Urteil : Begrenzung der gemeinsamen Verantwortlichkeit im Fanpage-Kontext : aus der RDV 2/2026, Seite 87 bis 96

Aus den Gründen:

cc) Adressat des § 25 Abs. 1 S. 1 TTDSG ist jede natürliche oder juristische Person, die kausal die Ausführung des Quelltextes veranlasst, der die Informationen speichert oder ausliest, und der deshalb die Realisierung der Distanzgefahr durch den Fernzugriff, vor dem der Endnutzer geschützt werden soll, zuzurechnen ist. Ein Rückgriff auf die Bestimmungen der Datenschutz-Grundverordnung zur Verantwortlichkeit kommt entgegen der Auffassung der Beklagten nicht in Betracht.

Zwar gelten gemäß §  2 Abs.  1 TTDSG die Begriffsbestimmungen unter anderem der Datenschutzgrundverordnung auch für dieses Gesetz, soweit nicht in § 2 Abs. 2 TTDSG eine abweichende Begriffsbestimmung getroffen wird. Ein Re‑ kurs auf Bestimmungen der Datenschutzgrundverordnung ist deshalb jedoch nur geboten, soweit das Telekommunikation-Telemedien-Datenschutz-Gesetz seinerseits Termini verwendet, die in der Datenschutzgrundverordnung definiert werden, ohne selbst eine abweichende Definition zu geben. Wäre die Einwilligung nach § 25 Abs. 1 S. 1 TTDSG also ausdrücklich einem „Verantwortlichen“ gegenüber zu erklären, müsste mangels abweichender Begriffsbestimmung im Telekommunikation-Telemedien-Datenschutz-Gesetz auf die Definition der Datenschutzgrundverordnung zurückgegriffen werden. An die Rolle des Verantwortlichen knüpft die Regelung indes nicht an. Dies erscheint auch sachgerecht, weil die Verantwortlichkeit in Art.  4 Nr.  7 DS‑GVO im Hinblick auf die Verarbeitung personenbezogener Daten definiert wird, die § 25 Abs. 1 S. 1 TTDSG in seinem Anwendungsbereich gerade nicht voraussetzt. Vgl. Schwartmann/Jaspers/Eckhardt/Burk‑ hardt/Reif/Schwartmann, TTDSG, 1. Auflage 2022, TTDSG § 25 Rn. 31; Benedikt, Datenschutz-Berater (DSB) 2021, 76 (78); Piltz, Computer & Recht (CR) 2021, 555 (560).

Zudem enthält § 25 Abs. 1 S. 2 TTDSG hinsichtlich der Anforderungen an die Einwilligung einen ausdrücklichen Verweis auf die Datenschutzgrundverordnung. Nur insoweit hat der Gesetzgeber Anlass für einen Rückgriff auf deren Bestimmungen gesehen. Die Norm verweist also ausschließlich auf das datenschutzrechtliche Einwilligungsregime, ohne darüber hinaus datenschutzrechtliche Rollenbilder zu übernehmen. Vgl. Landgericht München I, Urt. v. 29.11.2022 – 33 O 14776/19 –, juris Rn.  154; Gierschmann/Baumgartner/Hanlo‑ ser, TTDSG, 1. Auflage 2023, TTDSG § 25 Rn. 37.

Auch das Konzept einer gemeinsamen Verantwortlichkeit ist der Vorschrift fremd. Für dieses letztere spricht, dass der europäische Gesetzgeber die Rechtsfigur der gemeinsamen Verantwortlichkeit bereits unter Geltung der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbei‑ tung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 Seite 31, berichtigt 2017 L 40 Seite 78) – Da‑ tenschutzrichtlinie (DSRL) – kannte, wie sich aus deren Art. 4 lit. d) ergibt, wonach Personen bereits allein oder gemeinsam verantwortlich sein konnten, und gleichwohl auf diesbezügliche Vorgaben in der später erlassenen ePrivacy-Richtlinie verzichtete, deren Umsetzung das Telekommunikation-Telemedien-Datenschutz-Gesetz dient. Vgl. Plath/Piltz, DS‑GVO/ BDSG/TTDSG, 4. Auflage 2023, TTDSG § 25 Rn. 22; Drucksache des Deutschen Bundestages 19/27441, Seite 1, 37.

Ein anderes folgt entgegen der in der mündlichen Verhandlung vorgetragenen Auffassung der Beklagten auch nicht aus dem 10. ErwG zur ePrivacy-Richtlinie. Im Bereich der elektronischen Kommunikation gilt danach die Datenschutzrichtlinie vor allem für alle Fragen des Schutzes der Grundrechte und Grundfreiheiten, die von der vorliegenden Richtlinie nicht spezifisch erfasst werden, einschließlich der Pflichten des für die Verarbeitung Verantwortlichen und der Rechte des Einzelnen. Damit ist zwar der Begriff des Verantwortlichen angesprochen, allerdings nur im Zusammenhang mit der ePrivacy-Richtlinie gerade nicht unterfallender Kommunikation.

Ist vor diesem Hintergrund der Regelungsadressat des § 25 Abs. 1 S. 1 TTDSG nicht durch Rückgriff auf Bestimmungen der Datenschutzgrundverordnung, sondern durch Auslegung der Vorschrift selbst zu ermitteln, wird zunächst zutreffend darauf hingewiesen, dass der Wortlaut des §  25 Abs. 1 S. 1 TTDSG rein verhaltensbezogen formuliert sei und keine personellen Einschränkungen enthalte. Er knüpft an die Speicherung von Informationen und den Zugriff auf Informationen an. Dies spricht dafür, im Ausgangspunkt auf jene Personen abzustellen, die faktisch auf Informationen in der Endeinrichtung zugreifen oder solche dort speichern. Vgl. Schwartmann/Jaspers/Eckhardt/Burkhardt/Reif/Schwartmann, TTDSG, 1. Auflage 2022, TTDSG § 25 Rn. 31; Plath/Piltz, DS‑GVO/BDSG/TTDSG, 4. Auflage 2023, TTDSG §  25 Rn.  26; Assion/Schneider, TTDSG, 1. Auflage 2022, TTDSG § 25 Rn. 17; Borges/Hilber/Sesing-Wagenpfeil, BeckOK IT-Recht, Stand Januar 2025, TTDSG § 25 Rn. 45; insoweit auch Hanloser, Zeit‑ schrift für Datenschutz (ZD) 2022, 135 (135).

In systematischer Hinsicht spricht für diesen Ansatz zudem, dass Art.  5 Abs.  3 S.  1 ePrivacy-Richtlinie, dessen Umsetzung §  25 Abs.  1 S.  1 TTDSG dient, ebenfalls allein an die Speicherung von beziehungsweise den Zugriff auf Informationen anknüpft. Auch diese Norm findet auf die Personen Anwendung, die faktisch Informationen auf den Endgeräten der betroffenen Personen platzieren oder Informationen abrufen, die bereits auf diesen Geräten gespeichert sind. Zur Einholung der Einwilligung verpflichtet ist die die Information versendende und ablesende Stelle. Dies legt ebenso eine Bestimmung der Normadressaten anhand objektiver Kriterien nahe und spricht so zugleich gegen teilweise in Rechtsprechung und Literatur vertretene Auffassungen, die die Adressatenstellung an subjektive Elemente, insbesondere eine Absicht, anknüpfen wollen. Vgl. Plath/Piltz, DS‑GVO/BDSG/ TTDSG, 4. Auflage 2023, TTDSG §  25 Rn.  26; Art.-29-Datenschutzgruppe, Stellungnahme 2/2019 zur Werbung auf Basis von Behavioural Targeting, angenommen am 22.6.2010, Seite 23; auf die Speicherungs- oder Zugriffsabsicht stellen dagegen ab Gierschmann/Baumgartner/Hanloser, TTDSG, 1. Auflage 2023, TTDSG § 25 Rn. 42, und ihm folgenden das Oberlandesgericht Frankfurt, Urt. v. 27.6.2024 – 6 U 192/23 –, juris Rn. 41.

Damit ist allerdings nicht gesagt, nach welchen konkreten Maßgaben zu bestimmen sein soll, welche Personen „faktisch“ die Speicherung oder den Zugriff ausführen. In technischer Hinsicht wird der Zugriff auf die Endeinrichtung durch die Ausführung eines Quelltextes, beispielsweise eines PHPSkripts oder Java-Skripts, realisiert. Als tatsächliches Kriterium kommt die Kausalität für die Ausführung dieses Quelltextes in Betracht. Hierfür spricht eine Zusammenschau des § 25 Abs. 1 S. 1 TTDSG mit § 29 Abs. 2 TTDSG, der die Zustän‑ digkeit der Beklagten als Aufsichtsbehörde für die Einhaltung des ersteren daran anknüpft, dass Speicherung oder Zugriff „durch“ bestimmte Stellen erfolgen. Es griffe allerdings einerseits zu kurz, lediglich auf die Person abzuheben, die als letztes Glied der Kausalkette die Ausführung des Quelltextes veranlasst. Dies ist oftmals der Endnutzer selbst, der durch den Aufruf einer Internetseite die unmittelbare Ursache für die Ausführung des Quelltextes und damit die Speicherung von oder den Zugriff auf Informationen in seiner Endeinrichtung setzt. Es liegt auf der Hand, dass § 25 Abs. 1 S. 1 TTDSG nicht dem von der Vorschrift geschützten Endnutzer Pflichten auferlegen soll.

