Der Druck wächst: Städte und Gemeinden im Saarland und der Facebook-Konzern Meta stehen im Saarland unter Abschalt-Druck. Der Meinung ist auch Armin König. Der Illinger Bürgermeister hatte das Thema auf die politische Agenda gesetzt. Seither herrscht Aufregung im Saarland – und das nicht nur in den Rathäusern. Der Landtag hat sich jetzt damit befasst. Das klang nicht gut für die Gemeinden. Nachzulesen ist es in der Online-Ausgabe der Saarbrücker Zeitung.
Die Saar-Datenschützerin schließt nicht aus, dass Facebook-Fanpages saarländischer Städte, Gemeinden, Behörden und der Landesregierung vom Netz genommen werden (müssen). Das haben die Datenschützer im Rechtsausschuss des Landtags referiert. Bisher sind sie noch ziemlich zahnlos. Das könnte sich aber bald ändern. Ich habe eine offizielle Anfrage an das Unabhängige Datenschutzzentrum des Saarlandes gerichtet, und nachdem der Landtag sich damit befasst hat, ist die Causa Facebook jetzt auch im Saarland aktenkundig. Nach meiner Einschätzung ist de Betrieb kommunaler Fanpages extrem problematisch. Deshalb will ich Rechtsklarheit. Glasklar. Fakt ist: Wenn der Betrieb rechtswidrig ist, gibt es keinen Ermessensspielraum. So berichtet es die Saarbrücker Zeitung in ihrer Online-Ausgabe. In der gedruckten Ausgabe findet das Mega-Thema »Facebook-Knaller« leider bisher nicht statt. Durch meinen VHS-Vortrag und meine Pressemeldung über die Gefahren von Facebook ist das Thema im Land relevant geworden.
Bisher gab es lediglich Appelle, auch von Seiten des Bundesdatenschutzbeauftragten Prof Ulrich Kelber gegenüber den Bundesbehörden. In Sachsen klingt das sehr viel schärfer. Dort ist vielleicht bald »Ende Gelände« mit Facebook-Fanpages.
Matthias Zimmermann schreibt nun in seiner Berichterstattung über den Landtags-Rechtsausschuss: »Sicherheit im Internet: Saar-Datenschützer warnen Behörden: Ihren Facebook-Seiten droht das Aus. Saarbrücken · Datenschützer blicken mit Sorge auf die Seiten von Städten, Gemeinden, Kreisverwaltungen und Landesbehörden bei Facebook und Instagram. Jetzt befasste sich der Rechtsausschuss des Saar-Landtags damit. Droht ein Aus der Fanauftritte?« (3.4.2023; https://www.saarbruecker-zeitung.de/saarland/landespolitik/facebook-und-instagram-behoerden-seiten-im-saarland-droht-das-aus_aid-87651133)
Ich nehme an, dass meine Presseerklärung vom 26. März 2023 maßgeblich dazu beigetragen hat, das Thema im Saarland auf die politische Agenda zu setzen (https://www.arminkoenig.de/blog/facebook_aus-fuer-kommunen/).
Die SZ hatte in ihrer Online-Ausgabe darüber berichtet : https://www.saarbruecker-zeitung.de/saarland/neunkirchen/illingen/armin-koenig-buergermeister-in-illingen-warnt-vor-aus-fuer-facebook-und-instagram_aid-87388475
Ihr findet das Thema auch auf meiner Webseite (https://www.arminkoenig.de/blog/facebook_aus-fuer-kommunen/)
und bei SaarNews (https://www.saarnews.com/kommt-bald-der-grosse-knall-buergermeister-armin-koenig-diskutiert-facebook-und-seine-rolle/).
Die Gefahr der Abschaltung ist nicht nur theoretisch, sondern real. In Corona-Zeiten hatten die Datenschützer noch Nachsicht mit den Behörden. Die mussten ja aktuelle Informationen auf allen Kanälen betreiben.
Gerade staatliche Stellen seien, so die Datenschützer, durchaus berechtigt, Öffentlichkeitsarbeit zu betreiben. Das könnten und dürften sie unter anderem über eigene Internetseiten. Gleichzeitig müssten sie Bürger aber vor Datenkraken schützen, die Bürgerinformation für „zielgerichtete Werbung“ ausspähen, wie es Facebook- und Instagram-Betreiber Meta praktiziere. „Genau dies ist jedoch das elementare Kernprinzip von Facebook“, unterstreicht Marco Schömer, Pressesprecher beim saarländischen Datenschutz. Wenn öffentliche Stellen wie Stadt- und Gemeindeverwaltungen, Landratsämter und Ministerin dort ihre Fanseiten anlegen, unterstützten sie quasi dieses Geschäftsmodell. Schömer. „Die öffentliche Stelle – und damit der Staat – wirkt so an einer Monetarisierung der Daten seiner Bürger mit, obwohl er hierfür keine Rechtsgrundlage hat.“
Seit Jahren stehe das Unabhängige Datenschutzzentrum Saarland, wie die Behörde hier heißt, diesbezüglich in engem Kontakt mit der Landesregierung. Das bestätigt Schömer auf SZ-Anfrage. Dabei gehe es vordergründig um die datenschutzrechtlichen Rahmenbedingungen beim Betrieb von Facebook-Fanseiten, sagt der Behördensprecher. (SZ)
Bereits 2019 hatte das Datenschutzzentrum die Landesregierung darauf hingewiesen, dass ein datenschutzkonformer Betrieb von Fanseiten „nicht im Einklang mit den Vorgaben des Saarländischen Datenschutzgesetzes sowie der Datenschutz-Grundverordnung möglich ist“.
Zuletzt wandten sich die Datenschützer mit ihrem Hinweis darauf im Mai vergangenen Jahres an den Landtag und die neue Landesregierung. Während der Corona-Pandemie seien Behörden mit dieser Frage recht zurückhaltend umgegangen. Schließlich wollten sie gerade in jener Zeit dort Informationen anbieten, wo sie auch von Bürgern abgerufen werden. Jetzt aber sei die Situation wieder eine andere.
So habe das Datenschutzzentrum während der Sitzung des Rechtsausschusses im Saar-Landtag erneut darüber berichtet. „Sollten allerdings die diesbezüglichen Appelle weiterhin ungehört bleiben, schließt die Behörde auch eine Untersagung des Betriebs von Fanpages gegenüber öffentlichen Stellen als Mittel nicht aus“, warnt Schömer.
Der Streit ist schon ziemlich alt.
2011 hatte das Unabhängige Landeszentrum für Datenschutz (ULD) die Wirtschaftsakademie Schleswig-Holstein dazu aufgefordert, ihre Facebook-Seite abzuschalten. Die Datenschützer argumentierten, dass dort eine unzulässige Verarbeitung personenbezogener Daten (insbesondere mittels Cookies) stattfinde. Besucherdaten würden von Facebook (heute Metakonzern) für Werbung und zur Bereitstellung sogenannter Seiten-Insights (Besucherstatistiken und -profile) genutzt. Wer je auf Dacebook geworben hat, kennt diese Insights-Statistiken, die wichtige Hinweise auf das Nutzerverhalten geben.
Es folgten Urteile des EuGH (C210/16) und des Bundesverwaltungsgerichts (Az.: 6 C 15.18), die neben Facebook auch die Betreiber der Fanpages in die Pflicht nehmen. Das ist ein Risiko für die Betreiberinnen und Betreiber, vielleicht auch ein viel zu großes .
Bisher wurde argumentiert, dass der Betrieb einer Fanpage auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f Datenschutzgrundverordnung (DSGVO) gestützt werden kann. Darauf muss in jedem Fall hingewiesen werden.
Es gibt aber auch Gegenmeinungen.
