EuGH Urteil vom 05.06.2018 - C-210/16

Entscheidungsstichwort (Thema)

Vorlage zur Vorabentscheidung. Personenbezogene Daten. Schutz natürlicher Personen bei der Verarbeitung dieser Daten. Anordnung zur Deaktivierung einer Facebook-Seite (Fanpage), die es ermöglicht, bestimmte Daten bezüglich der Besucher dieser Seite zu erheben und zu verarbeiten. Für die Verarbeitung personenbezogener Daten Verantwortlicher. Anwendbares nationales Recht. Nationale Kontrollstellen. Einwirkungsbefugnisse dieser Stellen

Normenkette

Richtlinie 95/46/EG Art. 2 Buchst. d, Art. 4, 28

Beteiligte

Wirtschaftsakademie Schleswig-Holstein

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Wirtschaftsakademie Schleswig-Holstein GmbH

Tenor

1. Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass der Begriff des „für die Verarbeitung Verantwortlichen” im Sinne dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst.

2. Die Art. 4 und 28 der Richtlinie 95/46 sind dahin auszulegen, dass dann, wenn ein außerhalb der Europäischen Union ansässiges Unternehmen mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, die Kontrollstelle eines Mitgliedstaats zur Ausübung der ihr durch Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung dieses Unternehmens auch dann befugt ist, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet dieses Mitgliedstaats zuständig ist und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Europäischen Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliegt.

3. Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 und 6 der Richtlinie 95/46 sind dahin auszulegen, dass die Kontrollstelle eines Mitgliedstaats, wenn sie beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen Mitgliedstaat hat, die Einwirkungsbefugnisse nach Art. 28 Abs. 3 dieser Richtlinie auszuüben, zuständig ist, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.

Tatbestand

In der Rechtssache

betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Bundesverwaltungsgericht (Deutschland) mit Entscheidung vom 25. Februar 2016, beim Gerichtshof eingegangen am 14. April 2016, in dem Verfahren

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

gegen

Wirtschaftsakademie Schleswig-Holstein GmbH,

Beteiligte:

Facebook Ireland Ltd,

Vertreter des Bundesinteresses beim Bundesverwaltungsgericht,

erlässt

DER GERICHTSHOF (Große Kammer)

unter Mitwirkung des Präsidenten K. Lenaerts, des Vizepräsidenten A. Tizzano (Berichterstatter), der Kammerpräsidenten M. Ilešič, L. Bay Larsen, T. von Danwitz, A. Rosas, J. Malenovský und E. Levits, der Richter E. Juhász, A. Borg Barthet und F. Biltgen, der Richterin K. Jürimäe sowie der Richter C. Lycourgos, M. Vilaras und E. Regan,

Generalanwalt: Y. Bot,

Kanzler: C. Strömholm, Verwaltungsrätin,

aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 27. Juni 2017,

unter Berücksichtigung der Erklärungen

• des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, vertreten durch Rechtsanwälte U. Karpenstein und M. Kottmann,
• der Wirtschaftsakademie Schleswig-Holstein GmbH, vertreten durch Rechtsanwalt C. Wolff,
• der Facebook Ireland Ltd, vertreten durch Rechtsanwälte C. Eggers, H.-G. Kamann und M. Braun sowie durch I. Perego, avvocato,
• der deutschen Regierung, vertreten durch J. Möller als Bevollmächtigten,
• der belgischen Regierung, vertreten durch L. Van den Broeck, C. Pochet, P. Cottin und J.-C. Halleux als Bevollmächtigte,
• der tschechischen Regierung, vertreten durch M. Smolek, J. Vláčil und L. Březinová als Bevollmächtigte,
• Irlands, vertreten durch M. Browne, L. Williams, E. Creedon, G. Gilmore und A. Joyce als Bevollmächtigte,
• der italienischen Regierung, vertreten durch G. Palmieri als Bevollmächtigte im Beistand von P. Gentili, avvocato dello Stato,
• der niederländischen Regierung, vertreten durch C. S. Schillemans und M. K. Bulterman als Bevollmächtigte,
• der finnischen Regierung, vertreten durch J. Heliskoski als Bevollmächtigten,
• der Europäischen Kommission, vertreten durch H. Krämer und D. Nardi als Bevollmächti...