Vgl. Borges/Hilber/Sesing-Wagenpfeil, BeckOK IT-Recht, Stand Januar 2025, TTDSG § 25 Rn. 44; zurückhaltend Assion/ Schneider, TTDSG, 1. Auflage 2022, TTDSG § 25 Rn. 17.

Andererseits ginge zu weit, eine jede Person zu den Regelungsadressaten zu rechnen, die die Ausführung des Quelltextes auch nur mittelbar kausal verursacht. Solchenfalls wären beispielsweise sämtliche natürliche Personen erfasst, die an der Entwicklung des Quelltextes mitgewirkt haben, ungeachtet des Umstandes, dass diese in aller Regel keinerlei Möglichkeit haben werden, über die Einholung einer Einwilligung nach § 25 Abs. 1 S. 1 TTDSG und deren Modalitäten zu entscheiden. Damit wäre der Adressatenkreis der Vorschrift ersichtlich zu weit gezogen.

Die faktische Betrachtung anhand der Kausalität für Speicherung oder Zugriff kann vor diesem Hintergrund nur den Ausgangspunkt der Bestimmung der aus § 25 Abs. 1 S. 1 TTDSG Verpflichteten bilden. Der sich hieraus ergebende Kreis potenzieller Adressaten bedarf einer Eingrenzung mit Blick auf Sinn und Zweck der Vorschrift. Wie sich den ErwG 24 und 25 zur ePrivacy-Richtlinie entnehmen lässt, soll der Nutzer vor einer sogenannten Distanzgefahr geschützt werden, also der Speicherung und dem Auslesen von Informationen auf seinem Endgerät im Wege des Fernzugriffs ohne sein Wissen. Vgl. Schwartmann/Jaspers/Eckhardt/Burkhardt/ Reif/Schwartmann, TTDSG, 1. Auflage 2022, TTDSG § 25 Rn. 12; Hanloser, ZD 2021, 121 (121).

Der Benutzer soll also vor denjenigen Personen geschützt werden, denen die Realisierung dieser Distanzgefahr im Wege des Fernzugriffs bei wertender Betrachtung zuzurechnen ist und die sie hätten unterbinden können. Entscheidet damit über die Adressatenstellung die Zurechnung der Realisierung einer Gefahr, kann auf die allgemeinen, gefahrenab‑ wehrrechtlichen Grundsätze der Störerhaftung zurückgegriffen werden, insbesondere zur Verhaltensverantwortlichkeit.

Als Verhaltensstörer kann, beispielsweise nach § 17 Abs. 1 des Bundespolizeigesetzes, herangezogen werden, wer eine Gefahr verursacht. Verursacher ist jede natürliche oder juristische Person, die an dem Gefahreneintritt zumindest teilweise mitgewirkt hat. Die Mitwirkung kann gleichermaßen in einem Handeln, Dulden oder Unterlassen bestehen. Al‑ lerdings reicht eine bloße Kausalität im naturwissenschaftlichen Sinne für eine Verhaltenshaftung nicht aus. Vielmehr bedarf es insbesondere bei mehreren möglichen Verursachern und unterschiedlichen Verursachungsbeiträgen einer wertenden Zurechnung des Gefahreneintritts. Nach der Theorie der unmittelbaren Verursachung ist derjenige Störer, der bei wertender Betrachtung und unter Einbeziehung aller Umstände des jeweiligen Einzelfalls durch seinen Beitrag die Gefahrenschwelle überschritten und dadurch die unmittelbare Ursache für den Eintritt der Gefahr gesetzt hat. Dabei kommt es entscheidend auf das Vorliegen eines hinreichend engen Wirkungs- und Ursachenzusammenhangs zwischen dem Überschreiten der Gefahrengrenze und dem Verhalten einer Person an, der es gerechtfertigt erscheinen lässt, die Pflichtigkeit dieser Person zu bejahen. Dabei können auch juristische Personen des Privatrechts ordnungspflichtig sein. Dies steht der Inanspruchnahme einer für die juristische Per‑ son verantwortlichen natürlichen Person als Störer allerdings nicht entgegen. Jedenfalls kann als Störer nur in Anspruch genommen werden, wer in der Lage ist, die Gefahr zu beseitigen. Vgl. BGH, Urt. v. 24.11.1967 – V ZR 196/65 –, juris Rn. 11; OVG NRW, Urt. v. 6.9.1993 – 11 A 694/90 –, juris Rn. 38 ff.; vom 20.5.2015 – 16 A 1686/09 –, juris Rn. 96 f.; jeweils mit weiteren Nachweisen (m.w.N.)

Diese Überlegungen sind im Wesentlichen übertragbar: Das Erfordernis einer Mitwirkung an dem Eintritt einer Ge‑ fahr entspricht der im Ausgangspunkt zur Begründung der Adressatenstellung verlangten Kausalität eines Verhaltens für Speicherung oder Zugriff. Nach dem Sinn und Zweck des § 25 Abs. 1 S. 1 TTDSG genügt auch hier bloße Kausalität im na‑ turwissenschaftlichen Sinne nicht, sondern ist eine wertende Zurechnung der Realisierung der Distanzgefahr durch Spei‑ cherung oder Zugriff angezeigt. Es ist ein hinreichend enger Wirkungs- und Ursachenzusammenhang zwischen der Realisierung des Fernzugriffs und dem Verhalten einer Person zu verlangen. Veranlassen juristische Personen die Ausführung des den Fernzugriff realisierenden Quelltextes, werden aller‑ dings regelmäßig allein diese und nicht einzelne Beschäftigte als Adressaten zu qualifizieren sein. Den letzteren wird in aller Regel jede Möglichkeit fehlen, darauf Einfluss zu nehmen, ob und in welcher Weise eine Einwilligung eingeholt wird. Beispielsweise werden einzelne Beschäftigte regelmäßig nicht die Gestaltung eines Einwilligungsbanners beeinflussen können. Angesichts dessen ist im Regelfall die juristische Person, die Gegenstand und Umfang von Speicherung be‑ ziehungsweise Zugriff beherrscht und die Modalitäten der Einholung einer Einwilligung bestimmt, heranzuziehen. Vgl. Borges/Hilber/Sesing-Wagenpfeil, BeckOK IT-Recht, Stand Januar 2025, TTDSG § 25 Rn. 46, 48; diesbezüglich wohl anderer Ansicht (a.A.) Schwartmann/Jaspers/Eckhardt/Burkhardt/ Reif/Schwartmann, TTDSG, 1. Auflage 2022, TTDSG § 25 Rn. 31.

Im Einzelfall mag zur Begründung der Adressatenstellung darüber hinaus die – nicht unumstrittene – Figur des Zweckveranlassers herangezogen werden können. Danach kann im allgemeinen Gefahrenabwehrrecht als Verhaltensstörer auch anzusehen sein, wer zwar nicht unmittelbarer Verursacher ist, aber durch sein Verhalten entweder – subjektiv – gezielt die durch den Verursacher eintretende Gefahr auslöst oder – objektiv – eine Situation herbeiführt, in der (nahezu) zwangsläufig von einem Dritten eine Gefahr ausgeht. Der Wirkungs- und Verantwortungszusammenhang zwischen dem Verhalten des Zweckveranlassers und dem Gefahren‑ eintritt muss so eng sein, dass bei wertender Betrachtung das Verhalten des Zweckveranlassers mit der durch den Verursacher unmittelbar herbeigeführten Gefahr oder Störung eine natürliche Einheit bildet. Die Figur des Zweckveranlassers ist Kritik ausgesetzt, weil das eigenverantwortliche Handeln der die Gefahr eigentlich erst unmittelbar verursachenden Drit‑ ten aus dem Blick gerät. Bei der Inanspruchnahme als Störer ist dem verfassungsrechtlichen Erfordernis Rechnung zu tragen, dass behördliche Maßnahmen primär gegen den Störer zu richten sind. Eine Heranziehung der Figur des Zweckveranlassers als Begründung für die Störereigenschaft kann allenfalls bei Vorliegen besonderer Umstände in Betracht kommen. Vgl. OVG NRW, Urt. v. 9.2.2012 – 5 A 2382/10 –, juris Rn. 45 ff.; Beschl. v. 19.2.2018 – 4 A 218/16 –, juris Rn. 34 f.; vom 11.10.2024 – 20 A 1550/20 –, juris Rn. 55 f.; Niedersächsisches OVG, Beschl. v. 15.12.2023 – 11 ME 506/23 –, juris Rn. 25; jeweils m.w.N.

