SCHLUSSANTRÄGE DES GENERALANWALTS

MICHAL BOBEK

vom 19. Dezember 2018(1)

Rechtssache C‑40/17

Fashion ID GmbH & Co. KG

gegen

Verbraucherzentrale NRW e. V.,

Beteiligte:

Facebook Ireland Limited,

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

(Vorabentscheidungsersuchen des Oberlandesgerichts Düsseldorf [Deutschland])

„Vorlage zur Vorabentscheidung – Richtlinie 95/46/EG – Schutz der personenbezogenen Daten der Nutzer von Webseiten – Klagebefugnis eines Verbraucherschutzverbandes – Haftung des Betreibers einer Webseite – Weitergabe personenbezogener Daten an Dritte – Eingebundenes Plugin – Facebook‑,Gefällt mir‘‑Button – Berechtigte Interessen – Einwilligung der betroffenen Person – Informationspflicht“

I.      Einführung

1.        Die Fashion ID GmbH & Co. KG ist ein Onlinehändler für Modeartikel. In ihre Webseite ist ein Plugin, der Facebook-„Gefällt mir“-Button, eingebunden. Besucht ein Nutzer die Webseite von Fashion ID, werden Facebook daher Informationen über die IP‑Adresse dieses Nutzers und der Browser-String übermittelt. Unabhängig davon, ob der Nutzer den „Gefällt mir“-Button angeklickt hat oder über ein Facebook-Nutzerkonto verfügt, erfolgt die Übermittlung automatisch beim Laden der Webseite von Fashion ID.

2.        Die Verbraucherzentrale NRW e. V., ein deutscher Verbraucherschutzverband, hat mit der Begründung, die Verwendung des Plugins verstoße gegen Datenschutzrecht, gegen Fashion ID eine Unterlassungsklage erhoben.

3.        Das mit der Sache befasste Oberlandesgericht Düsseldorf (Deutschland) ersucht nun um die Auslegung einer Reihe von Bestimmungen der Richtlinie 95/46/EG (im Folgenden: Richtlinie 95/46)(2). Zunächst möchte es wissen, ob die Richtlinie einer nationalen Regelung entgegensteht, die einem Verbraucherschutzverband in einem Fall wie dem vorliegenden eine Klagebefugnis einräumt. Materiell-rechtlich lautet die wichtigste Frage, ob Fashion ID in Bezug auf die erfolgende Datenverarbeitung als „für die Verarbeitung Verantwortlicher“ anzusehen ist und, wenn ja, wie die einzelnen sich aus der Richtlinie 95/46 ergebenden Verpflichtungen in einer solchen Konstellation zu erfüllen sind. Auf wessen „berechtigte Interessen“ ist bei der nach Art. 7 Buchst. f der Richtlinie 95/46 vorzunehmenden Abwägung abzustellen? Ist Fashion ID verpflichtet, betroffene Personen über die Datenverarbeitung zu informieren? Und muss Fashion ID diesbezüglich die in Kenntnis der Sachlage zu erteilenden Einwilligungen der betroffenen Personen einholen?

II.    Rechtsrahmen

A.      Unionsrecht

Richtlinie 95/46

4.        Das Ziel der Richtlinie 95/46 ist in ihrem Art. 1 bestimmt, dessen Abs. 1 lautet: „Die Mitgliedstaaten gewährleisten … den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten“. Nach Abs. 2 dieser Bestimmung „beschränken oder untersagen [die Mitgliedstaaten] nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes“.

5.        Art. 2 enthält Begriffsbestimmungen, und zwar bezeichnet

„a)      ,personenbezogene Daten‘ alle Informationen über eine bestimmte oder bestimmbare natürliche Person (,betroffene Person‘); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;

b)      ,Verarbeitung personenbezogener Daten‘ (,Verarbeitung‘) jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammen-hang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten;

…

d)      ,für die Verarbeitung Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten in einzelstaatlichen oder gemeinschaftlichen Rechts- und Verwaltungsvorschriften festgelegt, so können der für die Verarbeitung Verantwortliche bzw. die spezifischen Kriterien für seine Benennung durch einzelstaatliche oder gemeinschaftliche Rechtsvorschriften bestimmt werden;

…

h)      ,Einwilligung der betroffenen Person‘ jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden“.

6.        Art. 7 sieht Voraussetzungen vor, die für die Zulässigkeit der Verarbeitung von Daten erfüllt sein müssen: „Die Mitgliedstaaten sehen vor, dass die Verarbeitung personenbezogener Daten lediglich erfolgen darf, wenn eine der folgenden Voraussetzungen erfüllt ist:

a)      Die betroffene Person hat ohne jeden Zweifel ihre Einwilligung gegeben;

…

f)      die Verarbeitung ist erforderlich zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gemäß Artikel 1 Absatz 1 geschützt sind, überwiegen.“

7.        Art. 10 legt die Informationen fest, die die betroffene Person zumindest erhalten muss:

„Die Mitgliedstaaten sehen vor, dass die Person, bei der die sie betreffenden Daten erhoben werden, vom für die Verarbeitung Verantwortlichen oder seinem Vertreter zumindest die nachstehenden Informationen erhält, sofern diese ihr noch nicht vorliegen:

a)      die Identität des für die Verarbeitung Verantwortlichen und gegebenenfalls seines Vertreters,

b)      Zweckbestimmungen der Verarbeitung, für die die Daten bestimmt sind,

c)      weitere Informationen, beispielsweise betreffend

–        die Empfänger oder Kategorien der Empfänger der Daten,

–        die Frage, ob die Beantwortung der Fragen obligatorisch oder freiwillig ist, sowie mögliche Folgen einer unterlassenen Beantwortung,

–        das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie betreffender Daten,

sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.“

8.        Kapitel III der Richtlinie 95/46 betrifft Rechtsbehelfe, die Haftung und Sanktionen. Die darin enthaltenen Art. 22 bis 24 sehen Folgendes vor:

„Artikel 22

Rechtsbehelfe

Unbeschadet des verwaltungsrechtlichen Beschwerdeverfahrens, das vor Beschreiten des Rechtsweges insbesondere bei der in Artikel 28 genannten Kontrollstelle eingeleitet werden kann, sehen die Mitgliedstaaten vor, dass jede Person bei der Verletzung der Rechte, die ihr durch die für die betreffende Verarbeitung geltenden einzelstaatlichen Rechtsvorschriften garantiert sind, bei Gericht einen Rechtsbehelf einlegen kann.

Artikel 23

Haftung

(1)      Die Mitgliedstaaten sehen vor, dass jede Person, der wegen einer rechtswidrigen Verarbeitung oder jeder anderen mit den einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie nicht zu vereinbarenden Handlung ein Schaden entsteht, das Recht hat, von dem für die Verarbeitung Verantwortlichen Schadenersatz zu verlangen.

(2)      Der für die Verarbeitung Verantwortliche kann teilweise oder vollständig von seiner Haftung befreit werden, wenn er nachweist, dass der Umstand, durch den der Schaden eingetreten ist, ihm nicht zur Last gelegt werden kann.

Artikel 24

Sanktionen

Die Mitgliedstaaten ergreifen geeignete Maßnahmen, um die volle Anwendung der Bestimmungen dieser Richtlinie sicherzustellen, und legen insbesondere die Sanktionen fest, die bei Verstößen gegen die zur Umsetzung dieser Richtlinie erlassenen Vorschriften anzuwenden sind.“

B.      Deutsches Recht

Gesetz gegen den unlauteren Wettbewerb (UWG)

9.        Gemäß § 3 Abs. 1 des Gesetzes gegen den unlauteren Wettbewerb (im Folgenden: UWG) sind unlautere geschäftliche Handlungen unzulässig.

10.      Wer eine unzulässige geschäftliche Handlung vornimmt, kann nach § 8 Abs. 1 und 3 Nr. 3 UWG auf Antrag einer in der Liste nach dem Unterlassungsklagengesetz oder im Verzeichnis der Europäischen Kommission nach Art. 4 Abs. 3 der Richtlinie 2009/22/EG über Unterlassungsklagen zum Schutz der Verbraucherinteressen(3) eingetragenen „qualifizierten Einrichtung“ unter Umständen auf Beseitigung und – auch vorbeugend – auf Unterlassung in Anspruch genommen werden.

Unterlassungsklagengesetz

11.      § 2 Abs. 1 und 2 Nr. 11 des Unterlassungsklagengesetzes sieht vor:

„(1)      Wer in anderer Weise als durch Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze), kann im Interesse des Verbraucherschutzes auf Unterlassung und Beseitigung in Anspruch genommen werden. …

(2)      Verbraucherschutzgesetze im Sinne dieser Vorschrift sind insbesondere

…

11.      die Vorschriften, welche die Zulässigkeit regeln

a)      der Erhebung personenbezogener Daten eines Verbrauchers durch einen Unternehmer oder

b)      der Verarbeitung oder der Nutzung personenbezogener Daten, die über einen Verbraucher erhoben wurden, durch einen Unternehmer,

wenn die Daten zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erhoben, verarbeitet oder genutzt werden“.

Telemediengesetz

12.      § 2 Abs. 1 des Telemediengesetzes (im Folgenden: TMG) bestimmt:

„Im Sinne dieses Gesetzes

1.      ist Diensteanbieter jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt …“

13.      § 12 Abs. 1 TMG lautet: „Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.“

14.      § 13 Abs. 1 TMG sieht vor:

„Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46 … in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.“

15.      § 15 Abs. 1 TMG lautet:

„Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). Nutzungsdaten sind insbesondere

1.      Merkmale zur Identifikation des Nutzers,

2.      Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und

3.      Angaben über die vom Nutzer in Anspruch genommenen Telemedien.“

III. Sachverhalt, Verfahren und Vorlagefragen

16.      Fashion ID (im Folgenden: Beklagte) ist ein Onlinehändler. Sie vertreibt über ihre Webseite Modeartikel. Die Beklagte hat das von Facebook Ireland Limited (im Folgenden: Facebook Ireland)(4) bereitgestellte „Gefällt mir“-Plugin in ihre Webseite eingebunden. Folglich erscheint auf der Webseite der Beklagten der sogenannte Facebook-„Gefällt mir“-Button.

17.      Im Vorabentscheidungsersuchen wird ferner erläutert, wie der (nicht sichtbare) Teil des Plugins funktioniert: Sucht ein Besucher der Webseite der Beklagten die Seite auf, auf der der Facebook-„Gefällt mir“-Button platziert ist, sendet sein Browser automatisch Informationen betreffend seine IP‑Adresse und den Browser-String an Facebook Ireland. Die Übermittlung dieser Informationen erfolgt, ohne dass der Facebook-„Gefällt mir“-Button angeklickt zu werden braucht. Aus dem Vorabentscheidungsersuchen ergibt sich auch, dass Facebook Ireland offenbar verschiedene Arten von Cookies (session-, datr- und fr‑Cookies) auf dem Gerät des Nutzers platziert, wenn die Webseite der Beklagten besucht wird.

18.      Die Verbraucherzentrale NRW (im Folgenden: Klägerin), ein Verbraucherschutzverband, hat vor einem Landgericht in Deutschland Klage gegen die Beklagte erhoben. Die Klägerin beantragte, die Beklagte zu verurteilen, dass diese es unterlässt, das Social Plugin „Gefällt mir“ von Facebook auf der Internetseite zu integrieren,

„–      ohne die Nutzer der Internetseite bis zu dem Zeitpunkt, in dem der Anbieter des Plugins beginnt, Zugriff auf die IP‑Adresse und den Browser-String des Nutzers zu nehmen, ausdrücklich und unübersehbar über den Zweck der Erhebung und der Verwendung der so übermittelten Daten aufzuklären und/oder

–      ohne die Einwilligung der Nutzer der Internetseite zu dem Zugriff auf die IP‑Adresse und den Browser-String durch den Plugin-Anbieter und zu der Datenverwendung einzuholen, jeweils bevor der Zugriff erfolgt, und/oder

–      ohne die Nutzer, die ihre Einwilligung im Sinne des Klageantrags zu 2 erteilt haben, über deren jederzeitige Widerruflichkeit mit Wirkung für die Zukunft zu informieren, und/oder

–      zu behaupten ‚Wenn Sie Nutzer eines sozialen Netzwerks sind und nicht möchten, dass das soziale Netzwerk über unseren Internetauftritt Daten über Sie sammelt und mit ihren bei dem sozialen Netzwerk gespeicherten Nutzerdaten verknüpft, müssen Sie sich vor dem Besuch unseres Internetauftritts bei dem sozialen Netzwerk ausloggen‘“.

19.      Die Klägerin behauptete, Facebook Inc. oder Facebook Ireland würden die IP‑Adresse und den Browser-String speichern und mit einem bestimmten Benutzer (Mitglied oder Nichtmitglied) verknüpfen. Die Beklagte erklärt sich hierzu mit Nichtwissen. Facebook Ireland macht geltend, Die IP‑Adresse werde in eine generische IP‑Adresse umgewandelt und nur noch als solche gespeichert. Eine Zuordnung der IP‑Adresse und des Browser-String zu Nutzerkonten finde nicht statt.

20.      Das Landgericht verurteilte die Beklagte gemäß den ersten drei Klageanträgen. Die Beklagte legte Berufung ein. Die Klägerin legte hinsichtlich des vierten Klageantrags Anschlussberufung ein.

21.      Vor diesem tatsächlichen und rechtlichen Hintergrund hat das Oberlandesgericht Düsseldorf beschlossen, dem Gerichtshof die folgenden Fragen vorzulegen:

1.      Steht die Regelung in den Art. 22, 23 und 24 der Richtlinie 95/46 einer nationalen Regelung entgegen, die neben den Eingriffsbefugnissen der Datenschutzbehörden und den Rechtsbehelfsmöglichkeiten des Betroffenen gemeinnützigen Verbänden zur Wahrung der Interessen der Verbraucher die Befugnis einräumt, im Falle von Verletzungen gegen den Verletzer vorzugehen?

Falls die erste Frage verneint wird:

2.      Ist in einem Fall wie dem vorliegenden, bei dem jemand einen Programmcode in seine Webseite einbindet, der den Browser des Benutzers veranlasst, Inhalte von einem Dritten anzufordern und hierzu personenbezogene Daten an den Dritten zu übermitteln, der Einbindende „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46, wenn er selber diesen Datenverarbeitungsvorgang nicht beeinflussen kann?

