Bundesverwaltungsgericht EuGH-Vorlage, 25. Feb. 2016 - 1 C 28/14

ECLI: ECLI:DE:BVerwG:2016:250216B1C28.14.0
published on 25/02/2016 00:00
Bundesverwaltungsgericht EuGH-Vorlage, 25. Feb. 2016 - 1 C 28/14
Urteilsbesprechung zu {{shorttitle}}
Referenzen - Gesetze
Referenzen - Urteile

Gericht

There are no judges assigned to this case currently.
addJudgesHint

Gründe

I

1

Die Beteiligten streiten um die Rechtmäßigkeit einer datenschutzrechtlichen Anordnung des Beklagten an die Klägerin, ihre bei der Beigeladenen unterhaltene Facebook-Seite (Fanpage) zu deaktivieren.

2

Die Klägerin ist ein privatrechtlich organisiertes Bildungsunternehmen, das unter anderem den Weiterbildungsauftrag ihrer Gesellschafterin - der von den drei Industrie- und Handelskammern in Schleswig-Holstein getragenen "Fördererstiftung Wirtschaftsakademie Schleswig-Holstein" - wahrnimmt. Die Klägerin bewirbt ihre Bildungsangebote u.a. durch eine sogenannte Fanpage bei der Beigeladenen.

3

Fanpages sind spezielle Benutzeraccounts, die bei Facebook von Unternehmen, gemeinnützigen Einrichtungen, Künstlern oder Prominenten eingerichtet werden können. Der Fanpage-Anbieter muss sich hierzu bei Facebook registrieren und kann dann die von Facebook unterhaltene Plattform dazu benutzen, sich den Nutzern dieser Plattform zu präsentieren und Äußerungen aller Art in den Medien- und Meinungsmarkt einzubringen. Betreiber von Fanpages bei Facebook können mit Hilfe des von Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zur Verfügung gestellten Werkzeuges "Facebook-Insights" anonymisierte Statistik-Informationen über Nutzer erhalten. Die durch Facebook erstellten Statistiken enthalten (aggregierte, anonymisierte) Angaben über die Nutzung der Fanpage. Hierfür wird bei Aufruf der Fanpage durch Facebook zumindest ein sogenannter Cookie auf dem Rechner des Nutzers gespeichert, der eine eindeutige ID-Nummer enthält und für zwei Jahre wirksam ist; die ID-Nummer, die mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird bei Aufruf von Facebook-Seiten erhoben und verarbeitet. Ein Hinweis auf die Tatsache der Speicherung und die Funktionsweise dieses Cookies sowie die nachfolgende Datenverarbeitung erfolgte durch die Klägerin oder die Beigeladene - jedenfalls in dem hier relevanten Zeitraum bis zum Erlass der Widerspruchsentscheidung - nicht.

4

Mit Bescheid vom 3. November 2011 ordnete der Beklagte - nach Anhörung der Klägerin - gemäß § 38 Abs. 5 Satz 1 BDSG gegenüber der Klägerin an, dafür Sorge zu tragen, dass die von ihr unter www.facebook.com/wirtschaftsakademie bei Facebook betriebene Fanpage deaktiviert wird, und drohte für den Fall der nicht fristgerechten Umsetzung ein Zwangsgeld an. Die Klägerin legte fristgerecht Widerspruch ein, mit dem sie im Kern geltend machte, sie sei datenschutzrechtlich für die Datenverarbeitung durch Facebook und die durch Facebook gesetzten Cookies nicht verantwortlich.

5

In ihrem Widerspruchsbescheid vom 16. Dezember 2011 sieht der Beklagte die datenschutzrechtliche Verantwortlichkeit der Wirtschaftsakademie Schleswig-Holstein GmbH als Diensteanbieter durch § 3 Abs. 3 Nr. 4, § 12 Abs. 1 TMG i.V.m. § 3 Abs. 7 BDSG begründet. Durch das Einrichten der Fanpage leiste die Klägerin auch einen aktiven und willentlichen Beitrag zur Erhebung von personenbezogenen Nutzerdaten durch Facebook, von der sie durch die von Facebook bereitgestellte Nutzerstatistik profitiere.

6

Mit ihrer Klage hat die Klägerin geltend gemacht, dass es bereits an der Verarbeitung personenbezogener Daten durch sie fehle. Ihr seien Datenverarbeitungsvorgänge durch Facebook nicht zuzurechnen. Sie habe insoweit Facebook auch nicht im Sinne des § 11 BDSG mit einer von ihr kontrollierten oder beeinflussbaren Datenverarbeitung beauftragt. Schließlich habe der Beklagte das ihm eingeräumte Ermessen fehlerhaft betätigt, indem er sich an die Klägerin und nicht direkt an Facebook gewandt habe.

7

Der Beklagte hat die Anordnung als formell und materiell rechtmäßig verteidigt.

8

Die vom Verwaltungsgericht beigeladene Facebook Ireland Ltd. (Dublin) unterstützt das Vorbringen der Klägerin und macht geltend, der Bescheid sei schon deswegen rechtswidrig, weil der Beklagte nicht das in der Ermächtigungsgrundlage des § 38 Abs. 5 BDSG vorgesehene gestufte Verfahren eingehalten habe. Die Anordnung sei auch deswegen rechtswidrig, weil die Klägerin mangels Gestaltungs-, Einwirkungs- oder Kontrollmöglichkeiten im Hinblick auf die Fanpage keine datenschutzrechtlich verantwortliche Stelle sei und sie insoweit auch keine telemedienrechtliche Datenschutzverantwortung treffe. Es bestehe auch kein Zusammenwirken im Sinne einer "gemeinsamen Zwecksetzung" (das zudem für eine datenschutzrechtliche Mitverantwortung nicht ausreiche). Datenschutzrechtliche Verantwortlichkeit beziehe sich auf die Entscheidung über "Zwecke und Mittel" der Verarbeitung, nicht auf die Entscheidung über das "Ob" der Datenverarbeitung selbst. Auch das Unionsrecht sehe keine Gesamtverantwortung qua Zurechnung vor. Mangels Gestaltungs-, Weisungs- und Kontrollmöglichkeiten bestehe auch kein Auftragsverhältnis im Sinne des § 11 BDSG. Die datenschutzrechtliche Verantwortlichkeit sei im Unionsrecht (Art. 2 Buchst. d) RL 95/46/EG) und im nationalen Recht (§ 3 Abs. 7 BDSG) abschließend geregelt und durch die Entscheidungsgewalt über die Zwecke und Mittel der Verarbeitung personenbezogener Daten geprägt; eine national-autonome Erweiterung der Verantwortlichkeit sei unionsrechtlich unzulässig. Die von Facebook vorgenommene Datenverarbeitung sei zudem nach dem hier allein maßgeblichen irischen Datenschutzrecht materiell rechtmäßig. Schließlich sei die Anordnung ermessensfehlerhaft.

9

Das Verwaltungsgericht hob durch Urteil vom 9. Oktober 2013 den angefochtenen Bescheid im Kern mit der Begründung auf, dass der Betreiber einer Fanpage bei Facebook nicht "verantwortliche Stelle" im Sinne des § 3 Abs. 7 BDSG sei und daher auch nicht Adressat einer Verfügung nach § 38 Abs. 5 BDSG sein könne.

10

Das Oberverwaltungsgericht hat die Berufung als unbegründet zurückgewiesen und zur Begründung im Kern ausgeführt: Die angeordnete Deaktivierung komme ungeachtet der weiterhin möglichen internen Nutzung der Untersagung der Datenverarbeitung nach § 38 Abs. 5 Satz 2 BDSG als solcher gleich. Dies lasse § 38 Abs. 5 BDSG indes nicht zu, weil er ein abgestuftes Vorgehen vorsehe, in dessen erster Stufe nur Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten angeordnet werden dürften. Eine Ausnahme komme nur in Betracht, wenn ein Datenverarbeitungsverfahren in seiner Gesamtheit unzulässig ist und dieser Mangel nur durch die Einstellung des Verarbeitungsverfahrens beseitigt werden kann, wenn also die Einhaltung des abgestuften Verfahrens objektiv sinn- und zwecklos erscheine. Dies sei vorliegend nicht der Fall. Denn die vom Beklagten behaupteten Verstöße könnten von Facebook ohne Weiteres beseitigt werden. Soweit der Beklagte nicht die für Facebook zuständige Kontrollstelle sei (was keiner abschließenden Entscheidung bedürfe), dürfe er deshalb nicht anstelle von Facebook und abweichend vom vorgeschriebenen Verfahren einen Dritten im Sinne des Art. 2 Buchst. f) RL 95/46/EG belangen.

11

Die Anordnung sei auch deswegen rechtswidrig, weil die Klägerin im Sinne des § 3 Abs. 7 BDSG keine verantwortliche Stelle im Hinblick auf die von Facebook aus Anlass des Fanpage-Betriebes erhobenen Daten sei und eine Anordnung nach § 38 Abs. 5 BDSG nur gegenüber der verantwortlichen Stelle ergehen könne. Über den Zweck und die Mittel der Erhebung und Verarbeitung der für "Insights" genutzten personenbezogenen Daten entscheide allein Facebook; die Klägerin erhalte allein anonymisierte, statistische Informationen.

