Bundesverwaltungsgericht, Urteil vom 11.09.2019, Az. 6 C 15/18, 6 C 15/18 (1 C 28/14)

Die Klägerin ist eine in der Form einer GmbH betriebene gemeinnützige Bildungseinrichtung, die von den Industrie- und Handelskammern in [X.] getragen wird. Sie wendet sich gegen eine datenschutzrechtliche Anordnung, mit der sie verpflichtet wird, ihre unter der Adresse "https://www.facebook.com/wirtschaftsakademie" unterhaltene [X.]-Seite (sog. Fanpage) zu deaktivieren.

Die Klägerin betreibt im Sozialen Netzwerk [X.] einen speziellen Nutzeraccount in Form einer Fanpage, auf dem sie sich als Bildungseinrichtung präsentiert und ihr Bildungsangebot bewirbt. Nach Anhörung der Klägerin ordnete der [X.] mit Bescheid vom 3. November 2011 die Deaktivierung dieser Fanpage an und drohte widrigenfalls ein Zwangsgeld an. Er beanstandete, dass [X.] bei Aufruf der Fanpage Cookies setze, die zu einer Verarbeitung personenbezogener Daten der Nutzer und zur Erstellung von Nutzungsprofilen für Zwecke der Werbung oder Marktforschung führten. Die Klägerin unterrichte die Nutzer nicht über Art, Umfang und Zwecke der Datenerhebung sowie das Bestehen eines Widerspruchsrechts gegen die Erstellung eines Nutzungsprofils. Zudem biete sie keine Möglichkeit, dieses Widerspruchsrecht auszuüben. [X.] generiere aus den Nutzerdaten eine anonymisierte statistische Zusammenstellung, die über die Funktion "[X.] Insights" vom Fanpagebetreiber zur Analyse des Nutzerverhaltens abgerufen werden könne. Die Klägerin sei für die von [X.] veranlassten Datenverarbeitungsvorgänge datenschutzrechtlich verantwortlich, weil sie mit dem Betrieb der Fanpage [X.] den Zugriff auf die Daten der Nutzer eröffne und ihrerseits von den Vorteilen der unentgeltlichen zur Verfügung gestellten Infrastruktur profitiere. Da [X.] in den bisherigen Gesprächen keine Lösung angeboten habe und die Klägerin selbst mangels Einwirkungsmöglichkeiten auf die digitale Infrastruktur von [X.] keine rechtskonforme Nutzung anbieten könne, komme nur die Anordnung der Deaktivierung der Fanpage in Betracht.

Nach erfolgloser Durchführung eines Widerspruchsverfahrens erhob die Klägerin Klage gegen den Bescheid in Form des Widerspruchsbescheids vom 16. Dezember 2011. Sie machte im Wesentlichen geltend, sie sei lediglich Nutzerin des [X.] Netzwerks und an dessen Infrastruktur gebunden. Sie trage keine Verantwortung für die von [X.] durchgeführten Datenverarbeitungen. Im Übrigen hätten [X.]nutzer im Rahmen ihrer Registrierung und der Annahme der [X.]-Nutzungsbedingungen in die Datenverarbeitungen eingewilligt. Nutzer, die keine [X.]mitglieder seien, könnten sich über einen Link am Ende der Fanpage über die Nutzungsbedingungen informieren. Die bloße Übertragung der [X.] stelle kein personenbezogenes Datum dar.

Das Verwaltungsgericht lud die [X.] Ireland Ltd. mit Sitz in [X.], [X.], zum Verfahren bei.

Mit Urteil vom 9. Oktober 2013 hob das Verwaltungsgericht den angefochtenen Bescheid in Gestalt des Widerspruchsbescheids auf. Die Klägerin sei keine verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG a.F., weil sie die Nutzerdaten weder selbst verarbeite noch die Beigeladene als Auftragsdatenverarbeiterin einsetze. Sie entscheide auch nicht gemeinsam mit [X.] über die Zwecke und Mittel der Datenverarbeitung. Die für eine Anwendung des § 38 Abs. 5 BDSG a.F. erforderliche datenschutzrechtliche Verantwortlichkeit könne nicht durch einen Rückgriff auf die Zurechnungsnormen des Privatrechts oder des allgemeinen Polizei- und Ordnungsrechts ausgeweitet werden.

Die dagegen erhobene Berufung des [X.]n hat das Oberverwaltungsgericht mit Urteil vom 4. September 2014 zurückgewiesen. Es hat die Rechtsauffassung des [X.] bestätigt, dass mangels Kontroll- und Einflussmöglichkeit keine datenschutzrechtliche (Mit-)Verantwortlichkeit der Klägerin aus § 3 Abs. 7 BDSG a.F., Art. 2 Buchst. d der Richtlinie 95/46/[X.] (Datenschutzrichtlinie) für die vorliegend beanstandeten Datenverarbeitungsvorgänge begründet werden könne. Die Klägerin könne daher nicht Adressatin einer Verfügung nach § 38 Abs. 5 BDSG a.F. sein. Das Berufungsurteil hat zudem darauf abgestellt, dass die Deaktivierungsanordnung einer Untersagung der Datenverarbeitung nach § 38 Abs. 5 Satz 2 BDSG a.F. gleichkomme. Eine vollständige Untersagung setze voraus, dass zunächst im Rahmen eines abgestuften Verfahrens Maßnahmen zur Beseitigung festgestellter Verstöße nach § 38 Abs. 5 Satz 1 BDSG a.F. gefordert worden seien. Eine Ausnahme komme nur in Betracht, wenn ein [X.] in seiner Gesamtheit unzulässig und nur durch Einstellung beseitigt werden könne, also die Einhaltung des abgestuften Verfahrens objektiv sinn- und zwecklos erscheine. Dies sei vorliegend nicht der Fall. Denn die vom [X.]n behaupteten Verstöße könnten von [X.] ohne weiteres und wesentlich effektiver beseitigt werden. Auch für den Fall, dass der [X.] nicht die für [X.] zuständige Kontrollstelle sei, dürfe er nicht anstelle von [X.] und abweichend vom vorgeschriebenen Verfahren einen Dritten im Sinne des Art. 2 Buchst. f der Datenschutzrichtlinie belangen. Vor diesem Hintergrund hat das Berufungsurteil offengelassen, ob die beanstandeten Vorgänge gegen [X.] oder [X.] Datenschutzrecht verstießen.