3.      Falls die zweite Frage zu verneinen ist: Ist Art. 2 Buchst. d der Richtlinie 95/46 dahin auszulegen, dass er die Haftung und Verantwortlichkeit in dem Sinne abschließend regelt, dass er einer zivilrechtlichen Inanspruchnahme eines Dritten entgegensteht, der zwar nicht „für die Verarbeitung Verantwortlicher“ ist, aber die Ursache für den Verarbeitungsvorgang setzt, ohne diesen zu beeinflussen?

4.      Auf wessen „berechtigte Interessen“ ist in einer Konstellation wie der vorliegenden bei der nach Art. 7 Buchst. f der Richtlinie 95/46 vorzunehmenden Abwägung abzustellen? Auf das Interesse an der Einbindung von Drittinhalten oder auf das Interesse des Dritten?

5.      Wem gegenüber muss die nach Art. 7 Buchst. a und Art. 2 Buchst. h der Richtlinie 95/46 zu erklärende Einwilligung in einer Konstellation wie der vorliegenden erfolgen?

6.      Trifft die Informationspflicht des Art. 10 der Richtlinie 95/46 in einer Situation wie der vorliegenden auch den Betreiber der Webseite, der den Inhalt eines Dritten eingebunden hat und so die Ursache für die Verarbeitung personenbezogener Daten durch den Dritten setzt?

22.      Die Klägerin, die Beklagte, Facebook Ireland, die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (im Folgenden: LDI NRW) sowie die belgische, die deutsche, die italienische, die österreichische und die polnische Regierung sowie die Kommission haben schriftliche Erklärungen eingereicht. Anlässlich der mündlichen Verhandlung vom 6. September 2018 haben die Klägerin, die Beklagte, Facebook Ireland, die LDI NRW, die belgische, die deutsche und die österreichische Regierung sowie die Kommission mündliche Erklärungen abgegeben.

IV.    Würdigung

23.      In den vorliegenden Schlussanträgen schlage ich vor, dass die Richtlinie 95/46 einer nationalen Regelung nicht entgegensteht, die einem Verbraucherschutzverband wie der Klägerin die Befugnis einräumt, gegen eine behauptete Verletzung von Datenschutzrecht gerichtlich vorzugehen (Abschnitt A). Ferner bin ich der Auffassung, dass die Beklagte gemeinsam mit Facebook Ireland ein „für die Verarbeitung Verantwortlicher“ ist, wobei ihre Haftung jedoch auf eine bestimmte Phase der Verarbeitung von Daten begrenzt ist (Abschnitt B). Drittens bin ich der Ansicht, dass bei der nach Art. 7 Buchst. f der Richtlinie 95/46 vorzunehmenden Abwägung auf die berechtigten Interessen nicht nur der Beklagten, sondern auch auf die von Facebook Ireland abzustellen ist (daneben sind selbstverständlich die Rechte der betroffenen Personen zu berücksichtigen) (Abschnitt C). Viertens muss für die betreffende Phase der Datenverarbeitung die in Kenntnis der Sachlage zu erteilende Einwilligung der betroffenen Person gegenüber der Beklagten erklärt werden. Die Beklagte hat außerdem die Pflicht, der betroffenen Person Informationen bereitzustellen (Abschnitt D).

A.      Nationale Regelung, die Verbraucherschutzverbänden eine Klagebefugnis einräumt

24.      Mit der ersten Vorlagefrage möchte das vorlegende Gericht in Erfahrung bringen, ob die Richtlinie 95/46 einer nationalen Regelung entgegensteht, die Verbraucherschutzverbänden die Befugnis einräumt, gerichtlich gegen eine Person vorzugehen, die mutmaßlich Datenschutzrecht verletzt. Das vorlegende Gericht nimmt insoweit konkret auf die Art. 22 bis 24 der Richtlinie 95/46 Bezug. Es weist darauf hin, dass die betreffende nationale Regelung als eine „geeignete Maßnahme“ nach Art. 24 angesehen werden könnte. Ferner betont es, dass die Verordnung (EU) 2016/679 (im Folgenden: DSGVO)(5), welche an die Stelle der Richtlinie 95/46 getreten ist, in ihrem Art. 80 Abs. 2 Vereinigungen nunmehr dieses Recht ausdrücklich verleiht(6).

25.      Die Beklagte und Facebook Ireland machen geltend, die Richtlinie 95/46 räume solchen Verbänden keine Klagebefugnis ein, da eine solche Klagebefugnis in der Richtlinie 95/46, die auf eine vollständige Harmonisierung abziele, nicht erwähnt sei. Nach Ansicht der Beklagten würde das Einräumen einer solchen Klagebefugnis aufgrund des öffentlichen Drucks, dem die Aufsichtsbehörden hierdurch ausgesetzt würden, deren Unabhängigkeit gefährden.

26.      Die Klägerin, die LDI NRW und alle Regierungen, die in der vorliegenden Rechtssache Stellung genommen haben, sind übereinstimmend der Ansicht, dass die Richtlinie 95/46 der betreffenden Regelung nicht entgegensteht.

27.      Mit letzterer Ansicht stimme ich überein(7).

28.      Ich halte es für wichtig, zunächst auf die in Art. 288 Art. 3 AEUV niedergelegte verfassungsrechtliche (Grund‑)Regel hinzuweisen, wonach eine „Richtlinie … für jeden Mitgliedstaat, an den sie gerichtet wird, hinsichtlich des zu erreichenden Ziels verbindlich [ist], … jedoch den innerstaatlichen Stellen die Wahl der Form und der Mittel [überlässt]“(8).

29.      Hieraus folgt, dass die Maßnahmen zur Umsetzung der sich aus einer Richtlinie ergebenden Verpflichtungen im freien Ermessen der Mitgliedstaaten liegen, solange diese Maßnahmen nicht durch die Richtlinie selbst ausdrücklich ausgeschlossen werden bzw. nicht zu den Zielen der Richtlinie im Widerspruch stehen.

30.      Der Wortlaut der Richtlinie 95/46 schließt die Möglichkeit, nach nationalem Recht Verbraucherschutzverbänden eine Klagebefugnis einzuräumen, nicht ausdrücklich aus.

31.      Betrachtet man die von der Richtlinie 95/46 verfolgten Ziele, zählt hierzu, „bei der Verarbeitung personenbezogener Daten einen wirksamen und umfassenden Schutz der Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere des Rechts auf Privatleben zu gewährleisten“(9). Ferner darf nach dem zehnten Erwägungsgrund der Richtlinie 95/46 „[d]ie Angleichung [der einzelstaatlichen] Rechtsvorschriften [in diesem Bereich] nicht zu einer Verringerung des durch diese Rechtsvorschriften garantierten Schutzes führen, sondern muss im Gegenteil darauf abzielen, in der Gemeinschaft ein hohes Schutzniveau sicherzustellen“(10).

32.      Dem Vorabentscheidungsersuchen kann entnommen werden, dass Deutschland Verbänden wie der Klägerin eine Klagebefugnis eingeräumt hat, damit diese gegen von ihnen als unlauter erachtete geschäftliche Handlungen oder gegen Verbraucherschutzrecht, darunter Datenschutzrecht, verletzende Praktiken vorgehen können.

33.      Vor diesem Hintergrund vermag ich nicht zu erkennen, inwiefern die Einräumung einer solchen Klagebefugnis in irgendeiner Weise zu den Zielen der Richtlinie 95/46 im Widerspruch stehen oder die Bemühungen um die Erreichung dieser Ziele beeinträchtigen sollte. Wenn überhaupt, dürfte die Einräumung einer Klagebefugnis an diese Art von Verband die Erreichung dieser Ziele und die Umsetzung der Richtlinie eher fördern, indem sie tatsächlich zur Stärkung der Rechte der betroffenen Personen durch ein Verbandsklagerecht beiträgt(11).

34.      Ich bin daher der Auffassung, dass die Mitgliedstaaten – wenn sie dies wünschen – nicht daran gehindert sind, eine Regelung zu treffen, die Verbänden eine Klagebefugnis wie die einräumt, die es der Klägerin ermöglicht, eine Klage wie die im Ausgangsverfahren in Rede stehende zu erheben.

35.      Angesichts dieser Antwort halte ich die Erörterungen, die sich im Laufe des vorliegenden Verfahrens ergeben und sich darauf konzentriert haben, ob die betreffende nationale Regelung im Sinne einer Art von „geeigneten Maßnahme“ unter Art. 24 der Richtlinie 95/46 oder aber unter Art. 22 fällt, für recht überflüssig. Wenn die Mitgliedstaaten eine Richtlinie mit den ihnen angemessen erscheinenden Mitteln umsetzen können und die besondere Art der Umsetzung weder durch den Wortlaut noch durch Ziel und Zweck der Richtlinie ausgeschlossen wird, ist der spezifische Artikel der Richtlinie, unter den eine bestimmte nationale Maßnahme subsumiert werden kann, von sekundärer Bedeutung(12). Dennoch, dies sei hier der guten Ordnung halber klargestellt, könnten „geeignete Maßnahmen, um die volle Anwendung der Bestimmungen dieser Richtlinie sicherzustellen“, nach Art. 24 selbstverständlich so ausgelegt werden, dass sie nationale Bestimmungen wie die in der vorliegenden Rechtssache angesprochenen umfassen.

36.      Ich glaube nicht, dass diese allgemeine Schlussfolgerung durch die nachfolgenden, im Laufe dieses Verfahrens erörterten Erwägungen in irgendeiner Weise in Frage gestellt wird.

37.      Als Erstes trifft es zu, dass die Richtlinie 95/46 nicht in der in Anhang I zur Richtlinie 2009/22 enthaltenen Liste aufgeführt ist. Die Richtlinie enthält Vorschriften betreffend Unterlassungsklagen, die von sogenannten „qualifizierten Einrichtungen“ zur Wahrung der Gruppeninteressen von Verbrauchern erhoben werden können(13). Die Liste in Anhang I umfasst mehrere Richtlinien, nicht jedoch die Richtlinie 95/46.

38.      Jedoch kann die in Anhang I der Richtlinie 2009/22 enthaltene Liste, wie von der deutschen Regierung geltend gemacht wird, nicht in dem Sinne als abschließend angesehen werden, dass sie nationalen Rechtsvorschriften entgegenstünde, die Unterlassungsklagen im Interesse der Einhaltung von Vorschriften vorsehen, die in anderen als den in Anhang I der Richtlinie 2009/22 aufgeführten Richtlinien enthalten sind. Erst recht würde es überraschen, wenn eine solche im Sekundärrecht enthaltene beispielhafte Liste plötzlich dahin ausgelegt würde, als nehme sie den Mitgliedstaaten ihr durch den Vertrag vorgesehenes Wahlrecht, wie sie eine Richtlinie umsetzen.

39.      Als Zweites wende ich mich dem von der Beklagten und von Facebook Ireland geltend gemachten Argument einer von der Richtlinie 95/46 herbeigeführten vollständigen Harmonisierung zu, das nach deren Ansicht jedes nicht ausdrücklich vorgesehene Klagerecht ausschließt.

40.      Es trifft zu, dass die der Richtlinie 95/46 entspringende Harmonisierung nach ständiger Rechtsprechung des Gerichtshofs nicht auf eine Mindestharmonisierung beschränkt ist, sondern zu einer „grundsätzlich umfassenden“ Harmonisierung führt(14). Zugleich ist jedoch anerkannt worden, dass diese Richtlinie „den Mitgliedstaaten einen weiten Handlungsspielraum in bestimmten Bereichen einräumt“, sofern dies im Einklang mit der Richtlinie 95/46 geschieht(15).

41.      Wie ich bereits an anderer Stelle ausgeführt habe(16), kann die Frage, ob auf unionsrechtlicher Ebene eine „vollständige Harmonisierung“ (im Sinne eines jedes gesetzgeberische Tätigwerden der Mitgliedstaaten ausschließenden Vorrangs) vorliegt, nicht allgemein, d. h. in Bezug auf ein ganzes Rechtsgebiet oder den Gegenstand einer Richtlinie, beantwortet werden. Vielmehr ist diese Prüfung in Bezug auf jede spezifische Bestimmung (eine bestimmte Regelung oder einen spezifischen Aspekt) der fraglichen Richtlinie vorzunehmen.

42.      Betrachtet man die in der vorliegenden Rechtssache in Rede stehenden, „verfahrensrechtlichen“ Bestimmungen der Richtlinie 95/46, nämlich die Art. 22 bis 24, so fällt ihr allgemein gehaltener Wortlaut auf(17). Angesichts dieser allgemein und abstrakt gehaltenen Bestimmungen wäre es schon bemerkenswert, anzunehmen, dass sie gesetzgeberische Ausschlusswirkung entfalten, die jegliche Maßnahmen ausschließt, die von den Mitgliedstaaten ergriffen werden können, die aber nicht konkret in diesen Artikeln erwähnt werden(18).

43.      Als Drittes betraf ein weiteres von der Beklagten vorgetragenes Argument die Bedrohung der Unabhängigkeit der Aufsichtsbehörden(19). Im Wesentlichen machte sie geltend, dass Verbraucherschutzverbände, wenn ihnen eine Klagebefugnis eingeräumt würde, neben und/oder anstelle der Aufsichtsbehörde rechtlich vorgehen würden, was zu einem öffentlichen Druck auf die Aufsichtsbehörde und ihre Voreingenommenheit führen würde und damit letztlich dem in Art. 28 Abs. 1 der Richtlinie niedergelegten Erfordernis der völligen Unabhängigkeit der Aufsichtsbehörden zuwiderliefe.

44.      Dieses Argument hat kein Gewicht. Unter der Prämisse, dass eine solche Aufsichtsbehörde überhaupt tatsächlich vollständig unabhängig ist(20), kann ich ebenso wenig wie die deutsche Regierung erkennen, inwiefern eine Klage wie die im Ausgangsverfahren die behördliche Unabhängigkeit bedrohen können soll. Ein Verband kann dem Recht nicht in dem Sinne Geltung verschaffen, dass seine Beurteilung die Aufsichtsbehörden bindet. Diese Macht liegt ausschließlich bei den Gerichten. Ein Verbraucherschutzverband kann wie jede sonstige Person auch lediglich eine Klage erheben. Somit ist das Vorbringen, jede von einer Privatperson oder einem Verbraucherschutzverband erhobene (Privat‑)Klage setze die mit der (öffentlichen) Durchsetzung betrauten Behörden einem Druck aus und dürfe daher nicht neben einem System der öffentlichen Durchsetzung bestehen, derart abwegig, dass es einer weiter gehenden Auseinandersetzung mit dieser Argumentation nicht bedarf(21).

