CURIA - Documents

ARREST VAN HET HOF (Grote kamer)

5 juni 2018 (*)

„Prejudiciële verwijzing – Richtlijn 95/46/EG – Persoonsgegevens – Bescherming van natuurlijke personen in verband met de verwerking van deze gegevens – Bevel tot deactivering van een Facebookpagina (fanpagina) waarmee bepaalde gegevens in verband met de bezoekers van deze pagina kunnen worden verkregen en verwerkt – Artikel 2, onder d) – Voor de verwerking van de persoonsgegevens verantwoordelijke – Artikel 4 – Toepasselijk nationaal recht – Artikel 28 – Nationale toezichthoudende autoriteiten – Bevoegdheden tot ingrijpen van deze autoriteiten”

In zaak C‑210/16,

betreffende een verzoek om een prejudiciële beslissing krachtens artikel 267 VWEU, ingediend door het Bundesverwaltungsgericht (hoogste federale bestuursrechter, Duitsland) bij beslissing van 25 februari 2016, ingekomen bij het Hof op 14 april 2016, in de procedure

Unabhangiges Landeszentrum für Datenschutz Schleswig-Holstein

tegen

Wirtschaftsakademie Schleswig-Holstein GmbH,

in tegenwoordigheid van:

Facebook Ireland Ltd,

Vertreter des Bundesinteresses beim Bundesverwaltungsgericht,

wijst

HET HOF (Grote kamer),

samengesteld als volgt: K. Lenaerts, president, A. Tizzano (rapporteur), vicepresident, M. Ilešič, L. Bay Larsen, T. von Danwitz, A. Rosas, J. Malenovský en E. Levits, kamerpresidenten, E. Juhász, A. Borg Barthet, F. Biltgen, K. Jürimäe, C. Lycourgos, M. Vilaras en E. Regan, rechters,

advocaat-generaal: Y. Bot,

griffier: C. Strömholm, administrateur,

gezien de stukken en na de terechtzitting op 27 juni 2017,

gelet op de opmerkingen ingediend door:

– Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, vertegenwoordigd door U. Karpenstein en M. Kottmann, Rechtsanwälte,

– Wirtschaftsakademie Schleswig-Holstein GmbH, vertegenwoordigd door C. Wolff, Rechtsanwalt,

– Facebook Ireland Ltd, vertegenwoordigd door C. Eggers, H.‑G. Kamann en M. Braun, Rechtsanwälte, en door I. Perego, avvocato,

– de Duitse regering, vertegenwoordigd door J. Möller als gemachtigde,

– de Belgische regering, vertegenwoordigd door L. Van den Broeck, C. Pochet, P. Cottin en J.‑C. Halleux als gemachtigden,

– de Tsjechische regering, vertegenwoordigd door M. Smolek, J. Vláčil en L. Březinová als gemachtigden,

– Ierland, vertegenwoordigd door M. Browne, L. Williams, E. Creedon, G. Gilmore en A. Joyce als gemachtigden,

– de Italiaanse regering, vertegenwoordigd door G. Palmieri als gemachtigde, bijgestaan door P. Gentili, avvocato dello Stato,

– de Nederlandse regering, vertegenwoordigd door C. S. Schillemans en M. K. Bulterman als gemachtigden,

– de Finse regering, vertegenwoordigd door J. Heliskoski als gemachtigde,

– de Europese Commissie, vertegenwoordigd door H. Krämer en D. Nardi als gemachtigden,

gehoord de conclusie van de advocaat-generaal ter terechtzitting van 24 oktober 2017,

het navolgende

Arrest

1 Het verzoek om een prejudiciële beslissing betreft de uitlegging van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281, blz. 31).

2 Dit verzoek is ingediend in het kader van een geding tussen het Unabhängiges Landeszentrum für Datenschutz (onafhankelijke regionale autoriteit voor gegevensbescherming van de deelstaat Sleeswijk-Holstein, Duitsland) (hierna: „ULD”) en Wirtschaftsakademie Schleswig-Holstein GmbH, een privaatrechtelijke vennootschap die is gespecialiseerd op het gebied van onderwijs (hierna: „Wirtschaftsakademie”), betreffende de rechtmatigheid van een door het ULD aan deze laatste opgelegd bevel om haar fanpagina op het sociale netwerk Facebook (hierna: „Facebook”) te deactiveren.

Toepasselijke bepalingen

Unierecht

3 De tiende, achttiende, negentiende en zesentwintigste overweging van richtlijn 95/46 luiden als volgt:

„(10) Overwegende dat met de nationale wetgevingen betreffende de verwerking van persoonsgegevens de eerbiediging moet worden gewaarborgd van de fundamentele rechten en vrijheden, en met name van het recht op bescherming van de persoonlijke levenssfeer, dat tevens in artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden en in de algemene beginselen van het Gemeenschapsrecht is erkend; dat derhalve de onderlinge aanpassing van deze wetgevingen niet tot een verzwakking van de aldus geboden bescherming mag leiden, maar juist erop gericht moet zijn een hoog beschermingsniveau in de [Unie] te waarborgen;

[...]

(18) Overwegende dat om te voorkomen dat een persoon wordt uitgesloten van de bescherming waarop hij krachtens deze richtlijn recht heeft, alle verwerkingen van persoonsgegevens in de [Unie] moeten worden uitgevoerd overeenkomstig de wetgeving van een van de lidstaten; dat in dit verband de verwerking die wordt uitgevoerd door een persoon namens een voor de verwerking verantwoordelijke die in een lidstaat is gevestigd, door het recht van die staat dient te worden geregeld;

(19) Overwegende dat de vestiging op het grondgebied van een lidstaat het effectief en daadwerkelijk uitoefenen van activiteiten door een vaste vestiging veronderstelt; dat de rechtsvorm van een dergelijke vestiging, of het nu gaat om een bijkantoor of om een dochteronderneming met rechtspersoonlijkheid, hier niet doorslaggevend is; dat, wanneer een en dezelfde voor de verwerking verantwoordelijke gevestigd is op het grondgebied van verscheidene lidstaten, met name door middel van een dochteronderneming, hij dient te waarborgen, in het bijzonder om elke vorm van wetsontduiking te voorkomen, dat elk van de vestigingen voldoet aan de verplichtingen die het nationale recht aan de activiteiten stelt;

[...]

(26) Overwegende dat de beschermingsbeginselen moeten gelden voor elk gegeven betreffende een geïdentificeerde of identificeerbare persoon; dat, om te bepalen of een persoon identificeerbaar is, moet worden gekeken naar alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is dan wel door enig ander persoon in te zetten zijn om genoemde persoon te identificeren; dat de beschermingsbeginselen niet van toepassing zijn op gegevens die op zodanige wijze anoniem zijn gemaakt dat de persoon waarop ze betrekking hebben niet meer identificeerbaar is; [...]”

4 Artikel 1 van richtlijn 95/46, met het opschrift „Onderwerp van de richtlijn”, bepaalt:

„1. De lidstaten waarborgen in verband met de verwerking van persoonsgegevens, overeenkomstig de bepalingen van deze richtlijn, de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, inzonderheid van het recht op persoonlijke levenssfeer.

2. De lidstaten mogen het vrije verkeer van persoonsgegevens tussen lidstaten beperken noch verbieden om redenen die met de uit hoofde van lid 1 gewaarborgde bescherming verband houden.”

5 Artikel 2 van die richtlijn, met het opschrift „Definities”, luidt als volgt:

„In de zin van deze richtlijn wordt verstaan onder:

[...]

b) ‚verwerking van persoonsgegevens’, hierna ‚verwerking’ te noemen, elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;

[...]

d) ‚voor de verwerking verantwoordelijke’, de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam die, respectievelijk dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer het doel van en de middelen voor de verwerking worden vastgesteld bij nationale of [Unierechtelijke] wettelijke of bestuursrechtelijke bepalingen, kan in het nationale [...] recht [of in het Unierecht] worden bepaald wie de voor de verwerking verantwoordelijke is of volgens welke criteria deze wordt aangewezen;

e) ‚verwerker’, de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam die, respectievelijk dat ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt;

f) ‚derde’, de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam, niet zijnde de betrokkene, noch de voor de verwerking verantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de voor de verwerking verantwoordelijke of de verwerker gemachtigd zijn om de gegevens te verwerken;

[...]”

