Gründe
Zu den Vorlagefragen
Zur ersten Frage
43Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob die Art. 22 bis 24 der Richtlinie 95/46 dahin auszulegen sind, dass sie einer nationalen Regelung entgegenstehen, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben.
44Vorab ist darauf hinzuweisen, dass nach Art. 22 der Richtlinie 95/46 die Mitgliedstaaten vorsehen, dass jede Person bei der Verletzung der Rechte, die ihr durch die für die betreffende Verarbeitung geltenden einzelstaatlichen Rechtsvorschriften garantiert sind, bei Gericht einen Rechtsbehelf einlegen kann.
45Nach Art. 28 Abs. 3 Unterabs. 3 der Richtlinie 95/46 verfügt eine Kontrollstelle, die gemäß Art. 28 Abs. 1 dieser Richtlinie beauftragt wird, die Anwendung der von dem betreffenden Mitgliedstaat zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in seinem Hoheitsgebiet zu überwachen, insbesondere über das Klagerecht oder eine Anzeigebefugnis bei Verstößen gegen die einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie.
46Art. 28 Abs. 4 der Richtlinie 95/46 sieht vor, dass sich ein Verband, der eine betroffene Person im Sinne von Art. 2 Buchst. a dieser Richtlinie vertritt, zum Schutz der die Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an eine Kontrollstelle mit einer Eingabe wenden kann.
47Keine Bestimmung dieser Richtlinie verpflichtet oder ermächtigt die Mitgliedstaaten jedoch ausdrücklich dazu, in ihrem nationalen Recht die Möglichkeit vorzusehen, dass ein Verband eine solche Person vor Gericht vertritt oder aus eigener Initiative Klage gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten erheben kann.
48Das bedeutet allerdings nicht, dass die Richtlinie 95/46 einer nationalen Regelung entgegensteht, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, gegen den mutmaßlichen Verletzer solcher Vorschriften Klage zu erheben.
49Nach Art. 288 Abs. 3 AEUV sind die Mitgliedstaaten nämlich verpflichtet, bei der Umsetzung einer Richtlinie deren vollständige Wirksamkeit zu gewährleisten, wobei sie aber über einen weiten Wertungsspielraum hinsichtlich der Wahl der Mittel und Wege zu ihrer Durchführung verfügen. Diese Freiheit lässt die Verpflichtung der einzelnen Mitgliedstaaten unberührt, alle erforderlichen Maßnahmen zu ergreifen, um die vollständige Wirksamkeit der Richtlinie entsprechend ihrer Zielsetzung zu gewährleisten (Urteile vom , Base u. a., C-389/08, EU:C:2010:584‚ Rn. 24 und 25, sowie vom , Porras Guisado, C-103/16, EU:C:2018:99‚ Rn. 57).
50Insoweit ist darauf hinzuweisen, dass eines der Ziele, die der Richtlinie 95/46 zugrunde liegen, darin besteht, einen wirksamen und umfassenden Schutz der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere des Rechts auf Privatleben, bei der Verarbeitung personenbezogener Daten zu gewährleisten (vgl. in diesem Sinne Urteile vom , Google Spain und Google, C-131/12, EU:C:2014:317, Rn. 53, sowie vom , Puškár, C-73/16, EU:C:2017:725, Rn. 38). In ihrem zehnten Erwägungsgrund wird klargestellt, dass die Angleichung der in dem entsprechenden Bereich geltenden nationalen Rechtsvorschriften nicht zu einer Verringerung des durch diese Rechtsvorschriften garantierten Schutzes führen darf, sondern im Gegenteil darauf abzielen muss, in der Union ein hohes Schutzniveau sicherzustellen (Urteile vom , Lindqvist, C-101/01, EU:C:2003:596, Rn. 95, vom , Huber, C-524/06, EU:C:2008:724, Rn. 50, und vom , Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 und C-469/10, EU:C:2011:777, Rn. 28).
51Der Umstand, dass ein Mitgliedstaat in seiner nationalen Regelung die Möglichkeit für einen Verband zur Wahrung von Verbraucherinteressen vorsieht, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben, ist aber keineswegs den Zielen dieser Regelung abträglich, sondern trägt im Gegenteil zu deren Erreichung bei.
