HvJ EU: De beheerder van een fanpagina is samen met Facebook verantwoordelijk voor de verwerking persoonsgegevens

HvJ EU 5 juni 2018, IEFbe 2588; IT 2576; ECLI:EU:C:2018:388; C-210/16 (ULD tegen Wirtschaftsakademie Schleswig-Holstein) Privacy.
Uit het persbericht: De beheerder van een fanpagina op Facebook is samen met Facebook verantwoordelijk voor de verwerking van de gegevens van de bezoekers van zijn pagina. De autoriteit voor gegevensbescherming van de lidstaat waarin deze beheerder is gevestigd kan, krachtens richtlijn 95/461 , zowel tegen hem optreden als tegen de dochteronderneming van Facebook die in dezelfde staat is gevestigd.

(enkel Duits en Franstalig op het moment van publicatie)
1.      Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass der Begriff des „für die Verarbeitung Verantwortlichen“ im Sinne dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst.

2.      Die Art. 4 und 28 der Richtlinie 95/46 sind dahin auszulegen, dass dann, wenn ein außerhalb der Europäischen Union ansässiges Unternehmen mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, die Kontrollstelle eines Mitgliedstaats zur Ausübung der ihr durch Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung dieses Unternehmens auch dann befugt ist, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet dieses Mitgliedstaats zuständig ist und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Europäischen Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliegt.

3.      Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 und 6 der Richtlinie 95/46 sind dahin auszulegen, dass die Kontrollstelle eines Mitgliedstaats, wenn sie beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen Mitgliedstaat hat, die Einwirkungsbefugnisse nach Art. 28 Abs. 3 dieser Richtlinie auszuüben, zuständig ist, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.

1) L’article 2, sous d), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que la notion de « responsable du traitement », au sens de cette disposition, englobe l’administrateur d’une page fan hébergée sur un réseau social.

2) Les articles 4 et 28 de la directive 95/46 doivent être interprétés en ce sens que, lorsqu’une entreprise établie en dehors de l’Union européenne dispose de plusieurs établissements dans différents États membres, l’autorité de contrôle d’un État membre est habilitée à exercer les pouvoirs que lui confère l’article 28, paragraphe 3, de cette directive à l’égard d’un établissement de cette entreprise situé sur le territoire de cet État membre, alors même que, en vertu de la répartition des missions au sein du groupe, d’une part, cet établissement est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire dudit État membre et, d’autre part, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union européenne, à un établissement situé dans un autre État membre.

3) L’article 4, paragraphe 1, sous a), et l’article 28, paragraphes 3 et 6, de la directive 95/46 doivent être interprétés en ce sens que, lorsque l’autorité de contrôle d’un État membre entend exercer à l’égard d’un organisme établi sur le territoire de cet État membre les pouvoirs d’intervention visés à l’article 28, paragraphe 3, de cette directive en raison d’atteintes aux règles relatives à la protection des données à caractère personnel, commises par un tiers responsable du traitement de ces données et ayant son siège dans un autre État membre, cette autorité de contrôle est compétente pour apprécier, de manière autonome par rapport à l’autorité de contrôle de ce dernier État membre, la légalité d’un tel traitement de données et peut exercer ses pouvoirs d’intervention à l’égard de l’organisme établi sur son territoire sans préalablement appeler l’autorité de contrôle de l’autre État membre à intervenir.

Gestelde prejudiciele vragen [IT&R 2073]:

1)      Moet artikel 2, onder d), van richtlijn 95/46 aldus worden uitgelegd dat het de aansprakelijkheid en verantwoordelijkheid voor inbreuken op de bescherming van gegevens definitief en uitputtend regelt, of blijft er in het kader van de ‚passende maatregelen’ als bedoeld in artikel 24 van [deze richtlijn] en de ‚effectieve bevoegdheden om in te grijpen’ als bedoeld in artikel 28, lid 3, tweede streepje, [ervan] in meervoudige verhoudingen van informatieaanbieders ruimte voor verantwoordelijkheid van een lichaam dat niet de voor verwerking verantwoordelijke in de zin van artikel 2, onder d), van [genoemde richtlijn] is, op grond van de keuze van een beheerder voor zijn informatieaanbod?

2)      Volgt, a contrario, uit de uit artikel 17, lid 2, van richtlijn 95/46 voortvloeiende verplichting van de lidstaten om bij de gegevensverwerking in opdracht te verlangen dat de voor de verwerking verantwoordelijke ‚een verwerker [kiest] die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerking’, dat er, in het kader van ander gebruik dat geen gegevensverwerking ten behoeve van de voor de verwerker verantwoordelijke in de zin van artikel 2, onder e), van [deze richtlijn] impliceert, geen enkele verplichting bestaat om een zorgvuldige keuze te maken en dat deze ook niet kan worden gebaseerd op het nationale recht?