Der EuGH schreibt, dass Facebook und der Betreiber der Fanpage gemeinsam für die dortige Datenverarbeitung verantwortlich sind.
Begründet wurde dies damit, dass auch der Betreiber einen Beitrag zur Entscheidung über Zwecke und Mittel der Datenverarbeitung leiste. Denn er könne durch die von Facebook erhobenen Daten insbesondere seine eigenen Tätigkeiten auf der Fanpage an die Zielgruppe passender steuern und fördern (sog. Parametrierung). Er mache die Datenverarbeitung gerade erst möglich, indem er die Fanpage einrichte und betreibe. Daran schließt das Bundesverwaltungsgericht an. In einer Presseerklärung des Gerichts vom heißt es: 11. September 2019 hießt es: »Der Betreiber eines im sozialen Netzwerk Facebook unterhaltenen Unternehmensauftritts (Fanpage) kann verpflichtet werden, seine Fanpage abzuschalten, falls die von Facebook zur Verfügung gestellte digitale Infrastruktur schwerwiegende datenschutzrechtliche Mängel aufweist.« Weiter heißt es in der Presseeklärung: »Auf Vorlage des Bundesverwaltungsgerichts (Beschluss vom 25. Februar 2016 – BVerwG 1 C 28.14) hat der Gerichtshof der Europäischen Union (EuGH) mit Urteil vom 5. Juni 2018 – C-210/16 – entschieden, dass der Betreiber einer Fanpage für die durch Facebook erfolgende Datenverarbeitung mitverantwortlich ist. Denn er ermöglicht durch den Betrieb der Fanpage Facebook den Zugriff auf die Daten der Fanpage-Besucher.«
Der EuGH hat in seinem Urteil vom 5. Juni 2018 – C-210/16 rechtskräftig festgestellt, dass der Begriff des für die Verarbeitung Verantwortlichen den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst. Ziel der Datenschutzrichtlinie sei es nun einmal, »ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre, bei der Verarbeitung personenbezogener Daten zu gewährleisten«.
In einem abgestuften Verfahren könnten deshalb neben Facebook auch die Betreiber von Fanpages in Verantwortung genommen werden.
Der EuGH stützt sich maßgeblich auf die Erwägung, dass der Betreiber einer auf Facebook unterhaltenen Fanpage damit Facebook die Möglichkeit gibt, auf dem Computer oder jedem anderen Gerät der Person, die seine Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Konto verfügt (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 35). Damit leiste der Betreiber einen maßgeblichen Beitrag zur Verarbeitung personenbezogener Daten der Besucher der Fanpage. Hinzu komme, dass die von Facebook aus den Daten erstellten anonymen Besucherstatistiken dem Betreiber ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten.
Der EuGH und das Bundesverwaltungsgericht verweisen ausdrücklich auf den Grundsatz der Verhältnismäßigkeit. Die Mängel sind aber bisher nicht abgestellt.
Dann kommt ein schärferes Schwert zum Einsatz: Abschalten, um die Verantwortlichen »unter Zugzwang zu setzen«, wie die Richter ausdrücklich zulassen
»Auch im Bereich des Datenschutzes kann es das Gebot einer effektiven und wirkungsvollen Gefahrenabwehr rechtfertigen, denjenigen Verantwortlichen heranzuziehen, dessen Pflichtigkeit sich ohne weiteres bejahen lässt und dem effektive Mittel zum Abstellen des Verstoßes zur Verfügung stehen. Daher war der Beklagte vor dem Hintergrund der im Zeitpunkt der Widerspruchsentscheidung fehlenden Kooperationsbereitschaft der Beigeladenen, den unklaren Binnenstrukturen der Facebook-Unternehmensgruppe, der damit verknüpften Frage, welches nationale Datenschutzrecht für die Beigeladene Anwendung findet und welche Möglichkeiten für die Durchsetzung eines solchen Bescheids bestehen, aus Gründen der Effektivität nicht gehalten, vor einer Inanspruchnahme der Klägerin seine rechtlichen und tatsächlichen Möglichkeiten eines Vorgehens gegen ein Unternehmen der Facebook-Unternehmensfamilie umfassend zu klären. Vielmehr war die Deaktivierungsanordnung gegenüber der Klägerin auch geeignet, die Beigeladene über den Einzelfall der Klägerin hinaus unter Zugzwang zu setzen.«
Dr. Armin König
Urteil vom 11.09.2019 -
BVerwG 6 C 15.18
ECLI:DE:BVerwG:2019:110919U6C15.18.0
Datenschutzrechtliche Deaktivierungsanordnung gegen Facebook-Fanpagebetreiber
Leitsätze:
1. Der Betreiber einer Fanpage im sozialen Netzwerk Facebook ist für die bei Aufruf dieser Seite ablaufenden Datenverarbeitungsvorgänge verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG a.F. und damit potentieller Adressat einer Anordnung nach § 38 Abs. 5 BDSG a.F.
2. Für die Ausübung der Eingriffsbefugnisse des § 38 Abs. 5 BDSG a.F. bedarf es im Falle mehrerer gemeinsam für die Datenverarbeitung Verantwortlicher einer Ermessensausübung im Hinblick auf die Auswahl des Adressaten.
3. Auch im Bereich des Datenschutzes kann es das Gebot einer effektiven und wirkungsvollen Gefahrenabwehr rechtfertigen, denjenigen Verantwortlichen heranzuziehen, dessen Pflichtigkeit sich ohne weiteres bejahen lässt und dem effektive Mittel zum Abstellen des Verstoßes zur Verfügung stehen.
* Zitiervorschlag
URTEIL
BVerwG 6 C 15.18
* VG Schleswig – 09.10.2013 – AZ: VG 8 A 14/12
* OVG Schleswig – 04.09.2014 – AZ: OVG 4 LB 20/13
In der Verwaltungsstreitsache hat der 6. Senat des Bundesverwaltungsgerichts
auf die mündliche Verhandlung vom 11. September 2019
durch den Vorsitzenden Richter am Bundesverwaltungsgericht Prof. Dr. Kraft, die Richter am Bundesverwaltungsgericht Dr. Heitz, Hahn, Dr. Tegethoff und die Richterin am Bundesverwaltungsgericht Steiner
für Recht erkannt:
1. Auf die Revision des Beklagten wird das Urteil des Schleswig-Holsteinischen Oberverwaltungsgerichts vom 4. September 2014 aufgehoben.
2. Die Sache wird zur anderweitigen Verhandlung und Entscheidung an das Oberverwaltungsgericht zurückverwiesen.
3. Die Entscheidung über die Kosten bleibt der Schlussentscheidung vorbehalten.
Gründe
I
1
Die Klägerin ist eine in der Form einer GmbH betriebene gemeinnützige Bildungseinrichtung, die von den Industrie- und Handelskammern in Schleswig-Holstein getragen wird. Sie wendet sich gegen eine datenschutzrechtliche Anordnung, mit der sie verpflichtet wird, ihre unter der Adresse „https://www.facebook.com/wirtschaftsakademie“ unterhaltene Facebook-Seite (sog. Fanpage) zu deaktivieren.