45.      Als Viertes und Letztes wende ich mich dem Argument zu, Art. 80 Abs. 2 DSGVO sei so zu verstehen, dass eine frühere Situation geändert (und in ihr Gegenteil verkehrt) wird, indem etwas (eine Klagebefugnis von Verbänden) eingeräumt wird, was zuvor nicht zulässig war.

46.      Dieses Vorbringen vermag nicht zu überzeugen.

47.      Es ist darauf hinzuweisen, dass sich mit der DSGVO, die die Richtlinie 95/46 ersetzt, die Natur des Rechtsakts, in dem die Regelungen zu finden sind, von einer Richtlinie zu einer Verordnung gewandelt hat. Dieser Wandel bedeutet auch, dass im Gegensatz zu einer Richtlinie, bei der die Mitgliedstaaten die freie Wahl der Mittel haben, wie sie die Inhalte dieses Rechtsakts umsetzen, nationale Vorschriften zur Durchführung einer Verordnung grundsätzlich nur dann erlassen werden dürfen, wenn hierfür eine ausdrückliche Ermächtigung vorliegt.

48.      Unter diesem Blickwinkel betrachtet ist das Argument fragwürdig, der nunmehr in der DSGVO enthaltenen ausdrücklichen Bestimmung über die Klagebefugnis von Verbänden sei zu entnehmen, dass die Richtlinie 95/46 einer Klagebefugnis entgegengestanden habe. Wenn aus einer solchen Gegenüberstellung überhaupt ein Argument abgeleitet werden kann(22), wäre es eher das Gegenteilige: Wenn die Richtlinie (auf der Grundlage meiner obigen Argumente) dem Erlass von Vorschriften zur Einräumung einer solchen Klagebefugnis nicht entgegenstand, würde der Wandel der Rechtsform von einer Richtlinie zur Verordnung es rechtfertigen, eine solche Bestimmung in die Verordnung aufzunehmen, um zu verdeutlichen, dass ein solches Klagerecht tatsächlich weiterhin besteht.

49.      Im Licht der vorstehenden Ausführungen gelange ich daher zu meinem ersten Zwischenergebnis, dass die Richtlinie 95/46 einer nationalen Regelung nicht entgegensteht, die gemeinnützigen Verbänden die Befugnis einräumt, zur Wahrung der Interessen der Verbraucher rechtlich gegen den mutmaßlichen Verletzer von Datenschutzrecht vorzugehen.

B.      Ist Fashion ID ein für die Verarbeitung Verantwortlicher?

50.      Mit seiner zweiten Frage möchte das vorlegende Gericht klären lassen, ob die Beklagte dadurch, dass sie auf ihrer Webseite ein Plugin eingebunden hat, das den Browser des Benutzers veranlasst, Inhalte von einem Dritten anzufordern und personenbezogene Daten an den Dritten übermittelt, selbst dann als ein „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 anzusehen ist, wenn sie selbst diesen Datenverarbeitungsvorgang nicht beeinflussen kann.

51.      Was die vom vorlegenden Gericht in seiner Frage angesprochene fehlende Möglichkeit der Beeinflussung des Datenverarbeitungsvorgangs angeht, verstehe ich diese im Kontext des vorliegenden Falles so, dass sie sich nicht auf das Auslösen des Vorgangs der Übermittlung dieser Daten bezieht (denn rein tatsächlich hat die Beklagte ja insoweit eindeutig einen Einfluss, als sie das betreffende Plugin eingebunden hat). Die fehlende Möglichkeit scheint sich eher auf die etwaige nachfolgende Verarbeitung der Daten durch Facebook Ireland zu beziehen.

52.      Wie das vorlegende Gericht angemerkt hat, birgt die Antwort auf seine zweite Frage Implikationen, die weit über den vorliegenden Fall und das von Facebook Ireland betriebene soziale Netzwerk hinausgehen. Denn in eine ganze Reihe von Webseiten sind Drittinhalte unterschiedlicher Arten eingebunden. Wäre eine Person wie die Beklagte als ein „für die Verarbeitung Verantwortlicher“ einzustufen, der deshalb eine (Mit‑)Verantwortung für eine (nachfolgende) Verarbeitung der zuvor erhobenen Daten trägt, weil der betreffende Webseiten-Betreiber Drittinhalte eingebunden hat, die die Übermittlung solcher Daten ermöglichen, so hätte eine solche Aussage tatsächlich weitreichendere Auswirkungen auf die Art und Weise des Umgangs mit Drittinhalten.

53.      Innerhalb der Struktur der vorliegenden Rechtssache ist die zweite Frage zudem die Schlüsselfrage, die das Kernproblem erfasst: Wer trägt die Verantwortung in Fällen, in denen Drittinhalte in eine Webseite eingebunden werden, und wofür genau? Auch hat die (Un‑)Genauigkeit bei der Beantwortung dieser Frage Auswirkungen auf die Antworten auf die sich anschließenden Fragen nach den berechtigten Interessen, der Einwilligung und der Informationspflicht.

54.      In diesem Abschnitt werde ich zunächst einige einleitende Bemerkungen zu dem für den vorliegenden Fall bedeutsamen Begriff der personenbezogenen Daten machen (1). Anschließend stelle ich neuere Rechtsprechung des Gerichtshofs vor, der gegebenenfalls zu entnehmen ist, wie die zweite Frage beantwortet werden könnte, falls die früheren Entscheidungen des Gerichtshofs ohne Erörterung weiter gehender Fragen betrachtet werden können (2). Sodann erläutere ich, warum vielleicht weitere Fragen gestellt werden und die etwas genauere Analyse im Kontext des vorliegenden Falles vertieft werden sollten (3). Abschließend werde ich zwecks Bestimmung des Begriffs der (gemeinsamen) Verantwortlichkeit für die Verarbeitung von Daten die Einheit aus „Zwecken und Mitteln“ hervorheben, die im Verhältnis der (gemeinsam) für die Verarbeitung Verantwortlichen in Bezug auf die jeweilige Phase der Verarbeitung personenbezogener Daten (Datenverarbeitungsvorgang) vorliegen sollte (4).

1.      Begriff „personenbezogene Daten“ in der vorliegenden Rechtssache

55.      Es ist daran zu erinnern, dass der Begriff „personenbezogene Daten“ in Art. 2 Buchst. a der Richtlinie 95/46 „alle Informationen über eine bestimmte oder bestimmbare natürliche Person (,betroffene Person‘)“ bezeichnet. Im 26. Erwägungsgrund dieser Richtlinie wird dazu erläutert, dass „[b]ei der Entscheidung, ob eine Person bestimmbar ist, … alle Mittel berücksichtigt werden [sollten], die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen“.

56.      Der Gerichtshof hat bereits klargestellt, dass IP‑Adressen unter bestimmten Umständen personenbezogene Daten darstellen können(23). Er hat ferner festgestellt, dass es für diese Zwecke, damit „eine bestimmbare Person“ im Sinne des Art. 2 Buchst. a der Richtlinie 95/46 angenommen werden kann „nicht erforderlich ist, dass die Information für sich genommen die Identifizierung der betreffenden Person ermöglicht“, und dass gegebenenfalls auf zusätzliche Informationen zurückgegriffen werden muss. Des Weiteren ist „[es] nicht erforderlich …, dass sich alle zur Identifizierung der betreffenden Person erforderlichen Informationen in den Händen einer einzigen Person befinden“, sofern die Möglichkeit der Verknüpfung der jeweiligen Informationen „ein Mittel darstellt, das vernünftigerweise zur Bestimmung der betreffenden Person eingesetzt werden kann“(24).

57.      Das vorlegende Gericht hat nicht erörtert, ob die IP‑Adresse für sich genommen oder zusammen mit dem ebenfalls übermittelten Browser-String personenbezogene Daten im Sinne dieser Kriterien darstellen. Facebook Ireland tritt dieser Einstufung offenbar entgegen(25).

58.      Dies zu prüfen, ist eindeutig Sache des nationalen Gerichts. Im Allgemeinen gilt für eingebundene Plugins oder sonstige Drittinhalte, dass die Information für ihre Einstufung als personenbezogen zwingend die (direkte oder indirekte) Identifizierung der betroffenen Person ermöglichen muss. Für die Zwecke der vorliegenden Rechtssache gehe ich davon aus, dass, wie es sich aus den Fragen des vorlegenden Gerichts zu ergeben scheint, in einer Konstellation wie der des Ausgangsverfahrens die IP‑Adresse und der Browser-String tatsächlich personenbezogene Daten darstellen und die vom Gerichtshof klargestellten Kriterien des Art. 2 Buchst. a der Richtlinie erfüllen.

2.      Wirtschaftsakademie Schleswig-Holstein locuta, causa finita?

59.      Was die Antwort auf die zweite Frage angeht, machen die Beklagte und Facebook Ireland geltend, dass die Beklagte nicht als ein für die Verarbeitung Verantwortlicher angesehen werden könne, da sie keinen Einfluss auf die später personenbezogenen Daten habe, die verarbeitet würden. Daher könne nur Facebook Ireland als ein solcher eingestuft werden. Hilfsweise trägt Facebook Ireland vor, dass die Beklagte mit ihr zusammen, d. h. als ein gemeinsam für die Verarbeitung Verantwortlicher, handele, wobei die Verantwortlichkeit einer Person wie der Beklagten allerdings auf ihren tatsächlichen Einflussbereich beschränkt sei.

60.      Die Klägerin, LDI NRW und sämtliche Regierungen, die in der vorliegenden Rechtssache Erklärungen abgegeben haben, sowie die Kommission vertreten im Wesentlichen übereinstimmend den Standpunkt, dass der Begriff „für die Verarbeitung Verantwortlicher“ weit gefasst sei und die Beklagte umfasse. Hinsichtlich des genauen Umfangs der Verantwortlichkeit der Beklagten weichen die in diesen Erklärungen vertretenen Auffassungen jedoch erheblich voneinander ab. Die Unterschiede betreffen die Frage, ob die Beklagte und Facebook Ireland als gemeinsam verantwortlich angesehen werden sollten oder nicht, ob ihre gemeinsame Verantwortlichkeit auf die Phase der Verarbeitung personenbezogener Daten beschränkt sein sollte, in der die Beklagte tatsächlich beteiligt ist, und ob in diesem Zusammenhang zwischen den Besuchern der Webseite der Beklagten, die über ein Facebook-Nutzerkonto verfügen, und solchen, die kein solches Konto haben, unterschieden werden sollte.

61.      Im Ausgangspunkt ist klar, dass der Begriff „für die Verarbeitung Verantwortlicher“ nach Art. 2 Buchst. d der Richtlinie 95/46 eine Person erfasst, die „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“(26). Der Begriff „für die Verarbeitung Verantwortlicher“ kann sich daher auf mehrere an der Verarbeitung personenbezogener Daten beteiligte Akteure beziehen(27) und sollte weit ausgelegt werden(28).

62.      Mit der Frage einer gemeinsamen Verantwortlichkeit für die Verarbeitung von Daten hat sich der Gerichtshof kürzlich im Urteil Wirtschaftsakademie Schleswig-Holstein befasst(29).In Bezug auf die Rolle des Betreibers einer Facebook-Fanpage ist der Gerichtshof zu dem Ergebnis gelangt, dass der Betreiber gemeinsam mit Facebook Ireland als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 gehandelt habe. Der Betreiber sei nämlich gemeinsam mit Facebook Ireland an der Entscheidung über die Zwecke und Mittel der Verarbeitung personenbezogener Daten der Besucher der Fanpage beteiligt gewesen(30).

63.      Konkret hat der Gerichtshof ausgeführt, dass der Betreiber es durch die Einrichtung der betreffenden Fanpage Facebook Ireland ermöglicht habe, „auf dem Computer oder jedem anderen Gerät der Person, die seine Fanpage besucht hat, Cookies zu platzieren“, und so personenbezogene Daten zu verarbeiten(31). Der Gerichtshof hat darauf hingewiesen, dass „die Einrichtung einer Fanpage auf Facebook von Seiten ihres Betreibers eine Parametrierung u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten impliziert, die sich auf die Verarbeitung personenbezogener Daten zum Zweck der Erstellung der aufgrund der Besuche der Fanpage erstellten Statistiken auswirkt“(32). Die betreffende Datenverarbeitung ermöglicht es Facebook Ireland, „sein System der Werbung … zu verbessern“, und zum anderen habe der Betreiber zum Zweck der besseren Steuerung der Vermarktung seiner Tätigkeit anonymisierte Statistiken erhalten(33).

64.      Der Gerichtshof gelangte zu dem Ergebnis, dass der betreffende Betreiber durch „die von ihm vorgenommene Parametrierung“ an der Entscheidung über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten der Besucher seiner Fanpage beteiligt gewesen sei. Daher sei er als gemeinsam mit Facebook Ireland für diese Verarbeitung Verantwortlicher (mit „noch höherer“ Verantwortlichkeit hinsichtlich der personenbezogenen Daten von Personen, die keine Facebook-Nutzer seien) anzusehen(34).

65.      Im Urteil Jehovan todistajathob der Gerichtshof eine weitere wichtige Klarstellung zum Begriff des gemeinsam für die Verarbeitung Verantwortlichen hervor: Eine gemeinsame Verantwortlichkeit mehrerer Akteure setzt nicht voraus, dass jeder von ihnen Zugang zu (den bzw. sämtlichen) personenbezogenen Daten hat. Somit konnte eine Religionsgemeinschaft auch in den Fällen ein gemeinsam für die Verarbeitung Verantwortlicher sein, in denen die Gemeinschaft selbst offenbar keinen Zugang zu den betreffenden erhobenen Daten hatte. In diesem Fall waren die einzelnen Mitglieder der Gemeinschaft der Zeugen Jehovas im Besitz der personenbezogenen Daten. Es genügte, dass diese Gemeinschaft die Verkündigungstätigkeit, in deren Rahmen offenbar personenbezogene Daten erhoben wurden, organisierte, koordinierte und zu ihr ermunterte(35).