In der Regel werden nach diesen Maßgaben als Adres‑ saten heranzuziehen sein die natürlichen und juristischen Personen, die den die Speicherung oder den Zugriff auf die Endeinrichtung umsetzenden Quelltext selbst ausführen oder – bei Handeln im Auftrag – diejenigen, die ihn aus‑ führen lassen, oder – verursacht unmittelbar der Endnutzer selbst die Ausführung des Quelltextes – diejenigen, die ihn zum Abruf für den Endnutzer bereithalten beziehungsweise bereithalten lassen. Diese Personen verursachen den Fernzu‑ griff nicht nur kausal, sondern haben regelmäßig zugleich die Entscheidungsgewalt über dessen Ausführung oder Bereit‑ haltung und damit über die Speicherung von und den Zugriff auf Informationen in den Endeinrichtungen der Endnutzer; zugleich haben sie in der Regel die Entscheidungshoheit über die Modalitäten der etwaigen Einholung einer Einwilligung. Ihr Verhalten steht unter diesen Umständen in einem hinreichend engen Wirkungs- und Ursachenzusammenhang mit der Ausführung des Fernzugriffs. Die Heranziehung von Dritten als Zweckveranlasser wird nur in eng umgrenzten Ausnahmefällen unter besonderen Umständen infrage kommen, etwa, wenn diese selbst über Gegenstand und Umfang des Fernzugriffs oder die Einholung einer Einwilligung und deren Modalitäten durch die unmittelbar verhaltensverantwortli‑ che Person entscheiden können.

Erfolgt die Speicherung oder der Zugriff im Rahmen der Nutzung eines Telemediums, kommt der Frage, wer als Anbieter dieses Telemediums auftritt, entgegen der Auffassung der Beklagten keine Bedeutung zu. Telemedium ist gemäß § 2 Abs. 1 TTDSG i.V.m. § 1 Abs. 1 S. 1 des Telemediengesetzes in der zum maßgeblichen Zeitpunkt des Erlasses des angefochtenen Bescheides geltenden Fassung vom 23.6.2021 (TMG) – inzwischen abgelöst durch das Digitale-Dienste-Gesetz vom 6.5.2024 – ein elektronischer Informations- und Kommunikationsdienst, soweit dieser nicht Telekommunikationsdienst oder telekommunikationsgestützter Dienst nach dem Telekommunikationsgesetz oder Rundfunk nach dem Rundfunkstaatsvertrag ist. Anbieter des Telemediums ist gemäß § 2 Abs. 2 Nr. 1 TTDSG, wer das eigene oder fremde Telemedium erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung des eigenen oder fremden Telemediums vermittelt.

Dem §  25 TTDSG lässt sich nicht entnehmen, dass auch nur insbesondere Anbieter von Telemedien hätten adressiert werden sollen. Namentlich folgt dies nicht aus §  25 Abs.  2 Nr. 2 TTDSIreland Eine Einwilligung ist danach nicht erforder‑ lich, wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann. Die Regelung entbindet also lediglich Anbieter von Telemediendiensten unter den genannten Voraussetzungen von der Verpflichtung zur Einholung einer Einwilligung. Damit ist bloß gesagt, dass Adressaten des § 25 Abs. 1 S. 1 TTDSG Anbieter von Telemedien sein können, aber weder, dass sie zwingend Telemedienanbieter sein müssten, noch, dass die Vorschrift insbesondere diese hätte adressieren wollen. Soweit mitunter darauf hin‑ gewiesen wird, nur die Telemedienanbieter könnten den Endnutzern im Vorfeld die entscheidenden Informationen zur Verfügung stellen, spricht dies dafür, dass Adressaten des § 25 Abs. 1 S. 1 TTDSG, erfolgen Speicherung und Zugriff im Rahmen der Nutzung eines Telemediums, regelmäßig zugleich Anbieter desselben sein werden. Dies bedeutet aber nicht, dass ausnahmslos sämtliche der Definition des § 2 Abs. 2 Nr. 1 TTDSG unterfallende Telemedienanbieter als Adressaten des § 25 Abs. 1 S. 1 TTDSG heranzuziehen wären. Angesichts der weiten Definition der Anbietereigenschaft kann keine Rede davon sein, dass stets sämtlichen Anbietern eines Telemediums nach den oben dargestellten Maßstäben die Realisierung der mit dem Fernzugriff verbundenen Distanzgefahr zuzurechnen wäre. So genügt für die Erbringung eines Telemediums bereits jedwede Ermöglichung der Nutzung eines solchen. Bloße Unterstützungsleistungen ver‑ mögen die Anbietereigenschaft bereits zu begründen. Vgl. Schwartmann/Jaspers/Eckhardt/Burkhardt/Reif/Schwart‑ mann, TTDSG, 1. Auflage 2022, TTDSG §  25 Rn.  30; Taeger/ Gabel/Ettig, DS‑GVO/BDSG/TTDSG, 4. Auflage 2022, TTDSG §  2 Rn.  14; Gierschmann/Baumgartner/Hanloser, TTDSG, 1. Auflage 2023, TTDSG §  25 Rn.  42; Plath/Piltz, DS‑GVO/ BDSG/TTDSG, 4. Auflage 2023, TTDSG § 25 Rn. 26 f.; Riechert/ Wilmer/Riechert, TTDSG, 1. Auflage 2022, TTDSG § 25 Rn. 10; Assion/Schneider, TTDSG, 1. Auflage 2022, TTDSG § 25 Rn. 17; Riechert/Wilmer/Wilmer, TTDSG, 1.Auflage 2022, TTDSG § 2 Rn.  8; Der Bayerische Landesbeauftragte für den Daten‑ schutz (BayLfD), Bayerische öffentliche Stellen und Teleme‑ dien – Erläuterungen zum TTDSG – Orientierungshilfe vom 1.12.2021, Rn.  24 f.; a.A. Borges/Hilber/Sesing-Wagenpfeil, BeckOK IT-Recht, Stand Januar 2025, TTDSG § 25 Rn. 50, der die Anbietereigenschaft zur Begründung der Adressatenstellung ausreichen lässt; ähnlich Datenschutzkonferenz (DSK), Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von „Facebook-Fanpages“ vom 10.11.2022, Seite 7 f., wonach die Vorschrift insbesondere diese adressieren soll.

Bei alldem kommt dem für die Bestimmung der datenschutzrechtlichen Verantwortlichkeit gemäß Art. 4 Nr. 7 Hs. 1 DS‑GVO relevanten Kriterium der Entscheidung über Zwecke und Mittel der Datenverarbeitung allenfalls indizielle Bedeutung zu. Die datenschutzrechtliche Verantwortlichkeit ist zur Begründung der Adressatenstellung im Hinblick auf §  25 Abs.  1 S.  1 TTDSG allein weder ausreichend noch erforderlich. Die Entscheidung über Zwecke und Mittel der Verarbeitung wird nicht notwendig von derselben Person oder denselben Personen getroffen, die spezifisch über die Ausführung des Fernzugriffs entscheiden. Ein Gleichlauf von datenschutzrechtlicher Verantwortlichkeit und Verpflichtung aus §  25 Abs.  1 S.  1 TTDSG ist vor diesem Hintergrund nicht zwingend. Vgl. Schwartmann/Jaspers/Eckhardt/Burkhardt/ Reif/Schwartmann, TTDSG, 1. Auflage 2022, TTDSG § 25 Rn. 31; Plath/Piltz, DS‑GVO/BDSG/TTDSG, 4. Auflage 2023, TTDSG §  25 Rn.  26; Borges/Hilber/Sesing-Wagenpfeil, BeckOK ITRecht, Stand Januar 2025, TTDSG § 25 Rn. 47, 51; Piltz, CR 2021, 555 Rn. 34.

Zusammenfassend ist festzuhalten, dass Adressat des § 25 Abs. 1 S. 1 TTDSG jede natürliche oder juristische Person ist, die kausal die Ausführung des die Speicherung oder den Zugriff auf die Endeinrichtung umsetzenden Quelltextes veranlasst und der darüber hinaus bei wertender Betrachtung die mit dem Fernzugriff einhergehende Realisierung der Distanzgefahr zuzurechnen ist. Das sind regelmäßig die Personen, die den Quelltext selbst ausführen beziehungsweise ausführen lassen oder für den Endnutzer zum Abruf bereithalten oder bereithalten lassen. Ohne Bedeutung ist, ob diese Personen Anbieter eines Telemediums sind, und von allenfalls indizieller Bedeutung, ob sie datenschutzrechtlich Verantwortliche sind.