52Fashion ID und Facebook Ireland machen jedoch geltend, da die Richtlinie 95/46 die nationalen Datenschutzvorschriften vollständig harmonisiert habe, sei jede Klage, die in der Richtlinie nicht ausdrücklich vorgesehen sei, ausgeschlossen. Die Art. 22, 23 und 28 der Richtlinie 95/46 sähen nur die Klage der betroffenen Personen und die der Kontrollstellen für den Datenschutz vor.
53Diesem Vorbringen kann indes nicht gefolgt werden.
54Die Richtlinie 95/46 führt zwar zu einer grundsätzlich umfassenden Harmonisierung der nationalen Rechtsvorschriften über den Schutz personenbezogener Daten (vgl. in diesem Sinne Urteile vom , Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 und C-469/10, EU:C:2011:777, Rn. 29, und vom , IPI, C-473/12, EU:C:2013:715, Rn. 31).
55Daher hat der Gerichtshof entschieden, dass Art. 7 dieser Richtlinie eine erschöpfende und abschließende Liste der Fälle vorsieht, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann, und dass die Mitgliedstaaten weder neue Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung personenbezogener Daten neben diesem Artikel einführen, noch zusätzliche Bedingungen stellen dürfen, die die Tragweite eines der sechs in diesem Artikel vorgesehenen Grundsätze verändern würden (Urteile vom , Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 und C-469/10, EU:C:2011:777‚ Rn. 30 und 32, sowie vom , Breyer, C-582/14, EU:C:2016:779‚ Rn. 57).
56Der Gerichtshof hat jedoch auch klargestellt, dass die Richtlinie 95/46 Vorschriften enthält, die verhältnismäßig allgemein gehalten sind, da sie auf eine große Zahl ganz unterschiedlicher Situationen Anwendung finden soll. Diese Vorschriften sind durch eine gewisse Flexibilität gekennzeichnet und überlassen es in vielen Fällen den Mitgliedstaaten, die Einzelheiten zu regeln oder zwischen Optionen zu wählen, so dass die Mitgliedstaaten in vielerlei Hinsicht über einen Handlungsspielraum zur Umsetzung dieser Richtlinie verfügen (vgl. in diesem Sinne Urteile vom , Lindqvist, C-101/01, EU:C:2003:596, Rn. 83, 84 und 97, sowie vom , Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 und C-469/10, EU:C:2011:777, Rn. 35).
57Dies gilt für die Art. 22 bis 24 der Richtlinie 95/46, deren Wortlaut, wie der Generalanwalt in Nr. 42 seiner Schlussanträge festgestellt hat, allgemein gehalten ist und die keine umfassende Harmonisierung der nationalen Vorschriften über gerichtliche Rechtsbehelfe, die gegen den mutmaßlichen Verletzer von Vorschriften über den Schutz personenbezogener Daten eingelegt werden können, vornehmen (vgl. entsprechend Urteil vom , I, C-195/16, EU:C:2017:815, Rn. 57 und 58).
58Insbesondere verpflichtet Art. 22 dieser Richtlinie zwar die Mitgliedstaaten, vorzusehen, dass jede Person bei der Verletzung der Rechte, die ihr durch die für die betreffende Verarbeitung personenbezogener Daten geltenden einzelstaatlichen Rechtsvorschriften garantiert sind, bei Gericht einen Rechtsbehelf einlegen kann, doch enthält die Richtlinie keine Bestimmung, die speziell die Voraussetzungen regelt, unter denen dieser Rechtsbehelf ausgeübt werden kann (vgl. in diesem Sinne Urteil vom , Puškár, C-73/16, EU:C:2017:725, Rn. 54 und 55).
59Außerdem bestimmt Art. 24 der Richtlinie 95/46, dass die Mitgliedstaaten „geeignete Maßnahmen“ ergreifen, um die volle Anwendung der Bestimmungen der Richtlinie sicherzustellen, ohne solche Maßnahmen zu definieren. Vorzusehen, dass ein Verband zur Wahrung von Verbraucherinteressen einen gerichtlichen Rechtsbehelf gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten erheben kann, scheint eine geeignete Maßnahme im Sinne dieser Vorschrift darstellen zu können, die, wie in Rn. 51 des vorliegenden Urteils festgestellt wurde, gemäß der Rechtsprechung des Gerichtshofs zur Erreichung der Ziele dieser Richtlinie beiträgt (vgl. hierzu Urteil vom , Lindqvist, C-101/01, EU:C:2003:596, Rn. 97).