6 Artikel 4 van die richtlijn, met het opschrift „Toepasselijk nationaal recht”, bepaalt in lid 1:

„Elke lidstaat past zijn nationale, ter uitvoering van deze richtlijn vastgestelde bepalingen toe op de verwerking van persoonsgegevens indien:

a) die wordt verricht in het kader van de activiteiten van een vestiging op het grondgebied van de lidstaat van de voor de verwerking verantwoordelijke; wanneer dezelfde verantwoordelijke een vestiging heeft op het grondgebied van verscheidene lidstaten, dient hij de nodige maatregelen te treffen om ervoor te zorgen dat elk van die vestigingen voldoet aan de verplichtingen die worden opgelegd door de toepasselijke nationale wetgeving;

b) de voor de verwerking verantwoordelijke niet gevestigd is op het grondgebied van de lidstaat, maar in een plaats waar de nationale wet uit hoofde van het internationale publiekrecht van toepassing is;

c) de voor de verwerking verantwoordelijke persoon niet gevestigd is op het grondgebied van de [Unie] en voor de verwerking van persoonsgegevens gebruikmaakt van al dan niet geautomatiseerde middelen die zich op het grondgebied van genoemde lidstaat bevinden, behalve indien deze middelen op het grondgebied van de [Unie] slechts voor doorvoer worden gebruikt.”

7 Artikel 17 van richtlijn 95/46, met het opschrift „Beveiliging van de verwerking”, bepaalt in de leden 1 en 2:

„1. „De lidstaten bepalen dat de voor de verwerking verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer dient te leggen om persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking doorzending van gegevens in een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking.

Deze maatregelen moeten, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich brengen.

2. De lidstaten bepalen dat de voor de verwerking verantwoordelijke, in geval van verwerking te zijnen behoeve, een verwerker moet kiezen die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerking en moet toezien op de naleving van die maatregelen.”

8 Artikel 24 van die richtlijn, met het opschrift „Sancties”, luidt:

„De lidstaten nemen passende maatregelen om de onverkorte toepassing van de bepalingen van deze richtlijn te garanderen en stellen met name de sancties vast die gelden bij inbreuk op de ter uitvoering van deze richtlijn vastgestelde bepalingen.”

9 Artikel 28 van deze richtlijn, met het opschrift „Toezichthoudende overheid”, luidt als volgt:

„1. Elke lidstaat bepaalt dat een of meer autoriteiten worden belast met het toezicht op de toepassing op zijn grondgebied van de ter uitvoering van deze richtlijn door de lidstaten vastgestelde bepalingen.

Deze autoriteiten vervullen de hun opgedragen taken in volledige onafhankelijkheid.

2. Elke lidstaat bepaalt dat de toezichthoudende autoriteiten worden geraadpleegd bij de opstelling van de wettelijke of bestuursrechtelijke bepalingen met betrekking tot de bescherming van de rechten en vrijheden van personen in verband met de verwerking van persoonsgegevens.

3. Elke toezichthoudende autoriteit beschikt met name over:

– onderzoeksbevoegdheden, zoals het recht van toegang tot gegevens die voorwerp van verwerking zijn en bevoegdheden om alle inlichtingen in te winnen die voor de uitoefening van haar toezichtstaak noodzakelijk zijn;

– effectieve bevoegdheden om in te grijpen, zoals bij voorbeeld de bevoegdheid om voorafgaand aan de uitvoering van de verwerking advies uit te brengen, overeenkomstig artikel 20, en te zorgen voor een passende bekendmaking van deze adviezen of de bevoegdheid om afscherming, uitwissing of vernietiging van gegevens te gelasten, dan wel een verwerking voorlopig of definitief te verbieden of de bevoegdheid tot de voor de verwerking verantwoordelijke een waarschuwing of berisping te richten of de bevoegdheid de nationale parlementen of andere politieke instellingen in te schakelen;

– de bevoegdheid om in rechte op te treden in geval van inbreuken op ter uitvoering van deze richtlijn vastgestelde nationale bepalingen, of om die inbreuken onder de aandacht van het gerecht te brengen.

Tegen beslissingen van de toezichthoudende autoriteit kan beroep bij de rechter worden aangetekend.

[...]

6. Elke toezichthoudende autoriteit is bevoegd, ongeacht welk nationaal recht op de betrokken verwerking van toepassing is, op het grondgebied van haar eigen lidstaat de haar overeenkomstig lid 3 verleende bevoegdheden uit te oefenen. Elke autoriteit kan door een autoriteit van een andere lidstaat worden verzocht haar bevoegdheden uit te oefenen.

De toezichthoudende autoriteiten werken onderling samen voor zover zulks noodzakelijk is voor de uitvoering van hun taken, met name door de uitwisseling van alle nuttige inlichtingen.

[...]”

Duits recht

10 § 3, lid 7, van het Bundesdatenschutzgesetz (federale wet inzake gegevensbescherming), in de versie die van toepassing is op de feiten in het hoofdgeding (hierna: „BDSG”), luidt als volgt:

„Een verantwoordelijk lichaam is elke persoon die of elk lichaam dat zelf dan wel door tussenkomst van een derde verwerker persoonsgegevens verkrijgt, verwerkt of benut.”

11 § 11 BDSG, met het opschrift „Verkrijging, verwerking of gebruik van persoonsgegevens door tussenkomst van een derde verwerker”, luidt als volgt:

„(1) Indien persoonsgegevens door tussenkomst van derde verwerkers worden verkregen, verwerkt of benut, is de opdrachtgever verantwoordelijk voor de eerbiediging van deze wet en van andere bepalingen inzake de gegevensbescherming. [...]

(2) De verwerker wordt zorgvuldig gekozen, waarbij in het bijzonder rekening worden gehouden met de geschiktheid van de technische en organisatorische maatregelen die hij heeft genomen. De opdracht wordt schriftelijk verstrekt, waarbij meer bepaald het volgende tot in detail wordt vastgelegd: [...]

De voor de verwerking in opdracht verantwoordelijke controleert vóór aanvang van de gegevensverwerking en vervolgens regelmatig dat de technische en organisatorische maatregelen die de verwerker heeft getroffen worden nageleefd. Het resultaat wordt schriftelijk vastgelegd.

[...]”

12 § 38, lid 5, BDSG bepaalt:

„Ter waarborging van de eerbiediging van deze wet en andere bepalingen inzake gegevensbescherming, kan de toezichthoudende autoriteit maatregelen bevelen teneinde bij de verkrijging, de verwerking of het gebruik van persoonsgegevens vastgestelde schendingen of technische of organisatorische tekortkomingen te verhelpen. Zij kan bij ernstige schendingen of tekortkomingen, meer bepaald wanneer deze een bijzonder risico vormen voor inbreuk op de persoonlijke levenssfeer, de verkrijging, de verwerking of het gebruik dan wel de toepassing van een bepaalde procedure verbieden wanneer de schendingen of de tekortkomingen niet tijdig worden verholpen, in weerwil van het in de eerste volzin bedoelde bevel en ondanks de oplegging van een dwangsom. Zij kan verzoeken om ontslag van de functionaris voor de gegevensbescherming, wanneer deze niet beschikt over de vakkennis en de betrouwbaarheid die voor de vervulling van zijn taken vereist zijn.”

13 § 12 van het Telemediengesetz (wet op de elektronische media), van 26 februari 2007 (BGBl. 2007 I, blz. 179; hierna: „TMG”), luidt als volgt:

„(1) De dienstenaanbieder mag persoonsgegevens slechts verkrijgen en benutten met het oog op de terbeschikkingstelling van elektronische media indien dit is toegestaan krachtens deze wet of een ander wettelijk voorschrift dat uitdrukkelijk op elektronische media betrekking heeft of indien de gebruiker zijn toestemming heeft gegeven.