(4) Die Klägerin zu 1 ist nach diesen Maßgaben nicht Adres‑ satin des § 25 Abs. 1 S. 1 TTDSG im Hinblick auf das Setzen und Auslesen der streitgegenständlichen „Cookies“. Der Betrieb der „Fanpage“ ist zwar mittelbar kausal für die Platzierung des „c-user-Cookies“, des „datr-Cookies“ und des „fr-Coo‑ kies“, sofern der Benutzer die Interaktion, die die Platzierung der „Cookies“ auslöst, im Rahmen des Besuches der „Fanpage“ vornimmt. Bei wertender Betrachtung ist der Klägerin zu 1 aber die Realisierung der Distanzgefahr durch den mit dem Setzen und Auslesen der „Cookies“ einhergehenden Fernzugriff auf die Endeinrichtung des Nutzers nicht zuzurechnen. […]

Die Klägerin zu 1 ist Anbieterin des Telemediendienstes […]. Allein die Anbietereigenschaft genügt jedoch, wie dargestellt, nicht zur Begründung der Adressatenstellung im Hinblick auf § 25 Abs. 1 S. 1 TTDSG, ist vielmehr für sich betrachtet ohne Belang. Die Klägerin zu 1 beherrscht gleichwohl die Speicherung von und den Zugriff auf Informationen in den Endeinrichtungen der Endnutzer, die mit der Platzierung der streitgegenständlichen „Cookies“ einhergehen, bei wertender Betrachtung nicht. Es besteht kein hinreichender Wirkungs- und Ursachenzusammenhang zwischen dem Betrieb der „Fanpage“ und der Realisierung des Fernzugriffs. Der Betrieb der „Fanpage“ steht auch nicht in einem derart engen Zusammenhang mit der Platzierung der streitbefangenen „Cookies“, dass sie bei wertender Betrachtung eine natürliche Einheit bilden würden und die Klägerin zu 1 als Zweckveranlasserin anzusehen wäre. Weder kommt es der Klägerin zu 1 subjektiv auf die Platzierung der „Cookies“ an noch ist diese zwangsläufige Folge ihres Verhaltens.

Das folgt entgegen der in der mündlichen Verhandlung betonten Auffassung der Klägerin zu 1 indessen nicht bereits daraus, dass die Besucher ihrer „Fanpage“, um die Platzierung eines „Cookies“ auszulösen, zunächst mit dem Einwilligungsbanner interagieren müssen. Nach der Lebenserfahrung ist jedenfalls mit an Sicherheit grenzender Wahrscheinlichkeit zu erwarten, dass Personen, die die „Fanpage“ der Klägerin zu 1 ansteuern, mit dem Einwilligungsbanner interagieren werden, weil sie ansonsten den Inhalt der „Facebook“-Seite schlechterdings nicht zur Kenntnis nehmen könnten. Allein die „Barriere“ des Einwilligungsbanners durchbräche angesichts dessen einen ansonsten gegebenen Ursachen- und Wirkungszusammenhang zwischen dem Betrieb der „Fanpage“ und der Platzierung von „Cookies“ nicht.

Ein solcher ist aber nicht gegeben. Von der Entscheidung über die Eröffnung der „Fanpage“ abgesehen, die lediglich mittelbar kausal für die Platzierung von „Cookies“ im Rahmen des Besuchs derselben durch einen Nutzer ist, besteht kein Zusammenhang zwischen dem Verhalten der Klägerin zu 1 und der Platzierung der „Cookies“. Die hier streitgegenständlichen werden bereits nicht zwingend im Rahmen des Besuchs einer „Fanpage“ gesetzt. Die Platzierung der „Coo‑ kies“ wird vielmehr durch bestimmte Interaktionen des Endnutzers auf einer „Facebook“-Seite oder externen Internetseite ausgelöst, und zwar unabhängig davon, ob die „Fan‑ page“ der Klägerin zu 1 besucht wurde

So wird das „c-user-Cookie“ gesetzt, sobald ein regis‑ trierter Benutzer sich anmeldet, und das „datr-Cookie“, so‑ bald der Benutzer mit dem Einwilligungsbanner interagiert hat. Auch die Platzierung des „fr-Cookies“ ist von bestimmten Aktivitäten des Benutzers abhängig, unter anderem bei dem Besuch externer Internetseiten, die das „Facebook-Pi‑ xel-Plugin“ verwenden. Dieses platziert auf der Internetseite pixelgroße Felder, die, werden sie beim Aufruf der Seite ge‑ laden, die Speicherung des „fr-Cookies“ durch die Klägerin zu 2 auslösen. Der Klägerin zu 2 wird auf diese Weise mitgeteilt, welche externen Internetseiten der Benutzer besucht hat, was ihr ermöglicht, personalisierte Werbung zu liefern. Vgl. diesbezügliche Erläuterungen in den „Cookie“-Richtlinien das „Facebook-Pixel-Plugin“ verwendender Drittanbieter, zum Beispiel „https://de.remington-europe.com/cookie-richtlinien“; „https://www.blancpain.com/de/hinweis-zu-cookiespixel-und-social-plug-ins“;jeweils abgerufen am 8.5.2025.

Die „Cookies“ können also zwar bei Gelegenheit des Aufrufs der „Fanpage“ der Klägerin zu 1 gesetzt werden; soweit das „fr-Cookie“ im Zusammenhang mit dem Besuch einer externen Internetseite gesetzt wird, ist selbst dies nicht der Fall. Jedoch ist der Aufruf spezifisch einer „Fanpage“, geschweige denn gerade der „Fanpage“ der Klägerin zu 1, nicht Voraussetzung der Platzierung der „Cookies“.

Die Klägerin zu 1 kann auch weder rechtlich noch tatsächlich Einfluss darauf nehmen, ob und welche „Cookies“ und für welchen Zeitraum diese gesetzt werden, wenn der Benutzer die die Platzierung des „Cookies“ auslösende Interaktion im Rahmen des Besuches ihrer „Fanpage“ vornimmt. In rechtlicher Hinsicht räumen die zwischen den Klägerinnen bestehenden Nutzungsvereinbarungen der Klägerin zu 1 nicht das Recht ein, über die Platzierung von „Cookies“ zu entscheiden. Vielmehr macht die Klägerin zu 2 einseitig die Hinnahme des Speicherns und Auslesens von „Cookies“ zur Voraussetzung für die Inanspruchnahme der Dienste ihres sozialen Netz‑ werks auch im Hinblick auf den Betrieb einer „Fanpage“, dies zwecks Finanzierung ihrer Dienste. Vorgaben zur Speicherung und zum Auslesen von „Cookies“, respektive der anschließenden Auswertung der gewonnenen Daten durften „Fanpage“-Betreiber in der Vergangenheit im Hinblick auf die Erstellung von „Insights“-Statistiken machen. Sie konnten Kriterien vorgeben, nach denen diese Statistiken zu erstellen waren. Zum Zeitpunkt des Erlasses des angefochtenen Bescheides wurden „Fanpage“-Betreibern diese Statistiken allerdings bloß noch in statischer Form zur Verfügung gestellt. Die Möglichkeit einer Parametrierung war nicht mehr gegeben. Ob die bloße Bekanntgabe der Ergebnisse der Aus‑ wertung zuvor mittels der Platzierung von „Cookies“ gewonnener Daten einen hinreichenden Ursachen- und Wirkungszusammenhang zwischen dem Betrieb einer „Fanpage“ und dem Setzen von „Cookies“ zu begründen vermag, erscheint überaus zweifelhaft, ist vorliegend aber jedenfalls deshalb nicht entscheidungserheblich, weil zur Zeit des Erlasses des Datenverarbeitungsverbots der Klägerin zu 1 jene Statistiken ohnehin nicht mehr zur Verfügung gestellt wurden.

In tatsächlicher Hinsicht äußert sich zwar ein gewisser Einfluss der Klägerin zu 1 gerade darin, dass sie die Klägerin zu 2 dazu bewogen hat, ihr die „Insights“-Statistiken nicht mehr zur Verfügung zu stellen. Jedoch hat sie spezifisch auf die vorliegend streitbefangenen Datenverarbeitungen auch faktisch keinen Einfluss. Wie die Klägervertreter in der mündlichen Verhandlung ausgeführt haben, war die Klägerin zu 2 zu keiner Zeit bereit, auf Betreiben der Klägerin zu 1 das Speichern und Auslesen der streitgegenständlichen „Cookies“ zu unterlassen oder dessen Umfang zu modifizieren. Das stellt auch die Beklagte nicht in Abrede. Über den Inhalt dieser Datensätze, die Voraussetzungen des Platzierens der „Cookies“ und ihre Speicherdauer entscheidet allein die Klägerin zu 2.

c) […] Ein Verstoß der Klägerin zu 1 gegen die Vorschrif‑ ten des Art. 6 Abs. 1 UAbs. 1, Art. 5 Abs. 1, 2 DS‑GVO liegt im Hinblick auf die streitgegenständlichen Datenverarbeitungen nicht vor, weil sie nicht deren Adressatin ist. Die Klägerin zu 1 ist datenschutzrechtlich nicht gemeinsam mit der Klägerin zu 2 verantwortlich gemäß Art. 4 Nr. 7 Hs. 1, Art. 26 Abs. 1 S. 1 DS‑GVO.