12

§ 38 Abs. 5 BDSG erlaube keine Anordnung gegenüber Dritten (also Personen oder Stellen außerhalb der verantwortlichen Stelle). Die von der zivilgerichtlichen Rechtsprechung entwickelte Störerhaftung im Internet sei auf die Eingriffsverwaltung nicht übertragbar. Auch wenn § 38 Abs. 5 BDSG den Adressaten der Untersagungsanordnung nicht ausdrücklich nenne, ergebe sich - über Anhaltspunkte bereits im Wortlaut der Regelung selbst - aus dem systematischen Zusammenhang, dem Sinn und Zweck der Regelung sowie ihrer Entstehungsgeschichte, dass Adressat allein die verantwortliche Stelle sein könne. Das Berufungsgericht lässt daher offen, ob die Beigeladene (bzw. ihre Konzernmutter) personenbezogene Daten verarbeitet und ob diese Datenverarbeitung gegen deutsches bzw. irisches Datenschutzrecht verstößt.

13

Mit seiner Revision rügt der Beklagte u.a. eine Verletzung des § 38 Abs. 5 BDSG und macht verschiedene Verfahrensfehler des Berufungsgerichts geltend. Der Beklagte sieht nunmehr den Verstoß der Klägerin in der Beauftragung eines ungeeigneten, weil Datenschutzrecht nicht beachtenden Anbieters - hier: die Beigeladene - mit der Erstellung, Bereithaltung und Wartung eines Internetauftritts; die Deaktivierungsanordnung ziele auf die Beseitigung dieses Verstoßes der Klägerin, indem ihr die weitere Nutzung der Facebook-Infrastruktur als technischer Grundlage ihres Webauftritts untersagt werde.

14

Die Klägerin und die Beigeladene verteidigen das angefochtene Berufungsurteil.

15

Der Vertreter des Bundesinteresses bei dem Bundesverwaltungsgericht verweist darauf, dass die im Revisionsverfahren angesprochenen Rechtsfragen auch den Gegenstand der Verhandlungen über die Datenschutz-Grundverordnung bildeten. Die Klägerin sei datenschutzrechtlich nicht verantwortlich, weil der Betreiber einer Fanpage als Facebook-Nutzer keinen Einfluss auf die Erhebung, Verarbeitung oder Auswertung der personenbezogenen Daten, die durch Facebook erfolge, habe.

II

16

Der Rechtsstreit ist auszusetzen. Es ist eine Vorabentscheidung des Gerichtshofs der Europäischen Union (im Folgenden: Gerichtshof) zu den im Beschlusstenor formulierten Fragen einzuholen (Art. 267 AEUV). Die Fragen betreffen die Auslegung der Art. 2 Buchst. d), Art. 4 Abs. 1, Art. 17 Abs. 2 und Art. 28 Abs. 3 und 6 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 S. 31). Da es um die Auslegung von Unionsrecht geht, ist der Gerichtshof zuständig.

17

1. Für die rechtliche Beurteilung der Anfechtungsklage gegen die von dem Beklagten erlassene datenschutzaufsichtsbehördliche Anordnung ist hier auf die Sach- und Rechtslage im Zeitpunkt der letzten Verwaltungsentscheidung, also der Widerspruchsentscheidung, abzustellen (Dezember 2011). Zu diesem Zeitpunkt waren die hier maßgeblichen Art. 2 Buchst. d), Art. 4 Abs. 1, Art. 17 Abs. 2 und Art. 28 Abs. 3 und 6 der Richtlinie 95/46/EG in Kraft getreten, und die Umsetzungsfrist für sie war gemäß Art. 32 der Richtlinie 95/46/EG abgelaufen. Diese Richtlinie sowie nachfolgende Änderungen wurden u.a. durch das Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze vom 18. Mai 2001 (BGBl. I S. 904) in das nationale Recht umgesetzt. Den rechtlichen Rahmen dieses Rechtsstreits bilden folgende nationale Vorschriften, die - soweit hier einschlägig - auch derzeit noch unverändert gelten:

18

§ 3 Abs. 1 und 7, § 11 Abs. 1 und 2, § 38 Abs. 5 des Bundesdatenschutzgesetzes (BDSG) vom 20. Dezember 1990 (BGBl. I S. 2954) in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), für den hier maßgeblichen Zeitraum zuletzt geändert durch das Gesetz zur Änderung datenschutzrechtlicher Vorschriften (DSRÄndG) vom 14. August 2009 (BGBl. I S. 2814).

§ 3 Abs. 1 und 7 BDSG

(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). (...)

(7) Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.

§ 11 Abs. 1 und 2 BDSG

(1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in den §§ 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen.

(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: (...)

Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.

§ 38 Abs. 5 BDSG

(5) Zur Gewährleistung der Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz kann die Aufsichtsbehörde Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen. Bei schwerwiegenden Verstößen oder Mängeln, insbesondere solchen, die mit einer besonderen Gefährdung des Persönlichkeitsrechts verbunden sind, kann sie die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren untersagen, wenn die Verstöße oder Mängel entgegen der Anordnung nach Satz 1 und trotz der Verhängung eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden. Sie kann die Abberufung des Beauftragten für den Datenschutz verlangen, wenn er die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit nicht besitzt.

19

Als Hintergrund des Rechtsstreites ist auf § 12 Abs. 1 und 3 des Telemediengesetzes (TMG) vom 26. Februar 2007 (BGBl. I S. 179), für den hier maßgeblichen Zeitraum zuletzt geändert durch das Erste Gesetz zur Änderung des Telemediengesetzes (1. Telemedienänderungsgesetz) vom 31. Mai 2010 (BGBl I. S. 692) hinzuweisen, das in Teilen auch der Umsetzung der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 S. 37) dient.

§ 12 Abs. 1 und 3 TMG

(1) Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.

(2) (...)

(3) Soweit nichts anderes bestimmt ist, sind die jeweils geltenden Vorschriften für den Schutz personenbezogener Daten anzuwenden, auch wenn die Daten nicht automatisiert verarbeitet werden.

20

2. Die Vorlagefragen sind entscheidungserheblich und bedürfen einer Klärung durch den Gerichtshof; von ihrer Beantwortung hängt ab, ob die Revision zumindest im Sinne einer Zurückverweisung Erfolg hat.

21

a) Nach § 38 Abs. 5 BDSG kann die Aufsichtsbehörde Maßnahmen und Anordnungen nur zur Gewährleistung der Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz treffen.

22

aa) Die angefochtene Anordnung zur Deaktivierung der bei Facebook unterhaltenen Fanpage ist nach dem Eingriffsgewicht als Maßnahme nach § 38 Abs. 5 Satz 2 BDSG zur Untersagung des Einsatzes eines einzelnen Verfahrens zu werten, die bei schwerwiegenden Verstößen oder Mängeln statthaft ist. Diese Anordnung ist nicht schon deswegen rechtswidrig und aufzuheben, weil ihr keine Aufforderung zur Beseitigung festgestellter Verstöße nach § 38 Abs. 5 Satz 1 BDSG vorangegangen ist. Von der im Gesetz aus Gründen der Verhältnismäßigkeit vorgegebenen Stufenfolge beim Einschreiten der Datenschutzaufsichtsbehörde ist dann eine Ausnahme zu machen, wenn der Adressat der Anordnung diese Mängel nicht beseitigen kann, weil er keinen direkten, steuernden oder gestaltenden Einfluss auf die als rechtswidrig beanstandete Datenverarbeitung hat. Nach den für den Senat bindenden (§ 137 VwGO) tatsächlichen Feststellungen des Berufungsgerichts ist dies der Fall. Auch die Klägerin und die beigeladene Facebook Ireland Ltd. machen übereinstimmend geltend, dass die Erhebung und Verarbeitung der Daten der Besucher der Fanpage ausschließlich durch die Beigeladene erfolgt und die Klägerin weder im Rahmen des Benutzungsverhältnisses über die Fanpage rechtlich noch sonst tatsächlich Art und Umfang der Datenerhebung und -verarbeitung gestalten oder beeinflussen kann. Die fehlende unmittelbare Einwirkungs- und Entscheidungsmacht der Klägerin über Art und Umfang der Verarbeitung der Nutzerdaten schließt bei unterstellter datenschutzrechtlicher Pflichtenstellung eine Anwendung des § 38 Abs. 5 BDSG ebenfalls nicht aus; zur wirksamen Durchsetzung des Datenschutzrechts (s.a. Art. 28 Abs. 3 RL 95/46/EG) ist die adressatoffen gefasste Eingriffsermächtigung nicht auf ein Vorgehen gegen die "für die Verarbeitung Verantwortliche" im Sinne des Art. 2 Buchst. d) RL 95/46/EG beschränkt, wenn und soweit anderweitige datenschutzrechtliche Pflichten bestehen. Die personale Reichweite der Eingriffsbefugnis folgt hier der materiellrechtlichen Pflichtigkeit.

