Verfahrensinformation
Datenschutzrechtliche Beanstandung der Verwendung einer Facebook-Fanpage
Die Klägerin, ein in Schleswig-Holstein ansässiges Bildungsunternehmen, wendet sich gegen eine datenschutzrechtliche Anordnung des beklagten Landeszentrums für Datenschutz (ULD), nach der sie eine Facebook-Seite (Fanpage) zu deaktivieren habe. Das ULD hatte die Anordnung darauf gestützt, dass bei Aufruf der Fanpage Nutzungsdaten nach § 15 Telemediengesetz (TMG) der Nutzer erhoben würden, ohne dass die Klägerin als die nach § 12 Abs. 2 TMG i.V.m. § 3 Abs. 7 Bundesdatenschutzgesetz (BDSG) für die Datenverarbeitung datenschutzrechtlich verantwortliche Stelle den Nutzer über eine Widerspruchsmöglichkeit unterrichte. Das Verwaltungsgericht hat der nach erfolglosem Widerspruch erhobenen Klage nach Beiladung der Facebook Ireland Ltd. stattgegeben, weil die Klägerin datenschutzrechtlich nicht für die mit der Eröffnung einer Fanpage ausgelösten Vorgänge der Erhebung, Verwendung und Verarbeitung personenbezogener Daten von Nutzern der Fanpage durch Facebook (mit-)verantwortlich sei. Das Oberverwaltungsgericht hat die Berufung zurückgewiesen, weil das ULD das in § 38 Abs. 5 BDSG vorgesehene gestufte Verfahren nicht eingehalten habe, die von dem ULD behaupteten Verstöße ohne Weiteres von Facebook beseitigt werden könnten, das Vorgehen gegen Facebook auch deutlich effektiver wäre und insoweit auch keine datenschutzrechtlichen Verstöße vorkämen, die der Klägerin zugerechnet werden könnten. Die Klägerin sei infolge des Betriebs ihrer Fanpage auch nicht i.S.v. § 3 Abs. 7 BDSG/Art. 2 d) RL 95/46/EG (sog. Datenschutz-Richtlinie) verantwortliche Stelle im Hinblick auf die von Facebook erhobenen Daten.
Das Oberverwaltungsgericht hat die - vom ULD eingelegte - Revision zur Klärung der Fragen zugelassen, „ob Ausnahmen vom vorgeschriebenen abgestuften Verfahren des § 38 Abs. 5 BDSG möglich sind und gegebenenfalls, in welchen Fällen ausnahmsweise vom Wortlaut des § 38 Abs. 5 BDSG abgewichen werden kann, und ob eine Inanspruchnahme eines nicht im Sinne des § 3 Abs. 7 BDSG Verantwortlichen durch die Kontrollstelle als Störer datenschutzrechtlich in Betracht kommt“.
Pressemitteilung Nr. 11/2016 vom 25.02.2016
EuGH soll datenschutzrechtliche Verantwortlichkeit für die beim Aufruf einer Facebook-Fanpage erhobenen Nutzerdaten klären
Das Bundesverwaltungsgericht in Leipzig hat in einem Verfahren, in dem es um die Beanstandung des Betriebs einer Facebook-Fanpage seitens der privatrechtlich organisierten Wirtschaftsakademie Schleswig-Holstein durch die Datenschutzaufsichtsbehörde geht, den Gerichtshof der Europäischen Union (EuGH) angerufen. Die dem EuGH zur Vorabentscheidung vorgelegten Fragen betreffen die Auslegung der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutzrichtlinie). Diese dient u.a. dazu, im Bereich der Europäischen Union ein gleichwertiges Schutzniveau hinsichtlich der Rechte und Freiheiten von Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten.
Die Klägerin des Ausgangsverfahrens ist eine Trägerin der beruflichen Aus- und Weiterbildung, die neben einer eigenen Homepage eine sog. Fanpage bei Facebook unterhält. Das beklagte Unabhängige Landeszentrum für Datenschutz (ULD) hat im November 2011 gegenüber der Klägerin die Deaktivierung dieser Fanpage angeordnet. Die Nutzungsdaten der Besucher würden von Facebook über ein „Cookie“ bei einem Aufruf der Fanpage erhoben. Sie würden von Facebook u.a. für Zwecke der Werbung sowie für eine auch der Klägerin bereitgestellte Nutzerstatistik genutzt, ohne dass die Nutzer hierüber hinreichend aufgeklärt würden und in diese Nutzung eingewilligt hätten. Das Verwaltungsgericht hat der Klage stattgegeben. Das Oberverwaltungsgericht hat die Berufung zurückgewiesen, weil es das in § 38 Abs. 5 BDSG vorgesehene gestufte Verfahren nicht eingehalten habe. Die Klägerin sei als Fanpagebetreiberin auch nicht i.S.v. § 3 Abs. 7 BDSG/Art. 2 d) RL 95/46/EG verantwortliche Stelle im Hinblick auf die von Facebook erhobenen Daten.
Der 1. Revisionssenat des Bundesverwaltungsgerichts hat eine Vorlage an den EuGH beschlossen. Nach seiner Auffassung werfen u.a. die Reichweite der Prüf- und Handlungsbefugnisse des ULD sowie die Frage, ob die Klägerin als Fanpagebetreiberin eine datenschutzrechtliche Verantwortlichkeit für die Auswahl des Betreibers ihrer Internetrepräsentanz und dessen datenschutzrechtskonformen Umgang mit personenbezogenen Daten trifft, unionsrechtliche Zweifelsfragen in Bezug auf die Richtlinie 95/46/EG auf. Dabei hat es - wie das OVG - keine Beurteilung der Rechtmäßigkeit der Datenverarbeitung durch Facebook vorgenommen.
Hierzu hat der Senat dem EuGH folgende Fragen zur Vorabentscheidung gemäß Art. 267 AEUV vorgelegt:
1. Ist Art. 2 Buchst. d) RL 95/46/EG dahin auszulegen, dass er Haftung und Verantwortlichkeit für Datenschutzverstöße abschließend und erschöpfend regelt oder verbleibt im Rahmen der „geeigneten Maßnahmen“ nach Art. 24 RL 95/46/EG und der „wirksamen Eingriffsbefugnisse“ nach Art. 28 Abs. 3 Spiegelstrich 2 RL 95/46/EG in mehrstufigen Informationsanbieterverhältnissen Raum für eine Verantwortlichkeit einer Stelle, die nicht i.S.d. Art. 2 Buchst. d) RL 95/46/EG für die Datenverarbeitung verantwortlich ist, bei der Auswahl eines Betreibers für sein Informationsangebot?
2. Folgt aus der Pflicht der Mitgliedstaaten nach Art. 17 Abs. 2 RL 95/46/EG, bei der Datenverarbeitung im Auftrag vorzuschreiben, dass der für die Verarbeitung Verantwortliche einen ‚Auftragsverarbeiter auszuwählen hat, der hinsichtlich der für die Verarbeitung zu treffenden technischen Sicherheitsmaßnahmen und organisatorischen Vorkehrungen ausreichend Gewähr bietet‘, im Umkehrschluss, dass bei anderen Nutzungsverhältnissen, die nicht mit einer Datenverarbeitung im Auftrag i.S.d. Art. 2 Buchst. e) RL 95/46/EG verbunden sind, keine Pflicht zur sorgfältigen Auswahl besteht und auch nach nationalem Recht nicht begründet werden kann?
3. Ist in Fällen, in denen ein außerhalb der Europäischen Union ansässiger Mutterkonzern in verschiedenen Mitgliedstaaten rechtlich selbständige Niederlassungen (Tochtergesellschaften) unterhält, nach Art. 4, Art. 28 Abs. 6 RL 95/46/EG die Kontrollstelle eines Mitgliedstaates (hier: Deutschland) zur Ausübung der nach Art. 28 Abs. 3 RL 95/46/EG übertragenen Befugnisse gegen die im eigenen Hoheitsgebiet gelegene Niederlassung auch dann befugt, wenn diese Niederlassung allein für die Förderung des Verkaufs von Werbung und sonstige Marketingmaßnahmen mit Ausrichtung auf die Einwohner dieses Mitgliedstaates zuständig ist, während der in einem anderen Mitgliedstaat (hier: Irland) gelegenen selbständigen Niederlassung (Tochtergesellschaft) nach der konzerninternen Aufgabenverteilung die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten im gesamten Gebiet der Europäischen Union und damit auch in dem anderen Mitgliedstaat (hier: Deutschland) obliegt, wenn tatsächlich die Entscheidung über die Datenverarbeitung durch den Mutterkonzern getroffen wird?
4. Sind Art. 4 Abs. 1 Buchst. a), Art. 28 Abs. 3 RL 95/46/EG dahin auszulegen, dass in Fällen, in denen der für die Verarbeitung Verantwortliche eine Niederlassung im Hoheitsgebiet eines Mitgliedstaates (hier: Irland) besitzt und eine weitere, rechtlich selbständige Niederlassung in dem Hoheitsgebiet eines anderen Mitgliedstaates (hier: Deutschland) besteht, die u.a. für den Verkauf von Werbeflächen zuständig ist und deren Tätigkeit auf die Einwohner dieses Staates ausgerichtet ist, die in diesem anderen Mitgliedstaat (hier: Deutschland) zuständige Kontrollstelle Maßnahmen und Anordnungen zur Durchsetzung des Datenschutzrechts auch gegen die nach der konzerninternen Aufgaben- und Verantwortungsverteilung für die Datenverarbeitung nicht verantwortliche weitere Niederlassung (hier: in Deutschland) richten kann oder sind Maßnahmen und Anordnungen dann nur durch die Kontrollbehörde des Mitgliedstaates (hier: Irland) möglich, in dessen Hoheitsgebiet die konzernintern verantwortliche Stelle ihren Sitz hat?
5. Sind Art. 4 Abs. 1 Buchst. a), Art. 28 Abs. 3 und 6 RL 95/46/EG dahin auszulegen, dass in Fällen, in denen die Kontrollbehörde eines Mitgliedstaates (hier: Deutschland) eine in ihrem Hoheitsgebiet tätige Person oder Stelle nach Art. 28 Abs. 3 RL 95/46/EG wegen der nicht sorgfältigen Auswahl eines in den Datenverarbeitungsprozess eingebundenen Dritten (hier: Facebook) in Anspruch nimmt, weil dieser Dritte gegen Datenschutzrecht verstoße, die tätig werdende Kontrollbehörde (hier: Deutschland) an die datenschutzrechtliche Beurteilung der Kontrollbehörde des anderen Mitgliedstaates, in dem der für die Datenverarbeitung verantwortliche Dritte seine Niederlassung hat (hier: Irland), in dem Sinne gebunden ist, dass sie keine hiervon abweichende rechtliche Beurteilung vornehmen darf, oder darf die tätig werdende Kontrollstelle (hier: Deutschland) die Rechtmäßigkeit der Datenverarbeitung durch den in einem anderen Mitgliedstaat (hier: Irland) niedergelassenen Dritten als Vorfrage des eigenen Tätigwerdens selbständig auf seine Rechtmäßigkeit prüfen?
6. Soweit der tätig werdenden Kontrollstelle (hier: Deutschland) eine selbständige Überprüfung eröffnet ist: Ist Art. 28 Abs. 6 Satz 2 RL 95/46/EG dahin auszulegen, dass diese Kontrollstelle die ihr nach Art. 28 Abs. 3 RL 95/46/EG übertragenen wirksamen Einwirkungsbefugnisse gegen eine in ihrem Hoheitsgebiet niedergelassene Person oder Stelle wegen der Mitverantwortung für die Datenschutzverstöße des in einem anderen Mitgliedstaat niedergelassenen Dritten nur und erst dann ausüben darf, wenn sie zuvor die Kontrollstelle dieses anderen Mitgliedstaates (hier: Irland) um die Ausübung ihrer Befugnisse ersucht hat?
Bis zur Entscheidung des Gerichtshofs hat das BVerwG das Revisionsverfahren ausgesetzt.
BVerwG 1 C 28.14 - Beschluss vom 25. Februar 2016
Vorinstanzen:
OVG Schleswig, 4 LB 20/13 - Urteil vom 04. September 2014 -
VG Schleswig, 8 A 14/12 - Urteil vom 09. Oktober 2013 -
Beschluss vom 25.02.2016 -
BVerwG 1 C 28.14ECLI:DE:BVerwG:2016:250216B1C28.14.0
-
Zitiervorschlag
BVerwG, Beschluss vom 25.02.2016 - 1 C 28.14 - [ECLI:DE:BVerwG:2016:250216B1C28.14.0]
Beschluss
BVerwG 1 C 28.14
- VG Schleswig - 09.10.2013 - AZ: VG 8 A 14/12
- OVG Schleswig - 04.09.2014 - AZ: OVG 4 LB 20/13
In der Verwaltungsstreitsache hat der 1. Senat des Bundesverwaltungsgerichts
am 25. Februar 2016
durch den Vorsitzenden Richter am Bundesverwaltungsgericht Prof. Dr. Berlit,
die Richter am Bundesverwaltungsgericht Prof. Dr. Dörig und Prof. Dr. Kraft
sowie die Richterinnen am Bundesverwaltungsgericht Fricke und Dr. Rudolph
beschlossen:
- Das Verfahren wird ausgesetzt.
- Es wird gemäß Art. 267 AEUV eine Vorabentscheidung des Gerichtshofs der Europäischen Union zu folgenden Fragen eingeholt:
- 1. Ist Art. 2 Buchst. d) RL 95/46/EG dahin auszulegen, dass er Haftung und Verantwortlichkeit für Datenschutzverstöße abschließend und erschöpfend regelt oder verbleibt im Rahmen der "geeigneten Maßnahmen" nach Art. 24 RL 95/46/EG und der "wirksame[n] Eingriffsbefugnisse" nach Art. 28 Abs. 3 Spiegelstrich 2 RL 95/46/EG in mehrstufigen Informationsanbieterverhältnissen Raum für eine Verantwortlichkeit einer Stelle, die nicht im Sinne des Art. 2 Buchst. d) RL 95/46/EG für die Datenverarbeitung verantwortlich ist, bei der Auswahl eines Betreibers für sein Informationsangebot?