[…] Entgegen der Auffassung der Beklagten setzt die ge‑ meinsame Verantwortlichkeit […] eine gemeinsame Festlegung von sowohl Zwecken als auch Mitteln der Verarbeitung voraus. Dies gilt im Hinblick auf jeden einzelnen der streitgegenständlichen Datenverarbeitungsvorgänge [dazu aa)]. Ob die Mittel der Datenverarbeitung gemeinsam festgelegt werden, ist auf Grundlage einer Gesamtwürdigung der Umstände des Einzelfalls zu beurteilen. Die bloße Ermöglichung einer Datenverarbeitung begründet für sich betrachtet keine gemeinsame Festlegung der Mittel [dazu bb)]. In Anwendung dieser Maßstäbe ist die Klägerin zu 1 bereits deshalb für die streitgegenständlichen Datenverarbeitungen nicht verantwortlich, weil sie deren Mittel nicht allein oder gemeinsam mit der Klägerin zu 2 festlegt [dazu cc)].

aa) Die gemeinsame Verantwortlichkeit setzt eine gemeinsame Festlegung sowohl von Zwecken als auch Mitteln der Verarbeitung voraus. Die Entscheidung über Zwecke und Mittel kann gemäß Art. 4 Nr. 7 Hs. 1 DS‑GVO allein oder gemeinsam erfolgen. In beiden Fällen ist nach dem Wortlaut dieser Vorschrift und des Art.  26 Abs.  1 S.  1 DS‑GVO verant‑ wortlich indes nur, wer Zwecke „und“ Mittel der Verarbeitung festlegt. Dem entspricht, dass es nach dem ErwG 79 zur Da‑ tenschutzgrundverordnung einer klaren Zuteilung der Ver‑ antwortlichkeiten unter anderem in Fällen bedarf, in denen ein Verantwortlicher die Verarbeitungszwecke „und“ -mittel gemeinsam mit anderen Verantwortlichen festlegt. Im Hinblick auf den auch für Sanktionen ohne strafrechtlichen Charakter geltenden Bestimmtheitsgrundsatz erscheint eine eng an ihrem Wortlaut orientierte Auslegung der Vorschriften des Art. 4 Nr. 7 Hs. 1 und Art. 26 Abs. 1 S. 1 DS‑GVO auch angesichts der bei Verstößen gegen die Pflichten des Verantwortlichen vorgesehenen Verhängung hoher Geldbußen gemäß Art. 83 Abs. 4 lit. a) DS‑GVO geboten. Außerdem wurde bereits ausgeführt, dass jeder gemeinsam Verantwortliche eigenständig der Definition des Verantwortlichen in Art.  4 Nr.  7 Hs. 1 DS‑GVO entsprechen muss. Wer lediglich über Zwecke oder Mittel der Verarbeitung entscheidet, entspricht dieser Definition nicht. Paal/Pauly/Martini, DS‑GVO/BDSG, 3. Auf‑ lage 2021, DS‑GVO Art. 26 Rn. 21a; Simitis/Hornung/Spieker/ Petri/Stief gen. Döhmann, DS‑GVO, 2. Auflage 2025, DS‑GVO Art.  26 Rn.  12; Gola/Heckmann/Piltz, DS‑GVO/BDSG, 3. Auf‑ lage 2022, DS‑GVO Art. 26 Rn. 4; Plath/Plath, DS‑GVO/BDSG/ TTDSG, 4. Auflage 2023, DS‑GVO Art. 26 Rn. 10; Kartheuser/ Nabulsi, Zeitschrift für das Recht der Digitalisierung, Datenwirtschaft und IT (Multimedia und Recht – MMR) 2018, 717 (720); Europäischer Datenschutzausschuss (EDSA), Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftrags‑ verarbeiter“ in der DS‑GVO, angenommen am 7.7.2021, Seite 3 und Rn. 36, 50, 53; BayLfD, Gemeinsame Verantwortlichkeit – Orientierungshilfe, Stand 6.2024, Rn.  44; a.A. – diese unzutreffend als „allgemeine Auffassung“ bezeichnend – Borges/Hilber/Borges, BeckOK IT-Recht, Stand Juli 2021, DS‑GVO Art.  26 Rn.  10; ebenso, Kühling/Buchner/Hartung, DS‑GVO/ BDSG, 4. Auflage 2024, DS‑GVO Art. 26 Rn. 16; Laue/Nink/Kremer, Datenschutzrecht in der betrieblichen Praxis, § 5 Rn. 18; Art.-29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, angenommen am 16.2.2010, Seite 23; zum unionsrechtlichen Bestimmtheitsgrundsatz: Klaas/Momsen/ Wybitul/Cornelius, Datenschutzsanktionenrecht, § 2 Rn. 10.

Dem entsprechen auch die verwaltungs- und unions‑ gerichtliche Rechtsprechung. So verneinte das Oberverwaltungsgericht Schleswig-Holstein eine gemeinsame Verantwortlichkeit des Betreibers einer kommerziellen „Fanpage“ und der Klägerin zu 2 im Hinblick auf die Verknüpfung von „Fanpage“-Aufruf und Daten eines „Facebook“-Mitglieds in Profilen sowie deren Nutzung zu Werbezwecken, weil es „jedenfalls“ an einer gemeinsamen Entscheidung über den Zweck der Datenverarbeitungen fehle. Vgl. OVG SH, Urt. v. 25.11.2021 – 4 LB 20/13 –, juris Rn. 153.

Genügte zur Begründung der gemeinsamen Verantwortlichkeit bereits eine gemeinsame Mittelfestlegung, hätte diese nicht offengelassen werden können. Auch der Gerichtshof lässt erkennen, dass eine (gemeinsame) Festlegung von sowohl Zwecken als auch Mitteln zur Begründung einer (gemeinsamen) Verantwortlichkeit notwendig sei. In der Sache „Fashion ID“ hätte es ansonsten nach Feststellung einer gemeinsamen Festlegung der Mittel keiner Überlegungen zu einer gemeinsamen Zweckfestlegung mehr bedurft. Die beklagtenseits in Bezug genommene Formulierung, wonach Personen für Vorgänge, für die sie weder Zwecke noch Mit‑ tel festlegen, nicht verantwortlich seien, ist vor diesem Hintergrund dahin zu verstehen, dass jedenfalls unter diesen Umständen keine gemeinsame Verantwortlichkeit besteht, nicht aber bereits die Entscheidung über Zwecke oder Mittel zu ihrer Begründung genügte. Vgl. EuGH, Urt. v. 29.7.2019 – C-40/17 [ECLI:EU:C:2019:629], Fashion ID – Rn. 74, 77 ff.

Der Beklagten kann auch insofern nicht gefolgt werden, als sie die Auffassung vertritt, bei einer Kette von Datenverarbeitungsvorgängen sei eine gesamtheitliche Betrachtung anzustellen und müsse nicht jeder in Betracht kommende Ak‑ teur für jeden einzelnen Vorgang sämtliche Voraussetzungen des Art. 4 Nr. 7 Hs 1 DS‑GVO beziehungsweise Art. 26 Abs. 1 S. 1 DS‑GVO erfüllen. Richtig ist zwar, dass nach der Rechtsprechung des Gerichtshofs das Bestehen einer gemeinsamen Verantwortlichkeit nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure für dieselbe Verarbeitung personenbezogener Daten zur Folge. Vielmehr können diese Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein, sodass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist. Vgl. EuGH, Urteile vom 10.7.2018 – C-25/17 [ECLI:EU:C:2018:551], Je‑ hovan todistajat – Rn. 66, 69; vom 7.3.2024 – C-604/22 [EC‑ LI:EU:C:2024:214], IAB Europe – Rn. 58.

Daraus folgt jedoch nicht, dass eine Reihe von Vorgängen in der Weise als einheitlicher Lebenssachverhalt zu beurteilen wäre, dass die Verantwortlichkeit eines Akteurs sich auch auf solche Vorgänge erstrecken könnte, für die er Zwecke oder Mittel nicht (gemeinsam mit anderen) festlegt. Im Gegenteil gebietet die zitierte Rechtsprechung gerade eine Differen‑ zierung zwischen verschiedenen Datenverarbeitungsvor‑ gängen. Wie der Gerichtshof in der Sache „Fashion ID“ betont, kann eine Person nur für diejenigen Vorgänge der Verarbeitung personenbezogener Daten gemeinsam mit anderen verantwortlich sein, über deren Zwecke und Mittel sie ge‑ meinsam mit diesen entscheidet.Vgl. EuGH, Urt. v. 29.7.2019 – C-40/17 [ECLI:EU:C:2019:629], Fashion ID – Rn. 74.