2
Die Klägerin betreibt im Sozialen Netzwerk Facebook einen speziellen Nutzeraccount in Form einer Fanpage, auf dem sie sich als Bildungseinrichtung präsentiert und ihr Bildungsangebot bewirbt. Nach Anhörung der Klägerin ordnete der Beklagte mit Bescheid vom 3. November 2011 die Deaktivierung dieser Fanpage an und drohte widrigenfalls ein Zwangsgeld an. Er beanstandete, dass Facebook bei Aufruf der Fanpage Cookies setze, die zu einer Verarbeitung personenbezogener Daten der Nutzer und zur Erstellung von Nutzungsprofilen für Zwecke der Werbung oder Marktforschung führten. Die Klägerin unterrichte die Nutzer nicht über Art, Umfang und Zwecke der Datenerhebung sowie das Bestehen eines Widerspruchsrechts gegen die Erstellung eines Nutzungsprofils. Zudem biete sie keine Möglichkeit, dieses Widerspruchsrecht auszuüben. Facebook generiere aus den Nutzerdaten eine anonymisierte statistische Zusammenstellung, die über die Funktion „Facebook Insights“ vom Fanpagebetreiber zur Analyse des Nutzerverhaltens abgerufen werden könne. Die Klägerin sei für die von Facebook veranlassten Datenverarbeitungsvorgänge datenschutzrechtlich verantwortlich, weil sie mit dem Betrieb der Fanpage Facebook den Zugriff auf die Daten der Nutzer eröffne und ihrerseits von den Vorteilen der unentgeltlichen zur Verfügung gestellten Infrastruktur profitiere. Da Facebook in den bisherigen Gesprächen keine Lösung angeboten habe und die Klägerin selbst mangels Einwirkungsmöglichkeiten auf die digitale Infrastruktur von Facebook keine rechtskonforme Nutzung anbieten könne, komme nur die Anordnung der Deaktivierung der Fanpage in Betracht.
3
Nach erfolgloser Durchführung eines Widerspruchsverfahrens erhob die Klägerin Klage gegen den Bescheid in Form des Widerspruchsbescheids vom 16. Dezember 2011. Sie machte im Wesentlichen geltend, sie sei lediglich Nutzerin des sozialen Netzwerks und an dessen Infrastruktur gebunden. Sie trage keine Verantwortung für die von Facebook durchgeführten Datenverarbeitungen. Im Übrigen hätten Facebooknutzer im Rahmen ihrer Registrierung und der Annahme der Facebook-Nutzungsbedingungen in die Datenverarbeitungen eingewilligt. Nutzer, die keine Facebookmitglieder seien, könnten sich über einen Link am Ende der Fanpage über die Nutzungsbedingungen informieren. Die bloße Übertragung der Internetprotokolladresse stelle kein personenbezogenes Datum dar.
4
Das Verwaltungsgericht lud die Facebook Ireland Ltd. mit Sitz in Dublin, Irland, zum Verfahren bei.
5
Mit Urteil vom 9. Oktober 2013 hob das Verwaltungsgericht den angefochtenen Bescheid in Gestalt des Widerspruchsbescheids auf. Die Klägerin sei keine verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG a.F., weil sie die Nutzerdaten weder selbst verarbeite noch die Beigeladene als Auftragsdatenverarbeiterin einsetze. Sie entscheide auch nicht gemeinsam mit Facebook über die Zwecke und Mittel der Datenverarbeitung. Die für eine Anwendung des § 38 Abs. 5 BDSG a.F. erforderliche datenschutzrechtliche Verantwortlichkeit könne nicht durch einen Rückgriff auf die Zurechnungsnormen des Privatrechts oder des allgemeinen Polizei- und Ordnungsrechts ausgeweitet werden.
6
Die dagegen erhobene Berufung des Beklagten hat das Oberverwaltungsgericht mit Urteil vom 4. September 2014 zurückgewiesen. Es hat die Rechtsauffassung des Verwaltungsgerichts bestätigt, dass mangels Kontroll- und Einflussmöglichkeit keine datenschutzrechtliche (Mit-)Verantwortlichkeit der Klägerin aus § 3 Abs. 7 BDSG a.F., Art. 2 Buchst. d der Richtlinie 95/46/EG (Datenschutzrichtlinie) für die vorliegend beanstandeten Datenverarbeitungsvorgänge begründet werden könne. Die Klägerin könne daher nicht Adressatin einer Verfügung nach § 38 Abs. 5 BDSG a.F. sein. Das Berufungsurteil hat zudem darauf abgestellt, dass die Deaktivierungsanordnung einer Untersagung der Datenverarbeitung nach § 38 Abs. 5 Satz 2 BDSG a.F. gleichkomme. Eine vollständige Untersagung setze voraus, dass zunächst im Rahmen eines abgestuften Verfahrens Maßnahmen zur Beseitigung festgestellter Verstöße nach § 38 Abs. 5 Satz 1 BDSG a.F. gefordert worden seien. Eine Ausnahme komme nur in Betracht, wenn ein Datenverarbeitungsverfahren in seiner Gesamtheit unzulässig und nur durch Einstellung beseitigt werden könne, also die Einhaltung des abgestuften Verfahrens objektiv sinn- und zwecklos erscheine. Dies sei vorliegend nicht der Fall. Denn die vom Beklagten behaupteten Verstöße könnten von Facebook ohne weiteres und wesentlich effektiver beseitigt werden. Auch für den Fall, dass der Beklagte nicht die für Facebook zuständige Kontrollstelle sei, dürfe er nicht anstelle von Facebook und abweichend vom vorgeschriebenen Verfahren einen Dritten im Sinne des Art. 2 Buchst. f der Datenschutzrichtlinie belangen. Vor diesem Hintergrund hat das Berufungsurteil offengelassen, ob die beanstandeten Vorgänge gegen deutsches oder irisches Datenschutzrecht verstießen.
7
Mit seiner vom Oberverwaltungsgericht zugelassenen Revision begehrt der Beklagte die Aufhebung der Urteile der Vorinstanzen und die Abweisung der Klage. Er rügt im Wesentlichen eine Verletzung der § 3 Abs. 7, § 38 Abs. 5 BDSG a.F. sowie von Art. 2 Buchst. d der Datenschutzrichtlinie. Das im Berufungsurteil zum Ausdruck kommende Verständnis der datenschutzrechtlichen Verantwortlichkeit erweise sich als zu eng und beruhe auf einem unzureichenden Verständnis des Geschäftsmodells des Sozialen Netzwerks Facebook und der wechselseitigen geschäftlichen Interessen der Klägerin und der Beigeladenen. Als Adressat einer datenschutzrechtlichen Anordnung komme auch in Betracht, wer sich aus Eigeninteresse die digitale Infrastruktur eines Anbieters zunutze mache, obwohl diese den Anforderungen des Datenschutzrechts nicht genüge. Das Berufungsurteil verkenne, dass die Klägerin als Trägerin eines öffentlich-rechtlichen Bildungsauftrags in besonderem Maße zur Wahrung der datenschutzrechtlichen Belange ihrer Nutzer verpflichtet sei.
8
Die Klägerin verteidigt die angegriffenen Urteile und beantragt, die Revision zurückzuweisen. Der Charakter der von ihr wahrgenommenen Bildungsaufgaben führe nicht zu einer abweichenden Bewertung ihrer datenschutzrechtlichen Verantwortlichkeit. Diese scheitere bereits an den fehlenden Einwirkungsmöglichkeiten auf die von Facebook vorgegebene und im Übrigen datenschutzrechtlich unbedenkliche Infrastruktur. Die von Facebook durchgeführten Verarbeitungsvorgänge könnten der Klägerin auch sonst unter keinem rechtlichen Gesichtspunkt zugerechnet werden. Der Beklagte habe ermessensfehlerfrei nur gegen Facebook vorgehen können.
