13 K 1419/23

Leitsatz: 1. Zur Einholung einer Einwilligung nach § 25 Abs. 1 Satz 1 TTDSG verpflichtet ist jede natürliche oder juristische Person, die kausal die Ausführung des Quelltexts veranlasst, der die Informationen speichert oder ausliest, und der deshalb die Realisierung der Distanzgefahr durch den Fernzugriff, vor dem der Endnutzer geschützt werden soll, zuzurechnen ist. Hierfür ist ein hinreichend enger Wirkungs- und Ursachenzusammenhang zwischen der Durchführung des Fernzugriffs und dem Verhalten der Person zu verlangen. 2. Die gemeinsame datenschutzrechtliche Verantwortlichkeit gemäß Art. 4 Nr. 7 Halbs. 1, Art. 26 Abs. 1 Satz 1 DSGVO setzt eine gemeinsame Festlegung von sowohl Zwecken als auch Mitteln der konkreten Datenverarbeitung voraus. 3. Ob die Mittel der Datenverarbeitung gemeinsam festgelegt werden, ist auf Grundlage einer Gesamtwürdigung der Umstände des Einzelfalls zu beurteilen. Die bloße Mitursächlichkeit des Verhaltens einer Person für eine Verarbeitung personenbezogener Daten genügt für die Annahme einer gemeinsamen Mittelfestlegung nicht. 4. Tauglicher Adressat einer Verwarnung auf Grundlage des Art. 58 Abs. 2 Buchst. b DSGVO ist der für den vollendeten Datenschutzverstoß Verantwortliche oder der Auftragsverarbeiter nur dann, wenn er im Zeitpunkt des Erlasses des Verwarnungsbescheides im Hinblick auf die als datenschutzwidrig monierte Datenverarbeitung noch Verantwortlicher oder Auftragsverarbeiter ist Die Klage der Klägerin zu 2 gegen die Verwarnungen zu Ziffern 2 bis 4 des Bescheides der Beklagten vom 17. Februar 2023 wird als unzulässig abgewiesen. Der Bescheid der Beklagten vom 17. Februar 2023 wird aufgehoben. Von den Gerichtskosten tragen 62,5 % die Beklagte und 37,5 % die Klägerin zu 2. Von den außergerichtlichen Kosten tragen die Beklagte die der Klägerin zu 1 zu 100 % und die der Klägerin zu 2 zu 25 %. Die außergerichtlichen Kosten der Beklagten trägt die Klägerin zu 2 zu 37,5 %. Im Übrigen tragen die Beteiligten ihre außergerichtlichen Kosten selbst. Das Urteil ist wegen der Kosten vorläufig vollstreckbar, für die Klägerin zu 1 jedoch nur gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrages. Die Klägerin zu 2 darf die Vollstreckung der Beklagten und die Beklagte die Vollstreckung der Klägerin zu 2 gegen Sicherheitsleistung in Höhe von 110 % des aufgrund des Urteils vollstreckbaren Betrages abwenden, wenn nicht vor der Vollstreckung die jeweilige Vollstreckungsgläubigerin Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrages leistet. Die Berufung wird zugelassen. Tatbestand Die Klägerinnen wenden sich gegen eine datenschutzrechtliche Verfügung der Beklagten, mit welcher der Klägerin zu 1 der Betrieb einer „Fanpage“ in dem von der Klägerin zu 2 betriebenen sozialen Netzwerk „Facebook“ untersagt wurde. Über eine „Fanpage“ können dort unter anderem Personen des öffentlichen Lebens, Unternehmen und Behörden Informationen verbreiten. Registrierte Nutzer können veröffentlichte Inhalte kommentieren und so mit dem Betreiber der „Fanpage“ kommunizieren. Die Klägerin zu 2 platziert, unabhängig davon, ob eine „Fanpage“ oder eine andere „Facebook“-Seite aufgerufen wird, sogenannte „Cookies“. Dabei handelt es sich um kleine Datensätze mit Textinformationen. „Cookies“ bieten die Möglichkeit, Daten während einer Folge von Aufrufen einer Internetseite festzuhalten. Im Fall sogenannter persistenter „Cookies“ werden die Informationen auch über die jeweilige „Browsersitzung“ hinaus gespeichert. Beim erstmaligen Aufruf einer „Facebook“-Seite werden zunächst keine „Cookies“ gesetzt, sondern es erscheint ein sogenanntes „Cookie“-Banner oder Einwilligungsbanner. Dabei handelt es sich um eine beim Aufruf einer Internetseite angezeigte Benachrichtigung, die unter anderem über die Verwendung von „Cookies“ informieren und dem Nutzer die Möglichkeit geben soll, seine Einwilligung in die Nutzung beispielsweise auch nicht technisch erforderlicher „Cookies“ zu erklären. Die von der Klägerin zu 2 genutzten Einwilligungsbanner verdecken weite Teile der aufgerufenen Seite. Die sichtbaren Teile werden ausgegraut und ein „Scrollen“ ist ohne vorherige Interaktion mit dem Banner nicht möglich. Die Klägerin zu 2 verwendet dabei unterschiedliche „Cookie“-Banner je nachdem, ob ein angemeldeter Nutzer oder abgemeldeter beziehungsweise nicht registrierter Nutzer eine „Facebook“-Seite aufruft. In dem unter anderem im Februar 2023 für nicht registrierte und nicht angemeldete Nutzer verwendeten Einwilligungsbanner heißt es auszugsweise: „Die Verwendung von Cookies durch Facebook in diesem Browser erlauben? […] Du kannst die Verwendung sämtlicher Cookies in diesem Browser gestatten oder weitere Optionen auswählen. In unserer Cookie-Richtlinie erfährst du mehr über Cookies und wie wir sie verwenden. Dort kannst du deine Auswahl außerdem jederzeit überprüfen oder ändern. Erforderliche Cookies Diese Cookies sind erforderlich für die Nutzung von Meta-Produkten. Sie sind notwendig, damit diese Websites wie vorgesehen funktionieren. Optionale Cookies Cookies von anderen Unternehmen Wir verwenden Tools anderer Unternehmen für Werbezwecke und Messdienstleistungen außerhalb der Meta-Produkte, zu Analysezwecken sowie zur Bereitstellung bestimmter Funktionen und zur Verbesserung unserer Dienste für dich. Diese Unternehmen setzen ebenfalls Cookies ein.“ Das Banner schließt mit zwei Schaltflächen. Der Nutzer kann wählen zwischen „Nur erforderliche Cookies erlauben“ und „Erforderliche und optionale Cookies erlauben“. Die erstere Schaltfläche ist grau hinterlegt und schwarz beschriftet, die letztere blau hinterlegt und weiß beschriftet. Das unter anderem im Februar 2023 für registrierte und angemeldete Nutzer verwendete „Cookie“-Banner enthält entsprechende Informationen zu erforderlichen „Cookies“. Im Übrigen heißt es dort auszugsweise: „Optionale Cookies Unsere Cookies in anderen Apps und auf anderen Websites Diese Cookies helfen anderen Unternehmen, Informationen über deine Aktivitäten in ihren Apps und auf ihren Websites mit uns zu teilen. Wir verwenden die Informationen, die wir erhalten, um dein Erlebnis, einschließlich der Werbung, die du siehst, zu personalisieren und zu verbessern, um Unternehmen mit Analysen und Messungen der Anzeigen-Performance zu unterstützen und um außerhalb von Facebook Services bereitzustellen wie die Nutzung von Facebook, um sich bei anderen Apps und Websites anzumelden.“ Im Anschluss werden obenstehende Informationen zu „Cookies von anderen Unternehmen“ wiedergegeben. Auf dem „Cookie“-Banner finden sich neben der Zeile „Optionale Cookies“ und „Cookies von anderen Unternehmen“ jeweils Schieberegler, die unabhängig voneinander angewählt werden können. Das Banner schließt wiederum mit zwei Schaltflächen. Eine grau hinterlegte ist in schwarz mit „Nur erforderliche Cookies erlauben“ beschriftet, eine blau hinterlegte ist weiß beschriftet, wenn „Optionale Cookies“ und „Cookies von anderen Unternehmen“ angewählt sind, mit „Alle Cookies erlauben“, wenn dagegen die optionalen „Cookies“ (teilweise) abgewählt sind, mit „Ausgewählte Cookies erlauben“. Beide Varianten des „Cookie“-Banners verlinken die „Cookie-Richtlinie“ der Klägerin zu 2. In der Fassung vom 5. Oktober 2022 lautet diese auszugsweise: „Warum verwenden wir Cookies? […] Authentifizierung Wir verwenden Cookies, um dein Konto zu verifizieren und um festzustellen, wann du angemeldet bist, damit wir dir den Zugriff auf die Meta-Produkte erleichtern und dir das passende Nutzererlebnis sowie geeignete Funktionen bereitstellen können. Zum Beispiel: Wir verwenden Cookies, damit du angemeldet bleiben kannst, während du zwischen verschiedenen Facebook-Seiten hin und her wechselst. Cookies helfen uns auch dabei, deinen Browser wiederzuerkennen, damit du dich nicht immer wieder neu bei Facebook anmelden musst und dich über Apps und Websites Dritter einfacher bei Facebook anmelden kannst. Beispielsweise verwenden wir, einschließlich für diesen Zweck [das ‚c-user-Cookie‘], [das] eine Speicherzeit von 365 Tagen [hat]. Sicherheit, Website- und Produktintegrität Die Verwendung von Cookies hilft uns dabei, die Sicherheit deines Kontos, deiner Daten sowie der Meta-Produkte zu gewährleisten. Zum Beispiel: Mithilfe von Cookies können wir zusätzliche Sicherheitsmaßnahmen ermitteln und einsetzen, wenn jemand versucht, ohne Autorisierung auf ein Facebook-Konto zuzugreifen, beispielsweise durch schnelles Erraten verschiedener Passwörter. Wir verwenden Cookies auch zum Speichern von Informationen, mit deren Hilfe wird dein Konto wiederherstellen können, falls du dein Passwort vergisst, oder um eine zusätzliche Authentifizierung zu fordern, wenn du uns mitteilst, dass dein Konto gehackt wurde. Hierzu gehören beispielsweise [Cookies wie ‚datr‘]. ‚Datr‘ ist eine eindeutige Kennung für deinen Browser, die uns [unter anderem] dabei hilft, dich vor Betrug zu schützen. Beispielsweise hilft er uns bei der Identifizierung von vertrauenswürdigen Browsern, bei denen du dich zuvor schon einmal eingeloggt hast. ‚Datr‘ hat eine Speicherzeit von zwei Jahren. Außerdem verwenden wir Cookies zur Bekämpfung von Aktivitäten, die gegen unsere Richtlinien verstoßen [beziehungsweise] auf sonstige Art und Weise unsere Fähigkeit herabsetzen, die Meta-Produkte bereitzustellen. Zum Beispiel: Cookies helfen uns, Spam und Phishing-Angriffe zu bekämpfen, indem sie es uns ermöglichen, Computer zu identifizieren, die eingesetzt werden, um große Mengen an gefälschten Facebook-Konten zu erstellen. Mithilfe von Cookies können wir außerdem Computer ermitteln, die von Schadprogrammen befallen sind, und Maßnahmen ergreifen, damit diese keinen weiteren Schaden anrichten können. […] Der ‚datr‘-Cookie hilft uns auch dabei, die von böswilligen Akteuren genutzten Browser zu identifizieren, und Angriffe auf die Cybersicherheit zu verhindern, wie [zum Beispiel] Denial-of-Service-Angriffe, die deinen Zugriff auf die Meta-Produkte verhindern könnten. Darüber hinaus unterstützen Cookies uns dabei zu verhindern, dass Minderjährige sich für Facebook-Konten registrieren. Werbung, Empfehlungen, Insights und Messungen Wir verwenden Cookies als Unterstützung, um denjenigen Personen, die sich möglicherweise für die von Unternehmen und sonstigen Organisationen beworbenen Produkte, Dienstleistungen oder Zwecke interessieren, Werbeanzeigen zu diesen Unternehmen und Organisationen zu zeigen und Empfehlungen für sie auszusprechen. Zum Beispiel: Mithilfe von Cookies können wir denjenigen Personen, die bereits zuvor die Website eines Unternehmens besucht, seine Produkte gekauft oder seine Apps verwendet haben, Werbeanzeigen zeigen und ihnen auf dieser Aktivität basierende Produkte und Dienstleistungen empfehlen. Cookies ermöglichen uns außerdem die Begrenzung der Häufigkeit, mit der dir eine Werbeanzeige angezeigt wird, damit du dieselbe Werbeanzeige nicht immer wieder siehst. Der ‚fr‘-Cookie wird beispielsweise verwendet, um Werbeanzeigen auszuliefern und ihre Relevanz zu messen und zu verbessern. Er hat eine Speicherzeit von 90 Tagen.“ Das in der Richtlinie genannte „c-user-Cookie“ wird einem Nutzerkonto bei der Registrierung zugeordnet und auf jedem Endgerät, über welches der Nutzer sich anmeldet, gespeichert. Meldet der Nutzer sich ab, wird das „c-user-Cookie“ gelöscht. Anderenfalls wird es für die in der Richtlinie angegebene Dauer, auch über die jeweilige „Browsersitzung“ hinaus, gespeichert. Im Rahmen des Anmeldeprozesses wird der Benutzer nicht aufgefordert, zu erklären, ob er dauerhaft angemeldet bleiben wolle. Von der Interaktion des Nutzers mit dem Einwilligungsbanner ist die Platzierung des „Cookies“ nicht abhängig. Das „datr-Cookie“ wird beim Aufruf einer „Facebook“-Seite nach der Interaktion des Nutzers mit dem Einwilligungsbanner, ebenfalls ungeachtet der getroffenen Auswahl, gesetzt. Es wird auch unabhängig davon platziert, ob es sich um einen angemeldeten, nicht angemeldeten, aber registrierten oder nicht registrierten Nutzer handelt. Das „fr-Cookie“ verwendet die Klägerin zu 2 bei Benutzern in der Europäischen Union erst nach deren Anmeldung. Es kann platziert werden, wenn der Benutzer sich anmeldet und bei der Interaktion mit dem sodann eingeblendeten „Cookie“-Banner für registrierte Nutzer die Verwendung optionaler „Cookies“ erlaubt. Sämtliche der genannten „Cookies“ werden unabhängig davon gesetzt, welche „Facebook“-Seite der Nutzer aufruft. Sie können im Rahmen des Besuches einer „Fanpage“, aber auch einer jeden anderen „Facebook“-Seite platziert werden, wenn der Nutzer hierbei die die Speicherung des „Cookies“ auslösende Interaktion vornimmt. Besondere „Cookies“, die ausschließlich beim Aufruf einer „Fanpage“ gesetzt würden, verwendet die Klägerin zu 2 nicht. Seitenbetreiber von „Fanpages“ erhalten über die sogenannte „Seiten-Insights-Funktion“ anonymisierte Statistiken über das Verhalten der Besucher auf ihrer Internetseite. Diese enthalten unter anderem Informationen zur Anzahl der Abonnenten der „Fanpage“ und der Anzahl von Nutzern, die einen dort veröffentlichten Beitrag gesehen haben. Inzwischen werden Seitenbetreibern die „Insights“ statisch zur Verfügung gestellt. Eine Parametrierung, also Anpassung der „Insights“ an die Interessen des Seitenbetreibers, ist nicht mehr möglich. Unter anderem steht die Funktion „Bevorzugte Seitenzielgruppe“ seit dem Jahre 2017 nicht mehr zur Verfügung, die es Seitenbetreibern in der Vergangenheit ermöglichte, Zielgruppeneinstellungen für ihre „Fanpage“ vorzunehmen, um die Wahrscheinlichkeit zu erhöhen, dass ihre „Facebook“-Seite bestimmten Nutzern im „Newsfeed“ vorgeschlagen wird. Die Klägerin zu 1 unterhält seit Anfang des Jahres 2015 eine „Fanpage“ für die Bundesregierung. Das Presse- und Informationsamt der Bundesregierung (Bundespresseamt) informiert dort regelmäßig über aktuelle politische Tätigkeiten der Bundesregierung. In seinem Urteil vom 5. Juni 2018 in der Sache „Wirtschaftsakademie“ stufte der Gerichtshof die Klägerin zu 2 und den Betreiber einer kommerziell genutzten „Fanpage“ als gemeinsam verantwortlich im Sinne des Art. 26 Abs. 1 Satz 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (ABl. L 119 Seite 1) – Datenschutzgrundverordnung (DSGVO) – ein. Im Anschluss an dieses Urteil wies die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) in einem Beschluss vom 5. September 2018 darauf hin, die Klägerin zu 2 und die Betreiber von „Fanpages“ müssten als gemeinsam Verantwortliche eine Vereinbarung gemäß Art. 26 Abs. 1 Satz 2 DSGVO schließen. Zur Begründung hob die Datenschutzkonferenz insbesondere hervor, dass weiterhin auch bei Personen, die keine registrierten Nutzer seien, „Cookies“ mit Identifikatoren gesetzt würden und im Rahmen der „Insights“-Funktion Seitenbesuche ausgewertet und die Daten den Betreibern zur Verfügung gestellt würden. Am 11. September 2018 veröffentlichte die Klägerin zu 2 eine „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ sowie „Informationen zu Seiten-Insights“. In einem Positionspapier vom 1. April 2019 vertrat die Datenschutzkonferenz die Auffassung, die Ergänzung erfülle nicht die Anforderungen an eine Vereinbarung nach Art. 26 Abs. 1 Satz 2 DSGVO. Zur Begründung führte sie insbesondere aus, dass die Klägerin zu 2 sich die alleinige Entscheidungsmacht hinsichtlich der Verarbeitung von „Insights“-Daten vorbehalte. Nachdem die Beklagte in einem Rundschreiben vom 20. Mai 2019 die Datenschutzbeauftragten der obersten Bundesbehörden darauf hingewiesen hatte, dass öffentliche Stellen, die eine „Fanpage“ betrieben, zwingend eine den Anforderungen des Art. 26 Abs. 1 Satz 2 DSGVO genügende Vereinbarung mit der Klägerin zu 2 zur gemeinsamen Verantwortlichkeit schließen müssten, fand am 9. September 2019 ein Gespräch zwischen Vertretern des Bundespresseamts und der Klägerin zu 2 statt, wobei die letzteren herausstellten, dass ihrer Ansicht nach die Möglichkeit einer Parametrierung im Rahmen der „Seiten-Insights-Funktion“ maßgeblich für die Begründung einer gemeinsamen Verantwortlichkeit sei. In diesem Zusammenhang wies die Klägerin zu 2 mit E-Mail vom 9. September 2019 darauf hin, dass die Funktion „Bevorzugte Seitenzielgruppe“ bereits seit längerer Zeit nicht mehr verfügbar sei. Mit weiterer E-Mail vom 29. Oktober 2019 übersandte sie darüber hinaus eine weitere Aktualisierung der „Seiten-Insights-Ergänzung“. Dies teilte das Bundespresseamt der Beklagten auf Sachstandsanfrage hin mit Schreiben vom 31. Oktober 2019 mit. In der auch im Februar 2023 geltenden Fassung lauteten die „Informationen zu Seiten-Insights“ und die „Seiten-Insights-Ergänzung“ auszugsweise: „Informationen zu Seiten-Insights […] Die Verarbeitung personenbezogener Daten für Seiten-Insights unterliegt möglicherweise der nachfolgenden Vereinbarung über die gemeinsame Verantwortlichkeit […]. Seiten-Insights-Ergänzung bezüglich des Verantwortlichen […] Hinsichtlich der Erfüllung der Verpflichtungen aus der DSGVO durch Facebook Ireland und dich hinsichtlich der Verarbeitung von Insights-Daten wird Folgendes festgelegt: Facebook Ireland: Facebook Ireland stellt sicher, dass sie eine Rechtsgrundlage für die Verarbeitung der Insights-Daten hat, die in der Datenrichtlinie von Facebook Ireland dargelegt ist (siehe unter ‚Was ist unsere Rechtsgrundlage für die Verarbeitung von Daten?‘). Sofern in dieser Seiten-Insights-Ergänzung nichts anderes angegeben wird, übernimmt Facebook Ireland die Erfüllung der Verpflichtungen aus der DSGVO für die Verarbeitung von Insights-Daten […]. Seitenbetreiber: Du solltest sicherstellen, dass du auch eine Rechtsgrundlage für die Verarbeitung der Insights-Daten hast.“ Mit Schreiben vom 17. Februar 2020 wies die Beklagte das Bundespresseamt darauf hin, dass die Datenschutzkonferenz unterdessen die neue „Seiten-Insights-Ergänzung“ ausgewertet habe, diese zwar als deutliche Verbesserung, jedoch insgesamt weiterhin nicht als ausreichend ansehe. Mit weiterem Rundschreiben vom 21. Juni 2021 an die Bundesministerien und obersten Bundesbehörden empfahl die Beklagte, deren „Fanpages“ abzuschalten. Am 24. November 2021 fand ein gemeinsames Gespräch von Vertretern unter anderem der Beklagten, des Bundespresseamtes und der Klägerin zu 2 statt. Die letztere schlug vor, für öffentliche Stellen des Bundes eine „Fanpage-Variante“ ohne „Seiten-Insights“ anzubieten, wobei im Übrigen die gleichen Nutzungsdaten erhoben und verarbeitet würden wie bislang. Mit Schreiben vom 4. Januar 2022 teilte die Beklagte dem Bundespresseamt mit, dass das Abschalten der Statistiken für „Fanpage“-Betreiber ihrer Ansicht nach die gemeinsame Verantwortlichkeit nicht vollständig entfallen lasse. Es bleibe bei einer gemeinsamen Verantwortlichkeit für die Datenerhebung durch das Setzen von „Cookies“. Auf Wunsch des Bundespresseamts deaktivierte die Klägerin zu 2 gleichwohl ab dem 7. April 2022 die „Seiten-Insights-Funktion“ für dessen „Fanpage“. Unter dem 17. Mai 2022 hörte die Beklagte das Bundespresseamt zu dem nunmehr beabsichtigten Erlass einer datenschutzrechtlichen Untersagungsverfügung in Bezug auf den Betrieb seiner „Fanpage“ an. Die Klägerin zu 1 nahm unter dem 15. August 2022 Stellung. Mit Bescheid vom 17. Februar 2023 untersagte die Beklagte dem Bundespresseamt – Ziffer 1 – „bis auf weiteres die Verarbeitung personenbezogener Daten im Rahmen der von der Bundesregierung betriebenen Facebook-Fanpage […] innerhalb von vier Wochen nach Bekanntgabe dieses Bescheids durch Einstellen ihres Betriebs.