66.      Von einem höheren Abstraktionsniveau ausgehend und bei Konzentration auf den Begriff der gemeinsamen Verantwortlichkeit für die Verarbeitung bin ich angesichts dieser kürzlich ergangenen Entscheidungen geneigt, der Schlussfolgerung zuzustimmen, dass die Beklagte als ein für die Verarbeitung Verantwortlicher tätig wird und gemeinsam mit Facebook Ireland für die Verarbeitung von Daten verantwortlich ist(36).

67.      Erstens hat die Beklagte es Facebook Ireland durch die Verwendung des betreffenden Plugins offenbar ermöglicht, personenbezogene Daten von den Nutzern der Webseite der Beklagten zu erlangen.

68.      Zweitens ist die Beklagte anders als der Webseiten-Betreiber in der Rechtssache Wirtschaftsakademie Schleswig-Holstein zwar offenbar nicht an der Parametrisierung von Informationen über die Nutzer ihrer Webseite, welche ihr in anonymisierter oder sonstiger Form zurückübermittelt werden, beteiligt. Der angestrebte „Nutzen“ scheint in der kostenlosen Werbung für ihre Produkte zu liegen, die offenbar stattfindet, wenn der Besucher ihrer Webseite auf den Facebook-„Gefällt mir“-Button klickt, um seine Gedanken – sagen wir zu einem schwarzen Cocktailkleid – mit anderen über sein Facebook-Nutzerkonto zu teilen. Vorbehaltlich einer Sachverhaltsprüfung durch das vorlegende Gericht ermöglicht die Verwendung des Plugins es der Beklagten also offenbar, die Werbung für ihre Produkte zu optimieren, indem sie diese auf Facebook sichtbar machen kann.

69.      Unter einem anderen Blickwinkel betrachtet könnte man von der Beklagten aber sagen, dass sie an der Parametrisierung der erhobenen Daten schon dadurch beteiligt ist, dass sie das betreffende Plugin in ihre Webseite einbindet. Denn bereits das Plugin selbst gibt Parameter für die zu erhebenden personenbezogenen Daten vor. Indem die Beklagte das betreffende Tool also freiwillig in ihre Webseite einbindet, hat sie die besagten Parameter in Bezug auf die Besucher ihrer Webseite festgelegt.

70.      Drittens kann eine Person im Licht des Urteils Jehovan todistajat in jedem Fall als gemeinsam für die Verarbeitung Verantwortlicher eingestuft werden, selbst wenn sie nicht einmal Zugang zu den „Früchten der gemeinsamen Arbeit“ hat. Demnach scheint der Umstand, dass die Beklagte keinen Zugang zu den an Facebook weitergegebenen Daten hat oder dass sie keine maßgeschneiderten oder aggregierten statistischen Daten zurückerhält, nicht von entscheidender Bedeutung zu sein.

3.      Zu den Problemen: Wann also ist eine Person kein gemeinsam für die Verarbeitung Verantwortlicher?

71.      Wird ein wirksamer Schutz besser erreicht, wenn alle für die Sicherstellung dieses Schutzes verantwortlich gemacht werden?

72.      Dies ist zusammengefasst das tiefer gehende moralische und praktische Dilemma, das durch den vorliegenden Fall zutage tritt und in rechtlicher Hinsicht seinen Ausdruck in der Reichweite der Definition des (gemeinsam) für die Verarbeitung Verantwortlichen findet. In dem verständlichen Bestreben, den wirksamen Schutz personenbezogener Daten sicherzustellen, hat die neuere Rechtsprechung des Gerichtshofs auf die Frage nach einer enger oder weiter ausfallenden Definition des Begriffs des (gemeinsam) für die Verarbeitung Verantwortlichen einen sehr inklusiven Ansatz verfolgt. Bisher war der Gerichtshof jedoch im Zusammenhang mit den sich anschließenden Fragen nach den konkreten Pflichten und der spezifischen Haftung der Beteiligten, die als gemeinsam für die Verarbeitung Verantwortliche eingestuft werden, noch nicht mit den praktischen Implikationen eines derart umfassenden definitorischen Ansatzes befasst. Da die vorliegende Rechtssache genau diese Gelegenheit einer Klärung eröffnet, schlage ich vor, sie zu ergreifen, um die definitorische Genauigkeit zu erhöhen, die in Bezug auf den Begriff der (gemeinsam) für die Verarbeitung Verantwortlichen gegeben sein sollte.

a)      Zur Verpflichtung und Verantwortlichkeit

73.      Nimmt man den einschlägigen Test zur Erkennung eines „gemeinsam für die Verarbeitung Verantwortlichen“ genauer unter die Lupe, scheint nach den Urteilen Wirtschaftsakademie Schleswig-Holstein und Jehovan todistajat das entscheidende Kriterium zu sein, dass die fragliche Person die Erhebung und Übermittlung personenbezogener Daten „ermöglichte“, und zwar gegebenenfalls verknüpft mit einem gewissen Input, den ein solcher gemeinsam für die Verarbeitung Verantwortlicher in Bezug auf die Parametrisierung hat (und bestehe er auch nur in einer stillschweigenden Billigung der vorgenommenen Parametrisierung)(37). Sollte dies tatsächlich der Fall sein, ist entgegen einer entsprechenden, im Urteil Wirtschaftsakademie Schleswig-Holstein(38)deutlich formulierten Absicht, genau dies auszuschließen, schwerlich erkennbar, warum normale Nutzer einer Online-Anwendung, ob nun eines sozialen Netzwerks, einer sonstigen interaktiven Plattform oder anderer Programme(39), nicht ebenfalls gemeinsam für die Verarbeitung Verantwortliche sein sollten. Ein Benutzer wird sein Nutzerkonto typischerweise einrichten, indem er dem Administrator Parameter bereitstellt, wie sein Nutzerkonto aufgebaut sein soll und welche Informationen er über was und von wem zu erhalten wünscht. Er wird außerdem seine Freunde, Kollegen und sonstige Personen einladen, Informationen in Gestalt von (häufig recht sensiblen) personenbezogenen Daten über die Anwendung zu teilen, wobei er nicht nur Daten betreffend diese Personen bereitstellt, sondern sie auch einlädt, sich ihrerseits einzubringen, wodurch er eindeutig zur Erlangung und Verarbeitung personenbezogener Daten dieser Personen beiträgt.

74.      Was ist außerdem mit den sonstigen Beteiligten in einer „Kette personenbezogener Daten“? Wären, wenn man es auf die Spitze treibt und das einzige maßgebliche Kriterium für eine gemeinsame Verantwortlichkeit für die Verarbeitung darin besteht, die Verarbeitung von Daten ermöglicht zu haben, also in einer beliebigen Phase der Verarbeitung im Ergebnis einen tatsächlichen Beitrag zu leisten, nicht auch der Internetdienstanbieter, der die Datenverarbeitung ermöglicht, weil er den Zugang zum Internet gewährt, oder gar der Stromversorger gemeinsam für die Verarbeitung Verantwortliche, die eine gemeinsame Haftung für die Verarbeitung von personenbezogenen Daten treffen könnte?

75.      Die intuitive Antwort hierauf lautet selbstverständlich „nein“. Das Problem liegt darin, dass die Abgrenzung der Verantwortlichkeit sich bisher nicht aus dem weiten Begriff des gemeinsam für die Verarbeitung Verantwortlichen ergibt. Die Gefahr einer zu weit gefassten Definition besteht darin, dass sie eine ganze Reihe von Personen gemeinsam für die Verarbeitung von personenbezogenen Daten verantwortlich sein lässt.

76.      Im Gegensatz zu den im vorstehenden Abschnitt dargestellten Fällen enden die vom vorlegenden Gericht in dieser Rechtssache gestellten Fragen nicht an dem Punkt, wie der Begriff „für die Verarbeitung Verantwortlicher“ zu definieren ist. Sie greifen hiermit im Zusammenhang stehende Fragen der Zuweisung von konkret aus der Richtlinie 95/46 resultierenden Verpflichtungen auf und gehen diesen weiter nach. Die betreffenden Fragestellungen selbst verdeutlichen die Probleme einer zu umfassenden Definition des „gemeinsam für die Verarbeitung Verantwortlichen“, und zwar insbesondere im Zusammenhang mit dem Fehlen einer präzisen Vorschrift darüber, welche konkreten Pflichten und Verantwortlichkeiten genau sich für die Verarbeitung Verantwortlichen aus der Richtlinie 95/46 ergeben. Die Erklärungen der Parteien zu den Fragen 5 und 6, die sich mit der genauen Zuweisung der sich aus der Richtlinie ergebenden Verantwortlichkeiten befassen, veranschaulichen dies gut.

77.      Mit der fünften Frage soll in Erfahrung gebracht werden, wer die Einwilligung der betroffenen Person für welchen Zweck einzuholen hat. Die auf diese Frage vorgeschlagenen Antworten unterscheiden sich erheblich.

78.      Die Klägerin und die LDI NRW vertreten die Ansicht, die Verpflichtung zur Einholung der in Kenntnis der Sachlage zu erteilenden Einwilligung der betroffenen Person liege bei der Beklagten, die die Entscheidung getroffen habe, das betreffende Plugin einzubinden. Dies ist nach Ansicht der Klägerin vor allem für Nutzer von Bedeutung, die über kein Facebook-Nutzerkonto verfügen und der Geltung der Nutzungsbedingungen von Facebook nicht zugestimmt haben. Die Beklagte vertritt den Standpunkt, die Einwilligung müsse gegenüber dem Dritten erklärt werden, der die eingebundenen Inhalte bereitstelle, also Facebook Ireland. Facebook Ireland ist der Auffassung, die Einwilligung sei nicht an einen bestimmten Adressaten zu richten, da die Richtlinie 95/46 lediglich angebe, dass die Einwilligung ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erteilt werden müsse.

79.      Österreich, Deutschland und Polen machen geltend, die Einwilligung müsse erteilt werden, bevor eine Verarbeitung von Daten erfolge, und nach dem Vorbringen Österreichs muss sie sich sowohl auf die Erhebung als auch auf die mögliche Übermittlung von Daten erstrecken. Polen hebt hervor, dass die Einwilligung der Beklagten erteilt werden müsse. Deutschland vertritt die Auffassung, dass sie gegenüber der Beklagten oder dem Dritten, der die eingebundenen Inhalte bereitstelle (Facebook Ireland), erklärt werden müsse, weil beide gemeinsam für die Verarbeitung verantwortlich seien. Die Beklagte müsse sich lediglich die Einwilligung für die Datenübermittlung an den Dritten erteilen lassen, da sie in Bezug auf alle sonstigen Datenverarbeitungsvorgänge und die Verwendung der erhobenen Daten nicht mehr als für die Verarbeitung Verantwortliche tätig werde. Dies schließe jedoch nicht die Möglichkeit aus, dass dem Betreiber der Webseite die Einwilligung in die durch den Dritten erfolgende Verarbeitung erteilt werde, für die gegebenenfalls eine die beiden verbindende Vereinbarung gelte. Italien macht geltend, die Einwilligung müsse gegenüber all denen erklärt werden, die an der Verarbeitung personenbezogener Daten beteiligt seien, d. h. gegenüber der Beklagten und Facebook Ireland. Belgien und die Kommission heben hervor, dass die Richtlinie 95/46 keine Angabe dazu mache, wem gegenüber die Einwilligung erklärt werden müsse.

80.      Ähnlich vielfältige Auffassungen gibt es dazu, wen die Informationspflicht aus Art. 10 der Richtlinie 95/46 mit genau welchem Inhalt trifft, was mit der sechsten Frage des vorlegenden Gerichts thematisiert wird.

81.      Nach Ansicht der Klägerin ist der Betreiber der Webseite verpflichtet, der betroffenen Person die notwendigen Informationen mitzuteilen. Die Beklagte argumentiert umgekehrt, indem sie betont, die Informationspflicht treffe Facebook Ireland, weil die Beklagte über keine genauen Erkenntnisse verfüge. In ähnlicher Weise hebt auch Facebook Ireland hervor, die Informationspflicht treffe sie, da sich diese Verpflichtung nur an den für die Verarbeitung Verantwortlichen oder dessen Vertreter richte. Die Antwort auf die sechste Vorlagefrage sei eng damit verknüpft, ob der Betreiber der Webseite ein für die Verarbeitung Verantwortlicher sei. Art. 10 verdeutliche, dass es unangemessen sei, den Betreiber einer Webseite als einen für die Verarbeitung Verantwortlichen einzustufen, da er zur Bereitstellung von Informationen nicht in der Lage sei. Die LDI NRW ist der Auffassung, dass die Informationen vom Betreiber der Webseite erteilt werden müssen, erkennt jedoch an, wie schwierig es zu bestimmen ist, welche Informationen mitgeteilt werden sollten, da die Beklagte keinen Einfluss auf die durch Facebook Ireland erfolgende Verarbeitung von Daten hat. Das Ineinandergreifen der Datenverarbeitungsziele lege nahe, dass der Betreiber der Webseite für die von ihm ermöglichte Verarbeitung Mitverantwortung tragen sollte.

82.      Belgien, Italien und Polen führen aus, die Informationspflicht gelte auch für einen Webseiten-Betreiber wie den hier in Rede stehenden, da er als für die Verarbeitung Verantwortlicher einzustufen sei. Belgien ergänzt, dass den Webseiten-Betreiber auch eine Verpflichtung treffen könnte, den Zweck der sich anschließenden Verarbeitung von Daten zu überprüfen und angemessene Vorkehrungen zu treffen, um den Schutz natürlicher Personen sicherzustellen. Die deutsche Regierung macht geltend, die Informationspflicht treffe den Betreiber einer Webseite insoweit, als er für die Verarbeitung verantwortlich sei, nämlich für die Übermittlung von Daten an den externen Bereitsteller der eingebundenen Inhalte, nicht jedoch für alle nachfolgenden Datenverarbeitungsvorgänge, die in der Verantwortung des externen Inhalte-Bereitstellers erfolgen. Nach Ansicht Österreichs und der Kommission unterliegen sowohl der Betreiber der Webseite als auch der externe Bereitsteller von Inhalten der Informationspflicht aus Art. 10 der Richtlinie 95/46.