- 2. Folgt aus der Pflicht der Mitgliedstaaten nach Art. 17 Abs. 2 RL 95/46/EG, bei der Datenverarbeitung im Auftrag vorzuschreiben, dass der für die Verarbeitung Verantwortliche einen "Auftragsverarbeiter auszuwählen hat, der hinsichtlich der für die Verarbeitung zu treffenden technischen Sicherheitsmaßnahmen und organisatorischen Vorkehrungen ausreichend Gewähr bietet", im Umkehrschluss, dass bei anderen Nutzungsverhältnissen, die nicht mit einer Datenverarbeitung im Auftrag im Sinne des Art. 2 Buchst. e) RL 95/46/EG verbunden sind, keine Pflicht zur sorgfältigen Auswahl besteht und auch nach nationalem Recht nicht begründet werden kann?
- 3. Ist in Fällen, in denen ein außerhalb der Europäischen Union ansässiger Mutterkonzern in verschiedenen Mitgliedstaaten rechtlich selbständige Niederlassungen (Tochtergesellschaften) unterhält, nach Art. 4, Art. 28 Abs. 6 RL 95/46/EG die Kontrollstelle eines Mitgliedstaates (hier: Deutschland) zur Ausübung der nach Art. 28 Abs. 3 RL 95/46/EG übertragenen Befugnisse gegen die im eigenen Hoheitsgebiet gelegene Niederlassung auch dann befugt, wenn diese Niederlassung allein für die Förderung des Verkaufs von Werbung und sonstige Marketingmaßnahmen mit Ausrichtung auf die Einwohner dieses Mitgliedstaates zuständig ist, während der in einem anderen Mitgliedstaat (hier: Irland) gelegenen selbständigen Niederlassung (Tochtergesellschaft) nach der konzerninternen Aufgabenverteilung die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten im gesamten Gebiet der Europäischen Union und damit auch in dem anderen Mitgliedstaat (hier: Deutschland) obliegt, wenn tatsächlich die Entscheidung über die Datenverarbeitung durch den Mutterkonzern getroffen wird?
- 4. Sind Art. 4 Abs. 1 Buchst. a), Art. 28 Abs. 3 RL 95/46/EG dahin auszulegen, dass in Fällen, in denen der für die Verarbeitung Verantwortliche eine Niederlassung im Hoheitsgebiet eines Mitgliedstaates (hier: Irland) besitzt und eine weitere, rechtlich selbständige Niederlassung in dem Hoheitsgebiet eines anderen Mitgliedstaates (hier: Deutschland) besteht, die u.a. für den Verkauf von Werbeflächen zuständig ist und deren Tätigkeit auf die Einwohner dieses Staates ausgerichtet ist, die in diesem anderen Mitgliedstaat (hier: Deutschland) zuständige Kontrollstelle Maßnahmen und Anordnungen zur Durchsetzung des Datenschutzrechts auch gegen die nach der konzerninternen Aufgaben- und Verantwortungsverteilung für die Datenverarbeitung nicht verantwortliche weitere Niederlassung (hier: in Deutschland) richten kann oder sind Maßnahmen und Anordnungen dann nur durch die Kontrollbehörde des Mitgliedstaates (hier: Irland) möglich, in dessen Hoheitsgebiet die konzernintern verantwortliche Stelle ihren Sitz hat?
- 5. Sind Art. 4 Abs. 1 Buchst. a), Art. 28 Abs. 3 und 6 RL 95/46/EG dahin auszulegen, dass in Fällen, in denen die Kontrollbehörde eines Mitgliedstaates (hier: Deutschland) eine in ihrem Hoheitsgebiet tätige Person oder Stelle nach Art. 28 Abs. 3 RL 95/46/EG wegen der nicht sorgfältigen Auswahl eines in den Datenverarbeitungsprozess eingebundenen Dritten (hier: Facebook) in Anspruch nimmt, weil dieser Dritte gegen Datenschutzrecht verstoße, die tätig werdende Kontrollbehörde (hier: Deutschland) an die datenschutzrechtliche Beurteilung der Kontrollbehörde des anderen Mitgliedstaates, in dem der für die Datenverarbeitung verantwortliche Dritte seine Niederlassung hat (hier: Irland), in dem Sinne gebunden ist, dass sie keine hiervon abweichende rechtliche Beurteilung vornehmen darf, oder darf die tätig werdende Kontrollstelle (hier: Deutschland) die Rechtmäßigkeit der Datenverarbeitung durch den in einem anderen Mitgliedstaat (hier: Irland) niedergelassenen Dritten als Vorfrage des eigenen Tätigwerdens selbständig auf seine Rechtmäßigkeit prüfen?
- 6. Soweit der tätig werdenden Kontrollstelle (hier: Deutschland) eine selbständige Überprüfung eröffnet ist: Ist Art. 28 Abs. 6 Satz 2 RL 95/46/EG dahin auszulegen, dass diese Kontrollstelle die ihr nach Art. 28 Abs. 3 RL 95/46/EG übertragenen wirksamen Einwirkungsbefugnisse gegen eine in ihrem Hoheitsgebiet niedergelassene Person oder Stelle wegen der Mitverantwortung für die Datenschutzverstöße des in einem anderen Mitgliedstaat niedergelassenen Dritten nur und erst dann ausüben darf, wenn sie zuvor die Kontrollstelle dieses anderen Mitgliedstaates (hier: Irland) um die Ausübung ihrer Befugnisse ersucht hat?
Gründe
I
1 Die Beteiligten streiten um die Rechtmäßigkeit einer datenschutzrechtlichen Anordnung des Beklagten an die Klägerin, ihre bei der Beigeladenen unterhaltene Facebook-Seite (Fanpage) zu deaktivieren.
2 Die Klägerin ist ein privatrechtlich organisiertes Bildungsunternehmen, das unter anderem den Weiterbildungsauftrag ihrer Gesellschafterin - der von den drei Industrie- und Handelskammern in Schleswig-Holstein getragenen "Fördererstiftung Wirtschaftsakademie Schleswig-Holstein" - wahrnimmt. Die Klägerin bewirbt ihre Bildungsangebote u.a. durch eine sogenannte Fanpage bei der Beigeladenen.
3 Fanpages sind spezielle Benutzeraccounts, die bei Facebook von Unternehmen, gemeinnützigen Einrichtungen, Künstlern oder Prominenten eingerichtet werden können. Der Fanpage-Anbieter muss sich hierzu bei Facebook registrieren und kann dann die von Facebook unterhaltene Plattform dazu benutzen, sich den Nutzern dieser Plattform zu präsentieren und Äußerungen aller Art in den Medien- und Meinungsmarkt einzubringen. Betreiber von Fanpages bei Facebook können mit Hilfe des von Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zur Verfügung gestellten Werkzeuges "Facebook-Insights" anonymisierte Statistik-Informationen über Nutzer erhalten. Die durch Facebook erstellten Statistiken enthalten (aggregierte, anonymisierte) Angaben über die Nutzung der Fanpage. Hierfür wird bei Aufruf der Fanpage durch Facebook zumindest ein sogenannter Cookie auf dem Rechner des Nutzers gespeichert, der eine eindeutige ID-Nummer enthält und für zwei Jahre wirksam ist; die ID-Nummer, die mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird bei Aufruf von Facebook-Seiten erhoben und verarbeitet. Ein Hinweis auf die Tatsache der Speicherung und die Funktionsweise dieses Cookies sowie die nachfolgende Datenverarbeitung erfolgte durch die Klägerin oder die Beigeladene - jedenfalls in dem hier relevanten Zeitraum bis zum Erlass der Widerspruchsentscheidung - nicht.
4 Mit Bescheid vom 3. November 2011 ordnete der Beklagte - nach Anhörung der Klägerin - gemäß § 38 Abs. 5 Satz 1 BDSG gegenüber der Klägerin an, dafür Sorge zu tragen, dass die von ihr unter www.facebook.com/wirtschaftsakademie bei Facebook betriebene Fanpage deaktiviert wird, und drohte für den Fall der nicht fristgerechten Umsetzung ein Zwangsgeld an. Die Klägerin legte fristgerecht Widerspruch ein, mit dem sie im Kern geltend machte, sie sei datenschutzrechtlich für die Datenverarbeitung durch Facebook und die durch Facebook gesetzten Cookies nicht verantwortlich.
5 In ihrem Widerspruchsbescheid vom 16. Dezember 2011 sieht der Beklagte die datenschutzrechtliche Verantwortlichkeit der Wirtschaftsakademie Schleswig-Holstein GmbH als Diensteanbieter durch § 3 Abs. 3 Nr. 4, § 12 Abs. 1 TMG i.V.m. § 3 Abs. 7 BDSG begründet. Durch das Einrichten der Fanpage leiste die Klägerin auch einen aktiven und willentlichen Beitrag zur Erhebung von personenbezogenen Nutzerdaten durch Facebook, von der sie durch die von Facebook bereitgestellte Nutzerstatistik profitiere.
6 Mit ihrer Klage hat die Klägerin geltend gemacht, dass es bereits an der Verarbeitung personenbezogener Daten durch sie fehle. Ihr seien Datenverarbeitungsvorgänge durch Facebook nicht zuzurechnen. Sie habe insoweit Facebook auch nicht im Sinne des § 11 BDSG mit einer von ihr kontrollierten oder beeinflussbaren Datenverarbeitung beauftragt. Schließlich habe der Beklagte das ihm eingeräumte Ermessen fehlerhaft betätigt, indem er sich an die Klägerin und nicht direkt an Facebook gewandt habe.
7 Der Beklagte hat die Anordnung als formell und materiell rechtmäßig verteidigt.
8 Die vom Verwaltungsgericht beigeladene Facebook Ireland Ltd. (Dublin) unterstützt das Vorbringen der Klägerin und macht geltend, der Bescheid sei schon deswegen rechtswidrig, weil der Beklagte nicht das in der Ermächtigungsgrundlage des § 38 Abs. 5 BDSG vorgesehene gestufte Verfahren eingehalten habe. Die Anordnung sei auch deswegen rechtswidrig, weil die Klägerin mangels Gestaltungs-, Einwirkungs- oder Kontrollmöglichkeiten im Hinblick auf die Fanpage keine datenschutzrechtlich verantwortliche Stelle sei und sie insoweit auch keine telemedienrechtliche Datenschutzverantwortung treffe. Es bestehe auch kein Zusammenwirken im Sinne einer "gemeinsamen Zwecksetzung" (das zudem für eine datenschutzrechtliche Mitverantwortung nicht ausreiche). Datenschutzrechtliche Verantwortlichkeit beziehe sich auf die Entscheidung über "Zwecke und Mittel" der Verarbeitung, nicht auf die Entscheidung über das "Ob" der Datenverarbeitung selbst. Auch das Unionsrecht sehe keine Gesamtverantwortung qua Zurechnung vor. Mangels Gestaltungs-, Weisungs- und Kontrollmöglichkeiten bestehe auch kein Auftragsverhältnis im Sinne des § 11 BDSG. Die datenschutzrechtliche Verantwortlichkeit sei im Unionsrecht (Art. 2 Buchst. d) RL 95/46/EG) und im nationalen Recht (§ 3 Abs. 7 BDSG) abschließend geregelt und durch die Entscheidungsgewalt über die Zwecke und Mittel der Verarbeitung personenbezogener Daten geprägt; eine national-autonome Erweiterung der Verantwortlichkeit sei unionsrechtlich unzulässig. Die von Facebook vorgenommene Datenverarbeitung sei zudem nach dem hier allein maßgeblichen irischen Datenschutzrecht materiell rechtmäßig. Schließlich sei die Anordnung ermessensfehlerhaft.
9 Das Verwaltungsgericht hob durch Urteil vom 9. Oktober 2013 den angefochtenen Bescheid im Kern mit der Begründung auf, dass der Betreiber einer Fanpage bei Facebook nicht "verantwortliche Stelle" im Sinne des § 3 Abs. 7 BDSG sei und daher auch nicht Adressat einer Verfügung nach § 38 Abs. 5 BDSG sein könne.
10 Das Oberverwaltungsgericht hat die Berufung als unbegründet zurückgewiesen und zur Begründung im Kern ausgeführt: Die angeordnete Deaktivierung komme ungeachtet der weiterhin möglichen internen Nutzung der Untersagung der Datenverarbeitung nach § 38 Abs. 5 Satz 2 BDSG als solcher gleich. Dies lasse § 38 Abs. 5 BDSG indes nicht zu, weil er ein abgestuftes Vorgehen vorsehe, in dessen erster Stufe nur Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten angeordnet werden dürften. Eine Ausnahme komme nur in Betracht, wenn ein Datenverarbeitungsverfahren in seiner Gesamtheit unzulässig ist und dieser Mangel nur durch die Einstellung des Verarbeitungsverfahrens beseitigt werden kann, wenn also die Einhaltung des abgestuften Verfahrens objektiv sinn- und zwecklos erscheine. Dies sei vorliegend nicht der Fall. Denn die vom Beklagten behaupteten Verstöße könnten von Facebook ohne Weiteres beseitigt werden. Soweit der Beklagte nicht die für Facebook zuständige Kontrollstelle sei (was keiner abschließenden Entscheidung bedürfe), dürfe er deshalb nicht anstelle von Facebook und abweichend vom vorgeschriebenen Verfahren einen Dritten im Sinne des Art. 2 Buchst. f) RL 95/46/EG belangen.
11 Die Anordnung sei auch deswegen rechtswidrig, weil die Klägerin im Sinne des § 3 Abs. 7 BDSG keine verantwortliche Stelle im Hinblick auf die von Facebook aus Anlass des Fanpage-Betriebes erhobenen Daten sei und eine Anordnung nach § 38 Abs. 5 BDSG nur gegenüber der verantwortlichen Stelle ergehen könne. Über den Zweck und die Mittel der Erhebung und Verarbeitung der für "Insights" genutzten personenbezogenen Daten entscheide allein Facebook; die Klägerin erhalte allein anonymisierte, statistische Informationen.
12 § 38 Abs. 5 BDSG erlaube keine Anordnung gegenüber Dritten (also Personen oder Stellen außerhalb der verantwortlichen Stelle). Die von der zivilgerichtlichen Rechtsprechung entwickelte Störerhaftung im Internet sei auf die Eingriffsverwaltung nicht übertragbar. Auch wenn § 38 Abs. 5 BDSG den Adressaten der Untersagungsanordnung nicht ausdrücklich nenne, ergebe sich - über Anhaltspunkte bereits im Wortlaut der Regelung selbst - aus dem systematischen Zusammenhang, dem Sinn und Zweck der Regelung sowie ihrer Entstehungsgeschichte, dass Adressat allein die verantwortliche Stelle sein könne. Das Berufungsgericht lässt daher offen, ob die Beigeladene (bzw. ihre Konzernmutter) personenbezogene Daten verarbeitet und ob diese Datenverarbeitung gegen deutsches bzw. irisches Datenschutzrecht verstößt.