9
Auch die Beigeladene beantragt, die Revision zurückzuweisen und macht geltend, die Deaktivierungsanordnung erweise sich aus den im Berufungsurteil dargelegten Gründen als rechtswidrig. Sie selbst sei die datenschutzrechtlich Verantwortliche für das Soziale Netzwerk Facebook außerhalb Nordamerikas und betreibe es unter der Aufsicht der irischen Datenschutzbehörden im Einklang mit datenschutzrechtlichen Vorgaben. Nutzer, die mit einer Fanpage interagierten, seien durch die Datenverwendungsrichtlinien von Facebook umfassend unterrichtet und hätten in diese eingewilligt. Ein Fanpagebetreiber könne weder die Datenerhebungen noch deren Verarbeitung im Rahmen der „Facebook Insights“-Funktion beeinflussen. Die Klägerin sei daher nicht verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG a.F., Art. 2 Buchst. d der Datenschutzrichtlinie. Eine Inanspruchnahme unter Rückgriff auf eine Störerhaftung komme nicht in Betracht. Dem Beklagten stehe mit der Beigeladenen eine geeignetere Stelle zur Beseitigung etwaiger Datenschutzrechtsverstöße zur Verfügung. Dies habe sowohl im Rahmen der Stufenfolge des § 38 Abs. 5 BDSG a.F. wie auch im Rahmen des Auswahlermessens Berücksichtigung finden müssen.
10
Der damals befasste 1. Senat des Bundesverwaltungsgerichts hat das Revisionsverfahren mit Beschluss vom 25. Februar 2016 ausgesetzt und in einem Vorabentscheidungsverfahren den Gerichtshof der Europäischen Union um Auslegung mehrerer Bestimmungen der Datenschutzrichtlinie gebeten. Mit Urteil vom 5. Juni 2018 – C-210/16 – hat der Gerichtshof der Europäischen Union festgestellt, dass der Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage ein für die Verarbeitung Verantwortlicher im Sinne des Art. 2 Buchst. d der Datenschutzrichtlinie ist. Weil die amerikanische Muttergesellschaft Facebook Inc. mit Facebook Germany GmbH in Deutschland über eine dauerhafte Niederlassung verfüge und die beanstandeten Verarbeitungen in den Rahmen der Tätigkeiten dieser Niederlassung fielen, sei deutsches Datenschutzrecht anwendbar. Die nationale Kontrollstelle sei zur Ausübung ihrer Hoheitsbefugnisse gegenüber einer in ihrem Hoheitsgebiet gelegenen Niederlassung eines außerhalb der europäischen Union sitzenden Unternehmens auch dann befugt, wenn die Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliege. Die nationale Datenschutzbehörde sei für ein Tätigwerden im Rahmen ihrer Zuständigkeit nicht an die rechtliche Bewertung einer Datenverarbeitung durch die Kontrollstelle eines anderen Mitgliedstaats gebunden.
11
Im Anschluss an das Urteil des Gerichtshofs der Europäischen Union haben die Beteiligten ergänzend vorgetragen. Der Beklagte erachtet die Frage der datenschutzrechtlichen Verantwortlichkeit der Klägerin für verbindlich geklärt. Leitend für die Einstufung der Klägerin als für die Verarbeitung Verantwortliche sei, dass sich der Betreiber einer Internetseite nicht seinen datenschutzrechtlichen Pflichten entziehen könne, indem er eine von Facebook vorgefertigte Plattform nutze und sich deren Allgemeinen Geschäftsbedingungen unterwerfe. Das Berufungsurteil erweise sich auch nicht aus anderen Gründen als richtig. Der Gerichtshof der Europäischen Union habe bestätigt, dass keine Priorität der irischen Datenschutzaufsicht bestehe. Weder sei der Beklagte an deren Einschätzung der Rechtmäßigkeit der Datenverarbeitung durch die Beigeladene gebunden, noch müsse er zunächst um ein Einschreiten gegen die Beigeladene ersuchen. Er sei auch weder nach deutschem noch nach europäischem Recht gehalten gewesen, vorrangig gegen Facebook Germany GmbH einzuschreiten. Ein Rückgriff auf die allgemeinen ordnungsrechtlichen Grundsätze der Störerauswahl komme infolge der umfassenden Harmonisierung des Datenschutzrechts durch die Datenschutzrichtlinie nicht in Betracht. Ein Verständnis, nach dem der Beklagte seine Befugnisse nur ausüben dürfe, wenn sich zuvor alle auch nur entfernt in Betracht kommenden Alternativen als vollständig nutzlos erwiesen hätten, wäre mit dem Ziel einer effektiven Durchsetzung des europäischen Rechts nicht vereinbar. Das europäische Recht fordere kein vorrangiges Vorgehen gegen einen in einem höheren Grad Verantwortlichen. Vielmehr belege das Urteil des Gerichtshofs der Europäischen Union vom 29. Juli 2019 – C-40/17, Fashion-ID -, dass die Klägerin im Hinblick auf die bei Aufruf der Seite eintretenden Rechtsverstöße originäre und alleinige Störerin sei. Ohnehin fehle dem Beklagten eine Verbandskompetenz für ein Einschreiten gegen Facebook Germany GmbH mit Sitz in Hamburg. Das Vorgehen erweise sich auch als verhältnismäßig. Dem Beklagten stehe kein milderes und zugleich effektives Mittel zur Verfügung. Insbesondere sei er nicht darauf verwiesen, ein Vorgehen des hamburgischen Datenschutzbeauftragten abzuwarten.
12
Die Klägerin macht geltend, die Deaktivierungsanordnung erweise sich jedenfalls aus anderen Gründen als rechtswidrig. Ungeachtet der noch ungeklärten Frage, ob beim Betrieb der Fanpage überhaupt Verstöße gegen datenschutzrechtliche Bestimmungen vorlägen, habe der Beklagte sein Ermessen in personeller Hinsicht und unter Verstoß gegen den Grundsatz der Verhältnismäßigkeit fehlerhaft ausgeübt. Nach dem Grundsatz der effektiven Gefahrenabwehr habe vorrangig Facebook als Hauptverantwortliche zur Unterbindung der vermeintlichen Datenschutzrechtsverstöße verpflichtet werden müssen. Zudem liege eine Ermessensüberschreitung vor, weil der Beklagte die Klägerin systemlos und willkürlich aus der Vielzahl der Fanpagebetreiber herausgegriffen habe und ihr damit einen erheblichen Wettbewerbsnachteil zufüge. Jedenfalls aber sei die geforderte Deaktivierung unverhältnismäßig, weil der Beklagte mit einem Vorgehen gegen die Facebook Germany GmbH datenschutzkonforme Zustände schonender und effektiver herstellen könne. Die gemeinsame Verantwortlichkeit zwischen der Beigeladenen und der Klägerin führe auch zu einer gemeinsamen Zuständigkeit der jeweils originär zuständigen Datenschutzbehörden, so dass der Beklagte innerstaatlich zu einem Vorgehen gegen die in Hamburg ansässige Facebook Germany GmbH zuständig gewesen sei. Jedenfalls sei er im Rahmen des Auswahlermessens zur Inanspruchnahme von Amtshilfe verpflichtet gewesen. Da es für die Rechtmäßigkeit des Bescheids maßgeblich auf den Zeitpunkt der letzten Behördenentscheidung ankomme, könnte der Beklagte die damals getroffene Ermessensentscheidung nicht durch nachträglich gewonnene Erkenntnisse unterfüttern. Der Gerichtshof der Europäischen Union habe in seiner zuletzt ergangenen Entscheidung vom 29. Juli 2019 aufgezeigt, dass das Vorliegen einer gemeinsamen Verantwortlichkeit in einer Verarbeitungskette abschnittsweise zu betrachten sei.