“ Ferner stellte die Beklagte – Ziffer 2 – fest, dass das Bundespresseamt fahrlässig gegen seine Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO verstoßen habe, indem es im Zeitraum von mindestens 25. Mai 2018 bis zum 17. Februar 2023 entgegen der gebotenen Sorgfalt seine „Facebook-Fanpage“ betrieben habe, ohne die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 Abs. 1 DSGVO nachweisen zu können, und verwarnte das Bundespresseamt für diesen Verstoß gemäß Art. 58 Abs. 2 Buchst. b DSGVO. Weiterhin stellte die Beklagte – Ziffer 3 – fest, dass das Bundespresseamt fahrlässig gegen § 25 Abs. 1 Satz 1 des Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien vom 23. Juni 2021 (Telekommunikation-Telemedien-Datenschutz-Gesetz – TTDSG) – verstoßen habe, indem seit mindestens 1. Dezember 2021 bis zum 17. Februar 2023 auf der vom Bundespresseamt betriebenen „Facebook-Fanpage“ ohne Erfüllung der Rechtsgrundlagen Informationen, die bereits in den Endeinrichtungen der Endnutzer gespeichert seien, zugegriffen werde, verwarnte die Klägerin zu 1 auch für diesen Verstoß. Schließlich – Ziffer 4 – stellte die Beklagte fest, dass das Bundespresseamt fahrlässig gegen Art. 5 Abs. 1 Buchst. a in Verbindung mit Art. 6 Abs. 1 DSGVO verstoßen habe, indem seit mindestens Mai 2018 bis zum 17. Februar 2023 auf der von dem Bundespresseamt betriebenen „Facebook-Fanpage“ personenbezogene Daten erhoben und an die Klägerin zu 2 übermittelt worden seien, obwohl hierfür keine wirksame Rechtsgrundlage gegeben sei, und verwarnte das Bundespresseamt auch für diesen Verstoß. Zur Begründung führte die Beklagte aus: Der Sachverhalt sei einerseits nach Maßgabe der Datenschutzgrundverordnung und des Bundesdatenschutzgesetzes (BDSG), die Regelungen zur Verarbeitung personenbezogener Daten enthielten, zu bewerten. Andererseits sei der Sachverhalt, soweit der Zugriff auf die Endeinrichtung des Endnutzers durch Speicherung von Informationen in Rede stehe, beispielsweise durch das Setzen eines „Cookies“ oder den Zugriff auf bereits in der Endeinrichtung gespeicherte Informationen, nach Maßgabe des Telekommunikation-Telemedien-Datenschutz-Gesetzes zu beurteilen. Dieses setze die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (ABl. L 201 Seite 37) – e-Privacy-Richtlinie – um und gelte in seinem Anwendungsbereich als Spezialgesetz vorrangig vor den allgemeineren Bestimmungen der Datenschutzgrundverordnung. Die Zuständigkeit der Beklagten ergebe sich aus § 29 Abs. 2 TTDSG, weil bei Aufruf der „Facebook-Fanpage“ im Endgerät des Nutzers „Cookies“ gesetzt und ausgelesen würden und so der Zugriff auf Informationen in Endeinrichtungen der Nutzer durch das Bundespresseamt als öffentliche Stelle des Bundes erfolge. Außerdem und im Hinblick auf die dem Setzen und Auslesen der „Cookies“ nachgelagerte Profilbildung, Auswertung und Nutzung ergebe sich die Zuständigkeit der Beklagten aus § 9 Abs. 1 BDSIreland Das Bundespresseamt und die Klägerin zu 2 seien gemeinsam Verantwortliche. Das Datenverarbeitungsverbot beruhe auf „(§ 29 [Abs.] 3 TTDSG in Verbindung mit) [Art.] 58 [Abs.] 2 [Buchst.] f DSGVO (in Einklang mit der DSGVO beziehungsweise mit dem TTDSG)“. Das Bundespresseamt und die Klägerin zu 2 seien gemeinsam Verantwortliche, was nach dem Urteil des Gerichtshofs in der Sache „Wirtschaftsakademie“ und dem sich anschließenden Urteil des Bundesverwaltungsgerichts vom 11. September 2019 maßgeblich daraus folge, dass das Bundespresseamt als Betreiber der „Fanpage“ der Klägerin zu 2 die Möglichkeit gebe, auf dem Endgerät des Nutzers „Cookies“ zu platzieren; hinzukomme, dass die anonymen Besucherstatistiken dem Bundespresseamt ermöglichten, sein Informationsangebot so zielgerichtet wie möglich zu gestalten. Hinsichtlich der nachfolgenden Weiterverarbeitung in Form der Verknüpfung der Nutzungsdaten mit den registrierten Nutzern beruhe die gemeinsame Verantwortlichkeit nach dem im Anschluss an das zitierte Urteil des Bundesverwaltungsgerichts ergangenen Urteil des Oberverwaltungsgerichts Schleswig-Holstein vom 25. November 2021 darauf, dass die Datenverarbeitung zum Zwecke der Erstellung von „Insights-Statistiken“ im Ergebnis ermögliche, Kenntnis über bestimmte Merkmale der Besucher zu erlangen, die die „Fanpage“ schätzten oder ihre Anwendungen nutzten, um ihnen relevantere Inhalte bereitstellen und Funktionen entwickeln zu können, die für sie von größerem Interesse sein könnten. Durch die Einrichtung der „Fanpage“ sei jedenfalls stillschweigend über den Zweck der maßgeblichen Datenverarbeitung mitentschieden worden. Das Bundespresseamt habe als Betreiber ein eigenes Interesse an der Verarbeitung der personenbezogenen Daten zu Zwecken der Profilerstellung und der gezielten Ansprache. Bei der gemeinsamen Verantwortlichkeit bleibe es auch dann, wenn die „Insights“-Statistiken für das Bundespresseamt deaktiviert würden. Durch die Deaktivierung verändere sich die relevante Datenverarbeitung beim Besuch der „Fanpage“ kaum. Den Betreibern werde lediglich die aus den nach wie vor verarbeiteten Nutzungsdaten generierte Statistik nicht mehr ausgespielt. Bei der Auslegung des Begriffs der gemeinsamen Verantwortlichkeit sei nach einem weiteren Urteil des Gerichtshofs vom 29. Juli 2019 in der Sache „Fashion ID“ insbesondere darauf abzustellen, ob die Beiträge der Verantwortlichen mitursächlich für die Datenverarbeitung seien und ob beide Verantwortlichen von der Datenverarbeitung profitierten. Durch die Eröffnung der „Fanpage“ setze das Bundespresseamt die primäre Ursache, die es der Klägerin zu 2 ermögliche, personenbezogene Daten über die Interaktionen der Besucher mit der jeweiligen „Fanpage“ zu erheben. Das Wissen, dass der Betrieb der „Fanpage“ zum Erheben und Übermitteln personenbezogener Daten an die Klägerin zu 2 diene, genüge für die Annahme einer gemeinsamen Festlegung der Mittel der Verarbeitung. Hinsichtlich einer gemeinsamen Festlegung der Zwecke genüge, dass beide Seiten von den Verarbeitungsvorgängen profitierten. Das Bundespresseamt erhöhe durch das Betreiben der „Fanpage“ seine Reichweite, da es sich die Möglichkeiten und den Netzwerkeffekt von „Facebook“ zunutze mache. Die Klägerin zu 2 profitiere hiervon, weil anhand der dortigen Interaktionen Profile über Besucher der „Fanpage“ angelegt und weiter ausdifferenziert werden könnten, was eine zielgerichtete Adressierung und Ausspielung von Werbebotschaften ermögliche. Die Zwecke ergänzten sich also gegenseitig. Die „Seiten-Insights-Ergänzung“ genüge den Anforderungen an eine vor diesem Hintergrund erforderliche Vereinbarung gemäß Art. 26 Abs. 1 Satz 2 DSGVO nicht, da sie insbesondere die Betreiber von „Fanpages“ nicht in die Lage versetze, ihren Informations- und Nachweispflichten nachzukommen, weil die Verarbeitungstätigkeiten seitens der Klägerin zu 2 nicht hinreichend transparent und konkret dargestellt würden. Für die bei dem Besuch der „Fanpage“ gesetzten „Cookies“, namentlich das „c-user-Cookie“, das „datr-Cookie“ und das „fr-Cookie“, sei § 25 TTDSG anwendbar. Die hiernach bestehende Verpflichtung, eine Einwilligung auf Grundlage klarer und umfassender Informationen einzuholen, treffe das Bundespresseamt als Diensteanbieter des Telemediendienstes „Fanpage“. § 25 TTDSG gelte als dem Wortlaut nach adressatenlos formulierte Verpflichtung zwar nicht ausschließlich für Anbieter von Telemediendiensten, jedoch insbesondere für diese, was bereits die Bezugnahme auf Anbieter eines Telemediendienstes in § 25 Abs. 2 Nr. 2 TTDSG zeige. Das Setzen und Auslesen der genannten und hier allein geprüften „Cookies“ bedürfe der Einwilligung, die insbesondere nicht deshalb gemäß § 25 Abs. 2 Nr. 2 TTDSG entbehrlich sei, weil die Speicherung dieser Informationen unbedingt erforderlich wäre. Jedenfalls die Messung und Analyse von Nutzungsdaten, zu deren Zwecken auch die fraglichen „Cookies“ gesetzt würden, sei nicht dem Basisdienst im Sinne eines Dienstes, der untrennbar für das gesamte Angebot von Bedeutung sei, zuzuordnen. Die Anforderungen an eine wirksame Einwilligung seien nicht erfüllt. Dem Einwilligungsbanner könne nicht eindeutig entnommen werden, dass eine Einwilligung nach § 25 Abs. 1 Satz 1 TTDSG eingeholt werden solle. Auch in der „Cookie-Richtlinie“ finde sich kein Hinweis auf diese Vorschrift. Letztlich bleibe unklar, ob eine Einwilligung gemäß Art. 6 Abs. 1 Satz 1 Buchst. a DSGVO oder nach § 25 Abs. 1 Satz 1 TTDSG eingeholt werden solle. Außerdem seien die auf der ersten Ebene des Einwilligungsbanners ersichtlichen Informationen nicht hinreichend konkret. Es werde zudem nicht ausdrücklich auf die Erstellung und Anreicherung individueller Nutzerprofile und die Datenverarbeitung außerhalb des Europäischen Wirtschaftsraumes hingewiesen. Weiter fehle die Information, für wie viele Produkte der Klägerin zu 2 und Dritter die „Cookies“ verwendet würden. Auch auf das Recht zum jederzeitigen Widerruf werde nicht in der gebotenen Eindeutigkeit hingewiesen. Die Einwilligung sei fernerhin nicht als freiwillig zu bewerten. Das Banner suggeriere mit der Formulierung „Nur erforderliche Cookies erlauben“, dass die Nutzer die erforderlichen „Cookies“ auch nicht erlauben könnten, also eine diesbezügliche Einwilligung verweigern, was nicht der Fall sei. Die Bezeichnung der Schaltflächen lasse nur den Schluss zu, dass die Nutzer keine Möglichkeit hätten, eine Einwilligung in nicht unbedingt erforderliche „Cookies“ zu verweigern. Eine Ablehnungsfunktion sei jedenfalls zwingend erforderlich, wenn Nutzer – wie hier – mit dem Einwilligungsbanner interagieren müssten, um den Besuch der Internetseite fortzusetzen. Des Weiteren werde hinsichtlich der im Banner aufgeführten Zwecke nicht zwischen den erforderlichen und optionalen „Cookies“ differenziert. Es sei nicht erkennbar, welche „Cookies“ für welche Zwecke eingesetzt würden. Es fehle auch eine Zuordnung der „Cookies“ zu den jeweiligen Diensten und Anbietern. Außerdem würden die Nutzer durch sogenanntes „Nudging“ beeinflusst: Die Schaltfläche mit der Beschriftung „Erforderliche und optionale Cookies erlauben“ sei aufgrund der kräftigen, blauen Hintergrundfarbe deutlich auffälliger gestaltet. Die Datenverarbeitung sei auch nicht auf Grundlage des Art. 6 Abs. 1 Unterabs. 1 DSGVO rechtmäßig. Soweit eine Einwilligung nach Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO in Betracht gezogen werden könne, gälten vorstehende Ausführungen entsprechend. Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO gelte für öffentliche Stellen im Rahmen der Öffentlichkeitsarbeit nicht. Soweit Daten zur Anreicherung von Werbeprofilen verarbeitet würden, sei die Verarbeitung auch nicht gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liege. Das Bundespresseamt habe ferner gegen seine Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO verstoßen. Insbesondere habe es keine Rechenschaft über die Rechtmäßigkeit der Datenverarbeitungen abgelegt. Die Verarbeitungen seien auch nicht von dem Zweck der Öffentlichkeitsarbeit gedeckt. Dem Grundsatz der Datenminimierung sei angesichts der Erstellung von „Insights“ nicht genügt. Auch die Einhaltung des Grundsatzes der Speicherbegrenzung sei nicht nachgewiesen. Dies trage die ausgesprochenen Verwarnungen. Die Entscheidung werde im pflichtgemäßen Ermessen getroffen, sei insbesondere verhältnismäßig. Eine Anweisung nach Art. 58 Abs. 2 Buchst. d DSGVO sei nicht zielführend. Aufgrund des begrenzten Einflusses des Bundespresseamts auf die durch die Klägerin zu 2 erfolgende Datenverarbeitung sei ihm keine Veränderung der Verarbeitungstätigkeit möglich, die einen datenschutzkonformen Betrieb der „Fanpage“ ermöglichte. Dem Erlass der Verfügung stehe auch nicht entgegen, dass das Bundespresseamt eine Informationspflicht gegenüber der Öffentlichkeit habe. Verstoße das Mittel zur Erfüllung dieser Pflicht mit dem Betrieb einer „Fanpage“ gegen geltendes Recht, sei es hierzu ungeeignet. „Facebook“ sei dabei bloß ein Kanal von vielen, wenngleich ein wichtiger. Außerdem habe das Bundespresseamt als öffentliche Stelle eine Vorbildfunktion. Hinsichtlich der Verwarnungen sei hilfsweise zu betonen, dass die Abschaltung der „Insights“ erst zum 7. April 2022 wirksam geworden sei. Auf den Zeitraum vom 25. Mai 2018 bis zum 7. April 2022 habe dies keine Auswirkungen. Der Klägerin zu 2 wurde der Bescheid nicht gesondert bekanntgegeben. Die Klägerin zu 1 hat am 16. März 2023 Klage erhoben. Die Klägerin zu 2 hat am 22. März 2023 in dem Verfahren 13 K 1515/23 Klage erhoben. Das Gericht hat mit Beschluss vom 8. November 2023 die Verfahren zur gemeinsamen Verhandlung und Entscheidung verbunden. Die Klägerinnen tragen vor: Die Klagen seien zulässig. Die Klägerin zu 1 sei klagebefugt. Auch juristischen Personen des öffentlichen Rechts stehe nach Art. 78 Abs. 1 DSGVO das Recht auf einen wirksamen gerichtlichen Rechtsbehelf zu. Untersagungsverfügung und Verwarnungen seien Beschlüsse einer Aufsichtsbehörde im Sinne der Vorschrift. Die Klägerin zu 2 sei ebenfalls klagebefugt. Die Einstellungsanordnung könne sie in ihrem Grundrecht auf unternehmerische Freiheit aus Art. 16 der Charta der Grundrechte der Europäischen Union vom 12. Dezember 2007 (ABl. C 303 Seite 1) – Grundrechtecharta (GRC) – und in ihrem Eigentumsrecht aus Art. 17 GRC verletzen, ferner ihrer Berufsfreiheit aus Art. 12 des Grundgesetzes für die Bundesrepublik Deutschland (GG) und in ihrer Dienstleistungsfreiheit aus Art. 56 des Vertrages über die Arbeitsweise der Europäischen Union in der Fassung vom 9. Mai 2008 (ABl. C 115 Seite 47) – EU-Arbeitsweisevertrag (AEUV) – sowie in ihrem Recht auf freien Verkehr personenbezogener Daten aus Art. 1 Abs. 3 DSGVO. Die Klagen seien auch begründet. Hinsichtlich der Untersagung der mit dem Setzen und Auslesen von „Cookies“ verbundenen Datenverarbeitungen sei die Beklagte bereits unzuständig. § 29 Abs. 2 TTDSG setze voraus, dass die Speicherung oder der Zugriff durch öffentliche Stellen des Bundes erfolge. Hier erfolgten Speicherung und Zugriff nicht durch die Klägerin zu 1, sondern allein durch die Klägerin zu 2 und damit nicht durch eine öffentliche Stelle des Bundes. Die Klägerin zu 1 speichere keinerlei Informationen in den Endeinrichtungen der Nutzer und greife hierauf auch nicht zu. Die „Cookies“ seien nicht speziell auf bestimmte „Facebook“-Seiten zugeschnitten und die Klägerin zu 1 habe keinen Zugriff auf diese Informationen. Verstehe man § 29 Abs. 2 TTDSG mit der Beklagten – entgegen dem eindeutigen Wortlaut der Vorschrift – dahin, dass die Vorschrift sämtliche Datenverarbeitungsvorgänge und nicht nur die Speicherung von und den Zugriff auf Informationen in einer Endeinrichtung erfasse, sei sie erst recht, nämlich auch für alle weiteren Datenverarbeitungsvorgänge, unzuständig. Die Beklagte könne ihre Zuständigkeit im Hinblick auf das Setzen und Auslesen von „Cookies“ auch nicht auf § 9 Abs. 1 BDSG stützen. Die Regelungen des § 29 Abs. 2 und § 25 TTDSG knüpften an die Vornahme bestimmter Handlungen an und nicht an die Rolle des Verantwortlichen im Sinne der Datenschutzgrundverordnung. Das Konzept einer gemeinsamen Verantwortlichkeit sei dem Telekommunikation-Telemedien-Datenschutz-Gesetz und der e-Privacy-Richtlinie fremd. Die Beklagte sei auch für den Erlass eines unmittelbar auf Art. 58 Abs. 2 Buchst. f DSGVO gestützten Datenverarbeitungsverbots nach den Vorschriften der Datenschutzgrundverordnung nicht zuständig, weil nach dem in Art. 56 Abs. 1 DSGVO verankerten „One-Stop-Shop“-Prinzip die Zuständigkeit für die Überwachung grenzüberschreitender Datenverarbeitungen bei der federführenden Aufsichtsbehörde liege. Die Befugnisse anderer Aufsichtsbehörden würden hierdurch begrenzt. Selbst bei unterstellter gemeinsamer Verantwortlichkeit der Klägerinnen für die streitbefangenen Datenverarbeitungen sei nach diesen Maßgaben die irische Datenschutzbehörde, die Data Protection Commission, allein zuständig. Die Klägerinnen hätten mit der „Insights“-Ergänzungsvereinbarung festgelegt, dass im Hinblick auf die streitgegenständlichen Datenverarbeitungen ausschließlich die Klägerin zu 2 die datenschutzrechtlichen Verpflichtungen zu erfüllen habe. Eine solche Vereinbarung sei nach Art. 26 Abs. 1 Satz 2 DSGVO zulässig und geboten. Die Klägerin zu 1 sei vor Erlass des angefochtenen Bescheides ferner nicht ordnungsgemäß angehört worden. Die Behörde müsse das Vorbringen des Beteiligten ernsthaft in Erwägung ziehen und spätestens im Rahmen der Begründung der Entscheidung darauf eingehen. Dies lasse der vorliegende Bescheid nicht erkennen. Die Anhörung sei auch im verwaltungsgerichtlichen Verfahren nicht nachgeholt worden. Die Beklagte beschränke sich auf eine bloße Verteidigung ihres Verwaltungsaktes und habe keine Bereitschaft signalisiert, ihre Entscheidung kritisch zu überdenken. Desgleichen habe die Klägerin zu 2 vor Erlass des angefochtenen Bescheides angehört werden müssen. Ihr Recht auf Anhörung folge aus der Grundrechtecharta. Die Einstellungsanordnung habe spürbare Nachteile für die Klägerin zu 2 zur Folge. Des Weiteren habe die Klägerin zu 2 im Verwaltungsverfahren beteiligt werden müssen. Die Verfügung habe rechtsgestaltende Wirkung für die Klägerin zu 2, weil die angeordnete Einstellung des Betriebs der „Fanpage“ eine Beendigung des zwischen den Klägerinnen geschlossenen Nutzungsvertrages zur Folge haben werde. Außerdem habe die Beklagte das Verfahren der Zusammenarbeit gemäß Art. 60 Abs. 1, 3, Art. 57 Abs. 1 Buchst. g DSGVO missachtet. Die Data Protection Commission sei auch bei gemeinsamer Verantwortlichkeit der Klägerinnen federführende Aufsichtsbehörde und im Verwaltungsverfahren zu beteiligen gewesen. Die Beklagte habe unter Verstoß gegen den Amtsermittlungsgrundsatz des Weiteren den maßgeblichen Sachverhalt nicht hinreichend ermittelt. Insbesondere habe sie versäumt, die Klägerin zu 2 im Verwaltungsverfahren um eine Stellungnahme zu ersuchen. Deshalb habe sie verkannt, dass die Funktion „Bevorzugte Seitenzielgruppe“ nicht mehr existiere, dass das „datr“-Cookie auch für registrierte und angemeldete Nutzer verwendet werde, dass es zudem die Sicherheit des „Facebook“-Dienstes gewährleiste und schließlich, dass die Klägerin zu 2 unterschiedliche Versionen des Einwilligungsbanners verwende. In materieller Hinsicht liege kein Verstoß gegen § 25 TTDSG vor. Die Vorschrift adressiere die Klägerin zu 1 nicht. Sie knüpfe unmittelbar an die Vornahme bestimmter Handlungen an, nämlich die Speicherung von und den Zugriff auf Informationen in der Endeinrichtung des Endnutzers. Entscheidend sei, wer tatsächlich den Speicher- und Auslesevorgang durchführe. Unerheblich sei demgegenüber, ob die Klägerin zu 1 als Anbieterin von Telemediendiensten zu qualifizieren sei. Das sei im Übrigen nicht der Fall, weil sie lediglich als Nutzerin eines von der Klägerin zu 2 erbrachten Dienstes auftrete. Ihr Einfluss auf die Datenverarbeitungen gehe über den Einfluss sonstiger Nutzer nicht hinaus. Die Regelung des § 25 TTDSG gelte zudem auch nicht insbesondere für solche