[...]

(3) Tenzij anders is bepaald, is de voor de bescherming van persoonsgegevens geldende wetgeving tevens van toepassing wanneer de gegevens niet automatisch worden verwerkt.”

Hoofdgeding en prejudiciële vragen

14 Wirtschaftsakademie biedt onderwijsdiensten aan door middel van een fanpagina op Facebook.

15 Fanpagina’s zijn gebruikersaccounts die op Facebook door particulieren of bedrijven kunnen worden geconfigureerd. Hiertoe kan de auteur van de fanpagina, na registratie bij Facebook, gebruikmaken van het door laatstgenoemde ingerichte platform om zich te presenteren aan de gebruikers van dit sociale netwerk en aan personen die de fanpagina bezoeken, en om allerlei soorten berichten te plaatsen op de markt voor media en opinie. Beheerders van fanpagina’s kunnen met behulp van de tool met de naam Facebook Insights, die Facebook onder vaste gebruiksvoorwaarden gratis aan hen ter beschikking stelt, anonieme statistieken over de bezoekers van deze pagina’s verkrijgen. Deze gegevens worden verzameld via tekstbestandjes (cookies) die elk een unieke gebruikerscode bevatten, twee jaar actief zijn en door Facebook op de harde schijf van de computer of op iedere andere drager van de bezoekers van de fanpagina worden opgeslagen. De gebruikerscode, die kan worden gelinkt aan de verbindingsgegevens van de gebruikers die op Facebook zijn geregistreerd, wordt verkregen en verwerkt op het moment dat de fanpagina’s worden geopend. In dit verband komt uit de verwijzingsbeslissing naar voren dat noch Wirtschaftsakademie noch Facebook Ireland Ltd de opslag en de werking van deze cookie of de daaropvolgende gegevensverwerking ter sprake hebben gebracht, ten minste in de loop van de periode die relevant is voor het hoofdgeding.

16 Bij besluit van 3 november 2011 (hierna: „bestreden besluit”) heeft het ULD, als toezichthoudende autoriteit in de zin van artikel 28 van richtlijn 95/46 en belast met het toezicht op de toepassing op het grondgebied van de deelstaat Sleeswijk-Holstein (Duitsland) van de bepalingen die ter uitvoering van deze richtlijn door de Bondsrepubliek Duitsland zijn vastgesteld, Wirtschaftsakademie overeenkomstig § 38, lid 5, eerste volzin, BDSG bevolen de fanpagina te deactiveren die zij op Facebook op het adres www.facebook.com/wirtschaftsakademie had aangemaakt, op straffe van verbeurte van een dwangsom bij niet-nakoming binnen de gestelde termijn, op grond dat Wirtschaftsakademie noch Facebook de bezoekers van deze fanpagina ervan op de hoogte brachten dat Facebook door middel van cookies persoonlijke informatie over hen verzamelde en dat zij deze informatie vervolgens verwerkten. Wirtschaftsakademie heeft tegen dit besluit bezwaar ingediend waarbij zij in wezen aanvoerde dat zij, in het licht van het op de gegevensbescherming toepasselijke recht, noch verantwoordelijk was voor de gegevensverwerking door Facebook, noch voor de door laatstgenoemde geïnstalleerde cookies.

17 Bij besluit van 16 december 2011 heeft het ULD dit bezwaar afgewezen omdat Wirtschaftsakademie naar zijn oordeel als dienstenaanbieder verantwoordelijk was op grond van § 3, lid 3, punt 4, en § 12, lid 1, TMG juncto § 3, lid 7, BDSG. Het ULD heeft uiteengezet dat Wirtschaftsakademie door het aanmaken van haar fanpagina actief en vrijwillig een bijdrage leverde aan de verkrijging door Facebook van persoonsgegevens met betrekking tot de bezoekers van deze fanpagina, waarvan zij profiteerde door middel van de statistieken die Facebook haar ter beschikking stelde.

18 Wirtschaftsakademie heeft tegen dit besluit beroep ingesteld bij het Verwaltungsgericht (bestuursrechter in eerste aanleg, Duitsland), waarbij zij aanvoerde dat de verwerking van persoonsgegevens door Facebook niet aan haar kon worden toegerekend en dat zij Facebook evenmin had opgedragen, in de zin van § 11 BDSG, over te gaan tot de verwerking van gegevens waarover zij controle had of waarop zij invloed kon uitoefenen. Wirtschaftsakademie leidde hieruit af het ULD rechtstreeks had moeten optreden tegen Facebook en het bestreden besluit niet jegens haar had moeten vaststellen.

19 Bij uitspraak van 9 oktober 2013 heeft het Verwaltungsgericht het bestreden besluit nietig verklaard door in wezen te oordelen dat de beheerder van een fanpagina op Facebook geen verantwoordelijk lichaam in de zin van § 3, lid 7, BDSG is en dat Wirtschaftsakademie derhalve geen maatregel uit hoofde van § 38, lid 5, BDSG kon worden opgelegd.

20 Het Oberverwaltungsgericht (hoogste bestuursrechter in de deelstaat, Duitsland) heeft het hoger beroep van het ULD tegen deze uitspraak ongegrond verklaard. Deze rechter heeft in wezen geoordeeld dat het in het bestreden besluit opgenomen verbod op de verwerking van persoonsgegevens onwettig was omdat § 38, lid 5, tweede zin, BDSG voorziet in een geleidelijk proces, waarvan de eerste fase uitsluitend toestaat maatregelen vast te stellen die tot doel hebben de bij de gegevensverwerking geconstateerde schendingen te verhelpen. Een onmiddellijk verbod op de verwerking van persoonsgegevens is alleen denkbaar indien een gegevensverwerkingsproces in zijn geheel onrechtmatig is en alleen de opschorting van dit proces dit kan verhelpen. Volgens het Oberverwaltungsgericht zou dit in casu echter niet het geval zijn geweest, omdat Facebook wel degelijk een einde had kunnen maken aan de door het ULD gestelde schendingen.

21 Deze rechter heeft hieraan toegevoegd dat het bestreden besluit tevens onwettig was omdat een bevel krachtens § 38, lid 5, BDSG alleen kan worden opgelegd aan het lichaam dat in de zin van § 3, lid 7, BDSG verantwoordelijk is, hetgeen met betrekking tot de gegevens die door Facebook werden verzameld niet Wirtschaftsakademie was. Alleen Facebook bepaalt namelijk het doel van en de middelen voor de verkrijging en de verwerking van persoonsgegevens die worden gebruikt in het kader van de functie Facebook Insight, waarbij Wirtschaftsakademie alleen geanonimiseerde statistische informatie ontvangt.

22 Het ULD heeft beroep in Revision ingediend bij het Bundesverwaltungsgericht (hoogste federale bestuursrechter, Duitsland) en daarbij onder meer schending van § 38, lid 5, BDSG en meerdere procedurefouten in de uitspraak van de appelrechter aangevoerd. Het ULD is van mening dat de door Wirtschaftsakademie begane schending samenhangt met het feit dat zij de verwezenlijking, de hosting en het onderhoud van een website heeft toevertrouwd aan een aanbieder, namelijk Facebook Ireland, die ongeschikt is omdat hij geen rekening houdt met het op de gegevensbescherming toepasselijke recht. Het deactiveringsbevel dat bij het bestreden besluit is opgelegd aan Wirtschaftsakademie heeft derhalve tot doel deze schending ongedaan te maken, omdat dit bevel haar verbiedt de infrastructuur van Facebook te blijven gebruiken als technische basis van haar website.