Mit seiner vom Oberverwaltungsgericht zugelassenen Revision begehrt der [X.] die Aufhebung der Urteile der Vorinstanzen und die Abweisung der Klage. Er rügt im Wesentlichen eine Verletzung der § 3 Abs. 7, § 38 Abs. 5 BDSG a.F. sowie von Art. 2 Buchst. d der Datenschutzrichtlinie. Das im Berufungsurteil zum Ausdruck kommende Verständnis der datenschutzrechtlichen Verantwortlichkeit erweise sich als zu eng und beruhe auf einem unzureichenden Verständnis des Geschäftsmodells des Sozialen Netzwerks [X.] und der wechselseitigen geschäftlichen Interessen der Klägerin und der Beigeladenen. Als Adressat einer datenschutzrechtlichen Anordnung komme auch in Betracht, wer sich aus Eigeninteresse die digitale Infrastruktur eines Anbieters zunutze mache, obwohl diese den Anforderungen des Datenschutzrechts nicht genüge. Das Berufungsurteil verkenne, dass die Klägerin als Trägerin eines öffentlich-rechtlichen Bildungsauftrags in besonderem Maße zur Wahrung der datenschutzrechtlichen Belange ihrer Nutzer verpflichtet sei.

Die Klägerin verteidigt die angegriffenen Urteile und beantragt, die Revision zurückzuweisen. Der Charakter der von ihr wahrgenommenen Bildungsaufgaben führe nicht zu einer abweichenden Bewertung ihrer datenschutzrechtlichen Verantwortlichkeit. Diese scheitere bereits an den fehlenden Einwirkungsmöglichkeiten auf die von [X.] vorgegebene und im Übrigen datenschutzrechtlich unbedenkliche Infrastruktur. Die von [X.] durchgeführten Verarbeitungsvorgänge könnten der Klägerin auch sonst unter keinem rechtlichen Gesichtspunkt zugerechnet werden. Der [X.] habe ermessensfehlerfrei nur gegen [X.] vorgehen können.

Auch die Beigeladene beantragt, die Revision zurückzuweisen und macht geltend, die Deaktivierungsanordnung erweise sich aus den im Berufungsurteil dargelegten Gründen als rechtswidrig. Sie selbst sei die datenschutzrechtlich Verantwortliche für das Soziale Netzwerk [X.] außerhalb [X.] und betreibe es unter der Aufsicht der [X.] Datenschutzbehörden im Einklang mit datenschutzrechtlichen Vorgaben. Nutzer, die mit einer Fanpage interagierten, seien durch die Datenverwendungsrichtlinien von [X.] umfassend unterrichtet und hätten in diese eingewilligt. Ein Fanpagebetreiber könne weder die Datenerhebungen noch deren Verarbeitung im Rahmen der "[X.] Insights"-Funktion beeinflussen. Die Klägerin sei daher nicht verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG a.F., Art. 2 Buchst. d der Datenschutzrichtlinie. Eine Inanspruchnahme unter Rückgriff auf eine Störerhaftung komme nicht in Betracht. Dem [X.]n stehe mit der Beigeladenen eine geeignetere Stelle zur Beseitigung etwaiger Datenschutzrechtsverstöße zur Verfügung. Dies habe sowohl im Rahmen der Stufenfolge des § 38 Abs. 5 BDSG a.F. wie auch im Rahmen des Auswahlermessens Berücksichtigung finden müssen.

Der damals befasste 1. Senat des [X.] hat das Revisionsverfahren mit Beschluss vom 25. Februar 2016 ausgesetzt und in einem Vorabentscheidungsverfahren den Gerichtshof der [X.] um Auslegung mehrerer Bestimmungen der Datenschutzrichtlinie gebeten. Mit Urteil vom 5. Juni 2018 - [X.]/16 - hat der Gerichtshof der [X.] festgestellt, dass der Betreiber einer bei einem [X.] Netzwerk unterhaltenen Fanpage ein für die Verarbeitung Verantwortlicher im Sinne des Art. 2 Buchst. d der Datenschutzrichtlinie ist. Weil die [X.] Muttergesellschaft [X.] Inc. mit [X.] Germany GmbH in [X.] über eine dauerhafte Niederlassung verfüge und die beanstandeten Verarbeitungen in den Rahmen der Tätigkeiten dieser Niederlassung fielen, sei [X.] Datenschutzrecht anwendbar. Die nationale Kontrollstelle sei zur Ausübung ihrer Hoheitsbefugnisse gegenüber einer in ihrem Hoheitsgebiet gelegenen Niederlassung eines außerhalb der [X.] sitzenden Unternehmens auch dann befugt, wenn die Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der [X.] einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliege. Die nationale Datenschutzbehörde sei für ein Tätigwerden im Rahmen ihrer Zuständigkeit nicht an die rechtliche Bewertung einer Datenverarbeitung durch die Kontrollstelle eines anderen Mitgliedstaats gebunden.