Anbieter. Das folge namentlich nicht aus § 25 Abs. 2 Nr. 2 TTDSG, der lediglich Telemedienanbieter gegenüber anderen Adressaten privilegiere. Auch aus der e-Privacy-Richtlinie ergebe sich nichts anderes. Der intendierte Schutz des Rechts auf Privatsphäre werde durch eine Vorschrift gewährleistet, die sich an jedermann richte, der „Cookies“ auf dem Endgerät eines Endnutzers speichere oder dort bereits gespeicherte „Cookies“ auslese. Unabhängig davon erweise sich das Setzen und Auslesen der „Cookies“ durch die Klägerin zu 2 als rechtmäßig. Hinsichtlich des „c-user-Cookies“ und des „datr-Cookies“ greife, soweit deren Platzierung für die Bereitstellung des Basisdienstes erforderlich sei, bereits die Ausnahme von dem Einwilligungserfordernis gemäß § 25 Abs. 2 Nr. 2 TTDSIreland Dabei sei das multimediale Onlineangebot als Ganzes zu beurteilen. Die Speicherung des „c-user-Cookies“ und des „datr-Cookies“ und der Zugriff hierauf sei unbedingt erforderlich, damit die Klägerin zu 2 den „Facebook“-Dienst in seiner maßgeblichen Gesamtheit bereitstellen könne. Ohne Platzierung des „c-user-Cookies“ müsse sich der Nutzer bei dem Besuch einer neuen Seite stets erneut anmelden. Das „datr-Cookie“ setze die Klägerin zu 2 ein, um die Sicherheit des Netzwerks zu gewährleisten. Sicherheitsrelevante „Cookies“ seien ein unverzichtbares Element des „Facebook“-Dienstes. Auch entspreche das Einwilligungsbanner den gesetzlichen Anforderungen. Das Banner informiere bereits auf der ersten Ebene hinreichend konkret über die Zwecke, für welche die „Cookies“ und ähnliche Technologien verwendet würden. Unter dem Menüpunkt „Weitere Informationen“ werde dies umfassender dargestellt. Die Beschriftung der Schaltflächen verdeutliche, dass nur die wiedergegebenen und keine anderen Wahlmöglichkeiten bestünden. Eine ausdrückliche Ablehnungsfunktion sei rechtlich nicht vorgeschrieben und erweise sich vorliegend zudem als missverständlich, weil eine reine Ablehnungsmöglichkeit den unzutreffenden Eindruck erwecken könne, dass der Besuch der Internetseite ganz ohne das Setzen von „Cookies“ fortgesetzt werden könne. Auch die farbliche Gestaltung der Schaltflächen sei nicht zu beanstanden. Sie greife die Designfarben der Klägerin zu 2 auf. Die Schrift sei gleichgroß und mit gleichem Kontrast hervorgehoben. Es werde auch ausdrücklich auf das Recht zum jederzeitigen Widerruf hingewiesen. Die Ausgestaltung über einen Link sei zulässig. Sofern die Beklagte die – indes erforderliche – Speicherdauer des „datr-Cookies“ und die Gestaltung des Einwilligungsbanners moniere, seien im Übrigen diesbezügliche Rechtsverletzungen jedenfalls nicht derart schwerwiegend, dass damit ein Verbot des Betriebs der „Fanpage“ gerechtfertigt werde, das nur als ultima ratio in Betracht komme. Im Hinblick auf die gerügten Verstöße gegen die Datenschutzgrundverordnung sei der Bescheid bereits insofern nicht hinreichend bestimmt, als die Klägerin zu 1 nicht erkennen könne, für welche Verarbeitungen personenbezogener Daten sie als Verantwortliche in Anspruch genommen werden solle. Wer jeweils Verantwortlicher sei, müsse spezifisch für jede einzelne Verarbeitung bestimmt werden. Die Reichweite der Verantwortlichkeit sei in Abhängigkeit von dem konkret ablaufenden Datenverarbeitungsvorgang zu beurteilen. Aus dem Bescheid gehe nicht hervor, für welche konkrete Verarbeitung die Beklagte die Klägerin zu 1 für verantwortlich halte. Im Ergebnis lasse die Beklagte dies offen. Der Tenor des Bescheides lasse dementsprechend nicht erkennen, welche konkreten Verarbeitungen personenbezogener Daten der Klägerin zu 1 verboten werden sollten. Dessen unbeschadet sei die Klägerin zu 1 für keine Verarbeitung personenbezogener Daten durch die Klägerin zu 2 verantwortlich. Hinsichtlich des Setzens und Auslesens von „Cookies“ komme eine datenschutzrechtliche Verantwortlichkeit bereits deshalb nicht in Betracht, weil der insoweit speziellere § 25 TTDSG einen Rückgriff auf die Datenschutzgrundverordnung sperre. Dies ergebe sich aus der Kollisionsregel des Art. 95 DSGVO. Als Umsetzung von Art. 5 Abs. 3 e-Privacy-Richtlinie verfolge § 25 TTDSG dasselbe Ziel wie die Vorschriften der Datenschutzgrundverordnung, nämlich den Schutz der Privatsphäre und damit den Schutz der personenbezogenen Daten der Nutzer der Endgeräte. Selbst wenn man nicht von einer solchen Sperrwirkung ausgehe, sei die Klägerin zu 1 nicht gemeinsam mit der Klägerin zu 2 für das Setzen und Auslesen von „Cookies“ verantwortlich. Soweit die Beklagte sich auf die Entscheidung des Gerichtshofs in der Sache „Wirtschaftsakademie“ sowie die nachfolgenden Urteile des Bundesverwaltungsgerichts und des Oberverwaltungsgerichts Schleswig-Holstein beziehe, sei dort eine gemeinsame Verantwortlichkeit der Betreiber der „Fanpages“ und der Klägerin zu 2 allein deshalb angenommen worden, weil die Datenverarbeitung in Form der Erstellung und Bereitstellung der „Insights“-Statistiken auch im eigenen wirtschaftlichen und damit im mit der Klägerin zu 2 gemeinsamen Interesse des Betreibers erfolgt sei. Maßgebliches Kriterium des Gerichtshofs sei dabei gerade der Zugriff des Betreibers auf die Ergebnisse der Datenverarbeitung gewesen. Jedenfalls mit der Abschaltung der „Insights“-Funktion sei der tragende Grund einer gemeinsamen Verantwortlichkeit angesichts dessen entfallen. Die Klägerin zu 1 könne die Ergebnisse der Datenverarbeitung nicht nutzen und hiervon in keiner Weise profitieren. Erst recht bestehe keine gemeinsame Verantwortlichkeit der Klägerinnen für die Datenverarbeitungen über die Erstellung von „Seiten-Insights“ hinaus. Erforderlich für eine gemeinsame Verantwortlichkeit sei, dass die Datenverarbeitung entscheidend beeinflusst und im Ergebnis an der Entscheidung über – kumulativ – die Zwecke und Mittel dieser Verarbeitung mitgewirkt, also ein wesentlicher Beitrag zu der Datenverarbeitung geleistet werde. Es genüge nicht, wenn der jeweils eigene Nutzen gemeinschaftlich angestrebt werde. Zwecke und Mittel der Datenverarbeitungen bestimme allein die Klägerin zu 2. Das Setzen und Auslesen von „Cookies“ sei nicht individuell auf bestimmte „Facebook“-Seiten zugeschnitten. Insoweit zutreffend stelle die Beklagte fest, dass die Klägerin zu 1 keine Veränderung der Verarbeitungstätigkeit herbeiführen könne. Der Gerichtshof, das Bundesverwaltungsgericht und das Oberverwaltungsgericht Schleswig-Holstein hätten, dem folgend, abseits der Erstellung von „Insights“-Statistiken, keine gemeinsame Zweckfestlegung festgestellt. Dies müsse erst recht für die Klägerin zu 1 gelten, die – anders als die Betreiber in den entschiedenen Fällen – keine wirtschaftlichen Interessen verfolge, sondern ihren verfassungsrechtlichen Informationsauftrag erfülle. Der Gerichtshof hebe dagegen auch in seinem Urteil in der Sache „Fashion ID“ die gemeinsame Verfolgung wirtschaftlicher Interessen hervor. Von einer Identität der verfolgten Zwecke könne nur abgesehen werden, wenn diese sich wechselseitig ergänzten. Das Allgemeininteresse an der Erfüllung des verfassungsrechtlichen Informationsauftrags der Klägerin zu 1 stehe dagegen in keinerlei Bezug zu den rein wirtschaftlichen Interessen der Klägerin zu 2. Darüber hinaus legten die Klägerinnen auch die Mittel der Datenverarbeitungen nicht gemeinsam fest. Die Klägerin zu 1 nehme keinerlei Einfluss auf das Setzen und Auslesen der „Cookies“. Die bloße Kausalität des Betriebes der „Fanpage“ genüge für sich genommen als lediglich eines der im Rahmen der erforderlichen, wertenden Gesamtschau zu berücksichtigenden Kriterien nicht. Die Klägerin zu 1 setze entgegen der Annahme der Beklagten nicht die primäre Ursache für das Setzen und Auslesen der „Cookies“. Bei registrierten Nutzern würden bei der Registrierung und aufgrund der wiederholten, anderweitigen Nutzung von „Facebook“ die „Cookies“ bereits gesetzt und ausgelesen, also schon bevor sie erstmalig die „Fanpage“ der Bundesregierung besuchten. Auch bei nicht registrierten Nutzern werde in den seltensten Fällen die „Fanpage“ der Bundesregierung der erste Kontakt mit „Facebook“ sein. Also übe die Klägerin zu 1 mit dem bloßen Betrieb der „Facebook“-Seite keinen entscheidenden, inhaltlichen Einfluss auf die Datenverarbeitung aus. Jedenfalls setze die Klägerin zu 1 die „Cookies“ nicht eigenverantwortlich. Entscheide die Klägerin zu 1 sich gegen das Angebot der Klägerin zu 2, könnten solche Bürger, die zumindest weitgehend „Facebook“ als Informationsquelle nutzten, nicht mehr über die Arbeit der Bundesregierung informiert werden. Die Klägerin zu 1 sei auch für dem Setzen und Auslesen von „Cookies“ nachgelagerte Datenverarbeitungen nicht mit der Klägerin zu 2 gemeinsam verantwortlich. Es erfolge auch diesbezüglich keine gemeinsame Festlegung der Zwecke. So habe der Gerichtshof in seinem Urteil in der Sache „Fashion ID“ ausgeführt, dass bereits auf den ersten Blick auszuschließen sei, dass dieses Unternehmen über Zwecke und Mittel der Vorgänge der Verarbeitung personenbezogener Daten entscheide, die die Klägerin zu 2 nach der Übermittlung dieser Daten an sie vornehme, und das Oberverwaltungsgericht Schleswig-Holstein in seinem Urteil desgleichen eine gemeinsame Verantwortlichkeit für nachgelagerte Datenverarbeitungen verneint. Diese Überlegungen seien übertragbar. Die Klägerin zu 1 habe auch kein Interesse an einem „Netzwerkeffekt“. Sie habe kein Interesse an einer Steigerung der Anzahl der Nutzer, die ihre „Fanpage“ besuchten. Der „Netzwerkeffekt“ sei aus ihrer Sicht lediglich Reflex der Nutzung der Plattform. Der Klägerin zu 1 komme es allein darauf an, ihren Informationsauftrag zu erfüllen. Ebenso wenig gehe es ihr um Kostenfreiheit. Die Klägerinnen legten auch die Mittel der nachgelagerten Datenverarbeitungen nicht gemeinsam fest. Insofern die Beklagte darauf abhebe, dass aufgrund der Profilbildung die „Fanpage“ auch anderen Nutzern, die sie bislang nicht besucht hätten, vorgeschlagen werde, sei die seit dem Jahre 2017 nicht mehr verfügbare Funktion „Bevorzugte Seitenzielgruppe“ angesprochen. Vor diesem Hintergrund seien die Klägerinnen auch nicht zum Abschluss einer Vereinbarung nach Art. 26 Abs. 1 Satz 2 DSGVO verpflichtet. Ein Verstoß gegen diese Vorschrift führe dessen unbeschadet nicht zur Rechtswidrigkeit der Datenverarbeitung. Außerdem genüge die „Insights“-Ergänzungsvereinbarung den Anforderungen der Vorschrift. Insbesondere müssten Vereinbarungen hiernach keine Verpflichtungen vorsehen, die für sich genommen im Rahmen der gemeinsamen Verantwortlichkeit keine Bedeutung hätten. Sie müssten auch nicht die spezifischen Rechtsgrundlagen der Datenverarbeitungen enthalten oder die individuellen Zwecke der Datenverarbeitungen erläutern. Die „Insights“-Ergänzungsvereinbarung informiere hinreichend über Umfang und Zwecke der Datenverarbeitung. Insbesondere regle sie die Zuweisung und Erfüllung der einzelnen Pflichten nach der Datenschutzgrundverordnung, die Wahrung der Rechte der betroffenen Personen und spezifische Sicherheitsmaßnahmen. Dabei müssten betroffene Personen lediglich über das Wesentliche der Vereinbarung informiert werden. Die Verwarnung wegen Verstoßes gegen die Rechenschaftspflicht sei ebenfalls rechtswidrig. Mangels Verantwortlichkeit treffe die Klägerin zu 1 keine Rechenschaftspflicht. Dies gelte auch im Zeitraum vor der Abschaltung der „Insights“-Funktion im April 2022. Auch im Hinblick auf die Datenverarbeitungen im Zusammenhang mit den „Insights“ hätten die Klägerinnen nicht denselben oder einen gemeinsamen Zweck verfolgt. Das Interesse der Klägerin zu 1 habe sich auch vor der Abschaltung der Funktion lediglich auf die Zurverfügungstellung einer Infrastruktur durch die Klägerin zu 2 bezogen. Es sei ihr allein darum gegangen, ihren Informationsauftrag zu erfüllen. Dieses öffentliche Interesse sei in keiner Weise vergleichbar mit den kommerziellen Interessen privater Akteure. Die Klägerinnen hätten auch die Mittel der Datenverarbeitungen im Zusammenhang mit den „Insights“-Statistiken nicht gemeinsam festgelegt. Dies ergebe sich insbesondere daraus, dass die Klägerin zu 1 auf die Erstellung der Statistiken keinen Einfluss habe nehmen können. Eine sogenannte Parametrierung, mittels welcher der „Fanpage“-Betreiber die Kriterien festlegen könne, nach denen die Klägerin zu 2 die Statistiken mit Blick auf die individuellen Interessen der Betreiber erstelle, habe es im Hinblick auf die von der Klägerin zu 1 betriebene „Fanpage“ zu keinem Zeitpunkt gegeben. Hierauf habe der Gerichtshof in der Sache „Wirtschaftsakademie“ aber maßgeblich abgestellt. Unabhängig davon liege auch kein fahrlässiges Verhalten der Klägerin zu 1 vor. Rechtswidrig sei ebenso die Verwarnung wegen Verstoßes gegen § 25 TTDSIreland Ein solcher liege nicht vor. Desgleichen rechtswidrig sei die Verwarnung wegen Verstoßes gegen Art. 5 Abs. 1 Buchst. a in Verbindung mit Art. 6 Abs. 1 DSGVO. Die Klägerin zu 1 übermittle keine Daten an die Klägerin zu 2. Zudem sei der Bescheid auch insofern unbestimmt, weil nicht klar werde, für welche konkreten Verarbeitungen die Klägerin zu 1 nach Ansicht der Beklagten einer Rechtsgrundlage bedürfe. Überdies sei die Klägerin zu 1 für die Datenverarbeitungen nie verantwortlich gewesen. Der Bescheid sei außerdem ermessensfehlerhaft. Zum einen habe die Beklagte ihr Auswahlermessen hinsichtlich des Adressaten ihres Bescheides fehlerhaft ausgeübt. Die Maßnahme sei gegen denjenigen Verantwortlichen zu richten gewesen, der den Rechtsverstoß am wirksamsten beseitigen könne. Dies sei die Klägerin zu 2 und nicht die Klägerin zu 1. Eine Deaktivierung der „Fanpage“ des Bundespresseamtes werde an den beanstandeten Datenverarbeitungen nichts ändern, jedenfalls keinen spürbaren Beitrag für den Datenschutz leisten. Der Beklagten sei es im Hinblick auf die in der Datenschutzgrundverordnung geregelte Zusammenarbeit der betroffenen Aufsichtsbehörden nicht nur möglich gewesen, die irische Datenschutzkommission als federführende Aufsichtsbehörde um ein Einschreiten gegen die Klägerin zu 2 zu ersuchen; dies sei vielmehr auch geboten gewesen. Schließlich verstoße der Bescheid gegen den Grundsatz der Verhältnismäßigkeit. Zweifelhaft sei bereits, ob ein nicht abgestimmtes Vorgehen einer einzelnen nationalen Datenschutzbehörde gegen eine einzelne „Fanpage“-Betreiberin einen legitimen Zweck verfolge. Jedenfalls sei ein unmittelbares Vorgehen gegen die Klägerin zu 2 ein geeigneteres und effektiveres Mittel. Insbesondere habe die Beklagte aber versäumt, Zweck und Mittel in Relation zueinander zu setzen. Mit der Untersagung des Betriebs der „Fanpage“ gehe eine erhebliche Beeinträchtigung der Erfüllung des verfassungsrechtlich im Demokratieprinzip verankerten Informationsauftrags der Klägerin zu 1 einher. Demgegenüber werde eine Verwirklichung des Rechts auf den Schutz personenbezogener Daten allenfalls symbolisch gefördert. Die Datenverarbeitungen blieben von der Abschaltung der „Fanpage“ weitestgehend unangetastet. Die Untersagungsverfügung verletze auch die Klägerin zu 2 in ihren Rechten. Bereits die Zuständigkeitsregelungen der Datenschutzgrundverordnung schützten gerade auch die Grundrechte und -freiheiten der Klägerin zu 2 als jedenfalls Mitverantwortliche für die streitgegenständliche Datenverarbeitung. Gleiches gelte für die Verletzung der Zuständigkeitsregelung nach der e-Privacy-Richtlinie. Die Verletzung der Pflicht zur Anhörung der Klägerin zu 2 verletze sie in ihrem Recht auf rechtliches Gehör. Darüber hinaus verletze die Einstellungsanordnung die Klägerin zu 2 in ihrer Berufsfreiheit aus Art. 12 GIreland Die Beklagte verfolge die Einstellungsanordnung als „Musterfall“ und ziele letztlich darauf ab, jede Nutzung von „Facebook“-Seiten durch Behörden und sogar darüber hinaus zu verhindern. Dies sei mit einer unmittelbar an die Klägerin zu 2 gerichteten Untersagungsverfügung zu vergleichen. Die berufliche Tätigkeit der Klägerin zu 2 sei gerade Bezugspunkt und Anlass für die Einstellungsanordnung. Aus denselben Gründen verletze die Einstellungsanordnung die Klägerin zu 2 in ihrem Grundrecht auf unternehmerische Freiheit aus Art. 16 GRC und ihrer Eigentumsfreiheit aus Art. 17 GRC. Gleichzeitig verletze die Untersagungsverfügung sie in ihrer Dienstleistungsfreiheit aus Art. 56 AEUV. Die Klägerinnen beantragen jeweils, den Bescheid der Beklagten vom 17. Februar 2023 aufzuheben. Die Beklagte beantragt, die Klagen abzuweisen. Sie trägt vor: Die Klagen seien bereits unzulässig. Die Klägerin zu 1 sei nicht klagebefugt. Zwischen verschiedenen Behörden bestünden keine subjektiv-öffentlichen Rechte. Die Klägerin zu 1 könne sich auch nicht ausnahmsweise auf Grundrechte oder grundrechtsgleiche Rechte berufen. Sie befinde sich nicht in einer grundrechtstypischen Gefährdungslage und hinter ihr stünden keine natürlichen Personen, auf die zur Verwirklichung ihrer Grundrechte durchzugreifen wäre. Auch einfachgesetzlich fehle es an wehrfähigen Positionen der Klägerin zu 1. Aus ihr zugewiesenen Kompetenzen ließen sich keine Rechte ableiten. Ebenso sei die Klägerin zu 2 nicht klagebefugt. Sie könne nicht die mögliche Verletzung eines drittschützenden, subjektiv-öffentlichen Rechts geltend machen. Da sie weltweit circa drei Milliarden Nutzer zähle, komme es auf den Verlust einer einzelnen „Fanpage“ bei Befolgung der angefochtenen Verfügung für ihren wirtschaftlichen Erfolg nicht an. Die Klagen seien außerdem unbegründet. Der angefochtene Bescheid sei rechtmäßig. Die Beklagte sei sowohl hinsichtlich des Setzens und Auslesens von „Cookies“ als auch für die anschließende Profilbildung, Auswertung und Nutzung der Daten zuständige Aufsichtsbehörde. Dies ergebe sich aus § 29 Abs. 2 TTDSG sowie im Übrigen aus § 9 Abs. 1 BDSIreland Soweit die Klägerinnen die Beklagte für unzuständig hielten, weil die Voraussetzungen des § 25 TTDSG nicht vorlägen, enthalte diese Vorschrift als materiell-rechtliche Befugnisnorm keine Aussage über die Zuständigkeit der Aufsichtsbehörde. Der maßgebliche § 29 Abs. 2 TTDSG sei europarechtskonform dahingehend auszulegen, dass er sämtliche Datenverarbeitungsvorgänge erfasse und nicht nur die Speicherung von und den Zugriff auf Informationen in einer Endeinrichtung. Die Datenschutzgrundverordnung fasse die Begriffe „Speichern“ und „Zugriff“ als Unterfälle der „Verarbeitung“ von Daten zusammen. Datenverarbeitung meine aber jeden Vorgang, der irgendwie im Zusammenhang mit personenbezogenen Daten stehe. Diese Interpretation sei auch § 29 Abs. 2 TTDSG zugrunde zu legen. Ansonsten würden darüber hinaus unterschiedliche Zuständigkeiten begründet. Die Beklagte dürfe sonst lediglich Speicherung von und Zugriff auf Informationen regulieren. In allen anderen Fällen werde dagegen die Aufsicht bei den Ländern liegen, soweit sich die Zuständigkeit der Beklagten nicht aus § 9 Abs. 1 BDSG ergebe, was allerdings der Fall sei. Eine – wiewohl angesichts dessen nicht eintretende – Differenzierung im Hinblick auf unterschiedliche Verarbeitungsphasen, widerspreche der europäischen, datenschutzrechtlichen Systematik und der Intention des nationalen Gesetzgebers. Die Gesetzesbegründung weise ausdrücklich darauf hin, dass Zugriff auf Endeinrichtungen und Verarbeitung personenbezogener Daten als einheitlicher Lebenssachverhalt einheitlich