23 Net als het Oberverwaltungsgericht, is het Bundesverwaltungsgericht van oordeel dat Wirtschaftsakademie niet zelf kan worden beschouwd als voor de gegevensverwerking verantwoordelijke in de zin van § 3, lid 7, BDSG, of artikel 2, onder d), van richtlijn 95/46. Deze laatste rechter meent niettemin dat dit begrip in beginsel, in het belang van een doeltreffende bescherming van het recht op bescherming van de persoonlijke levenssfeer, ruim moet worden uitgelegd, zoals het Hof in recente rechtspraak op dit gebied heeft erkend. Voorts heeft hij twijfels over de bevoegdheden waarover in casu het ULD beschikt jegens Facebook Germany, gelet op het feit dat binnen het Facebook-concern Facebook Ireland de verantwoordelijke voor de verkrijging en de verwerking van persoonsgegevens is. Ten slotte vraagt hij zich af wat, met het oog op de uitoefening van de bevoegdheden tot ingrijpen van het ULD, de invloed is van de beoordelingen die de toezichthoudende autoriteit waaronder Facebook Ireland ressorteert heeft gemaakt ten aanzien van de wettigheid van de betrokken verwerking van persoonsgegevens.

24 Hierop heeft het Bundesverwaltungsgericht de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:

„1) Moet artikel 2, onder d), van richtlijn [95/46] aldus worden uitgelegd dat het de aansprakelijkheid en verantwoordelijkheid voor inbreuken op de bescherming van gegevens definitief en uitputtend regelt, of blijft er in het kader van de ‚passende maatregelen’ als bedoeld in artikel 24 van [deze richtlijn] en de ‚effectieve bevoegdheden om in te grijpen’ als bedoeld in artikel 28, lid 3, tweede streepje, [ervan] in meervoudige verhoudingen van informatieaanbieders ruimte voor verantwoordelijkheid van een lichaam dat niet de voor de verwerking verantwoordelijke in de zin van artikel 2, onder d), van [genoemde richtlijn] is, op grond van de keuze van een beheerder voor zijn informatieaanbod?

2) Volgt, a contrario, uit de uit artikel 17, lid 2, van richtlijn 95/46 voortvloeiende verplichting van de lidstaten om bij de gegevensverwerking in opdracht te verlangen dat de voor de verwerking verantwoordelijke ‚een verwerker [kiest] die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerking’, dat er, in het kader van ander gebruik dat geen gegevensverwerking ten behoeve van de voor de verwerker verantwoordelijke in de zin van artikel 2, onder e), van [deze richtlijn] impliceert, geen enkele verplichting bestaat om een zorgvuldige keuze te maken en dat deze ook niet kan worden gebaseerd op het nationale recht?

3) Wanneer een buiten de Europese Unie gevestigde moederonderneming in verscheidene lidstaten over juridisch zelfstandige vestigingen (dochterondernemingen) beschikt, mag dan de toezichthoudende autoriteit van een lidstaat (in casu Duitsland) ook dan krachtens artikel 4 en artikel 28, lid 6, van richtlijn 95/46 de haar door artikel 28, lid 3, van [deze richtlijn] verleende bevoegdheden uitoefenen jegens de op het grondgebied van deze lidstaat gelegen vestiging die alleen de promotie en de verkoop verzekert van advertentieruimte en andere op de inwoners van deze lidstaat gerichte marketingactiviteiten, terwijl de zelfstandige vestiging (dochteronderneming) in een andere lidstaat (in casu Ierland) volgens de taakverdeling binnen de groep exclusief verantwoordelijk is voor de verkrijging en de verwerking van persoonsgegevens op het gehele grondgebied van de Europese Unie en dus ook in de andere lidstaat (in casu Duitsland), indien de beslissing betreffende de gegevensverwerking in feite door de moederonderneming wordt genomen?

4) Moeten artikel 4, lid 1, onder a), en artikel 28, lid 3, van richtlijn [95/46] aldus worden uitgelegd dat, wanneer de voor de verwerking verantwoordelijke een vestiging op het grondgebied van een lidstaat (in casu Ierland) bezit en er op het grondgebied van een andere lidstaat (in casu Duitsland) een andere, juridisch zelfstandige vestiging is die onder meer is belast met de verkoop van advertentieruimte en waarvan de activiteit op de inwoners van deze staat is gericht, de bevoegde toezichthoudende autoriteit in deze andere lidstaat (in casu Duitsland) ook maatregelen en bevelen tot handhaving van het op de gegevensbescherming toepasselijke recht kan richten tot de andere vestiging (in casu in Duitsland) die volgens de taak- en verantwoordelijkheidsverdeling binnen de groep niet voor de gegevensverwerking verantwoordelijk is, of kunnen maatregelen en bevelen dan slechts worden genomen of uitgevaardigd door de toezichthoudende autoriteit van de lidstaat (in casu Ierland) op wiens grondgebied het binnen de groep verantwoordelijke lichaam zijn zetel heeft?

5) Moeten artikel 4, lid 1, onder a), en artikel 28, leden 3 en 6, van richtlijn [95/46] aldus worden uitgelegd dat, wanneer de toezichthoudende autoriteit van een lidstaat (in casu Duitsland) als gevolg van de onzorgvuldige keuze van een bij het gegevensverwerkingsproces betrokken derde (in casu Facebook) krachtens artikel 28, lid 3, van [deze richtlijn] optreedt tegen een persoon die of lichaam dat zijn activiteiten uitoefent op het grondgebied van deze lidstaat omdat deze derde het op de gegevensbescherming toepasselijke recht heeft geschonden, de ingrijpende toezichthoudende autoriteit (in casu van Duitsland) is gebonden aan de beoordeling in het licht van het op de gegevensbescherming toepasselijke recht door de toezichthoudende autoriteit van de andere lidstaat (in casu Ierland) waar de voor de gegevensverwerking verantwoordelijke derde is gevestigd, in die zin dat zij geen hiervan afwijkend juridisch oordeel mag formuleren, of mag de ingrijpende toezichthoudende autoriteit (in casu van Duitsland) de rechtmatigheid van de gegevensverwerking door de in een andere lidstaat (in casu Ierland) gevestigde derde voorafgaand autonoom toetsen?

6) Indien de ingrijpende toezichthoudende autoriteit (in casu van Duitsland) een autonome toetsing mag uitvoeren: moet artikel 28, lid 6, tweede zin, van richtlijn [95/46] dan aldus worden uitgelegd dat deze toezichthoudende autoriteit de effectieve bevoegdheden om in te grijpen waarover zij krachtens artikel 28, lid 3, van [deze richtlijn] beschikt alleen mag uitoefenen jegens op een haar grondgebied gevestigd persoon of lichaam wegens medeverantwoordelijkheid voor de inbreuken op de bescherming van gegevens die de in een andere lidstaat gevestigde derde heeft begaan wanneer zij vooraf de toezichthoudende autoriteit van deze andere lidstaat (in casu Ierland) heeft verzocht haar bevoegdheden uit te oefenen?”

Beantwoording van de prejudiciële vragen

Eerste en tweede vraag

25 Met zijn eerste en tweede vraag, die gezamenlijk moeten worden onderzocht, wenst de verwijzende rechter in wezen te vernemen of artikel 2, onder d), artikel 17, lid 2, artikel 24 en artikel 28, lid 3, tweede streepje, van richtlijn 95/46 aldus moeten worden uitgelegd dat zij toestaan een lichaam, in zijn hoedanigheid van beheerder van een fanpagina die op een sociaal netwerk is opgeslagen, in geval van schending van de regels inzake de bescherming van persoonsgegevens verantwoordelijk te houden als gevolg van de keuze om voor de verspreiding van zijn informatieaanbod gebruik te maken van dit sociale netwerk.

26 Ter beantwoording van deze vragen zij eraan herinnerd dat richtlijn 95/46, zoals volgt uit artikel 1 en uit de tiende overweging ervan, met betrekking tot de verwerking van persoonsgegevens een hoog niveau van bescherming van de grondrechten en vrijheden van natuurlijke personen, en vooral van hun privéleven, beoogt te waarborgen (arrest van 11 december 2014, Ryneš, C‑212/13, EU:C:2014:2428, punt 27 en aldaar aangehaalde rechtspraak).