83.      Über die durch die Fragen 5 und 6 aufgeworfenen Probleme hinaus mag hier ergänzt werden, dass wahrscheinlich ähnliche begriffliche Schwierigkeiten auftreten, wenn man andere durch die Richtlinie 95/46 festgelegte Verpflichtungen wie das Auskunftsrecht nach deren Art. 12 betrachtet. Zwar hat der Gerichtshof im Urteil Wirtschaftsakademie Schleswig-Holstein ausgeführt, dass „[d]ie Richtlinie 95/46 … nicht [verlangt], dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat“(40). Doch kann ein für die Verarbeitung Verantwortlicher, der selbst keinen Zugang zu Daten hat, für die er gleichwohl aber als (gemeinsam) für die Verarbeitung Verantwortlicher eingestuft wird, einer betroffenen Person diesen Zugang verständlicherweise nicht gewähren (geschweige denn weitere Vorgänge wie die Berichtigung oder Löschung von Daten vornehmen).

84.      Somit fällt der Mangel an begrifflicher Klarheit in die eine Richtung (wer ist gemeinsam für die Verarbeitung Verantwortlicher und in Bezug auf was genau), die in manchen Fällen zu einer Unklarheit in die andere Richtung (wen treffen welche Verpflichtungen) führen kann, in einen Bereich, in dem einem potenziellen gemeinsam für die Verarbeitung Verantwortlichen die Erfüllung geltenden Rechts tatsächlich unmöglich ist.

85.      Selbstverständlich könnte man vorschlagen, dass zur genauen Zuordnung der Verantwortlichkeit unter den (möglicherweise recht zahlreichen) gemeinsam für die Verarbeitung Verantwortlichen Verträge geschlossen werden sollten. Diese würden nicht nur für eine Verteilung der Verantwortlichkeit sorgen, sondern auch die Partei festlegen, die die jeweiligen Verpflichtungen nach der Richtlinie, einschließlich derer zu erfüllen hätte, die physisch nur von einer Partei erfüllt werden können.

86.      Ich halte diesen Vorschlag für äußerst problematisch. Erstens ist er unter Berücksichtigung des dichten Netzes von Formularverträgen, die von jedem beliebigen Beteiligten, darunter sehr wahrscheinlich auch von einer Reihe von regulären Nutzern, abgeschlossen werden müssten, gänzlich unrealistisch(41). Zweitens würden die Anwendung geltenden Rechts und die danach vorgesehene Verteilung von Verantwortlichkeit von privatrechtlichen Verträgen abhängig gemacht, auf die Dritte, die die ihnen zustehenden Rechte durchsetzen wollen, womöglich keinen Zugriff hätten.

87.      Drittens wird mit Art. 26 DSGVO, dies sei hier vielleicht unter teilweiser Vorwegnahme einiger dieser Fragen angemerkt, offenbar ein neues System der gemeinsamen Haftung eingeführt. Zweifellos ist die DSGVO ratione temporis auf die in diesem Abschnitt erörterten Fälle und auch auf die vorliegende Rechtssache nicht anwendbar. Doch wäre es recht überraschend, wenn die Auslegung von Schlüsselbegriffen, darunter die des für die Verarbeitung Verantwortlichen, der Verarbeitung und der personenbezogenen Daten, (ohne guten Grund) erheblich von der bestehenden Rechtsprechung abwiche, es sei denn, die Neuregelung sähe eine konkrete oder systematische Änderung der maßgeblichen Begriffsbestimmungen vor, was nicht der Fall zu sein scheint, weil Art. 4 der DSGVO (allerdings unter Hinzufügung einer Reihe von neuen Begriffsbestimmungen) weitgehend dieselben Schlüsselbegriffe wie Art. 2 der Richtlinie 95/46 enthält.

88.      Wenn dem tatsächlich so wäre, würde das mit Art. 26 Abs. 3 der DSGVO offenbar eingeführte System der gemeinsamen Haftung von gemeinsam für die Verarbeitung Verantwortlichen zu einer erheblichen Herausforderung. Einerseits können gemeinsam für die Verarbeitung Verantwortliche nach Art. 26 Abs. 1 der DSGVO „[festlegen], wer von ihnen welche Verpflichtung … erfüllt“. Andererseits stellt Art. 26 Abs. 3 der DSGVO klar, dass „die betroffene Person ihre Rechte“ ungeachtet einer solchen Vereinbarung „bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen [kann]“. Somit kann jeder der gemeinsam Verantwortlichen für die fragliche Verarbeitung von Daten haftbar gemacht werden.

b)      Betrachtung des großen Ganzen

89.      Vor langer Zeit (bestimmte Science-Fiction-Fans würden hier wohl ergänzen: „in einer weit, weit entfernten Galaxie“) war es einmal cool, in einem sozialen Netzwerk aktiv zu sein. Dann wurde es allmählich cool, kein Nutzer eines sozialen Netzwerks zu sein. Heutzutage wird es als eine Untat angesehen, in einem solchen Netzwerk aktiv zu sein (für das neuartige Formen einer Haftung für fremdes Verschulden eingeführt werden müssen).

90.      Es ist nicht zu leugnen, dass Recht vor dem Hintergrund gesellschaftlicher Entwicklungen gesprochen wird. Rechtsprechung sollte daher selbstverständlich auf solche Entwicklungen reagieren, nicht jedoch von ihnen bestimmt werden. Wie jede sonstige Anwendung und jedes andere Programm auch ist ein soziales Netzwerk ein Werkzeug. Ähnlich wie ein Messer oder ein Auto kann es unterschiedlich verwendet werden. Im Fall einer Nutzung für die falschen Zwecke muss der betreffende Missbrauch zweifellos rechtlich verfolgt werden. Aber es ist wohl keine gute Idee, alle zu bestrafen, die jemals ein Messer benutzt haben. Normalerweise verfolgt man die Person(en), die die Gewalt über das Messer hatte(n), als mit ihm Schaden angerichtet wurde.

91.      Daher sollte, wenn auch vielleicht nicht immer in genauer Entsprechung, so doch wenigstens ein angemessenes Verhältnis zwischen Macht, Einfluss und Verantwortlichkeit bestehen. Das moderne Recht umfasst natürlich verschiedene Formen der objektiven Haftung, die nur bei Eintritt bestimmter Erfolge greift. Hierbei handelt es sich jedoch eher um gerechtfertigte Ausnahmen. Weist man jemandem, der keinen Einfluss auf den Ausgang des Geschehens hatte, ohne vernünftigen Grund eine Verantwortung zu, wird eine solche Zurechnung von Haftung typischerweise als unangemessen oder ungerecht angesehen(42).

92.      In Beantwortung der am Anfang dieses Abschnitts (Nr. 71) gestellten Frage würde ein Skeptiker mit Herkunft aus den östlicheren Teilen der Europäischen Union angesichts seiner geschichtlichen Erfahrung wohl anmerken, dass ein Schutzmechanismus in der Regel massiv an Wirksamkeit verliert, wenn die Verantwortlichkeit hierfür jedermann zugewiesen ist. Macht man jedermann verantwortlich, bedeutet dies, dass tatsächlich niemand verantwortlich ist. Vielmehr wird sich der eine Beteiligte, der für einen bestimmten Vorgang verantwortlich gemacht werden sollte, der eine, der tatsächlich Kontrolle ausübt, wahrscheinlich hinter all den anderen nominell „Mitverantwortlichen“ verstecken, wodurch die Wirksamkeit des Schutzes erheblich leiden dürfte.

93.      Schließlich gilt, dass keine gute (Auslegung einer) Regelung dazu führen sollte, dass die darin vorgesehenen Verpflichtungen von den jeweiligen Adressaten tatsächlich nicht erfüllt werden können. Soll also die in zupackender Weise getroffene Bestimmung des Begriffs der (gemeinsamen) Verantwortlichkeit nicht in eine an alle Akteure gerichtete und gerichtlich gestützte Anordnung mutieren, offline zu gehen und soziale Netzwerke, Plugins sowie gegebenenfalls sonstige Drittinhalte nicht mehr zu nutzen, muss bei der Bestimmung der Verpflichtungen und Verantwortlichkeiten die Lebenswirklichkeit eine Rolle spielen, wobei wiederum die Fragen von Kenntnis, originärer Verhandlungsmacht und der Fähigkeit, auf beliebige der hier in Rede stehenden Aktivitäten Einfluss zu nehmen, einzubeziehen sind(43).

4.      Zurück zu den (gesetzgeberischen) Wurzeln: Einheit von Zwecken und Mitteln in Bezug auf einen bestimmten Verarbeitungsvorgang

94.      Obwohl der Gerichtshof im Urteil Wirtschaftsakademie Schleswig-Holstein bei der Bestimmung des Begriffs der gemeinsamen Verantwortlichkeit eine recht zupackende Haltung eingenommen hat, hat er doch auch auf die Notwendigkeit hingewiesen, die Haftung eines (gemeinsam) Verantwortlichen zu begrenzen. Konkret hat er ausgeführt, „dass das Bestehen einer gemeinsamen Verantwortlichkeit … nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure zur Folge hat, die von einer Verarbeitung personenbezogener Daten betroffen sind. … [D]iese Akteure [können] in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sein, dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist“(44).

95.      Während es in der Rechtssache Wirtschaftsakademie Schleswig-Holstein nicht erforderlich war, sich mit dieser konkreten Fragestellung zu befassen, besteht diese Notwendigkeit in der vorliegenden Rechtssache, in der das vorlegende Gericht den Gerichtshof unmittelbar darum ersucht, die möglichen Verpflichtungen der Beklagten festzustellen, die sich aus ihrem Status als Verantwortlicher ergeben.

96.      In Anbetracht des in Art. 26 der DSGVO neu eingeführten Systems einer gemeinsamen Haftung ist es schwierig vorherzusehen, inwiefern eine gemeinsame Verantwortlichkeit mit Blick auf dasselbe Ergebnis einer potenziell rechtswidrigen/rechtmäßigen Verarbeitung personenbezogener Daten eine ungleiche Verantwortlichkeit implizieren könnte. Dies gilt insbesondere im Hinblick auf Art. 26 Abs. 3 der DSGVO, der auf eine gemeinsame (d. h. gesamtschuldnerische) Haftung hinzudeuten scheint(45).

97.      Ich halte jedoch die zweite Aussage des Gerichtshofs für die Kernaussage, nämlich dass „diese Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß … einbezogen sein [können]“. Diese Beurteilung findet in den in der Richtlinie 95/46 enthaltenen Begriffsbestimmungen eine Stütze, und zwar insbesondere in Anbetracht der Definition in der Richtlinie 95/40 i) des Begriffs „Verarbeitung“ (Art. 2 Buchst. b) und ii) des Begriffs „für die Verarbeitung Verantwortlicher“ (Art. 2 Buchst. d).

98.      Erstens umfasst der Begriff „Verarbeitung personenbezogener Daten“ „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten“.

99.      Auch wenn der Begriff „Verarbeitung“ ähnlich wie der Begriff „für die Verarbeitung Verantwortlicher“ ziemlich weit gefasst ist(46), zielt er doch deutlich auf eine Phase der Verarbeitung ab: Er verweist auf einen Vorgang oder eine Vorgangsreihe, wobei eine anschauliche Aufzählung angibt, um welche einzelnen dieser Vorgänge es sich handeln könnte. Die Logik legt es daher nahe, die Frage der Verantwortlichkeit mit Blick auf den betreffenden konkreten Vorgang zu prüfen, und eben nicht mit Blick auf ein unbestimmtes Bündel von allem Möglichen, was als Verarbeitung bezeichnet werden kann(47).

100. Zweitens ist der Begriff der gemeinsamen Verantwortlichkeit in der Richtlinie 95/46 nicht ausdrücklich bestimmt. Logisch baut dieser Begriff auf dem in Art. 2 Buchst. d bestimmten Begriff „für die Verarbeitung Verantwortlicher“ auf: Die Situation einer gemeinsamen Verantwortlichkeit ist gegeben, wenn zwei oder mehr Personen gemeinsam über Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheiden(48). Mit anderen Worten ist Voraussetzung dafür, dass zwei (oder mehr) Personen als gemeinsam für die Verarbeitung Verantwortliche einzustufen sind, dass in ihrem Verhältnis zueinander die Zwecke und Mittel der Verarbeitung personenbezogener Daten identisch sind.

101. Die jeweiligen Verpflichtungen und die mögliche Haftung von gemeinsam für die Verarbeitung Verantwortlichen sind meines Erachtens aus der Verknüpfung dieser beiden Begriffsbestimmungen herzuleiten. Ein (gemeinsam) für die Verarbeitung Verantwortlicher ist für den Vorgang oder die Vorgangsreihe verantwortlich, für den bzw. für die er, soweit es den betreffenden Verarbeitungsvorgang angeht, einen Beitrag zu der Entscheidung über dessen Zwecke und Mittel leistet. Im Gegensatz dazu kann die betreffende Person weder für die vorhergehenden noch die nachfolgenden Phasen der Gesamtkette der Datenverarbeitungsvorgänge verantwortlich gemacht werden, für die sie weder die Zwecke noch die Mittel der betreffenden Phase der Verarbeitung festlegen konnte.

102. In der vorliegenden Rechtssache besteht die maßgebliche Phase der Verarbeitung (bzw. bestehen die betreffenden Vorgänge) in der Erhebung und Übermittlung personenbezogener Daten, die mittels des Facebook-„Gefällt mir“-Buttons erfolgt.

103. Was erstens die Mittel dieser Datenverarbeitungsvorgänge angeht, scheint, wie von der Klägerin, LDI NRW und der deutschen Regierung vorgetragen worden ist, festzustehen, dass die Beklagte über die Verwendung des betreffenden Plugins entscheidet, das als Hilfsmittel für die Erhebung und Übermittlung der personenbezogenen Daten dient. Diese Erhebung und Übermittlung werden durch den Besuch der Webseite der Beklagten ausgelöst. Das betreffende Plugin wurde der Beklagten von Facebook Ireland zur Verfügung gestellt. Sowohl Facebook Ireland als auch die Beklagte haben somit offenbar willentlich die Erhebungs- und Übermittlungsphase der Datenverarbeitung eingeleitet. Dies in tatsächlicher Hinsicht zu prüfen und festzustellen, bleibt selbstverständlich Sache des nationalen Gerichts.