beaufsichtigt werden sollten. Jedenfalls ergebe die Zuständigkeit der Beklagten sich aus § 9 Abs. 1 Satz 1 BDSIreland Die Klägerin zu 1 sei des Weiteren ordnungsgemäß angehört worden. Sie habe sich vielmals schriftlich und mündlich äußern können. Diese Äußerungen seien von der Beklagten auch gewürdigt und in die Entscheidung einbezogen worden. Jedenfalls sei eine Anhörung im Rahmen des verwaltungsgerichtlichen Verfahrens nachgeholt worden. Die Beklagte habe die Ausführungen aus der Klagebegründung zur Kenntnis genommen, gewertet und in der Klageerwiderung sowie späteren Schriftsätzen bearbeitet. Die Klägerin zu 2 sei nicht anzuhören gewesen. Sie sei zurecht im Verwaltungsverfahren nicht hinzugezogen worden. Die Voraussetzungen der Beteiligung der Klägerin zu 2 hätten nicht vorgelegen. Es werde nicht, wie für eine notwendige Hinzuziehung erforderlich, unmittelbar und zielgerichtet in ihre Rechte eingegriffen. Der Klägerin zu 2 sei es weiterhin rechtlich und tatsächlich möglich, „Fanpages“ anzubieten. Auch die Voraussetzungen einer einfachen Hinzuziehung hätten nicht vorgelegen, weil der angefochtene Bescheid nicht geeignet gewesen sei, auch nur mittelbar die Interessen der Klägerin zu 2 zu berühren. Auch Anhörungsmängel zulasten der Klägerin zu 2 seien jedenfalls im Rahmen des Klageverfahrens geheilt worden. In materieller Hinsicht verstoße die Klägerin zu 1 gegen § 25 TTDSG, indem sie die „Fanpage“ betreibe und damit der Klägerin zu 2 ermögliche, „Cookies“ zu platzieren und auszulesen, ohne dass es hierfür eine Rechtsgrundlage gebe. Die Klägerin zu 1 sei Adressatin der Vorschrift. Zur Feststellung der Verantwortlichkeit für das Setzen und Auslesen von „Cookies“ sei auf die Regelung zur gemeinsamen Verantwortlichkeit aus Art. 26 Abs. 1 Satz 1 DSGVO zurückzugreifen. Die Klägerinnen seien für sämtliche Datenverarbeitungen im Zusammenhang mit dem Betrieb der „Fanpage“, die als einheitliche Verarbeitung aufzufassen seien, gemäß Art. 26 Abs. 1 Satz 1 DSGVO gemeinsam verantwortlich. Selbst wenn man das Setzen und Auslesen von „Cookies“ von nachgelagerten Verarbeitungsschritten getrennt betrachten wolle, seien die Klägerinnen auch für diese gemeinsam verantwortlich. Sie bestimmten gemeinsam über Mittel und Zwecke der Verarbeitung. Dabei reiche bereits die Entscheidungsbefugnis hinsichtlich eines Kriteriums aus. Die Klägerinnen legten gemeinsam die Zwecke der Verarbeitung fest. Es genüge, wenn ein jeweils eigener Nutzen gemeinschaftlich angestrebt werde. Die Klägerin zu 1 nutze die „Community“ der Klägerin zu 2 für ihre Zwecke der Kommunikation mit Bürgern, während die Zwecke der Klägerin zu 2 vor allem auf möglichst hohe Werbeeinkünfte und Beeinflussung der Nutzer ausgerichtet seien. Die gemeinsame Nutzung der „Fanpage“ in Kooperation, um eine möglichst große Reichweite zu erzielen, teilten die Klägerinnen als Zweck. Daran ändere es nichts, dass die Klägerin zu 1 keine anonymisierten Statistiken mehr erhalte. In jedem Fall erhalte sie Informationen über Nutzer und ihr Nutzungsverhalten durch deren Interaktionen. Die Klägerinnen bestimmten auch gemeinsam die Mittel der Datenverarbeitungen. Es genüge, dass einzelne Mitverantwortliche auch nur kleine Teilaspekte der Datenverarbeitung mitbestimmten. Eine Stelle, die beschließe, die durch eine andere Stelle bereitgestellten Mittel zu nutzen – wie die Klägerin zu 1 mit der Eröffnung einer „Fanpage“ in dem sozialen Netzwerk der Klägerin zu 2 – beteilige sich an der Festlegung der Mittel für die Verarbeitung. Denn ohne die Erstellung der „Fanpage“ finde keine Verarbeitung der Daten der Nutzer statt. Die kausale Ermöglichung einer Datenverarbeitung sei wichtigster Anknüpfungspunkt für die Annahme einer gemeinsamen Verantwortlichkeit. Die „Insights“-Ergänzungsvereinbarung genüge nicht den Anforderungen an eine angesichts der gemeinsamen Verantwortlichkeit der Klägerinnen gemäß Art. 26 Abs. 1 Satz 2 DSGVO zu schließende Vereinbarung. Dort sei ausgeführt, dass nur „unter Umständen“ eine gemeinsame Verantwortlichkeit gegeben sei. Diese liege indes vor. Zudem werde hinsichtlich der Rechtsgrundlagen pauschal auf die Datenrichtlinie der Klägerin zu 2 verwiesen. Es müssten jedoch konkrete Rechtsgrundlagen angegeben werden. Selbst wenn man die Regelungen zur gemeinsamen Verantwortlichkeit im Rahmen des § 25 TTDSG zur Bestimmung des Regelungsadressaten nicht heranziehen wolle, gehöre die Klägerin zu 1 hierzu. Adressaten des § 25 TTDSG seien insbesondere Anbieter von Telemedien oder Telekommunikationsdiensten, die Informationen auf Endeinrichtungen von Endnutzern speichern oder auf solche zugreifen. Die Klägerin zu 1 ermögliche der Klägerin zu 2 das Platzieren und Auslesen von „Cookies“ und sei deshalb für die Einhaltung des § 25 TTDSG verantwortlich. Darauf, wer tatsächlich den Speicher- oder Auslesevorgang durchführe, komme es nicht an. So verweise auch § 25 Abs. 2 Nr. 2 TTDSG ausdrücklich auf Anbieter von Telemedien. Zudem würden ansonsten auch die Konsequenzen der Missachtung des § 25 TTDSG einschließlich des Bußgeldrisikos von demjenigen abgewälzt, der die Herrschaft über die Ausgestaltung der Internetseite einschließlich der Entscheidung darüber habe, welche „Cookies“ gesetzt würden. Eine § 25 Abs. 1 Satz 1 TTDSG genügende Einwilligung liege nicht vor. Die Ausnahme des § 25 Abs. 2 Nr. 2 TTDSG greife für keines der streitbefangenen „Cookies“, weil nur der Basisdienst ohne Einwilligung erfolgen könne. Das Angebot personalisierter Werbeanzeigen sowie Messungen und Analysen von Besucherzahlen seien kein Teil dieses Basisdienstes. Das „Cookie“-Banner genüge den zu stellenden Anforderungen an die Freiwilligkeit der Einwilligung nicht. Die in Rede stehenden „Cookies“ der Klägerin zu 2 würden unabhängig davon gesetzt, auf welche Schaltfläche der Nutzer klicke. Wenn das Ergebnis der Abfrage derart vorweggenommen werde, komme es auf die konkrete Ausgestaltung des Banners nicht mehr an. Unabhängig davon könnten die Einwilligungen nicht als freiwillig angesehen werden, weil die Schaltfläche „Alle Cookies gestatten“ farblich auffälliger gestaltet sei als die Alternative. Auch seien die wiedergegebenen Informationen nicht hinreichend konkret und werde nicht eindeutig auf die Widerruflichkeit der Einwilligung hingewiesen. Zudem sei nicht klar, ob die Einwilligung sich auf § 25 Abs. 1 Satz 1 TTDSG oder Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO beziehe. Ergänzend seien die Vorschriften der Datenschutzgrundverordnung anzuwenden. Die Regelung des § 25 TTDSG sperre den Rückgriff auf die Datenschutzgrundverordnung nicht, allenfalls im Hinblick auf den weitergefassten Art. 6 DSGVO. Nichts anderes folge aus Art. 95 DSGVO, weil die Vorschriften der e-Privacy-Richtlinie und der Datenschutzgrundverordnung nicht dasselbe Ziel verfolgten, soweit Art. 5 Abs. 3 e-Privacy-Richtlinie keine Vorschriften zu Datenschutzgrundsätzen enthalte. Die Klägerin zu 1 habe gegen Art. 6 Abs. 1 Unterabs. 1 DSGVO verstoßen, der jedenfalls im Hinblick auf die dem Setzen und Auslesen von „Cookies“ nachgelagerten Verarbeitungsschritte anzuwenden sei. Für den Betrieb der „Fanpage“ fehle es an einer Rechtsgrundlage. Eine wirksame Einwilligung liege nicht vor. Es gebe auch keinen gesetzlichen Auftrag, der die Klägerin verpflichte, ihre Öffentlichkeitsarbeit unter Zuhilfenahme einer „Fanpage“ zu verwirklichen. Auch die Verwarnungen seien rechtmäßig. Wolle man nach der Deaktivierung der Statistikfunktion nicht mehr von einer gemeinsamen Verantwortlichkeit ausgehen, sei jedenfalls für die Zeit davor eine gemeinsame Verantwortlichkeit anzunehmen gewesen. Der Bescheid sei auch hinreichend bestimmt. Es sei unerheblich, dass die Beklagte nicht für jeden Verarbeitungsvorgang die gemeinsame Verantwortlichkeit der Klägerinnen beurteilt habe. Art. 58 Abs. 2 Buchst. f DSGVO erlaube der Beklagten ein vollständiges Verbot. Der Klägerin zu 1 sei ein vollumfängliches Verbot der Datenverarbeitung auferlegt worden. Das der Beklagten zustehende Ermessen habe sie fehlerfrei ausgeübt. Dies gelte zunächst hinsichtlich der Adressatenauswahl. Die Klägerin zu 1 könne zügig und wirkungsvoll die rechtswidrige Datenverarbeitung von Daten der Nutzer des sozialen Netzwerks beenden, indem sie die „Fanpage“ nicht länger betreibe. Da die Beklagte für den Erlass einer Verfügung gegenüber der Klägerin zu 2 nicht zuständig gewesen sei, komme ein Vorgehen gegen dies als Alternative nicht in Betracht. Außerdem könne die Klägerin zu 2 den Betrieb der „Fanpage“ gar nicht einstellen. Auch sei die Verfügung verhältnismäßig. Mildere Mittel hätten nicht mehr zur Verfügung gestanden, nachdem Beanstandungen und Gespräche ins Leere gelaufen seien. Die Verfügung sei auch verhältnismäßig im engeren Sinne. Es bestehe kein Informationsauftrag im Sinne einer Informationspflicht der Klägerin zu 1 gerade unter Zuhilfenahme des sozialen Netzwerks der Klägerin zu 2. Außerdem seien die von der Klägerin zu 1 auf der „Fanpage“ veröffentlichten Informationen nicht von solcher Wichtigkeit und Dringlichkeit, dass sie eine Informationspflicht auslösen könnten. Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf den Inhalt der Gerichtsakten sowie der beigezogenen Verwaltungsvorgänge verwiesen. Entscheidungsgründe Den Prozessbevollmächtigten der Klägerin zu 2 war auf ihren in der mündlichen Verhandlung gestellten Antrag hin zunächst kein Schriftsatznachlass hinsichtlich der Schriftsätze der Beklagten vom 15. und 16. Juli 2025 zu gewähren. Kann sich ein Beteiligter in der mündlichen Verhandlung auf ein Vorbringen des Gegners nicht erklären, weil es ihm nicht rechtzeitig vor dem Termin mitgeteilt worden ist, so kann gemäß § 173 Satz 1 der Verwaltungsgerichtsordnung (VwGO in Verbindung mit )§ 283 Satz 1 Halbs. 1 der Zivilprozessordnung (ZPO) auf seinen Antrag das Gericht eine Frist bestimmen, in der sie die Erklärung in einem Schriftsatz nachbringen kann. Nach der Rechtsprechung des Bundesverwaltungsgerichts bezieht sich das Erwiderungsrecht lediglich auf neue Angriffs- oder Verteidigungsmittel im Sinne des § 282 Abs. 2 ZPO, das heißt Tatsachenvortrag. Rechtsausführungen dagegen sind bis zum Schluss der mündlichen Verhandlung zulässig und berechtigen die Gegenseite nicht zur Gewährung von Schriftsatznachlass. Das Vorbringen muss neu sein, darf sich also nicht in der Wiederholung früheren Vorbringens oder reinen Negativerklärungen erschöpfen. Darüber hinaus berechtigt zur Gewährung von Schriftsatznachlass nur entscheidungserhebliches Vorbringen. Vgl. Bundesverwaltungsgericht (BVerwG), Beschluss vom 22. April 2003 – 8 B 144.02 –, juris Rn. 6; Verwaltungsgericht (VG) Frankfurt (Oder), Urteil vom 10. Oktober 2024 – 5 K 448/21 –, juris Rn. 30; Anders , in: ders./Gehle, ZPO, 83. Auflage 2025, ZPO § 283 Rn. 4; Greger , in: Zöller, ZPO, 35. Auflage 2024, ZPO § 283 Rn. 2a, 2c. Nach diesen Maßgaben war den Prozessbevollmächtigten der Klägerin zu 2 hinsichtlich der Schriftsätze der Beklagten vom 15. und 16. Juli 2025 kein Schriftsatznachlass einzuräumen. Der Schriftsatz vom 15. Juli 2025 beinhaltet lediglich eine Erwiderung auf vorhergehende Schriftsätze der Klägerinnen. Mit den tatsächlichen Ausführungen zur Platzierung von „Cookies“ im Rahmen des Besuchs einer „Fanpage“ und in Bezug auf die nachgelagerten Datenverarbeitungen zur Auswertung der mithilfe des Speicherns und Auslesens von „Cookies“ gewonnenen Informationen sowie auch die Auswirkungen der Abschaltung der „Insights“-Funktion wurde das diesbezügliche Vorbringen aus Klageerwiderung und Duplik lediglich wiederholt und vertieft. Im Übrigen enthält der Schriftsatz Rechtsausführungen, wobei auch insofern eine bloße Erwiderung auf frühere Schriftsätze der Klägerinnen unter Vertiefung der bereits in der Klageerwiderung und Duplik genannten Argumente in Rede steht. Mit dem Schriftsatz der Beklagten vom 16. Juli 2025 wurde in tatsächlicher Hinsicht erläutert, unter welchen Voraussetzungen und zu welchen Zwecken derzeit „Cookies“ bei dem Besuch von „Fanpages“ platziert würden. Dieses Vorbringen ist bereits nicht entscheidungserheblich, weil für die Beurteilung der Rechtmäßigkeit des angefochtenen Bescheides die Sachlage im Zeitpunkt seines Erlasses zugrunde zu legen ist, wie noch auszuführen sein wird. Im Übrigen wird erneut lediglich auf vorherige Ausführungen der Klägerinnen erwidert. Der Vortrag aus den genannten Schriftsätzen war zudem Gegenstand der umfassenden Erörterung der Streitsache in der mündlichen Verhandlung. Die Prozessbevollmächtigten der Klägerin zu 2 haben sich hierzu verhalten und mit dem Antrag auf Schriftsatznachlass nicht dargelegt, auf welches konkrete, neue und entscheidungserhebliche Tatsachenvorbringen sie sich nicht hätten erklären können. Die Klage der Klägerin zu 1 ist insgesamt, die Klage der Klägerin zu 2 im Umfang der Anfechtung des Datenverarbeitungsverbots zu Ziffer 1 des angefochtenen Bescheides zulässig (nachfolgend I.). Im zulässigen Umfang sind die Klagen begründet (nachfolgend II.). I. Die Klagen sind als Anfechtungsklagen statthaft. Durch Klage kann gemäß § 42 Abs. 1 Alt. 1 VwGO die Aufhebung eines Verwaltungsakts begehrt werden. Soweit gesetzlich nichts anderes bestimmt ist, ist die Klage nach § 42 Abs. 2 VwGO allerdings nur zulässig, wenn der Kläger geltend macht, durch den Verwaltungsakt oder seine Ablehnung oder Unterlassung in seinen Rechten verletzt zu sein. Diese Sachurteilsvoraussetzung ist erfüllt, wenn nach dem Vortrag des Klägers eine Verletzung seines geschützten Rechtskreises bei unterstellter Rechtswidrigkeit des Verwaltungsaktes zumindest als möglich angenommen werden muss. Vgl. BVerwG, Beschluss vom 30. April 1980 – 7 C 91.79 –, juris Rn. 8. Die Geltendmachung einer subjektiven Rechtsverletzung durch die Klägerin zu 1 ist gleichwohl nicht zu verlangen. Jede natürliche oder juristische Person hat gemäß Art. 78 Abs. 1 DSGVO unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde. Zu den Berechtigten gehören auch juristische Personen des öffentlichen Rechts, da die DSGVO auch rechtsverbindliche Maßnahmen der Aufsichtsbehörde gegenüber öffentlichen Stellen erlaubt. Beschlüsse der Aufsichtsbehörde sind unter anderem die vorliegend in Rede stehenden Maßnahmen auf Grundlage des Art. 58 Abs. 2 Buchst. b, f DSGVO. Wegen des Anwendungsvorrangs des Unionsrechts setzt der Erfolg einer Anfechtungsklage gegen eine auf Art. 58 Abs. 2 DSGVO gestützte Maßnahme der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vor diesem Hintergrund weder die Geltendmachung noch – für die Begründetheit der Klage – das Vorliegen einer subjektiven Rechtsverletzung voraus. Vielmehr reicht es aus, dass die Maßnahme den Kläger – wie hier die Klägerin zu 1 – betrifft. Vgl. BVerwG, Urteil vom 20. März 2024 – 6 C 8.22 –, juris Rn. 14; Körffer , in: Paal/Pauly, DSGVO/BDSG, 3. Auflage 2021, DSGVO Art. 78 Rn. 2 f.; Selmayr , in: Ehmann/ders., DSGVO, 3. Auflage 2024, DSGVO Art. 58 Rn. 37. Eine Verletzung der Klägerin zu 2 in ihren Rechten erscheint im Umfang der Anfechtung des Datenverarbeitungsverbots zu Ziffer 1 des Bescheides vom 17. Februar 2023 möglich. Es kommt ein Eingriff in Grundrechte der Klägerin zu 2 in Betracht. Akte der deutschen öffentlichen Gewalt, die durch Unionsrecht vollständig determiniert werden, sind aufgrund des Anwendungsvorrangs des Unionsrechts grundsätzlich allerdings nicht am Maßstab der im Grundgesetz verankerten Grundrechte zu messen, sondern der in der Grundrechtecharta normierten. Ist der Rechtsakt nicht vollständig durch Unionsrecht determiniert, schließt das indes nicht aus, dass daneben im Einzelfall auch die Grundrechtecharta Geltung beanspruchen kann. In Betracht kommt das freilich nur im Rahmen der unionsrechtlichen Verträge und damit dann, wenn nach Art. 51 Abs. 1 Satz 1 GRC die „Durchführung von Unionsrecht“ infrage steht. Diese Begrenzung des Anwendungsbereichs der Grundrechtecharta hindert aber jedenfalls nicht, dass innerstaatliche Regelungen auch dann als „Durchführung des Unionsrechts“ zu beurteilen sein können, wenn für deren Gestaltung den Mitgliedstaaten Spielräume verbleiben, das Unionsrecht dieser Gestaltung aber einen hinreichend gehaltvollen Rahmen setzt, der erkennbar auch unter Beachtung der Unionsgrundrechte konkretisiert werden soll. Die Unionsgrundrechte treten dann zu den Grundrechtsgewährleistungen des Grundgesetzes hinzu. Vgl. Bundesverfassungsgericht (BverfG), Beschlüsse vom 6. November 2019 – 1 BvR 16/13 –, juris Rn. 42 ff.; vom 27. April 2021 – 2 BvR 206/14 –, juris Rn. 37 ff. Die Grundrechtecharta ist nach diesen Maßgaben vorliegend unabhängig davon anwendbar, ob der angefochtene Bescheid vollständig durch Unionsrecht determiniert ist oder ob das Unionsrecht dem nationalen Gesetzgeber Spielräume belässt. Es setzt der Gestaltung der hier einschlägigen, nationalen Regelungen jedenfalls einen hinreichend gehaltvollen Rahmen, der erkennbar auch unter Beachtung der Unionsgrundrechte konkretisiert werden soll. Dies gilt namentlich für die streitentscheidende Vorschrift des § 25 TTDSIreland Sie dient der Umsetzung des Art. 5 Abs. 3 Satz 1 e-Privacy-Richtlinie. Hiernach stellen die Mitgliedstaaten sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur unter bestimmten Voraussetzungen gestattet ist. Nach dem zweiten Erwägungsgrund ist gerade Ziel dieser Richtlinie die Achtung der Grundrechte; sie steht danach insbesondere im Einklang mit den durch die Grundrechtecharta anerkannten Grundsätzen. Insbesondere soll nach dem Erwägungsgrund mit dieser Richtlinie gewährleistet werden, dass die in den Art. 7 und 8 GRC niedergelegten Rechte uneingeschränkt geachtet werden. Es kommt vorliegend jedenfalls eine relevante Beeinträchtigung des Schutzgegenstandes der unternehmerischen Freiheit der Klägerin zu 2 aus Art. 16 GRC infrage. Hiernach wird die unternehmerische Freiheit nach dem Unionsrecht und den einzelstaatlichen Rechtsvorschriften und Gepflogenheiten anerkannt. Juristische Personen des Privatrechts sind Träger dieses Grundrechts. Geschützt ist die wirtschaftliche Betätigungsfreiheit in allen ihren Ausprägungen. Erfasst wird jede selbstständige wirtschaftliche Betätigung, ohne Rücksicht auf Art und Umfang, Rechtsform und Finanzierung des Unternehmens. Vgl. Bernsdorff , in: Meyer, GRC, 6. Auflage 2024, GRC Art. 15 Rn. 11, 18; Ruffert , in: Calliess/ders., EUV/AEUV, 6. Auflage 2022, GRC Art. 16 Rn. 1, 4. Eingriffe sind nicht nur mit Maßnahmen verbunden, die im Hinblick auf die unternehmerischen Aktivitäten einen Nachteil bezwecken oder unmittelbar bewirken beziehungsweise direkte und bedeutsame Auswirkung auf die freie Ausübung der unternehmerischen Freiheit haben. Es kommen auch mittelbare und faktische Auswirkungen von Rechtsakten in Betracht, die nicht an den Betroffenen adressiert sind. Es genügt jede Handlung, die sich wahrnehmbar nachteilig auf die Betätigung der unternehmerischen Freiheit auswirkt. Kein Eingriff liegt allerdings vor, wenn die belastenden Auswirkungen nicht kausal auf einem hoheitlichen Verhalten beruhen und dem Grundrechtsverpflichteten deshalb nicht zurechenbar sind, weil sie beispielsweise eher auf die wirtschaftliche Entwicklung als auf das Verhalten des Grundrechtsverpflichteten zurückzuführen sind. Vgl. Gerichtshof (EuGH), Urteile vom 14. Mai 1974 – C-4/​73 [ECLI:EU:C:1974:51] – Rn. 15; vom 28. April 1998 – C-200/96 [ECLI:EU:C:1998:172] – Rn. 28; Beschluss vom 23. September 2004 – C-435/02 [ECLI:EU:C:2004:552] – Rn. 49; Blanke , in: Stern/Sachs, GRC, 1. Auflage 2016, GRC Art. 15 Rn. 43; Jarass , GRC, 4. Auflage 2021, GRC Art. 16 Rn. 13 f. In Anwendung dieser Maßstäbe erscheint eine relevante Beeinträchtigung der Klägerin zu 2 in ihrem Grundrecht der unternehmerischen Freiheit aus Art. 16 GRC möglich. Die Klägerin zu 2 ist unzweifelhaft Grundrechtsträgerin und der Betrieb ihres sozialen Netzwerks stellt eine dem sachlichen Schutzbereich unterfallende, selbstständige wirtschaftliche Betätigung dar. Auch erscheint ein Eingriff in den Schutzbereich möglich. Mit dem angefochtenen Bescheid hat die Beklagte zwar zunächst den Betrieb einer einzelnen „Fanpage“ untersagt. Ihre Ausführungen lassen sich jedoch auf den Betrieb einer jeden „Fanpage“ und selbst anderer „Facebook“-Seiten übertragen. Eine wahrnehmbar nachteilige Auswirkung auf die Betätigung der unternehmerischen Freiheit kann sich daraus ergeben, dass die Klägerin zu 2, behält sie die streitgegenständlichen Datenverarbeitungen bei, damit rechnen muss, dass Datenschutzaufsichtsbehörden flächendeckend Benutzern den Betrieb ihrer „Fanpage“ untersagen. Demgegenüber erscheint eine Verletzung der Klägerin zu 2 in ihren Rechten aufgrund der gegenüber der Klägerin zu 1 ausgesprochenen Verwarnungen zu Ziffern 2 bis 4 des angefochtenen Bescheides von vorneherein ausgeschlossen. Die Verwarnungen erschöpfen sich in der bloßen verwaltungsaktförmigen Feststellung eines Verstoßes gegen die genannten Vorschriften gegenüber der Klägerin zu 1. Es entsteht also für die Klägerin zu 1 nicht einmal die Rechtspflicht, einen Verstoß künftig abzustellen oder Datenverarbeitungen zu ändern. Vgl. zur Verwaltungsaktqualität BVerwG, Urteil vom 20. März 2024 – 6 C 8.22 –, juris Rn. 13; zum Regelungsgehalt Grittmann , in: Taeger/​Gabel, DSGVO/BDSG/TTDSG, 4. Auflage 2022, DSGVO Art. 58 Rn. 24; Polenz , in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Auflage 2025, DSGVO Art. 58 Rn. 32. Vor diesem Hintergrund vermag eine bloße Verwarnung die Klägerin zu 2 nicht in vergleichbarer Weise wie ein Datenverarbeitungsverbot zu belasten. Selbst wenn die Beklagte eine Vielzahl der Betreiber von „Fanpages“ verwarnen würde, wären die Betreiber allein aufgrund der Verwarnung und anders als bei einem Datenverarbeitungsverbot noch nicht gehalten, den Betrieb der „Fanpages“ einzustellen. Mit der Verwarnung als solcher ist angesichts dessen noch keine wahrnehmbar nachteilige Auswirkung auf die Betätigung der unternehmerischen Freiheit der Klägerin zu 2 verbunden. Eine solche ergäbe sich erst aus einer aufgrund der Verwarnung freiwillig getroffenen Entscheidung ihres Adressaten, den Betrieb der „Fanpage“ einzustellen. Dies ist der Beklagten nicht zuzurechnen. Angesichts dessen liegt ein Eingriff in die unternehmerische Freiheit der Klägerin zu 2 aus Art. 16 GRC ebenso fern wie ein Eingriff in ihr Eigentumsrecht aus Art. 17 Abs. 1 Satz 1 GRC, ihre Dienstleistungsfreiheit aus Art. 56 Abs. 1 AEUV oder ihre Berufsfreiheit aus Art. 12 Abs. 1 Satz 1 GIreland II. Die Klagen sind im zulässigen Umfang begründet. Das Gericht hebt gemäß § 113 Abs. 1 Satz 1 VwGO den Verwaltungsakt und den etwaigen Widerspruchsbescheid auf, soweit der Verwaltungsakt rechtswidrig und der Kläger dadurch in seinen Rechten verletzt ist. Diese Voraussetzungen sind erfüllt. Das Datenverarbeitungsverbot zu Ziffer 1 des angefochtenen Bescheides (dazu 1.) ist ebenso wie die Verwarnungen zu Ziffern 2 bis 4 des Bescheides (dazu 2.) rechtswidrig. Eine Verletzung der Klägerin zu 1 in ihren Rechten ist, wie ausgeführt, nicht zu verlangen. Die Klägerin zu 2 ist im Hinblick auf die Rechtswidrigkeit des Datenverarbeitungsverbots in ihren Rechten verletzt (dazu 3.). 1. Das Datenverarbeitungsverbot zu Ziffer 1 des angefochtenen Bescheides ist rechtswidrig. Die Beklagte stützt das Verarbeitungsverbot sowohl auf Art. 58 Abs. 2 Buchst. f DSGVO in Verbindung mit § 29 Abs. 3 TTDSG als auch auf Art. 58 Abs. 2 Buchst. f DSGVO in unmittelbarer Anwendung. Nach Art. 58 Abs. 2 Buchst. f DSGVO hat jede Aufsichtsbehörde die Befugnis, eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen. Diese Vorschrift findet im Hinblick auf die Befugnisse der Beklagten im Rahmen ihrer Aufsichtstätigkeit über die Einhaltung der Bestimmungen nach dem Telekommunikation-Telemedien-Datenschutz-Gesetz gemäß § 29 Abs. 3 TTDSG entsprechende Anwendung. Maßgeblich für die Beurteilung der Rechtmäßigkeit des Verarbeitungsverbots ist die Sach- und Rechtslage im Zeitpunkt der letzten behördlichen Entscheidung [nachfolgend a)]. Das Verarbeitungsverbot erweist sich sowohl auf Grundlage des Art. 58 Abs. 2 Buchst. f DSGVO in Verbindung mit § 29 Abs. 3 TTDSG als rechtswidrig [nachfolgend b)] als auch auf Grundlage des Art. 58 Abs. 2 Buchst. f DSGVO in unmittelbarer Anwendung [nachfolgend c)]. a) Maßgeblich für die Beurteilung der Rechtmäßigkeit des Verarbeitungsverbots ist die Sach- und Rechtslage im Zeitpunkt der letzten behördlichen Entscheidung, hier des Erlasses des angefochtenen Bescheides vom 17. Februar 2023. Der maßgebliche Zeitpunkt für die Beurteilung der Rechtmäßigkeit eines angefochtenen Verwaltungsakts richtet sich nicht nach dem Prozessrecht, sondern nach dem jeweiligen materiellen Recht. Im Zweifel gilt im Rahmen einer Anfechtungsklage die Regel, dass bei Verwaltungsakten ohne Dauerwirkung die Sachlage im Zeitpunkt der letzten Verwaltungsentscheidung maßgebend ist, bei Verwaltungsakten mit Dauerwirkung hingegen auch spätere Veränderungen der Sachlage bis zum Schluss der mündlichen Verhandlung des Tatsachengerichts zu berücksichtigen sind. Vgl. BVerwG, Urteil vom 27. Januar 1993 – 11 C 35.92 –, juris Rn. 16. Verwaltungsakte mit Dauerwirkung erschöpfen sich nicht in einem einmaligen Ge- oder Verbot oder in einer einmaligen Gestaltung der Rechtslage, sondern begründen ein auf Dauer berechnetes oder in seinem Bestand vom Verwaltungsakt abhängiges Rechtsverhältnis oder verändern es inhaltlich. Untersagungsverfügungen sind als Verwaltungsakte mit Dauerwirkung einzuordnen, wenn sie nicht nur das Gebot beinhalten, das beanstandete Verhalten einmalig einzustellen, sondern auch das Verbot, auf Dauer dieses Verhalten wiederaufzunehmen. Welchen Regelungsinhalt der angefochtene Verwaltungsakt – auch im Hinblick auf die zeitliche Dimension seiner Wirkung – hat, ist analog den gemäß §§ 133, 157 des Bürgerlichen Gesetzbuches für die Auslegung von Willenserklärungen allgemein geltenden Maßstäben nach ihrem objektiven Erklärungswert zu ermitteln. Maßgebend ist, wie der Empfänger die Erklärung bei Zugang unter Berücksichtigung der ihm bekannten oder erkennbaren Umstände bei objektiver Auslegung verstehen musste; Unklarheiten gehen zu Lasten der Verwaltung. Vgl. BVerwG, Urteil vom 17. September 1987 – 5 C 26.84 –, juris Rn. 21; Oberverwaltungsgericht (OVG) für das Land Nordrhein-Westfalen (NRW), Urteil vom 19. Dezember 1995 – 11 A 2734/93 –, juris Rn. 9 ff.; Beschluss vom 7. Juli 2021 – 4 A 1695/19 –, juris Rn. 7. Besteht allerdings ein Auswahlermessen der Behörde hinsichtlich der zu ergreifenden Maßnahme, kann es, ungeachtet deren Qualifikation als Verwaltungsakt mit Dauerwirkung, auf den Zeitpunkt der behördlichen Entscheidung ankommen. Für eine Ermessensentscheidung ist kennzeichnend, dass die Behörde zwischen mehreren rechtlich zulässigen, weil von der Bandbreite des Ermessensspielraums gedeckten, Handlungsalternativen wählen kann. Die Verwaltungsgerichte prüfen diese Auswahlentscheidungen nur eingeschränkt nach Maßgabe des § 114 Satz 1 VwGO nach. Insbesondere sind sie daran gehindert, ihre eigenen Auswahlerwägungen an die Stelle derjenigen der Behörde zu setzen. Dies schließt es grundsätzlich aus, Ermessensentscheidungen anhand von tatsächlichen und rechtlichen Erkenntnissen nachzuprüfen, die die Behörde nicht in ihre Erwägungen einbeziehen konnte, weil sie zum Zeitpunkt der Ermessensausübung noch nicht vorlagen. Vor diesem Hintergrund war für die Beurteilung der Rechtmäßigkeit einer Maßnahme nach § 38 Abs. 5 Satz 1 des Bundesdatenschutzgesetzes in der Fassung vom 14. August 2009 (BDSG 2009), wonach zur Gewährleistung der Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz die Aufsichtsbehörde Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen konnte, unabhängig davon, ob mit diesen Maßnahmen die Verpflichtung einherging, den zu schaffenden Zustand auf Dauer beizubehalten, auf den Zeitpunkt der letzten Behördenentscheidung abzustellen. Die Bestimmung räumte der Aufsichtsbehörde bei Feststellung eines Verstoßes gegen Datenschutzrecht einen Ermessensspielraum für das daran anknüpfende Vorgehen ein. Die Ermessensausübung hatte sich zur Bestimmung der dem Verantwortlichen als Beseitigungsmaßnahme aufzuerlegenden Handlungs- oder Unterlassungspflichten an der Art des datenschutzrechtlichen Verstoßes zu orientieren. Ob ein Verstoß vorlag, war nach demjenigen Recht zu beurteilen, das zum Zeitpunkt der letzten Behördenentscheidung galt. Vgl. BVerwG, Urteil vom 27. März 2019 – 6 C 2.18 –, juris Rn. 10. In Anwendung dieser Maßstäbe ist vorliegend der Zeitpunkt der letzten behördlichen Entscheidung für die Beurteilung der Rechtmäßigkeit des Verarbeitungsverbotes zu Ziffer 1 des angefochtenen Bescheides maßgeblich. Zwar liegt nahe, dieses als einen Verwaltungsakt mit Dauerwirkung einzuordnen. Es wurde angeordnet, den Betrieb der „Fanpage“ einzustellen. Dass die Verfügung nicht nur das Gebot beinhalten sollte, einmalig den Betrieb der „Fanpage“ einzustellen, sondern diesen dauerhaft zu unterlassen, drängt sich aus der maßgeblichen Sicht eines objektiven Empfängers auf. Jedoch gelten vorstehende Erwägungen zu § 38 Abs. 5 Satz 1 BDSG 2009 uneingeschränkt auch für die vorliegend in Betracht kommende Ermächtigungsgrundlage des Art. 58 Abs. 2 Buchst. f DSGVO in unmittelbarer oder in Verbindung mit § 29 Abs. 3 TTDSG entsprechender Anwendung. Jede Aufsichtsbehörde verfügt gemäß Art. 58 Abs. 2 DSGVO über sämtliche dort aufgeführte Abhilfebefugnisse, die es ihr unter anderem, Art. 58 Abs. 2 Buchst. f DSGVO, gestatten, eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen. Die Aufsichtsbehörde hat nach pflichtgemäßem Ermessen zu entscheiden, ob die Ausübung einer milderen Abhilfebefugnis ausreichend ist, um die Anwendung und Durchsetzung der Datenschutzgrundverordnung sicherzustellen, oder ob sie dazu eine höhere Eskalationsstufe auslösen muss. Sie ist dabei nicht verpflichtet, stets exakt in der Reihenfolge der in Art. 58 Abs. 2 DSGVO genannten Abhilfebefugnisse vorzugehen, sondern kann im Interesse der wirksamen Durchsetzung des europäischen Datenschutzrechts auch sogleich eine schärfere Abhilfebefugnis ausüben, wenn dies sachlich geboten und verhältnismäßig erscheint. Vgl. Selmayr , in: Ehmann/ders., DSGVO, 3. Auflage 2024, DSGVO Art. 58 Rn. 18. Die Vorschrift räumt der Aufsichtsbehörde also einen weiten Ermessensspielraum hinsichtlich der Auswahl an die Feststellung eines Verstoßes gegen Datenschutzrecht anknüpfender Maßnahmen ein. Auch hier hat sich die Ermessensausübung zur Bestimmung der dem Verantwortlichen als Beseitigungsmaßnahme aufzuerlegenden Handlungs- oder Unterlassungspflichten an der Art des datenschutzrechtlichen Verstoßes zu orientieren. Ob ein Verstoß vorliegt, ist vor diesem Hintergrund nach demjenigen Recht zu beurteilen, das zum Zeitpunkt der letzten Behördenentscheidung galt. So im Ergebnis auch OVG für das Land Schleswig-Holstein (SH), Urteil vom 25. November 2021 – 4 LB 20/13 –, juris Rn. 80, das zur Vermeidung von Widersprüchen zur Rechtsprechung in Bezug auf Dauerverwaltungsakte einen solchen nicht annimmt; ferner VG Bremen, Urteil vom 23. April 2025 – 4 K 2873/23 –, juris Rn. 37. b) Auf Grundlage des Art. 58 Abs. 2 Buchst. f DSGVO in Verbindung mit § 29 Abs. 3 TTDSG erweist sich das angefochtene Verarbeitungsverbot als jedenfalls materiell rechtswidrig. Die Beklagte stützt das Verbot auf einen Verstoß der Klägerin zu 1 gegen § 25 Abs. 1 Satz 1 TTDSIreland Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind danach nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben nach § 25 Abs. 1 Satz 2 TTDSG gemäß Datenschutzgrundverordnung zu erfolgen. Zwar ist die Verfügung noch hinreichend bestimmt [dazu aa)]. Jedoch sind Datenverarbeitungsverbote wegen Verstoßes gegen § 25 Abs. 1 Satz 1 TTDSG gegen den Adressaten dieser Vorschrift zu richten [dazu bb)]. Adressat des § 25 Abs. 1 Satz 1 TTDSG ist jede natürliche oder juristische Person, die kausal die Ausführung des Quelltexts veranlasst, der die Informationen speichert oder ausliest, und der deshalb die Realisierung der Distanzgefahr durch den Fernzugriff, vor dem der Endnutzer geschützt werden soll, zuzurechnen ist [dazu cc)]. Die Klägerin zu 1 ist hiernach nicht Adressatin der Norm [dazu dd)]. aa) Das Datenverarbeitungsverbot zu Ziffer 1 des angefochtenen Bescheides ist noch hinreichend bestimmt. Ein Verwaltungsakt muss gemäß § 37 Abs. 1 VwVfG inhaltlich hinreichend bestimmt sein. Das bedeutet zum einen, dass der Adressat in die Lage versetzt werden muss, zu erkennen, was von ihm gefordert wird. Zum anderen muss der Verwaltungsakt geeignete Grundlage für Maßnahmen zu seiner zwangsweisen Durchsetzung sein können. Im Einzelnen richten sich die Anforderungen an die notwendige Bestimmtheit eines Verwaltungsakts nach den Besonderheiten des jeweils anzuwendenden und mit dem Verwaltungsakt umzusetzenden materiellen Rechts. Vgl. BVerwG, Urteil vom 15. Februar 1990 – 4 C 41.87 –, juris Rn. 29. Nach diesen Maßgaben muss ein Datenverarbeitungsverbot erkennen lassen, welche konkreten Datenverarbeitungen untersagt werden. Die Unterlassungspflicht muss so umschrieben sein, dass für den Adressaten des Verbots ersichtlich ist, welche Datenverarbeitungen er einzustellen hat, um dem Verbot zu genügen. Zugleich muss die Verfügung geeignete Grundlage für etwaige Vollstreckungsmaßnahmen auf Grundlage des Verwaltungsvollstreckungsgesetzes sein. Vgl. hierzu Polenz , in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Auflage 2025, DSGVO Art. 58 Rn. 71 ff. In Anwendung dieser Maßstäbe ist das Datenverarbeitungsverbot zu Ziffer 1 des angefochtenen Bescheides noch hinreichend bestimmt. Die Beklagte hat „bis auf weiteres die Verarbeitung personenbezogener Daten im Rahmen der von der Bundesregierung betriebenen Facebook-Fanpage […] innerhalb von vier Wochen nach Bekanntgabe dieses Bescheids durch Einstellen ihres Betriebs untersagt.“ Zwar erscheint hinsichtlich des zeitlichen Geltungsbereichs zunächst unklar, ob mit der Formulierung „bis auf weiteres“ eine Befristung oder auflösende Bedingung verbunden sein und bis zum Eintritt welchen konkreten Ereignisses solchenfalls die Verfügung ihre Wirksamkeit behalten sollte. Jedoch ist bei verständiger Würdigung des Tenors aus der Sicht eines objektiven Empfängers die Formulierung als bloßer Hinweis auf die stets bestehende Möglichkeit einer späteren Erledigung des Datenverarbeitungsverbots aufzufassen. So kommt, wie in der mündlichen Verhandlung seitens der Beklagtenvertreter erläutert, ihrer Auffassung nach ein Wiederaufgreifen des Verfahrens bei einer späteren Änderung der Sachlage in Betracht. Nicht gänzlich frei von Missverständlichkeit ist die Formulierung des Tenors auch insoweit, als der Betrieb der „Fanpage“ danach „innerhalb von vier Wochen […] untersagt“ werden soll. Dem Wortlaut nach ließe sich dies als bloße Ankündigung eines noch zu erlassenden Verbots fehlinterpretieren. Soweit ferner der Betrieb der „Fanpage“ nach dem Wortlaut des Tenors „durch Einstellen ihres Betriebs untersagt“ wird, misslingt diese Formulierung insoweit, als nicht durch die Einstellung des Betriebs der „Fanpage“ ein Unterlassungsgebot ausgesprochen werden, sondern vielmehr die Unterlassungspflicht durch Einstellung des Betriebs der „Fanpage“ zu befolgen sein soll. Dennoch ist aus der Sicht eines objektiven Bescheidadressaten erkennbar, dass ihm in der Sache aufgegeben werde, den Betrieb der „Fanpage“ zu unterlassen und dass ihm für die Einstellung des Betriebs eine Frist von vier Wochen nach Bekanntgabe gesetzt werden solle. Der Bestimmtheit der angefochtenen Verfügung steht auch nicht entgegen, dass die Beklagte nicht zwischen einzelnen Datenverarbeitungsvorgängen differenziert hat. Aus der Sicht eines objektiven Empfängers ist erkennbar, dass, soll er den Betrieb der „Fanpage“ gänzlich einstellen, er schlicht sämtliche Datenverarbeitungen zu unterlassen hat, die hiermit einhergehen. In der Sache ist die Frage aufgeworfen, ob die Feststellungen der Beklagten eine vollständige Untersagung des Betriebs der „Fanpage“ tragen. Dies indes ist keine Frage der hinreichenden Bestimmtheit. bb) Sollen auf Grundlage des Art. 58 Abs. 2 DSGVO in Verbindung mit § 29 Abs. 3 TTDSG wegen Verstößen gegen § 25 Abs. 1 Satz 1 TTDSG aufsichtsrechtliche Maßnahmen ergriffen werden, sind diese allerdings gegen den aus § 25 Abs. 1 Satz 1 TTDSG Verpflichteten zu richten. Die datenschutzrechtliche Rolle als Verantwortlicher oder Auftragsverarbeiter, an welche Art. 58 Abs. 2 Buchst. f DSGVO in seinem direkten Anwendungsbereich die Adressatenstellung im Hinblick auf behördliche Maßnahmen anknüpft, ist jedenfalls nicht unmittelbar maßgeblich. Vgl. Benedikt , in: Gierschmann/Baumgartner, TTDSG, 1. Auflage 2023, TTDSG § 29 Rn. 28. Dem entspricht, dass gemäß § 115 Abs. 1 Satz 1, Abs. 4 Satz 2 des Telekommunikationsgesetzes (TKG) in der Fassung vom 30. März 2021 vor Inkrafttreten des TTDSG auf Beanstandung der Beklagten hin von der Bundesnetzagentur zu ergreifende Aufsichtsmaßnahmen wegen Verstößen gegen die vormaligen datenschutzrechtlichen Regelungen des Telekommunikationsgesetzes ebenfalls gegen den Adressaten der Bestimmung zu richten waren, deren Einhaltung kontrolliert beziehungsweise sichergestellt werden sollte. Mit der Einführung des § 29 Abs. 3 TTDSG sollten der Beklagten direkte Aufsichtsbefugnisse verliehen werden, dies aber, wie bislang, gegenüber den Verpflichteten aus der Vorschrift, deren Missachtung zum aufsichtsrechtlichen Einschreiten Anlass gibt. Vgl. Graulich , in: Fetzer/​Scherer/​Graulich, TKG, 3. Auflage 2021, TKG § 115 Rn. 6; Jenny , in: Plath, DSGVO/​BDSG/​TTDSG, 4. Auflage 2023, TTDSG § 30 Rn. 10. cc) Adressat des § 25 Abs. 1 Satz 1 TTDSG ist jede natürliche oder juristische Person, die kausal die Ausführung des Quelltexts veranlasst, der die Informationen speichert oder ausliest, und der deshalb die Realisierung der Distanzgefahr durch den Fernzugriff, vor dem der Endnutzer geschützt werden soll, zuzurechnen ist. Ein Rückgriff auf die Bestimmungen der Datenschutzgrundverordnung zur Verantwortlichkeit kommt entgegen der Auffassung der Beklagten nicht in Betracht. Zwar gelten gemäß § 2 Abs. 1 TTDSG die Begriffsbestimmungen unter anderem der Datenschutzgrundverordnung auch für dieses Gesetz, soweit nicht in § 2 Abs. 2 TTDSG eine abweichende Begriffsbestimmung getroffen wird. Ein Rekurs auf Bestimmungen der Datenschutzgrundverordnung ist deshalb jedoch nur geboten, soweit das Telekommunikation-Telemedien-Datenschutz-Gesetz seinerseits Termini verwendet, die in der