Dies setzt eine differenzierte Betrachtung jedes einzelnen Datenverarbeitungsvorgangs voraus. Eine gesamtheitliche Betrachtung einer Kette von Datenverarbeitungsvorgängen unter Verzicht auf das Erfordernis der Festlegung von Zwecken und Mitteln in Bezug auf jeden einzelnen dieser Vorgänge ist hiermit nicht zu vereinbaren.

bb) Ob die Mittel der Datenverarbeitung gemeinsam festgelegt werden, ist auf Grundlage einer Gesamtwürdigung der Umstände des Einzelfalls zu beurteilen. Die Mittel einer bestimmten Verarbeitung legt fest, wer entscheidet, auf welche Weise die Verarbeitung erfolgt. Gemeinsam verant‑ wortlich kann bereits sein, wer im Eigeninteresse auf die Entscheidung über die Mittel der Verarbeitung Einfluss genommen hat. Ein irgendwie gearteter Einfluss genügt dabei aber nicht. Vielmehr ist ein bestimmender, also (mit-)entscheiden‑ der Einfluss erforderlich. Eine gemeinsame Beteiligung kann dabei in Form einer gemeinsam getroffenen Entscheidung von zwei oder mehr Stellen vorliegen oder sich aus konvergierenden Entscheidungen von zwei oder mehr Stellen über die Mittel ergeben. Entscheidungen können als konvergierend angesehen werden, wenn sie einander ergänzen und für die Verarbeitung in einer Weise erforderlich sind, dass sie einen spürbaren Einfluss auf die Bestimmung der Mittel der Verarbeitung nehmen. EuGH, Urt. v. 5.12.2023 – C-683/21 [ECLI:EU:C:2023:949] –, Rn.  31; Plath/Plath, DS‑GVO/BDSG/ TTDSG, 4. Auflage 2023, DS‑GVO Art. 26 Rn. 15; EDSA, Leitli‑ nien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DS‑GVO, angenommen am 7.7.2021, Rn. 35, 54 f

Bei der Beurteilung, ob ein Akteur auf die Entscheidung über die Mittel der Verarbeitung in diesem Sinne Einfluss genommen hat, ist zu bedenken, dass der Begriff des Verantwortlichen ein funktionales Konzept darstellt. Formale Aspekte sind nicht maßgeblich. So kann die notwendige Entscheidungsbefugnis nicht allein aus einer Rechtsvorschrift folgen, sondern ebenso aus einer nach den Umständen des Einzelfalls gegebenen faktischen Einflussnahme. Ergibt sich die Entscheidungshoheit eines Akteurs nicht aus Rechtsvorschriften, ist über seine Einstufung als Verantwortlicher auf Grundlage einer Beurteilung der tatsächlichen Umstände der Verarbeitung zu entscheiden. Bei dieser Beurteilung kommt dem Grad der tatsächlich von einer Person ausgeübten Kontrolle eine Bedeutung zu. Außerdem können bestimmte Tätigkeiten eine datenschutzrechtliche Verantwortlichkeit implizieren. Auch die Außenwirkung der Tätigkeit und eine hiermit verbundene Erwartungshaltung der Betroffenen kann in die Bewertung eingestellt werden. In die Gesamtbetrachtung fließt außerdem ein, ob eine Stelle eine Datenverarbeitung bewusst akzeptiert, weil sie etwa von ihr profitiert. Schließlich kann eine organisierende und koordinierende Hoheit die Verantwortlichkeit indizieren. Vgl. Taeger/Gabel/Arning/ Rothkegel, DS‑GVO/BDSG/ TTDSG, 4. Auflage 2022, DS‑GVO Art.  4 Rn.  181 ff.; Simitis/Hornung/Spieker/Petri/Stief gen. Döhmann, Datenschutzrecht, 2. Auflage 2025, DS‑GVO Art. 4 Nr. 7 Rn. 22 ff.; Art. -29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, angenommen am 16.2.2010, Seite 14 f.; EDSA, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DS‑GVO, ange‑ nommen am 7.7.2021, Rn. 20 ff.

Bei der Festlegung der Mittel ist zwischen wesentlichen und nicht wesentlichen Mitteln zu differenzieren. Während die Entscheidung über wesentliche Mittel der Verarbeitung in aller Regel Sache des Verantwortlichen ist, rechtfertigt eine – auch entscheidende – Einflussnahme auf unwesentliche Mittel der Verarbeitung nicht ohne weiteres die Annahme einer gemeinsamen Verantwortlichkeit. Wesentliche Mittel sind solche, die in engem Zusammenhang mit dem Zweck und dem Umfang der Verarbeitung stehen wie die Art der verarbeiteten personenbezogenen Daten, die Dauer der Verarbeitung, die Kategorien von Empfängern und die Kategorien betroffener Personen. Bei den nicht wesentlichen Mitteln stehen dagegen Aspekte der Umsetzung in Rede wie die Wahl einer bestimmten Hard- oder Software oder die Sicherheitsmaßnahmen im Detail. Vgl. Taeger/Gabel/Arning/Roth‑ kegel, DS‑GVO/BDSG/ TTDSG, 4. Auflage 2022, DS‑GVO Art. 4 Rn. 184; Simitis/Hornung/Spieker/Petri/Stief gen. Döhmann, Datenschutzrecht, 2. Auflage 2025, DS‑GVO Art. 4 Nr. 7 Rn. 21; EDSA, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DS‑GVO, angenommen am 7.7.2021, Rn. 32 ff.

Keinesfalls genügt allerdings die bloße Mitursächlichkeit des Verhaltens einer Person für eine Verarbeitung personenbezogener Daten für die Annahme einer gemeinsamen Festlegung – auch wesentlicher – Mittel. Das gilt auch dann, wenn die konkrete Datenverarbeitung durch dieses Verhalten erst ermöglicht wird. So macht nach der Rechtsprechung des Gerichtshofs der bloße Umstand der Nutzung eines sozialen Netzwerks wie „Facebook“ für sich betrachtet den Nutzer – auch einen „Fanpage“-Betreiber – nicht für die von diesem Netzwerk vorgenommene Verarbeitung personenbezogener Daten verantwortlich. Vgl. EuGH, Urt. v. 05.6.2018 – C-210/16 [ECLI:EU:C:2018:388], Wirtschaftsakademie –, Rn. 35.

Ließe man die bloße Ermöglichung einer Datenverarbeitung für sich genommen bereits zur Begründung einer gemeinsamen Verantwortlichkeit genügen, wäre ebendies jedoch nahezu zwangsläufig die Konsequenz. Es erscheint praktisch ausgeschlossen, ein soziales Netzwerk zu nut‑ zen, ohne damit wenigstens mittelbar dem Betreiber dieses Netzwerks Datenverarbeitungen zu ermöglichen. Die Inanspruchnahme von einer anderen Stelle zur Verfügung gestellter Mittel schließt eine gemeinsame Festlegung der Mittel angesichts dessen zwar nicht aus, begründet sie jedoch nur in Zusammenschau mit weiteren Umständen des Einzelfalls, wenn hiernach der Nutzer des bestehenden technischen Systems über die in diesem Zusammenhang durchzuführende Verarbeitung personenbezogener Daten entscheiden kann. Der Umstand, dass der Nutzer eines sozialen Netzwerks sich einer eingerichteten Plattform bedient, vermag ihn von sei‑ nen Verpflichtungen im Bereich des Schutzes personenbezogener Daten also, worauf die Beklagte zurecht hinweist, nicht zu befreien. Daraus folgt indes umgekehrt nicht, dass allein die mit der Inanspruchnahme der Plattform einhergehende Ermöglichung von Datenverarbeitungen zur Begründung einer Verantwortlichkeit bereits hinreichen würde. Vgl. EuGH, Urt. v. 05.6.2018 – C-210/16 [ECLI:EU:C:2018:388], Wirtschaftsakademie –, Rn. 40; EDSA, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DS‑GVO, angenommen am 7.7.2021, Rn. 64 f.

Die Mitursächlichkeit des Verhaltens einer Person für die Verarbeitung personenbezogener Daten ist vielmehr lediglich ein Umstand, der im Rahmen der vorzunehmenden Ge‑ samtbetrachtung zu berücksichtigen ist. Dem entspricht die Rechtsprechung des Gerichtshofs in der Sache „Wirtschaftsakademie“. Zwar wird dort zunächst betont, dass der Betrei‑ ber einer auf „Facebook“ unterhaltenen „Fanpage“ mit der Einrichtung einer solchen Seite „Facebook“ die Möglichkeit gebe, auf dem Computer oder jedem anderen Gerät der Per‑ son, die seine „Fanpage“ besucht hat, „Cookies“ zu platzieren, damit einhergehende Datenverarbeitungen also ermöglicht. Vgl. EuGH, Urt. v. 05.6.2018 – C-210/16 [ECLI:EU:C:2018:388], Wirtschaftsakademie –, Rn. 35.