3)      Wanneer een buiten de Unie gevestigde moederonderneming in verscheidene lidstaten over juridisch zelfstandige vestigingen (dochterondernemingen) beschikt, mag dan de toezichthoudende autoriteit van een lidstaat (in casu Duitsland) ook dan krachtens artikel 4 en artikel 28, lid 6, van richtlijn 95/46 de haar door artikel 28, lid 3, van [deze richtlijn] verleende bevoegdheden uitoefenen jegens de op het grondgebied van deze lidstaat gelegen vestiging die alleen de promotie en de verkoop verzekert van advertentieruimte en andere op de inwoners van deze lidstaat gerichte marketingactiviteiten, terwijl de zelfstandige vestiging (dochteronderneming) in een andere lidstaat (in casu Ierland) volgens de taakverdeling binnen de groep exclusief verantwoordelijk is voor de verzameling en de verwerking van persoonsgegevens op het gehele grondgebied van de Unie en dus ook in de andere lidstaat (in casu Duitsland), indien de beslissing betreffende de gegevensverwerking in feite door de moederonderneming wordt genomen?

4)      Moeten artikel 4, lid 1, onder a), en artikel 28, lid 3, van richtlijn 95/46 aldus worden uitgelegd dat, wanneer de voor de verwerking verantwoordelijke een vestiging op het grondgebied van een lidstaat (in casu Ierland) bezit en er op het grondgebied van een andere lidstaat (in casu Duitsland) een andere, juridisch zelfstandige vestiging is die onder meer is belast met de verkoop van advertentieruimte en waarvan de activiteit op de inwoners van deze staat is gericht, de bevoegde toezichthoudende autoriteit in deze andere lidstaat (in casu Duitsland) ook maatregelen en bevelen tot handhaving van het op de gegevensbescherming toepasselijke recht kan richten tot de andere vestiging (in casu in Duitsland) die volgens de taak- en verantwoordelijkheidsverdeling binnen de groep niet voor de gegevensverwerking verantwoordelijk is, of kunnen maatregelen en bevelen dan slechts worden genomen of uitgevaardigd door de toezichthoudende autoriteit van de lidstaat (in casu Ierland) op wiens grondgebied het binnen de groep verantwoordelijke lichaam zijn zetel heeft?

5)      Moeten artikel 4, lid 1, onder a), en artikel 28, leden 3 en 6, van richtlijn 95/46 aldus worden uitgelegd dat, wanneer de toezichthoudende autoriteit van een lidstaat (in casu Duitsland) als gevolg van de onzorgvuldige keuze van een bij het gegevensverwerkingsproces betrokken derde (in casu Facebook) krachtens artikel 28, lid 3, van [deze richtlijn] optreedt tegen een persoon die of lichaam dat zijn activiteiten uitoefent op het grondgebied van deze lidstaat omdat deze derde het op de gegevensbescherming toepasselijke recht heeft geschonden, de ingrijpende toezichthoudende autoriteit (in casu van Duitsland) is gebonden aan de beoordeling in het licht van het op de gegevensbescherming toepasselijke recht door de toezichthoudende autoriteit van de andere lidstaat (in casu Ierland) waar de voor de gegevensverwerking verantwoordelijke derde is gevestigd, in die zin dat zij geen hiervan afwijkend juridisch oordeel mag formuleren, of mag de ingrijpende toezichthoudende autoriteit (in casu van Duitsland) de rechtmatigheid van de gegevensverwerking door de in een andere lidstaat (in casu Ierland) gevestigde derde voorafgaand autonoom toetsen?

6)      Indien de ingrijpende toezichthoudende autoriteit (in casu van Duitsland) een autonome toetsing mag uitvoeren: moet artikel 28, lid 6, tweede zin, van richtlijn 95/46 dan aldus worden uitgelegd dat deze toezichthoudende autoriteit de effectieve bevoegdheden om in te grijpen waarover zij krachtens artikel 28, lid 3, van [deze richtlijn] beschikt alleen mag uitoefenen jegens op een haar grondgebied gevestigd persoon of lichaam wegens medeverantwoordelijkheid voor de inbreuken op de bescherming van gegevens die de in een andere lidstaat gevestigde derde heeft begaan wanneer zij vooraf de toezichthoudende autoriteit van deze andere lidstaat (in casu Ierland) heeft verzocht haar bevoegdheden uit te oefenen?”