60Im Übrigen scheint entgegen dem Vorbringen von Fashion ID der Umstand, dass ein Mitgliedstaat eine solche Möglichkeit in seinem nationalen Recht vorgesehen hat, nicht geeignet, die Unabhängigkeit zu beeinträchtigen, mit der die Kontrollstellen die ihnen zugewiesenen Aufgaben entsprechend den Anforderungen des Art. 28 der Richtlinie 95/46 ausüben müssen, da diese Möglichkeit weder die Entscheidungsfreiheit dieser Kontrollstellen noch ihre Handlungsfreiheit beeinträchtigen kann.
61Des Weiteren trifft es zwar zu, dass die Richtlinie 95/46 nicht zu den in Anhang I der Richtlinie 2009/22 aufgeführten Rechtsakten gehört, doch nimmt diese Richtlinie gemäß ihrem Art. 7 insoweit keine abschließende Harmonisierung vor.
62Schließlich bedeutet der Umstand, dass die Verordnung 2016/679, die die Richtlinie 95/46 aufgehoben und ersetzt hat und die seit dem anwendbar ist, es Verbänden zur Wahrung von Verbraucherinteressen ausdrücklich gestattet, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten gerichtlich vorzugehen, keinesfalls, dass die Mitgliedstaaten ihnen dieses Recht unter der Geltung der Richtlinie 95/46 nicht gewähren könnten, sondern bestätigt vielmehr, dass die im vorliegenden Urteil vorgenommene Auslegung der Richtlinie den Willen des Unionsgesetzgebers widerspiegelt.
63Nach alledem ist auf die erste Frage zu antworten, dass die Art. 22 bis 24 der Richtlinie 95/46 dahin auszulegen sind, dass sie einer nationalen Regelung, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben, nicht entgegenstehen.
Zur zweiten Frage
64Mit seiner zweiten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob der Betreiber einer Website wie Fashion ID, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden kann, obwohl dieser Betreiber keinen Einfluss auf die Verarbeitung der auf diese Weise an den Anbieter übermittelten Daten hat.
65Insoweit ist darauf hinzuweisen, dass entsprechend dem Ziel der Richtlinie 95/46, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihres Privatlebens, bei der Verarbeitung personenbezogener Daten zu gewährleisten, der Begriff des „für die Verarbeitung Verantwortlichen“ in Art. 2 Buchst. d dieser Richtlinie weit definiert ist als natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (vgl. in diesem Sinne Urteil vom , Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, Rn. 26 und 27).
66Wie der Gerichtshof bereits entschieden hat, besteht das Ziel dieser Bestimmung nämlich darin, durch eine weite Definition des Begriffs des „Verantwortlichen“ einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten (Urteile vom , Google Spain und Google, C-131/12, EU:C:2014:317, Rn. 34, und vom , Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388‚ Rn. 28).
67Zudem verweist der Begriff des „für die Verarbeitung Verantwortlichen“, da er sich, wie Art. 2 Buchst. d der Richtlinie 95/46 ausdrücklich vorsieht, auf die Stelle bezieht, die „allein oder gemeinsam mit anderen“ über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, nicht zwingend auf eine einzige Stelle und kann mehrere an dieser Verarbeitung beteiligte Akteure betreffen, wobei dann jeder von ihnen den Datenschutzvorschriften unterliegt (vgl. in diesem Sinne Urteile vom , Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, Rn. 29, und vom , Jehovan todistajat, C-25/17, EU:C:2018:551, Rn. 65).
68Der Gerichtshof hat auch entschieden, dass eine natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt, als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden kann (Urteil vom , Jehovan todistajat, C-25/17, EU:C:2018:551‚ Rn. 68).
69Im Übrigen setzt die gemeinsame Verantwortlichkeit mehrerer Akteure für dieselbe Verarbeitung nach dieser Bestimmung nicht voraus, dass jeder von ihnen Zugang zu den betreffenden personenbezogenen Daten hat (vgl. in diesem Sinne Urteile vom , Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, Rn. 38, und vom , Jehovan todistajat, C-25/17, EU:C:2018:551, Rn. 69).