Indessen stellt der Gerichtshof im Anschluss heraus, dass nach Maßgabe der seiner Entscheidung zugrunde zu legenden Sachlage die Einrichtung einer „Fanpage“ dem Betreiber eine Parametrierung erlaube. Mithilfe der durch „Facebook“ zur Verfügung gestellten Filter könne der Betreiber Kriterien festlegen, nach denen die „Insights“-Statistiken erstellt wer‑ den sollten. Ferner ging der Gerichtshof davon aus, dass die Kategorien von Personen bezeichnet werden konnten, deren personenbezogene Daten durch „Facebook“ auszuwerten waren. Erst in Zusammenschau mit diesen Umständen zieht der Gerichtshof den Schluss, dass der Betreiber einer auf „Facebook“ unterhaltenen „Fanpage“ zur Verarbeitung der personenbezogenen Daten der Besucher der Seite beitrage. Unter „diesen Umständen“ stellt der Gerichtshof abschließend fest, dass der Betreiber der „Fanpage“ gerade „durch die von ihm vorgenommene Parametrierung“ an der Entscheidung unter anderem über die Mittel der Verarbeitung beteiligt sei. Vgl. ebd. Rn. 36 ff

Die bloße Ermöglichung der Datenverarbeitungen genügte dem Gerichtshof zur Bejahung einer gemeinsamen Mittelfestlegung angesichts dessen erkennbar nicht. Die sich anschließenden Urteile des Bundesverwaltungsgerichts und des Oberverwaltungsgerichts Schleswig-Holstein beto‑ nen ihrerseits zwar primär die Ermöglichung der Datenver‑ arbeitungen durch den Betreiber der „Fanpage“. Die Judikate sind allerdings vor dem Hintergrund der zugrunde liegenden Rechtsprechung des Gerichtshofs zu lesen. Außerdem wird jeweils zumindest auch auf die Parametrierung durch den Betreiber der „Fanpage“ abgehoben. Vgl. BVerwG, Urt. v. 11.9.2019 – 6 C 15.18 –, juris Rn. 21, und OVG SH, Urt. v. 25.11.2021 – 4 LB 20/13 –, juris Rn. 150; im Ergebnis wie hier im Übrigen die wohl herrschende Meinung in der Literatur, vgl. etwa, Schuster/Grützmacher/Freund, IT-Recht, 1. Auflage 2020, DS‑GVO Art. 26 Rn. 34; Golland, Datenverarbeitung in sozialen Netzwerken, 1. Auflage 2018, §  6 Abschnitt II.2.b.aa; Taeger/ Gabel/Lang, DS‑GVO/BDSG/TTDSG, 4. Auflage 2022, DS‑GVO Art. 26 Rn. 51; Paal/Pauly/Martini,, DS‑GVO/BDSG, 3. Auflage 2021, DS‑GVO Art.  26 Rn.  19; ders./Wolff/Schantz, Das neue Datenschutzrecht, 1. Auflage 2017, Rn. 371; Gierschmann/Veil, DS‑GVO, 1. Auflage 2018, DS‑GVO Art. 26 Rn. 36; darüber hinaus – beklagtenseits zitiert – Hessel/Leicht, DSB 2021, 151 (152 f.), die im Ansatz ebenso darauf abstellen, dass ohne den Betrieb der „Fanpage“ die Daten nicht verarbeitet würden, für eine ausreichende Beteiligung des Betreibers sodann aber weitere Einwirkungsmöglichkeiten verlangen; Marosi/ Matthé, ZD 2018, 357 (362), die das von der Beklagten befürwortete Verständnis der Entscheidung des Gerichtshofs zwar in Betracht ziehen, selbst jedoch ablehnen und desgleichen auf die Parametrierung als entscheidenden Beitrag des „Fanpage“-Betreibers abstellen; außerdem EDSA, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DS‑GVO, angenommen am 7.7.2021, Rn. 65; als Beispiel nennt auch der EDSA in Rn. 66 im Hinblick auf das Urteil des Gerichtshofs vom 5.6.2018 – C-210/16 [EC‑ LI:EU:C:2018:388], Wirtschaftsakademie – und damit auf den Betrieb einer „Fanpage“ nicht die bloße Ermöglichung einer Datenverarbeitung, sondern die Festlegung von Parametern als ausreichenden Beitrag zur Mittelfestlegung; Leitlinien 8/2020 über die gezielte Ansprache von Nutzern sozialer Medien, angenommen am 13.4.2021, Rn. 33; a. A. wohl, Schwartmann/Jaspers/Thüsing/Kugelmann/Kremer, DS‑GVO/BDSG, 3. Auflage 2024, DS‑GVO Art.  26 Rn.  56; Specht-Riemen‑ schneider/Schneider, MMR 2019, 503 (505); DSK, Kurzgutach‑ ten zur datenschutzrechtlichen Konformität des Betriebs von „Facebook-Fanpages“ vom 10.11.2022, Seite 20 ff.

Diese Überlegungen lassen sich nicht aufgrund eines Vergleiches des Betriebs einer Internetseite in dem sozialen Netzwerk „Facebook“ mit der Einbindung des „Gefällt-mirButtons“, eines „Social Plugins“ der Klägerin zu 2, auf einer externen, also dem sozialen Netzwerk nicht zugehörigen Internetseite infrage stellen. Zwar legen die Klägerin zu 2 als Entwicklerin dieses „Plugins“ und derjenige, der dasselbe auf seiner Internetseite einbindet, die Mittel der Verarbeitung auch im Hinblick darauf gemeinsam fest, dass ohne die Einbindung des „Plugins“ die Datenverarbeitung nicht erfolgen würde, diese also ermöglicht wird. Erneut ist dies jedoch nur ein in die anzustellende Gesamtbetrachtung einzubeziehen‑ der Umstand. Zu berücksichtigen ist daneben insbesondere, dass die Einbindung des „Plugins“ die Verarbeitung personenbezogener Daten eines jeden Besuchers der Internetseite bereits bei deren Aufruf und unabhängig davon ermöglicht, ob derselbe Mitglied des sozialen Netzwerks ist und ob er mit dem „Plugin“ interagiert. Dies hebt auch der Gerichtshof in seinem Urteil in der Sache „Fashion ID“ hervor und stellt lediglich unter Berücksichtigung dieser Informationen fest, dass unter anderem über die Mittel der Verarbeitung auch seitens des Betreibers der Internetseite entschieden werde. Vgl. EuGH, Urt. v. 29.7.2019 – C-40/17 [ECLI:EU:C:2019:629], Fa‑ shion ID – Rn. 75 ff.

Unabhängig davon hätte eine gemeinsame Mittelfestle‑ gung im Fall der Einbindung des „Gefällt-mir-Buttons“, sollte die bloße Ermöglichung einer Datenverarbeitung zu deren Begründung genügen, konsequent auch für die der Übermittlung der Daten der Besucher der externen Internetseite bei deren Aufruf nachgelagerten Verarbeitungen dieser Daten durch die Klägerin zu 2 bejaht werden müssen. Diese nachgelagerten Datenverarbeitungen werden, wenn auch mittelbar, desgleichen erst durch die Einbindung des „Plug‑ ins“ ermöglicht. Hierfür legen die Akteure nach der Rechtsprechung des Gerichtshofs indessen die Mittel (und Zwecke) gerade nicht gemeinsam fest. Vgl. EuGH, Urt. v. 29.7.2019 – C-40/17 [ECLI:EU:C:2019:629], Fashion ID – Rn. 76.

Eine andere Beurteilung rechtfertigt auch nicht das Urteil des Gerichtshofs in der Sache „Jehovan todistajat“. Die Verantwortlichkeit der verkündigenden Mitglieder der Glaubensgemeinschaft wurde damit begründet, dass sie entschieden, unter welchen konkreten Umständen sie personenbezogene Daten über aufgesuchte Personen erheben, welche Daten sie genau erheben und auf welche Weise sie sie anschließend verarbeiten würden. Die Verantwortlichkeit der Religionsgemeinschaft wurde daraus hergeleitet, dass diese zu der Verkündigungstätigkeit ermuntert und sie organisiert und koordiniert, womit erneut über die bloße Ermöglichung einer Datenverarbeitung hinausgehende Beiträge in Rede stehen. Vgl. EuGH, Urt. v. 10.7.2018 – C-25/17 [ECLI:EU:C:2018:551], Jehovan todistajat – Rn. 70.

cc) In Anwendung dieser Maßstäbe sind die Klägerinnen weder im Hinblick auf das Speichern und Auslesen der streitgegenständlichen „Cookies“ noch in Bezug auf die nachgelagerten Datenverarbeitungen gemeinsam verantwortlich. Sie legen bereits die Mittel dieser Datenverarbeitungen nicht gemeinsam fest.

Unter Berücksichtigung der maßgeblichen Umstände der Datenverarbeitungen nimmt die Klägerin zu 1 in der Gesamtschau auch nicht faktisch bestimmenden Einfluss auf die Entscheidung über diese Mittel. Es genügt, wie dargelegt, entgegen der Auffassung der Beklagten für sich betrachtet für die Annahme einer gemeinsamen Mittelfestlegung nicht, dass die Klägerin zu 1 mit dem Betrieb der „Fanpage“ das Setzen und Auslesen von „Cookies“ und die nachgelagerten Datenverarbeitungen insofern ermöglicht, als der Benutzer im Rahmen des Besuchs der „Fanpage“ die Interaktion vornimmt, welche die Platzierung der „Cookies“ und mittelbar auch nachfolgende Datenverarbeitungen auslöst. Der Beitrag der Klägerin zu 1 zu der Verarbeitung der personenbezogenen Daten der Besucher ihrer „Fanpage“ erschöpft sich in dieser bloßen Mitursächlichkeit. Die Möglichkeit einer Paramet‑ rierung bestand bereits zum maßgeblichen Zeitpunkt des Erlasses des angefochtenen Bescheides nicht mehr. Für die Erstellung sogenannter „Insights“, also Statistiken über die Nutzung einer „Facebook“-Seite, konnten die Betreiber der „Fanpages“ keine Parameter mehr vorgeben. Hinzuzuset‑ zen ist, dass der Klägerin zu 1 diese „Insights“ darüber hinaus nicht mehr zur Verfügung gestellt wurden. Die Funktion „Bevorzugte Seitenzielgruppe“, die Seitenbetreibern ermöglichte, Zielgruppeneinstellungen für ihre „Facebook“-Seite vor‑ zunehmen, wurde bereits im Jahre 2017 eingestellt.