13 Mit seiner Revision rügt der Beklagte u.a. eine Verletzung des § 38 Abs. 5 BDSG und macht verschiedene Verfahrensfehler des Berufungsgerichts geltend. Der Beklagte sieht nunmehr den Verstoß der Klägerin in der Beauftragung eines ungeeigneten, weil Datenschutzrecht nicht beachtenden Anbieters - hier: die Beigeladene - mit der Erstellung, Bereithaltung und Wartung eines Internetauftritts; die Deaktivierungsanordnung ziele auf die Beseitigung dieses Verstoßes der Klägerin, indem ihr die weitere Nutzung der Facebook-Infrastruktur als technischer Grundlage ihres Webauftritts untersagt werde.
14 Die Klägerin und die Beigeladene verteidigen das angefochtene Berufungsurteil.
15 Der Vertreter des Bundesinteresses bei dem Bundesverwaltungsgericht verweist darauf, dass die im Revisionsverfahren angesprochenen Rechtsfragen auch den Gegenstand der Verhandlungen über die Datenschutz-Grundverordnung bildeten. Die Klägerin sei datenschutzrechtlich nicht verantwortlich, weil der Betreiber einer Fanpage als Facebook-Nutzer keinen Einfluss auf die Erhebung, Verarbeitung oder Auswertung der personenbezogenen Daten, die durch Facebook erfolge, habe.
II
16 Der Rechtsstreit ist auszusetzen. Es ist eine Vorabentscheidung des Gerichtshofs der Europäischen Union (im Folgenden: Gerichtshof) zu den im Beschlusstenor formulierten Fragen einzuholen (Art. 267 AEUV). Die Fragen betreffen die Auslegung der Art. 2 Buchst. d), Art. 4 Abs. 1, Art. 17 Abs. 2 und Art. 28 Abs. 3 und 6 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 S. 31). Da es um die Auslegung von Unionsrecht geht, ist der Gerichtshof zuständig.
17 1. Für die rechtliche Beurteilung der Anfechtungsklage gegen die von dem Beklagten erlassene datenschutzaufsichtsbehördliche Anordnung ist hier auf die Sach- und Rechtslage im Zeitpunkt der letzten Verwaltungsentscheidung, also der Widerspruchsentscheidung, abzustellen (Dezember 2011). Zu diesem Zeitpunkt waren die hier maßgeblichen Art. 2 Buchst. d), Art. 4 Abs. 1, Art. 17 Abs. 2 und Art. 28 Abs. 3 und 6 der Richtlinie 95/46/EG in Kraft getreten, und die Umsetzungsfrist für sie war gemäß Art. 32 der Richtlinie 95/46/EG abgelaufen. Diese Richtlinie sowie nachfolgende Änderungen wurden u.a. durch das Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze vom 18. Mai 2001 (BGBl. I S. 904) in das nationale Recht umgesetzt. Den rechtlichen Rahmen dieses Rechtsstreits bilden folgende nationale Vorschriften, die - soweit hier einschlägig - auch derzeit noch unverändert gelten:
18
§ 3 Abs. 1 und 7, § 11 Abs. 1 und 2, § 38 Abs. 5 des Bundesdatenschutzgesetzes (BDSG) vom 20. Dezember 1990 (BGBl. I S. 2954) in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), für den hier maßgeblichen Zeitraum zuletzt geändert durch das Gesetz zur Änderung datenschutzrechtlicher Vorschriften (DSRÄndG) vom 14. August 2009 (BGBl. I S. 2814).
§ 3 Abs. 1 und 7 BDSG
(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). (...)
(7) Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.
§ 11 Abs. 1 und 2 BDSG
(1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in den §§ 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen.
(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: (...)
Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.
§ 38 Abs. 5 BDSG
(5) Zur Gewährleistung der Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz kann die Aufsichtsbehörde Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen. Bei schwerwiegenden Verstößen oder Mängeln, insbesondere solchen, die mit einer besonderen Gefährdung des Persönlichkeitsrechts verbunden sind, kann sie die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren untersagen, wenn die Verstöße oder Mängel entgegen der Anordnung nach Satz 1 und trotz der Verhängung eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden. Sie kann die Abberufung des Beauftragten für den Datenschutz verlangen, wenn er die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit nicht besitzt.
19
Als Hintergrund des Rechtsstreites ist auf § 12 Abs. 1 und 3 des Telemediengesetzes (TMG) vom 26. Februar 2007 (BGBl. I S. 179), für den hier maßgeblichen Zeitraum zuletzt geändert durch das Erste Gesetz zur Änderung des Telemediengesetzes (1. Telemedienänderungsgesetz) vom 31. Mai 2010 (BGBl I. S. 692) hinzuweisen, das in Teilen auch der Umsetzung der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 S. 37) dient.
§ 12 Abs. 1 und 3 TMG
(1) Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.
(2) (...)
(3) Soweit nichts anderes bestimmt ist, sind die jeweils geltenden Vorschriften für den Schutz personenbezogener Daten anzuwenden, auch wenn die Daten nicht automatisiert verarbeitet werden.
20 2. Die Vorlagefragen sind entscheidungserheblich und bedürfen einer Klärung durch den Gerichtshof; von ihrer Beantwortung hängt ab, ob die Revision zumindest im Sinne einer Zurückverweisung Erfolg hat.
21 a) Nach § 38 Abs. 5 BDSG kann die Aufsichtsbehörde Maßnahmen und Anordnungen nur zur Gewährleistung der Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz treffen.
22 aa) Die angefochtene Anordnung zur Deaktivierung der bei Facebook unterhaltenen Fanpage ist nach dem Eingriffsgewicht als Maßnahme nach § 38 Abs. 5 Satz 2 BDSG zur Untersagung des Einsatzes eines einzelnen Verfahrens zu werten, die bei schwerwiegenden Verstößen oder Mängeln statthaft ist. Diese Anordnung ist nicht schon deswegen rechtswidrig und aufzuheben, weil ihr keine Aufforderung zur Beseitigung festgestellter Verstöße nach § 38 Abs. 5 Satz 1 BDSG vorangegangen ist. Von der im Gesetz aus Gründen der Verhältnismäßigkeit vorgegebenen Stufenfolge beim Einschreiten der Datenschutzaufsichtsbehörde ist dann eine Ausnahme zu machen, wenn der Adressat der Anordnung diese Mängel nicht beseitigen kann, weil er keinen direkten, steuernden oder gestaltenden Einfluss auf die als rechtswidrig beanstandete Datenverarbeitung hat. Nach den für den Senat bindenden (§ 137 VwGO) tatsächlichen Feststellungen des Berufungsgerichts ist dies der Fall. Auch die Klägerin und die beigeladene Facebook Ireland Ltd. machen übereinstimmend geltend, dass die Erhebung und Verarbeitung der Daten der Besucher der Fanpage ausschließlich durch die Beigeladene erfolgt und die Klägerin weder im Rahmen des Benutzungsverhältnisses über die Fanpage rechtlich noch sonst tatsächlich Art und Umfang der Datenerhebung und -verarbeitung gestalten oder beeinflussen kann. Die fehlende unmittelbare Einwirkungs- und Entscheidungsmacht der Klägerin über Art und Umfang der Verarbeitung der Nutzerdaten schließt bei unterstellter datenschutzrechtlicher Pflichtenstellung eine Anwendung des § 38 Abs. 5 BDSG ebenfalls nicht aus; zur wirksamen Durchsetzung des Datenschutzrechts (s.a. Art. 28 Abs. 3 RL 95/46/EG) ist die adressatoffen gefasste Eingriffsermächtigung nicht auf ein Vorgehen gegen die "für die Verarbeitung Verantwortliche" im Sinne des Art. 2 Buchst. d) RL 95/46/EG beschränkt, wenn und soweit anderweitige datenschutzrechtliche Pflichten bestehen. Die personale Reichweite der Eingriffsbefugnis folgt hier der materiellrechtlichen Pflichtigkeit.
23 Bei als gegeben unterstellter Verantwortlichkeit der Klägerin, die nach nationalem Recht nicht nach den Vorschriften des Telemediengesetzes, sondern nur nach denen des Bundesdatenschutzgesetzes begründet werden kann, sind im Ergebnis auch die weiteren, zwischen den Beteiligten ebenfalls umstrittenen Voraussetzungen der Anordnung erfüllt.
24 bb) Die Klägerin ist allerdings für die Erhebung und Verarbeitung der Nutzerdaten ihrer Fanpage durch die Beigeladene nicht die "Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt" (§ 3 Abs. 7 BDSG) bzw. die "Stelle, die allein oder gemeinsam mit anderen über die Zwecke, Bedingungen und Mittel der Verarbeitung von personenbezogenen Daten entscheidet" (Art. 2 Buchst. d) RL 95/46/EG).
25 Zwar verschafft die Klägerin durch ihre Entscheidung, eine Fanpage auf der von der Beigeladenen bzw. ihrer Muttergesellschaft betriebenen Plattform einzurichten, der Beigeladenen objektiv die Möglichkeit, bei Aufruf dieser Fanpage Cookies zu setzen und über diese Daten zu erheben. Jedenfalls bei Fanpage-Nutzern, die bei Facebook registriert sind, handelt es sich um auch personenbezogene Daten im Sinne des Art. 2 Buchst. a) RL 95/46/EG, und zwar selbst dann, wenn sie sich bei Fanpageaufruf nicht bei Facebook angemeldet hatten. Bei nichtregistrierten Nutzern hängt die Zuordnung der über einen Cookie zugewiesenen ID-Nummer als personenbezogenes Datum u.a. von den Anforderungen ab, die an das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen zu stellen sind (s. dazu BGH, Vorabentscheidungsersuchen vom 28. Oktober 2014 - VI ZR 135/13 - juris).
26 Nach den bindenden tatsächlichen Feststellungen des Berufungsgerichts folgt aus dieser Entscheidung allerdings nicht, dass die Klägerin Art und Umfang der Verarbeitung von Daten der Nutzer ihrer Homepage durch die Beigeladene beeinflussen, steuern, gestalten oder sonst kontrollieren könnte. Auch die Nutzungsbedingungen für die Fanpage eröffnen der Klägerin insoweit keine Einwirkungs- oder Kontrollrechte; die einseitig gesetzten Nutzungsbedingungen der Beigeladenen sind nicht Ergebnis eines Aushandlungsprozesses im Einzelfall und verschaffen der Klägerin auch nicht das Recht, der Beigeladenen die Erhebung und Verarbeitung der Daten von Nutzern der Fanpage zu untersagen. Die Beigeladene lässt auch sonst nicht die Einrichtung einer Fanpage zu, bei der sie sich nicht die Befugnis zur Erhebung und Verarbeitung von Nutzerdaten vorbehält. Auch tatsächlich hat die Klägerin keine Entscheidungs-, Gestaltungs- oder Kontrollbefugnisse.
27 Ihre Entscheidung, für ihr Informations- und Kommunikationsangebot auch die Facebook-Infrastruktur zu nutzen, macht die Klägerin nicht zu einer Stelle, die - allein oder gemeinsam mit der Beigeladenen - über die Zwecke, Bedingungen und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 2 Buchst. d) RL 95/46/EG) bzw. zur verantwortlichen Stelle im Sinne des § 3 Abs. 7 BDSG. Allerdings ist die Legaldefinition des "für die Verarbeitung Verantwortlichen" in Art. 2 Buchst. d) RL 95/46/EG, die maßgeblich auch die Auslegung des § 3 Abs. 7 BDSG steuert, im Interesse eines wirksamen Persönlichkeitsschutzes grundsätzlich weit auszulegen (s.a. Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen "für die Verarbeitung Verantwortlicher" und "Auftragsverarbeiter" vom 16. Februar 2010, Working Paper 169 [00264/10/DE WP 169]). Das funktionale Verständnis lässt auch Raum für die Möglichkeit einer pluralistischen Kontrolle, die verschiedene Grade der Verantwortung bis hin zu einer "gesamtschuldnerischen" Haftung (Artikel-29-Datenschutzgruppe, a.a.O., Working Paper 169 [00264/10/DE WP 169], 39) zulässt. Die Fähigkeit, über die Zwecke und Mittel der jeweiligen Datenverarbeitung auch entscheiden zu können, ist aber ein prägendes, unverzichtbares Element des Art. 2 Buchst. d) der Richtlinie 95/46/EG. Eine Stelle, die weder einen rechtlichen noch einen tatsächlichen Einfluss auf die Entscheidung hat, wie personenbezogene Daten verarbeitet werden, kann nicht als für die Verarbeitung Verantwortlicher angesehen werden.
28 Die Klägerin kann allein durch den Verzicht auf die weitere Nutzung ihrer Fanpage eine weitere Verarbeitung der Daten von Nutzern dieser Fanpage durch die Beigeladene verhindern. Dies verschafft ihr aber keinen rechtlichen oder tatsächlichen Einfluss auf Ob, Art und Umfang der Nutzung der Datenverarbeitung durch die Beigeladene in eigener Verantwortungs- und Gestaltungsmacht. Eine hinreichende Einflussmöglichkeit oder gar eine (Mit-)Entscheidungsmacht folgt auch nicht daraus, dass informationshaltige Fanpages die Attraktivität der von der Beigeladenen betriebenen Plattform selbst - für die Nutzer und die geschäftlichen Aktivitäten der Beigeladenen - steigern mögen oder die Klägerin objektiv aus der von der Beigeladenen betriebenen Funktion "Facebook Insights" Nutzen ziehen kann, indem ihr in anonymisierter Form Daten zur Nutzung ihrer Fanpage übermittelt werden.
29 cc) Die Klägerin ist für die Verarbeitung von Daten der Nutzer ihrer Fanpage durch die Beigeladene auch nicht Auftraggeber einer Datenverarbeitung im Auftrag (§ 11 BDSG; Art. 2 Buchst. e), Art. 17 Abs. 2 und 3 RL 95/46/EG).