27 In overeenstemming met deze doelstelling geeft artikel 2, onder d), van deze richtlijn een ruime uitlegging aan het begrip „voor de verwerking verantwoordelijke”, waarmee wordt gedoeld op de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam die, respectievelijk dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

28 Immers, zoals het Hof reeds heeft geoordeeld, bestaat het doel van deze bepaling erin via een ruime omschrijving van het begrip „verantwoordelijke” een doeltreffende en volledige bescherming van de betrokkenen te verzekeren (arrest van 13 mei 2014, Google Spain en Google, C‑131/12, EU:C:2014:317, punt 34).

29 Aangezien, zoals uitdrukkelijk is bepaald in artikel 2, onder d), van richtlijn 95/46, het begrip „voor de verwerking verantwoordelijke” doelt op het lichaam dat „alleen of tezamen met anderen”, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt, verwijst dit begrip bovendien niet noodzakelijkerwijs naar een enkel lichaam en kan het betrekking hebben op meerdere deelnemers aan deze verwerking, die dan ieder onder de bepalingen op het gebied van gegevensbescherming vallen.

30 In het onderhavige geval moeten Facebook Inc. en, wat de Unie betreft, Facebook Ireland worden beschouwd als degenen die primair het doel van en de middelen voor de verwerking van de persoonsgegevens van de Facebookgebruikers en van de personen die de fanpagina’s op Facebook bezoeken vaststellen en dus onder het begrip „voor de verwerking verantwoordelijke” in de zin van artikel 2, onder d), van richtlijn 95/46 vallen, hetgeen in deze zaak niet wordt betwijfeld.

31 Ter beantwoording van de gestelde vragen moet niettemin worden onderzocht of en in welke mate de beheerder van een fanpagina op Facebook, zoals Wirtschaftsakademie, in het kader van deze fanpagina bijdraagt aan de vaststelling, gezamenlijk met Facebook Ireland en Facebook Inc., van het doel van en de middelen voor de verwerking van de persoonsgegevens van de bezoekers van die fanpagina en dus mede kan worden beschouwd als „voor de verwerking verantwoordelijke” in de zin van artikel 2, onder d), van richtlijn 95/46.

32 In dat verband blijkt dat eenieder die een fanpagina op Facebook wil aanmaken, voor de opening van een dergelijke pagina een specifieke overeenkomst met Facebook Ireland sluit en daarbij instemt met de gebruiksvoorwaarden van deze pagina, met inbegrip van het bijbehorende cookiebeleid, hetgeen door de nationale rechter moet worden nagegaan.

33 Zoals blijkt uit het aan het Hof overgelegde dossier, worden de gegevensverwerkingen die in het hoofdgeding aan de orde zijn hoofdzakelijk uitgevoerd door het plaatsen, door Facebook, op de computer of op ieder ander apparaat van de personen die de fanpagina hebben bezocht, van cookies die tot doel hebben informatie op de webbrowsers op te slaan en gedurende twee jaar actief blijven indien ze niet worden gewist. Uit het dossier komt tevens naar voren dat Facebook, in de praktijk, de informatie die in cookies is opgeslagen met name ontvangt, opslaat en verwerkt bij het bezoek van een persoon aan „de Facebook-[diensten], waaronder [de] website en apps [van Facebook] of als [iemand] andere websites en apps bezoekt die gebruikmaken van Facebook-[diensten]”. Daarenboven kunnen ook andere entiteiten, zoals partners van Facebook of zelfs derden, „cookies op de Facebook-[diensten] gebruiken om [rechtstreeks aan dit sociale netwerk] en de bedrijven die adverteren op Facebook [diensten] te verlenen”.

34 Deze verwerkingen van persoonsgegevens hebben met name tot doel om enerzijds Facebook in staat te stellen het advertentiesysteem dat zij via haar netwerk verspreidt te verbeteren en anderzijds de beheerder van de fanpagina in staat te stellen om met het oog op het beheer van de promotie voor zijn activiteit statistieken te verkrijgen die Facebook aan de hand van bezoeken aan deze pagina heeft opgesteld, waardoor hij bijvoorbeeld te weten kan komen wat het profiel is van de bezoekers die zijn fanpagina appreciëren of zijn applicaties gebruiken, zodat hij hun relevantere content kan aanbieden en functiemogelijkheden kan ontwikkelen die hen mogelijk meer interesseren.

35 Ofschoon een Facebook-gebruiker door het loutere gebruik van een sociaal netwerk als Facebook niet medeverantwoordelijk wordt voor een verwerking van persoonsgegevens door dit netwerk, moet daarentegen wel worden opgemerkt dat de beheerder van een fanpagina op Facebook het netwerk door het aanmaken van een dergelijke pagina de mogelijkheid biedt cookies te plaatsen op de computer of op ieder ander apparaat van degene die de fanpagina heeft bezocht, ongeacht of deze persoon een Facebookaccount heeft.

36 In dit verband blijkt uit de aan het Hof overgelegde gegevens dat de beheerder van een fanpagina op Facebook bij het aanmaken van een dergelijke pagina instellingen moet vastleggen naargelang van met name zijn doelpubliek en van doelstellingen voor het beheer of de promotie van zijn activiteiten, hetgeen van invloed is op de verwerking van persoonsgegevens met het oog op het opstellen van statistieken op basis van bezoeken aan de fanpagina. Deze beheerder kan, met behulp van filters die hem door Facebook ter beschikking worden gesteld, criteria vaststellen aan de hand waarvan deze statistieken moeten worden opgesteld en zelfs de categorieën personen aanwijzen wier persoonsgegevens door Facebook zullen worden geëxploiteerd. Dientengevolge draagt de beheerder van een fanpagina op Facebook bij aan de verwerking van persoonsgegevens van de bezoekers van zijn pagina.

37 Meer bepaald kan de beheerder van de fanpagina verzoeken om ontvangst – en dus de verwerking – van demografische gegevens met betrekking tot zijn doelgroep, met name trends op het gebied van leeftijd, geslacht, liefdesleven, en beroep, informatie over de levensstijl en de interesses van zijn doelgroep, alsmede informatie over de aankopen en het online-aankoopgedrag van de bezoekers van zijn pagina, de categorieën producten of diensten die deze groep het meest interesseren, alsook geografische gegevens die de beheerder van de fanpagina aangeven waar hij speciale promotieactiviteiten kan verrichten of evenementen kan organiseren en waarmee hij meer in het algemeen zijn informatieaanbod beter kan richten.

38 Ofschoon de door Facebook opgestelde bezoekersstatistieken slechts geanonimiseerd aan de beheerder van de fanpagina worden doorgegeven, zijn deze statistieken niettemin opgesteld op basis van de voorafgaande verkrijging door middel van cookies die door Facebook zijn geplaatst op de computer of op ieder ander apparaat van degenen die deze pagina hebben bezocht, en op basis van de verwerking van de persoonsgegevens van deze bezoekers voor deze statistische doeleinden. In ieder geval vereist richtlijn 95/46 niet dat, wanneer meerdere ondernemers gezamenlijk voor dezelfde verwerking verantwoordelijk zijn, elk van hen toegang heeft tot de betrokken persoonsgegevens.

39 In deze omstandigheden moet worden geoordeeld dat de beheerder van een fanpagina op Facebook, zoals Wirtschaftsakademie, door het vastleggen van instellingen naargelang van, met name, zijn doelpubliek en van doelstellingen voor het beheer of de promotie van zijn activiteiten, deelneemt aan de vaststelling van het doel van en de middelen voor de verwerking van de persoonsgegevens van de bezoekers van zijn fanpagina. Hiervoor moet deze beheerder, in casu, worden aangemerkt als verantwoordelijke binnen de Unie, gezamenlijk met Facebook Ireland, voor deze verwerking, in de zin van artikel 2, onder d), van richtlijn 95/46.