Die Klägerin zu 2 hat auch abgesehen von einer Parame‑ trierung keinen mitentscheidenden Einfluss auf die Festlegung der Mittel der Datenverarbeitungen. Es ist auch in diesem Zusammenhang insbesondere zu berücksichtigen, dass für die Platzierung der streitbefangenen „Cookies“ un‑ erheblich ist, ob der Nutzer gerade die „Fanpage“ der Klägerin zu 1 aufruft. Die Klägerin zu 2 verwendet keine „Cookies“ spezifisch im Zusammenhang mit dem Betrieb dieser Seite. Der Aufruf der „Fanpage“ hindert das Setzen und Auslesen der „Cookies“ lediglich nicht. Die „Cookies“ werden stattdes‑ sen in Abhängigkeit von dem Nutzerverhalten gesetzt. Wie bereits dargestellt, wird beispielsweise das „c-user-Cookie“ mit der Anmeldung eines registrierten Nutzers gesetzt, dies aber unabhängig davon, ob dieser zuvor die „Fanpage“ der Klägerin zu 1 aufgerufen hatte. Auch das „datr-Cookie“ und das „fr-Cookie“ werden nicht spezifisch im Zusammenhang mit dem Besuch der „Fanpage“ der Klägerin zu 1 gesetzt. Die „primäre Ursache“ für die Platzierung der „Cookies“ und erst recht ihr nachgelagerte Datenverarbeitungen ist entgegen dem Vorbringen der Beklagten also gerade nicht der Betrieb der „Fanpage“, sondern eine Interaktion des Nutzers, die im Rahmen des Besuches ganz unterschiedlicher „Facebook“Seiten und zum Teil externer Internetseiten vorgenommen werden kann.

Dass die Klägerin zu 2 nach Gesprächen mit der Kläge‑ rin zu 1 bereit war, ihr die „Insights“-Statistiken nicht mehr zur Verfügung zu stellen, begründet auch im hiesigen Zusammenhang keinen hinreichenden Einfluss der Klägerin zu 1 auf die streitgegenständlichen Datenverarbeitungen. Wie die Beklagte selbst vorträgt und bereits dargelegt, war die Klägerin zu 2 nicht bereit, die Platzierung der „Cookies“ und die mithilfe des Auslesens derselben ermöglichten, nachgela‑ gerten Datenverarbeitungen einzustellen, sondern lediglich, die Statistiken der Klägerin zu 1 nicht mehr bereitzustellen. Eine gemeinsame Mittelfestlegung ließe sich angesichts dessen allenfalls spezifisch für die mit der Ausspielung von „Insights“-Statistiken verbundenen Datenverarbeitungen begründen, setzte die Klägerin zu 2 diese auf Betreiben der Klägerin zu 1 wieder ins Werk. Auf die streitgegenständlichen Datenverarbeitungen konnte die Klägerin zu 1 dagegen auch faktisch zu keinem Zeitpunkt Einfluss nehmen.

Im Unterschied zu den aufgrund der Einbindung des „Ge‑ fällt-mir-Buttons“ auf einer externen Internetseite ermög‑ lichten Datenverarbeitungen setzt teilweise die Platzierung der „Cookies“, namentlich im Hinblick auf das „c-user-Cookie“ und das „fr-Cookie“, zudem die Mitgliedschaft des Nutzers bei „Facebook“ voraus. Weiterhin bleibt der Umfang der Einfluss‑ nahme auf die Datenverarbeitungen beziehungsweise der Grad der tatsächlich ausgeübten Kontrolle bei dem Betrieb einer „Facebook-Fanpage“ hinter demjenigen bei der Einbin‑ dung des „Gefällt-mir-Buttons“ auf einer Internetseite unter dem Aspekt deutlich zurück, dass eine „Fanpage“ vornehmlich Personen anspricht, die bereits „Facebook“ nutzen und deren Daten, wenn nicht bei Aufruf der „Fanpage“, so doch bei dem Besuch anderer „Facebook“-Seiten ohnehin durch die Klägerin zu 2 verarbeitet würden. Demgegenüber richtet sich das Angebot der Internetseite, auf der ein „Gefällt-mirButton“ eingebunden wird, regelmäßig nicht vorwiegend an „Facebook“-Nutzer. Es werden also auch Daten von Personen verarbeitet, die ansonsten keinerlei „Facebook“-Dienste in Anspruch genommen hätten und dies unabhängig von einer Interaktion mit dem „Gefällt-mir-Button“, nämlich bereits beim Aufruf der Seite. So wird der Klägerin zu 2 die Verarbei‑ tung der Daten eines wesentlich weiter gezogenen Kreises potentiell betroffener Personen ermöglicht als bei dem Betrieb einer „Fanpage“.

Ergänzend ist, wie oben angesprochen, in die Gesamtwürdigung auch die Außenwirkung der Tätigkeit und eine hiermit verbundene Erwartungshaltung der Betroffenen ein‑ zustellen. Bindet der Betreiber einer Internetseite auf dersel‑ ben ein „Plugin“ ein, tritt gleichwohl – wie die Beklagte selbst betont – er nach außen gegenüber dem Besucher seiner In‑ ternetseite auf. Die Betroffenen werden die Verantwortung regelmäßig (auch) dem Betreiber der Internetseite, auf wel‑ cher das „Plugin“ eingebunden ist, zuschreiben und nicht (al‑ lein) dem Entwickler des „Plugins“. Der Betreiber einer „Fanpage“ tritt demgegenüber gerade angesichts deren Nutzung als Teil einer etablierten Plattform schon der Außenwirkung nach nicht als Verantwortlicher in Erscheinung, sondern vielmehr der Betreiber des sozialen Netzwerks. So ist die „Fanpage“ auch optisch in das „Facebook“-Layout eingebunden. Es erscheint fernliegend, dass Betroffene sich wegen der von dem Aufruf spezifisch der „Fanpage“ nicht abhängigen Platzierung der „Cookies“ beziehungsweise den hiermit verbundenen und auch nachfolgenden Verarbeitungen ihrer personenbezogenen Daten an den Betreiber der „Fanpage“ und nicht vielmehr den Betreiber des sozialen Netzwerks wenden würden.

Weiter ist zu bedenken, dass, begründete bereits die dargestellte Mitursächlichkeit des Betriebs einer „Fanpage“ für die streitgegenständlichen Datenverarbeitungen eine gemeinsame Entscheidung über die einzusetzenden Mittel, neben Betreibern von „Fanpages“ selbst private Nutzer wegen der Einrichtung ihrer „Facebook“-Profilseite als datenschutzrechtlich Verantwortliche in Betracht zu ziehen wären. Die streitgegenständlichen „Cookies“ werden auch bei dem Besuch ebendieser Internetseiten gesetzt, wenn der Nutzer nach deren Aufruf die Interaktion vornimmt, welche die Platzierung der „Cookies“ auslöst. Also könnte die datenschutzrechtliche Verantwortlichkeit entgegen oben dargestellter Maßgaben letztlich durch die bloße Nutzung des sozialen Netzwerks begründet werden, was auch unter Berücksichtigung von Sinn und Zweck der Begriffsbestimmung des Verantwortlichen, einen möglichst umfassenden Schutz der Betroffenen zu gewährleisten, nicht geboten erscheint, zumal die Klägerin zu 2 den Nutzern bei der Inanspruchnahme ihrer Dienste keinerlei Mitentscheidungsbefugnis über den Umfang der ihr ermöglichten Datenverarbeitungen einräumt, sondern die Ermöglichung dieser Datenverarbeitungen im von der Klägerin zu 2 einseitig festgelegten Umfang schlicht zur Voraussetzung der Nutzung ihres Netzwerks macht.

Zur Vertiefung

Nebel, Datenschutzrechtliche Verantwortlichkeit bei der Nutzung von Fanpages und Social Plug-ins = RDV 1/2019

Gemeinsame Verantwortung beim Lettershopverfahren – praktische Konsequenzen der EUGH-Rechtsprechung zu den „Fanpages“ und „Zeugen Jehovas“ = RDV 1/2019

[Urteil] Zweckvorgabe allein begründet keine gemeinsame Verantwortlichkeit i.S.d. Art. 26 DS‑GVO = RDV 2/2026

[Urteil] (Mit-)Verantwortlichkeit von Google Ireland neben Google LLC aus den USA bei Löschungsansprüchen nach Art. 17 Abs. 1 DS‑GVO = RDV 4/2023