104. Was zweitens den Zweck der Datenverarbeitung angeht, gibt das Vorabentscheidungsersuchen nicht an, aus welchen Gründen die Beklagte die Entscheidung getroffen hat, den Facebook-„Gefällt mir“-Button auf ihrer Webseite einzubinden. Jedoch scheint diese Entscheidung vorbehaltlich einer Überprüfung durch das vorlegende Gericht von dem Wunsch getragen gewesen zu sein, die Sichtbarkeit der Produkte der Beklagten über das soziale Netzwerk zu erhöhen. Gleichzeitig dürften die an Facebook Ireland übermittelten Daten auch für deren eigene kommerzielle Zwecke verwendet werden.

105. Ungeachtet dessen, dass gegebenenfalls keine identische kommerzielle Nutzung der Daten stattfindet, verfolgen die Beklagte und Facebook Ireland allgemein offenbar kommerzielle Zwecke, die sich wechselseitig ergänzen. Daher besteht trotz fehlender Zweckidentität eine Einheit der Zwecke: Es werden nämlich kommerzielle und werbliche Zwecke verfolgt.

106. Nach dem Sachverhalt der vorliegenden Rechtssache scheint es daher so zu sein, dass die Beklagte und Facebook Ireland gemeinsam die Mittel und Zwecke der Datenverarbeitung in der Phase der Erhebung und Übermittlung der betreffenden personenbezogenen Daten festlegen. Insoweit handelt die Beklagte als ein für die Verarbeitung Verantwortlicher und besteht ihre Haftung – ebenfalls insoweit – gemeinsam mit der von Facebook Ireland.

107. Zugleich bin ich der Auffassung, dass die Haftung der Beklagten auf die Phase der Datenverarbeitung beschränkt sein muss, an der sie tatsächlich beteiligt ist, und dass sie nicht auf etwaige nachfolgende Phasen der Datenverarbeitung erstreckt werden darf, wenn eine derartige Verarbeitung außerhalb der Einflusssphäre und, so würde man meinen, auch ohne Kenntnis der Beklagten erfolgt.

108. Im Licht der vorstehenden Ausführungen lautet mein zweites Zwischenergebnis daher, dass eine Person wie die Beklagte, die ein Plugin eines Dritten in ihre Webseite eingebunden hat, welches die Erhebung und Übermittlung personenbezogener Daten des Nutzers veranlasst (wobei der betreffende Dritte das Plugin bereitgestellt hat), als ein für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 anzusehen ist. Die (gemeinsame) Verantwortlichkeit des betreffenden für die Verarbeitung Verantwortlichen ist jedoch auf die Verarbeitungsvorgänge beschränkt, für die er tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung der personenbezogenen Daten leistet.

109. Mit diesem Ergebnis wird dann auch eine Antwort auf die dritte Vorlagefrage gegeben. Mit dieser Frage möchte das vorlegende Gericht wissen, ob die Richtlinie 95/46 in Bezug auf die Beklagte der Anwendung des im nationalen Recht verankerten Rechtsinstituts der Störerhaftung entgegensteht, wenn festgestellt werden sollte, dass die Beklagte nicht als für die Verarbeitung Verantwortlicher angesehen werden kann. Dem Vorabentscheidungsersuchen zufolge verpflichtet das Rechtsinstitut der Störerhaftung die Person, die keine Rechtsverletzung begeht, jedoch die Gefahr einer solchen Rechtsverletzung durch einen Dritten geschaffen oder erhöht hat, alles in ihrer Macht Stehende und ihr Zumutbare zu tun, um den Eintritt dieser Rechtsverletzung zu verhindern. Für den Fall, dass die Beklagte nicht als ein für die Verarbeitung Verantwortlicher angesehen werden kann, vertritt das vorlegende Gericht den Standpunkt, dass die Voraussetzungen für die Anwendung des Rechtsinstituts der Störerhaftung erfüllt sind, weil die Beklagte durch die Einbindung des Plugins in Gestalt des Facebook-„Gefällt mir“-Buttons zumindest die Gefahr einer Rechtsverletzung durch Facebook geschaffen hat.

110. In Anbetracht der Antwort auf die zweite Vorlagefrage ist die dritte Frage nicht zu beantworten. Sobald festgestellt worden ist, dass eine bestimmte Person als für die Verarbeitung Verantwortlicher im Sinne der Richtlinie 95/46 einzustufen ist, müssen ihre Verpflichtungen als für die Verarbeitung Verantwortlicher im Licht der durch diese Richtlinie festgelegten Verpflichtungen beurteilt werden. Zöge man den gegenteiligen Schluss, würde dies in den verschiedenen Mitgliedstaaten zu einer unterschiedlichen Haftung der für die Verarbeitung Verantwortlichen für eine bestimmte Rechtsverletzung führen. In diesem Sinne und im Hinblick auf die Definition des Begriffs „für die Verarbeitung Verantwortlicher“ bewirkt die Richtlinie 95/46 hinsichtlich der Adressaten der Verpflichtungen tatsächlich eine vollständige Harmonisierung(49).

C.      Berechtigte Interessen, auf die nach Art. 7 Buchst. f der Richtlinie 95/46 abzustellen ist

111. Die vierte in der vorliegenden Rechtssache gestellte Frage betrifft die Rechtmäßigkeit der Verarbeitung personenbezogener Daten bei fehlender Einwilligung der betroffenen Person im Sinne von Art. 7 Buchst. a der Richtlinie 95/46.

112. Das vorlegende Gericht verweist hierzu auf Art. 7 Buchst. f der Richtlinie 95/46, wonach die Verarbeitung personenbezogener Daten rechtmäßig ist, wenn sie „erforderlich [ist] zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person … überwiegen“. Konkret möchte das vorlegende Gericht wissen, auf wessen berechtigte Interessen im Kontext des vorliegenden Falles abzustellen ist: Auf die Interessen der Beklagten, die Drittinhalte eingebunden hat, oder auf die Interessen dieses Dritten (namentlich Facebook Ireland)(50).

113. Zunächst ist darauf hinzuweisen, dass die Kommission den Standpunkt vertritt, die vierte Frage sei irrelevant, weil die Einwilligung des Nutzers in der vorliegenden Sache in Anwendung der zur Umsetzung der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) erlassenen Rechtsvorschriften ohnehin eingeholt werden müsse(51).

114. Ich stimme der Kommission darin zu, dass die Datenschutzrichtlinie für elektronische Kommunikation (die nach ihrem Art. 1 Abs. 2 eine Detaillierung und Ergänzung der Richtlinie 95/46 in der elektronischen Kommunikation darstellt)(52) insoweit auf den vorliegenden Fall anwendbar sein dürfte, als auf den Geräten der Nutzer eine Platzierung von Cookies erfolgt(53). Ferner definieren Art. 2 Buchst. f und der 17. Erwägungsgrund der Datenschutzrichtlinie für elektronische Kommunikation den Begriff der Einwilligung durch Verweis auf den Begriff „Einwilligung“ in der Richtlinie 95/46.

115. Ob in der vorliegenden Rechtssache eine Platzierung von Cookies stattgefunden hat, wurde in der mündlichen Verhandlung ausführlich erörtert. Die entsprechende Sachverhaltsaufklärung ist Sache des nationalen Gerichts. Wie im Vorabentscheidungsersuchen ausgeführt, geht das vorlegende Gericht aber jedenfalls davon aus, dass die übermittelten Daten personenbezogene Daten darstellen(54). Die Platzierung von Cookies beantwortet daher offenbar nicht alle Fragen, die in der vorliegenden Rechtssache im Zusammenhang mit der Verarbeitung von Daten aufgeworfen werden(55).

116. Ich bin daher der Ansicht, dass die vierte Frage einer weiter gehenden Erörterung bedarf.

117. Die Klägerin macht geltend, dass auf die berechtigten Interessen der Beklagten abzustellen sei. Zudem könnten sich im vorliegenden Fall weder die Beklagte noch Facebook Ireland auf ein berechtigtes Interesse berufen.

118. Die Beklagte und Facebook Ireland bringen im Wesentlichen vor, dass auf die berechtigten Interessen sowohl der Person, die die Drittinhalte einbinde, als auch auf die Dritten abzustellen sei, während auch die Interessen der Webseiten-Besucher berücksichtigt werden müssten, deren Grundrechte betroffen sein könnten.

119. Die LDI NRW, Polen, Deutschland und Italien sind der Auffassung, dass auf die berechtigten Interessen sowohl der Beklagten als auch von Facebook Ireland abzustellen sei, da beide die in Rede stehende Verarbeitung ermöglicht hätten. Österreich vertritt einen ähnlichen Standpunkt. Unter Verweis auf das Urteil des Gerichtshofs Google Spain und Google hebt auch Belgien hervor, dass auf die berechtigten Interessen sowohl des für die Verarbeitung Verantwortlichen als auch der Dritten abzustellen sei, denen die betreffenden personenbezogenen Daten übermittelt worden seien.

120. Es ist zunächst daran zu erinnern, dass jegliche Verarbeitung personenbezogener Daten über die sonstigen Voraussetzungen hinaus grundsätzlich eines der in Art. 7 der Richtlinie 95/46 aufgeführten Kriterien erfüllen muss, die der Datenverarbeitung Rechtmäßigkeit verleihen(56).

121. Konkret zu Art. 7 Buchst. f hat der Gerichtshof darauf hingewiesen, dass nach dieser Bestimmung „die Verarbeitung personenbezogener Daten unter drei kumulativen Voraussetzungen zulässig [ist]: berechtigtes Interesse, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, Erforderlichkeit der Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses und kein Überwiegen der Grundrechte und Grundfreiheiten der betroffenen Person“(57).

122. Die Richtlinie 95/46 enthält weder eine Definition noch eine Aufzählung der „berechtigten Interessen“. Dieser Begriff ist offenbar recht dehnbar und offen(58). Kein Interesse ist per se ausgeschlossen, vorausgesetzt natürlich, dass es für sich genommen nicht rechtswidrig ist. Wie als wesentlicher Punkt in der mündlichen Verhandlung erörtert und bereits oben ausgeführt worden ist(59), dürfte in der vorliegenden Rechtssache die Erhebung und Verarbeitung personenbezogener Daten zu Zwecken einer verbesserten Werbung maßgeblich sein, auch wenn die von der Beklagten und von Facebook Ireland konkret verfolgten kommerziellen Ziele letztlich nicht absolut identisch sind.

123. Aufgrund dieser Überlegungen stimme ich zu, dass Marketing oder Werbung als solche ein berechtigtes Interesse darstellen kann(60). Im Kontext der vorliegenden Rechtssache fällt es schwer, über diese Feststellung hinauszugehen, da keine konkreten Angaben dazu vorliegen, in welcher Weise die erhobenen und übermittelten Daten genau verwendet werden.

124. Dies vorausgeschickt macht das vorlegende Gericht keine Ausführungen betreffend die Würdigung der berechtigten Interessen, die im Ausgangsverfahren geltend gemacht werden, und ersucht insoweit auch nicht um eine Klärung. Mit seiner vierten Frage möchte das vorlegende Gericht in Erfahrung bringen, auf wessen berechtigte Interessen abzustellen ist, damit die Abwägung nach Art. 7 Buchst. f der Richtlinie 95/46 vorgenommen werden kann.

125. Vor dem Hintergrund der von mir oben auf die zweite Frage vorgeschlagenen Antwort vertrete ich den Standpunkt, dass auf die berechtigten Interessen sowohl der Beklagten als auch von Facebook Ireland abzustellen ist, da beide in Bezug auf den jeweiligenDatenverarbeitungsvorgang als gemeinsam für die Verarbeitung Verantwortliche tätig werden.

126. Da ihr Status als gemeinsam für die Verarbeitung Verantwortliche impliziert, dass sie auch gemeinsam über die Zwecke der Verarbeitung von personenbezogenen Daten entscheiden, muss für jeden von ihnen zumindest – wie oben dargelegt – ganz allgemein das Bestehen eines berechtigten Interesses nachgewiesen werden. Dieses Interesse muss sodann wie im letzten Halbsatz des Art. 7 Buchst. f der Richtlinie 95/46 vorgesehen(61) gegen die Rechte der betroffenen Personen abgewogen werden, wobei diese Abwägung „grundsätzlich von den konkreten Umständen des Einzelfalls“ abhängt(62). Ich weise darauf hin, dass die Verarbeitung von Daten unter solchen Umständen an die Voraussetzung ihrer Erforderlichkeit geknüpft ist(63).

127. Im Licht der vorstehenden Ausführungen gelange ich zu dem dritten Zwischenergebnis, dass bei der Prüfung, ob personenbezogene Daten nach den in Art. 7 Buchst. f der Richtlinie 95/46 niedergelegten Kriterien verarbeitet werden dürfen, auf die berechtigten Interessen beider im Einzelfall für die Verarbeitung Verantwortlichen abzustellen ist und dass diese Interessen gegen die Rechte der betroffenen Personen abgewogen werden müssen.

D.      Die Verpflichtungen der Beklagten im Zusammenhang mit der bei der betroffenen Person einzuholenden Einwilligung und der ihr bereitzustellenden Informationen

128. Mit der fünften Frage möchte das vorlegende Gericht wissen, wem gegenüber die nach Art. 7 Buchst. a und Art. 2 Buchst. h der Richtlinie 95/46 einzuholende Einwilligung in einer Konstellation wie der der vorliegenden Rechtssache zu erklären ist.

129. Mit der sechsten Frage möchte das vorlegende Gericht in Erfahrung bringen, ob die Informationspflicht aus Art. 10 der Richtlinie 95/46 in der vorliegenden Konstellation für einen Webseiten-Betreiber (wie die Beklagte) gilt, der in seine Webseite Drittinhalte eingebunden und hierdurch die Verarbeitung personenbezogener Daten durch den betreffenden Dritten veranlasst hat.

130. Wie wir bereits gesehen haben(64), gibt es für die Beantwortung dieser Fragen eine Vielzahl von Vorschlägen. Sobald jedoch die Art der in der zweiten Frage angesprochenen Verpflichtung hinsichtlich sowohl des Verpflichteten (wer) als auch ihres Inhalts (wozu) und somit diese Frage im Vorfeld genau geklärt worden ist, wird die Beantwortung der Fragen 5 und 6, die bestimmte sich ergebende Verpflichtungen betreffen, einfacher.