70Da jedoch das Ziel von Art. 2 Buchst. d der Richtlinie 95/46 darin besteht, durch eine weite Definition des Begriffs des „Verantwortlichen“ einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten, hat das Bestehen einer gemeinsamen Verantwortlichkeit nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure für dieselbe Verarbeitung personenbezogener Daten zur Folge. Vielmehr können diese Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein, so dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist (vgl. in diesem Sinne Urteil vom , Jehovan todistajat, C-25/17, EU:C:2018:551, Rn. 66).
71Insoweit ist zum einen darauf hinzuweisen, dass Art. 2 Buchst. b der Richtlinie 95/46 die „Verarbeitung personenbezogener Daten“ definiert als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten“.
72Aus dieser Definition geht hervor, dass eine Verarbeitung personenbezogener Daten aus einem oder mehreren Vorgängen bestehen kann, von denen jeder eine der verschiedenen Phasen betrifft, die eine Verarbeitung personenbezogener Daten umfassen kann.
73Zum anderen ergibt sich aus der in Rn. 65 des vorliegenden Urteils wiedergegebenen Definition des Begriffs „für die Verarbeitung Verantwortlicher“ in Art. 2 Buchst. d der Richtlinie 95/46, dass, wenn mehrere Akteure gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmen, diese Akteure an dieser Verarbeitung als Verantwortliche beteiligt sind.
74Daraus folgt, wie der Generalanwalt in Nr. 101 seiner Schlussanträge im Wesentlichen ausgeführt hat, dass eine natürliche oder juristische Person offenbar nur für Vorgänge der Verarbeitung personenbezogener Daten, über deren Zwecke und Mittel sie – gemeinsam mit anderen – entscheidet, im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 gemeinsam mit anderen verantwortlich sein kann. Dagegen kann, unbeschadet einer etwaigen insoweit im nationalen Recht vorgesehenen zivilrechtlichen Haftung, diese natürliche oder juristische Person für vor- oder nachgelagerte Vorgänge in der Verarbeitungskette, für die sie weder die Zwecke noch die Mittel festlegt, nicht als im Sinne dieser Vorschrift verantwortlich angesehen werden.
75Im vorliegenden Fall ergibt sich, vorbehaltlich der Nachprüfung durch das vorlegende Gericht, aus den dem Gerichtshof vorliegenden Akten, dass Fashion ID es dadurch, dass sie den „Gefällt mir“-Button von Facebook Ireland in ihre Website eingebunden hat, offenbar ermöglicht hat, personenbezogene Daten der Besucher ihrer Website zu erhalten. Diese Möglichkeit entsteht ab dem Zeitpunkt des Aufrufens einer solchen Seite, und zwar unabhängig davon, ob diese Besucher Mitglieder des sozialen Netzwerks Facebook sind, ob sie den „Gefällt mir“-Button von Facebook angeklickt haben oder auch ob sie von diesem Vorgang Kenntnis haben.
76Unter Berücksichtigung dieser Informationen ist festzustellen, dass die Vorgänge der Verarbeitung personenbezogener Daten, für die Fashion ID gemeinsam mit Facebook Ireland über die Zwecke und Mittel entscheiden kann, im Rahmen der Definition des Begriffs „Verarbeitung personenbezogener Daten“ in Art. 2 Buchst. b der Richtlinie 95/46 das Erheben der personenbezogenen Daten der Besucher ihrer Website und deren Weitergabe durch Übermittlung sind. Dagegen ist nach diesen Informationen auf den ersten Blick ausgeschlossen, dass Fashion ID über die Zwecke und Mittel der Vorgänge der Verarbeitung personenbezogener Daten entscheidet, die Facebook Ireland nach der Übermittlung dieser Daten an sie vorgenommen hat, so dass Fashion ID für diese Vorgänge nicht als verantwortlich im Sinne von Art. 2 Buchst. d angesehen werden kann.