Im [X.] an das Urteil des Gerichtshofs der [X.] haben die Beteiligten ergänzend vorgetragen. Der [X.] erachtet die Frage der datenschutzrechtlichen Verantwortlichkeit der Klägerin für verbindlich geklärt. [X.] für die Einstufung der Klägerin als für die Verarbeitung Verantwortliche sei, dass sich der Betreiber einer Internetseite nicht seinen datenschutzrechtlichen Pflichten entziehen könne, indem er eine von [X.] vorgefertigte Plattform nutze und sich deren Allgemeinen Geschäftsbedingungen unterwerfe. Das Berufungsurteil erweise sich auch nicht aus anderen Gründen als richtig. Der Gerichtshof der [X.] habe bestätigt, dass keine Priorität der [X.] Datenschutzaufsicht bestehe. Weder sei der [X.] an deren Einschätzung der Rechtmäßigkeit der Datenverarbeitung durch die Beigeladene gebunden, noch müsse er zunächst um ein Einschreiten gegen die Beigeladene ersuchen. Er sei auch weder nach [X.] noch nach [X.] Recht gehalten gewesen, vorrangig gegen [X.] Germany GmbH einzuschreiten. Ein Rückgriff auf die allgemeinen ordnungsrechtlichen Grundsätze der [X.] komme infolge der umfassenden Harmonisierung des Datenschutzrechts durch die Datenschutzrichtlinie nicht in Betracht. Ein Verständnis, nach dem der [X.] seine Befugnisse nur ausüben dürfe, wenn sich zuvor alle auch nur entfernt in Betracht kommenden Alternativen als vollständig nutzlos erwiesen hätten, wäre mit dem Ziel einer effektiven Durchsetzung des [X.] Rechts nicht vereinbar. Das [X.] Recht fordere kein vorrangiges Vorgehen gegen einen in einem höheren Grad Verantwortlichen. Vielmehr belege das Urteil des Gerichtshofs der [X.] vom 29. Juli 2019 - [X.]/17, [X.] -, dass die Klägerin im Hinblick auf die bei Aufruf der Seite eintretenden Rechtsverstöße originäre und alleinige Störerin sei. Ohnehin fehle dem [X.]n eine Verbandskompetenz für ein Einschreiten gegen [X.] Germany GmbH mit Sitz in [X.]. Das Vorgehen erweise sich auch als verhältnismäßig. Dem [X.]n stehe kein milderes und zugleich effektives Mittel zur Verfügung. Insbesondere sei er nicht darauf verwiesen, ein Vorgehen des [X.] Datenschutzbeauftragten abzuwarten.

Die Klägerin macht geltend, die Deaktivierungsanordnung erweise sich jedenfalls aus anderen Gründen als rechtswidrig. Ungeachtet der noch ungeklärten Frage, ob beim Betrieb der Fanpage überhaupt Verstöße gegen datenschutzrechtliche Bestimmungen vorlägen, habe der [X.] sein Ermessen in personeller Hinsicht und unter Verstoß gegen den Grundsatz der Verhältnismäßigkeit fehlerhaft ausgeübt. Nach dem Grundsatz der effektiven Gefahrenabwehr habe vorrangig [X.] als Hauptverantwortliche zur Unterbindung der vermeintlichen Datenschutzrechtsverstöße verpflichtet werden müssen. Zudem liege eine Ermessensüberschreitung vor, weil der [X.] die Klägerin [X.] und willkürlich aus der Vielzahl der Fanpagebetreiber herausgegriffen habe und ihr damit einen erheblichen Wettbewerbsnachteil zufüge. Jedenfalls aber sei die geforderte Deaktivierung unverhältnismäßig, weil der [X.] mit einem Vorgehen gegen die [X.] Germany GmbH datenschutzkonforme Zustände schonender und effektiver herstellen könne. Die gemeinsame Verantwortlichkeit zwischen der Beigeladenen und der Klägerin führe auch zu einer gemeinsamen Zuständigkeit der jeweils originär zuständigen Datenschutzbehörden, so dass der [X.] innerstaatlich zu einem Vorgehen gegen die in [X.] ansässige [X.] Germany GmbH zuständig gewesen sei. Jedenfalls sei er im Rahmen des Auswahlermessens zur Inanspruchnahme von Amtshilfe verpflichtet gewesen. Da es für die Rechtmäßigkeit des Bescheids maßgeblich auf den Zeitpunkt der letzten Behördenentscheidung ankomme, könnte der [X.] die damals getroffene Ermessensentscheidung nicht durch nachträglich gewonnene Erkenntnisse unterfüttern. Der Gerichtshof der [X.] habe in seiner zuletzt ergangenen Entscheidung vom 29. Juli 2019 aufgezeigt, dass das Vorliegen einer gemeinsamen Verantwortlichkeit in einer Verarbeitungskette abschnittsweise zu betrachten sei.

Die Beigeladene trägt vor, die im bisherigen Verfahren getroffenen tatsächlichen Feststellungen böten keine geeignete Grundlage für die Bejahung einer Mitverantwortlichkeit der Klägerin nach Art. 2 Buchst. d der Datenschutzrichtlinie. Der Gerichtshof der [X.] habe seiner Entscheidung fälschlicherweise zugrunde gelegt, dass die bei Einrichtung einer Fanpage erfolgende Parametrierung durch den Fanpagebetreiber einen Einfluss auf die Verarbeitung personenbezogener Daten durch sie habe, was tatsächlich nicht der Fall sei. Es fehlten im Übrigen auch Feststellungen dazu, ob die Klägerin von diesen Funktionalitäten Gebrauch gemacht habe. Angesichts dieser gravierenden Diskrepanz könne die Frage einer datenschutzrechtlichen Verantwortlichkeit der Klägerin nicht als verbindlich geklärt behandelt werden. Im Übrigen ergebe sich die Rechtswidrigkeit des Bescheids aus dem Umstand, dass der [X.] das in § 38 Abs. 5 BDSG a.F. vorgesehene zweistufige Verfahren nicht eingehalten und sich fälschlicherweise auf Satz 1 der Ermächtigungsgrundlage gestützt habe. Auch leide die Anordnung unter [X.]. Der [X.] verkenne die Bedeutung des unterschiedlichen Grades der Verantwortlichkeit für das Auswahlermessen und die Verhältnismäßigkeit. Jedenfalls habe ein Vorgehen gegen die [X.] Germany GmbH oder gegen sie selbst Vorrang vor einer Inanspruchnahme der Klägerin. Die Unverhältnismäßigkeit des Vorgehens werde noch dadurch verstärkt, dass die Nutzer mit der Einführung eines "[X.]" mittlerweile über die Datenerhebungen informiert würden, so dass die Klägerin in absehbarer Zeit die Einzige sei, die ihre Fanpage deaktivieren müsse. Für den [X.]n sei eine Inanspruchnahme der [X.] Germany GmbH auch rechtlich möglich, weil seine Zuständigkeit an die Betroffenheit einer in [X.] wohnenden natürlichen Person anknüpfe. Andernfalls habe der [X.] vorrangig die Amtshilfe anderer Kontrollstellen einfordern müssen. Im Übrigen seien die beanstandeten Datenverarbeitungen rechtskonform.