Datenschutzgrundverordnung definiert werden, ohne selbst eine abweichende Definition zu geben. Wäre die Einwilligung nach § 25 Abs. 1 Satz 1 TTDSG also ausdrücklich einem „Verantwortlichen“ gegenüber zu erklären, müsste mangels abweichender Begriffsbestimmung im Telekommunikation-Telemedien-Datenschutz-Gesetz auf die Definition der Datenschutzgrundverordnung zurückgegriffen werden. An die Rolle des Verantwortlichen knüpft die Regelung indes nicht an. Dies erscheint auch sachgerecht, weil die Verantwortlichkeit in Art. 4 Nr. 7 DSGVO im Hinblick auf die Verarbeitung personenbezogener Daten definiert wird, die § 25 Abs. 1 Satz 1 TTDSG in seinem Anwendungsbereich gerade nicht voraussetzt. Vgl. Burkhardt/​Reif/​Schwartmann , in: Schwartmann/​Jaspers/​Eckhardt, TTDSG, 1. Auflage 2022, TTDSG § 25 Rn. 31; Benedikt , Datenschutz-Berater (DSB) 2021, 76 (78); Piltz , Computer & Recht (CR) 2021, 555 (560). Zudem enthält § 25 Abs. 1 Satz 2 TTDSG hinsichtlich der Anforderungen an die Einwilligung einen ausdrücklichen Verweis auf die Datenschutzgrundverordnung. Nur insoweit hat der Gesetzgeber Anlass für einen Rückgriff auf deren Bestimmungen gesehen. Die Norm verweist also ausschließlich auf das datenschutzrechtliche Einwilligungsregime, ohne darüber hinaus datenschutzrechtliche Rollenbilder zu übernehmen. Vgl. Landgericht München I, Urteil vom 29. November 2022 – 33 O 14776/19 –, juris Rn. 154; Hanloser , in: Gierschmann/Baumgartner, TTDSG, 1. Auflage 2023, TTDSG § 25 Rn. 37. Auch das Konzept einer gemeinsamen Verantwortlichkeit ist der Vorschrift fremd. Für dieses letztere spricht, dass der europäische Gesetzgeber die Rechtsfigur der gemeinsamen Verantwortlichkeit bereits unter Geltung der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 Seite 31, berichtigt 2017 L 40 Seite 78) – Datenschutzrichtlinie (DSRL) – kannte, wie sich aus deren Art. 4 Buchst. d ergibt, wonach Personen bereits allein oder gemeinsam verantwortlich sein konnten, und gleichwohl auf diesbezügliche Vorgaben in der später erlassenen e-Privacy-Richtlinie verzichtete, deren Umsetzung das Telekommunikation-Telemedien-Datenschutz-Gesetz dient. Vgl. Piltz , in: Plath, DSGVO/​BDSG/​TTDSG, 4. Auflage 2023, TTDSG § 25 Rn. 22; Drucksache des Deutschen Bundestages 19/27441, Seite 1, 37. Ein anderes folgt entgegen der in der mündlichen Verhandlung vorgetragenen Auffassung der Beklagten auch nicht aus dem zehnten Erwägungsgrund zur e-Privacy-Richtlinie. Im Bereich der elektronischen Kommunikation gilt danach die Datenschutzrichtlinie vor allem für alle Fragen des Schutzes der Grundrechte und Grundfreiheiten, die von der vorliegenden Richtlinie nicht spezifisch erfasst werden, einschließlich der Pflichten des für die Verarbeitung Verantwortlichen und der Rechte des Einzelnen. Damit ist zwar der Begriff des Verantwortlichen angesprochen, allerdings nur im Zusammenhang mit der e-Privacy-Richtlinie gerade nicht unterfallender Kommunikation. Ist vor diesem Hintergrund der Regelungsadressat des § 25 Abs. 1 Satz 1 TTDSG nicht durch Rückgriff auf Bestimmungen der Datenschutzgrundverordnung, sondern durch Auslegung der Vorschrift selbst zu ermitteln, wird zunächst zutreffend darauf hingewiesen, dass der Wortlaut des § 25 Abs. 1 Satz 1 TTDSG rein verhaltensbezogen formuliert sei und keine personellen Einschränkungen enthalte. Er knüpft an die Speicherung von Informationen und den Zugriff auf Informationen an. Dies spricht dafür, im Ausgangspunkt auf jene Personen abzustellen, die faktisch auf Informationen in der Endeinrichtung zugreifen oder solche dort speichern. Vgl. Burkhardt/​Reif/​Schwartmann , in: Schwartmann/​Jaspers/​Eckhardt, TTDSG, 1. Auflage 2022, TTDSG § 25 Rn. 31; Piltz , in: Plath, DSGVO/​BDSG/​TTDSG, 4. Auflage 2023, TTDSG § 25 Rn. 26; Schneider , in: Assion, TTDSG, 1. Auflage 2022, TTDSG § 25 Rn. 17; Sesing-Wagenpfeil , in: Borges/Hilber, BeckOK IT-Recht, Stand Januar 2025, TTDSG § 25 Rn. 45; insoweit auch Hanloser , Zeitschrift für Datenschutz (ZD) 2022, 135 (135). In systematischer Hinsicht spricht für diesen Ansatz zudem, dass Art. 5 Abs. 3 Satz 1 e-Privacy-Richtlinie, dessen Umsetzung § 25 Abs. 1 Satz 1 TTDSG dient, ebenfalls allein an die Speicherung von beziehungsweise den Zugriff auf Informationen anknüpft. Auch diese Norm findet auf die Personen Anwendung, die faktisch Informationen auf den Endgeräten der betroffenen Personen platzieren oder Informationen abrufen, die bereits auf diesen Geräten gespeichert sind. Zur Einholung der Einwilligung verpflichtet ist die die Information versendende und ablesende Stelle. Dies legt ebenso eine Bestimmung der Normadressaten anhand objektiver Kriterien nahe und spricht so zugleich gegen teilweise in Rechtsprechung und Literatur vertretene Auffassungen, die die Adressatenstellung an subjektive Elemente, insbesondere eine Absicht, anknüpfen wollen. Vgl. Piltz , in: Plath, DSGVO/​BDSG/​TTDSG, 4. Auflage 2023, TTDSG § 25 Rn. 26; Artikel-29-Datenschutzgruppe, Stellungnahme 2/2019 zur Werbung auf Basis von Behavioural Targeting, angenommen am 22. Juni 2010, Seite 23; auf die Speicherungs- oder Zugriffsabsicht stellen dagegen ab Hanloser , in: Gierschmann/Baumgartner, TTDSG, 1. Auflage 2023, TTDSG § 25 Rn. 42, und ihm folgend das Oberlandesgericht Frankfurt, Urteil vom 27. Juni 2024 – 6 U 192/23 –, juris Rn. 41. Damit ist allerdings nicht gesagt, nach welchen konkreten Maßgaben zu bestimmen sein soll, welche Personen „faktisch“ die Speicherung oder den Zugriff ausführen. In technischer Hinsicht wird der Zugriff auf die Endeinrichtung durch die Ausführung eines Quelltexts, beispielsweise eines PHP-Skripts oder Java-Skripts, realisiert. Als tatsächliches Kriterium kommt die Kausalität für die Ausführung dieses Quelltexts in Betracht. Hierfür spricht eine Zusammenschau des § 25 Abs. 1 Satz 1 TTSG mit § 29 Abs. 2 TTDSG, der die Zuständigkeit der Beklagten als Aufsichtsbehörde für die Einhaltung des ersteren daran anknüpft, dass Speicherung oder Zugriff „durch“ bestimmte Stellen erfolgen. Es griffe allerdings einerseits zu kurz, lediglich auf die Person abzuheben, die als letztes Glied der Kausalkette die Ausführung des Quelltexts veranlasst. Dies ist oftmals der Endnutzer selbst, der durch den Aufruf einer Internetseite die unmittelbare Ursache für die Ausführung des Quelltexts und damit die Speicherung von oder den Zugriff auf Informationen in seiner Endeinrichtung setzt. Es liegt auf der Hand, dass § 25 Abs. 1 Satz 1 TTDSG nicht dem von der Vorschrift geschützten Endnutzer Pflichten auferlegen soll. Vgl. Sesing-Wagenpfeil , in: Borges/Hilber, BeckOK IT-Recht, Stand Januar 2025, TTDSG § 25 Rn. 44; zurückhaltend Schneider , in: Assion, TTDSG, 1. Auflage 2022, TTDSG § 25 Rn. 17. Andererseits ginge zu weit, eine jede Person zu den Regelungsadressaten zu rechnen, die die Ausführung des Quelltextes auch nur mittelbar kausal verursacht. Solchenfalls wären beispielsweise sämtliche natürliche Personen erfasst, die an der Entwicklung des Quelltexts mitgewirkt haben, ungeachtet des Umstandes, dass diese in aller Regel keinerlei Möglichkeit haben werden, über die Einholung einer Einwilligung nach § 25 Abs. 1 Satz 1 TTDSG und deren Modalitäten zu entscheiden. Damit wäre der Adressatenkreis der Vorschrift ersichtlich zu weit gezogen. Die faktische Betrachtung anhand der Kausalität für Speicherung oder Zugriff kann vor diesem Hintergrund nur den Ausgangspunkt der Bestimmung der aus § 25 Abs. 1 Satz 1 TTDSG Verpflichteten bilden. Der sich hieraus ergebende Kreis potentieller Adressaten bedarf einer Eingrenzung mit Blick auf Sinn und Zweck der Vorschrift. Wie sich den Erwägungsgründen 24 und 25 zur e-Privacy-Richtlinie entnehmen lässt, soll der Nutzer vor einer sogenannten Distanzgefahr geschützt werden, also der Speicherung und dem Auslesen von Informationen auf seinem Endgerät im Wege des Fernzugriffs ohne sein Wissen. Vgl. Burkhardt/​Reif/​Schwartmann , in: Schwartmann/​Jaspers/​Eckhardt, TTDSG, 1. Auflage 2022, TTDSG § 25 Rn. 12; Hanloser , ZD 2021, 121 (121). Der Benutzer soll also vor denjenigen Personen geschützt werden, denen die Realisierung dieser Distanzgefahr im Wege des Fernzugriffs bei wertender Betrachtung zuzurechnen ist und die sie hätten unterbinden können. Entscheidet damit über die Adressatenstellung die Zurechnung der Realisierung einer Gefahr, kann auf die allgemeinen, gefahrenabwehrrechtlichen Grundsätze der Störerhaftung zurückgegriffen werden, insbesondere zur Verhaltensverantwortlichkeit. Als Verhaltensstörer kann, beispielsweise nach § 17 Abs. 1 des Bundespolizeigesetzes, herangezogen werden, wer eine Gefahr verursacht. Verursacher ist jede natürliche oder juristische Person, die an dem Gefahreneintritt zumindest teilweise mitgewirkt hat. Die Mitwirkung kann gleichermaßen in einem Handeln, Dulden oder Unterlassen bestehen. Allerdings reicht eine bloße Kausalität im naturwissenschaftlichen Sinne für eine Verhaltenshaftung nicht aus. Vielmehr bedarf es insbesondere bei mehreren möglichen Verursachern und unterschiedlichen Verursachungsbeiträgen einer wertenden Zurechnung des Gefahreneintritts. Nach der Theorie der unmittelbaren Verursachung ist derjenige Störer, der bei wertender Betrachtung und unter Einbeziehung aller Umstände des jeweiligen Einzelfalls durch seinen Beitrag die Gefahrenschwelle überschritten und dadurch die unmittelbare Ursache für den Eintritt der Gefahr gesetzt hat. Dabei kommt es entscheidend auf das Vorliegen eines hinreichend engen Wirkungs- und Ursachenzusammenhangs zwischen dem Überschreiten der Gefahrengrenze und dem Verhalten einer Person an, der es gerechtfertigt erscheinen lässt, die Pflichtigkeit dieser Person zu bejahen. Dabei können auch juristische Personen des Privatrechts ordnungspflichtig sein. Dies steht der Inanspruchnahme einer für die juristische Person verantwortlichen natürlichen Person als Störer allerdings nicht entgegen. Jedenfalls kann als Störer nur in Anspruch genommen werden, wer in der Lage ist, die Gefahr zu beseitigen. Vgl. Bundesgerichtshof (BGH), Urteil vom 24. November 1967 – V ZR 196/65 –, juris Rn. 11; OVG NRW, Urteile vom 6. September 1993 – 11 A 694/90 –, juris Rn. 38 ff.; vom 20. Mai 2015 – 16 A 1686/09 –, juris Rn. 96 f.; jeweils mit weiteren Nachweisen (m. w. N.). Diese Überlegungen sind im Wesentlichen übertragbar: Das Erfordernis einer Mitwirkung an dem Eintritt einer Gefahr entspricht der im Ausgangspunkt zur Begründung der Adressatenstellung verlangten Kausalität eines Verhaltens für Speicherung oder Zugriff. Nach dem Sinn und Zweck des § 25 Abs. 1 Satz 1 TTDSG genügt auch hier bloße Kausalität im naturwissenschaftlichen Sinne nicht, sondern ist eine wertende Zurechnung der Realisierung der Distanzgefahr durch Speicherung oder Zugriff angezeigt. Es ist ein hinreichend enger Wirkungs- und Ursachenzusammenhang zwischen der Realisierung des Fernzugriffs und dem Verhalten einer Person zu verlangen. Veranlassen juristische Personen die Ausführung des den Fernzugriff realisierenden Quelltextes, werden allerdings regelmäßig allein diese und nicht einzelne Beschäftigte als Adressaten zu qualifizieren sein. Den letzteren wird in aller Regel jede Möglichkeit fehlen, darauf Einfluss zu nehmen, ob und in welcher Weise eine Einwilligung eingeholt wird. Beispielsweise werden einzelne Beschäftigte regelmäßig nicht die Gestaltung eines Einwilligungsbanners beeinflussen können. Angesichts dessen ist im Regelfall die juristische Person, die Gegenstand und Umfang von Speicherung beziehungsweise Zugriff beherrscht und die Modalitäten der Einholung einer Einwilligung bestimmt, heranzuziehen. Vgl. Sesing-Wagenpfeil , in: Borges/Hilber, BeckOK IT-Recht, Stand Januar 2025, TTDSG § 25 Rn. 46, 48; diesbezüglich wohl anderer Ansicht (a. A.) Burkhardt/​Reif/​Schwartmann , in: Schwartmann/​Jaspers/​Eckhardt, TTDSG, 1. Auflage 2022, TTDSG § 25 Rn. 31. Im Einzelfall mag zur Begründung der Adressatenstellung darüber hinaus die – nicht unumstrittene – Figur des Zweckveranlassers herangezogen werden können. Danach kann im allgemeinen Gefahrenabwehrrecht als Verhaltensstörer auch anzusehen sein, wer zwar nicht unmittelbarer Verursacher ist, aber durch sein Verhalten entweder – subjektiv – gezielt die durch den Verursacher eintretende Gefahr auslöst oder – objektiv – eine Situation herbeiführt, in der (nahezu) zwangsläufig von einem Dritten eine Gefahr ausgeht. Der Wirkungs- und Verantwortungszusammenhang zwischen dem Verhalten des Zweckveranlassers und dem Gefahreneintritt muss so eng sein, dass bei wertender Betrachtung das Verhalten des Zweckveranlassers mit der durch den Verursacher unmittelbar herbeigeführten Gefahr oder Störung eine natürliche Einheit bildet. Die Figur des Zweckveranlassers ist Kritik ausgesetzt, weil das eigenverantwortliche Handeln der die Gefahr eigentlich erst unmittelbar verursachenden Dritten aus dem Blick gerät. Bei der Inanspruchnahme als Störer ist dem verfassungsrechtlichen Erfordernis Rechnung zu tragen, dass behördliche Maßnahmen primär gegen den Störer zu richten sind. Eine Heranziehung der Figur des Zweckveranlassers als Begründung für die Störereigenschaft kann allenfalls bei Vorliegen besonderer Umstände in Betracht kommen. Vgl. OVG NRW, Urteil vom 9. Februar 2012 – 5 A 2382/10 –, juris Rn. 45 ff.; Beschlüsse vom 19. Februar 2018 – 4 A 218/16 –, juris Rn. 34 f.; vom 11. Oktober 2024 – 20 A 1550/20 –, juris Rn. 55 f.; Niedersächsisches OVG, Beschluss vom 15. Dezember 2023 – 11 ME 506/23 –, juris Rn. 25; jeweils m. w. N. In der Regel werden nach diesen Maßgaben als Adressaten heranzuziehen sein die natürlichen und juristischen Personen, die den die Speicherung oder den Zugriff auf die Endeinrichtung umsetzenden Quelltext selbst ausführen oder – bei Handeln im Auftrag – diejenigen, die ihn ausführen lassen, oder – verursacht unmittelbar der Endnutzer selbst die Ausführung des Quelltexts – diejenigen, die ihn zum Abruf für den Endnutzer bereithalten beziehungsweise bereithalten lassen. Diese Personen verursachen den Fernzugriff nicht nur kausal, sondern haben regelmäßig zugleich die Entscheidungsgewalt über dessen Ausführung oder Bereithaltung und damit über die Speicherung von und den Zugriff auf Informationen in den Endeinrichtungen der Endnutzer; zugleich haben sie in der Regel die Entscheidungshoheit über die Modalitäten der etwaigen Einholung einer Einwilligung. Ihr Verhalten steht unter diesen Umständen in einem hinreichend engen Wirkungs- und Ursachenzusammenhang mit der Ausführung des Fernzugriffs. Die Heranziehung von Dritten als Zweckveranlasser wird nur in eng umgrenzten Ausnahmefällen unter besonderen Umständen infrage kommen, etwa, wenn diese selbst über Gegenstand und Umfang des Fernzugriffs oder die Einholung einer Einwilligung und deren Modalitäten durch die unmittelbar verhaltensverantwortliche Person entscheiden können. Erfolgt die Speicherung oder der Zugriff im Rahmen der Nutzung eines Telemediums, kommt der Frage, wer als Anbieter dieses Telemediums auftritt, entgegen der Auffassung der Beklagten keine Bedeutung zu. Telemedium ist gemäß § 2 Abs. 1 TTDSG in Verbindung mit § 1 Abs. 1 Satz 1 des Telemediengesetzes in der zum maßgeblichen Zeitpunkt des Erlasses des angefochtenen Bescheides geltenden Fassung vom 23. Juni 2021 (TMG) – inzwischen abgelöst durch das Digitale-Dienste-Gesetz vom 6. Mai 2024 – ein elektronischer Informations- und Kommunikationsdienst, soweit dieser nicht Telekommunikationsdienst oder telekommunikationsgestützter Dienst nach dem Telekommunikationsgesetz oder Rundfunk nach dem Rundfunkstaatsvertrag ist. Anbieter des Telemediums ist gemäß § 2 Abs. 2 Nr. 1 TTDSG, wer das eigene oder fremde Telemedium erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung des eigenen oder fremden Telemediums vermittelt. Dem § 25 TTDSG lässt sich nicht entnehmen, dass auch nur insbesondere Anbieter von Telemedien hätten adressiert werden sollen. Namentlich folgt dies nicht aus § 25 Abs. 2 Nr. 2 TTDSIreland Eine Einwilligung ist danach nicht erforderlich, wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann. Die Regelung entbindet also lediglich Anbieter von Telemediendiensten unter den genannten Voraussetzungen von der Verpflichtung zur Einholung einer Einwilligung. Damit ist bloß gesagt, dass Adressaten des § 25 Abs. 1 Satz 1 TTDSG Anbieter von Telemedien sein können, aber weder, dass sie zwingend Telemedienanbieter sein müssten, noch, dass die Vorschrift insbesondere diese hätte adressieren wollen. Soweit mitunter darauf hingewiesen wird, nur die Telemedienanbieter könnten den Endnutzern im Vorfeld die entscheidenden Informationen zur Verfügung stellen, spricht dies dafür, dass Adressaten des § 25 Abs. 1 Satz 1 TTDSG, erfolgen Speicherung und Zugriff im Rahmen der Nutzung eines Telemediums, regelmäßig zugleich Anbieter desselben sein werden. Dies bedeutet aber nicht, dass ausnahmslos sämtliche der Definition des § 2 Abs. 2 Nr. 1 TTDSG unterfallende Telemedienanbieter als Adressaten des § 25 Abs. 1 Satz 1 TTDSG heranzuziehen wären. Angesichts der weiten Definition der Anbietereigenschaft kann keine Rede davon sein, dass stets sämtlichen Anbietern eines Telemediums nach den oben dargestellten Maßstäben die Realisierung der mit dem Fernzugriff verbundenen Distanzgefahr zuzurechnen wäre. So genügt für die Erbringung eines Telemediums bereits jedwede Ermöglichung der Nutzung eines solchen. Bloße Unterstützungsleistungen vermögen die Anbietereigenschaft bereits zu begründen. Vgl. Burkhardt/​Reif/​Schwartmann , in: Schwartmann/​Jaspers/​Eckhardt, TTDSG, 1. Auflage 2022, TTDSG § 25 Rn. 30; Ettig , in: Taeger/​Gabel, DSGVO/BDSG/TTDSG, 4. Auflage 2022, TTDSG § 2 Rn. 14; Hanloser , in: Gierschmann/Baumgartner, TTDSG, 1. Auflage 2023, TTDSG § 25 Rn. 42; Piltz , in: Plath, DSGVO/​BDSG/​TTDSG, 4. Auflage 2023, TTDSG § 25 Rn. 26 f.; Riechert , in: dies./Wilmer, TTDSG, 1. Auflage 2022, TTDSG § 25 Rn. 10; Schneider , in: Assion, TTDSG, 1. Auflage 2022, TTDSG § 25 Rn. 17; Wilmer , in: Riechert/​ders., TTDSG, 1. Auflage 2022, TTDSG § 2 Rn. 8; Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD), Bayerische öffentliche Stellen und Telemedien – Erläuterungen zum TTDSG – Orientierungshilfe vom 1. Dezember 2021, Rn. 24 f.; a. A. Sesing-Wagenpfeil , in: Borges/Hilber, BeckOK IT-Recht, Stand Januar 2025, TTDSG § 25 Rn. 50, der die Anbietereigenschaft zur Begründung der Adressatenstellung ausreichen lässt; ähnlich Datenschutzkonferenz (DSK), Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von „Facebook-Fanpages“ vom 10. November 2022, Seite 7 f., wonach die Vorschrift insbesondere diese adressieren soll. Bei alldem kommt dem für die Bestimmung der datenschutzrechtlichen Verantwortlichkeit gemäß Art. 4 Nr. 7 Halbs. 