13
Die Beigeladene trägt vor, die im bisherigen Verfahren getroffenen tatsächlichen Feststellungen böten keine geeignete Grundlage für die Bejahung einer Mitverantwortlichkeit der Klägerin nach Art. 2 Buchst. d der Datenschutzrichtlinie. Der Gerichtshof der Europäischen Union habe seiner Entscheidung fälschlicherweise zugrunde gelegt, dass die bei Einrichtung einer Fanpage erfolgende Parametrierung durch den Fanpagebetreiber einen Einfluss auf die Verarbeitung personenbezogener Daten durch sie habe, was tatsächlich nicht der Fall sei. Es fehlten im Übrigen auch Feststellungen dazu, ob die Klägerin von diesen Funktionalitäten Gebrauch gemacht habe. Angesichts dieser gravierenden Diskrepanz könne die Frage einer datenschutzrechtlichen Verantwortlichkeit der Klägerin nicht als verbindlich geklärt behandelt werden. Im Übrigen ergebe sich die Rechtswidrigkeit des Bescheids aus dem Umstand, dass der Beklagte das in § 38 Abs. 5 BDSG a.F. vorgesehene zweistufige Verfahren nicht eingehalten und sich fälschlicherweise auf Satz 1 der Ermächtigungsgrundlage gestützt habe. Auch leide die Anordnung unter Ermessensfehlern. Der Beklagte verkenne die Bedeutung des unterschiedlichen Grades der Verantwortlichkeit für das Auswahlermessen und die Verhältnismäßigkeit. Jedenfalls habe ein Vorgehen gegen die Facebook Germany GmbH oder gegen sie selbst Vorrang vor einer Inanspruchnahme der Klägerin. Die Unverhältnismäßigkeit des Vorgehens werde noch dadurch verstärkt, dass die Nutzer mit der Einführung eines „Cookie-Banners“ mittlerweile über die Datenerhebungen informiert würden, so dass die Klägerin in absehbarer Zeit die Einzige sei, die ihre Fanpage deaktivieren müsse. Für den Beklagten sei eine Inanspruchnahme der Facebook Germany GmbH auch rechtlich möglich, weil seine Zuständigkeit an die Betroffenheit einer in Schleswig-Holstein wohnenden natürlichen Person anknüpfe. Andernfalls habe der Beklagte vorrangig die Amtshilfe anderer Kontrollstellen einfordern müssen. Im Übrigen seien die beanstandeten Datenverarbeitungen rechtskonform.
14
Der Vertreter des Bundesinteresses beim Bundesverwaltungsgericht verweist auf die mittlerweile in Kraft getretene Datenschutzgrundverordnung und den dort unverändert übernommenen Begriff des für die Datenverarbeitung Verantwortlichen. Die für den Rechtsstreit zentrale Frage einer datenschutzrechtlichen Verantwortlichkeit der Klägerin sei durch den Gerichtshof der Europäischen Union abschließend entschieden. Zugleich sei geklärt, dass es vorliegend für die Zuständigkeit des Beklagten unschädlich sei, dass nach der konzerninternen Aufgabenverteilung bei Facebook die Erhebung und Verarbeitung der Daten außerhalb des Zuständigkeitsbereichs des Beklagten erfolge. Schließlich belege das Urteil auch, dass der Beklagte vor Ausübung seiner Kontrollbefugnisse keine Abstimmung mit den irischen Datenaufsichtsbehörden habe vornehmen müssen.
II
15
Die zulässige Revision des Beklagten ist mit der Maßgabe begründet, dass das Berufungsurteil aufzuheben und die Sache an das Oberverwaltungsgericht zurückzuverweisen ist. Das Berufungsurteil beruht auf einer Verletzung revisiblen Rechts im Sinne des § 137 Abs. 1 Nr. 1 VwGO, soweit es § 38 Abs. 5 Satz 1 und 2 des Bundesdatenschutzgesetzes (BDSG) vom 20. Dezember 1990 (BGBl. I S. 2954) i.d.F. der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), für den hier maßgeblichen Zeitraum zuletzt geändert durch Art. 1 des Gesetzes zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009 (BGBl. I S. 2814) – BDSG a.F. – entnimmt, dass für das dort vorgegebene gestufte Vorgehen unterschiedliche Adressaten in die Betrachtung einzubeziehen sind (1). Mit Bundesrecht unvereinbar ist nach den bindenden Vorgaben des Gerichtshofs der Europäischen Union (EuGH) auch der Maßstab, mit dem das Berufungsurteil die datenschutzrechtliche Verantwortlichkeit der Klägerin nach § 3 Abs. 7 BDSG a.F., Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 S. 31, ber. 2017 L 40 S. 78) – Datenschutzrichtlinie – beurteilt hat (2). Das Berufungsurteil erweist sich auch nicht aus anderen Gründen im Ergebnis als richtig (§ 144 Abs. 4 VwGO). Der Beklagte hat auf die streitigen Datenverarbeitungen zu Recht deutsches Datenschutzrecht angewandt (3) und sein Ermessen bei der Auswahl der Klägerin als Adressatin des Bescheids und bei der Anordnung einer Deaktivierung der Fanpage rechtmäßig ausgeübt (4). Da die Feststellungen des Berufungsgerichts nicht ausreichen, um die Rechtmäßigkeit der Datenverarbeitungsvorgänge zu beurteilen, war das Berufungsurteil aufzuheben und die Sache zur anderweitigen Verhandlung und Entscheidung an das Berufungsgericht zurückzuverweisen (§ 144 Abs. 3 Satz 1 Nr. 2 VwGO) (5).
16
1. Das Berufungsgericht hat seiner Beurteilung zutreffend die Sach- und Rechtslage im Zeitpunkt der letzten Verwaltungsentscheidung, hier des Widerspruchsbescheids vom 16. Dezember 2011, zugrunde gelegt. Die Rechtmäßigkeit von Anordnungen zur Beseitigung datenschutzrechtlicher Verstöße nach § 38 Abs. 5 BDSG a.F. ist nach der Rechtslage zu beurteilen, die zum Zeitpunkt der letzten behördlichen Entscheidung gilt. Nachträgliche Rechtsänderungen sind nicht zu berücksichtigen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 – 1 C 28.14 [ECLI: DE: BVerwG: 2016: 250216B1C28.14.0] – Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 17; vgl. dazu auch Urteil vom 27. März 2019 – 6 C 2.18 [ECLI: DE: BVerwG: 2019: 270319U6C2.18.0] – NJW 2019, 2556 Rn. 7).
17
Auch ist die an die Klägerin gerichtete Anordnung, ihre Fanpage zu deaktivieren, nach dem Eingriffsgewicht nicht als Mängelbeseitigung im Sinne des § 38 Abs. 5 Satz 1 BDSG a.F., sondern als Untersagung des Einsatzes eines Verfahrens nach § 38 Abs. 5 Satz 2 BDSG a.F. zu werten. Deshalb ist sie zusätzlich zu den Voraussetzungen des Satzes 1 den gesteigerten Anforderungen des Satzes 2 der Vorschrift zu unterwerfen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 – 1 C 28.14 – Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 22). Dem Umstand, dass der angefochtene Bescheid in der Titelzeile auf Satz 1 dieser Bestimmung Bezug nimmt, hat das Berufungsgericht zu Recht keine Bedeutung beigemessen. Der Bescheid ist im verfügenden Teil ausdrücklich auf die Norm des § 38 Abs. 5 BDSG a.F. gestützt und rekurriert auf die Satz 1 und 2 umfassende Befugnisnorm. Der Bescheid wählt daher entgegen dem Vorbringen der Beigeladenen weder eine unzutreffende Rechtsgrundlage noch bedarf es eines Austausches der Rechtsgrundlage oder einer Umdeutung.
