IT 2073

Prejudiciële vragen aan HvJ EU: Maakt het openen van Facebook fanpage je verantwoordelijk voor de gegevensverwerking?

Prejudicieel gestelde vragen aan HvJ EU 25 februari 2016, IEFbe 1807; IT 2073; C-210/16 (Wirtschaftsakademie Schleswig-Holstein)
Gegevensbescherming. Privacy. Via Minbuza: Verzoekster, een privaatrechtelijk georganiseerde onderwijsinstelling, heeft van het ‘Onafhankelijk centrum voor gegevensbescherming van de deelstaat’ (verweerder) op 03-11-2011 opdracht gekregen haar Facebookpagina te deactiveren. Verzoekster maakt via haar ‘fanpage’ bij Facebook Ireland onder meer reclame voor haar onderwijsinstelling. Het aanhouden van ‘fanpages’ geeft de maker onder meer mogelijkheid (via ‘facebook-insights’) geanonimiseerde statistische informatie over gebruikers, bij wie cookies worden geplaatst, te ontvangen. Verzoekster maakt bezwaar maar verweerder bevestigt het besluit, waarna de zaak aan de rechter wordt voorgelegd. Het Verwaltungsgericht vernietigt de beslissing omdat verzoekster geen ‘verantwoordelijk lichaam’ is in de zin van de DUI wet en dan ook geen adressaat van een bevel kan zijn. Verweerders hoger beroep sneuvelt. De zaak ligt nu voor in Revision bij de verwijzende rechter. Verzoekster, ondersteund door medegedaagde Facebook, meent dat zij niet verantwoordelijk is voor gegevensverwerking door Facebook en evenmin voor de geïnstalleerde cookies. Zij heeft daartoe geen opdracht gegeven. Verweerder stelt dat verzoekster door het openen van een ‘fanpage’ wel verantwoordelijk is.