1 DSGVO relevanten Kriterium der Entscheidung über Zwecke und Mittel der Datenverarbeitung allenfalls indizielle Bedeutung zu. Die datenschutzrechtliche Verantwortlichkeit ist zur Begründung der Adressatenstellung im Hinblick auf § 25 Abs. 1 Satz 1 TTDSG allein weder ausreichend noch erforderlich. Die Entscheidung über Zwecke und Mittel der Verarbeitung wird nicht notwendig von derselben Person oder denselben Personen getroffen, die spezifisch über die Ausführung des Fernzugriffs entscheiden. Ein Gleichlauf von datenschutzrechtlicher Verantwortlichkeit und Verpflichtung aus § 25 Abs. 1 Satz 1 TTDSG ist vor diesem Hintergrund nicht zwingend. Vgl. Burkhardt/​Reif/​Schwartmann , in: Schwartmann/​Jaspers/​Eckhardt, TTDSG, 1. Auflage 2022, TTDSG § 25 Rn. 31; Piltz , in: Plath, DSGVO/​BDSG/​TTDSG, 4. Auflage 2023, TTDSG § 25 Rn. 26; Sesing-Wagenpfeil , in: Borges/Hilber, BeckOK IT-Recht, Stand Januar 2025, TTDSG § 25 Rn. 47, 51; Piltz , CR 2021, 555 Rn. 34. Zusammenfassend ist festzuhalten, dass Adressat des § 25 Abs. 1 Satz 1 TTDSG jede natürliche oder juristische Person ist, die kausal die Ausführung des die Speicherung oder den Zugriff auf die Endeinrichtung umsetzenden Quelltextes veranlasst und der darüber hinaus bei wertender Betrachtung die mit dem Fernzugriff einhergehende Realisierung der Distanzgefahr zuzurechnen ist. Das sind regelmäßig die Personen, die den Quelltext selbst ausführen beziehungsweise ausführen lassen oder für den Endnutzer zum Abruf bereithalten oder bereithalten lassen. Ohne Bedeutung ist, ob diese Personen Anbieter eines Telemediums sind, und von allenfalls indizieller Bedeutung, ob sie datenschutzrechtlich Verantwortliche sind. (4) Die Klägerin zu 1 ist nach diesen Maßgaben nicht Adressatin des § 25 Abs. 1 Satz 1 TTDSG im Hinblick auf das Setzen und Auslesen der streitgegenständlichen „Cookies“. Der Betrieb der „Fanpage“ ist zwar mittelbar kausal für die Platzierung des „c-user-Cookies“, des „datr-Cookies“ und des „fr-Cookies“, sofern der Benutzer die Interaktion, die die Platzierung der „Cookies“ auslöst, im Rahmen des Besuches der „Fanpage“ vornimmt. Bei wertender Betrachtung ist der Klägerin zu 1 aber die Realisierung der Distanzgefahr durch den mit dem Setzen und Auslesen der „Cookies“ einhergehenden Fernzugriff auf die Endeinrichtung des Nutzers nicht zuzurechnen. Die Klägerin zu 1 ist zwar Anbieterin eines Telemediums im Sinne des § 2 Abs. 2 Nr. 1 TTDSIreland Der Betrieb des sozialen Netzwerks der Klägerin zu 2 ist, insoweit er nicht, was hier offenbleiben mag, namentlich im Hinblick auf den „Facebook Messenger“ als Telekommunikationsdienst einzustufen ist, vgl. hierzu BGH, Beschluss vom 24. September 2019 – VI ZB 39/18 –, juris Rn. 26, als Telemediendienst anzusehen. Der Begriff umfasst jedes telekommunikativ-elektronische Bereitstellen von Text-, Bild- oder Toninhalten im Verhältnis von Diensteanbieter und Nutzer. Für die Abgrenzung verschiedener Dienste untereinander ist eine technisch-wirtschaftliche Sicht maßgebend, wonach darauf abzustellen ist, welche Funktionen und Inhalte bei wertender Betrachtung als in sich geschlossenes, technisch nutzbares und wirtschaftlich zu vermarktendes Angebot anzusehen sind. Das Betreiben eines sozialen Netzwerkes ist nach diesen Maßstäben insgesamt als ein Dienst anzusehen, auch wenn sowohl eine Chatfunktion als auch die Möglichkeiten, ein Profil zu erstellen oder Beiträge zu veröffentlichen, zur Verfügung stehen. Das soziale Netzwerk „Facebook“ ermöglicht durch seine Strukturen die Bereitstellung von Informationen sowie Diskussion über Sachthemen, das heißt das Verbreiten derartiger Themen und den anschließenden Dialog hierüber, auch im Rahmen des Angebots der Einrichtung von „Fanpages“. Vgl. OVG SH, Urteil vom 25. November 2021 – 4 LB 20/13 –, juris Rn. 87; Gerhold/Handel , in: Schumann/Mosbacher/König, Medienstrafrecht, 1. Auflage 2023, TMG § 1 Rn. 7 f.; Roßnagel , Neue Zeitschrift für Verwaltungsrecht 2007, 743 (744); Martini / von Zimmermann , CR 2007, 427 (430). Die Klägerin zu 1 ist Anbieterin des Telemediendienstes. Sie erbringt selbst einen Telemediendienst. Hierfür genügt, wie bereits dargestellt, jegliche Ermöglichung der Nutzung von Telemedien. Das Betreiben einer „Fanpage“ erfüllt diese Voraussetzungen entgegen der Auffassung der Klägerin zu 2. Jedenfalls vermittelt die Klägerin zu 1 einen Zugang zur Nutzung. Vgl. OVG SH, Urteil vom 25. November 2021 – 4 LB 20/13 –, juris Rn. 88; DSK, Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von „Facebook-Fanpages“ vom 10. November 2022, Seite 7 f. Allein die Anbietereigenschaft genügt jedoch, wie dargestellt, nicht zur Begründung der Adressatenstellung im Hinblick auf § 25 Abs. 1 Satz 1 TTDSG, ist vielmehr für sich betrachtet ohne Belang. Die Klägerin zu 1 beherrscht gleichwohl die Speicherung von und den Zugriff auf Informationen in den Endeinrichtungen der Endnutzer, die mit der Platzierung der streitgegenständlichen „Cookies“ einhergehen, bei wertender Betrachtung nicht. Es besteht kein hinreichender Wirkungs- und Ursachenzusammenhang zwischen dem Betrieb der „Fanpage“ und der Realisierung des Fernzugriffs. Der Betrieb der „Fanpage“ steht auch nicht in einem derart engen Zusammenhang mit der Platzierung der streitbefangenen „Cookies“, dass sie bei wertender Betrachtung eine natürliche Einheit bilden würden und die Klägerin zu 1 als Zweckveranlasserin anzusehen wäre. Weder kommt es der Klägerin zu 1 subjektiv auf die Platzierung der „Cookies“ an noch ist diese zwangsläufige Folge ihres Verhaltens. Das folgt entgegen der in der mündlichen Verhandlung betonten Auffassung der Klägerin zu 1 indessen nicht bereits daraus, dass die Besucher ihrer „Fanpage“, um die Platzierung eines „Cookies“ auszulösen, zunächst mit dem Einwilligungsbanner interagieren müssen. Nach der Lebenserfahrung ist jedenfalls mit an Sicherheit grenzender Wahrscheinlichkeit zu erwarten, dass Personen, die die „Fanpage“ der Klägerin zu 1 ansteuern, mit dem Einwilligungsbanner interagieren werden, weil sie ansonsten den Inhalt der „Facebook“-Seite schlechterdings nicht zur Kenntnis nehmen könnten. Allein die „Barriere“ des Einwilligungsbanners durchbräche angesichts dessen einen ansonsten gegebenen Ursachen- und Wirkungszusammenhang zwischen dem Betrieb der „Fanpage“ und der Platzierung von „Cookies“ nicht. Ein solcher ist aber nicht gegeben. Von der Entscheidung über die Eröffnung der „Fanpage“ abgesehen, die lediglich mittelbar kausal für die Platzierung von „Cookies“ im Rahmen des Besuchs derselben durch einen Nutzer ist, besteht kein Zusammenhang zwischen dem Verhalten der Klägerin zu 1 und der Platzierung der „Cookies“. Die hier streitgegenständlichen werden bereits nicht zwingend im Rahmen des Besuchs einer „Fanpage“ gesetzt. Die Platzierung der „Cookies“ wird vielmehr durch bestimmte Interaktionen des Endnutzers auf einer „Facebook“-Seite oder externen Internetseite ausgelöst, und zwar unabhängig davon, ob die „Fanpage“ der Klägerin zu 1 besucht wurde. So wird das „c-user-Cookie“ gesetzt, sobald ein registrierter Benutzer sich anmeldet, und das „datr-Cookie“, sobald der Benutzer mit dem Einwilligungsbanner interagiert hat. Auch die Platzierung des „fr-Cookies“ ist von bestimmten Aktivitäten des Benutzers abhängig, unter anderem bei dem Besuch externer Internetseiten, die das „Facebook-Pixel-Plugin“ verwenden. Dieses platziert auf der Internetseite pixelgroße Felder, die, werden sie beim Aufruf der Seite geladen, die Speicherung des „fr-Cookies“ durch die Klägerin zu 2 auslösen. Der Klägerin zu 2 wird auf diese Weise mitgeteilt, welche externen Internetseiten der Benutzer besucht hat, was ihr ermöglicht, personalisierte Werbung zu liefern. Vgl. diesbezügliche Erläuterungen in den „Cookie“-Richtlinien das „Facebook-Pixel-Plugin“ verwendender Drittanbieter, zum Beispiel „https://de.remington-europe.com/cookie-richtlinien“; „https://www.blancpain.com/de/hinweis-zu-cookies-pixel-und-social-plug-ins“; jeweils abgerufen am 8. Mai 2025. Die „Cookies“ können also zwar bei Gelegenheit des Aufrufs der „Fanpage“ der Klägerin zu 1 gesetzt werden; soweit das „fr-Cookie“ im Zusammenhang mit dem Besuch einer externen Internetseite gesetzt wird, ist selbst dies nicht der Fall. Jedoch ist der Aufruf spezifisch einer „Fanpage“, geschweige denn gerade der „Fanpage“ der Klägerin zu 1, nicht Voraussetzung der Platzierung der „Cookies“. Die Klägerin zu 1 kann auch weder rechtlich noch tatsächlich Einfluss darauf nehmen, ob und welche „Cookies“ und für welchen Zeitraum diese gesetzt werden, wenn der Benutzer die die Platzierung des „Cookies“ auslösende Interaktion im Rahmen des Besuches ihrer „Fanpage“ vornimmt. In rechtlicher Hinsicht räumen die zwischen den Klägerinnen bestehenden Nutzungsvereinbarungen der Klägerin zu 1 nicht das Recht ein, über die Platzierung von „Cookies“ zu entscheiden. Vielmehr macht die Klägerin zu 2 einseitig die Hinnahme des Speicherns und Auslesens von „Cookies“ zur Voraussetzung für die Inanspruchnahme der Dienste ihres sozialen Netzwerks auch im Hinblick auf den Betrieb einer „Fanpage“, dies zwecks Finanzierung ihrer Dienste. Vorgaben zur Speicherung und zum Auslesen von „Cookies“, respektive der anschließenden Auswertung der gewonnenen Daten durften „Fanpage“-Betreiber in der Vergangenheit im Hinblick auf die Erstellung von „Insights“-Statistiken machen. Sie konnten Kriterien vorgeben, nach denen diese Statistiken zu erstellen waren. Zum Zeitpunkt des Erlasses des angefochtenen Bescheides wurden „Fanpage“-Betreibern diese Statistiken allerdings bloß noch in statischer Form zur Verfügung gestellt. Die Möglichkeit einer Parametrierung war nicht mehr gegeben. Ob die bloße Bekanntgabe der Ergebnisse der Auswertung zuvor mittels der Platzierung von „Cookies“ gewonnener Daten einen hinreichenden Ursachen- und Wirkungszusammenhang zwischen dem Betrieb einer „Fanpage“ und dem Setzen von „Cookies“ zu begründen vermag, erscheint überaus zweifelhaft, ist vorliegend aber jedenfalls deshalb nicht entscheidungserheblich, weil zur Zeit des Erlasses des Datenverarbeitungsverbots der Klägerin zu 1 jene Statistiken ohnehin nicht mehr zur Verfügung gestellt wurden. In tatsächlicher Hinsicht äußert sich zwar ein gewisser Einfluss der Klägerin zu 1 gerade darin, dass sie die Klägerin zu 2 dazu bewogen hat, ihr die „Insights“-Statistiken nicht mehr zur Verfügung zu stellen. Jedoch hat sie spezifisch auf die vorliegend streitbefangenen Datenverarbeitungen auch faktisch keinen Einfluss. Wie die Klägervertreter in der mündlichen Verhandlung ausgeführt haben, war die Klägerin zu 2 zu keiner Zeit bereit, auf Betreiben der Klägerin zu 1 das Speichern und Auslesen der streitgegenständlichen „Cookies“ zu unterlassen oder dessen Umfang zu modifizieren. Das stellt auch die Beklagte nicht in Abrede. Über den Inhalt dieser Datensätze, die Voraussetzungen des Platzierens der „Cookies“ und ihre Speicherdauer entscheidet allein die Klägerin zu 2. c) Als rechtswidrig erweist sich das Datenverarbeitungsverbot auch, soweit die Beklagte Art. 58 Abs. 2 Buchst. f DSGVO in unmittelbarer Anwendung als Ermächtigungsgrundlage heranzieht. Die Beklagte stützt das Verarbeitungsverbot insofern auf Verstöße gegen Art. 6 Abs. 1 Unterabs. 1 DSGVO, wonach die Verarbeitung nur rechtmäßig ist, wenn eine der dort genannten Bedingungen erfüllt ist, und Art. 5 Abs. 2 DSGVO, wonach der Verantwortliche für die Einhaltung der in Art. 5 Abs. 1 DSGVO niedergelegten Grundsätze verantwortlich ist und ihre Einhaltung nachweisen muss. Auf dieser Grundlage ist das Datenverarbeitungsverbot ebenso jedenfalls materiell rechtswidrig. Ein Verstoß der Klägerin zu 1 gegen die Vorschriften des Art. 6 Abs. 1 Unterabs. 1, Art. 5 Abs. 1, 2 DSGVO liegt im Hinblick auf die streitgegenständlichen Datenverarbeitungen nicht vor, weil sie nicht deren Adressatin ist. Die Klägerin zu 1 ist datenschutzrechtlich nicht gemeinsam mit der Klägerin zu 2 verantwortlich gemäß Art. 4 Nr. 7 Halbs. 1, Art. 26 Abs. 1 Satz 1 DSGVO. Verantwortlicher ist gemäß Art. 4 Nr. 7 Halbs. 1 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemäß Art. 26 Abs. 1 Satz 1 DSGVO gemeinsam Verantwortliche. Diese Vorschrift greift die Kriterien des Art. 4 Nr. 7 Halbs. 1 DSGVO auf. Um als gemeinsam Verantwortlicher angesehen werden zu können, muss der entsprechende Akteur eigenständig der Definition des Verantwortlichen in Art. 4 Nr. 7 Halbs. 1 DSGVO entsprechen. Vgl. EuGH, Urteil vom 5. Dezember 2023 – C-683/21 [ECLI:EU:C:2023:949] – Rn. 41. Der Begriff der für die Verarbeitung (gemeinsam) Verantwortlichen ist entsprechend dem Ziel der Datenschutzgrundverordnung, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre, bei der Verarbeitung personenbezogener Daten zu gewährleisten, wie sich dies aus Art. 1 Abs. 2 DSGVO ergibt, weit auszulegen. Das Ziel der zitierten Bestimmungen besteht darin, durch eine weite Definition des Begriffs des Verantwortlichen einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten. Vgl. EuGH, Urteil vom 05. Juni 2018 – C-210/​16 [ECLI:EU:C:2018:388], Wirtschaftsakademie – Rn. 28. Entgegen der Auffassung der Beklagten setzt die gemeinsame Verantwortlichkeit allerdings eine gemeinsame Festlegung von sowohl Zwecken als auch Mitteln der Verarbeitung voraus. Dies gilt im Hinblick auf jeden einzelnen der streitgegenständlichen Datenverarbeitungsvorgänge [dazu aa)]. Ob die Mittel der Datenverarbeitung gemeinsam festgelegt werden, ist auf Grundlage einer Gesamtwürdigung der Umstände des Einzelfalls zu beurteilen. Die bloße Ermöglichung einer Datenverarbeitung begründet für sich betrachtet keine gemeinsame Festlegung der Mittel [dazu bb)]. In Anwendung dieser Maßstäbe ist die Klägerin zu 1 bereits deshalb für die streitgegenständlichen Datenverarbeitungen nicht verantwortlich, weil sie deren Mittel nicht allein oder gemeinsam mit der Klägerin zu 2 festlegt [dazu cc)]. aa) Die gemeinsame Verantwortlichkeit setzt eine gemeinsame Festlegung sowohl von Zwecken als auch Mitteln der Verarbeitung voraus. Die Entscheidung über Zwecke und Mittel kann gemäß Art. 4 Nr. 7 Halbs. 1 DSGVO allein oder gemeinsam erfolgen. In beiden Fällen ist nach dem Wortlaut dieser Vorschrift und des Art. 26 Abs. 1 Satz 1 DSGVO verantwortlich indes nur, wer Zwecke „und“ Mittel der Verarbeitung festlegt. Dem entspricht, dass es nach dem Erwägungsgrund 79 zur Datenschutzgrundverordnung einer klaren Zuteilung der Verantwortlichkeiten unter anderem in Fällen bedarf, in denen ein Verantwortlicher die Verarbeitungszwecke „und“ -mittel gemeinsam mit anderen Verantwortlichen festlegt. Im Hinblick auf den auch für Sanktionen ohne strafrechtlichen Charakter geltenden Bestimmtheitsgrundsatz erscheint eine eng an ihrem Wortlaut orientierte Auslegung der Vorschriften des Art. 4 Nr. 7 Halbs. 1 und Art. 26 Abs. 1 Satz 1 DSGVO auch angesichts der bei Verstößen gegen die Pflichten des Verantwortlichen vorgesehenen Verhängung hoher Geldbußen gemäß Art. 83 Abs. 4 Buchst. a DSGVO geboten. Außerdem wurde bereits ausgeführt, dass jeder gemeinsam Verantwortliche eigenständig der Definition des Verantwortlichen in Art. 4 Nr. 7 Halbs. 1 DSGVO entsprechen muss. Wer lediglich über Zwecke oder Mittel der Verarbeitung entscheidet, entspricht dieser Definition nicht. Vgl. Martini , in: Paal/Pauly, DSGVO/BDSG, 3. Auflage 2021, DSGVO Art. 26 Rn. 21a; Petri/Stief , in: Simitis/Hornung/Spieker gen. Döhmann, DSGVO, 2. Auflage 2025, DSGVO Art. 26 Rn. 12; Piltz , in: Gola/Heckmann, DSGVO/BDSG, 3. Auflage 2022, DSGVO Art. 26 Rn. 4; Plath , in: Plath, DSGVO/​BDSG/​TTDSG, 4. Auflage 2023, DSGVO Art. 26 Rn. 10; Kartheuser/Nabulsi , Zeitschrift für das Recht der Digitalisierung, Datenwirtschaft und IT (Multimedia und Recht – MMR) 2018, 717 (720); Europäischer Datenschutzausschuss (EDSA), Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, angenommen am 7. Juli 2021, Seite 3 und Rn. 36, 50, 53; BayLfD, Gemeinsame Verantwortlichkeit – Orientierungshilfe, Stand Juni 2024, Rn. 44; a. A. – diese unzutreffend als „allgemeine Auffassung“ bezeichnend – Borges , in: ders./Hilber, BeckOK IT-Recht, Stand Juli 2021, DSGVO Art. 26 Rn. 10; ebenso Hartung , in: Kühling/Buchner, DSGVO/BDSG, 4. Auflage 2024, DSGVO Art. 26 Rn. 16; Laue/Nink/Kremer , Datenschutzrecht in der betrieblichen Praxis, § 5 Rn. 18; Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, angenommen am 16. Februar 2010, Seite 23; zum unionsrechtlichen Bestimmtheitsgrundsatz: Cornelius , in: Klaas/Momsen/Wybitul, Datenschutzsanktionenrecht, § 2 Rn. 10. Dem entsprechen auch die verwaltungs- und unionsgerichtliche Rechtsprechung. So verneinte das Oberverwaltungsgericht Schleswig-Holstein eine gemeinsame Verantwortlichkeit des Betreibers einer kommerziellen „Fanpage“ und der Klägerin zu 2 im Hinblick auf die Verknüpfung von „Fanpage“-Aufruf und Daten eines „Facebook“-Mitglieds in Profilen sowie deren Nutzung zu Werbezwecken, weil es „jedenfalls“ an einer gemeinsamen Entscheidung über den Zweck der Datenverarbeitungen fehle. Vgl. OVG SH, Urteil vom 25. November 2021 – 4 LB 20/13 –, juris Rn. 153. Genügte zur Begründung der gemeinsamen Verantwortlichkeit bereits eine gemeinsame Mittelfestlegung, hätte diese nicht offengelassen werden können. Auch der Gerichtshof lässt erkennen, dass eine (gemeinsame) Festlegung von sowohl Zwecken als auch Mitteln zur Begründung einer (gemeinsamen) Verantwortlichkeit notwendig sei. In der Sache „Fashion ID“ hätte es ansonsten nach Feststellung einer gemeinsamen Festlegung der Mittel keiner Überlegungen zu einer gemeinsamen Zweckfestlegung mehr bedurft. Die beklagtenseits in Bezug genommene Formulierung, wonach Personen für Vorgänge, für die sie weder Zwecke noch Mittel festlegen, nicht verantwortlich seien, ist vor diesem Hintergrund dahin zu verstehen, dass jedenfalls unter diesen Umständen keine gemeinsame Verantwortlichkeit besteht, nicht aber bereits die Entscheidung über Zwecke oder Mittel zu ihrer Begründung genügte. Vgl. EuGH, Urteil vom 29. Juli 2019 – C-40/17 [ECLI:EU:C:2019:629], Fashion ID – Rn. 74, 77 ff. Der Beklagten kann auch insofern nicht gefolgt werden, als sie die Auffassung vertritt, bei einer Kette von Datenverarbeitungsvorgängen sei eine gesamtheitliche Betrachtung anzustellen und müsse nicht jeder in Betracht kommende Akteur für jeden einzelnen Vorgang sämtliche Voraussetzungen des Art. 4 Nr. 7 Halbs 1 DSGVO beziehungsweise Art. 26 Abs. 1 Satz 1 DSGVO erfüllen. Richtig ist zwar, dass nach der Rechtsprechung des Gerichtshofs das Bestehen einer gemeinsamen Verantwortlichkeit nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure für dieselbe Verarbeitung personenbezogener Daten zur Folge. Vielmehr können diese Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein, sodass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist. Vgl. EuGH, Urteile vom 10. Juli 2018 – C-25/17 [ECLI:EU:C:2018:551], Jehovan todistajat – Rn. 66, 69; vom 07. März 2024 – C-604/​22 [ECLI:EU:C:2024:214], IAB Europe – Rn. 58. Daraus folgt jedoch nicht, dass eine Reihe von Vorgängen in der Weise als einheitlicher Lebenssachverhalt zu beurteilen wäre, dass die Verantwortlichkeit eines Akteurs sich auch auf solche Vorgänge erstrecken könnte, für die er Zwecke oder Mittel nicht (gemeinsam mit anderen) festlegt. Im Gegenteil gebietet die zitierte Rechtsprechung gerade eine Differenzierung zwischen verschiedenen Datenverarbeitungsvorgängen. Wie der Gerichtshof in der Sache „Fashion ID“ betont, kann eine Person nur für diejenigen Vorgänge der Verarbeitung personenbezogener Daten gemeinsam mit anderen verantwortlich sein, über deren Zwecke und Mittel sie gemeinsam mit diesen entscheidet. Vgl. EuGH, Urteil vom 29. Juli 2019 – C-40/17 [ECLI:EU:C:2019:629], Fashion ID – Rn. 74. Dies setzt eine differenzierte