40 Het feit dat een beheerder van een fanpagina gebruikmaakt van het door Facebook beschikbaar gestelde platform om van de bijbehorende diensten te profiteren kan hem namelijk niet ontslaan van de naleving van zijn verplichtingen op het gebied van bescherming van persoonsgegevens.

41 Overigens moet worden benadrukt dat de fanpagina’s op Facebook ook kunnen worden bezocht door personen die geen Facebookgebruiker zijn en dus geen gebruikersaccount op dit sociale netwerk hebben. In dat geval is de verantwoordelijkheid van de beheerder van de fanpagina ten aanzien van de verwerking van de persoonsgegevens van deze personen nog groter, omdat louter door het raadplegen van de fanpagina door deze bezoekers automatisch de verwerking van hun persoonsgegevens in werking wordt gesteld.

42 In deze omstandigheden draagt de erkenning van een gezamenlijke verantwoordelijkheid van de exploitant van het sociale netwerk en de beheerder van een fanpagina die op dit netwerk is geplaatst in verband met de verwerking van de persoonsgegevens van de bezoekers van deze fanpagina bij aan de waarborging van een vollediger bescherming van de rechten van de personen die een fanpagina bezoeken, overeenkomstig de vereisten van richtlijn 95/46.

43 Niettemin moet worden benadrukt dat, zoals de advocaat-generaal in de punten 75 en 76 van zijn conclusie heeft opgemerkt, het bestaan van een gezamenlijke verantwoordelijkheid zich niet noodzakelijkerwijs uit in een gelijkwaardige verantwoordelijkheid van de verschillende ondernemers die betrokken zijn bij de verwerking van persoonsgegevens. Deze ondernemers kunnen juist in verschillende stadia en in verschillende maten bij deze verwerking betrokken zijn, zodat het niveau van verantwoordelijkheid van elk van hen moet worden beoordeeld in het licht van alle relevante omstandigheden van het geval.

44 Gelet op het voorgaande moet op de eerste en de tweede vraag worden geantwoord dat artikel 2, onder d), van richtlijn 95/46 aldus moet worden uitgelegd dat het begrip „voor de verwerking verantwoordelijke” in de zin van deze bepaling de beheerder van een op een sociaal netwerk geplaatste fanpagina omvat.

Derde en vierde vraag

45 Met zijn derde en vierde vraag, die gezamenlijk samen moeten worden onderzocht, wenst de verwijzende rechter in wezen te vernemen of de artikelen 4 en 28 van richtlijn 95/46 aldus moeten worden uitgelegd dat, wanneer een buiten de Unie gevestigde onderneming meerdere vestigingen in verschillende lidstaten heeft, de toezichthoudende autoriteit van een lidstaat bevoegd is tot uitoefening van haar bevoegdheden uit hoofde van artikel 28, lid 3, van deze richtlijn, ten aanzien van een vestiging op het grondgebied van die lidstaat terwijl, krachtens de verdeling van taken binnen de groep, deze vestiging uitsluitend is belast met de verkoop van advertentieruimte en andere marketingactiviteiten op het grondgebied van die lidstaat, en de exclusieve verantwoordelijkheid voor de verkrijging en de verwerking van persoonsgegevens, voor het gehele grondgebied van de Unie, berust bij een vestiging in een andere lidstaat, dan wel dat het aan de toezichthoudende autoriteit van de laatstgenoemde lidstaat is, deze bevoegdheden ten aanzien van tweede vestiging uit te oefenen.

46 Het ULD en de Italiaanse regering hebben twijfels over de ontvankelijkheid van deze vragen, omdat zij niet relevant zijn voor de beslechting van het hoofdgeding. Het bestreden besluit is immers gericht tot Wirtschaftsakademie en dus niet tot Facebook Inc., noch tot een van haar op het grondgebied van de Unie gevestigde dochterondernemingen.

47 In dit verband zij eraan herinnerd dat het in het kader van de in artikel 267 VWEU ingestelde samenwerking tussen het Hof en de nationale rechterlijke instanties uitsluitend een zaak is van de nationale rechter aan wie het geschil is voorgelegd en die de verantwoordelijkheid draagt voor de te geven rechterlijke beslissing, om, gelet op de bijzonderheden van de zaak, zowel de noodzaak van een prejudiciële beslissing voor het wijzen van zijn vonnis als de relevantie van de vragen die hij aan het Hof stelt, te beoordelen. Wanneer de vragen dus betrekking hebben op de uitlegging van Unierecht, is het Hof in beginsel verplicht daarop te antwoorden (arrest van 6 september 2016, Petruhhin, C‑182/15, EU:C:2016:630, punt 19 en aldaar aangehaalde rechtspraak).

48 In casu moet worden opgemerkt dat de verwijzende rechter stelt dat hij een antwoord van het Hof op de derde en de vierde prejudiciële vraag noodzakelijk acht voor de beslechting van het hoofdgeding. Hij licht namelijk toe dat, mocht worden vastgesteld dat, in het licht van dit antwoord, het ULD de gestelde schendingen van het recht op bescherming van de persoonsgegevens kon verhelpen door het vaststellen van een maatregel tegen Facebook Germany, een dergelijke omstandigheid zou kunnen aantonen dat in het bestreden besluit blijk was gegeven van een onjuiste beoordeling, omdat dit ten onrechte jegens Wirtschaftsakademie was vastgesteld.

49 Bijgevolg zijn de derde en de vierde vraag ontvankelijk.

50 Ter beantwoording van deze vragen moet er vooraf aan worden herinnerd dat krachtens artikel 28, leden 1 en 3, van richtlijn 95/46, elke toezichthoudende autoriteit alle bevoegdheden uitoefent die haar zijn toegekend op het grondgebied van haar eigen lidstaat, teneinde op dat grondgebied de eerbiediging van de regels inzake gegevensbescherming te waarborgen (zie in die zin arrest van 1 oktober 2015, Weltimmo, C‑230/14, EU:C:2015:639, punt 51).

51 De vraag welk nationaal recht van toepassing is op de verwerking van persoonsgegevens wordt geregeld door artikel 4 van richtlijn 95/46. Volgens artikel 4, lid 1, onder a), past elke lidstaat zijn nationale, ter uitvoering van deze richtlijn vastgestelde bepalingen toe op de verwerking van persoonsgegevens indien de verwerking plaatsvindt in het kader van de activiteiten van een vestiging op het grondgebied van de lidstaat van de voor de verwerking verantwoordelijke. Deze bepaling benadrukt dat wanneer dezelfde verantwoordelijke een vestiging heeft op het grondgebied van verscheidene lidstaten, hij de nodige maatregelen dient te treffen om ervoor te zorgen dat elk van die vestigingen voldoet aan de verplichtingen die worden opgelegd door de toepasselijke nationale wetgeving.

52 Aldus volgt uit een gecombineerde lezing van deze bepaling en van artikel 28, leden 1 en 3, van richtlijn 95/46 dat, wanneer het nationale recht van de lidstaat waaronder de toezichthoudende autoriteit ressorteert van toepassing is op grond van artikel 4, lid 1, onder a), van deze richtlijn, omdat de betrokken verwerking wordt verricht in het kader van de activiteiten van een vestiging van de voor de verwerking verantwoordelijke op het grondgebied van die lidstaat, deze toezichthoudende autoriteit alle bevoegdheden die haar krachtens dit recht worden verleend kan uitoefenen jegens die vestiging, los van de vraag of de voor de verwerking verantwoordelijke ook vestigingen in andere lidstaten bezit.

53 Om vast te stellen of een toezichthoudende autoriteit, in omstandigheden als die van het hoofdgeding, ten aanzien van een op het grondgebied van de lidstaat waaronder zij ressorteert gelegen vestiging bevoegd is tot uitoefening van de bevoegdheden die haar krachtens het nationale recht zijn toegekend, moet worden nagegaan of de twee voorwaarden van artikel 4, lid 1, onder a), van richtlijn 95/46 zijn vervuld, namelijk, ten eerste, of het „een vestiging [...] van de voor de verwerking verantwoordelijke” in de zin van deze bepaling betreft, en ten tweede, of deze verwerking wordt verricht „in het kader van de activiteiten” van die vestiging in de zin van diezelfde bepaling.