131. Zunächst einmal bin ich der Auffassung, dass sowohl die Einwilligung als auch die bereitgestellten Informationen alle Aspekte der Datenverarbeitungsvorgänge, für die die gemeinsam für die Verarbeitung Verantwortlichen gemeinsam haftbar sind, abdecken müssen, nämlich die Erhebung und die Übermittlung der Daten. Umgekehrt erstrecken sich die Verpflichtungen im Zusammenhang mit der Einwilligung und der Information nicht auf die nachfolgenden Phasen der Datenverarbeitung, an denen die Beklagte nicht beteiligt ist und über deren Mittel oder Zwecke sie logischerweise nicht entscheidet.

132. Zweitens könnte man unter diesen Voraussetzungen vorschlagen, dass die Einwilligung gegenüber jedem der beiden gemeinsam für die Verarbeitung Verantwortlichen erklärt werden kann. Angesichts der besonderen Konstellation des vorliegenden Falles muss diese Einwilligung jedoch gegenüber der Beklagten erklärt werden, weil die Datenverarbeitungsvorgänge mit dem tatsächlichen Besuch der Webseite der Beklagten in Gang gesetzt werden. Einer wirksamen und rechtzeitigen Wahrung der Rechte der betroffenen Personen entspräche es offensichtlich nicht, wenn die Einwilligung lediglich gegenüber dem gemeinsam für die Verarbeitung Verantwortlichen erklärt würde, der (wenn überhaupt) erst zu einem späteren Zeitpunkt an der Verarbeitung beteiligt ist, nämlich erst nachdem die Erhebung und die Übermittlung der Daten bereits erfolgt ist.

133. Eine ähnliche Antwort ist in Bezug auf die für die Beklagte aus Art. 10 der Richtlinie 95/46 resultierende Informationspflicht zu geben. In dieser Bestimmung ist ein Mindestbestand an Informationen festgelegt, die der betroffenen Person von dem für die Verarbeitung Verantwortlichen (oder von dessen Vertreter) mitgeteilt werden müssen. Er umfasst die folgenden Elemente: die Identität des für die Verarbeitung Verantwortlichen (oder seines Vertreters), die Zweckbestimmungen der Verarbeitung, für die die Daten bestimmt sind, und weitere Informationen, „sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten“. Art. 10 nennt Beispiele für solche weiteren Informationen, darunter solche, die für die vorliegende Rechtssache bedeutsam sein könnten, nämlich Informationen betreffend die Empfänger der Daten und das Bestehen von Auskunfts- und Berichtigungsrechten betreffend Daten über die betroffene Person.

134. In Anbetracht dieser Liste scheint die Beklagte eindeutig in der Lage zu sein, Informationen über die Identität der gemeinsam für die Verarbeitung Verantwortlichen, über den Zweck der jeweiligen Phase der Verarbeitung (die Vorgänge, für die sie eine gemeinsame Verantwortlichkeit trifft) und darüber, dass diese Daten übermittelt werden, bereitzustellen.

135. Was die Auskunfts- und Berichtigungsrechte angeht, gehe ich demgegenüber davon aus, dass die Beklagte selbst keinen Zugang zu den an Facebook Ireland übermittelten Daten hat, da sie in keiner Weise an der Speicherung von Daten beteiligt ist. Daher könnte man z. B. vorschlagen, dass dieser Punkt zum Gegenstand einer Vereinbarung mit Facebook Ireland gemacht werden müsste.

136. Über die oben dargelegten Argumente hinaus(65) würden solche Vorschläge die Verpflichtungen und die Haftung von (gemeinsam) für die Verarbeitung Verantwortlichen jedoch wiederum auf Vorgänge erstrecken, für die sie nicht verantwortlich sind. Wenn gemeinsame Verantwortlichkeit bedeutet, für die Vorgänge verantwortlich zu sein, für die im Verhältnis der gemeinsam für die Verarbeitung Verantwortlichen untereinander eine Einheit von Zwecken und Mitteln gegeben ist, dann müssen die sich weiter aus der Richtlinie ergebenden Verpflichtungen wie etwa im Zusammenhang mit der Einwilligung, der Information sowie der Auskunft oder Berichtigung in ihrem Umfang der betreffenden Ausgangsverpflichtung entsprechen(66).

137. Die Kommission hat in der mündlichen Verhandlung darauf hingewiesen, dass die Webseiten-Besucher, die über ein Facebook-Nutzerkonto verfügen, gegebenenfalls bereits zu einem früheren Zeitpunkt in eine solche Datenübermittlung eingewilligt haben könnten. Dies könnte zu einer differenzierten Haftung der Beklagten führen, wobei die Kommission offenbar zum Ausdruck bringen möchte, dass die Informationspflicht der Beklagten und die Verpflichtung zur Einholung der Einwilligung durch sie dann lediglich in Bezug auf Besucher der Webseite der Beklagten gelten würde, die nicht über ein Facebook-Nutzerkonto verfügen.

138. Diese Auffassung teile ich nicht. Ich halte den Gedanken für problematisch, dass die „Facebook-Nutzer“ unter den in der vorliegenden Rechtssache gegebenen Umständen eine andere (weniger Schutz bietende) Behandlung erfahren, weil sie bereits in die Möglichkeit einer Verarbeitung (aller) ihrer personenbezogenen Daten durch Facebook eingewilligt haben sollen. Diese Argumentation impliziert ja, dass man mit Erstellung eines Facebook-Nutzerkontos im Voraus in jegliche Datenverarbeitung einwilligt, die im Zusammenhang mit Online-Aktivitäten solcher „Facebook-Nutzer“ durch Dritte erfolgt, die in einer beliebigen Verbindung mit Facebook stehen. Dies würde selbst in einer Konstellation gelten, in der es keinerlei äußere Anzeichen dafür gäbe, dass eine solche Datenverarbeitung erfolgt (wie es der Fall zu sein scheint, wenn man die Webseite der Beklagten lediglich besucht). Mit anderen Worten: Schlösse man sich der Sichtweise der Kommission an, würde ein Nutzer durch Erstellung eines Facebook-Nutzerkontos gegenüber Facebook praktisch auf jeglichen Schutz von online hinterlegten personenbezogenen Daten verzichten.

139. Ich bin daher der Auffassung, dass die Haftung und die Verpflichtungen der Beklagten im Zusammenhang mit der Einwilligung und Information gegenüber allen betroffenen Personen die gleichen sein sollten, unabhängig davon, ob diese über ein Facebook-Nutzerkonto verfügen oder nicht.

140. Außerdem besteht wiederum kein Zweifel daran, dass die betreffende Einwilligung erteilt und die besagten Informationen bereitgestellt werden müssen, bevor eine Erhebung und Übermittlung der Daten erfolgt(67).

141. Im Licht der vorstehenden Ausführungen gelange ich in Beantwortung der Fragen 5 und 6 zu meinem letzten Zwischenergebnis, dass die nach Art. 7 Buchst. a der Richtlinie 95/46 einzuholende Einwilligung der betroffenen Person in einer Konstellation wie der der vorliegenden Rechtssache gegenüber einem Webseiten-Betreiber wie der Beklagten, der Drittinhalte in seine Webseite eingebunden hat, zu erklären ist. Art. 10 der Richtlinie 95/46 ist dahin auszulegen, dass die sich aus dieser Bestimmung ergebende Informationspflicht auch für diesen Webseiten-Betreiber gilt. Die Einwilligung der betroffenen Person nach Art. 7 Buchst. a der Richtlinie 95/46 muss eingeholt und die Informationen im Sinne von Art. 10 dieser Richtlinie müssen bereitgestellt werden, bevor die Erhebung und die Übermittlung der Daten erfolgt. Jedoch muss der Umfang dieser Verpflichtungen der gemeinsamen Verantwortlichkeit des betreffenden Webseiten-Betreibers für die Erhebung und Übermittlung der personenbezogenen Daten entsprechen.

V.      Ergebnis

142. Im Licht der vorstehenden Ausführungen schlage ich dem Gerichtshof vor, die vom Oberlandesgericht Düsseldorf (Deutschland) gestellten Fragen wie folgt zu beantworten:

Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr steht einer nationalen Regelung nicht entgegen, die gemeinnützigen Verbänden die Befugnis einräumt, zur Wahrung der Interessen der Verbraucher rechtlich gegen den mutmaßlichen Verletzer von Datenschutzrecht vorzugehen.

Eine Person, die ein von einem Dritten bereitgestelltes Plugin in ihre Webseite eingebunden hat, welches die Erhebung und Übermittlung der personenbezogenen Daten des Nutzers veranlasst, ist als ein für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 anzusehen. Die (gemeinsame) Verantwortlichkeit des betreffenden für die Verarbeitung Verantwortlichen ist jedoch auf die Verarbeitungsvorgänge beschränkt, für die er tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung der personenbezogenen Daten leistet.

Bei der Prüfung, ob personenbezogene Daten nach den in Art. 7 Buchst. f der Richtlinie 95/46 niedergelegten Kriterien verarbeitet werden dürfen, ist auf die berechtigten Interessen beider im Einzelfall für die Verarbeitung Verantwortlichen abzustellen, und diese Interessen sind gegen die Rechte der betroffenen Personen abzuwägen.

Die nach Art. 7 Buchst. a der Richtlinie 95/46 einzuholende Einwilligung der betroffenen Person ist gegenüber dem Webseiten-Betreiber zu erklären, der Drittinhalte in seine Webseite eingebunden hat. Art. 10 der Richtlinie 95/46 ist dahin auszulegen, dass die sich aus dieser Bestimmung ergebende Informationspflicht auch für diesen Webseiten-Betreiber gilt. Die Einwilligung der betroffenen Person nach Art. 7 Buchst. a der Richtlinie 95/46 muss eingeholt und die Informationen im Sinne von Art. 10 dieser Richtlinie müssen bereitgestellt werden, bevor die Erhebung und die Übermittlung der Daten erfolgt. Jedoch muss der Umfang dieser Verpflichtungen der gemeinsamen Verantwortlichkeit des betreffenden Webseiten-Betreibers für die Erhebung und Übermittlung der personenbezogenen Daten entsprechen.

---

1      Originalsprache: Englisch.

---

2      Richtlinie des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31).

---

3      Richtlinie des Europäischen Parlaments und des Rates vom 23. April 2009 (ABl. 2009, L 110, S. 30).

---

4      Ich weise darauf hin, dass das Plugin der Beklagten laut dem Vorabentscheidungsersuchen entweder von Facebook Ireland oder von deren in den Vereinigten Staaten von Amerika ansässigen Muttergesellschaft Facebook Inc. bereitgestellt wurde. Es ist jedoch wohl davon auszugehen, dass Facebook Ireland im Zusammenhang mit dem vorliegenden Verfahren sowohl im Verfahren vor dem vorlegenden Gericht als auch im Verfahren vor dem Gerichtshof eine mögliche Haftung gemäß der Richtlinie 95/46 übernimmt. Ich sehe daher keinen Grund, die mögliche Anwendbarkeit der Richtlinie 95/46 in Bezug auf die Muttergesellschaft von Facebook Ireland zu erörtern.

---

5      Verordnung des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46 (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1).

---

6      „Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 des vorliegenden Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel 77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind.“

---

7      Der Vollständigkeit halber ist zu ergänzen, dass der Gerichtshof, obwohl das Urteil vom 28. Juli 2016, Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612), eine Frage der Auslegung der Richtlinie 95/46 im Zusammenhang mit einem von einem Verband angestrengten nationalen Verfahren betraf, sich in dem betreffenden Fall deshalb nicht mit dem Problem der Klagebefugnis des Verbandes befasst hat, weil diese konkrete Frage schlicht nicht aufgeworfen wurde.

---

8      So auch festgehalten z. B. in den Urteilen vom 23. Mai 1985, Kommission/Deutschland (C‑29/84, EU:C:1985:229, Rn. 22), vom 14. Februar 2012, Flachglas Torgau (C‑204/09, EU:C:2012:71, Rn. 60), und vom 19. April 2018, CMR (C‑645/16, EU:C:2018:262, Rn. 19).

---

9      Urteil vom 13. Mai 2014, Google Spain und Google (C‑131/12, EU:C:2014:317, Rn. 53).

---

10      Vgl. auch Urteil vom 16. Dezember 2008, Huber (C‑524/06, EU:C:2008:724, Rn. 50).

---

11      Die vorliegende Rechtssache unterscheidet sich insofern vom Urteil vom 25. Januar 2018, Schrems (C‑498/16, EU:C:2018:37), als eine Abtretung von Ansprüchen an eine bestimmte Person keine Rolle spielt und es im nationalen Recht offenbar eine klare Rechtsgrundlage dafür gibt, was als eine Art Vertretung der Gruppeninteressen der Verbraucher erscheint.

---

12      Oder aber, um es anders auszudrücken, die Mitgliedstaaten werden insbesondere betreffend institutionelle Strukturen oder Verfahren auch eine Reihe von sonstigen Punkten regeln müssen, die ebenfalls nicht ausdrücklich in einer Richtlinie erwähnt sind (wie etwa hinsichtlich der gerichtlichen Durchsetzung eines Rechts nicht nur die Frage der Klagebefugnis, sondern z. B. auch Klagefristen, (etwaige) Gerichtsgebühren, die Zuständigkeit von Gerichten usw.). Könnte man dann also argumentieren, dass deshalb, weil weder Art. 22 noch Art. 24 der Richtlinie 95/46 auch nur einen dieser Punkte anspricht, der Mitgliedstaat daran gehindert sei, diese Punkte im nationalen Recht zu regeln?

---

13      Gemäß der Definition in Art. 3 der Richtlinie 2009/22.

---

14      Vgl. z. B. Urteile vom 6. November 2003, Lindqvist (C‑101/01, EU:C:2003:596, Rn. 96), vom 16. Dezember 2008, Huber (C‑524/06, EU:C:2008:724, Rn. 51), vom 24. November 2011, Asociación Nacional de Establecimientos Financieros de Crédito(C‑468/10 und C‑469/10, EU:C:2011:777, Rn. 29), und vom 7. November 2013,IPI(C‑473/12, EU:C:2013:715, Rn. 31).