18
§ 38 Abs. 5 Satz 1 und 2 BDSG a.F. verlangt nach seinem Wortlaut ein gestuftes Vorgehen der Aufsichtsbehörden. Er verpflichtet sie, zunächst die Beseitigung datenschutzrechtlicher Verstöße oder Mängel anzuordnen und dies erforderlichenfalls durch die Verhängung eines Zwangsgelds durchzusetzen. Erst wenn diese Instrumente nicht in angemessener Zeit zur Herstellung datenschutzkonformer Zustände führen, kann die Aufsichtsbehörde die Untersagung einer Datenverarbeitung oder eines Datenverarbeitungsverfahrens aussprechen. Damit erweist sich die Normstruktur des § 38 Abs. 5 Satz 1 und 2 BDSG a.F. als eine ausdrückliche Ausprägung des Grundsatzes der Verhältnismäßigkeit. Eben dieser Grundsatz gebietet aber dann eine Ausnahme, wenn die fehlende Eignung einer Anordnung nach Satz 1 zur Herstellung datenschutzkonformer Zustände bereits feststeht (BVerwG, Vorlagebeschluss vom 25. Februar 2016 – 1 C 28.14 – Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 22). Das Datenschutzrecht zwingt die Aufsichtsbehörden nicht zu einem objektiv sinn- und zwecklosen Vorgehen.
19
Allerdings erweist sich die Rechtsauffassung des Berufungsgerichts insoweit als unzutreffend, als es auch die Frage der Adressatenauswahl in die Stufenfolge des § 38 Abs. 5 Satz 1 und 2 BDSG a.F. einbezieht. Die Ermächtigungsgrundlage des § 38 Abs. 5 BDSG a.F. ist zwar adressatenoffen ausgestaltet, sie steuert mit der Vorgabe eines stufenweisen Einschreitens aber nicht die Auswahl zwischen verschiedenen nach dem materiellen Recht Pflichtigen. Weder kann die Aufsichtsbehörde bei einem Vorgehen nach § 38 Abs. 5 Satz 2 BDSG a.F. auf ein erfolgloses Einschreiten nach Satz 1 gegenüber einem Dritten verweisen, noch muss sie, soweit ein gestuftes Vorgehen ausnahmsweise entbehrlich ist, zunächst gegenüber anderen oder gar sämtlichen Normadressaten Maßnahmen nach § 38 Abs. 5 Satz 1 BDSG a.F. ergreifen. Die ermessensgerechte Adressatenauswahl ist vielmehr der Frage, welche Maßnahme nach der Stufenfolge des § 38 Abs. 5 BDSG a.F. angeordnet werden kann, vorgelagert.
20
2. Mit dem revisiblen Recht im Sinne des § 137 Abs. 1 Nr. 1 VwGO nicht im Einklang steht die Auslegung des Begriffs der verantwortlichen Stelle im Sinne von § 3 Abs. 7 BDSG a.F. durch das Berufungsgericht. Er ist unionsrechtskonform dahingehend zu verstehen, dass er auch Stellen erfasst, die anderen die Gelegenheit der Datenverarbeitung einräumen, ohne selbst damit befasst zu sein.
21
a. Der EuGH hat in seinem in der vorliegenden Sache ergangenen Urteil vom 5. Juni 2018 – C-210/16 [ECLI: EU: C: 2018: 388] – JZ 2018, 1154 Rn. 44 rechtskräftig festgestellt, dass der Begriff des für die Verarbeitung Verantwortlichen in Art. 2 Buchst. d der Datenschutzrichtlinie den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst. Im Lichte des Ziels der Datenschutzrichtlinie, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre, bei der Verarbeitung personenbezogener Daten zu gewährleisten, ist der Begriff des für die Verarbeitung Verantwortlichen in Art. 2 Buchst. d der Datenschutzrichtlinie weit definiert als natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 27). Der EuGH stützt sich maßgeblich auf die Erwägung, dass der Betreiber einer auf Facebook unterhaltenen Fanpage mit der Einrichtung einer solchen Seite Facebook die Möglichkeit gibt, auf dem Computer oder jedem anderen Gerät der Person, die seine Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Konto verfügt (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 35). Damit leistet der Betreiber einen maßgeblichen Beitrag zur Verarbeitung personenbezogener Daten der Besucher der Fanpage (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 36). Hinzu kommt, dass die von Facebook aus den Daten erstellten anonymen Besucherstatistiken dem Betreiber ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 37). Für die Bejahung einer datenschutzrechtlichen Verantwortlichkeit ist nicht erforderlich, dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 38). Daher ist der Betreiber einer Fanpage an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt und ein für diese Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Datenschutzrichtlinie (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 39). Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 40).
22
Eine erneute Vorlage an den EuGH wegen der Reichweite der datenschutzrechtlichen Verantwortlichkeit kommt nicht in Betracht. Denn das Bundesverwaltungsgericht ist als vorlegendes Gericht bei der Entscheidung des Rechtsstreits an die Auslegung des Unionsrechts durch den EuGH im Vorabentscheidungsverfahren gebunden (stRspr vgl. EuGH, Beschluss vom 5. März 1986 – C-69/85 [ECLI: EU: C: 1986: 104], Wünsche – Rn. 13). Weder das Bundesverwaltungsgericht noch das Oberverwaltungsgericht als weitere zur Entscheidung berufene Gerichte des Instanzenzugs sind befugt, von der Antwort der entschiedenen Frage in ihren Entscheidungen abzuweichen (Rennert, in: Eyermann, VwGO, 15. Aufl. 2019, § 94 Rn. 27; Ehricke, in: Streinz, EUV/AEUV, 3. Aufl. 2018, Art. 267 AEUV Rn. 68). Das Vorbringen der Beigeladenen, das Urteil des EuGH beruhe auf einem unzutreffenden Sachverhalt, ist schon aus diesem Grund unerheblich. Auch das Vorbringen der Klägerin im Nachgang zum Urteil des EuGH vom 29. Juli 2019 – C-40/17 [ECLI: EU: C: 2019: 629], Fashion ID -, es müsse eine isolierte Betrachtung der Verantwortlichkeit für nachgelagerte Verarbeitungsschritte stattfinden, ist mit der dargestellten Rechtsprechung des EuGH nicht in Einklang zu bringen.
23
b. Aufgrund des Anwendungsvorrangs des Unionsrechts ist der Begriff der verantwortlichen Stelle im Sinne von § 3 Abs. 7 BDSG a.F. unionsrechtskonform entsprechend der Vorgabe des Art. 2 Buchst. d der Datenschutzrichtlinie auszulegen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 – 1 C 28.14 – Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 27; vgl. zur Notwendigkeit einer europarechtskonformen Auslegung auch Petri, in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 4 Nr. 7 Rn. 20; Hartung, in: Kühling/Buchner, DSGVO/BSDG, 2. Aufl. 2018, DSGVO Art. 4 Nr. 7 Rn. 3). Die Klägerin ist daher als Betreiberin ihrer bei Facebook unterhaltenen Fanpage verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG a.F. und damit mögliche Adressatin einer auf § 38 Abs. 5 BDSG a.F. gestützten Anordnung. Die personale Reichweite der Eingriffsbefugnis folgt hier der materiellrechtlichen Pflichtigkeit (BVerwG, Vorlagebeschluss vom 25. Februar 2016 – 1 C 28.14 – a.a.O. Rn. 22).
24
3. Das Berufungsurteil kann auch nicht deshalb Bestand haben, weil es sich aus anderen Gründen als richtig erweist (§ 144 Abs. 4 VwGO). Der Beklagte hat auf die beanstandeten Datenverarbeitungsvorgänge durch Facebook zu Recht deutsches Datenschutzrecht, insbesondere die § 13 Abs. 1 Satz 1, § 15 Abs. 3 Satz 1 und 2 des Telemediengesetzes (TMG) in der Fassung des Art. 1 des Gesetzes zur Vereinheitlichung von Vorschriften über bestimmte elektronische Informations- und Kommunikationsdienste vom 26. Februar 2007 (BGBl. I S. 179), für den hier maßgeblichen Zeitraum zuletzt geändert durch das Erste Gesetz zur Änderung des Telemediengesetzes vom 31. Mai 2010 (BGBl. I S. 692) – TMG a.F. – angewandt.