30 Zwischen der Klägerin und der Beigeladenen besteht zwar ein Rechtsverhältnis in Bezug auf die Bereitstellung einer Fanpage; die Klägerin ist insoweit Nutzerin der Plattform, die von der Beigeladenen betrieben wird. Mit dem Nutzungsverhältnis erteilt die Klägerin der Beigeladenen aber nicht einen Auftrag zur Erhebung und Verarbeitung von Daten der Nutzer ihrer Fanpage. Diese Datennutzung ist keine Haupt- oder Nebenpflicht aus dem Fanpage-Benutzungsverhältnis. Wegen der technischen Besonderheiten der von der Beigeladenen betriebenen Plattform hat die Klägerin zu keinem Zeitpunkt die Möglichkeit, auf die hier in Rede stehenden Daten ihrer Nutzer zuzugreifen. Die Datenverarbeitung durch Facebook ist auch sonst von den Beteiligten des Fanpage-Nutzungsverhältnisses weder objektiv als gemeinsam verantwortete Datennutzung ausgestaltet noch subjektiv von diesen als gemeinsame gewollt. Dass der Klägerin bei der Entscheidung für die Plattform der Beigeladenen bekannt sein konnte, dass diese Daten von Fanpage-Nutzern erhebt und verarbeitet, verwandelt das Vertrags- oder Nutzungsverhältnis betreffend die Fanpage nicht in ein Auftragsdatenverarbeitungsverhältnis. Die Auftragsdatenverarbeitung folgt der Verantwortlichkeit, begründet diese aber nicht. Die hohe Zahl von Nutzern des sozialen Netzwerkes der Beigeladenen und der dadurch erhoffte Nutzen für die Verbreitung des eigenen Informationsangebots schließen es aus, dass die Klägerin sich allein deswegen für die Plattform der Beigeladenen entschieden haben könnte, um sich einer datenschutzrechtlichen Verantwortlichkeit zu entziehen.
31 b) Das vorlegende Gericht hält eine Klärung für erforderlich, ob bzw. unter welchen Voraussetzungen sich in mehrstufigen Anbieterverhältnissen, wie sie für soziale Netzwerke kennzeichnend sind, die Kontroll- und Eingriffsbefugnisse der Datenschutzaufsichtsbehörde allein auf die "verantwortliche Stelle" im Sinne des Art. 2 Buchst. d) RL 95/46/EG (§ 3 Abs. 7 BDSG) beziehen können oder ob daneben Raum für eine Verantwortlichkeit einer Stelle, die nicht im Sinne des Art. 2 Buchst. d) RL 95/46/EG für die Datenverarbeitung verantwortlich ist, bei der Auswahl eines Betreibers für sein Informationsangebot bleibt. Hierauf zielt die erste Vorlagefrage.
32 aa) Art. 28 Abs. 3 Spiegelstrich 2 RL 95/46/EG sieht vor, dass jede Kontrollstelle über wirksame Kontrollbefugnisse einschließlich der Möglichkeit verfügen muss, das vorläufige oder endgültige Verbot einer Verarbeitung anzuordnen. Art. 24 RL 95/46/EG gibt den Mitgliedstaaten auf, geeignete Maßnahmen zu ergreifen, um die volle Anwendung der Bestimmung der Richtlinie sicherzustellen. Die Datenschutzrichtlinie zielt auf einen wirksamen und umfassenden Schutz des Rechts auf die Privatsphäre (Art. 8 Europäische Menschenrechtskonvention) auf einem hohen Schutzniveau (Erwägungsgründe 2 und 10 RL 95/46/EG). Der Gerichtshof der Europäischen Union (EuGH) betont in gefestigter Rechtsprechung die Bedeutung sowohl des auch durch Art. 7 GRC gewährleisteten Grundrechts auf Achtung des Privatlebens als auch des durch Art. 8 GRC gewährleisteten Grundrechts auf Schutz personenbezogener Daten (vgl. EuGH, Urteile vom 7. Mai 2009 - C-553/07 [ECLI:EU:C:2009:293], Rijkeboer - Rn. 47; vom 8. April 2014 - C-293/12, C-594/12 [ECLI:EU:C:2014:238], Digital Rights Ireland u.a.- Rn. 53; vom 13. Mai 2014 - C-131/12 [ECLI:EU:C:2014:317], Google Spain und Google - Rn. 53, 66 und 74 und vom 6. Oktober 2015 - C-362/14 [ECLI:EU:C:2015:650], Schrems - Rn. 39).
33 bb) In Informationsanbieterverhältnissen, in denen Anbieter von (auch) an eine breitere Öffentlichkeit gerichteten Informationen eine Infrastruktur wie die von der Beigeladenen angebotene benutzen, bei der sie aufgrund der Nutzungsbedingungen die Verarbeitung personenbezogener Daten durch den Infrastrukturanbieter selbst nicht beherrschen können (gestufte oder mehrstufige Informationsanbieterverhältnisse), wird es im Interesse eines wirksamen Schutzes der Grundrechte und -freiheiten der Nutzer des Informationsangebotes für erforderlich gehalten, auch den Informationsanbieter selbst in die Verantwortung zu nehmen (eingehend Martini/Fritzsche, Mitverantwortung in sozialen Netzwerken. Facebook-Fanpage-Betreiber in der datenschutzrechtlichen Grauzone, NVwZ-Extra 21/2015, 11 ff.). Diese datenschutzrechtliche Verantwortung bezieht sich zwar nicht auf die Erhebung und Verarbeitung der Daten durch den Infrastrukturanbieter selbst, die in einer Infrastruktur wie der von der Beigeladenen angebotenen rechtlich und tatsächlich durch den Informationsanbieter nicht gesteuert werden kann. Sie bezieht sich aber auf die sorgfältige Auswahl des Betreibers der Infrastruktur, die für das eigene Informationsangebot genutzt wird. Für den Nutzer des Informationsangebotes ist regelmäßig nicht erkennbar, dass für eine an die bloße Nutzung anknüpfende Datenverarbeitung nicht der Informationsanbieter, sondern der Infrastrukturbetreiber "verantwortliche Stelle" ist; auch soweit aus dem Seitendesign des Informationsangebotes erkannt werden kann, dass es sich um ein Informationsangebot im Rahmen einer bestimmten Infrastruktur handelt, erschließt sich daraus nicht die Verteilung der Verantwortlichkeiten.
34 cc) Vor diesem Hintergrund erstrebt die erste Vorlagefrage die Klärung, ob mit dem Begriff des "für die Verarbeitung Verantwortlichen" (Art. 2 Buchst. d) RL 95/46/EG) auch die möglichen Adressaten von Eingriffsmaßnahmen abschließend und erschöpfend umschrieben sind oder ob im Rahmen der "geeigneten Maßnahmen" nach Art. 24 und der "wirksamen Eingriffsbefugnisse" nach Art. 28 Abs. 3 Spiegelstrich 2 RL 95/46/EG daneben Raum für eine datenschutzrechtliche Verantwortlichkeit für die Auswahl des Betreibers eines Informationsangebotes bleibt.
35 c) Die zweite Vorlagefrage zielt auf den rechtlichen Anknüpfungspunkt für eine der Verantwortung nach Art. 2 Buchst. d) RL 95/46/EG vorgelagerte Auswahlverantwortlichkeit in mehrstufigen Anbieterverhältnissen. Nach dem nationalen Recht kommt insoweit in Betracht, die Auswahl- und Überprüfungspflichten (§ 11 Abs. 2 Satz 1 und 4 BDSG), die der nationale Gesetzgeber in Umsetzung des Art. 17 Abs. 2 RL 95/46/EG bei einer Datenverarbeitung im Auftrag vorgeschrieben hat, entsprechend heranzuziehen (s. Martini/Fritzsche, Mitverantwortung in sozialen Netzwerken. Facebook-Fanpage-Betreiber in der datenschutzrechtlichen Grauzone, NVwZ-Extra 21/2015, 12). Der gemeinsame und im Ergebnis für eine Analogie möglicherweise hinreichende Grundgedanke ist, dass sich ein Informationsanbieter nicht durch die Wahl eines bestimmten Infrastrukturanbieters von datenschutzschutzrechtlichen Pflichten im Verhältnis zu den Nutzern seines Informationsangebotes soll freizeichnen dürfen, die er bei einem reinen Content-Provider zu erfüllen hätte. Dass ein Informationsanbieter in den sozialen Netzwerken wie dem der Beigeladenen zugleich auch dessen Nutzer ist, schafft wegen der für die Nutzer des Informationsangebotes nicht hinreichend klaren Verantwortungsteilung eine spezifische, von der Verantwortungsverteilung nach Art. 2 Buchst. d) RL 95/46/EG nicht erfasste Gefährdungslage; dies gilt umso mehr, als sich das Informationsangebot nicht allein an in dem Netzwerk angemeldete, registrierte Nutzer richtet.
36 Bei unionsrechtskonformer Auslegung kommt eine entsprechende Anwendung der Auswahl- und Kontrollpflichten des § 11 Abs. 2 Satz 1 und 4 BDSG allerdings dann nicht in Betracht, wenn aus Art. 17 Abs. 2 RL 95/46/EG im Umkehrschluss folgt, dass einem Informationsanbieter datenschutzrechtliche Auswahl- und Kontrollpflichten nur und ausschließlich bei einer Datenverarbeitung im Auftrag auferlegt werden können. Die Auferlegung weitergehender Pflichten ist nach dem Wortlaut allerdings nicht ausgeschlossen; sie bewirkt auch keine neuen oder zusätzlichen materiellrechtlichen Bedingungen in Bezug auf die Zulässigkeit der Verarbeitung personenbezogener Daten (dazu EuGH, Urteil vom 24. November 2011 - C-468/10, C-469/10 [ECLI:EU:C:2011:777], ASNEF/FECEMD -). Für einen Umkehrschluss mag indes eine klare und eindeutige Verantwortungszuweisung allein an den Infrastrukturanbieter sprechen; die Nutzer von Infrastrukturangeboten und Plattformen bleiben zudem von der Notwendigkeit befreit, die Rechtmäßigkeit der Datenverarbeitung durch den ausgewählten Anbieter (inzident) überprüfen zu müssen.
37 d) Für den Fall, dass einen Informationsanbieter in mehrstufigen Anbieterverhältnissen eine Verantwortlichkeit bei der Auswahl seines Infrastrukturanbieters trifft, setzt die Rechtmäßigkeit der hier getroffenen Anordnung weiterhin jedenfalls voraus, dass diese Auswahlverantwortlichkeit verletzt worden ist, weil es bei dem ausgewählten Anbieter - hier der Beigeladenen - bei der Erhebung und Verarbeitung von Daten der Nutzer des Informationsangebotes der Klägerin zu hinreichend gewichtigen Verstößen gegen das Datenschutzrecht kommt. Diese Frage ist zwischen den Beteiligten umstritten und vom Berufungsgericht nicht abschließend geklärt worden. Auf der Grundlage der getroffenen tatsächlichen Feststellungen kann das vorlegende Gericht sie nicht abschließend beantworten. Zu ihrer Beantwortung bedarf es auch der Klärung der zu 3. bis 6. gestellten Fragen zur Zuständigkeit der hier handelnden Datenschutzkontrollbehörde und der Reichweite ihrer Prüfungsbefugnis.
38 aa) Zwischen den Beteiligten steht zu Recht nicht im Streit, dass die Erhebung und Verarbeitung von Daten der Nutzer der von der Klägerin betriebenen Fanpage durch Facebook als Infrastrukturanbieter in den räumlichen Anwendungsbereich der RL 95/46/EG fällt, soweit es sich um personenbezogene Daten im Sinne des Art. 2 Buchst. a) RL 95/46/EG handelt. Denn die in den Vereinigten Staaten von Amerika ansässige Muttergesellschaft, die Facebook Inc., unterhält neben der für die Förderung des Verkaufs von Werbung und sonstige Marketingmaßnahmen mit Ausrichtung auf die Einwohner der Bundesrepublik Deutschland betrauten Tochtergesellschaft Facebook Germany GmbH (mit Sitz in Hamburg) die in der Irischen Republik ansässige Tochtergesellschaft Facebook Ireland Ltd. - die Beigeladene -, die nach eigenem Bekunden konzernintern die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten (u.a.) im gesamten Gebiet der Europäischen Union trägt. Jedenfalls müssen alle im Unionsgebiet wohnhaften Personen, die Facebook nutzen wollen, bei ihrer Anmeldung einen Vertrag mit Facebook Ireland Ltd. abschließen (s.a. EuGH, Urteil vom 6. Oktober 2015 - C-362/14 - Rn. 27). Der Beklagte hat allerdings geltend gemacht, dass tatsächlich die Entscheidung über Art und Umfang der Datenverarbeitung und die Datenverarbeitung selbst nicht durch die Beigeladene erfolge, weil die personenbezogenen Daten der im Unionsgebiet wohnhaften Nutzer von Facebook ganz oder teilweise an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet werden (s.a. EuGH, Urteil vom 6. Oktober 2015 - C-362/14 - Rn. 27).
39 Im Rahmen der Bestimmung der für etwaige Aufsichts- und Kontrollmaßnahmen zuständigen Kontrollstelle bedarf es dann aber der Klärung der mit Vorlagefrage zu 3. aufgeworfenen Frage. Es sind die Voraussetzungen zu bestimmen, unter denen eine (von mehreren) Niederlassungen eines außerhalb der Europäischen Union ansässigen Mutterkonzerns als "für die Verarbeitung Verantwortliche" im Sinne der Art. 4 und Art. 2 Buchst. d) RL 95/46/EG angesehen werden kann. Insbesondere ist zu klären, ob es dafür ausreicht, dass sich eine der Niederlassungen in der Europäischen Union (hier: die beigeladene Facebook Ireland Ltd.) selbst als die für die Datenverarbeitung im gesamten Unionsgebiet insoweit Verantwortliche bezeichnet, auch wenn physikalisch die Datenverarbeitung ganz oder teilweise von dem Mutterkonzern außerhalb des Unionsgebiets durchgeführt und maßgeblich von diesem gesteuert wird. Wird dies bejaht, kommt es auf die Einzelheiten der konzerninternen Entscheidungs- und Datenverarbeitungsstrukturen nicht an. Wird dies verneint, kann hingegen auch eine andere Niederlassung (hier: Deutschland) als Verantwortliche angesehen werden, die der Aufsicht und Kontrolle nach Art. 28 Abs. 6 RL 95/46/EG unterliegt, wenn die Datenverarbeitung tatsächlich nicht im Gebiet der Gemeinschaft erfolgt. Dann sind vom nationalen Gericht für die Bestimmung der verantwortlichen Niederlassung zunächst die Einzelheiten der konzerninternen Entscheidungs- und Datenverarbeitungsstrukturen aufzuklären.