Volgens de verwijzende DUI rechter (Bundesverwaltungsgerichtshof) is verzoekster niet het ‘lichaam’ zoals beschreven in de DUI regelgeving en in artikel 2 van RL 95/46 maar schept zij wel de mogelijkheid tot het plaatsen van cookies bij de gebruikers van haar pagina. Zij heeft echter geen invloed op de omvang daarvan. De gebruikersvoorwaarden van Facebook zijn eenzijdig vastgesteld. Hij wijst echter wel op de verantwoordelijkheid om een zorgvuldige selectie te maken uit het aanbod aan infrastructuur voor het beschikbaar stellen van de eigen informatie. Hij legt het HvJEU de volgende vragen voor:
1. Moet artikel 2, onder d), van [richtlijn 95/46/EG] aldus worden uitgelegd dat het de aansprakelijkheid en verantwoordelijkheid voor inbreuken op de bescherming van gegevens definitief en exhaustief regelt, of blijft er in het kader van de “passende maatregelen” krachtens artikel 24 van richtlijn 95/46 en de “effectieve bevoegdheden om in te grijpen” krachtens artikel 28, lid 3, tweede streepje, van richtlijn 95/46 in meervoudige informatieaanbiedersverhoudingen ruimte voor een verantwoordelijkheid van een lichaam dat niet voor de verwerking van gegevens verantwoordelijk is in de zin van artikel 2, onder d), van richtlijn 95/46, bij de selectie van een exploitant voor zijn informatieaanbod?
2. Volgt uit de in artikel 17, lid 2, van richtlijn 95/46 bedoelde verplichting van de lidstaten om bij de gegevensverwerking ten behoeve van [de voor de verwerking verantwoordelijke] te bepalen dat de voor de verwerking verantwoordelijke “een verwerker moet kiezen die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerking”, a contratrio dat bij andere gebruiksverhoudingen, die geen verband houden met de gegevensverwerking ten behoeve van [de voor de verwerking verantwoordelijke] in de zin van artikel 2, onder e), van richtlijn 95/46, geen verplichting tot zorgvuldige selectie bestaat en deze ook niet op het nationale recht kan worden gebaseerd?
3. Wanneer een buiten de Europese Unie gevestigde moedermaatschappij in verschillende lidstaten juridisch zelfstandige vestigingen (dochtermaatschappijen) heeft, is de toezichthoudende autoriteit van een lidstaat (hier: Duitsland) dan krachtens de artikelen 4 en 28, lid 6, van richtlijn 95/46 ook dan bevoegd voor de uitoefening van de [haar] krachtens artikel 28, lid 3, van richtlijn 95/46 verleende bevoegdheden ten aanzien van de op het eigen grondgebied gelegen vestiging wanneer deze vestiging alleen met de verkoop van advertentieruimte en andere marketingactiviteiten gericht op de inwoners van deze lidstaat is belast, terwijl de in een andere lidstaat (hier: Ierland) gelegen zelfstandige vestiging (dochtermaatschappij) volgens de concerninterne taakverdeling exclusief verantwoordelijk is voor het verzamelen en verwerken van persoonsgegevens op het volledige grondgebied van de Europese Unie en dus ook in de andere lidstaat (hier: Duitsland), wanneer de beslissing betreffende de gegevensverwerking in feite door de moedermaatschappij wordt genomen?
4. Moeten artikel 4, lid 1, onder a), en artikel 28, lid 3, van richtlijn 95/46 aldus worden uitgelegd dat wanneer de voor de verwerking verantwoordelijke een vestiging op het grondgebied van een lidstaat (hier Ierland) heeft en er op het grondgebied van een andere lidstaat (hier: Duitsland) een andere, juridisch zelfstandige vestiging is die onder meer met de verkoop van advertentieruimte is belast en van wie de activiteiten op de inwoners van deze staat zijn gericht, de in deze andere lidstaat (hier: Duitsland) bevoegde toezichthoudende autoriteit maatregelen en bevelen tot handhaving van de wetgeving inzake de bescherming van gegevens ook kan richten tot de andere vestiging (hier: in Duitsland) die volgens de concerninterne taak- en verantwoordelijkheidsverdeling niet verantwoordelijk is voor de gegevensverwerking, of kunnen maatregelen en bevelen dan slechts door de controleautoriteit van de lidstaat (hier: Ierland) op wiens grondgebied het concerninterne verantwoordelijke lichaam haar zetel heeft, worden genomen respectievelijk gegeven?
5. Moeten artikel 4, lid 1, onder a), en artikel 28, leden 3 en 6, van richtlijn 95/46 aldus worden uitgelegd dat wanneer de controleautoriteit van een lidstaat (hier: Duitsland) krachtens artikel 28, lid 3, van richtlijn 95/46 tegen een op haar grondgebied actieve persoon of actief lichaam optreedt wegens de onzorgvuldige selectie van een bij het gegevensverwerkingsproces betrokken derde (hier: Facebook), omdat deze derde de wetgeving inzake de bescherming van gegevens schendt, de optredende controleautoriteit (hier: Duitsland) in zoverre is gebonden aan de gegevensbeschermingsrechtelijke beoordeling van de controleautoriteit van de andere lidstaat waarin de voor de gegevensverwerking verantwoordelijke derde is gevestigd (hier: Ierland), dat zij geen hiervan afwijkende juridische beoordeling mag uitvoeren, of mag de optredende controleautoriteit (hier: Duitsland) de rechtmatigheid van de gegevensverwerking door de in een andere lidstaat (hier: Ierland) gevestigde derde voorafgaand aan haar eigen optreden autonoom toetsen?
6. Voor zover de optredende controleautoriteit (hier: Duitsland) een autonome beoordeling mag uitvoeren: moet artikel 28, lid 6, tweede volzin, van richtlijn 95/46 aldus worden uitgelegd dat deze controleautoriteit de haar krachtens artikel 28, lid 3, van richtlijn 95/46 toegewezen effectieve bevoegdheden om tegen een op haar grondgebied gevestigd persoon of lichaam op te treden wegens medeverantwoordelijkheid voor de inbreuken op de bescherming van gegevens door een in een andere lidstaat gevestigde derde alleen dan mag uitoefenen wanneer zij de controleautoriteit van deze andere lidstaat (hier: Ierland) voordien verzocht heeft haar bevoegdheden uit te oefenen?