77Was die Mittel betrifft, die zum Zweck des Erhebens bestimmter personenbezogener Daten der Besucher ihrer Website und deren Weitergabe durch Übermittlung eingesetzt werden, ergibt sich aus Rn. 75 des vorliegenden Urteils, dass Fashion ID den „Gefällt mir“-Button von Facebook, der Website-Betreibern von Facebook Ireland zur Verfügung gestellt wird, in ihre Website offenbar in dem Wissen eingebunden hat, dass dieser als Werkzeug zum Erheben und zur Übermittlung von personenbezogenen Daten der Besucher dieser Seite dient, unabhängig davon, ob es sich dabei um Mitglieder des sozialen Netzwerks Facebook handelt oder nicht.
78Mit der Einbindung eines solchen Social Plugins in ihre Website hat Fashion ID im Übrigen entscheidend das Erheben und die Übermittlung von personenbezogenen Daten der Besucher dieser Seite zugunsten des Anbieters dieses Plugins, im vorliegenden Fall Facebook Ireland, beeinflusst, die ohne Einbindung dieses Plugins nicht erfolgen würden.
79Unter diesen Umständen und vorbehaltlich der insoweit vom vorlegenden Gericht vorzunehmenden Nachprüfungen ist davon auszugehen, dass Facebook Ireland und Fashion ID über die Mittel, die dem Erheben personenbezogener Daten der Besucher der Website von Fashion ID und deren Weitergabe durch Übermittlung zugrunde lagen, gemeinsam entschieden haben.
80Was die Zwecke dieser Vorgänge der Verarbeitung personenbezogener Daten betrifft, scheint es, dass die Einbindung des „Gefällt mir“-Buttons von Facebook durch Fashion ID in ihre Website ihr ermöglicht, die Werbung für ihre Produkte zu optimieren, indem diese im sozialen Netzwerk Facebook sichtbarer gemacht werden, wenn ein Besucher ihrer Website den Button anklickt. Um in den Genuss dieses wirtschaftlichen Vorteils kommen zu können, der in einer solchen verbesserten Werbung für ihre Produkte besteht, scheint Fashion ID mit der Einbindung eines solchen Buttons in ihre Website zumindest stillschweigend in das Erheben personenbezogener Daten der Besucher ihrer Website und deren Weitergabe durch Übermittlung eingewilligt zu haben. Dabei werden diese Verarbeitungsvorgänge im wirtschaftlichen Interesse sowohl von Fashion ID als auch von Facebook Ireland durchgeführt, für die die Tatsache, über diese Daten für ihre eigenen wirtschaftlichen Zwecke verfügen zu können, die Gegenleistung für den Fashion ID gebotenen Vorteil darstellt.
81Daher kann, vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Nachprüfung, davon ausgegangen werden, dass Fashion ID und Facebook Ireland gemeinsam über die Zwecke der Vorgänge des Erhebens der im Ausgangsverfahren in Rede stehenden personenbezogenen Daten und der Weitergabe durch Übermittlung entscheiden.
82Darüber hinaus steht, wie aus der in Rn. 69 des vorliegenden Urteils angeführten Rechtsprechung hervorgeht, der Umstand, dass der Betreiber einer Website wie Fashion ID zu den personenbezogenen Daten, die erhoben und dem Anbieter des Social Plugins übermittelt werden, mit dem sie gemeinsam über die Zwecke und Mittel der Verarbeitung dieser Daten entscheidet, nicht selbst Zugang hat, seiner Einstufung als „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 nicht entgegen.
83Im Übrigen ist darauf hinzuweisen, dass eine Website wie die von Fashion ID sowohl von Personen besucht wird, die Mitglieder des sozialen Netzwerks Facebook sind und somit über ein Konto bei diesem sozialen Netzwerk verfügen, als auch von Personen, die kein solches Konto haben. In letzterem Fall erscheint die Verantwortlichkeit des Betreibers einer Website, wie im vorliegenden Fall Fashion ID, hinsichtlich der Verarbeitung der personenbezogenen Daten dieser Personen noch höher, da das bloße Aufrufen einer solchen Website, die den „Gefällt mir“-Button von Facebook enthält, offenbar automatisch die Verarbeitung ihrer personenbezogenen Daten durch Facebook Ireland auslöst (vgl. in diesem Sinne Urteil vom , Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, Rn. 41).