23

Bei als gegeben unterstellter Verantwortlichkeit der Klägerin, die nach nationalem Recht nicht nach den Vorschriften des Telemediengesetzes, sondern nur nach denen des Bundesdatenschutzgesetzes begründet werden kann, sind im Ergebnis auch die weiteren, zwischen den Beteiligten ebenfalls umstrittenen Voraussetzungen der Anordnung erfüllt.

24

bb) Die Klägerin ist allerdings für die Erhebung und Verarbeitung der Nutzerdaten ihrer Fanpage durch die Beigeladene nicht die "Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt" (§ 3 Abs. 7 BDSG) bzw. die "Stelle, die allein oder gemeinsam mit anderen über die Zwecke, Bedingungen und Mittel der Verarbeitung von personenbezogenen Daten entscheidet" (Art. 2 Buchst. d) RL 95/46/EG).

25

Zwar verschafft die Klägerin durch ihre Entscheidung, eine Fanpage auf der von der Beigeladenen bzw. ihrer Muttergesellschaft betriebenen Plattform einzurichten, der Beigeladenen objektiv die Möglichkeit, bei Aufruf dieser Fanpage Cookies zu setzen und über diese Daten zu erheben. Jedenfalls bei Fanpage-Nutzern, die bei Facebook registriert sind, handelt es sich um auch personenbezogene Daten im Sinne des Art. 2 Buchst. a) RL 95/46/EG, und zwar selbst dann, wenn sie sich bei Fanpageaufruf nicht bei Facebook angemeldet hatten. Bei nichtregistrierten Nutzern hängt die Zuordnung der über einen Cookie zugewiesenen ID-Nummer als personenbezogenes Datum u.a. von den Anforderungen ab, die an das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen zu stellen sind (s. dazu BGH, Vorabentscheidungsersuchen vom 28. Oktober 2014 - VI ZR 135/13 - juris).

26

Nach den bindenden tatsächlichen Feststellungen des Berufungsgerichts folgt aus dieser Entscheidung allerdings nicht, dass die Klägerin Art und Umfang der Verarbeitung von Daten der Nutzer ihrer Homepage durch die Beigeladene beeinflussen, steuern, gestalten oder sonst kontrollieren könnte. Auch die Nutzungsbedingungen für die Fanpage eröffnen der Klägerin insoweit keine Einwirkungs- oder Kontrollrechte; die einseitig gesetzten Nutzungsbedingungen der Beigeladenen sind nicht Ergebnis eines Aushandlungsprozesses im Einzelfall und verschaffen der Klägerin auch nicht das Recht, der Beigeladenen die Erhebung und Verarbeitung der Daten von Nutzern der Fanpage zu untersagen. Die Beigeladene lässt auch sonst nicht die Einrichtung einer Fanpage zu, bei der sie sich nicht die Befugnis zur Erhebung und Verarbeitung von Nutzerdaten vorbehält. Auch tatsächlich hat die Klägerin keine Entscheidungs-, Gestaltungs- oder Kontrollbefugnisse.

27

Ihre Entscheidung, für ihr Informations- und Kommunikationsangebot auch die Facebook-Infrastruktur zu nutzen, macht die Klägerin nicht zu einer Stelle, die - allein oder gemeinsam mit der Beigeladenen - über die Zwecke, Bedingungen und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 2 Buchst. d) RL 95/46/EG) bzw. zur verantwortlichen Stelle im Sinne des § 3 Abs. 7 BDSG. Allerdings ist die Legaldefinition des "für die Verarbeitung Verantwortlichen" in Art. 2 Buchst. d) RL 95/46/EG, die maßgeblich auch die Auslegung des § 3 Abs. 7 BDSG steuert, im Interesse eines wirksamen Persönlichkeitsschutzes grundsätzlich weit auszulegen (s.a. Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen "für die Verarbeitung Verantwortlicher" und "Auftragsverarbeiter" vom 16. Februar 2010, Working Paper 169 [00264/10/DE WP 169]). Das funktionale Verständnis lässt auch Raum für die Möglichkeit einer pluralistischen Kontrolle, die verschiedene Grade der Verantwortung bis hin zu einer "gesamtschuldnerischen" Haftung (Artikel-29-Datenschutzgruppe, a.a.O., Working Paper 169 [00264/10/DE WP 169], 39) zulässt. Die Fähigkeit, über die Zwecke und Mittel der jeweiligen Datenverarbeitung auch entscheiden zu können, ist aber ein prägendes, unverzichtbares Element des Art. 2 Buchst. d) der Richtlinie 95/46/EG. Eine Stelle, die weder einen rechtlichen noch einen tatsächlichen Einfluss auf die Entscheidung hat, wie personenbezogene Daten verarbeitet werden, kann nicht als für die Verarbeitung Verantwortlicher angesehen werden.

28

Die Klägerin kann allein durch den Verzicht auf die weitere Nutzung ihrer Fanpage eine weitere Verarbeitung der Daten von Nutzern dieser Fanpage durch die Beigeladene verhindern. Dies verschafft ihr aber keinen rechtlichen oder tatsächlichen Einfluss auf Ob, Art und Umfang der Nutzung der Datenverarbeitung durch die Beigeladene in eigener Verantwortungs- und Gestaltungsmacht. Eine hinreichende Einflussmöglichkeit oder gar eine (Mit-)Entscheidungsmacht folgt auch nicht daraus, dass informationshaltige Fanpages die Attraktivität der von der Beigeladenen betriebenen Plattform selbst - für die Nutzer und die geschäftlichen Aktivitäten der Beigeladenen - steigern mögen oder die Klägerin objektiv aus der von der Beigeladenen betriebenen Funktion "Facebook Insights" Nutzen ziehen kann, indem ihr in anonymisierter Form Daten zur Nutzung ihrer Fanpage übermittelt werden.

29

cc) Die Klägerin ist für die Verarbeitung von Daten der Nutzer ihrer Fanpage durch die Beigeladene auch nicht Auftraggeber einer Datenverarbeitung im Auftrag (§ 11 BDSG; Art. 2 Buchst. e), Art. 17 Abs. 2 und 3 RL 95/46/EG).

30

Zwischen der Klägerin und der Beigeladenen besteht zwar ein Rechtsverhältnis in Bezug auf die Bereitstellung einer Fanpage; die Klägerin ist insoweit Nutzerin der Plattform, die von der Beigeladenen betrieben wird. Mit dem Nutzungsverhältnis erteilt die Klägerin der Beigeladenen aber nicht einen Auftrag zur Erhebung und Verarbeitung von Daten der Nutzer ihrer Fanpage. Diese Datennutzung ist keine Haupt- oder Nebenpflicht aus dem Fanpage-Benutzungsverhältnis. Wegen der technischen Besonderheiten der von der Beigeladenen betriebenen Plattform hat die Klägerin zu keinem Zeitpunkt die Möglichkeit, auf die hier in Rede stehenden Daten ihrer Nutzer zuzugreifen. Die Datenverarbeitung durch Facebook ist auch sonst von den Beteiligten des Fanpage-Nutzungsverhältnisses weder objektiv als gemeinsam verantwortete Datennutzung ausgestaltet noch subjektiv von diesen als gemeinsame gewollt. Dass der Klägerin bei der Entscheidung für die Plattform der Beigeladenen bekannt sein konnte, dass diese Daten von Fanpage-Nutzern erhebt und verarbeitet, verwandelt das Vertrags- oder Nutzungsverhältnis betreffend die Fanpage nicht in ein Auftragsdatenverarbeitungsverhältnis. Die Auftragsdatenverarbeitung folgt der Verantwortlichkeit, begründet diese aber nicht. Die hohe Zahl von Nutzern des sozialen Netzwerkes der Beigeladenen und der dadurch erhoffte Nutzen für die Verbreitung des eigenen Informationsangebots schließen es aus, dass die Klägerin sich allein deswegen für die Plattform der Beigeladenen entschieden haben könnte, um sich einer datenschutzrechtlichen Verantwortlichkeit zu entziehen.

31

b) Das vorlegende Gericht hält eine Klärung für erforderlich, ob bzw. unter welchen Voraussetzungen sich in mehrstufigen Anbieterverhältnissen, wie sie für soziale Netzwerke kennzeichnend sind, die Kontroll- und Eingriffsbefugnisse der Datenschutzaufsichtsbehörde allein auf die "verantwortliche Stelle" im Sinne des Art. 2 Buchst. d) RL 95/46/EG (§ 3 Abs. 7 BDSG) beziehen können oder ob daneben Raum für eine Verantwortlichkeit einer Stelle, die nicht im Sinne des Art. 2 Buchst. d) RL 95/46/EG für die Datenverarbeitung verantwortlich ist, bei der Auswahl eines Betreibers für sein Informationsangebot bleibt. Hierauf zielt die erste Vorlagefrage.