Der Vertreter des [X.] beim [X.] verweist auf die mittlerweile in [X.] getretene Datenschutzgrundverordnung und den dort unverändert übernommenen Begriff des für die Datenverarbeitung Verantwortlichen. Die für den Rechtsstreit zentrale Frage einer datenschutzrechtlichen Verantwortlichkeit der Klägerin sei durch den Gerichtshof der [X.] abschließend entschieden. Zugleich sei geklärt, dass es vorliegend für die Zuständigkeit des [X.]n unschädlich sei, dass nach der konzerninternen Aufgabenverteilung bei [X.] die Erhebung und Verarbeitung der Daten außerhalb des Zuständigkeitsbereichs des [X.]n erfolge. Schließlich belege das Urteil auch, dass der [X.] vor Ausübung seiner Kontrollbefugnisse keine Abstimmung mit den [X.] [X.] habe vornehmen müssen.

Die zulässige Revision des Beklagten ist mit der Maßgabe begründet, dass das Berufungsurteil aufzuheben und die Sache an das O[X.]verwaltungsgericht zurückzuverweisen ist. Das Berufungsurteil [X.]uht auf einer Verletzung revisiblen Rechts im Sinne des § 137 Abs. 1 Nr. 1 VwGO, soweit es § 38 Abs. 5 Satz 1 und 2 des Bundesdatenschutzgesetzes (BDSG) vom 20. Dezem[X.] 1990 ([X.]) i.d.F. der Bekanntmachung vom 14. Januar 2003 ([X.] [X.]), für den hier maßgeblichen Zeitraum zuletzt geändert durch Art. 1 des Gesetzes zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009 ([X.] I S. 2814) - BDSG a.F. - entnimmt, dass für das dort vorgegebene gestufte Vorgehen unterschiedliche Adressaten in die Betrachtung einzubeziehen sind (1). Mit Bundesrecht unvereinbar ist nach den bindenden Vorgaben des Gerichtshofs der [X.] ([X.]) auch der Maßstab, mit dem das Berufungsurteil die datenschutzrechtliche Verantwortlichkeit der Klägerin nach § 3 Abs. 7 BDSG a.F., Art. 2 Buchst. d der Richtlinie 95/46/[X.] und des Rates vom 24. Okto[X.] 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 [X.], [X.]. 2017 L 40 S. 78) - Datenschutzrichtlinie - beurteilt hat (2). Das Berufungsurteil erweist sich auch nicht aus anderen Gründen im Ergebnis als richtig (§ 144 Abs. 4 VwGO). Der Beklagte hat auf die streitigen Datenverarbeitungen zu Recht [X.] Datenschutzrecht angewandt (3) und sein Ermessen bei der Auswahl der Klägerin als Adressatin des Bescheids und bei der Anordnung einer Deaktivierung der [X.] rechtmäßig ausgeübt (4). Da die Feststellungen des Berufungsgerichts nicht ausreichen, um die Rechtmäßigkeit der Datenverarbeitungsvorgänge zu beurteilen, war das Berufungsurteil aufzuheben und die Sache zur anderweitigen Verhandlung und Entscheidung an das Berufungsgericht zurückzuverweisen (§ 144 Abs. 3 Satz 1 Nr. 2 VwGO) (5).

1. Das Berufungsgericht hat seiner Beurteilung zutreffend die Sach- und Rechtslage im Zeitpunkt der letzten Verwaltungsentscheidung, hier des Widerspruchsbescheids vom 16. Dezem[X.] 2011, zugrunde gelegt. Die Rechtmäßigkeit von Anordnungen zur Beseitigung datenschutzrechtlicher Verstöße nach § 38 Abs. 5 BDSG a.F. ist nach der Rechtslage zu beurteilen, die zum Zeitpunkt der letzten behördlichen Entscheidung gilt. Nachträgliche Rechtsänderungen sind nicht zu [X.]ücksichtigen ([X.], Vorlagebeschluss vom 25. Februar 2016 - 1 C 28.14 [[X.]:[X.]:[X.]] - [X.] 403.1 Allg. [X.] Nr. 18 Rn. 17; vgl. dazu auch Urteil vom 27. März 2019 - 6 C 2.18 [[X.]:[X.]:[X.]] - NJW 2019, 2556 Rn. 7).

Auch ist die an die Klägerin gerichtete Anordnung, ihre [X.] zu deaktivieren, nach dem Eingriffsgewicht nicht als Mängelbeseitigung im Sinne des § 38 Abs. 5 Satz 1 BDSG a.F., sondern als Untersagung des Einsatzes eines Verfahrens nach § 38 Abs. 5 Satz 2 BDSG a.F. zu werten. Deshalb ist sie zusätzlich zu den Voraussetzungen des Satzes 1 den gesteigerten Anforderungen des Satzes 2 der Vorschrift zu unterwerfen ([X.], Vorlagebeschluss vom 25. Februar 2016 - 1 C 28.14 - [X.] 403.1 Allg. [X.] Nr. 18 Rn. 22). Dem Umstand, dass der angefochtene Bescheid in der Titelzeile auf Satz 1 dieser Bestimmung Bezug nimmt, hat das Berufungsgericht zu Recht keine Bedeutung beigemessen. Der Bescheid ist im verfügenden Teil ausdrücklich auf die Norm des § 38 Abs. 5 BDSG a.F. gestützt und rekurriert auf die Satz 1 und 2 umfassende Befugnisnorm. Der Bescheid wählt daher entgegen dem Vorbringen der Beigeladenen weder eine unzutreffende Rechtsgrundlage noch bedarf es eines Austausches der Rechtsgrundlage oder einer Umdeutung.

