har til opgave at promovere salg af reklame og øvrige marketingsforanstaltninger rettet mod indbyggerne i denne medlemsstat, mens den selvstændige virksomhed (det datterselskab), der ligger i en anden medlemsstat (her: Irland), ifølge koncernens interne opgavefordeling er eneansvarlig for indsamling og behandling af personoplysninger på hele EU’s område og dermed også i den anden medlemsstat (her: Tyskland), når afgørelsen om databehandling rent faktisk træffes af moderkoncernen?

Skal artikel 4, stk. 1, litra a), og artikel 28, stk. 3, i direktiv 95/46/EF fortolkes således, at i tilfælde, hvor den registeransvarlige er ejer af en virksomhed på én medlemsstats område (her: Irland), og der findes en yderligere juridisk selvstændig virksomhed på en anden medlemsstats område (her: Tyskland), som bl.a. har til opgave at sælge reklameplads og hvis aktivitet er rettet mod indbyggerne i denne stat, kan den kompetente tilsynsmyndighed i denne anden medlemsstat (her: Tyskland) også rette foranstaltninger og påbud til gennemførelse af reglerne om databeskyttelse mod den anden virksomhed, som ifølge den koncerninterne opgave- og ansvarsfordeling ikke er ansvarlig for databehandling (her: i Tyskland), eller kan der i så fald kun træffes foranstaltninger og gives påbud af tilsynsmyndigheden i den medlemsstat (her: Irland), på hvis område det koncerninterne ansvarlige organ har sit hjemsted?

Skal artikel 4, stk. 1, litra a), og artikel 28, stk. 3 og 6, i direktiv 95/46/EF fortolkes således, at i tilfælde, hvor tilsynsmyndigheden i en medlemsstat (her: Tyskland) i henhold til artikel 28, stk. 3, i direktiv 95/46/EF rejser krav mod en person eller et organ, som er aktiv(t) på denne stats område, på grund af manglende omhu ved valget af en tredjemand, som er involveret i databehandlingsprocessen (her: Facebook), fordi denne tredjemand overtræder reglerne om databeskyttelse, er den tilsynsmyndighed, der griber ind, (her: Tyskland) da bundet til den databeskyttelsesretlige vurdering hos tilsynsmyndigheden i den anden medlemsstat, hvor den for databehandlingen ansvarlige tredjemand har sin virksomhed (her: Irland), i den forstand, at den ikke må foretage en herfra afvigende retlig vurdering, eller kan den indgribende tilsynsmyndighed (her: Tyskland) foretage en selvstændig undersøgelse af lovligheden af den databehandling, som udføres af den tredjemand, der er etableret i en anden medlemsstat (her: Irland), som et indledende spørgsmål vedrørende dens egen indgriben?

For så vidt som den indgribende tilsynsmyndighed (her: Tyskland) kan foretage en selvstændig efterprøvelse: Skal artikel 28, stk. 6, andet punktum, i direktiv 95/46/EF fortolkes således, at denne tilsynsmyndighed først må udøve de beføjelser, som er tillagt den i henhold til artikel 28, stk. 3, i direktiv 95/46/EF, til at gribe effektivt ind over for en person eller et organ, der er etableret på denne stats område, på grund af medansvar for brud på datasikkerheden, som er begået af en i en anden medlemsstat etableret tredjemand, når og kun når den på forhånd har anmodet tilsynsmyndigheden i denne anden medlemsstat (her: Irland) om at måtte udøve sine beføjelser?

____________

1 Europa-Parlamentet og Rådets direktiv om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281, s. 31).