32

aa) Art. 28 Abs. 3 Spiegelstrich 2 RL 95/46/EG sieht vor, dass jede Kontrollstelle über wirksame Kontrollbefugnisse einschließlich der Möglichkeit verfügen muss, das vorläufige oder endgültige Verbot einer Verarbeitung anzuordnen. Art. 24 RL 95/46/EG gibt den Mitgliedstaaten auf, geeignete Maßnahmen zu ergreifen, um die volle Anwendung der Bestimmung der Richtlinie sicherzustellen. Die Datenschutzrichtlinie zielt auf einen wirksamen und umfassenden Schutz des Rechts auf die Privatsphäre (Art. 8 Europäische Menschenrechtskonvention) auf einem hohen Schutzniveau (Erwägungsgründe 2 und 10 RL 95/46/EG). Der Gerichtshof der Europäischen Union (EuGH) betont in gefestigter Rechtsprechung die Bedeutung sowohl des auch durch Art. 7 GRC gewährleisteten Grundrechts auf Achtung des Privatlebens als auch des durch Art. 8 GRC gewährleisteten Grundrechts auf Schutz personenbezogener Daten (vgl. EuGH, Urteile vom 7. Mai 2009 - C-553/07 [ECLI:EU:C:2009:293], Rijkeboer - Rn. 47; vom 8. April 2014 - C-293/12, C-594/12 [ECLI:EU:C:2014:238], Digital Rights Ireland u.a.- Rn. 53; vom 13. Mai 2014 - C-131/12 [ECLI:EU:C:2014:317], Google Spain und Google - Rn. 53, 66 und 74 und vom 6. Oktober 2015 - C-362/14 [ECLI:EU:C:2015:650], Schrems - Rn. 39).

33

bb) In Informationsanbieterverhältnissen, in denen Anbieter von (auch) an eine breitere Öffentlichkeit gerichteten Informationen eine Infrastruktur wie die von der Beigeladenen angebotene benutzen, bei der sie aufgrund der Nutzungsbedingungen die Verarbeitung personenbezogener Daten durch den Infrastrukturanbieter selbst nicht beherrschen können (gestufte oder mehrstufige Informationsanbieterverhältnisse), wird es im Interesse eines wirksamen Schutzes der Grundrechte und -freiheiten der Nutzer des Informationsangebotes für erforderlich gehalten, auch den Informationsanbieter selbst in die Verantwortung zu nehmen (eingehend Martini/Fritzsche, Mitverantwortung in sozialen Netzwerken. Facebook-Fanpage-Betreiber in der datenschutzrechtlichen Grauzone, NVwZ-Extra 21/2015, 11 ff.). Diese datenschutzrechtliche Verantwortung bezieht sich zwar nicht auf die Erhebung und Verarbeitung der Daten durch den Infrastrukturanbieter selbst, die in einer Infrastruktur wie der von der Beigeladenen angebotenen rechtlich und tatsächlich durch den Informationsanbieter nicht gesteuert werden kann. Sie bezieht sich aber auf die sorgfältige Auswahl des Betreibers der Infrastruktur, die für das eigene Informationsangebot genutzt wird. Für den Nutzer des Informationsangebotes ist regelmäßig nicht erkennbar, dass für eine an die bloße Nutzung anknüpfende Datenverarbeitung nicht der Informationsanbieter, sondern der Infrastrukturbetreiber "verantwortliche Stelle" ist; auch soweit aus dem Seitendesign des Informationsangebotes erkannt werden kann, dass es sich um ein Informationsangebot im Rahmen einer bestimmten Infrastruktur handelt, erschließt sich daraus nicht die Verteilung der Verantwortlichkeiten.

34

cc) Vor diesem Hintergrund erstrebt die erste Vorlagefrage die Klärung, ob mit dem Begriff des "für die Verarbeitung Verantwortlichen" (Art. 2 Buchst. d) RL 95/46/EG) auch die möglichen Adressaten von Eingriffsmaßnahmen abschließend und erschöpfend umschrieben sind oder ob im Rahmen der "geeigneten Maßnahmen" nach Art. 24 und der "wirksamen Eingriffsbefugnisse" nach Art. 28 Abs. 3 Spiegelstrich 2 RL 95/46/EG daneben Raum für eine datenschutzrechtliche Verantwortlichkeit für die Auswahl des Betreibers eines Informationsangebotes bleibt.

35

c) Die zweite Vorlagefrage zielt auf den rechtlichen Anknüpfungspunkt für eine der Verantwortung nach Art. 2 Buchst. d) RL 95/46/EG vorgelagerte Auswahlverantwortlichkeit in mehrstufigen Anbieterverhältnissen. Nach dem nationalen Recht kommt insoweit in Betracht, die Auswahl- und Überprüfungspflichten (§ 11 Abs. 2 Satz 1 und 4 BDSG), die der nationale Gesetzgeber in Umsetzung des Art. 17 Abs. 2 RL 95/46/EG bei einer Datenverarbeitung im Auftrag vorgeschrieben hat, entsprechend heranzuziehen (s. Martini/Fritzsche, Mitverantwortung in sozialen Netzwerken. Facebook-Fanpage-Betreiber in der datenschutzrechtlichen Grauzone, NVwZ-Extra 21/2015, 12). Der gemeinsame und im Ergebnis für eine Analogie möglicherweise hinreichende Grundgedanke ist, dass sich ein Informationsanbieter nicht durch die Wahl eines bestimmten Infrastrukturanbieters von datenschutzschutzrechtlichen Pflichten im Verhältnis zu den Nutzern seines Informationsangebotes soll freizeichnen dürfen, die er bei einem reinen Content-Provider zu erfüllen hätte. Dass ein Informationsanbieter in den sozialen Netzwerken wie dem der Beigeladenen zugleich auch dessen Nutzer ist, schafft wegen der für die Nutzer des Informationsangebotes nicht hinreichend klaren Verantwortungsteilung eine spezifische, von der Verantwortungsverteilung nach Art. 2 Buchst. d) RL 95/46/EG nicht erfasste Gefährdungslage; dies gilt umso mehr, als sich das Informationsangebot nicht allein an in dem Netzwerk angemeldete, registrierte Nutzer richtet.

36

Bei unionsrechtskonformer Auslegung kommt eine entsprechende Anwendung der Auswahl- und Kontrollpflichten des § 11 Abs. 2 Satz 1 und 4 BDSG allerdings dann nicht in Betracht, wenn aus Art. 17 Abs. 2 RL 95/46/EG im Umkehrschluss folgt, dass einem Informationsanbieter datenschutzrechtliche Auswahl- und Kontrollpflichten nur und ausschließlich bei einer Datenverarbeitung im Auftrag auferlegt werden können. Die Auferlegung weitergehender Pflichten ist nach dem Wortlaut allerdings nicht ausgeschlossen; sie bewirkt auch keine neuen oder zusätzlichen materiellrechtlichen Bedingungen in Bezug auf die Zulässigkeit der Verarbeitung personenbezogener Daten (dazu EuGH, Urteil vom 24. November 2011 - C-468/10, C-469/10 [ECLI:EU:C:2011:777], ASNEF/FECEMD -). Für einen Umkehrschluss mag indes eine klare und eindeutige Verantwortungszuweisung allein an den Infrastrukturanbieter sprechen; die Nutzer von Infrastrukturangeboten und Plattformen bleiben zudem von der Notwendigkeit befreit, die Rechtmäßigkeit der Datenverarbeitung durch den ausgewählten Anbieter (inzident) überprüfen zu müssen.

37

d) Für den Fall, dass einen Informationsanbieter in mehrstufigen Anbieterverhältnissen eine Verantwortlichkeit bei der Auswahl seines Infrastrukturanbieters trifft, setzt die Rechtmäßigkeit der hier getroffenen Anordnung weiterhin jedenfalls voraus, dass diese Auswahlverantwortlichkeit verletzt worden ist, weil es bei dem ausgewählten Anbieter - hier der Beigeladenen - bei der Erhebung und Verarbeitung von Daten der Nutzer des Informationsangebotes der Klägerin zu hinreichend gewichtigen Verstößen gegen das Datenschutzrecht kommt. Diese Frage ist zwischen den Beteiligten umstritten und vom Berufungsgericht nicht abschließend geklärt worden. Auf der Grundlage der getroffenen tatsächlichen Feststellungen kann das vorlegende Gericht sie nicht abschließend beantworten. Zu ihrer Beantwortung bedarf es auch der Klärung der zu 3. bis 6. gestellten Fragen zur Zuständigkeit der hier handelnden Datenschutzkontrollbehörde und der Reichweite ihrer Prüfungsbefugnis.