§ 38 Abs. 5 Satz 1 und 2 BDSG a.F. verlangt nach seinem Wortlaut ein gestuftes Vorgehen der Aufsichtsbehörden. Er verpflichtet sie, zunächst die Beseitigung datenschutzrechtlicher Verstöße oder Mängel anzuordnen und dies erforderlichenfalls durch die Verhängung eines Zwangsgelds durchzusetzen. Erst wenn diese Instrumente nicht in angemessener Zeit zur Herstellung datenschutzkonformer Zustände führen, kann die Aufsichtsbehörde die Untersagung einer Datenverarbeitung oder eines Datenverarbeitungsverfahrens aussprechen. Damit erweist sich die Normstruktur des § 38 Abs. 5 Satz 1 und 2 BDSG a.F. als eine ausdrückliche Ausprägung des Grundsatzes der Verhältnismäßigkeit. Eben dieser Grundsatz gebietet a[X.] dann eine Ausnahme, wenn die fehlende Eignung einer Anordnung nach Satz 1 zur Herstellung datenschutzkonformer Zustände [X.]eits feststeht ([X.], Vorlagebeschluss vom 25. Februar 2016 - 1 C 28.14 - [X.] 403.1 Allg. [X.] Nr. 18 Rn. 22). Das Datenschutzrecht zwingt die Aufsichtsbehörden nicht zu einem objektiv sinn- und zwecklosen Vorgehen.

Allerdings erweist sich die Rechtsauffassung des Berufungsgerichts insoweit als unzutreffend, als es auch die Frage der Adressatenauswahl in die Stufenfolge des § 38 Abs. 5 Satz 1 und 2 BDSG a.F. einbezieht. Die Ermächtigungsgrundlage des § 38 Abs. 5 BDSG a.F. ist zwar adressatenoffen ausgestaltet, sie steuert mit der Vorgabe eines stufenweisen Einschreitens a[X.] nicht die Auswahl zwischen verschiedenen nach dem materiellen Recht Pflichtigen. Weder kann die Aufsichtsbehörde bei einem Vorgehen nach § 38 Abs. 5 Satz 2 BDSG a.F. auf ein erfolgloses Einschreiten nach Satz 1 gegenü[X.] einem [X.] verweisen, noch muss sie, soweit ein gestuftes Vorgehen ausnahmsweise entbehrlich ist, zunächst gegenü[X.] anderen oder gar sämtlichen Normadressaten Maßnahmen nach § 38 Abs. 5 Satz 1 BDSG a.F. ergreifen. Die ermessensgerechte Adressatenauswahl ist vielmehr der Frage, welche Maßnahme nach der Stufenfolge des § 38 Abs. 5 BDSG a.F. angeordnet werden kann, vorgelagert.

2. Mit dem revisiblen Recht im Sinne des § 137 Abs. 1 Nr. 1 VwGO nicht im Einklang steht die Auslegung des Begriffs der verantwortlichen Stelle im Sinne von § 3 Abs. 7 BDSG a.F. durch das Berufungsgericht. Er ist unionsrechtskonform dahingehend zu verstehen, dass er auch Stellen erfasst, die anderen die Gelegenheit der Datenverarbeitung einräumen, ohne selbst damit befasst zu sein.

a. Der [X.] hat in seinem in der vorliegenden Sache ergangenen Urteil vom 5. Juni 2018 - [X.]/16 [[X.]:[X.]:[X.]] - [X.], 1154 Rn. 44 rechtskräftig festgestellt, dass der Begriff des für die Verarbeitung Verantwortlichen in Art. 2 Buchst. d der Datenschutzrichtlinie den Betrei[X.] einer bei einem [X.] Netzwerk unterhaltenen [X.] umfasst. Im Lichte des Ziels der Datenschutzrichtlinie, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre, bei der Verarbeitung personenbezogener Daten zu gewährleisten, ist der Begriff des für die Verarbeitung Verantwortlichen in Art. 2 Buchst. d der Datenschutzrichtlinie weit definiert als natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen ü[X.] die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet ([X.], Urteil vom 5. Juni 2018 a.a.[X.] Rn. 27). Der [X.] stützt sich maßgeblich auf die Erwägung, dass der Betrei[X.] einer auf [X.] unterhaltenen [X.] mit der Einrichtung einer solchen Seite [X.] die Möglichkeit gibt, auf dem Computer oder jedem anderen Gerät der Person, die seine [X.] besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person ü[X.] ein [X.]-Konto verfügt ([X.], Urteil vom 5. Juni 2018 a.a.[X.] Rn. 35). Damit leistet der Betrei[X.] einen maßgeblichen Beitrag zur Verarbeitung personenbezogener Daten der Besucher der [X.] ([X.], Urteil vom 5. Juni 2018 a.a.[X.] Rn. 36). Hinzu kommt, dass die von [X.] aus den Daten erstellten anonymen Besucherstatistiken dem Betrei[X.] ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten ([X.], Urteil vom 5. Juni 2018 a.a.[X.] Rn. 37). Für die Bejahung einer datenschutzrechtlichen Verantwortlichkeit ist nicht erforderlich, dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betrei[X.] für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat ([X.], Urteil vom 5. Juni 2018 a.a.[X.] Rn. 38). Daher ist der Betrei[X.] einer [X.] an der Entscheidung ü[X.] die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner [X.] beteiligt und ein für diese Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Datenschutzrichtlinie ([X.], Urteil vom 5. Juni 2018 a.a.[X.] Rn. 39). Der Umstand, dass ein Betrei[X.] einer [X.] die von [X.] eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien ([X.], Urteil vom 5. Juni 2018 a.a.[X.] Rn. 40).