40 bb) Die Vorlagefrage zu 4. richtet sich auf die Zuständigkeitsverteilung zwischen den Datenschutzkontrollbehörden in Fällen, in denen ein Mutterkonzern (hier: Facebook Inc., USA) im Unionsgebiet mehrere Niederlassungen unterhält, die aber unterschiedliche Aufgaben haben. In seinem Urteil vom 13. Mai 2014 (EuGH, Urteil vom 13. Mai 2014 - C-131/12 -) hat der Gerichtshof der Europäischen Union Art. 4 Abs. 1 Buchst. a) RL 95/46/EG dahin ausgelegt, dass im Sinne dieser Bestimmung eine Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung ausgeführt wird, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet eines Mitgliedstaates besitzt, wenn der die Verarbeitung Durchführende in einem Mitgliedstaat für die Förderung des Verkaufs der Werbeflächen für sein Datenverarbeitungsangebot und diesen Verkauf selbst eine Zweigniederlassung oder Tochtergesellschaft gründet, deren Tätigkeit auf die Einwohner dieses Staates ausgerichtet ist. Klärungsbedürftig ist, ob diese Anknüpfung an eine (allein) für Marketing und Vertrieb zuständige Niederlassung in einem Mitgliedstaat (hier: Deutschland) für die Anwendbarkeit der Datenschutzrichtlinie und die Zuständigkeit der Kontrollbehörde auch auf eine Konstellation übertragbar ist, bei der eine in einem anderen Mitgliedstaat (hier: Irland) niedergelassenen Tochtergesellschaft nach der konzerninternen Aufgaben- und Verantwortungsteilung auch im Außenverhältnis als im gesamten Unionsgebiet "für die Verarbeitung Verantwortlicher" auftritt. Insoweit keine Klärung bewirkt aus Sicht des vorlegenden Gerichts das Urteil des Gerichtshofs vom 1. Oktober 2015 (EuGH, Urteil vom 1. Oktober 2015 - C-230/14 [ECLI:EU:C:2015:639], Weltimmo -); dort war nicht die Konstellation zweier rechtlich selbständiger Tochtergesellschaften, denen konzernintern unterschiedliche sachliche und regionale Aufgaben zugewiesen waren, einer außerhalb des Unionsgebiets ansässigen Muttergesellschaft zu beurteilen. Bei der vorliegend in Rede stehenden Konstellation kommt es auf die Reichweite der Kontroll- und Aufsichtsbefugnisse in Deutschland gelegener Kontrollstellen, die an die für Werbung und Marketing zuständige Niederlassung Facebook Germany GmbH anknüpfen, nicht zuletzt wegen der Auswahl des Adressaten einer Maßnahme nach Art. 28 Abs. 3 RL 95/46/EG (bzw. § 38 Abs. 5 BDSG) an. Ein Vorgehen gegen die Klägerin könnte dann - unabhängig von der Beurteilung der Rechtmäßigkeit der Datenverarbeitung durch Facebook - ermessens- und daher rechtswidrig sein, wenn die von der Kontrollbehörde angenommenen Verstöße gegen das Datenschutzrecht durch ein Vorgehen direkt gegen die in Deutschland gelegene Niederlassung Facebook Germany beseitigt werden könnten.
41 cc) Zwischen den Beteiligten steht im Streit, ob bzw. in welchem Umfang die Verarbeitung von Daten der Nutzer der Fanpage der Klägerin durch Facebook gegen (deutsches oder irisches) Datenschutzrecht verstößt. Die Klägerin und die Beigeladene machen geltend, dass die für die Beigeladene zuständige Datenschutzkontrollbehörde, der irische Data Protection Commissioner, die Datenverarbeitung durch die Beigeladene insgesamt und insbesondere auch die von dem Beklagten beanstandeten Funktionen bei der Erhebung und Verarbeitung der Daten von Fanpage-Nutzern intensiv geprüft und nicht beanstandet habe. Der Beklagte vertritt eine hiervon abweichende rechtliche Beurteilung und sieht sich an die Feststellungen und Bewertungen des Data Protection Commissioner nicht gebunden. Die Vorlagefrage zu 5. zielt auf die Klärung, ob/in welchem Umfange eine solche eigenständige rechtliche Beurteilung als Vorfrage vorgenommen werden darf.
42 Die Ausführungen im Urteil des Gerichtshofs vom 1. Oktober 2015 (EuGH, Urteil vom 1. Oktober 2015 - C-230/14 - Rn. 51 ff.) zur Bestimmung des anzuwendenden Rechts und der zuständigen Kontrollstelle klären diese Frage nicht. Aus Art. 28 Abs. 1 und 3 RL 95/46/EG ergibt sich, dass jede Kontrollstelle sämtliche Befugnisse ausübt, die ihr im Hoheitsgebiet ihres Mitgliedstaates übertragen wurden, um in diesem Hoheitsgebiet die Einhaltung der Datenschutzvorschriften sicherzustellen; eine Kontrollstelle darf keine Sanktionen außerhalb des Hoheitsgebiets ihres Mitgliedstaates verhängen und auch sonst nicht hoheitliche Maßnahmen jenseits ihrer territorialen Zuständigkeit ergreifen. Gegenstand des Ausgangsverfahrens ist indes eine Anordnung gegenüber einer im eigenen Hoheitsgebiet gelegenen Stelle, bei der die Rechtmäßigkeit der Datenverarbeitung durch die Beigeladene nur eine Vorfrage bildet. Ein hoheitliches Vorgehen gegen die Beigeladene ist hiermit gerade nicht verbunden.
43 Nach Art. 28 Abs. 6 RL 95/46/EG ist jede Kontrollstelle im Hoheitsgebiet ihres Mitgliedstaates für die Ausübung der ihr gemäß Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse zuständig, unabhängig vom anwendbaren einzelstaatlichen Recht. Dies stellt indes nicht zweifelsfrei klar, dass die jeweils zuständige Kontrollbehörde zur umfassenden selbständigen Prüfung und Beurteilung der Datenschutzkonformität der Datenverarbeitung durch eine in einem Mitgliedstaat niedergelassene Stelle befugt ist. Allerdings ordnen die Art. 28 ff. RL 95/46/EG eine vorrangige oder gar ausschließliche Prüfungs- und Bewertungskompetenz allein der für den Sitz der verantwortlichen Niederlassung nicht ausdrücklich an; auch ist eine rechtliche Bindung an die rechtliche Bewertung der für die Niederlassung zuständigen Kontrollbehörde eines anderen Mitgliedstaates nicht vorgeschrieben und bewirkte eine problematische Wirkung ihrer Tätigkeit über ihren territorialen Zuständigkeitsbereich hinaus. Die sogenannte Artikel-29-Datenschutzgruppe hat zwar u.a. zur Aufgabe, zu einer einheitlichen Anwendung der Datenschutzrichtlinie beizutragen (Art. 30 Abs. 1 Buchst. a) RL 95/46/EG); sie hat aber keine Kompetenz zur verbindlichen Entscheidung divergierender rechtlicher Bewertungen verschiedener nationaler Kontrollbehörden. All dies kann dafür sprechen, dass jede Kontrollstelle ohne Bindung an die Bewertungen der für die jeweilige Niederlassung zuständigen Kontrollbehörde eines anderen Mitgliedstaates die Vereinbarkeit einer Datenverarbeitung mit dem Datenschutzrecht prüfen und bewerten kann, soweit dies als Vorfrage für ein Handeln in eigener Zuständigkeit erheblich ist.
44 dd) Für den Fall, dass der Kontrollstelle, die im Rahmen ihrer Zuständigkeit tätig wird, eine selbständige Überprüfung der Datenverarbeitung einer in einem anderen Mitgliedstaat gelegenen Niederlassung eröffnet ist, ist zu Art. 28 Abs. 6 Satz 2 RL 95/46/EG zu klären, ob die dort jeder Kontrollstelle eröffnete Möglichkeit, die Kontrollstelle eines anderen Mitgliedstaates um die Ausübung ihrer Befugnisse zu ersuchen, eine Pflicht umfassen kann, von dieser Möglichkeit auch Gebrauch zu machen. Die Vorlagefrage zu 6. wirft diese Frage deswegen auf, weil der Beklagte zwar im Rahmen seiner Anordnung gegen die Klägerin mit seiner eigenständigen Bewertung der Vorfrage der Datenschutzkonformität der Verarbeitung durch die Beigeladene von der Beurteilung des irischen Data Protection Commissioner abweicht, diesen aber nicht förmlich um die Ausübung seiner Befugnisse gegenüber der Beigeladenen ersucht hat. Eine Anordnung gegen die Klägerin wegen Nichtbeachtung ihrer Auswahlverantwortlichkeit, die an Datenschutzverstöße der Beigeladenen anknüpft, wäre jedenfalls dann ermessenswidrig, wenn aus Art. 28 Abs. 6 Satz 2 RL 95/46/EG eine unbedingte, umfassende Pflicht, den irischen Data Protection Commissioner um die Ausübung seiner Befugnisse zu ersuchen, jedenfalls dann folgte, wenn von dessen Bewertung der Datenschutzkonformität der Datenverarbeitung durch die Beigeladenen abgewichen werden soll.
Urteil vom 11.09.2019 -
BVerwG 6 C 15.18ECLI:DE:BVerwG:2019:110919U6C15.18.0
datenschutzrechtliche Deaktivierungsanordnung gegen Facebook-Fanpagebetreiber
Leitsätze:
1. Der Betreiber einer Fanpage im sozialen Netzwerk Facebook ist für die bei Aufruf dieser Seite ablaufenden Datenverarbeitungsvorgänge verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG a.F. und damit potentieller Adressat einer Anordnung nach § 38 Abs. 5 BDSG a.F.
2. Für die Ausübung der Eingriffsbefugnisse des § 38 Abs. 5 BDSG a.F. bedarf es im Falle mehrerer gemeinsam für die Datenverarbeitung Verantwortlicher einer Ermessensausübung im Hinblick auf die Auswahl des Adressaten.
3. Auch im Bereich des Datenschutzes kann es das Gebot einer effektiven und wirkungsvollen Gefahrenabwehr rechtfertigen, denjenigen Verantwortlichen heranzuziehen, dessen Pflichtigkeit sich ohne weiteres bejahen lässt und dem effektive Mittel zum Abstellen des Verstoßes zur Verfügung stehen.
-
Rechtsquellen
BDSG § 1 Abs. 5, § 3 Abs. 7, § 38 Abs. 5 Richtlinie 95/46/EG Art. 4 Abs. 1 Buchst. a, Art. 2 Buchst. d, Art. 28 Abs. 3 und 6 TMG § 3 Abs. 3 Nr. 4, § 13 Abs. 1 Satz 1, § 15 Abs. 3 Satz 1 und 2 AEUV Art. 267 -
Instanzenzug
VG Schleswig - 09.10.2013 - AZ: VG 8 A 14/12
OVG Schleswig - 04.09.2014 - AZ: OVG 4 LB 20/13
-
Zitiervorschlag
BVerwG, Urteil vom 11.09.2019 - 6 C 15.18 - [ECLI:DE:BVerwG:2019:110919U6C15.18.0]
Urteil
BVerwG 6 C 15.18
- VG Schleswig - 09.10.2013 - AZ: VG 8 A 14/12
- OVG Schleswig - 04.09.2014 - AZ: OVG 4 LB 20/13
In der Verwaltungsstreitsache hat der 6. Senat des Bundesverwaltungsgerichts
auf die mündliche Verhandlung vom 11. September 2019
durch den Vorsitzenden Richter am Bundesverwaltungsgericht Prof. Dr. Kraft, die Richter am Bundesverwaltungsgericht Dr. Heitz, Hahn, Dr. Tegethoff und die Richterin am Bundesverwaltungsgericht Steiner
für Recht erkannt:
- Auf die Revision des Beklagten wird das Urteil des Schleswig-Holsteinischen Oberverwaltungsgerichts vom 4. September 2014 aufgehoben.
- Die Sache wird zur anderweitigen Verhandlung und Entscheidung an das Oberverwaltungsgericht zurückverwiesen.
- Die Entscheidung über die Kosten bleibt der Schlussentscheidung vorbehalten.
Gründe
I
1 Die Klägerin ist eine in der Form einer GmbH betriebene gemeinnützige Bildungseinrichtung, die von den Industrie- und Handelskammern in Schleswig-Holstein getragen wird. Sie wendet sich gegen eine datenschutzrechtliche Anordnung, mit der sie verpflichtet wird, ihre unter der Adresse "https://www.facebook.com/wirtschaftsakademie" unterhaltene Facebook-Seite (sog. Fanpage) zu deaktivieren.
2 Die Klägerin betreibt im Sozialen Netzwerk Facebook einen speziellen Nutzeraccount in Form einer Fanpage, auf dem sie sich als Bildungseinrichtung präsentiert und ihr Bildungsangebot bewirbt. Nach Anhörung der Klägerin ordnete der Beklagte mit Bescheid vom 3. November 2011 die Deaktivierung dieser Fanpage an und drohte widrigenfalls ein Zwangsgeld an. Er beanstandete, dass Facebook bei Aufruf der Fanpage Cookies setze, die zu einer Verarbeitung personenbezogener Daten der Nutzer und zur Erstellung von Nutzungsprofilen für Zwecke der Werbung oder Marktforschung führten. Die Klägerin unterrichte die Nutzer nicht über Art, Umfang und Zwecke der Datenerhebung sowie das Bestehen eines Widerspruchsrechts gegen die Erstellung eines Nutzungsprofils. Zudem biete sie keine Möglichkeit, dieses Widerspruchsrecht auszuüben. Facebook generiere aus den Nutzerdaten eine anonymisierte statistische Zusammenstellung, die über die Funktion "Facebook Insights" vom Fanpagebetreiber zur Analyse des Nutzerverhaltens abgerufen werden könne. Die Klägerin sei für die von Facebook veranlassten Datenverarbeitungsvorgänge datenschutzrechtlich verantwortlich, weil sie mit dem Betrieb der Fanpage Facebook den Zugriff auf die Daten der Nutzer eröffne und ihrerseits von den Vorteilen der unentgeltlichen zur Verfügung gestellten Infrastruktur profitiere. Da Facebook in den bisherigen Gesprächen keine Lösung angeboten habe und die Klägerin selbst mangels Einwirkungsmöglichkeiten auf die digitale Infrastruktur von Facebook keine rechtskonforme Nutzung anbieten könne, komme nur die Anordnung der Deaktivierung der Fanpage in Betracht.
3 Nach erfolgloser Durchführung eines Widerspruchsverfahrens erhob die Klägerin Klage gegen den Bescheid in Form des Widerspruchsbescheids vom 16. Dezember 2011. Sie machte im Wesentlichen geltend, sie sei lediglich Nutzerin des sozialen Netzwerks und an dessen Infrastruktur gebunden. Sie trage keine Verantwortung für die von Facebook durchgeführten Datenverarbeitungen. Im Übrigen hätten Facebooknutzer im Rahmen ihrer Registrierung und der Annahme der Facebook-Nutzungsbedingungen in die Datenverarbeitungen eingewilligt. Nutzer, die keine Facebookmitglieder seien, könnten sich über einen Link am Ende der Fanpage über die Nutzungsbedingungen informieren. Die bloße Übertragung der Internetprotokolladresse stelle kein personenbezogenes Datum dar.