38

aa) Zwischen den Beteiligten steht zu Recht nicht im Streit, dass die Erhebung und Verarbeitung von Daten der Nutzer der von der Klägerin betriebenen Fanpage durch Facebook als Infrastrukturanbieter in den räumlichen Anwendungsbereich der RL 95/46/EG fällt, soweit es sich um personenbezogene Daten im Sinne des Art. 2 Buchst. a) RL 95/46/EG handelt. Denn die in den Vereinigten Staaten von Amerika ansässige Muttergesellschaft, die Facebook Inc., unterhält neben der für die Förderung des Verkaufs von Werbung und sonstige Marketingmaßnahmen mit Ausrichtung auf die Einwohner der Bundesrepublik Deutschland betrauten Tochtergesellschaft Facebook Germany GmbH (mit Sitz in Hamburg) die in der Irischen Republik ansässige Tochtergesellschaft Facebook Ireland Ltd. - die Beigeladene -, die nach eigenem Bekunden konzernintern die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten (u.a.) im gesamten Gebiet der Europäischen Union trägt. Jedenfalls müssen alle im Unionsgebiet wohnhaften Personen, die Facebook nutzen wollen, bei ihrer Anmeldung einen Vertrag mit Facebook Ireland Ltd. abschließen (s.a. EuGH, Urteil vom 6. Oktober 2015 - C-362/14 - Rn. 27). Der Beklagte hat allerdings geltend gemacht, dass tatsächlich die Entscheidung über Art und Umfang der Datenverarbeitung und die Datenverarbeitung selbst nicht durch die Beigeladene erfolge, weil die personenbezogenen Daten der im Unionsgebiet wohnhaften Nutzer von Facebook ganz oder teilweise an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet werden (s.a. EuGH, Urteil vom 6. Oktober 2015 - C-362/14 - Rn. 27).

39

Im Rahmen der Bestimmung der für etwaige Aufsichts- und Kontrollmaßnahmen zuständigen Kontrollstelle bedarf es dann aber der Klärung der mit Vorlagefrage zu 3. aufgeworfenen Frage. Es sind die Voraussetzungen zu bestimmen, unter denen eine (von mehreren) Niederlassungen eines außerhalb der Europäischen Union ansässigen Mutterkonzerns als "für die Verarbeitung Verantwortliche" im Sinne der Art. 4 und Art. 2 Buchst. d) RL 95/46/EG angesehen werden kann. Insbesondere ist zu klären, ob es dafür ausreicht, dass sich eine der Niederlassungen in der Europäischen Union (hier: die beigeladene Facebook Ireland Ltd.) selbst als die für die Datenverarbeitung im gesamten Unionsgebiet insoweit Verantwortliche bezeichnet, auch wenn physikalisch die Datenverarbeitung ganz oder teilweise von dem Mutterkonzern außerhalb des Unionsgebiets durchgeführt und maßgeblich von diesem gesteuert wird. Wird dies bejaht, kommt es auf die Einzelheiten der konzerninternen Entscheidungs- und Datenverarbeitungsstrukturen nicht an. Wird dies verneint, kann hingegen auch eine andere Niederlassung (hier: Deutschland) als Verantwortliche angesehen werden, die der Aufsicht und Kontrolle nach Art. 28 Abs. 6 RL 95/46/EG unterliegt, wenn die Datenverarbeitung tatsächlich nicht im Gebiet der Gemeinschaft erfolgt. Dann sind vom nationalen Gericht für die Bestimmung der verantwortlichen Niederlassung zunächst die Einzelheiten der konzerninternen Entscheidungs- und Datenverarbeitungsstrukturen aufzuklären.

40

bb) Die Vorlagefrage zu 4. richtet sich auf die Zuständigkeitsverteilung zwischen den Datenschutzkontrollbehörden in Fällen, in denen ein Mutterkonzern (hier: Facebook Inc., USA) im Unionsgebiet mehrere Niederlassungen unterhält, die aber unterschiedliche Aufgaben haben. In seinem Urteil vom 13. Mai 2014 (EuGH, Urteil vom 13. Mai 2014 - C-131/12 -) hat der Gerichtshof der Europäischen Union Art. 4 Abs. 1 Buchst. a) RL 95/46/EG dahin ausgelegt, dass im Sinne dieser Bestimmung eine Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung ausgeführt wird, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet eines Mitgliedstaates besitzt, wenn der die Verarbeitung Durchführende in einem Mitgliedstaat für die Förderung des Verkaufs der Werbeflächen für sein Datenverarbeitungsangebot und diesen Verkauf selbst eine Zweigniederlassung oder Tochtergesellschaft gründet, deren Tätigkeit auf die Einwohner dieses Staates ausgerichtet ist. Klärungsbedürftig ist, ob diese Anknüpfung an eine (allein) für Marketing und Vertrieb zuständige Niederlassung in einem Mitgliedstaat (hier: Deutschland) für die Anwendbarkeit der Datenschutzrichtlinie und die Zuständigkeit der Kontrollbehörde auch auf eine Konstellation übertragbar ist, bei der eine in einem anderen Mitgliedstaat (hier: Irland) niedergelassenen Tochtergesellschaft nach der konzerninternen Aufgaben- und Verantwortungsteilung auch im Außenverhältnis als im gesamten Unionsgebiet "für die Verarbeitung Verantwortlicher" auftritt. Insoweit keine Klärung bewirkt aus Sicht des vorlegenden Gerichts das Urteil des Gerichtshofs vom 1. Oktober 2015 (EuGH, Urteil vom 1. Oktober 2015 - C-230/14 [ECLI:EU:C:2015:639], Weltimmo -); dort war nicht die Konstellation zweier rechtlich selbständiger Tochtergesellschaften, denen konzernintern unterschiedliche sachliche und regionale Aufgaben zugewiesen waren, einer außerhalb des Unionsgebiets ansässigen Muttergesellschaft zu beurteilen. Bei der vorliegend in Rede stehenden Konstellation kommt es auf die Reichweite der Kontroll- und Aufsichtsbefugnisse in Deutschland gelegener Kontrollstellen, die an die für Werbung und Marketing zuständige Niederlassung Facebook Germany GmbH anknüpfen, nicht zuletzt wegen der Auswahl des Adressaten einer Maßnahme nach Art. 28 Abs. 3 RL 95/46/EG (bzw. § 38 Abs. 5 BDSG) an. Ein Vorgehen gegen die Klägerin könnte dann - unabhängig von der Beurteilung der Rechtmäßigkeit der Datenverarbeitung durch Facebook - ermessens- und daher rechtswidrig sein, wenn die von der Kontrollbehörde angenommenen Verstöße gegen das Datenschutzrecht durch ein Vorgehen direkt gegen die in Deutschland gelegene Niederlassung Facebook Germany beseitigt werden könnten.

41

cc) Zwischen den Beteiligten steht im Streit, ob bzw. in welchem Umfang die Verarbeitung von Daten der Nutzer der Fanpage der Klägerin durch Facebook gegen (deutsches oder irisches) Datenschutzrecht verstößt. Die Klägerin und die Beigeladene machen geltend, dass die für die Beigeladene zuständige Datenschutzkontrollbehörde, der irische Data Protection Commissioner, die Datenverarbeitung durch die Beigeladene insgesamt und insbesondere auch die von dem Beklagten beanstandeten Funktionen bei der Erhebung und Verarbeitung der Daten von Fanpage-Nutzern intensiv geprüft und nicht beanstandet habe. Der Beklagte vertritt eine hiervon abweichende rechtliche Beurteilung und sieht sich an die Feststellungen und Bewertungen des Data Protection Commissioner nicht gebunden. Die Vorlagefrage zu 5. zielt auf die Klärung, ob/in welchem Umfange eine solche eigenständige rechtliche Beurteilung als Vorfrage vorgenommen werden darf.

42

Die Ausführungen im Urteil des Gerichtshofs vom 1. Oktober 2015 (EuGH, Urteil vom 1. Oktober 2015 - C-230/14 - Rn. 51 ff.) zur Bestimmung des anzuwendenden Rechts und der zuständigen Kontrollstelle klären diese Frage nicht. Aus Art. 28 Abs. 1 und 3 RL 95/46/EG ergibt sich, dass jede Kontrollstelle sämtliche Befugnisse ausübt, die ihr im Hoheitsgebiet ihres Mitgliedstaates übertragen wurden, um in diesem Hoheitsgebiet die Einhaltung der Datenschutzvorschriften sicherzustellen; eine Kontrollstelle darf keine Sanktionen außerhalb des Hoheitsgebiets ihres Mitgliedstaates verhängen und auch sonst nicht hoheitliche Maßnahmen jenseits ihrer territorialen Zuständigkeit ergreifen. Gegenstand des Ausgangsverfahrens ist indes eine Anordnung gegenüber einer im eigenen Hoheitsgebiet gelegenen Stelle, bei der die Rechtmäßigkeit der Datenverarbeitung durch die Beigeladene nur eine Vorfrage bildet. Ein hoheitliches Vorgehen gegen die Beigeladene ist hiermit gerade nicht verbunden.