Eine erneute Vorlage an den [X.] wegen der Reichweite der datenschutzrechtlichen Verantwortlichkeit kommt nicht in Betracht. Denn das [X.] ist als vorlegendes Gericht bei der Entscheidung des Rechtsstreits an die Auslegung des Unionsrechts durch den [X.] im Vorabentscheidungsverfahren gebunden (stRspr vgl. [X.], Beschluss vom 5. März 1986 - [X.]/85 [[X.]:[X.]:[X.]], Wünsche - Rn. 13). Weder das [X.] noch das O[X.]verwaltungsgericht als weitere zur Entscheidung [X.]ufene Gerichte des Instanzenzugs sind befugt, von der Antwort der entschiedenen Frage in ihren Entscheidungen abzuweichen ([X.], in: [X.], VwGO, 15. Aufl. 2019, § 94 Rn. 27; Ehricke, in: [X.], [X.]V/A[X.]V, 3. Aufl. 2018, Art. 267 A[X.]V Rn. 68). Das Vorbringen der Beigeladenen, das Urteil des [X.] [X.]uhe auf einem unzutreffenden Sachverhalt, ist schon aus diesem Grund unerheblich. Auch das Vorbringen der Klägerin im Nachgang zum Urteil des [X.] vom 29. Juli 2019 - [X.]/17 [[X.]:[X.]:[X.]], Fashion ID -, es müsse eine isolierte Betrachtung der Verantwortlichkeit für nachgelagerte Verarbeitungsschritte stattfinden, ist mit der dargestellten Rechtsprechung des [X.] nicht in Einklang zu bringen.

b. Aufgrund des Anwendungsvorrangs des Unionsrechts ist der Begriff der verantwortlichen Stelle im Sinne von § 3 Abs. 7 BDSG a.F. unionsrechtskonform entsprechend der Vorgabe des Art. 2 Buchst. d der Datenschutzrichtlinie auszulegen ([X.], Vorlagebeschluss vom 25. Februar 2016 - 1 C 28.14 - [X.] 403.1 Allg. [X.] Nr. 18 Rn. 27; vgl. zur Notwendigkeit einer europarechtskonformen Auslegung auch [X.], in: [X.]/[X.]/[X.], Datenschutzrecht, 1. Aufl. 2019, Art. 4 Nr. 7 Rn. 20; [X.], in: [X.]/[X.], [X.]/[X.], 2. Aufl. 2018, [X.] Art. 4 Nr. 7 Rn. 3). Die Klägerin ist daher als Betrei[X.]in ihrer bei [X.] unterhaltenen [X.] verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG a.F. und damit mögliche Adressatin einer auf § 38 Abs. 5 BDSG a.F. gestützten Anordnung. Die personale Reichweite der Eingriffsbefugnis folgt hier der materiellrechtlichen Pflichtigkeit ([X.], Vorlagebeschluss vom 25. Februar 2016 - 1 C 28.14 - a.a.[X.] Rn. 22).

3. Das Berufungsurteil kann auch nicht deshalb Bestand haben, weil es sich aus anderen Gründen als richtig erweist (§ 144 Abs. 4 VwGO). Der Beklagte hat auf die beanstandeten Datenverarbeitungsvorgänge durch [X.] zu Recht [X.] Datenschutzrecht, insbesondere die § 13 Abs. 1 Satz 1, § 15 Abs. 3 Satz 1 und 2 des Telemediengesetzes ([X.]) in der Fassung des Art. 1 des Gesetzes zur Vereinheitlichung von Vorschriften ü[X.] bestimmte elektronische Informations- und Kommunikationsdienste vom 26. Februar 2007 ([X.] I S. 179), für den hier maßgeblichen Zeitraum zuletzt geändert durch das [X.] zur Änderung des Telemediengesetzes vom 31. Mai 2010 ([X.] [X.]) - [X.] a.F. - angewandt.

a. Nach Art. 4 Abs. 1 Buchst. a Satz 1 Datenschutzrichtlinie wendet jeder Mitgliedstaat die zur Umsetzung dieser Richtlinie erlassenen Vorschriften auf alle Datenverarbeitungen an, die im Rahmen der Tätigkeit einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet des Mitgliedstaats besitzt. Damit müssen zwei Voraussetzungen vorliegen, damit das Datenschutzrecht eines Mitgliedstaats der [X.] auf eine Verarbeitung (Erhebung und Nutzung) personenbezogener Daten Anwendung findet: Erstens muss ein Verantwortlicher für die Datenverarbeitung eine Niederlassung in diesem Mitgliedstaat haben. Zweitens muss die Tätigkeit dieser Niederlassung in Verbindung mit der Datenverarbeitung stehen. Diese Verbindung setzt nicht voraus, dass die Niederlassung selbst in den Vorgang der Datenverarbeitung einbezogen ist. Vielmehr hält der [X.] unter Verweis auf die Gewährleistung eines möglichst hohen Niveaus des Datenschutzes jeden Bezug ihrer Tätigkeit zur Datenverarbeitung für ausreichend ([X.], Urteil vom 5. Juni 2018 - [X.]/16 - [X.], 1154 Rn. 56 ff.). Der [X.] stellt darauf ab, ob die Tätigkeit der Niederlassung und die Datenverarbeitung Bestandteile eines Vorgangs sind, der wirtschaftlich einheitlich zu betrachten ist.

b. Für die vorliegend streitigen Datenverarbeitungen sind nach den bindenden Vorgaben des [X.] im Vorabentscheidungsverfahren ([X.], Urteil vom 5. Juni 2018 - [X.]/16 - [X.], 1154 Rn. 54 - 62) beide Voraussetzungen des Art. 4 Abs. 1 Buchst. a der Datenschutzrichtlinie erfüllt. Die [X.] Muttergesellschaft [X.] Inc. als gemeinsam mit der Beigeladenen für die Verarbeitung im Rahmen des Sozialen Netzwerks [X.] Verantwortliche unterhält in [X.] mit der Beigeladenen und in [X.] mit der [X.] Germany GmbH dauerhafte Niederlassungen, die effektiv und tatsächlich Tätigkeiten ausüben ([X.], Urteil vom 5. Juni 2018 a.a.[X.] Rn. 55). Die beanstandeten Datenverarbeitungen sind auch als im Rahmen der Tätigkeit der [X.] Germany GmbH ausgeführt anzusehen, weil diese die Aufgabe hat, den Verkauf der Werbeflächen zu fördern, mit denen die von [X.] angebotenen Dienstleistungen rentabel gemacht werden sollen ([X.], Urteil vom 5. Juni 2018 a.a.[X.] Rn. 60). Auf die bei Aufruf der [X.] durch [X.] vorgenommenen Datenverarbeitungen ist daher materielles [X.] Datenschutzrecht anzuwenden ([X.], Urteil vom 5. Juni 2018 a.a.[X.] Rn. 61).

c. Zu dem danach anwendbaren Recht zählen auch die vom Beklagten herangezogenen Vorschriften des Telemediengesetzes. Nach § 3 Abs. 3 Nr. 4 [X.] a.F. bestimmt sich die Anwendbarkeit des für den Schutz personenbezogener Daten geltenden Rechts nicht nach dem für Dienstanbieter in § 3 Abs. 1 und 2 [X.] a.F. geregelten Herkunftslandprinzip, sondern nach den allgemeinen Kollisionsvorschriften der Datenschutzrichtlinie und des [X.] (Moos, in: [X.]/Gabel, BDSG, 2. Aufl. 2013, Einführung zum [X.] Rn. 11; [X.], [X.], 232 <234>). Daher kommen vorliegend für die streitgegenständlichen Verarbeitungsvorgänge gemäß § 1 Abs. 5 BDSG a.F., Art. 4 Abs. 1 Buchst. a Satz 2 Datenschutzrichtlinie die §§ 11 ff. [X.] a.F. zur Anwendung.