84Folglich ist Fashion ID für die Vorgänge des Erhebens personenbezogener Daten der Besucher ihrer Website und deren Weitergabe durch Übermittlung gemeinsam mit Facebook Ireland als verantwortlich im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 anzusehen.
85Nach alledem ist auf die zweite Frage zu antworten, dass der Betreiber einer Website wie Fashion ID, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden kann. Diese Verantwortlichkeit ist jedoch auf den Vorgang oder die Vorgänge der Datenverarbeitung beschränkt, für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet, d. h. das Erheben der in Rede stehenden Daten und deren Weitergabe durch Übermittlung.
Zur dritten Frage
86In Anbetracht der Antwort auf die zweite Frage braucht die dritte Frage nicht beantwortet zu werden.
Zur vierten Frage
87Mit seiner vierten Frage möchte das vorlegende Gericht wissen, ob in einer Situation wie der im Ausgangsverfahren in Rede stehenden, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten an diesen Anbieter zu übermitteln, bei der Anwendung von Art. 7 Buchst. f der Richtlinie 95/46 auf das berechtigte Interesse dieses Betreibers oder das berechtigte Interesse des genannten Anbieters abzustellen ist.
88Vorab ist darauf hinzuweisen, dass diese Frage nach Ansicht der Kommission für die Entscheidung des Ausgangsrechtsstreits unerheblich ist, da die von Art. 5 Abs. 3 der Richtlinie 2002/58 verlangte Einwilligung der betroffenen Personen nicht eingeholt wurde.
89Hierzu ist festzustellen, dass nach Art. 5 Abs. 3 der Richtlinie 2002/58 die Mitgliedstaaten sicherstellen müssen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46 u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.
90Es ist Sache des vorlegenden Gerichts, nachzuprüfen, ob in einer Situation wie der im Ausgangsverfahren in Rede stehenden der Anbieter eines Social Plugins, wie im vorliegenden Fall Facebook Ireland, Zugriff auf Informationen hat, die im Endgerät des Besuchers der Website des Betreibers gespeichert sind, wie die Kommission geltend macht.
91Unter diesen Umständen und da das vorlegende Gericht offenbar davon ausgeht, dass im vorliegenden Fall die Facebook Ireland übermittelten Daten personenbezogene Daten im Sinne der Richtlinie 95/46 sind, die sich im Übrigen nicht notwendigerweise auf Informationen beschränken, die im Endgerät gespeichert sind, was vom vorlegenden Gericht zu verifizieren sein wird, können die Erwägungen der Kommission die Erheblichkeit der vierten Vorlagefrage, die sich auf die etwaige Zulässigkeit der Verarbeitung der Daten im vorliegenden Fall bezieht, für die Entscheidung des Ausgangsrechtsstreits nicht in Frage stellen, wie dies auch der Generalanwalt in Nr. 115 seiner Schlussanträge festgestellt hat.
92Folglich ist zu prüfen, welches berechtigte Interesse für die Anwendung von Art. 7 Buchst. f dieser Richtlinie auf die Verarbeitung dieser Daten zu berücksichtigen ist.
93Hierzu ist vorab darauf hinzuweisen, dass gemäß den Bestimmungen des Kapitels II („Allgemeine Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten“) der Richtlinie 95/46 jede Verarbeitung personenbezogener Daten – vorbehaltlich der in Art. 13 zugelassenen Ausnahmen – u. a. einem der in Art. 7 der Richtlinie angeführten Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung von Daten genügen muss (vgl. in diesem Sinne Urteile vom , Google Spain und Google, C-131/12, EU:C:2014:317, Rn. 71, sowie vom , Bara u. a., C-201/14, EU:C:2015:638, Rn. 30).
94Nach Art. 7 Buchst. f der Richtlinie 95/46, um dessen Auslegung das vorlegende Gericht ersucht, ist die Verarbeitung personenbezogener Daten zulässig, wenn sie zur Verwirklichung des berechtigten Interesses erforderlich ist, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gemäß Art. 1 Abs. 1 der Richtlinie 95/46 geschützt sind, überwiegen.