4 Das Verwaltungsgericht lud die Facebook Ireland Ltd. mit Sitz in Dublin, Irland, zum Verfahren bei.
5 Mit Urteil vom 9. Oktober 2013 hob das Verwaltungsgericht den angefochtenen Bescheid in Gestalt des Widerspruchsbescheids auf. Die Klägerin sei keine verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG a.F., weil sie die Nutzerdaten weder selbst verarbeite noch die Beigeladene als Auftragsdatenverarbeiterin einsetze. Sie entscheide auch nicht gemeinsam mit Facebook über die Zwecke und Mittel der Datenverarbeitung. Die für eine Anwendung des § 38 Abs. 5 BDSG a.F. erforderliche datenschutzrechtliche Verantwortlichkeit könne nicht durch einen Rückgriff auf die Zurechnungsnormen des Privatrechts oder des allgemeinen Polizei- und Ordnungsrechts ausgeweitet werden.
6 Die dagegen erhobene Berufung des Beklagten hat das Oberverwaltungsgericht mit Urteil vom 4. September 2014 zurückgewiesen. Es hat die Rechtsauffassung des Verwaltungsgerichts bestätigt, dass mangels Kontroll- und Einflussmöglichkeit keine datenschutzrechtliche (Mit-)Verantwortlichkeit der Klägerin aus § 3 Abs. 7 BDSG a.F., Art. 2 Buchst. d der Richtlinie 95/46/EG (Datenschutzrichtlinie) für die vorliegend beanstandeten Datenverarbeitungsvorgänge begründet werden könne. Die Klägerin könne daher nicht Adressatin einer Verfügung nach § 38 Abs. 5 BDSG a.F. sein. Das Berufungsurteil hat zudem darauf abgestellt, dass die Deaktivierungsanordnung einer Untersagung der Datenverarbeitung nach § 38 Abs. 5 Satz 2 BDSG a.F. gleichkomme. Eine vollständige Untersagung setze voraus, dass zunächst im Rahmen eines abgestuften Verfahrens Maßnahmen zur Beseitigung festgestellter Verstöße nach § 38 Abs. 5 Satz 1 BDSG a.F. gefordert worden seien. Eine Ausnahme komme nur in Betracht, wenn ein Datenverarbeitungsverfahren in seiner Gesamtheit unzulässig und nur durch Einstellung beseitigt werden könne, also die Einhaltung des abgestuften Verfahrens objektiv sinn- und zwecklos erscheine. Dies sei vorliegend nicht der Fall. Denn die vom Beklagten behaupteten Verstöße könnten von Facebook ohne weiteres und wesentlich effektiver beseitigt werden. Auch für den Fall, dass der Beklagte nicht die für Facebook zuständige Kontrollstelle sei, dürfe er nicht anstelle von Facebook und abweichend vom vorgeschriebenen Verfahren einen Dritten im Sinne des Art. 2 Buchst. f der Datenschutzrichtlinie belangen. Vor diesem Hintergrund hat das Berufungsurteil offengelassen, ob die beanstandeten Vorgänge gegen deutsches oder irisches Datenschutzrecht verstießen.
7 Mit seiner vom Oberverwaltungsgericht zugelassenen Revision begehrt der Beklagte die Aufhebung der Urteile der Vorinstanzen und die Abweisung der Klage. Er rügt im Wesentlichen eine Verletzung der § 3 Abs. 7, § 38 Abs. 5 BDSG a.F. sowie von Art. 2 Buchst. d der Datenschutzrichtlinie. Das im Berufungsurteil zum Ausdruck kommende Verständnis der datenschutzrechtlichen Verantwortlichkeit erweise sich als zu eng und beruhe auf einem unzureichenden Verständnis des Geschäftsmodells des Sozialen Netzwerks Facebook und der wechselseitigen geschäftlichen Interessen der Klägerin und der Beigeladenen. Als Adressat einer datenschutzrechtlichen Anordnung komme auch in Betracht, wer sich aus Eigeninteresse die digitale Infrastruktur eines Anbieters zunutze mache, obwohl diese den Anforderungen des Datenschutzrechts nicht genüge. Das Berufungsurteil verkenne, dass die Klägerin als Trägerin eines öffentlich-rechtlichen Bildungsauftrags in besonderem Maße zur Wahrung der datenschutzrechtlichen Belange ihrer Nutzer verpflichtet sei.
8 Die Klägerin verteidigt die angegriffenen Urteile und beantragt, die Revision zurückzuweisen. Der Charakter der von ihr wahrgenommenen Bildungsaufgaben führe nicht zu einer abweichenden Bewertung ihrer datenschutzrechtlichen Verantwortlichkeit. Diese scheitere bereits an den fehlenden Einwirkungsmöglichkeiten auf die von Facebook vorgegebene und im Übrigen datenschutzrechtlich unbedenkliche Infrastruktur. Die von Facebook durchgeführten Verarbeitungsvorgänge könnten der Klägerin auch sonst unter keinem rechtlichen Gesichtspunkt zugerechnet werden. Der Beklagte habe ermessensfehlerfrei nur gegen Facebook vorgehen können.
9 Auch die Beigeladene beantragt, die Revision zurückzuweisen und macht geltend, die Deaktivierungsanordnung erweise sich aus den im Berufungsurteil dargelegten Gründen als rechtswidrig. Sie selbst sei die datenschutzrechtlich Verantwortliche für das Soziale Netzwerk Facebook außerhalb Nordamerikas und betreibe es unter der Aufsicht der irischen Datenschutzbehörden im Einklang mit datenschutzrechtlichen Vorgaben. Nutzer, die mit einer Fanpage interagierten, seien durch die Datenverwendungsrichtlinien von Facebook umfassend unterrichtet und hätten in diese eingewilligt. Ein Fanpagebetreiber könne weder die Datenerhebungen noch deren Verarbeitung im Rahmen der "Facebook Insights"-Funktion beeinflussen. Die Klägerin sei daher nicht verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG a.F., Art. 2 Buchst. d der Datenschutzrichtlinie. Eine Inanspruchnahme unter Rückgriff auf eine Störerhaftung komme nicht in Betracht. Dem Beklagten stehe mit der Beigeladenen eine geeignetere Stelle zur Beseitigung etwaiger Datenschutzrechtsverstöße zur Verfügung. Dies habe sowohl im Rahmen der Stufenfolge des § 38 Abs. 5 BDSG a.F. wie auch im Rahmen des Auswahlermessens Berücksichtigung finden müssen.
10 Der damals befasste 1. Senat des Bundesverwaltungsgerichts hat das Revisionsverfahren mit Beschluss vom 25. Februar 2016 ausgesetzt und in einem Vorabentscheidungsverfahren den Gerichtshof der Europäischen Union um Auslegung mehrerer Bestimmungen der Datenschutzrichtlinie gebeten. Mit Urteil vom 5. Juni 2018 - C-210/16 - hat der Gerichtshof der Europäischen Union festgestellt, dass der Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage ein für die Verarbeitung Verantwortlicher im Sinne des Art. 2 Buchst. d der Datenschutzrichtlinie ist. Weil die amerikanische Muttergesellschaft Facebook Inc. mit Facebook Germany GmbH in Deutschland über eine dauerhafte Niederlassung verfüge und die beanstandeten Verarbeitungen in den Rahmen der Tätigkeiten dieser Niederlassung fielen, sei deutsches Datenschutzrecht anwendbar. Die nationale Kontrollstelle sei zur Ausübung ihrer Hoheitsbefugnisse gegenüber einer in ihrem Hoheitsgebiet gelegenen Niederlassung eines außerhalb der europäischen Union sitzenden Unternehmens auch dann befugt, wenn die Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliege. Die nationale Datenschutzbehörde sei für ein Tätigwerden im Rahmen ihrer Zuständigkeit nicht an die rechtliche Bewertung einer Datenverarbeitung durch die Kontrollstelle eines anderen Mitgliedstaats gebunden.
11 Im Anschluss an das Urteil des Gerichtshofs der Europäischen Union haben die Beteiligten ergänzend vorgetragen. Der Beklagte erachtet die Frage der datenschutzrechtlichen Verantwortlichkeit der Klägerin für verbindlich geklärt. Leitend für die Einstufung der Klägerin als für die Verarbeitung Verantwortliche sei, dass sich der Betreiber einer Internetseite nicht seinen datenschutzrechtlichen Pflichten entziehen könne, indem er eine von Facebook vorgefertigte Plattform nutze und sich deren Allgemeinen Geschäftsbedingungen unterwerfe. Das Berufungsurteil erweise sich auch nicht aus anderen Gründen als richtig. Der Gerichtshof der Europäischen Union habe bestätigt, dass keine Priorität der irischen Datenschutzaufsicht bestehe. Weder sei der Beklagte an deren Einschätzung der Rechtmäßigkeit der Datenverarbeitung durch die Beigeladene gebunden, noch müsse er zunächst um ein Einschreiten gegen die Beigeladene ersuchen. Er sei auch weder nach deutschem noch nach europäischem Recht gehalten gewesen, vorrangig gegen Facebook Germany GmbH einzuschreiten. Ein Rückgriff auf die allgemeinen ordnungsrechtlichen Grundsätze der Störerauswahl komme infolge der umfassenden Harmonisierung des Datenschutzrechts durch die Datenschutzrichtlinie nicht in Betracht. Ein Verständnis, nach dem der Beklagte seine Befugnisse nur ausüben dürfe, wenn sich zuvor alle auch nur entfernt in Betracht kommenden Alternativen als vollständig nutzlos erwiesen hätten, wäre mit dem Ziel einer effektiven Durchsetzung des europäischen Rechts nicht vereinbar. Das europäische Recht fordere kein vorrangiges Vorgehen gegen einen in einem höheren Grad Verantwortlichen. Vielmehr belege das Urteil des Gerichtshofs der Europäischen Union vom 29. Juli 2019 - C-40/17, Fashion-ID -, dass die Klägerin im Hinblick auf die bei Aufruf der Seite eintretenden Rechtsverstöße originäre und alleinige Störerin sei. Ohnehin fehle dem Beklagten eine Verbandskompetenz für ein Einschreiten gegen Facebook Germany GmbH mit Sitz in Hamburg. Das Vorgehen erweise sich auch als verhältnismäßig. Dem Beklagten stehe kein milderes und zugleich effektives Mittel zur Verfügung. Insbesondere sei er nicht darauf verwiesen, ein Vorgehen des hamburgischen Datenschutzbeauftragten abzuwarten.
12 Die Klägerin macht geltend, die Deaktivierungsanordnung erweise sich jedenfalls aus anderen Gründen als rechtswidrig. Ungeachtet der noch ungeklärten Frage, ob beim Betrieb der Fanpage überhaupt Verstöße gegen datenschutzrechtliche Bestimmungen vorlägen, habe der Beklagte sein Ermessen in personeller Hinsicht und unter Verstoß gegen den Grundsatz der Verhältnismäßigkeit fehlerhaft ausgeübt. Nach dem Grundsatz der effektiven Gefahrenabwehr habe vorrangig Facebook als Hauptverantwortliche zur Unterbindung der vermeintlichen Datenschutzrechtsverstöße verpflichtet werden müssen. Zudem liege eine Ermessensüberschreitung vor, weil der Beklagte die Klägerin systemlos und willkürlich aus der Vielzahl der Fanpagebetreiber herausgegriffen habe und ihr damit einen erheblichen Wettbewerbsnachteil zufüge. Jedenfalls aber sei die geforderte Deaktivierung unverhältnismäßig, weil der Beklagte mit einem Vorgehen gegen die Facebook Germany GmbH datenschutzkonforme Zustände schonender und effektiver herstellen könne. Die gemeinsame Verantwortlichkeit zwischen der Beigeladenen und der Klägerin führe auch zu einer gemeinsamen Zuständigkeit der jeweils originär zuständigen Datenschutzbehörden, so dass der Beklagte innerstaatlich zu einem Vorgehen gegen die in Hamburg ansässige Facebook Germany GmbH zuständig gewesen sei. Jedenfalls sei er im Rahmen des Auswahlermessens zur Inanspruchnahme von Amtshilfe verpflichtet gewesen. Da es für die Rechtmäßigkeit des Bescheids maßgeblich auf den Zeitpunkt der letzten Behördenentscheidung ankomme, könnte der Beklagte die damals getroffene Ermessensentscheidung nicht durch nachträglich gewonnene Erkenntnisse unterfüttern. Der Gerichtshof der Europäischen Union habe in seiner zuletzt ergangenen Entscheidung vom 29. Juli 2019 aufgezeigt, dass das Vorliegen einer gemeinsamen Verantwortlichkeit in einer Verarbeitungskette abschnittsweise zu betrachten sei.
13 Die Beigeladene trägt vor, die im bisherigen Verfahren getroffenen tatsächlichen Feststellungen böten keine geeignete Grundlage für die Bejahung einer Mitverantwortlichkeit der Klägerin nach Art. 2 Buchst. d der Datenschutzrichtlinie. Der Gerichtshof der Europäischen Union habe seiner Entscheidung fälschlicherweise zugrunde gelegt, dass die bei Einrichtung einer Fanpage erfolgende Parametrierung durch den Fanpagebetreiber einen Einfluss auf die Verarbeitung personenbezogener Daten durch sie habe, was tatsächlich nicht der Fall sei. Es fehlten im Übrigen auch Feststellungen dazu, ob die Klägerin von diesen Funktionalitäten Gebrauch gemacht habe. Angesichts dieser gravierenden Diskrepanz könne die Frage einer datenschutzrechtlichen Verantwortlichkeit der Klägerin nicht als verbindlich geklärt behandelt werden. Im Übrigen ergebe sich die Rechtswidrigkeit des Bescheids aus dem Umstand, dass der Beklagte das in § 38 Abs. 5 BDSG a.F. vorgesehene zweistufige Verfahren nicht eingehalten und sich fälschlicherweise auf Satz 1 der Ermächtigungsgrundlage gestützt habe. Auch leide die Anordnung unter Ermessensfehlern. Der Beklagte verkenne die Bedeutung des unterschiedlichen Grades der Verantwortlichkeit für das Auswahlermessen und die Verhältnismäßigkeit. Jedenfalls habe ein Vorgehen gegen die Facebook Germany GmbH oder gegen sie selbst Vorrang vor einer Inanspruchnahme der Klägerin. Die Unverhältnismäßigkeit des Vorgehens werde noch dadurch verstärkt, dass die Nutzer mit der Einführung eines "Cookie-Banners" mittlerweile über die Datenerhebungen informiert würden, so dass die Klägerin in absehbarer Zeit die Einzige sei, die ihre Fanpage deaktivieren müsse. Für den Beklagten sei eine Inanspruchnahme der Facebook Germany GmbH auch rechtlich möglich, weil seine Zuständigkeit an die Betroffenheit einer in Schleswig-Holstein wohnenden natürlichen Person anknüpfe. Andernfalls habe der Beklagte vorrangig die Amtshilfe anderer Kontrollstellen einfordern müssen. Im Übrigen seien die beanstandeten Datenverarbeitungen rechtskonform.