---

15      Urteil vom 6. November 2003, Lindqvist (C‑101/01, EU:C:2003:596, Rn. 97).

---

16      Vgl. meine Schlussanträge in der Rechtssache Dzivev (C‑310/16, EU:C:2018:623, Nrn. 72 und 74).

---

17      Wiedergegeben oben in Nr. 8.

---

18      Vgl. wiederum die obigen Beispiele, Fn. 12.

---

19      Die gemäß Art. 28 der Richtlinie 95/46 dafür verantwortlich sind, die Einhaltung der aufgrund dieser Richtlinie erlassenen Vorschriften zu überwachen.

---

20      Zu dem nach Art. 28 Abs. 1 der Richtlinie 95/46 erforderlichen Standard vgl. Urteile vom 9. März 2010, Kommission/Deutschland (C‑518/07, EU:C:2010:125, Rn. 18 bis 30), und vom 16. Oktober 2012, Kommission/Österreich (C‑614/10, EU:C:2012:631, Rn. 41 bis 66).

---

21      Würde z. B. entsprechend in einem anderen Rechtsgebiet die Durchsetzung von Wettbewerbsrecht durch eine Privatperson die Unabhängigkeit von (nationalen) Kartellbehörden bedrohen? Vgl. Urteile vom 20. September 2001, Courage und Crehan (C‑453/99, EU:C:2001:465, Rn. 26, 27 und 29), sowie vom 13. Juli 2006, Manfredi u. a. (C‑295/04 bis C‑298/04, EU:C:2006:461, Rn. 59 bis 60). Vgl. auch den fünften Erwägungsgrund der Richtlinie 2014/104/EU des Europäischen Parlaments und des Rates vom 26. November 2014 über bestimmte Vorschriften für Schadensersatzklagen nach nationalem Recht wegen Zuwiderhandlungen gegen wettbewerbsrechtliche Bestimmungen der Mitgliedstaaten und der Europäischen Union (ABl. 2014, L 349, S. 1).

---

22      Was bedeutet (unabhängig von der konkreten Frage der geänderten Rechtsform) ganz allgemein der Umstand, dass der Gesetzgeber etwas in einen später erlassenen Rechtsakt aufgenommen hat, das in der früheren Rechtsform derselben Regelung nicht enthalten war, für deren Auslegung? Es könnte durchaus sein, dass der fragliche Grundsatz bereits in der früheren Rechtsform derselben Regelung „inhärent vorhanden“ war und nunmehr lediglich klargestellt worden ist. Es könnte aber auch bedeuten, dass gerade deshalb, weil die betreffende Bestimmung in der früheren Regelung nicht enthalten war, die neue Regelung eine Änderung darstellt. Angesichts der häufigen und fragwürdigen (missbräuchlichen) Verwendung des Arguments „es war schon immer enthalten und wird nun lediglich ausdrücklich erwähnt“, was im Ergebnis zu einer Ausweitung der Anwendung der neuen Bestimmung über ihren zeitlichen Geltungsbereich hinaus führt, sollte diese Art von Argumentation wenn überhaupt nur mit Vorsicht herangezogen werden.

---

23      Betreffend das Problem dynamischer IP‑Adressen, siehe Urteil vom 19. Oktober 2016, Breyer (C‑582/14, EU:C:2016:779, Rn. 33 ff.). Siehe auch Urteil vom 24. November 2011, Scarlet Extended(C‑70/10, EU:C:2011:771, Rn. 51).

---

24      Urteil vom 19. Oktober 2016, Breyer (C‑582/14, EU:C:2016:779, Rn. 41 bis 45).

---

25      Siehe oben, Nr. 19.

---

26      Hervorhebung nur hier.

---

27      Urteile vom 5. Juni 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, Rn. 29), und vom 10. Juli 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, Rn. 65).

---

28      Siehe Urteile vom 13. Mai 2014, Google Spain und Google (C‑131/12, EU:C:2014:317, Rn. 34), sowie vom 10. Juli 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, Rn. 66).

---

29      Urteil vom 5. Juni 2018 (C‑210/16, EU:C:2018:388).

---

30      Urteil vom 5. Juni 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, Rn. 39).

---

31      Urteil vom 5. Juni 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, Rn. 35).

---

32      Urteil vom 5. Juni 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, Rn. 36).

---

33      Urteil vom 5. Juni 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, Rn. 34 und 38).

---

34      Urteil vom 5. Juni 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, Rn. 39 und 41).

---

35      Urteil vom 10. Juli 2018 (C‑25/17, EU:C:2018:551, Rn. 68 bis 72).

---

36      Wie Generalanwalt Bot in seinen Schlussanträgen in der Rechtssache Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2017:796, Nrn. 66 bis 72) vorgeschlagen hat.

---

37      Die vermeintlich naheliegende Analogie aus dem Verbraucherschutz, wonach die „nicht unternehmerische“ Partei in Verhandlungen dasselbe Mitspracherecht bei der Aushandlung von Vertragsbedingungen haben sollte, dürfte in diesem Zusammenhang nicht zum Tragen kommen. Somit kann diskutiert werden, wie viel „Parametrisierung“ bei dem Betreiber einer Fanpage tatsächlich stattfindet (und wie viel Tätigkeit wie bei jedem sonstigen „Verbraucher“ auch lediglich im mechanischen Anklicken und Auswählen vorhandener Optionen besteht).

---

38      Urteil vom 5. Juni 2018 (C‑210/16, EU:C:2018:388, Rn. 35).

---

39      Heutzutage übermitteln eine Reihe von Programmen und Anwendungen teils mit ausdrücklicher und manchmal wohl auch mit weniger ausdrücklicher Zustimmung der Benutzer analytische Daten, die auch personenbezogene Daten umfassen können, an den Entwickler oder Vertreiber der Software.

---

40      Urteil vom 5. Juni 2018 (C‑210/16, EU:C:2018:388, Rn. 38).

---

41      Darüber, unter welchen genauen Bedingungen und mit welcher Verhandlungsmacht dies stattfinden würde, kann selbstverständlich diskutiert werden (siehe auch oben, Fn. 37).

---

42      Oder wie es Sir Humphrey Appleby (der sich dabei offenbar selbst auf ein älteres Zitat aus unbekannter Quelle gestützt hat) freimütiger formuliert hat: „Verantwortung ohne Macht – in allen Zeiten das Vorrecht des Eunuchen“ (Zitat aus Yes, Prime Minister, 2. Staffel, Folge 7, „The National Education Service“, erstmals am 21. Januar 1988 ausgestrahlt).

---

43      Auch in dem oben in Nr. 73 sowie in den Fn. 38 und 42 skizzierten Sinne.

---

44      Urteil vom 5. Juni 2018 (C‑210/16, EU:C:2018:388, Rn. 43).

---

45      Siehe oben, Nrn. 87 und 88.

---

46      Siehe auch Stellungnahme 4/2007 der Artikel-29-Datenschutzgruppe (ein durch Art. 29 der Richtlinie 95/46 eingesetztes Beratungsgremium, nunmehr ersetzt durch den nach Art. 68 der DSGVO eingerichteten Europäischen Datenschutzausschuss) zum Begriff der personenbezogenen Daten, 01248/07/EN WP 136, 20. Juni 2007, S. 4.

---

47      Dies auch einfach deshalb, weil die Verarbeitung kaum je linear erfolgen wird und alle in Art. 2 Buchst. b aufgeführten Vorgänge nacheinander durchläuft, und zwar durch eine Person. Vielmehr dürfte die Existenz personenbezogener Daten eher zyklischen Charakter haben, d. h. mit Nebenlinien hier und dort in Kreisläufen ablaufen, wobei Datensätze an verschiedenen Enden erhoben, danach von einer anderen Person eingesehen, anschließend zusammengefasst und eingesehen und schließlich eventuell neu kombiniert und an andere Personen zurückübermittelt würden usw.

---

48      Die Artikel-29-Datenschutzgruppe führte hierzu aus: „Eine gemeinsame Kontrolle ist somit gegeben, wenn verschiedene Parteien im Zusammenhang mit spezifischen Verarbeitungen entweder über den Zweck oder über wesentliche Elemente der Mittel entscheiden …“ Siehe Stellungnahme 1/2010 der Artikel‑29-Datenschutzgruppe zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, angenommen am 16. Februar 2010, 00264/10/EN WP 169, S. 19.

---

49      Im Gegensatz zu der in Bezug auf die erste Frage oben in den Nrn. 39 bis 42 erörterten Situation.

---

50      Nach Lektüre der deutschen Fassung der vierten Frage ist die Reichweite der vom vorlegenden Gericht gestellten Frage nach meinem Verständnis auf die Feststellung der Interessen, auf die abzustellen ist, begrenzt und nicht, wie die englische Übersetzung der in deutscher Sprache abgefassten Frage nahelegen könnte, dahin, welchen Interessen bei der Abwägung die entscheidende Bedeutung (z. B. im Sinne größeren Gewichts) beizumessen ist. Die Frage geht also offenbar dahin, was in den Abwägungsvorgang einzubeziehen ist, und nicht, wie das Ergebnis der Abwägung aussehen müsste.

---

51      Richtlinie des Europäischen Parlaments und des Rates vom 12. Juli 2002 (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. 2002, L 201, S. 37).

---

52      Vgl. auch Urteil vom 5. Mai 2011, Deutsche Telekom (C‑543/09, EU:C:2011:279, Rn. 50). Laut dem zehnten Erwägungsgrund der Datenschutzrichtlinie gilt „[i]m Bereich der elektronischen Kommunikation … die Richtlinie 95/46… vor allem für alle Fragen des Schutzes der Grundrechte und Grundfreiheiten, die von der vorliegenden Richtlinie nicht spezifisch erfasst werden, einschließlich der Pflichten des für die Verarbeitung Verantwortlichen und der Rechte des Einzelnen. Die Richtlinie 95/46… gilt für nicht öffentliche Kommunikationsdienste“.

---

53      Vgl. in diesem Zusammenhang Art. 5 Abs. 3 der Datenschutzrichtlinie, wonach „[d]ie Mitgliedstaaten [sicherstellen], dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46… u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat“.

---

54      In diesem Kontext wird hier wiederum auf den einleitenden Abschnitt B.1 (vgl. oben, Nrn. 55 bis 58) und auf die Notwendigkeit der Überprüfung verwiesen, was tatsächlich genau übermittelt wird und ob diese Informationen tatsächlich personenbezogene Daten darstellen.

---

55      Siehe auch Arbeitsunterlage 02/2013 der Artikel-29-Datenschutzgruppe mit Leitlinien für die Einholung der Einwilligung zur Verwendung von Cookies, 1676/13/EN WP 208, 2. Oktober 2013, S. 5 und 6, mit dem Hinweis: „Da die Speicherung von Informationen oder der Zugriff auf bereits im Gerät eines Nutzers gespeicherte Informationen mittels Cookies die Verarbeitung personenbezogener Daten umfassen kann, gelten in solchen Fällen eindeutig die Vorschriften über den Datenschutz.“

---

56      Vgl. in diesem Sinne Urteile vom 13. Mai 2014, Google Spain und Google(C‑131/12, EU:C:2014:317, Rn. 71 und die dort angeführte Rechtsprechung), sowie vom 4. Mai 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, Rn. 25).

---

57      Urteil vom 4. Mai 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, Rn. 28). Vgl. auch Urteil vom 24. November 2011, Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 und C‑469/10, EU:C:2011:777, Rn. 38).

---

58      Vgl. meine Schlussanträge in der Rechtssache Rīgas satiksme (C‑13/16, EU:C:2017:43, Nrn. 64 und 65). Wie von mir dort angemerkt, sind die Transparenz (Urteil vom 9. November 2010, Volker und Markus Schecke und Eifert, C‑92/09 und C‑93/09, EU:C:2010:662, Rn. 77), der Schutz des Eigentums, der Gesundheit und der Familie (Urteil vom 11. Dezember 2014, Ryneš, C‑212/13, EU:C:2014:2428, Rn. 34) als solche vom Gerichtshof anerkannt worden. Vgl. auch Urteile vom 29. Januar 2008, Promusicae (C‑275/06, EU:C:2008:54, Rn. 53), und vom 4. Mai 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, Rn. 29).

---

59      Siehe oben, Nrn. 104 und 105 dieser Schlussanträge.

---

60      Siehe auch Stellungnahme 06/2014 der Artikel-29-Datenschutzgruppe zum „Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG“ (844/14/EN WP 217), S. 25.

---

61      Wie ich bereits andernorts ausgeführt habe, müssen die jeweiligen „konkurrierenden berechtigten Interessen nicht nur nachgewiesen werden, sondern auch schwerer wiegen … als die Interessen oder Rechte und Freiheiten der betroffenen Person“, die sich aus den Art. 7 und 8 der Charta ergeben. Siehe auch meine Schlussanträge in der Rechtssache Rīgas satiksme (C‑13/16, EU:C:2017:43, Nrn. 56 und 66 bis 69 sowie die dort angeführte Rechtsprechung).

---

62      Urteil vom 4. Mai 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, Rn. 31 und die dort angeführte Rechtsprechung).

---

63      Die Zwecke (die geltend gemachten berechtigten Interessen) und die gewählten Mittel (die verarbeiteten personenbezogenen Daten) müssen also in einem angemessenen Verhältnis zueinander stehen. Vgl. in diesem Sinne Urteil vom 4. Mai 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, Rn. 30 und die dort angeführte Rechtsprechung).

---

64      Oben, Nrn. 76 bis 82 der vorliegenden Schlussanträge.

---

65      Oben, Nrn. 84 bis 88.

---

66      Was selbstverständlich nicht ausschließt, dass diese Verpflichtung auch andere potenzielle (und anschließend tätig werdende) gemeinsam für die Verarbeitung Verantwortliche in Bezug auf die Datenverarbeitungsvorgänge trifft, an denen sie beteiligt sind.

---

67      Siehe oben, Nr. 132. Vgl. Arbeitsunterlage 02/2013 der Artikel-29-Datenschutzgruppe mit Leitlinien für die Einholung der Einwilligung zur Verwendung von Cookies, 1676/13/EN WP 208, 2. Oktober 2013, S. 4. Vgl. auch Stellungnahme 15/2011 der Artikel‑29-Datenschutzgruppe zur Definition des Begriffs „Einwilligung“, 1197/11/EN WP 187, 13. Juli 2011, S. 9.