95Art. 7 Buchst. f enthält somit für die Zulässigkeit der Verarbeitung personenbezogener Daten drei kumulative Voraussetzungen: 1. berechtigtes Interesse, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, 2. Erforderlichkeit der Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses und 3. kein Überwiegen der Grundrechte und Grundfreiheiten der betroffenen Person (Urteil vom , Rīgas satiksme, C-13/16, EU:C:2017:336, Rn. 28).
96Da angesichts der Antwort auf die zweite Frage in einer Situation wie der im Ausgangsverfahren in Rede stehenden der Betreiber einer Website, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, gemeinsam mit diesem Anbieter als für die Vorgänge der Verarbeitung – d. h. das Erheben und die Weitergabe durch Übermittlung – von personenbezogenen Daten der Besucher seiner Website Verantwortlicher angesehen werden kann, ist es erforderlich, dass jeder dieser Verantwortlichen mit diesen Verarbeitungsvorgängen ein berechtigtes Interesse im Sinne von Art. 7 Buchst. f der Richtlinie 95/46 wahrnimmt, damit diese Vorgänge für jeden Einzelnen von ihnen gerechtfertigt sind.
97Demnach ist auf die vierte Frage zu antworten, dass es in einer Situation wie der im Ausgangsverfahren in Rede stehenden, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, erforderlich ist, dass der Betreiber und der Anbieter mit diesen Verarbeitungsvorgängen jeweils ein berechtigtes Interesse im Sinne von Art. 7 Buchst. f der Richtlinie 95/46 wahrnehmen, damit diese Vorgänge für jeden Einzelnen von ihnen gerechtfertigt sind.
Zur fünften und zur sechsten Frage
98Mit seiner fünften und seiner sechsten Frage, die zusammen zu prüfen sind, möchte das vorlegende Gericht zum einen wissen, ob Art. 2 Buchst. h und Art. 7 Buchst. a der Richtlinie 95/46 dahin auszulegen sind, dass in einer Situation wie der des Ausgangsverfahrens, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, die nach diesen Vorschriften zu erklärende Einwilligung von dem Betreiber oder dem Anbieter einzuholen ist, und zum anderen, ob Art. 10 dieser Richtlinie dahin auszulegen ist, dass in einem solchen Fall die in dieser Vorschrift vorgesehene Informationspflicht den Betreiber trifft.
99Wie sich aus der Antwort auf die zweite Frage ergibt, kann der Betreiber einer Website, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten dieses Besuchers an diesen Anbieter zu übermitteln, als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden. Dabei ist diese Verantwortlichkeit jedoch auf den Vorgang oder die Vorgänge der Datenverarbeitung beschränkt, für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet.
100Daher müssen die Verpflichtungen, die nach der Richtlinie 95/46 diesem für die Verarbeitung Verantwortlichen obliegen, wie etwa die Verpflichtung, die Einwilligung der betroffenen Person gemäß Art. 2 Buchst. h und Art. 7 Buchst. a dieser Richtlinie einzuholen, sowie die Informationspflicht nach Art. 10 der Richtlinie den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten betreffen, für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet.
101Wenn im vorliegenden Fall der Betreiber einer Website, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, gemeinsam mit diesem Anbieter als für die Vorgänge des Erhebens personenbezogener Daten dieses Besuchers und deren Weitergabe durch Übermittlung verantwortlich angesehen werden kann, betrifft seine Verpflichtung, die Einwilligung der betroffenen Person gemäß Art. 2 Buchst. h und Art. 7 Buchst. a dieser Richtlinie einzuholen, sowie seine Informationspflicht nach Art. 10 der Richtlinie nur diese Vorgänge. Dagegen erstrecken sich diese Verpflichtungen nicht auf Vorgänge der Verarbeitung personenbezogener Daten, die andere, diesen Vorgängen vor- oder nachgelagerte Phasen betreffen, die die Verarbeitung der in Rede stehenden personenbezogenen Daten gegebenenfalls mit sich bringt.