43

Nach Art. 28 Abs. 6 RL 95/46/EG ist jede Kontrollstelle im Hoheitsgebiet ihres Mitgliedstaates für die Ausübung der ihr gemäß Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse zuständig, unabhängig vom anwendbaren einzelstaatlichen Recht. Dies stellt indes nicht zweifelsfrei klar, dass die jeweils zuständige Kontrollbehörde zur umfassenden selbständigen Prüfung und Beurteilung der Datenschutzkonformität der Datenverarbeitung durch eine in einem Mitgliedstaat niedergelassene Stelle befugt ist. Allerdings ordnen die Art. 28 ff. RL 95/46/EG eine vorrangige oder gar ausschließliche Prüfungs- und Bewertungskompetenz allein der für den Sitz der verantwortlichen Niederlassung nicht ausdrücklich an; auch ist eine rechtliche Bindung an die rechtliche Bewertung der für die Niederlassung zuständigen Kontrollbehörde eines anderen Mitgliedstaates nicht vorgeschrieben und bewirkte eine problematische Wirkung ihrer Tätigkeit über ihren territorialen Zuständigkeitsbereich hinaus. Die sogenannte Artikel-29-Datenschutzgruppe hat zwar u.a. zur Aufgabe, zu einer einheitlichen Anwendung der Datenschutzrichtlinie beizutragen (Art. 30 Abs. 1 Buchst. a) RL 95/46/EG); sie hat aber keine Kompetenz zur verbindlichen Entscheidung divergierender rechtlicher Bewertungen verschiedener nationaler Kontrollbehörden. All dies kann dafür sprechen, dass jede Kontrollstelle ohne Bindung an die Bewertungen der für die jeweilige Niederlassung zuständigen Kontrollbehörde eines anderen Mitgliedstaates die Vereinbarkeit einer Datenverarbeitung mit dem Datenschutzrecht prüfen und bewerten kann, soweit dies als Vorfrage für ein Handeln in eigener Zuständigkeit erheblich ist.

44

dd) Für den Fall, dass der Kontrollstelle, die im Rahmen ihrer Zuständigkeit tätig wird, eine selbständige Überprüfung der Datenverarbeitung einer in einem anderen Mitgliedstaat gelegenen Niederlassung eröffnet ist, ist zu Art. 28 Abs. 6 Satz 2 RL 95/46/EG zu klären, ob die dort jeder Kontrollstelle eröffnete Möglichkeit, die Kontrollstelle eines anderen Mitgliedstaates um die Ausübung ihrer Befugnisse zu ersuchen, eine Pflicht umfassen kann, von dieser Möglichkeit auch Gebrauch zu machen. Die Vorlagefrage zu 6. wirft diese Frage deswegen auf, weil der Beklagte zwar im Rahmen seiner Anordnung gegen die Klägerin mit seiner eigenständigen Bewertung der Vorfrage der Datenschutzkonformität der Verarbeitung durch die Beigeladene von der Beurteilung des irischen Data Protection Commissioner abweicht, diesen aber nicht förmlich um die Ausübung seiner Befugnisse gegenüber der Beigeladenen ersucht hat. Eine Anordnung gegen die Klägerin wegen Nichtbeachtung ihrer Auswahlverantwortlichkeit, die an Datenschutzverstöße der Beigeladenen anknüpft, wäre jedenfalls dann ermessenswidrig, wenn aus Art. 28 Abs. 6 Satz 2 RL 95/46/EG eine unbedingte, umfassende Pflicht, den irischen Data Protection Commissioner um die Ausübung seiner Befugnisse zu ersuchen, jedenfalls dann folgte, wenn von dessen Bewertung der Datenschutzkonformität der Datenverarbeitung durch die Beigeladenen abgewichen werden soll.

Urteilsbesprechung zu {{shorttitle}}
{{count_recursive}} Urteilsbesprechungen zu {{shorttitle}}

moreResultsText


(1) Die Revision kann nur darauf gestützt werden, daß das angefochtene Urteil auf der Verletzung1.von Bundesrecht oder2.einer Vorschrift des Verwaltungsverfahrensgesetzes eines Landes, die ihrem Wortlaut nach mit dem Verwaltungsverfahrensgesetz des B

Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurd
{{title}} zitiert {{count_recursive}} §§.

(1) Die Revision kann nur darauf gestützt werden, daß das angefochtene Urteil auf der Verletzung1.von Bundesrecht oder2.einer Vorschrift des Verwaltungsverfahrensgesetzes eines Landes, die ihrem Wortlaut nach mit dem Verwaltungsverfahrensgesetz des B

Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurd
2 Referenzen - Urteile
{{Doctitle}} zitiert oder wird zitiert von {{count_recursive}} Urteil(en).

published on 28/10/2014 00:00

BUNDESGERICHTSHOF BESCHLUSS VIZR 135/13 vom 28. Oktober 2014 in dem Rechtsstreit Nachschlagewerk: ja BGHZ: nein BGHR: ja Richtlinie 95/46/EG (Datenschutz-Richtlinie) Art. 2 a, Art. 7 f; TMG §§ 12, 15 Dem Gerichtshof der Europäisch
{{Doctitle}} zitiert {{count_recursive}} Urteil(e) aus unserer Datenbank.
published on 29/06/2016 00:00

Tenor Die Beschwerde der Antragsgegnerin gegen den Beschluss des Verwaltungsgerichts Hamburg vom 3. März 2016 wird zurückgewiesen. Die Antragsgegnerin trägt die Kosten des Beschwerdeverfahrens. Der Streitwert wird für das Beschwerdeverfa
{{count_recursive}} Urteil(e) in unserer Datenbank zitieren {{Doctitle}}.

Annotations

(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.

(1) In Deutschland nach § 2a niedergelassene Diensteanbieter und ihre Telemedien unterliegen den Anforderungen des deutschen Rechts auch dann, wenn die Telemedien innerhalb des Geltungsbereichs der Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt (Richtlinie über den elektronischen Geschäftsverkehr) (ABl. L 178 vom 17.7.2000, S. 1) und der Richtlinie 2010/13/EU in einem anderen Mitgliedstaat geschäftsmäßig angeboten oder verbreitet werden.

(2) Der freie Dienstleistungsverkehr von Telemedien, die innerhalb des Geltungsbereichs der Richtlinie 2000/31/EG und der Richtlinie 2010/13/EU in Deutschland von Diensteanbietern, die in einem anderen Mitgliedstaat niedergelassen sind, geschäftsmäßig angeboten oder verbreitet werden, wird vorbehaltlich der Absätze 5 und 6 nicht eingeschränkt.

(3) Von den Absätzen 1 und 2 bleiben unberührt

1.
die Freiheit der Rechtswahl,
2.
die Vorschriften für vertragliche Schuldverhältnisse in Bezug auf Verbraucherverträge,
3.
gesetzliche Vorschriften über die Form des Erwerbs von Grundstücken und grundstücksgleichen Rechten sowie der Begründung, Übertragung, Änderung oder Aufhebung von dinglichen Rechten an Grundstücken und grundstücksgleichen Rechten,
4.
das für den Schutz personenbezogener Daten geltende Recht.

(4) Die Absätze 1 und 2 gelten nicht für

1.
die Tätigkeit von Notaren sowie von Angehörigen anderer Berufe, soweit diese ebenfalls hoheitlich tätig sind,
2.
die Vertretung von Mandanten und die Wahrnehmung ihrer Interessen vor Gericht,
3.
die Zulässigkeit nicht angeforderter kommerzieller Kommunikationen durch elektronische Post,
4.
Gewinnspiele mit einem einen Geldwert darstellenden Einsatz bei Glücksspielen, einschließlich Lotterien und Wetten,
5.
die Anforderungen an Verteildienste,
6.
das Urheberrecht, verwandte Schutzrechte, Rechte im Sinne der Richtlinie 87/54/EWG des Rates vom 16. Dezember 1986 über den Rechtsschutz der Topographien von Halbleitererzeugnissen (ABl. EG Nr. L 24 S. 36) und der Richtlinie 96/9/EG des Europäischen Parlaments und des Rates vom 11. März 1996 über den rechtlichen Schutz von Datenbanken (ABl. EG Nr. L 77 S. 20) sowie für gewerbliche Schutzrechte,
7.
die Ausgabe elektronischen Geldes durch Institute, die gemäß Artikel 8 Abs. 1 der Richtlinie 2000/46/EG des Europäischen Parlaments und des Rates vom 18. September 2000 über die Aufnahme, Ausübung und Beaufsichtigung der Tätigkeit von E-Geld-Instituten (ABl. EG Nr. L 275 S. 39) von der Anwendung einiger oder aller Vorschriften dieser Richtlinie und von der Anwendung der Richtlinie 2000/12/EG des Europäischen Parlaments und des Rates vom 20. März 2000 über die Aufnahme und Ausübung der Tätigkeit der Kreditinstitute (ABl. EG Nr. L 126 S. 1) freigestellt sind,
8.
Vereinbarungen oder Verhaltensweisen, die dem Kartellrecht unterliegen,
9.
Bereiche, die erfasst sind von den §§ 39, 57 bis 59, 61 bis 65, 146, 241 bis 243b, 305 und 306 des Versicherungsaufsichtsgesetzes vom 1. April 2015 (BGBl. I S. 434), das zuletzt durch Artikel 6 des Gesetzes vom 19. März 2020 (BGBl. I S. 529) geändert worden ist, und von der Versicherungsberichterstattungs-Verordnung vom 19. Juli 2017 (BGBl. I S. 2858), die durch Artikel 7 des Gesetzes vom 17. August 2017 (BGBl. I S. 3214) geändert worden ist, für die Regelungen über das auf Versicherungsverträge anwendbare Recht sowie für Pflichtversicherungen.