14 Der Vertreter des Bundesinteresses beim Bundesverwaltungsgericht verweist auf die mittlerweile in Kraft getretene Datenschutzgrundverordnung und den dort unverändert übernommenen Begriff des für die Datenverarbeitung Verantwortlichen. Die für den Rechtsstreit zentrale Frage einer datenschutzrechtlichen Verantwortlichkeit der Klägerin sei durch den Gerichtshof der Europäischen Union abschließend entschieden. Zugleich sei geklärt, dass es vorliegend für die Zuständigkeit des Beklagten unschädlich sei, dass nach der konzerninternen Aufgabenverteilung bei Facebook die Erhebung und Verarbeitung der Daten außerhalb des Zuständigkeitsbereichs des Beklagten erfolge. Schließlich belege das Urteil auch, dass der Beklagte vor Ausübung seiner Kontrollbefugnisse keine Abstimmung mit den irischen Datenaufsichtsbehörden habe vornehmen müssen.
II
15 Die zulässige Revision des Beklagten ist mit der Maßgabe begründet, dass das Berufungsurteil aufzuheben und die Sache an das Oberverwaltungsgericht zurückzuverweisen ist. Das Berufungsurteil beruht auf einer Verletzung revisiblen Rechts im Sinne des § 137 Abs. 1 Nr. 1 VwGO, soweit es § 38 Abs. 5 Satz 1 und 2 des Bundesdatenschutzgesetzes (BDSG) vom 20. Dezember 1990 (BGBl. I S. 2954) i.d.F. der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), für den hier maßgeblichen Zeitraum zuletzt geändert durch Art. 1 des Gesetzes zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009 (BGBl. I S. 2814) - BDSG a.F. - entnimmt, dass für das dort vorgegebene gestufte Vorgehen unterschiedliche Adressaten in die Betrachtung einzubeziehen sind (1). Mit Bundesrecht unvereinbar ist nach den bindenden Vorgaben des Gerichtshofs der Europäischen Union (EuGH) auch der Maßstab, mit dem das Berufungsurteil die datenschutzrechtliche Verantwortlichkeit der Klägerin nach § 3 Abs. 7 BDSG a.F., Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 S. 31, ber. 2017 L 40 S. 78) - Datenschutzrichtlinie - beurteilt hat (2). Das Berufungsurteil erweist sich auch nicht aus anderen Gründen im Ergebnis als richtig (§ 144 Abs. 4 VwGO). Der Beklagte hat auf die streitigen Datenverarbeitungen zu Recht deutsches Datenschutzrecht angewandt (3) und sein Ermessen bei der Auswahl der Klägerin als Adressatin des Bescheids und bei der Anordnung einer Deaktivierung der Fanpage rechtmäßig ausgeübt (4). Da die Feststellungen des Berufungsgerichts nicht ausreichen, um die Rechtmäßigkeit der Datenverarbeitungsvorgänge zu beurteilen, war das Berufungsurteil aufzuheben und die Sache zur anderweitigen Verhandlung und Entscheidung an das Berufungsgericht zurückzuverweisen (§ 144 Abs. 3 Satz 1 Nr. 2 VwGO) (5).
16 1. Das Berufungsgericht hat seiner Beurteilung zutreffend die Sach- und Rechtslage im Zeitpunkt der letzten Verwaltungsentscheidung, hier des Widerspruchsbescheids vom 16. Dezember 2011, zugrunde gelegt. Die Rechtmäßigkeit von Anordnungen zur Beseitigung datenschutzrechtlicher Verstöße nach § 38 Abs. 5 BDSG a.F. ist nach der Rechtslage zu beurteilen, die zum Zeitpunkt der letzten behördlichen Entscheidung gilt. Nachträgliche Rechtsänderungen sind nicht zu berücksichtigen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1 C 28.14 [ECLI:DE:BVerwG:2016:250216B1C28.14.0] - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 17; vgl. dazu auch Urteil vom 27. März 2019 - 6 C 2.18 [ECLI:DE:BVerwG:2019:270319U6C2.18.0] - NJW 2019, 2556 Rn. 7).
17 Auch ist die an die Klägerin gerichtete Anordnung, ihre Fanpage zu deaktivieren, nach dem Eingriffsgewicht nicht als Mängelbeseitigung im Sinne des § 38 Abs. 5 Satz 1 BDSG a.F., sondern als Untersagung des Einsatzes eines Verfahrens nach § 38 Abs. 5 Satz 2 BDSG a.F. zu werten. Deshalb ist sie zusätzlich zu den Voraussetzungen des Satzes 1 den gesteigerten Anforderungen des Satzes 2 der Vorschrift zu unterwerfen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1 C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 22). Dem Umstand, dass der angefochtene Bescheid in der Titelzeile auf Satz 1 dieser Bestimmung Bezug nimmt, hat das Berufungsgericht zu Recht keine Bedeutung beigemessen. Der Bescheid ist im verfügenden Teil ausdrücklich auf die Norm des § 38 Abs. 5 BDSG a.F. gestützt und rekurriert auf die Satz 1 und 2 umfassende Befugnisnorm. Der Bescheid wählt daher entgegen dem Vorbringen der Beigeladenen weder eine unzutreffende Rechtsgrundlage noch bedarf es eines Austausches der Rechtsgrundlage oder einer Umdeutung.
18 § 38 Abs. 5 Satz 1 und 2 BDSG a.F. verlangt nach seinem Wortlaut ein gestuftes Vorgehen der Aufsichtsbehörden. Er verpflichtet sie, zunächst die Beseitigung datenschutzrechtlicher Verstöße oder Mängel anzuordnen und dies erforderlichenfalls durch die Verhängung eines Zwangsgelds durchzusetzen. Erst wenn diese Instrumente nicht in angemessener Zeit zur Herstellung datenschutzkonformer Zustände führen, kann die Aufsichtsbehörde die Untersagung einer Datenverarbeitung oder eines Datenverarbeitungsverfahrens aussprechen. Damit erweist sich die Normstruktur des § 38 Abs. 5 Satz 1 und 2 BDSG a.F. als eine ausdrückliche Ausprägung des Grundsatzes der Verhältnismäßigkeit. Eben dieser Grundsatz gebietet aber dann eine Ausnahme, wenn die fehlende Eignung einer Anordnung nach Satz 1 zur Herstellung datenschutzkonformer Zustände bereits feststeht (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1 C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 22). Das Datenschutzrecht zwingt die Aufsichtsbehörden nicht zu einem objektiv sinn- und zwecklosen Vorgehen.
19 Allerdings erweist sich die Rechtsauffassung des Berufungsgerichts insoweit als unzutreffend, als es auch die Frage der Adressatenauswahl in die Stufenfolge des § 38 Abs. 5 Satz 1 und 2 BDSG a.F. einbezieht. Die Ermächtigungsgrundlage des § 38 Abs. 5 BDSG a.F. ist zwar adressatenoffen ausgestaltet, sie steuert mit der Vorgabe eines stufenweisen Einschreitens aber nicht die Auswahl zwischen verschiedenen nach dem materiellen Recht Pflichtigen. Weder kann die Aufsichtsbehörde bei einem Vorgehen nach § 38 Abs. 5 Satz 2 BDSG a.F. auf ein erfolgloses Einschreiten nach Satz 1 gegenüber einem Dritten verweisen, noch muss sie, soweit ein gestuftes Vorgehen ausnahmsweise entbehrlich ist, zunächst gegenüber anderen oder gar sämtlichen Normadressaten Maßnahmen nach § 38 Abs. 5 Satz 1 BDSG a.F. ergreifen. Die ermessensgerechte Adressatenauswahl ist vielmehr der Frage, welche Maßnahme nach der Stufenfolge des § 38 Abs. 5 BDSG a.F. angeordnet werden kann, vorgelagert.
20 2. Mit dem revisiblen Recht im Sinne des § 137 Abs. 1 Nr. 1 VwGO nicht im Einklang steht die Auslegung des Begriffs der verantwortlichen Stelle im Sinne von § 3 Abs. 7 BDSG a.F. durch das Berufungsgericht. Er ist unionsrechtskonform dahingehend zu verstehen, dass er auch Stellen erfasst, die anderen die Gelegenheit der Datenverarbeitung einräumen, ohne selbst damit befasst zu sein.
21 a. Der EuGH hat in seinem in der vorliegenden Sache ergangenen Urteil vom 5. Juni 2018 - C-210/16 [ECLI:EU:C:2018:388] - JZ 2018, 1154 Rn. 44 rechtskräftig festgestellt, dass der Begriff des für die Verarbeitung Verantwortlichen in Art. 2 Buchst. d der Datenschutzrichtlinie den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst. Im Lichte des Ziels der Datenschutzrichtlinie, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre, bei der Verarbeitung personenbezogener Daten zu gewährleisten, ist der Begriff des für die Verarbeitung Verantwortlichen in Art. 2 Buchst. d der Datenschutzrichtlinie weit definiert als natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 27). Der EuGH stützt sich maßgeblich auf die Erwägung, dass der Betreiber einer auf Facebook unterhaltenen Fanpage mit der Einrichtung einer solchen Seite Facebook die Möglichkeit gibt, auf dem Computer oder jedem anderen Gerät der Person, die seine Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Konto verfügt (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 35). Damit leistet der Betreiber einen maßgeblichen Beitrag zur Verarbeitung personenbezogener Daten der Besucher der Fanpage (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 36). Hinzu kommt, dass die von Facebook aus den Daten erstellten anonymen Besucherstatistiken dem Betreiber ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 37). Für die Bejahung einer datenschutzrechtlichen Verantwortlichkeit ist nicht erforderlich, dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 38). Daher ist der Betreiber einer Fanpage an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt und ein für diese Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Datenschutzrichtlinie (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 39). Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 40).
22 Eine erneute Vorlage an den EuGH wegen der Reichweite der datenschutzrechtlichen Verantwortlichkeit kommt nicht in Betracht. Denn das Bundesverwaltungsgericht ist als vorlegendes Gericht bei der Entscheidung des Rechtsstreits an die Auslegung des Unionsrechts durch den EuGH im Vorabentscheidungsverfahren gebunden (stRspr vgl. EuGH, Beschluss vom 5. März 1986 - C-69/85 [ECLI:EU:C:1986:104], Wünsche - Rn. 13). Weder das Bundesverwaltungsgericht noch das Oberverwaltungsgericht als weitere zur Entscheidung berufene Gerichte des Instanzenzugs sind befugt, von der Antwort der entschiedenen Frage in ihren Entscheidungen abzuweichen (Rennert, in: Eyermann, VwGO, 15. Aufl. 2019, § 94 Rn. 27; Ehricke, in: Streinz, EUV/AEUV, 3. Aufl. 2018, Art. 267 AEUV Rn. 68). Das Vorbringen der Beigeladenen, das Urteil des EuGH beruhe auf einem unzutreffenden Sachverhalt, ist schon aus diesem Grund unerheblich. Auch das Vorbringen der Klägerin im Nachgang zum Urteil des EuGH vom 29. Juli 2019 - C-40/17 [ECLI:EU:C:2019:629], Fashion ID -, es müsse eine isolierte Betrachtung der Verantwortlichkeit für nachgelagerte Verarbeitungsschritte stattfinden, ist mit der dargestellten Rechtsprechung des EuGH nicht in Einklang zu bringen.
23 b. Aufgrund des Anwendungsvorrangs des Unionsrechts ist der Begriff der verantwortlichen Stelle im Sinne von § 3 Abs. 7 BDSG a.F. unionsrechtskonform entsprechend der Vorgabe des Art. 2 Buchst. d der Datenschutzrichtlinie auszulegen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1 C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 27; vgl. zur Notwendigkeit einer europarechtskonformen Auslegung auch Petri, in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 4 Nr. 7 Rn. 20; Hartung, in: Kühling/Buchner, DSGVO/BSDG, 2. Aufl. 2018, DSGVO Art. 4 Nr. 7 Rn. 3). Die Klägerin ist daher als Betreiberin ihrer bei Facebook unterhaltenen Fanpage verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG a.F. und damit mögliche Adressatin einer auf § 38 Abs. 5 BDSG a.F. gestützten Anordnung. Die personale Reichweite der Eingriffsbefugnis folgt hier der materiellrechtlichen Pflichtigkeit (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1 C 28.14 - a.a.O. Rn. 22).
24 3. Das Berufungsurteil kann auch nicht deshalb Bestand haben, weil es sich aus anderen Gründen als richtig erweist (§ 144 Abs. 4 VwGO). Der Beklagte hat auf die beanstandeten Datenverarbeitungsvorgänge durch Facebook zu Recht deutsches Datenschutzrecht, insbesondere die § 13 Abs. 1 Satz 1, § 15 Abs. 3 Satz 1 und 2 des Telemediengesetzes (TMG) in der Fassung des Art. 1 des Gesetzes zur Vereinheitlichung von Vorschriften über bestimmte elektronische Informations- und Kommunikationsdienste vom 26. Februar 2007 (BGBl. I S. 179), für den hier maßgeblichen Zeitraum zuletzt geändert durch das Erste Gesetz zur Änderung des Telemediengesetzes vom 31. Mai 2010 (BGBl. I S. 692) - TMG a.F. - angewandt.