4. Für den Fall, dass eine mit schwerwiegenden Mängeln behaftete datenschutzrechtswidrige Erhebung und Verarbeitung der Nutzerdaten vorliegt, ist die Ausübung des Ermessens im Rahmen des § 38 Abs. 5 BDSG a.F. durch den Beklagten nicht zu beanstanden (§ 114 Satz 1 VwGO).

a. Für die Ausübung aufsichtlicher Eingriffsbefugnisse nach § 38 Abs. 5 BDSG a.F. bedarf es im Falle mehrerer datenschutzrechtlich Verantwortlicher einer Ermessensausübung im Hinblick auf die Auswahl des Adressaten. Aus der Datenschutzrichtlinie ergibt sich nichts Abweichendes: Die nationalen Kontrollstellen haben ihre Befugnisse aus § 38 Abs. 5 BDSG a.F. ungeachtet der europarechtlichen Verankerung in Art. 28 Abs. 3 der Datenschutzrichtlinie unter Wahrung der nach dem für sie maßgeblichen nationalen Verwaltungsverfahrensrecht und der dortigen Vorgaben zum Ermessen auszuüben. Dabei haben sie ihr nationales Recht im Einklang mit der Datenschutzrichtlinie auszulegen und darauf zu achten, dass sie sich nicht auf eine Auslegung dieser Richtlinie stützen, die mit den durch die Gemeinschaftsrechtsordnung geschützten Grundrechten oder den anderen allgemeinen Grundsätzen des Gemeinschaftsrechts, wie dem Grundsatz der Verhältnismäßigkeit, kollidiert ([X.], Urteil vom 6. Novem[X.] 2003 - [X.]/01 [[X.]:[X.]:[X.]], [X.] - Rn. 87). Stehen einer nationalen Kontrollbehörde infolge einer gemeinsamen Verantwortlichkeit mehrere potentielle Adressaten für eine Abhilfemaßnahme zur Verfügung, so ist unter Beachtung des Grundsatzes der Verhältnismäßigkeit eine Ermessensentscheidung erforderlich, wenn [X.]eits die Inanspruchnahme nur eines Adressaten den Anlass für das Einschreiten beseitigen könnte (Schrei[X.], [X.], 55 <59> m.w.N.). Auch § 38 Abs. 5 BDSG a.F. selbst bietet keinen Ansatz dafür, dass diese Befugnisnorm im Rahmen der Ermessensausübung einen Rückgriff auf die allgemeinen Grundsätze der [X.] ausschließen würde.

b. Der Beklagte hat sein Ermessen bei der Auswahl der Klägerin als Adressatin des Bescheids ungeachtet der Frage, ob auch ein Vorgehen gegen Unternehmen des [X.]-Konzerns rechtlich möglich gewesen wäre, rechtmäßig ausgeübt. Er hat vor Erlass des Bescheids mit [X.] erfolglos Gespräche darü[X.] geführt, welche technischen Vorkehrungen für einen datenschutzkonformen Betrieb einer [X.] in Betracht kämen (vgl. S. 4 des angefochtenen Bescheids). Daher hat er ein Vorgehen gegen [X.] tatsächlich in Erwägung gezogen, dann a[X.] einer Inanspruchnahme der Klägerin aus sachlichen Gründen den Vorzug gegeben. Für die Auswahl unter mehreren datenschutzrechtlich Verantwortlichen erweist sich der das Gefahrenabwehrrecht beherrschende Gedanke der Effektivität als legitim. Die Behörde kann sich bei der Auswahl unter mehreren in Betracht kommenden Adressaten von der Erwägung leiten lassen, dass ein rechtswidriger Zustand durch die Inanspruchnahme eines bestimmten Adressaten schneller oder wirksamer beseitigt werden kann (zum allgemeinen Polizeirecht Denninger, in: [X.]/Denninger, Handbuch des Polizeirechts, 6. Aufl. 2018, [X.], Rn. 133; zur Adressatenwahl im Eisenbahnrecht: [X.], Urteil vom 9. Septem[X.] 2015 - 6 C 28.14 [[X.]:[X.]:[X.]:2015:090915U6C28.14.0] - [X.]E 153, 1 Rn. 32; im Umweltrecht: Sparwasser/[X.], in: [X.][X.], Umweltrecht, Band III, Stand Februar 2019, § 14 BImSchG Rn. 45).