54 Wat in de eerste plaats de voorwaarde betreft dat de verantwoordelijke voor de verwerking van persoonsgegevens moet beschikken over een vestiging op het grondgebied van de lidstaat waaronder de betrokken toezichthoudende autoriteit ressorteert, dient eraan te worden herinnerd dat, volgens de negentiende overweging van richtlijn 95/46, de vestiging op het grondgebied van een lidstaat het effectief en daadwerkelijk uitoefenen van activiteiten door een vaste vestiging veronderstelt en dat de rechtsvorm van een dergelijke vestiging, of het nu gaat om een bijkantoor of om een dochteronderneming met rechtspersoonlijkheid, niet doorslaggevend is (arrest van 1 oktober 2015, Weltimmo, C‑230/14, EU:C:2015:639, punt 28 en aldaar aangehaalde rechtspraak).

55 In casu staat vast dat Facebook Inc., als verantwoordelijke voor de verwerking van persoonsgegevens samen met Facebook Ireland, een vaste vestiging heeft in Duitsland, namelijk Facebook Germany, gelegen in Hamburg, en dat deze laatste onderneming in die lidstaat daadwerkelijk en effectief werkzaamheden verricht. Zij is bijgevolg een „vestiging” in de zin van artikel 4, lid 1, onder a), van richtlijn 95/46.

56 Wat in de tweede plaats de voorwaarde betreft dat de verwerking van persoonsgegevens wordt verricht „in het kader van de activiteiten” van de vestiging, moet allereerst in herinnering worden gebracht dat, gelet op de door richtlijn 95/46 nagestreefde doelstelling een doeltreffende en volledige bescherming te waarborgen van de fundamentele rechten en vrijheden van natuurlijke personen, met name het recht op eerbiediging van de persoonlijke levenssfeer, de uitdrukking „in het kader van de activiteiten van een vestiging” niet restrictief mag worden uitgelegd (arrest van 1 oktober 2015, Weltimmo, C‑230/14, EU:C:2015:639, punt 25 en aldaar aangehaalde rechtspraak).

57 Vervolgens moet worden benadrukt dat artikel 4, lid 1, onder a), van richtlijn 95/46 niet vereist dat de betrokken verwerking van persoonsgegevens wordt verricht „door” de betrokken vestiging zelf, maar enkel dat deze wordt verricht „in het kader van de activiteiten” ervan (arrest Google Spain en Google, C‑131/12, EU:C:2014:317, punt 52).

58 In casu blijkt uit de verwijzingsbeslissing en uit de schriftelijke opmerkingen van Facebook Ireland dat Facebook Germany is belast met de promotie en de verkoop van advertentieruimte en andere op de inwoners van Duitsland gerichte marketingactiviteiten uitvoert.

59 Zoals in de punten 33 en 34 van het onderhavige arrest in herinnering is gebracht, heeft de verwerking van persoonsgegevens die in het hoofdgeding aan de orde is, verricht door Facebook Inc. samen met Facebook Ireland en bestaande in het verkrijgen van dergelijke gegevens via cookies op de computers of ander apparaten van de bezoekers van de fanpagina op Facebook, onder meer tot doel dit sociale netwerk in staat te stellen zijn advertentiesysteem te verbeteren om zijn mededelingen doelgerichter te verspreiden.

60 Aangezien ten eerste een sociaal netwerk als Facebook een groot deel van zijn inkomsten genereert door middel van met name de advertenties op webpagina’s die door gebruikers zijn aangemaakt en worden bezocht en ten tweede de vestiging van Facebook in Duitsland tot doel heeft te zorgen voor de promotie en de verkoop van advertentieruimte die de door Facebook geboden diensten rendabel moeten maken, dienen, zoals de advocaat-generaal in punt 94 van zijn conclusie heeft opgemerkt, de activiteiten van deze vestiging te worden geacht onlosmakelijk te zijn verbonden met de in het hoofdgeding aan de orde zijnde verwerking van persoonsgegevens, waarvoor Facebook Inc., tezamen met Facebook Ireland, de verantwoordelijke is. Derhalve moet een dergelijke verwerking worden beschouwd als verricht „in het kader van de activiteiten” van een vestiging van de voor de verwerking verantwoordelijke, in de zin van artikel 4, lid 1, onder a), van richtlijn 95/46 (zie in die zin arrest van 13 mei 2014, Google Spain en Google, C‑131/12, EU:C:2014:317, punten 55 en 56).

61 Hieruit volgt dat, aangezien de Duitse wetgeving krachtens artikel 4, lid 1, onder a), van richtlijn 95/46, van toepassing is op de verwerking van persoonsgegevens die in het hoofdgeding aan de orde is, de Duitse toezichthoudende autoriteit overeenkomstig artikel 28, lid 1, van deze richtlijn bevoegd was dit recht op die verwerking toe te passen.

62 Bijgevolg was die toezichthoudende autoriteit bevoegd om alle bevoegdheden waarover zij krachtens de Duitse omzettingsbepalingen van artikel 28, lid 3, van richtlijn 95/46 beschikt, ten aanzien van Facebook Germany aan te wenden teneinde de eerbiediging van de regels inzake de bescherming van persoonsgegevens op het Duitse grondgebied te verzekeren.

63 Verder dient nog te worden gepreciseerd dat de omstandigheid die de verwijzende rechter in zijn derde vraag benadrukt, namelijk dat de keuzestrategieën met betrekking tot de verkrijging en de verwerking van persoonsgegevens inzake personen die op het grondgebied van de Unie wonen, worden vastgesteld door een moedermaatschappij die in een derde land is gevestigd, zoals in dit geval Facebook Inc., niet afdoet aan de bevoegdheid van de toezichthoudende autoriteit van een lidstaat ten aanzien van een op het grondgebied van deze lidstaat gelegen vestiging van de voor de verwerking van deze gegevens verantwoordelijke.

64 Gelet op het voorgaande dient op de derde en de vierde vraag te worden geantwoord dat de artikelen 4 en 28 van richtlijn 95/46 aldus moeten worden uitgelegd dat, wanneer een buiten de Unie gevestigde onderneming meerdere vestigingen in verschillende lidstaten heeft, de toezichthoudende autoriteit van een lidstaat bevoegd is tot uitoefening van haar bevoegdheden uit hoofde van artikel 28, lid 3, van deze richtlijn ten aanzien van een vestiging van deze onderneming die is gelegen op het grondgebied van die lidstaat, ook al is deze vestiging, ingevolge de taakverdeling binnen de groep, uitsluitend belast met de verkoop van advertentieruimte en andere marketingactiviteiten op het grondgebied van die lidstaat, en berust de exclusieve verantwoordelijkheid voor de verkrijging en de verwerking van persoonsgegevens, voor het gehele grondgebied van de Unie, bij een vestiging die is gelegen in een andere lidstaat.

Vijfde en zesde vraag

65 Met zijn vijfde en zesde vraag, die samen moeten worden onderzocht, wenst de verwijzende rechter in wezen te vernemen of artikel 4, lid 1, onder a), en artikel 28, leden 3 en 6, van richtlijn 95/46 aldus moeten worden uitgelegd dat wanneer de toezichthoudende autoriteit van een lidstaat voornemens is de bevoegdheden tot ingrijpen als bedoeld in artikel 28, lid 3, van deze richtlijn uit te oefenen ten aanzien van een lichaam dat gevestigd is op het grondgebied van deze lidstaat wegens inbreuken op de regels betreffende de bescherming van persoonsgegevens die zijn begaan door een derde die voor de verwerking van deze gegevens verantwoordelijk is en waarvan de zetel zich in een andere lidstaat bevindt, deze toezichthoudende autoriteit bevoegd is de wettigheid van een dergelijke verwerking van gegevens autonoom ten opzichte van de toezichthoudende autoriteit van die laatste lidstaat te beoordelen, en haar bevoegdheden tot ingrijpen ten aanzien van het op haar grondgebied gevestigde lichaam kan uitoefenen zonder eerst de toezichthoudende autoriteit van de andere lidstaat te verzoeken op te treden.