25
a. Nach Art. 4 Abs. 1 Buchst. a Satz 1 Datenschutzrichtlinie wendet jeder Mitgliedstaat die zur Umsetzung dieser Richtlinie erlassenen Vorschriften auf alle Datenverarbeitungen an, die im Rahmen der Tätigkeit einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet des Mitgliedstaats besitzt. Damit müssen zwei Voraussetzungen vorliegen, damit das Datenschutzrecht eines Mitgliedstaats der Europäischen Union auf eine Verarbeitung (Erhebung und Nutzung) personenbezogener Daten Anwendung findet: Erstens muss ein Verantwortlicher für die Datenverarbeitung eine Niederlassung in diesem Mitgliedstaat haben. Zweitens muss die Tätigkeit dieser Niederlassung in Verbindung mit der Datenverarbeitung stehen. Diese Verbindung setzt nicht voraus, dass die Niederlassung selbst in den Vorgang der Datenverarbeitung einbezogen ist. Vielmehr hält der EuGH unter Verweis auf die Gewährleistung eines möglichst hohen Niveaus des Datenschutzes jeden Bezug ihrer Tätigkeit zur Datenverarbeitung für ausreichend (EuGH, Urteil vom 5. Juni 2018 – C-210/16 – JZ 2018, 1154 Rn. 56 ff.). Der EuGH stellt darauf ab, ob die Tätigkeit der Niederlassung und die Datenverarbeitung Bestandteile eines Vorgangs sind, der wirtschaftlich einheitlich zu betrachten ist.
26
b. Für die vorliegend streitigen Datenverarbeitungen sind nach den bindenden Vorgaben des EuGH im Vorabentscheidungsverfahren (EuGH, Urteil vom 5. Juni 2018 – C-210/16 – JZ 2018, 1154 Rn. 54 – 62) beide Voraussetzungen des Art. 4 Abs. 1 Buchst. a der Datenschutzrichtlinie erfüllt. Die amerikanische Muttergesellschaft Facebook Inc. als gemeinsam mit der Beigeladenen für die Verarbeitung im Rahmen des Sozialen Netzwerks Facebook Verantwortliche unterhält in Irland mit der Beigeladenen und in Deutschland mit der Facebook Germany GmbH dauerhafte Niederlassungen, die effektiv und tatsächlich Tätigkeiten ausüben (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 55). Die beanstandeten Datenverarbeitungen sind auch als im Rahmen der Tätigkeit der Facebook Germany GmbH ausgeführt anzusehen, weil diese die Aufgabe hat, den Verkauf der Werbeflächen zu fördern, mit denen die von Facebook angebotenen Dienstleistungen rentabel gemacht werden sollen (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 60). Auf die bei Aufruf der Fanpage durch Facebook vorgenommenen Datenverarbeitungen ist daher materielles deutsches Datenschutzrecht anzuwenden (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 61).
27
c. Zu dem danach anwendbaren Recht zählen auch die vom Beklagten herangezogenen Vorschriften des Telemediengesetzes. Nach § 3 Abs. 3 Nr. 4 TMG a.F. bestimmt sich die Anwendbarkeit des für den Schutz personenbezogener Daten geltenden Rechts nicht nach dem für Dienstanbieter in § 3 Abs. 1 und 2 TMG a.F. geregelten Herkunftslandprinzip, sondern nach den allgemeinen Kollisionsvorschriften der Datenschutzrichtlinie und des Bundesdatenschutzgesetzes a.F. (Moos, in: Taeger/Gabel, BDSG, 2. Aufl. 2013, Einführung zum TMG Rn. 11; Jotzo, MMR 2009, 232 <234>). Daher kommen vorliegend für die streitgegenständlichen Verarbeitungsvorgänge gemäß § 1 Abs. 5 BDSG a.F., Art. 4 Abs. 1 Buchst. a Satz 2 Datenschutzrichtlinie die §§ 11 ff. TMG a.F. zur Anwendung.
28
4. Für den Fall, dass eine mit schwerwiegenden Mängeln behaftete datenschutzrechtswidrige Erhebung und Verarbeitung der Nutzerdaten vorliegt, ist die Ausübung des Ermessens im Rahmen des § 38 Abs. 5 BDSG a.F. durch den Beklagten nicht zu beanstanden (§ 114 Satz 1 VwGO).
29
a. Für die Ausübung aufsichtlicher Eingriffsbefugnisse nach § 38 Abs. 5 BDSG a.F. bedarf es im Falle mehrerer datenschutzrechtlich Verantwortlicher einer Ermessensausübung im Hinblick auf die Auswahl des Adressaten. Aus der Datenschutzrichtlinie ergibt sich nichts Abweichendes: Die nationalen Kontrollstellen haben ihre Befugnisse aus § 38 Abs. 5 BDSG a.F. ungeachtet der europarechtlichen Verankerung in Art. 28 Abs. 3 der Datenschutzrichtlinie unter Wahrung der nach dem für sie maßgeblichen nationalen Verwaltungsverfahrensrecht und der dortigen Vorgaben zum Ermessen auszuüben. Dabei haben sie ihr nationales Recht im Einklang mit der Datenschutzrichtlinie auszulegen und darauf zu achten, dass sie sich nicht auf eine Auslegung dieser Richtlinie stützen, die mit den durch die Gemeinschaftsrechtsordnung geschützten Grundrechten oder den anderen allgemeinen Grundsätzen des Gemeinschaftsrechts, wie dem Grundsatz der Verhältnismäßigkeit, kollidiert (EuGH, Urteil vom 6. November 2003 – C-101/01 [ECLI: EU: C: 2003: 596], Lindqvist – Rn. 87). Stehen einer nationalen Kontrollbehörde infolge einer gemeinsamen Verantwortlichkeit mehrere potentielle Adressaten für eine Abhilfemaßnahme zur Verfügung, so ist unter Beachtung des Grundsatzes der Verhältnismäßigkeit eine Ermessensentscheidung erforderlich, wenn bereits die Inanspruchnahme nur eines Adressaten den Anlass für das Einschreiten beseitigen könnte (Schreiber, ZD 2019, 55 <59> m.w.N.). Auch § 38 Abs. 5 BDSG a.F. selbst bietet keinen Ansatz dafür, dass diese Befugnisnorm im Rahmen der Ermessensausübung einen Rückgriff auf die allgemeinen Grundsätze der Störerauswahl ausschließen würde.
30
b. Der Beklagte hat sein Ermessen bei der Auswahl der Klägerin als Adressatin des Bescheids ungeachtet der Frage, ob auch ein Vorgehen gegen Unternehmen des Facebook-Konzerns rechtlich möglich gewesen wäre, rechtmäßig ausgeübt. Er hat vor Erlass des Bescheids mit Facebook erfolglos Gespräche darüber geführt, welche technischen Vorkehrungen für einen datenschutzkonformen Betrieb einer Fanpage in Betracht kämen (vgl. S. 4 des angefochtenen Bescheids). Daher hat er ein Vorgehen gegen Facebook tatsächlich in Erwägung gezogen, dann aber einer Inanspruchnahme der Klägerin aus sachlichen Gründen den Vorzug gegeben. Für die Auswahl unter mehreren datenschutzrechtlich Verantwortlichen erweist sich der das Gefahrenabwehrrecht beherrschende Gedanke der Effektivität als legitim. Die Behörde kann sich bei der Auswahl unter mehreren in Betracht kommenden Adressaten von der Erwägung leiten lassen, dass ein rechtswidriger Zustand durch die Inanspruchnahme eines bestimmten Adressaten schneller oder wirksamer beseitigt werden kann (zum allgemeinen Polizeirecht Denninger, in: Lisken/Denninger, Handbuch des Polizeirechts, 6. Aufl. 2018, D. Polizeiaufgaben, Rn. 133; zur Adressatenwahl im Eisenbahnrecht: BVerwG, Urteil vom 9. September 2015 – 6 C 28.14 [ECLI: DE: BVerwG: 2015: 090915U6C28.14.0] – BVerwGE 153, 1 Rn. 32; im Umweltrecht: Sparwasser/Heilshorn, in: Landmann/Rohmer, Umweltrecht, Band III, Stand Februar 2019, § 14 BImSchG Rn. 45).
