CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2018:388

Rechtssache C‑210/16

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

gegen

Wirtschaftsakademie Schleswig-Holstein GmbH

(Vorabentscheidungsersuchen des Bundesverwaltungsgerichts)

„Vorlage zur Vorabentscheidung – Richtlinie 95/46/EG – Personenbezogene Daten – Schutz natürlicher Personen bei der Verarbeitung dieser Daten – Anordnung zur Deaktivierung einer Facebook-Seite (Fanpage), die es ermöglicht, bestimmte Daten bezüglich der Besucher dieser Seite zu erheben und zu verarbeiten – Art. 2 Buchst. d – Für die Verarbeitung personenbezogener Daten Verantwortlicher – Art. 4 – Anwendbares nationales Recht – Art. 28 – Nationale Kontrollstellen – Einwirkungsbefugnisse dieser Stellen“

Leitsätze – Urteil des Gerichtshofs (Große Kammer) vom 5. Juni 2018

1. Rechtsangleichung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Richtlinie 95/46 – Für die Verarbeitung Verantwortlicher – Begriff – Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage – Einbeziehung

(Richtlinie 95/46 des Europäischen Parlaments und des Rates, Art. 2 Buchst. d)

2. Rechtsangleichung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Richtlinie 95/46 – Nationale Kontrollstellen – Befugnisse – Untersuchungsbefugnisse, Einwirkungsbefugnisse und Klagerecht – Ermächtigung der Kontrollstelle eines Mitgliedstaats zur Ausübung dieser Befugnisse gegenüber einem in diesem Mitgliedstaat ansässigen Unternehmen – Zugehörigkeit des Unternehmens zu einem Konzern, der die Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten auf eine in einem anderen Mitgliedstaat gelegene Niederlassung übertragen hat – Keine Auswirkung

(Richtlinie 95/46 des Europäischen Parlaments und des Rates, Art. 4 und 28)

3. Rechtsangleichung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Richtlinie 95/46 – Nationale Kontrollstellen – Befugnisse – Einwirkungsbefugnisse – Ausübung gegenüber einem Dritten, der für die Verarbeitung der personenbezogenen Daten verantwortlich und in einem anderen Mitgliedstaat ansässig ist – Zuständigkeit für die Beurteilung der Rechtmäßigkeit der Verarbeitung und für ein Einwirken ohne Inanspruchnahme der Unterstützung durch die Kontrollstelle des anderen Mitgliedstaats

(Richtlinie 95/46 des Europäischen Parlaments und des Rates, Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 und 6)

1. Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass der Begriff des „für die Verarbeitung Verantwortlichen“ im Sinne dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst.

Auch wenn der bloße Umstand der Nutzung eines sozialen Netzwerks wie Facebook für sich genommen einen Facebook-Nutzer nicht für die von diesem Netzwerk vorgenommene Verarbeitung personenbezogener Daten mitverantwortlich macht, ist indes darauf hinzuweisen, dass der Betreiber einer auf Facebook unterhaltenen Fanpage mit der Einrichtung einer solchen Seite Facebook die Möglichkeit gibt, auf dem Computer oder jedem anderen Gerät der Person, die seine Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Konto verfügt. Unter diesen Umständen ist festzustellen, dass der Betreiber einer auf Facebook unterhaltenen Fanpage wie die Wirtschaftsakademie durch die von ihm vorgenommene Parametrierung u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt ist. Daher ist der Betreiber im vorliegenden Fall als in der Union gemeinsam mit Facebook Ireland für diese Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 einzustufen. Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nämlich nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien. Unter diesen Umständen trägt die Anerkennung einer gemeinsamen Verantwortlichkeit des Betreibers des sozialen Netzwerks und des Betreibers einer bei diesem Netzwerk unterhaltenen Fanpage im Zusammenhang mit der Verarbeitung personenbezogener Daten der Besucher dieser Fanpage dazu bei, entsprechend den Anforderungen der Richtlinie 95/46 einen umfassenderen Schutz der Rechte sicherzustellen, über die die Personen verfügen, die eine Fanpage besuchen.

(vgl. Rn. 35, 39, 40, 42, 44, Tenor 1)

2. Die Art. 4 und 28 der Richtlinie 95/46 sind dahin auszulegen, dass dann, wenn ein außerhalb der Europäischen Union ansässiges Unternehmen mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, die Kontrollstelle eines Mitgliedstaats zur Ausübung der ihr durch Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung dieses Unternehmens auch dann befugt ist, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet dieses Mitgliedstaats zuständig ist und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Europäischen Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliegt.

(vgl. Rn. 64, Tenor 2)

3. Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 und 6 der Richtlinie 95/46 sind dahin auszulegen, dass die Kontrollstelle eines Mitgliedstaats, wenn sie beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen Mitgliedstaat hat, die Einwirkungsbefugnisse nach Art. 28 Abs. 3 dieser Richtlinie auszuüben, zuständig ist, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.

(vgl. Rn. 74, Tenor 3)