Auch im Bereich des Datenschutzes kann es das Gebot einer effektiven und wirkungsvollen Gefahrenabwehr rechtfertigen, denjenigen Verantwortlichen heranzuziehen, dessen Pflichtigkeit sich ohne weiteres bejahen lässt und dem effektive Mittel zum Abstellen des Verstoßes zur Verfügung stehen. Daher war der Beklagte vor dem Hintergrund der im Zeitpunkt der Widerspruchsentscheidung fehlenden Kooperations[X.]eitschaft der Beigeladenen, den unklaren Binnenstrukturen der [X.]-Unternehmensgruppe, der damit verknüpften Frage, welches nationale Datenschutzrecht für die Beigeladene Anwendung findet und welche Möglichkeiten für die Durchsetzung eines solchen Bescheids bestehen, aus Gründen der Effektivität nicht gehalten, vor einer Inanspruchnahme der Klägerin seine rechtlichen und tatsächlichen Möglichkeiten eines Vorgehens gegen ein Unternehmen der [X.]-Unternehmensfamilie umfassend zu klären. Vielmehr war die Deaktivierungsanordnung gegenü[X.] der Klägerin auch geeignet, die Beigeladene ü[X.] den Einzelfall der Klägerin hinaus unter Zugzwang zu setzen. Hat diese Maßnahme Bestand, so wird sich [X.] um eine datenschutzrechtskonforme Lösung bemühen müssen, um sein Geschäftsmodell in [X.] weiterverfolgen zu können. Daher erweist sich die Anordnung gegen die Klägerin als effektives Mittel, um das vom [X.] im Urteil vom 5. Juni 2018 - [X.]/16 - ([X.], 1154 Rn. 26) herausgestellte Ziel, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre bei der Verarbeitung personenbezogener Daten, zu gewährleisten.

c. Die gegenü[X.] der Klägerin angeordnete Deaktivierung ihrer [X.] erweist sich auch im Übrigen als ermessensfehlerfrei. Da die Klägerin als datenschutzrechtlich Verantwortliche bei Vorliegen der beanstandeten Verstöße einen rechtskonformen Betrieb ihrer [X.] nach den bindenden Feststellungen des Berufungsurteils mangels vertraglicher oder technischer Einwirkungsmöglichkeiten nicht bewirken kann, war die Anordnung der Deaktivierung ein geeignetes Mittel zur Unterbindung der potentiellen Datenschutzrechtsverstöße. Ein milderes Mittel stand dem Beklagten gegenü[X.] der Klägerin nicht zur Verfügung. Auch der Umstand, dass das Deaktivierungsgebot der Klägerin derzeit die Möglichkeit nimmt, sich in dem von ihr für ihre geschäftliche Tätigkeit als besonders wichtig erachteten [X.] Netzwerk [X.] zu präsentieren, zwang den Beklagten nicht zu einem Verzicht auf ein effektives Einschreiten, wenn die Klägerin dieses Angebot nur unter Inkaufnahme schwerwiegender datenschutzrechtlicher Mängel betreiben kann.

d. Ebenso wenig lässt sich ein Ermessensfehler aus dem Umstand herleiten, dass die Daten der Nutzer auch auf einer Vielzahl weiterer [X.]-[X.]s in gleicher Weise verarbeitet werden und daher die Abschaltung der klägerischen [X.] massenhafte Datenschutzrechtsverstöße an anderer Stelle nicht verhindern kann. Verstöße Dritter gegen datenschutzrechtliche Bestimmungen lassen die Verantwortlichkeit der Klägerin für ihr eigenes Angebot un[X.]ührt. Art. 3 Abs. 1 GG gewährt keinen Anspruch auf Gleichbehandlung im Unrecht. Der Beklagte war im Lichte des Art. 3 Abs. 1 GG auch nicht gehalten, vor einer Inanspruchnahme der Klägerin ein Konzept für ein flächendeckendes Vorgehen gegen [X.]-Betrei[X.] in seiner Zuständigkeit zu erstellen. Zwar beschränkt der Gleichheitssatz als gesetzliche Ermessensgrenze die Handlungsmöglichkeiten der Verwaltung und gebietet der Behörde, in vergleichbaren Fällen in der gleichen Art und Weise zu verfahren ([X.], Urteil vom 26. Okto[X.] 2017 - 8 C 18.16 [[X.]:[X.]:[X.]:2017:261017U8C18.16.0] - [X.]E 160, 193 Rn. 21 m.w.N.). Das bedeutet bei einer Vielzahl von Verstößen a[X.] nicht, dass sie gleichzeitig tätig werden muss. Bei Vorliegen sachlicher Gründe kann sie sich auch darauf beschränken, zunächst einen Einzelfall herauszugreifen und die Verhältnisse nach und nach zu [X.]einigen (stRspr, vgl. [X.], Beschluss vom 22. April 1995 - 4 [X.] - [X.] 57 Nr. 248 S. 595). Dafür, dass die von dem Beklagten für die Auswahl der in Anspruch genommenen [X.]-Betrei[X.] angeführten Gründe willkürlich waren, ist vorliegend nichts ersichtlich.

5. Der Senat kann in der Sache nicht selbst abschließend entscheiden. Das O[X.]verwaltungsgericht hat von seinem rechtlichen Standpunkt aus folgerichtig keine tatsächlichen Feststellungen zu den bei Aufruf der [X.] der Klägerin tatsächlich ablaufenden Datenverarbeitungsvorgängen und einer etwaigen Unterrichtung der Nutzer getroffen. Die Sache ist daher zur anderweitigen Verhandlung und Entscheidung an das O[X.]verwaltungsgericht zurückzuverweisen (§ 144 Abs. 3 Satz 1 Nr. 2 VwGO).

Das O[X.]verwaltungsgericht wird zu prüfen haben, welche Datenerhebungen bei Aufruf der [X.] im für die Entscheidung maßgeblichen Zeitpunkt stattfanden. Soweit sich aus der Verwendung der von [X.] gesetzten Cookies eine Verarbeitung personenbezogener Daten ergab, wird das Gericht zwischen den Fallgruppen der [X.]-Mitglieder und der nicht bei [X.] registrierten Internetnutzer zu unterscheiden haben. Die Verarbeitung personenbezogener Daten wäre nur dann rechtmäßig, wenn bei der erstgenannten Gruppe eine wirksame Einwilligung in die Erhebung und nachfolgende Verarbeitung vorlag und bei der letztgenannten Gruppe für die Erhebung personenbezogener Daten eine Rechtsgrundlage bestand und eine möglicherweise erforderliche Unterrichtung erfolgte.

6. Die in der Revisionsbegründung unter Ziffer 1 erhobenen Verfahrensrügen einschließlich des Antrags auf Aufhebung der Beiladung hat der Beklagte im Rahmen der mündlichen Verhandlung vom 11. Septem[X.] 2019 fallengelassen. Sie bedürfen daher keiner Entscheidung mehr.

7. Die Entscheidung ü[X.] die Kosten bleibt der Schlussentscheidung vorbehalten.