102Was die Einwilligung nach Art. 2 Buchst. h und Art. 7 Buchst. a der Richtlinie 95/46 betrifft, so muss diese vor dem Erheben der Daten der betroffenen Person und deren Weitergabe durch Übermittlung erklärt werden. Daher obliegt es dem Betreiber der Website und nicht dem Anbieter des Social Plugins, diese Einwilligung einzuholen, da der Verarbeitungsprozess der personenbezogenen Daten dadurch ausgelöst wird, dass ein Besucher diese Website aufruft. Wie der Generalanwalt in Nr. 132 seiner Schlussanträge ausgeführt hat, entspräche es nämlich nicht einer wirksamen und rechtzeitigen Wahrung der Rechte der betroffenen Person, wenn die Einwilligung lediglich gegenüber dem gemeinsam für die Verarbeitung Verantwortlichen erklärt würde, der erst zu einem späteren Zeitpunkt beteiligt ist, also gegenüber dem Anbieter dieses Plugins. Die Einwilligung, die dem Betreiber gegenüber zu erklären ist, betrifft jedoch nur den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten, für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet.
103Das Gleiche gilt für die Informationspflicht nach Art. 10 der Richtlinie 95/46.
104Aus dem Wortlaut dieser Bestimmung ergibt sich, dass der für die Verarbeitung Verantwortliche oder sein Vertreter der Person, bei der die Daten erhoben werden, mindestens die in dieser Bestimmung genannten Informationen geben muss. Es scheint somit, dass der für die Verarbeitung Verantwortliche diese Information sofort zu geben hat, d. h. zum Zeitpunkt des Erhebens der Daten (vgl. in diesem Sinne Urteile vom , Rijkeboer, C-553/07, EU:C:2009:293, Rn. 68, und vom , IPI, C-473/12, EU:C:2013:715, Rn. 23).
105Daraus folgt, dass in einer Situation wie der im Ausgangsverfahren in Rede stehenden auch die Informationspflicht gemäß Art. 10 der Richtlinie 95/46 den Betreiber der Website trifft, wobei dieser die betroffene Person jedoch nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten informieren muss, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet.
106Nach alledem ist auf die fünfte und die sechste Frage zu antworten, dass Art. 2 Buchst. h und Art. 7 Buchst. a der Richtlinie 95/46 dahin auszulegen sind, dass in einer Situation wie der des Ausgangsverfahrens, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, die nach diesen Vorschriften zu erklärende Einwilligung von dem Betreiber nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten einzuholen ist, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet. Darüber hinaus ist Art. 10 dieser Richtlinie dahin auszulegen, dass in einer solchen Situation auch die in dieser Bestimmung vorgesehene Informationspflicht den Betreiber trifft, wobei dieser die betroffene Person jedoch nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten informieren muss, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet.
Kosten
107Für die Parteien des Ausgangsverfahrens ist das Verfahren ein Zwischenstreit in dem bei dem vorlegenden Gericht anhängigen Rechtsstreit; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.
Aus diesen Gründen hat der Gerichtshof (Zweite Kammer) für Recht erkannt:
1. Die Art. 22 bis 24 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sind dahin auszulegen, dass sie einer nationalen Regelung, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben, nicht entgegenstehen.
2. Der Betreiber einer Website wie die Fashion ID GmbH & Co. KG, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, kann als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden. Diese Verantwortlichkeit ist jedoch auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten beschränkt, für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet, d. h. das Erheben der in Rede stehenden Daten und deren Weitergabe durch Übermittlung.
3. In einer Situation wie der im Ausgangsverfahren in Rede stehenden, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, ist es erforderlich, dass der Betreiber und der Anbieter mit diesen Verarbeitungsvorgängen jeweils ein berechtigtes Interesse im Sinne von Art. 7 Buchst. f der Richtlinie 95/46 wahrnehmen, damit diese Vorgänge für jeden Einzelnen von ihnen gerechtfertigt sind.
4. Art. 2 Buchst. h und Art. 7 Buchst. a der Richtlinie 95/46 sind dahin auszulegen, dass in einer Situation wie der des Ausgangsverfahrens, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, die nach diesen Vorschriften zu erklärende Einwilligung von dem Betreiber nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten einzuholen ist, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet. Darüber hinaus ist Art. 10 dieser Richtlinie dahin auszulegen, dass in einer solchen Situation auch die in dieser Bestimmung vorgesehene Informationspflicht den Betreiber trifft, wobei dieser die betroffene Person jedoch nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten informieren muss, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet.
Auf diese Entscheidung wird Bezug genommen in folgenden Gerichtsentscheidungen:
Fundstelle(n):
XAAAJ-56948