31
Auch im Bereich des Datenschutzes kann es das Gebot einer effektiven und wirkungsvollen Gefahrenabwehr rechtfertigen, denjenigen Verantwortlichen heranzuziehen, dessen Pflichtigkeit sich ohne weiteres bejahen lässt und dem effektive Mittel zum Abstellen des Verstoßes zur Verfügung stehen. Daher war der Beklagte vor dem Hintergrund der im Zeitpunkt der Widerspruchsentscheidung fehlenden Kooperationsbereitschaft der Beigeladenen, den unklaren Binnenstrukturen der Facebook-Unternehmensgruppe, der damit verknüpften Frage, welches nationale Datenschutzrecht für die Beigeladene Anwendung findet und welche Möglichkeiten für die Durchsetzung eines solchen Bescheids bestehen, aus Gründen der Effektivität nicht gehalten, vor einer Inanspruchnahme der Klägerin seine rechtlichen und tatsächlichen Möglichkeiten eines Vorgehens gegen ein Unternehmen der Facebook-Unternehmensfamilie umfassend zu klären. Vielmehr war die Deaktivierungsanordnung gegenüber der Klägerin auch geeignet, die Beigeladene über den Einzelfall der Klägerin hinaus unter Zugzwang zu setzen. Hat diese Maßnahme Bestand, so wird sich Facebook um eine datenschutzrechtskonforme Lösung bemühen müssen, um sein Geschäftsmodell in Deutschland weiterverfolgen zu können. Daher erweist sich die Anordnung gegen die Klägerin als effektives Mittel, um das vom EuGH im Urteil vom 5. Juni 2018 – C-210/16 – (JZ 2018, 1154 Rn. 26) herausgestellte Ziel, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre bei der Verarbeitung personenbezogener Daten, zu gewährleisten.
32
c. Die gegenüber der Klägerin angeordnete Deaktivierung ihrer Fanpage erweist sich auch im Übrigen als ermessensfehlerfrei. Da die Klägerin als datenschutzrechtlich Verantwortliche bei Vorliegen der beanstandeten Verstöße einen rechtskonformen Betrieb ihrer Fanpage nach den bindenden Feststellungen des Berufungsurteils mangels vertraglicher oder technischer Einwirkungsmöglichkeiten nicht bewirken kann, war die Anordnung der Deaktivierung ein geeignetes Mittel zur Unterbindung der potentiellen Datenschutzrechtsverstöße. Ein milderes Mittel stand dem Beklagten gegenüber der Klägerin nicht zur Verfügung. Auch der Umstand, dass das Deaktivierungsgebot der Klägerin derzeit die Möglichkeit nimmt, sich in dem von ihr für ihre geschäftliche Tätigkeit als besonders wichtig erachteten sozialen Netzwerk Facebook zu präsentieren, zwang den Beklagten nicht zu einem Verzicht auf ein effektives Einschreiten, wenn die Klägerin dieses Angebot nur unter Inkaufnahme schwerwiegender datenschutzrechtlicher Mängel betreiben kann.
33
d. Ebenso wenig lässt sich ein Ermessensfehler aus dem Umstand herleiten, dass die Daten der Nutzer auch auf einer Vielzahl weiterer Facebook-Fanpages in gleicher Weise verarbeitet werden und daher die Abschaltung der klägerischen Fanpage massenhafte Datenschutzrechtsverstöße an anderer Stelle nicht verhindern kann. Verstöße Dritter gegen datenschutzrechtliche Bestimmungen lassen die Verantwortlichkeit der Klägerin für ihr eigenes Angebot unberührt. Art. 3 Abs. 1 GG gewährt keinen Anspruch auf Gleichbehandlung im Unrecht. Der Beklagte war im Lichte des Art. 3 Abs. 1 GG auch nicht gehalten, vor einer Inanspruchnahme der Klägerin ein Konzept für ein flächendeckendes Vorgehen gegen Fanpage-Betreiber in seiner Zuständigkeit zu erstellen. Zwar beschränkt der Gleichheitssatz als gesetzliche Ermessensgrenze die Handlungsmöglichkeiten der Verwaltung und gebietet der Behörde, in vergleichbaren Fällen in der gleichen Art und Weise zu verfahren (BVerwG, Urteil vom 26. Oktober 2017 – 8 C 18.16 [ECLI: DE: BVerwG: 2017: 261017U8C18.16.0] – BVerwGE 160, 193 Rn. 21 m.w.N.). Das bedeutet bei einer Vielzahl von Verstößen aber nicht, dass sie gleichzeitig tätig werden muss. Bei Vorliegen sachlicher Gründe kann sie sich auch darauf beschränken, zunächst einen Einzelfall herauszugreifen und die Verhältnisse nach und nach zu bereinigen (stRspr, vgl. BVerwG, Beschluss vom 22. April 1995 – 4 B 55.95 – BRS 57 Nr. 248 S. 595). Dafür, dass die von dem Beklagten für die Auswahl der in Anspruch genommenen Fanpage-Betreiber angeführten Gründe willkürlich waren, ist vorliegend nichts ersichtlich.
34
5. Der Senat kann in der Sache nicht selbst abschließend entscheiden. Das Oberverwaltungsgericht hat von seinem rechtlichen Standpunkt aus folgerichtig keine tatsächlichen Feststellungen zu den bei Aufruf der Fanpage der Klägerin tatsächlich ablaufenden Datenverarbeitungsvorgängen und einer etwaigen Unterrichtung der Nutzer getroffen. Die Sache ist daher zur anderweitigen Verhandlung und Entscheidung an das Oberverwaltungsgericht zurückzuverweisen (§ 144 Abs. 3 Satz 1 Nr. 2 VwGO).
35
Das Oberverwaltungsgericht wird zu prüfen haben, welche Datenerhebungen bei Aufruf der Fanpage im für die Entscheidung maßgeblichen Zeitpunkt stattfanden. Soweit sich aus der Verwendung der von Facebook gesetzten Cookies eine Verarbeitung personenbezogener Daten ergab, wird das Gericht zwischen den Fallgruppen der Facebook-Mitglieder und der nicht bei Facebook registrierten Internetnutzer zu unterscheiden haben. Die Verarbeitung personenbezogener Daten wäre nur dann rechtmäßig, wenn bei der erstgenannten Gruppe eine wirksame Einwilligung in die Erhebung und nachfolgende Verarbeitung vorlag und bei der letztgenannten Gruppe für die Erhebung personenbezogener Daten eine Rechtsgrundlage bestand und eine möglicherweise erforderliche Unterrichtung erfolgte.
36
6. Die in der Revisionsbegründung unter Ziffer 1 erhobenen Verfahrensrügen einschließlich des Antrags auf Aufhebung der Beiladung hat der Beklagte im Rahmen der mündlichen Verhandlung vom 11. September 2019 fallengelassen. Sie bedürfen daher keiner Entscheidung mehr.
37
7. Die Entscheidung über die Kosten bleibt der Schlussentscheidung vorbehalten.