66 Ter beantwoording van deze vragen zij eraan herinnerd dat, zoals blijkt uit het antwoord op de eerste en de tweede prejudiciële vraag, artikel 2, onder d), van richtlijn 95/46 aldus moet worden uitgelegd dat het, in omstandigheden als die van het hoofdgeding, toestaat een lichaam als Wirtschaftsakademie in zijn hoedanigheid van beheerder van een fanpagina op Facebook verantwoordelijk te houden in geval van inbreuk op de regels inzake de bescherming van persoonsgegevens.

67 Hieruit volgt dat, overeenkomstig artikel 4, lid 1, onder a), en artikel 28, leden 1 en 3, van richtlijn 95/46, de toezichthoudende autoriteit van de lidstaat op het grondgebied waarvan dit lichaam gevestigd is, bevoegd is haar nationale recht toe te passen en aldus jegens dat lichaam alle bevoegdheden uit te oefenen die haar krachtens dit nationale recht zijn toegekend overeenkomstig artikel 28, lid 3, van deze richtlijn.

68 Zoals bepaald in artikel 28, lid 1, tweede alinea, van die richtlijn, oefenen de nationale toezichthoudende autoriteiten die zijn belast met het toezicht op de toepassing op hun grondgebied van de ter uitvoering van deze richtlijn door hun lidstaat vastgestelde bepalingen, de hun opgedragen taken in volledige onafhankelijkheid uit. Dit vereiste vloeit tevens voor uit het primaire Unierecht, met name uit artikel 8, lid 3, van het Handvest van de grondrechten van de Europese Unie en artikel 16, lid 2, VWEU (zie in die zin arrest van 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punt 40).

69 Bovendien bevat richtlijn 95/46, ofschoon de toezichthoudende autoriteiten op grond van artikel 28, lid 6, tweede alinea, ervan onderling samenwerken voor zover zulks noodzakelijk is voor de uitvoering van hun taken, met name door de uitwisseling van alle nuttige inlichtingen, geen enkel prioriteitscriterium voor het optreden van de toezichthoudende autoriteiten ten opzichte van elkaar en verplicht zij een toezichthoudende autoriteit van een lidstaat niet het standpunt te volgen dat in voorkomend geval is geuit door de toezichthoudende autoriteit van een andere lidstaat.

70 Zo verplicht niets een op grond van het nationale recht bevoegde toezichthoudende autoriteit, de oplossing te volgen die in een vergelijkbare situatie door een andere toezichthoudende autoriteit is gekozen.

71 In dit verband moet eraan worden herinnerd dat, aangezien de nationale toezichthoudende autoriteiten ingevolge artikel 8, lid 3, van het Handvest van de grondrechten en artikel 28 van richtlijn 95/46 belast zijn met het toezicht op de naleving van de regels van de Unie op het gebied van de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens, elk van hen bevoegd is om na te gaan of bij een verwerking van persoonsgegevens op het grondgebied van de lidstaat waaronder zij ressorteert, de vereisten van richtlijn 95/46 worden nageleefd (zie in die zin arrest van 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punt 47).

72 Daar artikel 28 van richtlijn 95/46 alleen al op grond van de aard ervan van toepassing is op elke verwerking van persoonsgegevens, zelfs in het geval van een beslissing van een toezichthoudende autoriteit van een andere lidstaat, is een nationale toezichthoudende autoriteit waartoe een persoon zich heeft gewend met een verzoek met betrekking tot de bescherming van zijn rechten en vrijheden in verband met de verwerking van op hem betrekking hebbende persoonsgegevens, verplicht om in volledige onafhankelijkheid te onderzoeken of de verwerking van die gegevens in overeenstemming is met de vereisten van die richtlijn (zie in die zin arrest van 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punt 57).

73 Hieruit volgt dat, in casu, het ULD volgens het systeem van richtlijn 95/46 bevoegd was om autonoom ten opzichte van de beoordelingen door de Ierse toezichthoudende autoriteit de wettigheid van de verwerking van gegevens aan de orde in het hoofdgeding te toetsen.

74 Bijgevolg dient op de vijfde en de zesde vraag te worden geantwoord dat artikel 4, lid 1, onder a), en artikel 28, leden 3 en 6, van richtlijn 95/46 aldus moeten worden uitgelegd dat wanneer de toezichthoudende autoriteit van een lidstaat voornemens is de bevoegdheden tot ingrijpen als bedoeld in artikel 28, lid 3, van deze richtlijn uit te oefenen ten aanzien van een lichaam dat gevestigd is op het grondgebied van deze lidstaat wegens inbreuken op de regels betreffende de bescherming van persoonsgegevens die zijn begaan door een derde die voor de verwerking van deze gegevens verantwoordelijk is en waarvan de zetel zich in een andere lidstaat bevindt, deze toezichthoudende autoriteit bevoegd is de wettigheid van een dergelijke verwerking van gegevens autonoom ten opzichte van de toezichthoudende autoriteit van die laatste lidstaat te beoordelen en haar bevoegdheden tot ingrijpen ten aanzien van het op haar grondgebied gevestigde lichaam kan uitoefenen zonder eerst de toezichthoudende autoriteit van de andere lidstaat te verzoeken op te treden.

Kosten

75 Ten aanzien van de partijen in het hoofdgeding is de procedure als een aldaar gerezen incident te beschouwen, zodat de verwijzende rechterlijke instantie over de kosten heeft te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking.

Het Hof (Grote kamer) verklaart voor recht:

1) Artikel 2, onder d), van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens moet aldus worden uitgelegd dat het begrip „voor de verwerking verantwoordelijke” in de zin van deze bepaling de beheerder van een op een sociaal netwerk geplaatste fanpagina omvat.

2) De artikelen 4 en 28 van richtlijn 95/46 moeten aldus worden uitgelegd dat wanneer een buiten de Europese Unie gevestigde onderneming meerdere vestigingen in verschillende lidstaten heeft, de toezichthoudende autoriteit van een lidstaat bevoegd is tot uitoefening van haar bevoegdheden uit hoofde van artikel 28, lid 3, van deze richtlijn ten aanzien van een vestiging van deze onderneming op het grondgebied van die lidstaat, ook al is deze vestiging, ingevolge de taakverdeling binnen de groep, uitsluitend belast met de verkoop van advertentieruimte en andere marketingactiviteiten op het grondgebied van die lidstaat, en berust de exclusieve verantwoordelijkheid voor de verkrijging en de verwerking van persoonsgegevens, voor het gehele grondgebied van de Europese Unie, bij een vestiging in een andere lidstaat.

3) Artikel 4, lid 1, onder a), en artikel 28, leden 3 en 6, van richtlijn 95/46 moeten aldus worden uitgelegd dat wanneer de toezichthoudende autoriteit van een lidstaat voornemens is de bevoegdheden tot ingrijpen als bedoeld in artikel 28, lid 3, van deze richtlijn uit te oefenen ten aanzien van een lichaam dat gevestigd is op het grondgebied van deze lidstaat wegens inbreuken op de regels betreffende de bescherming van persoonsgegevens die zijn begaan door een derde die voor de verwerking van deze gegevens verantwoordelijk is en waarvan de zetel zich in een andere lidstaat bevindt, deze toezichthoudende autoriteit bevoegd is de wettigheid van een dergelijke verwerking van gegevens autonoom ten opzichte van de toezichthoudende autoriteit van die laatste lidstaat te beoordelen, en haar bevoegdheden tot ingrijpen ten aanzien van het op haar grondgebied gevestigde lichaam kan uitoefenen zonder eerst de toezichthoudende autoriteit van de andere lidstaat te verzoeken op te treden.

ondertekeningen

* Procestaal: Duits.