(5) Das Angebot und die Verbreitung von Telemedien, bei denen es sich nicht um audiovisuelle Mediendienste handelt, durch einen Diensteanbieter, der in einem anderen Mitgliedstaat niedergelassen ist, unterliegen den Einschränkungen des deutschen Rechts, soweit

1.
dies dem Schutz folgender Schutzziele vor Beeinträchtigungen oder ernsthaften und schwerwiegenden Gefahren dient:
a)
der öffentlichen Sicherheit und Ordnung, insbesondere
aa)
im Hinblick auf die Verhütung, Ermittlung, Aufklärung, Verfolgung und Vollstreckung
aaa)
von Straftaten und Ordnungswidrigkeiten, einschließlich des Jugendschutzes und der Bekämpfung der Verunglimpfung aus Gründen der Rasse, des Geschlechts, des Glaubens oder der Nationalität,
bbb)
von Verletzungen der Menschenwürde einzelner Personen oder
bb)
im Hinblick auf die Wahrung nationaler Sicherheits- und Verteidigungsinteressen,
b)
der öffentlichen Gesundheit oder
c)
der Interessen der Verbraucher und der Interessen der Anleger und
2.
die Maßnahmen, die auf der Grundlage des deutschen Rechts in Betracht kommen, in einem angemessenen Verhältnis zu diesen Schutzzielen stehen.
Maßnahmen nach Satz 1 Nummer 2 sind nur zulässig, wenn die gemäß Artikel 3 Absatz 4 Buchstabe b und Absatz 5 der Richtlinie 2000/31/EG erforderlichen Verfahren eingehalten werden; davon unberührt bleiben gerichtliche Verfahren einschließlich etwaiger Vorverfahren und die Verfolgung von Straftaten einschließlich der Strafvollstreckung und von Ordnungswidrigkeiten.

(6) Der freie Empfang und die Weiterverbreitung von audiovisuellen Mediendiensten aus anderen Mitgliedstaaten darf abweichend von Absatz 2 vorübergehend beeinträchtigt werden, wenn diese audiovisuellen Mediendienste

1.
in offensichtlicher, ernster und schwerwiegender Weise Folgendes enthalten:
a)
eine Aufstachelung zu Gewalt oder Hass gegen eine Gruppe von Personen oder gegen ein Mitglied einer Gruppe von Personen aus einem der in Artikel 21 der Charta der Grundrechte der Europäischen Union (ABl. C 364 vom 18.12.2000, S. 1) genannten Gründe,
b)
eine öffentliche Aufforderung zur Begehung einer terroristischen Straftat gemäß Artikel 5 der Richtlinie (EU) 2017/541 des Europäischen Parlaments und des Rates vom 15. März 2017 zur Terrorismusbekämpfung und zur Ersetzung des Rahmenbeschlusses 2002/475/Jl des Rates und zur Änderung des Beschlusses 2005/671/Jl des Rates (ABl. L 88 vom 31.3.2017, S. 6),
c)
einen Verstoß gegen die Vorgaben zum Schutz von Minderjährigen nach Artikel 6a Absatz 1 der Richtlinie 2010/13/EU oder
2.
eine Beeinträchtigung oder eine ernsthafte und schwerwiegende Gefahr der Beeinträchtigung darstellen für
a)
die öffentliche Gesundheit,
b)
die öffentliche Sicherheit oder
c)
die Wahrung nationaler Sicherheits- und Verteidigungsinteressen.
Maßnahmen nach Satz 1 sind nur zulässig, wenn die Voraussetzungen des Artikels 3 Absatz 2 bis 5 der Richtlinie 2010/13/EU erfüllt sind.

Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist.

(1) Der Deutsche Bundestag wählt ohne Aussprache auf Vorschlag der Bundesregierung die Bundesbeauftragte oder den Bundesbeauftragten mit mehr als der Hälfte der gesetzlichen Zahl seiner Mitglieder. Die oder der Gewählte ist von der Bundespräsidentin oder dem Bundespräsidenten zu ernennen. Die oder der Bundesbeauftragte muss bei ihrer oder seiner Wahl das 35. Lebensjahr vollendet haben. Sie oder er muss über die für die Erfüllung ihrer oder seiner Aufgaben und Ausübung ihrer oder seiner Befugnisse erforderliche Qualifikation, Erfahrung und Sachkunde insbesondere im Bereich des Schutzes personenbezogener Daten verfügen. Insbesondere muss die oder der Bundesbeauftragte über durch einschlägige Berufserfahrung erworbene Kenntnisse des Datenschutzrechts verfügen und die Befähigung zum Richteramt oder höheren Verwaltungsdienst haben.

(2) Die oder der Bundesbeauftragte leistet vor der Bundespräsidentin oder dem Bundespräsidenten folgenden Eid: „Ich schwöre, dass ich meine Kraft dem Wohle des deutschen Volkes widmen, seinen Nutzen mehren, Schaden von ihm wenden, das Grundgesetz und die Gesetze des Bundes wahren und verteidigen, meine Pflichten gewissenhaft erfüllen und Gerechtigkeit gegen jedermann üben werde. So wahr mir Gott helfe. “ Der Eid kann auch ohne religiöse Beteuerung geleistet werden.

(3) Die Amtszeit der oder des Bundesbeauftragten beträgt fünf Jahre. Einmalige Wiederwahl ist zulässig.

(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.

(1) Der Deutsche Bundestag wählt ohne Aussprache auf Vorschlag der Bundesregierung die Bundesbeauftragte oder den Bundesbeauftragten mit mehr als der Hälfte der gesetzlichen Zahl seiner Mitglieder. Die oder der Gewählte ist von der Bundespräsidentin oder dem Bundespräsidenten zu ernennen. Die oder der Bundesbeauftragte muss bei ihrer oder seiner Wahl das 35. Lebensjahr vollendet haben. Sie oder er muss über die für die Erfüllung ihrer oder seiner Aufgaben und Ausübung ihrer oder seiner Befugnisse erforderliche Qualifikation, Erfahrung und Sachkunde insbesondere im Bereich des Schutzes personenbezogener Daten verfügen. Insbesondere muss die oder der Bundesbeauftragte über durch einschlägige Berufserfahrung erworbene Kenntnisse des Datenschutzrechts verfügen und die Befähigung zum Richteramt oder höheren Verwaltungsdienst haben.

(2) Die oder der Bundesbeauftragte leistet vor der Bundespräsidentin oder dem Bundespräsidenten folgenden Eid: „Ich schwöre, dass ich meine Kraft dem Wohle des deutschen Volkes widmen, seinen Nutzen mehren, Schaden von ihm wenden, das Grundgesetz und die Gesetze des Bundes wahren und verteidigen, meine Pflichten gewissenhaft erfüllen und Gerechtigkeit gegen jedermann üben werde. So wahr mir Gott helfe. “ Der Eid kann auch ohne religiöse Beteuerung geleistet werden.

(3) Die Amtszeit der oder des Bundesbeauftragten beträgt fünf Jahre. Einmalige Wiederwahl ist zulässig.

Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist.

(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.

Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist.

(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.

Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist.

(1) Der oder dem Datenschutzbeauftragten obliegen neben den in der Verordnung (EU) 2016/679 genannten Aufgaben zumindest folgende Aufgaben:

1.
Unterrichtung und Beratung der öffentlichen Stelle und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach diesem Gesetz und sonstigen Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften;
2.
Überwachung der Einhaltung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, sowie der Strategien der öffentlichen Stelle für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und der Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten und der diesbezüglichen Überprüfungen;
3.
Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß § 67 dieses Gesetzes;
4.
Zusammenarbeit mit der Aufsichtsbehörde;
5.
Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß § 69 dieses Gesetzes, und gegebenenfalls Beratung zu allen sonstigen Fragen.
Im Fall einer oder eines bei einem Gericht bestellten Datenschutzbeauftragten beziehen sich diese Aufgaben nicht auf das Handeln des Gerichts im Rahmen seiner justiziellen Tätigkeit.

(2) Die oder der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Die öffentliche Stelle stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.