25 a. Nach Art. 4 Abs. 1 Buchst. a Satz 1 Datenschutzrichtlinie wendet jeder Mitgliedstaat die zur Umsetzung dieser Richtlinie erlassenen Vorschriften auf alle Datenverarbeitungen an, die im Rahmen der Tätigkeit einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet des Mitgliedstaats besitzt. Damit müssen zwei Voraussetzungen vorliegen, damit das Datenschutzrecht eines Mitgliedstaats der Europäischen Union auf eine Verarbeitung (Erhebung und Nutzung) personenbezogener Daten Anwendung findet: Erstens muss ein Verantwortlicher für die Datenverarbeitung eine Niederlassung in diesem Mitgliedstaat haben. Zweitens muss die Tätigkeit dieser Niederlassung in Verbindung mit der Datenverarbeitung stehen. Diese Verbindung setzt nicht voraus, dass die Niederlassung selbst in den Vorgang der Datenverarbeitung einbezogen ist. Vielmehr hält der EuGH unter Verweis auf die Gewährleistung eines möglichst hohen Niveaus des Datenschutzes jeden Bezug ihrer Tätigkeit zur Datenverarbeitung für ausreichend (EuGH, Urteil vom 5. Juni 2018 - C-210/16 - JZ 2018, 1154 Rn. 56 ff.). Der EuGH stellt darauf ab, ob die Tätigkeit der Niederlassung und die Datenverarbeitung Bestandteile eines Vorgangs sind, der wirtschaftlich einheitlich zu betrachten ist.
26 b. Für die vorliegend streitigen Datenverarbeitungen sind nach den bindenden Vorgaben des EuGH im Vorabentscheidungsverfahren (EuGH, Urteil vom 5. Juni 2018 - C-210/16 - JZ 2018, 1154 Rn. 54 - 62) beide Voraussetzungen des Art. 4 Abs. 1 Buchst. a der Datenschutzrichtlinie erfüllt. Die amerikanische Muttergesellschaft Facebook Inc. als gemeinsam mit der Beigeladenen für die Verarbeitung im Rahmen des Sozialen Netzwerks Facebook Verantwortliche unterhält in Irland mit der Beigeladenen und in Deutschland mit der Facebook Germany GmbH dauerhafte Niederlassungen, die effektiv und tatsächlich Tätigkeiten ausüben (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 55). Die beanstandeten Datenverarbeitungen sind auch als im Rahmen der Tätigkeit der Facebook Germany GmbH ausgeführt anzusehen, weil diese die Aufgabe hat, den Verkauf der Werbeflächen zu fördern, mit denen die von Facebook angebotenen Dienstleistungen rentabel gemacht werden sollen (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 60). Auf die bei Aufruf der Fanpage durch Facebook vorgenommenen Datenverarbeitungen ist daher materielles deutsches Datenschutzrecht anzuwenden (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 61).
27 c. Zu dem danach anwendbaren Recht zählen auch die vom Beklagten herangezogenen Vorschriften des Telemediengesetzes. Nach § 3 Abs. 3 Nr. 4 TMG a.F. bestimmt sich die Anwendbarkeit des für den Schutz personenbezogener Daten geltenden Rechts nicht nach dem für Dienstanbieter in § 3 Abs. 1 und 2 TMG a.F. geregelten Herkunftslandprinzip, sondern nach den allgemeinen Kollisionsvorschriften der Datenschutzrichtlinie und des Bundesdatenschutzgesetzes a.F. (Moos, in: Taeger/Gabel, BDSG, 2. Aufl. 2013, Einführung zum TMG Rn. 11; Jotzo, MMR 2009, 232 <234>). Daher kommen vorliegend für die streitgegenständlichen Verarbeitungsvorgänge gemäß § 1 Abs. 5 BDSG a.F., Art. 4 Abs. 1 Buchst. a Satz 2 Datenschutzrichtlinie die §§ 11 ff. TMG a.F. zur Anwendung.
28 4. Für den Fall, dass eine mit schwerwiegenden Mängeln behaftete datenschutzrechtswidrige Erhebung und Verarbeitung der Nutzerdaten vorliegt, ist die Ausübung des Ermessens im Rahmen des § 38 Abs. 5 BDSG a.F. durch den Beklagten nicht zu beanstanden (§ 114 Satz 1 VwGO).
29 a. Für die Ausübung aufsichtlicher Eingriffsbefugnisse nach § 38 Abs. 5 BDSG a.F. bedarf es im Falle mehrerer datenschutzrechtlich Verantwortlicher einer Ermessensausübung im Hinblick auf die Auswahl des Adressaten. Aus der Datenschutzrichtlinie ergibt sich nichts Abweichendes: Die nationalen Kontrollstellen haben ihre Befugnisse aus § 38 Abs. 5 BDSG a.F. ungeachtet der europarechtlichen Verankerung in Art. 28 Abs. 3 der Datenschutzrichtlinie unter Wahrung der nach dem für sie maßgeblichen nationalen Verwaltungsverfahrensrecht und der dortigen Vorgaben zum Ermessen auszuüben. Dabei haben sie ihr nationales Recht im Einklang mit der Datenschutzrichtlinie auszulegen und darauf zu achten, dass sie sich nicht auf eine Auslegung dieser Richtlinie stützen, die mit den durch die Gemeinschaftsrechtsordnung geschützten Grundrechten oder den anderen allgemeinen Grundsätzen des Gemeinschaftsrechts, wie dem Grundsatz der Verhältnismäßigkeit, kollidiert (EuGH, Urteil vom 6. November 2003 - C-101/01 [ECLI:EU:C:2003:596], Lindqvist - Rn. 87). Stehen einer nationalen Kontrollbehörde infolge einer gemeinsamen Verantwortlichkeit mehrere potentielle Adressaten für eine Abhilfemaßnahme zur Verfügung, so ist unter Beachtung des Grundsatzes der Verhältnismäßigkeit eine Ermessensentscheidung erforderlich, wenn bereits die Inanspruchnahme nur eines Adressaten den Anlass für das Einschreiten beseitigen könnte (Schreiber, ZD 2019, 55 <59> m.w.N.). Auch § 38 Abs. 5 BDSG a.F. selbst bietet keinen Ansatz dafür, dass diese Befugnisnorm im Rahmen der Ermessensausübung einen Rückgriff auf die allgemeinen Grundsätze der Störerauswahl ausschließen würde.
30 b. Der Beklagte hat sein Ermessen bei der Auswahl der Klägerin als Adressatin des Bescheids ungeachtet der Frage, ob auch ein Vorgehen gegen Unternehmen des Facebook-Konzerns rechtlich möglich gewesen wäre, rechtmäßig ausgeübt. Er hat vor Erlass des Bescheids mit Facebook erfolglos Gespräche darüber geführt, welche technischen Vorkehrungen für einen datenschutzkonformen Betrieb einer Fanpage in Betracht kämen (vgl. S. 4 des angefochtenen Bescheids). Daher hat er ein Vorgehen gegen Facebook tatsächlich in Erwägung gezogen, dann aber einer Inanspruchnahme der Klägerin aus sachlichen Gründen den Vorzug gegeben. Für die Auswahl unter mehreren datenschutzrechtlich Verantwortlichen erweist sich der das Gefahrenabwehrrecht beherrschende Gedanke der Effektivität als legitim. Die Behörde kann sich bei der Auswahl unter mehreren in Betracht kommenden Adressaten von der Erwägung leiten lassen, dass ein rechtswidriger Zustand durch die Inanspruchnahme eines bestimmten Adressaten schneller oder wirksamer beseitigt werden kann (zum allgemeinen Polizeirecht Denninger, in: Lisken/Denninger, Handbuch des Polizeirechts, 6. Aufl. 2018, D. Polizeiaufgaben, Rn. 133; zur Adressatenwahl im Eisenbahnrecht: BVerwG, Urteil vom 9. September 2015 - 6 C 28.14 [ECLI:DE:BVerwG:2015:090915U6C28.14.0] - BVerwGE 153, 1 Rn. 32; im Umweltrecht: Sparwasser/Heilshorn, in: Landmann/Rohmer, Umweltrecht, Band III, Stand Februar 2019, § 14 BImSchG Rn. 45).
31 Auch im Bereich des Datenschutzes kann es das Gebot einer effektiven und wirkungsvollen Gefahrenabwehr rechtfertigen, denjenigen Verantwortlichen heranzuziehen, dessen Pflichtigkeit sich ohne weiteres bejahen lässt und dem effektive Mittel zum Abstellen des Verstoßes zur Verfügung stehen. Daher war der Beklagte vor dem Hintergrund der im Zeitpunkt der Widerspruchsentscheidung fehlenden Kooperationsbereitschaft der Beigeladenen, den unklaren Binnenstrukturen der Facebook-Unternehmensgruppe, der damit verknüpften Frage, welches nationale Datenschutzrecht für die Beigeladene Anwendung findet und welche Möglichkeiten für die Durchsetzung eines solchen Bescheids bestehen, aus Gründen der Effektivität nicht gehalten, vor einer Inanspruchnahme der Klägerin seine rechtlichen und tatsächlichen Möglichkeiten eines Vorgehens gegen ein Unternehmen der Facebook-Unternehmensfamilie umfassend zu klären. Vielmehr war die Deaktivierungsanordnung gegenüber der Klägerin auch geeignet, die Beigeladene über den Einzelfall der Klägerin hinaus unter Zugzwang zu setzen. Hat diese Maßnahme Bestand, so wird sich Facebook um eine datenschutzrechtskonforme Lösung bemühen müssen, um sein Geschäftsmodell in Deutschland weiterverfolgen zu können. Daher erweist sich die Anordnung gegen die Klägerin als effektives Mittel, um das vom EuGH im Urteil vom 5. Juni 2018 - C-210/16 - (JZ 2018, 1154 Rn. 26) herausgestellte Ziel, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre bei der Verarbeitung personenbezogener Daten, zu gewährleisten.
32 c. Die gegenüber der Klägerin angeordnete Deaktivierung ihrer Fanpage erweist sich auch im Übrigen als ermessensfehlerfrei. Da die Klägerin als datenschutzrechtlich Verantwortliche bei Vorliegen der beanstandeten Verstöße einen rechtskonformen Betrieb ihrer Fanpage nach den bindenden Feststellungen des Berufungsurteils mangels vertraglicher oder technischer Einwirkungsmöglichkeiten nicht bewirken kann, war die Anordnung der Deaktivierung ein geeignetes Mittel zur Unterbindung der potentiellen Datenschutzrechtsverstöße. Ein milderes Mittel stand dem Beklagten gegenüber der Klägerin nicht zur Verfügung. Auch der Umstand, dass das Deaktivierungsgebot der Klägerin derzeit die Möglichkeit nimmt, sich in dem von ihr für ihre geschäftliche Tätigkeit als besonders wichtig erachteten sozialen Netzwerk Facebook zu präsentieren, zwang den Beklagten nicht zu einem Verzicht auf ein effektives Einschreiten, wenn die Klägerin dieses Angebot nur unter Inkaufnahme schwerwiegender datenschutzrechtlicher Mängel betreiben kann.
33 d. Ebenso wenig lässt sich ein Ermessensfehler aus dem Umstand herleiten, dass die Daten der Nutzer auch auf einer Vielzahl weiterer Facebook-Fanpages in gleicher Weise verarbeitet werden und daher die Abschaltung der klägerischen Fanpage massenhafte Datenschutzrechtsverstöße an anderer Stelle nicht verhindern kann. Verstöße Dritter gegen datenschutzrechtliche Bestimmungen lassen die Verantwortlichkeit der Klägerin für ihr eigenes Angebot unberührt. Art. 3 Abs. 1 GG gewährt keinen Anspruch auf Gleichbehandlung im Unrecht. Der Beklagte war im Lichte des Art. 3 Abs. 1 GG auch nicht gehalten, vor einer Inanspruchnahme der Klägerin ein Konzept für ein flächendeckendes Vorgehen gegen Fanpage-Betreiber in seiner Zuständigkeit zu erstellen. Zwar beschränkt der Gleichheitssatz als gesetzliche Ermessensgrenze die Handlungsmöglichkeiten der Verwaltung und gebietet der Behörde, in vergleichbaren Fällen in der gleichen Art und Weise zu verfahren (BVerwG, Urteil vom 26. Oktober 2017 - 8 C 18.16 [ECLI:DE:BVerwG:2017:261017U8C18.16.0] - BVerwGE 160, 193 Rn. 21 m.w.N.). Das bedeutet bei einer Vielzahl von Verstößen aber nicht, dass sie gleichzeitig tätig werden muss. Bei Vorliegen sachlicher Gründe kann sie sich auch darauf beschränken, zunächst einen Einzelfall herauszugreifen und die Verhältnisse nach und nach zu bereinigen (stRspr, vgl. BVerwG, Beschluss vom 22. April 1995 - 4 B 55.95 - BRS 57 Nr. 248 S. 595). Dafür, dass die von dem Beklagten für die Auswahl der in Anspruch genommenen Fanpage-Betreiber angeführten Gründe willkürlich waren, ist vorliegend nichts ersichtlich.
34 5. Der Senat kann in der Sache nicht selbst abschließend entscheiden. Das Oberverwaltungsgericht hat von seinem rechtlichen Standpunkt aus folgerichtig keine tatsächlichen Feststellungen zu den bei Aufruf der Fanpage der Klägerin tatsächlich ablaufenden Datenverarbeitungsvorgängen und einer etwaigen Unterrichtung der Nutzer getroffen. Die Sache ist daher zur anderweitigen Verhandlung und Entscheidung an das Oberverwaltungsgericht zurückzuverweisen (§ 144 Abs. 3 Satz 1 Nr. 2 VwGO).
35 Das Oberverwaltungsgericht wird zu prüfen haben, welche Datenerhebungen bei Aufruf der Fanpage im für die Entscheidung maßgeblichen Zeitpunkt stattfanden. Soweit sich aus der Verwendung der von Facebook gesetzten Cookies eine Verarbeitung personenbezogener Daten ergab, wird das Gericht zwischen den Fallgruppen der Facebook-Mitglieder und der nicht bei Facebook registrierten Internetnutzer zu unterscheiden haben. Die Verarbeitung personenbezogener Daten wäre nur dann rechtmäßig, wenn bei der erstgenannten Gruppe eine wirksame Einwilligung in die Erhebung und nachfolgende Verarbeitung vorlag und bei der letztgenannten Gruppe für die Erhebung personenbezogener Daten eine Rechtsgrundlage bestand und eine möglicherweise erforderliche Unterrichtung erfolgte.
36 6. Die in der Revisionsbegründung unter Ziffer 1 erhobenen Verfahrensrügen einschließlich des Antrags auf Aufhebung der Beiladung hat der Beklagte im Rahmen der mündlichen Verhandlung vom 11. September 2019 fallengelassen. Sie bedürfen daher keiner Entscheidung mehr.
37 7. Die Entscheidung über die Kosten bleibt der Schlussentscheidung vorbehalten.