(3) Die oder der Datenschutzbeauftragte trägt bei der Erfüllung ihrer oder seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei sie oder er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

(1) Der Deutsche Bundestag wählt ohne Aussprache auf Vorschlag der Bundesregierung die Bundesbeauftragte oder den Bundesbeauftragten mit mehr als der Hälfte der gesetzlichen Zahl seiner Mitglieder. Die oder der Gewählte ist von der Bundespräsidentin oder dem Bundespräsidenten zu ernennen. Die oder der Bundesbeauftragte muss bei ihrer oder seiner Wahl das 35. Lebensjahr vollendet haben. Sie oder er muss über die für die Erfüllung ihrer oder seiner Aufgaben und Ausübung ihrer oder seiner Befugnisse erforderliche Qualifikation, Erfahrung und Sachkunde insbesondere im Bereich des Schutzes personenbezogener Daten verfügen. Insbesondere muss die oder der Bundesbeauftragte über durch einschlägige Berufserfahrung erworbene Kenntnisse des Datenschutzrechts verfügen und die Befähigung zum Richteramt oder höheren Verwaltungsdienst haben.

(2) Die oder der Bundesbeauftragte leistet vor der Bundespräsidentin oder dem Bundespräsidenten folgenden Eid: „Ich schwöre, dass ich meine Kraft dem Wohle des deutschen Volkes widmen, seinen Nutzen mehren, Schaden von ihm wenden, das Grundgesetz und die Gesetze des Bundes wahren und verteidigen, meine Pflichten gewissenhaft erfüllen und Gerechtigkeit gegen jedermann üben werde. So wahr mir Gott helfe. “ Der Eid kann auch ohne religiöse Beteuerung geleistet werden.

(3) Die Amtszeit der oder des Bundesbeauftragten beträgt fünf Jahre. Einmalige Wiederwahl ist zulässig.

(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.

Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist.

(1) Der oder dem Datenschutzbeauftragten obliegen neben den in der Verordnung (EU) 2016/679 genannten Aufgaben zumindest folgende Aufgaben:

1.
Unterrichtung und Beratung der öffentlichen Stelle und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach diesem Gesetz und sonstigen Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften;
2.
Überwachung der Einhaltung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, sowie der Strategien der öffentlichen Stelle für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und der Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten und der diesbezüglichen Überprüfungen;
3.
Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß § 67 dieses Gesetzes;
4.
Zusammenarbeit mit der Aufsichtsbehörde;
5.
Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß § 69 dieses Gesetzes, und gegebenenfalls Beratung zu allen sonstigen Fragen.
Im Fall einer oder eines bei einem Gericht bestellten Datenschutzbeauftragten beziehen sich diese Aufgaben nicht auf das Handeln des Gerichts im Rahmen seiner justiziellen Tätigkeit.

(2) Die oder der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Die öffentliche Stelle stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.

(3) Die oder der Datenschutzbeauftragte trägt bei der Erfüllung ihrer oder seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei sie oder er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

(1) Der Deutsche Bundestag wählt ohne Aussprache auf Vorschlag der Bundesregierung die Bundesbeauftragte oder den Bundesbeauftragten mit mehr als der Hälfte der gesetzlichen Zahl seiner Mitglieder. Die oder der Gewählte ist von der Bundespräsidentin oder dem Bundespräsidenten zu ernennen. Die oder der Bundesbeauftragte muss bei ihrer oder seiner Wahl das 35. Lebensjahr vollendet haben. Sie oder er muss über die für die Erfüllung ihrer oder seiner Aufgaben und Ausübung ihrer oder seiner Befugnisse erforderliche Qualifikation, Erfahrung und Sachkunde insbesondere im Bereich des Schutzes personenbezogener Daten verfügen. Insbesondere muss die oder der Bundesbeauftragte über durch einschlägige Berufserfahrung erworbene Kenntnisse des Datenschutzrechts verfügen und die Befähigung zum Richteramt oder höheren Verwaltungsdienst haben.

(2) Die oder der Bundesbeauftragte leistet vor der Bundespräsidentin oder dem Bundespräsidenten folgenden Eid: „Ich schwöre, dass ich meine Kraft dem Wohle des deutschen Volkes widmen, seinen Nutzen mehren, Schaden von ihm wenden, das Grundgesetz und die Gesetze des Bundes wahren und verteidigen, meine Pflichten gewissenhaft erfüllen und Gerechtigkeit gegen jedermann üben werde. So wahr mir Gott helfe. “ Der Eid kann auch ohne religiöse Beteuerung geleistet werden.

(3) Die Amtszeit der oder des Bundesbeauftragten beträgt fünf Jahre. Einmalige Wiederwahl ist zulässig.

(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.

(1) Die Revision kann nur darauf gestützt werden, daß das angefochtene Urteil auf der Verletzung

1.
von Bundesrecht oder
2.
einer Vorschrift des Verwaltungsverfahrensgesetzes eines Landes, die ihrem Wortlaut nach mit dem Verwaltungsverfahrensgesetz des Bundes übereinstimmt,
beruht.

(2) Das Bundesverwaltungsgericht ist an die in dem angefochtenen Urteil getroffenen tatsächlichen Feststellungen gebunden, außer wenn in bezug auf diese Feststellungen zulässige und begründete Revisionsgründe vorgebracht sind.

(3) Wird die Revision auf Verfahrensmängel gestützt und liegt nicht zugleich eine der Voraussetzungen des § 132 Abs. 2 Nr. 1 und 2 vor, so ist nur über die geltend gemachten Verfahrensmängel zu entscheiden. Im übrigen ist das Bundesverwaltungsgericht an die geltend gemachten Revisionsgründe nicht gebunden.

(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.

Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist.

(1) Der Deutsche Bundestag wählt ohne Aussprache auf Vorschlag der Bundesregierung die Bundesbeauftragte oder den Bundesbeauftragten mit mehr als der Hälfte der gesetzlichen Zahl seiner Mitglieder. Die oder der Gewählte ist von der Bundespräsidentin oder dem Bundespräsidenten zu ernennen. Die oder der Bundesbeauftragte muss bei ihrer oder seiner Wahl das 35. Lebensjahr vollendet haben. Sie oder er muss über die für die Erfüllung ihrer oder seiner Aufgaben und Ausübung ihrer oder seiner Befugnisse erforderliche Qualifikation, Erfahrung und Sachkunde insbesondere im Bereich des Schutzes personenbezogener Daten verfügen. Insbesondere muss die oder der Bundesbeauftragte über durch einschlägige Berufserfahrung erworbene Kenntnisse des Datenschutzrechts verfügen und die Befähigung zum Richteramt oder höheren Verwaltungsdienst haben.

(2) Die oder der Bundesbeauftragte leistet vor der Bundespräsidentin oder dem Bundespräsidenten folgenden Eid: „Ich schwöre, dass ich meine Kraft dem Wohle des deutschen Volkes widmen, seinen Nutzen mehren, Schaden von ihm wenden, das Grundgesetz und die Gesetze des Bundes wahren und verteidigen, meine Pflichten gewissenhaft erfüllen und Gerechtigkeit gegen jedermann üben werde. So wahr mir Gott helfe. “ Der Eid kann auch ohne religiöse Beteuerung geleistet werden.

(3) Die Amtszeit der oder des Bundesbeauftragten beträgt fünf Jahre. Einmalige Wiederwahl ist zulässig.

Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist.

(1) Der Deutsche Bundestag wählt ohne Aussprache auf Vorschlag der Bundesregierung die Bundesbeauftragte oder den Bundesbeauftragten mit mehr als der Hälfte der gesetzlichen Zahl seiner Mitglieder. Die oder der Gewählte ist von der Bundespräsidentin oder dem Bundespräsidenten zu ernennen. Die oder der Bundesbeauftragte muss bei ihrer oder seiner Wahl das 35. Lebensjahr vollendet haben. Sie oder er muss über die für die Erfüllung ihrer oder seiner Aufgaben und Ausübung ihrer oder seiner Befugnisse erforderliche Qualifikation, Erfahrung und Sachkunde insbesondere im Bereich des Schutzes personenbezogener Daten verfügen. Insbesondere muss die oder der Bundesbeauftragte über durch einschlägige Berufserfahrung erworbene Kenntnisse des Datenschutzrechts verfügen und die Befähigung zum Richteramt oder höheren Verwaltungsdienst haben.

(2) Die oder der Bundesbeauftragte leistet vor der Bundespräsidentin oder dem Bundespräsidenten folgenden Eid: „Ich schwöre, dass ich meine Kraft dem Wohle des deutschen Volkes widmen, seinen Nutzen mehren, Schaden von ihm wenden, das Grundgesetz und die Gesetze des Bundes wahren und verteidigen, meine Pflichten gewissenhaft erfüllen und Gerechtigkeit gegen jedermann üben werde. So wahr mir Gott helfe. “ Der Eid kann auch ohne religiöse Beteuerung geleistet werden.

(3) Die Amtszeit der oder des Bundesbeauftragten beträgt fünf Jahre. Einmalige Wiederwahl ist zulässig.

(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.