Betrachtung jedes einzelnen Datenverarbeitungsvorgangs voraus. Eine gesamtheitliche Betrachtung einer Kette von Datenverarbeitungsvorgängen unter Verzicht auf das Erfordernis der Festlegung von Zwecken und Mitteln in Bezug auf jeden einzelnen dieser Vorgänge ist hiermit nicht zu vereinbaren. bb) Ob die Mittel der Datenverarbeitung gemeinsam festgelegt werden, ist auf Grundlage einer Gesamtwürdigung der Umstände des Einzelfalls zu beurteilen. Die Mittel einer bestimmten Verarbeitung legt fest, wer entscheidet, auf welche Weise die Verarbeitung erfolgt. Gemeinsam verantwortlich kann bereits sein, wer im Eigeninteresse auf die Entscheidung über die Mittel der Verarbeitung Einfluss genommen hat. Ein irgendwie gearteter Einfluss genügt dabei aber nicht. Vielmehr ist ein bestimmender, also (mit-)entscheidender Einfluss erforderlich. Eine gemeinsame Beteiligung kann dabei in Form einer gemeinsam getroffenen Entscheidung von zwei oder mehr Stellen vorliegen oder sich aus konvergierenden Entscheidungen von zwei oder mehr Stellen über die Mittel ergeben. Entscheidungen können als konvergierend angesehen werden, wenn sie einander ergänzen und für die Verarbeitung in einer Weise erforderlich sind, dass sie einen spürbaren Einfluss auf die Bestimmung der Mittel der Verarbeitung nehmen. Vgl. EuGH, Urteil vom 5. Dezember 2023 – C-683/21 [ECLI:EU:C:2023:949] –, Rn. 31; Plath , in: Plath, DSGVO/​BDSG/​TTDSG, 4. Auflage 2023, DSGVO Art. 26 Rn. 15; EDSA, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, angenommen am 7. Juli 2021, Rn. 35, 54 f. Bei der Beurteilung, ob ein Akteur auf die Entscheidung über die Mittel der Verarbeitung in diesem Sinne Einfluss genommen hat, ist zu bedenken, dass der Begriff des Verantwortlichen ein funktionales Konzept darstellt. Formale Aspekte sind nicht maßgeblich. So kann die notwendige Entscheidungsbefugnis nicht allein aus einer Rechtsvorschrift folgen, sondern ebenso aus einer nach den Umständen des Einzelfalls gegebenen faktischen Einflussnahme. Ergibt sich die Entscheidungshoheit eines Akteurs nicht aus Rechtsvorschriften, ist über seine Einstufung als Verantwortlicher auf Grundlage einer Beurteilung der tatsächlichen Umstände der Verarbeitung zu entscheiden. Bei dieser Beurteilung kommt dem Grad der tatsächlich von einer Person ausgeübten Kontrolle eine Bedeutung zu. Außerdem können bestimmte Tätigkeiten eine datenschutzrechtliche Verantwortlichkeit implizieren. Auch die Außenwirkung der Tätigkeit und eine hiermit verbundene Erwartungshaltung der Betroffenen kann in die Bewertung eingestellt werden. In die Gesamtbetrachtung fließt außerdem ein, ob eine Stelle eine Datenverarbeitung bewusst akzeptiert, weil sie etwa von ihr profitiert. Schließlich kann eine organisierende und koordinierende Hoheit die Verantwortlichkeit indizieren. Vgl. Arning/Rothkegel , in: Taeger/​Gabel, DSGVO/BDSG/ TTDSG, 4. Auflage 2022, DSGVO Art. 4 Rn. 181 ff.; Petri/Stief in: Simitis/Hornung/Spieker gen. Döhmann, Datenschutzrecht, 2. Auflage 2025, DSGVO Art. 4 Nr. 7 Rn. 22 ff.; Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, angenommen am 16. Februar 2010, Seite 14 f.; EDSA, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, angenommen am 7. Juli 2021, Rn. 20 ff. Bei der Festlegung der Mittel ist zwischen wesentlichen und nicht wesentlichen Mitteln zu differenzieren. Während die Entscheidung über wesentliche Mittel der Verarbeitung in aller Regel Sache des Verantwortlichen ist, rechtfertigt eine – auch entscheidende – Einflussnahme auf unwesentliche Mittel der Verarbeitung nicht ohne weiteres die Annahme einer gemeinsamen Verantwortlichkeit. Wesentliche Mittel sind solche, die in engem Zusammenhang mit dem Zweck und dem Umfang der Verarbeitung stehen wie die Art der verarbeiteten personenbezogenen Daten, die Dauer der Verarbeitung, die Kategorien von Empfängern und die Kategorien betroffener Personen. Bei den nicht wesentlichen Mitteln stehen dagegen Aspekte der Umsetzung in Rede wie die Wahl einer bestimmten Hard- oder Software oder die Sicherheitsmaßnahmen im Detail. Vgl. Arning/Rothkegel , in: Taeger/​Gabel, DSGVO/BDSG/ TTDSG, 4. Auflage 2022, DSGVO Art. 4 Rn. 184; Petri/Stief in: Simitis/Hornung/Spieker gen. Döhmann, Datenschutzrecht, 2. Auflage 2025, DSGVO Art. 4 Nr. 7 Rn. 21; EDSA, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, angenommen am 7. Juli 2021, Rn. 32 ff. Keinesfalls genügt allerdings die bloße Mitursächlichkeit des Verhaltens einer Person für eine Verarbeitung personenbezogener Daten für die Annahme einer gemeinsamen Festlegung – auch wesentlicher – Mittel. Das gilt auch dann, wenn die konkrete Datenverarbeitung durch dieses Verhalten erst ermöglicht wird. So macht nach der Rechtsprechung des Gerichtshofs der bloße Umstand der Nutzung eines sozialen Netzwerks wie „Facebook“ für sich betrachtet den Nutzer – auch einen „Fanpage“-Betreiber – nicht für die von diesem Netzwerk vorgenommene Verarbeitung personenbezogener Daten verantwortlich. Vgl. EuGH, Urteil vom 05. Juni 2018 – C-210/​16 [ECLI:EU:C:2018:388], Wirtschaftsakademie –, Rn. 35. Ließe man die bloße Ermöglichung einer Datenverarbeitung für sich genommen bereits zur Begründung einer gemeinsamen Verantwortlichkeit genügen, wäre ebendies jedoch nahezu zwangsläufig die Konsequenz. Es erscheint praktisch ausgeschlossen, ein soziales Netzwerk zu nutzen, ohne damit wenigstens mittelbar dem Betreiber dieses Netzwerks Datenverarbeitungen zu ermöglichen. Die Inanspruchnahme von einer anderen Stelle zur Verfügung gestellter Mittel schließt eine gemeinsame Festlegung der Mittel angesichts dessen zwar nicht aus, begründet sie jedoch nur in Zusammenschau mit weiteren Umständen des Einzelfalls, wenn hiernach der Nutzer des bestehenden technischen Systems über die in diesem Zusammenhang durchzuführende Verarbeitung personenbezogener Daten entscheiden kann. Der Umstand, dass der Nutzer eines sozialen Netzwerks sich einer eingerichteten Plattform bedient, vermag ihn von seinen Verpflichtungen im Bereich des Schutzes personenbezogener Daten also, worauf die Beklagte zurecht hinweist, nicht zu befreien. Daraus folgt indes umgekehrt nicht, dass allein die mit der Inanspruchnahme der Plattform einhergehende Ermöglichung von Datenverarbeitungen zur Begründung einer Verantwortlichkeit bereits hinreichen würde. Vgl. EuGH, Urteil vom 05. Juni 2018 – C-210/​16 [ECLI:EU:C:2018:388], Wirtschaftsakademie –, Rn. 40; EDSA, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, angenommen am 7. Juli 2021, Rn. 64 f. Die Mitursächlichkeit des Verhaltens einer Person für die Verarbeitung personenbezogener Daten ist vielmehr lediglich ein Umstand, der im Rahmen der vorzunehmenden Gesamtbetrachtung zu berücksichtigen ist. Dem entspricht die Rechtsprechung des Gerichtshofs in der Sache „Wirtschaftsakademie“. Zwar wird dort zunächst betont, dass der Betreiber einer auf „Facebook“ unterhaltenen „Fanpage“ mit der Einrichtung einer solchen Seite „Facebook“ die Möglichkeit gebe, auf dem Computer oder jedem anderen Gerät der Person, die seine „Fanpage“ besucht hat, „Cookies“ zu platzieren, damit einhergehende Datenverarbeitungen also ermöglicht. Vgl. EuGH, Urteil vom 05. Juni 2018 – C-210/​16 [ECLI:EU:C:2018:388], Wirtschaftsakademie –, Rn. 35. Indessen stellt der Gerichtshof im Anschluss heraus, dass nach Maßgabe der seiner Entscheidung zugrunde zu legenden Sachlage die Einrichtung einer „Fanpage“ dem Betreiber eine Parametrierung erlaube. Mithilfe der durch „Facebook“ zur Verfügung gestellten Filter könne der Betreiber Kriterien festlegen, nach denen die „Insights“-Statistiken erstellt werden sollten. Ferner ging der Gerichtshof davon aus, dass die Kategorien von Personen bezeichnet werden konnten, deren personenbezogene Daten durch „Facebook“ auszuwerten waren. Erst in Zusammenschau mit diesen Umständen zieht der Gerichtshof den Schluss, dass der Betreiber einer auf „Facebook“ unterhaltenen „Fanpage“ zur Verarbeitung der personenbezogenen Daten der Besucher der Seite beitrage. Unter „diesen Umständen“ stellt der Gerichtshof abschließend fest, dass der Betreiber der „Fanpage“ gerade „durch die von ihm vorgenommene Parametrierung“ an der Entscheidung unter anderem über die Mittel der Verarbeitung beteiligt sei. Vgl. ebd. Rn. 36 ff. Die bloße Ermöglichung der Datenverarbeitungen genügte dem Gerichtshof zur Bejahung einer gemeinsamen Mittelfestlegung angesichts dessen erkennbar nicht. Die sich anschließenden Urteile des Bundesverwaltungsgerichts und des Oberverwaltungsgerichts Schleswig-Holstein betonen ihrerseits zwar primär die Ermöglichung der Datenverarbeitungen durch den Betreiber der „Fanpage“. Die Judikate sind allerdings vor dem Hintergrund der zugrundeliegenden Rechtsprechung des Gerichtshofs zu lesen. Außerdem wird jeweils zumindest auch auf die Parametrierung durch den Betreiber der „Fanpage“ abgehoben. Vgl. BVerwG, Urteil vom 11. September 2019 – 6 C 15.18 –, juris Rn. 21, und OVG SH, Urteil vom 25. November 2021 – 4 LB 20/13 –, juris Rn. 150; im Ergebnis wie hier im Übrigen die wohl herrschende Meinung in der Literatur, vgl. etwa Freund , in: Schuster/​Grützmacher, IT-Recht, 1. Auflage 2020, DSGVO Art. 26 Rn. 34; Golland , Datenverarbeitung in sozialen Netzwerken, 1. Auflage 2018, § 6 Abschnitt II.2.b.aa; Lang , in: Taeger/​Gabel, DSGVO/BDSG/TTDSG, 4. Auflage 2022, DSGVO Art. 26 Rn. 51; Martini , in: Paal/Pauly, DSGVO/BDSG, 3. Auflage 2021, DSGVO Art. 26 Rn. 19; Schantz , in: ders./Wolff, Das neue Datenschutzrecht, 1. Auflage 2017, Rn. 371; Veil , in: Gierschmann, DSGVO, 1. Auflage 2018, DSGVO Art. 26 Rn. 36; darüber hinaus – beklagtenseits zitiert – Hessel/Leicht , DSB 2021, 151 (152 f.), die im Ansatz ebenso darauf abstellen, dass ohne den Betrieb der „Fanpage“ die Daten nicht verarbeitet würden, für eine ausreichende Beteiligung des Betreibers sodann aber weitere Einwirkungsmöglichkeiten verlangen; Marosi/Matthé , ZD 2018, 357 (362), die das von der Beklagten befürwortete Verständnis der Entscheidung des Gerichtshofs zwar in Betracht ziehen, selbst jedoch ablehnen und desgleichen auf die Parametrierung als entscheidenden Beitrag des „Fanpage“-Betreibers abstellen; außerdem EDSA, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, angenommen am 7. Juli 2021, Rn. 65; als Beispiel nennt auch der EDSA in Rn. 66 im Hinblick auf das Urteil des Gerichtshofs vom 5. Juni 2018 – C-210/​16 [ECLI:EU:C:2018:388], Wirtschaftsakademie – und damit auf den Betrieb einer „Fanpage“ nicht die bloße Ermöglichung einer Datenverarbeitung, sondern die Festlegung von Parametern als ausreichenden Beitrag zur Mittelfestlegung; Leitlinien 8/2020 über die gezielte Ansprache von Nutzern sozialer Medien, angenommen am 13. April 2021, Rn. 33; a. A. wohl Kremer , in: Schwartmann/​Jaspers/​Thüsing/​Kugelmann, DSGVO/​BDSG, 3. Auflage 2024, DSGVO Art. 26 Rn. 56; S pecht-Riemenschneider/Schneider , MMR 2019, 503 (505); DSK, Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von „Facebook-Fanpages“ vom 10. November 2022, Seite 20 ff. Diese Überlegungen lassen sich nicht aufgrund eines Vergleiches des Betriebs einer Internetseite in dem sozialen Netzwerk „Facebook“ mit der Einbindung des „Gefällt-mir-Buttons“, eines „Social Plugins“ der Klägerin zu 2, auf einer externen, also dem sozialen Netzwerk nicht zugehörigen Internetseite infrage stellen. Zwar legen die Klägerin zu 2 als Entwicklerin dieses „Plugins“ und derjenige, der dasselbe auf seiner Internetseite einbindet, die Mittel der Verarbeitung auch im Hinblick darauf gemeinsam fest, dass ohne die Einbindung des „Plugins“ die Datenverarbeitung nicht erfolgen würde, diese also ermöglicht wird. Erneut ist dies jedoch nur ein in die anzustellende Gesamtbetrachtung einzubeziehender Umstand. Zu berücksichtigen ist daneben insbesondere, dass die Einbindung des „Plugins“ die Verarbeitung personenbezogener Daten eines jeden Besuchers der Internetseite bereits bei deren Aufruf und unabhängig davon ermöglicht, ob derselbe Mitglied des sozialen Netzwerks ist und ob er mit dem „Plugin“ interagiert. Dies hebt auch der Gerichtshof in seinem Urteil in der Sache „Fashion ID“ hervor und stellt lediglich unter Berücksichtigung dieser Informationen fest, dass unter anderem über die Mittel der Verarbeitung auch seitens des Betreibers der Internetseite entschieden werde. Vgl. EuGH, Urteil vom 29. Juli 2019 – C-40/17 [ECLI:EU:C:2019:629], Fashion ID – Rn. 75 ff. Unabhängig davon hätte eine gemeinsame Mittelfestlegung im Fall der Einbindung des „Gefällt-mir-Buttons“, sollte die bloße Ermöglichung einer Datenverarbeitung zu deren Begründung genügen, konsequent auch für die der Übermittlung der Daten der Besucher der externen Internetseite bei deren Aufruf nachgelagerten Verarbeitungen dieser Daten durch die Klägerin zu 2 bejaht werden müssen. Diese nachgelagerten Datenverarbeitungen werden, wenn auch mittelbar, desgleichen erst durch die Einbindung des „Plugins“ ermöglicht. Hierfür legen die Akteure nach der Rechtsprechung des Gerichtshofs indessen die Mittel (und Zwecke) gerade nicht gemeinsam fest. Vgl. EuGH, Urteil vom 29. Juli 2019 – C-40/17 [ECLI:EU:C:2019:629], Fashion ID – Rn. 76. Eine andere Beurteilung rechtfertigt auch nicht das Urteil des Gerichtshofs in der Sache „Jehovan todistajat“. Die Verantwortlichkeit der verkündigenden Mitglieder der Glaubensgemeinschaft wurde damit begründet, dass sie entschieden, unter welchen konkreten Umständen sie personenbezogene Daten über aufgesuchte Personen erheben, welche Daten sie genau erheben und auf welche Weise sie sie anschließend verarbeiten würden. Die Verantwortlichkeit der Religionsgemeinschaft wurde daraus hergleitet, dass diese zu der Verkündigungstätigkeit ermuntert und sie organisiert und koordiniert, womit erneut über die bloße Ermöglichung einer Datenverarbeitung hinausgehende Beiträge in Rede stehen. Vgl. EuGH, Urteil vom 10. Juli 2018 – C-25/17 [ECLI:EU:C:2018:551], Jehovan todistajat – Rn. 70. cc) In Anwendung dieser Maßstäbe sind die Klägerinnen weder im Hinblick auf das Speichern und Auslesen der streitgegenständlichen „Cookies“ noch in Bezug auf die nachgelagerten Datenverarbeitungen gemeinsam verantwortlich. Sie legen bereits die Mittel dieser Datenverarbeitungen nicht gemeinsam fest. Unter Berücksichtigung der maßgeblichen Umstände der Datenverarbeitungen nimmt die Klägerin zu 1 in der Gesamtschau auch nicht faktisch bestimmenden Einfluss auf die Entscheidung über diese Mittel. Es genügt, wie dargelegt, entgegen der Auffassung der Beklagten für sich betrachtet für die Annahme einer gemeinsamen Mittelfestlegung nicht, dass die Klägerin zu 1 mit dem Betrieb der „Fanpage“ das Setzen und Auslesen von „Cookies“ und die nachgelagerten Datenverarbeitungen insofern ermöglicht, als der Benutzer im Rahmen des Besuchs der „Fanpage“ die Interaktion vornimmt, welche die Platzierung der „Cookies“ und mittelbar auch nachfolgende Datenverarbeitungen auslöst. Der Beitrag der Klägerin zu 1 zu der Verarbeitung der personenbezogenen Daten der Besucher ihrer „Fanpage“ erschöpft sich in dieser bloßen Mitursächlichkeit. Die Möglichkeit einer Parametrierung bestand bereits zum maßgeblichen Zeitpunkt des Erlasses des angefochtenen Bescheides nicht mehr. Für die Erstellung sogenannter „Insights“, also Statistiken über die Nutzung einer „Facebook“-Seite, konnten die Betreiber der „Fanpages“ keine Parameter mehr vorgeben. Hinzuzusetzen ist, dass der Klägerin zu 1 diese „Insights“ darüber hinaus nicht mehr zur Verfügung gestellt wurden. Die Funktion „Bevorzugte Seitenzielgruppe“, die Seitenbetreibern ermöglichte, Zielgruppeneinstellungen für ihre „Facebook“-Seite vorzunehmen, wurde bereits im Jahre 2017 eingestellt. Die Klägerin zu 2 hat auch abgesehen von einer Parametrierung keinen mitentscheidenden Einfluss auf die Festlegung der Mittel der Datenverarbeitungen. Es ist auch in diesem Zusammenhang insbesondere zu berücksichtigen, dass für die Platzierung der streitbefangenen „Cookies“ unerheblich ist, ob der Nutzer gerade die „Fanpage“ der Klägerin zu 1 aufruft. Die Klägerin zu 2 verwendet keine „Cookies“ spezifisch im Zusammenhang mit dem Betrieb dieser Seite. Der Aufruf der „Fanpage“ hindert das Setzen und Auslesen der „Cookies“ lediglich nicht. Die „Cookies“ werden stattdessen in Abhängigkeit von dem Nutzerverhalten gesetzt. Wie bereits dargestellt, wird beispielsweise das „c-user-Cookie“ mit der Anmeldung eines registrierten Nutzers gesetzt, dies aber unabhängig davon, ob dieser zuvor die „Fanpage“ der Klägerin zu 1 aufgerufen hatte. Auch das „datr-Cookie“ und das „fr-Cookie“ werden nicht spezifisch im Zusammenhang mit dem Besuch der „Fanpage“ der Klägerin zu 1 gesetzt. Die „primäre Ursache“ für die Platzierung der „Cookies“ und erst recht ihr nachgelagerte Datenverarbeitungen ist entgegen dem Vorbringen der Beklagten also gerade nicht der Betrieb der „Fanpage“, sondern eine Interaktion des Nutzers, die im Rahmen des Besuches ganz unterschiedlicher „Facebook“-Seiten und zum Teil externer Internetseiten vorgenommen werden kann. Dass die Klägerin zu 2 nach Gesprächen mit der Klägerin zu 1 bereit war, ihr die „Insights“-Statistiken nicht mehr zur Verfügung zu stellen, begründet auch im hiesigen Zusammenhang keinen hinreichenden Einfluss der Klägerin zu 1 auf die streitgegenständlichen Datenverarbeitungen. Wie die Beklagte selbst vorträgt und bereits dargelegt, war die Klägerin zu 2 nicht bereit, die Platzierung der „Cookies“ und die mithilfe des Auslesens derselben ermöglichten, nachgelagerten Datenverarbeitungen einzustellen, sondern lediglich, die Statistiken der Klägerin zu 1 nicht mehr bereitzustellen. Eine gemeinsame Mittelfestlegung ließe sich angesichts dessen allenfalls spezifisch für die mit der Ausspielung von „Insights“-Statistiken verbundenen Datenverarbeitungen begründen, setzte die Klägerin zu 2 diese auf Betreiben der Klägerin zu 1 wieder ins Werk. Auf die streitgegenständlichen Datenverarbeitungen konnte die Klägerin zu 1 dagegen auch faktisch zu keinem Zeitpunkt Einfluss nehmen. Im Unterschied zu den aufgrund der Einbindung des „Gefällt-mir-Buttons“ auf einer externen Internetseite ermöglichten Datenverarbeitungen setzt teilweise die Platzierung der „Cookies“, namentlich im Hinblick auf das „c-user-Cookie“ und das „fr-Cookie“, zudem die Mitgliedschaft des Nutzers bei „Facebook“ voraus. Weiterhin bleibt der Umfang der Einflussnahme auf die Datenverarbeitungen beziehungsweise der Grad der tatsächlich ausgeübten Kontrolle bei dem Betrieb einer „Facebook-Fanpage“ hinter demjenigen bei der Einbindung des „Gefällt-mir-Buttons“ auf einer Internetseite unter dem Aspekt deutlich zurück, dass eine „Fanpage“ vornehmlich Personen anspricht, die bereits „Facebook“ nutzen und deren Daten, wenn nicht bei Aufruf der „Fanpage“, so doch bei dem Besuch anderer „Facebook“-Seiten ohnehin durch die Klägerin zu 2 verarbeitet würden. Demgegenüber richtet sich das Angebot der Internetseite, auf der ein „Gefällt-mir-Button“ eingebunden wird, regelmäßig nicht vorwiegend an „Facebook“-Nutzer. Es werden also auch Daten von Personen verarbeitet, die ansonsten keinerlei „Facebook“-Dienste in Anspruch genommen hätten und dies unabhängig von einer Interaktion mit dem „Gefällt-mir-Button“, nämlich bereits beim Aufruf der Seite. So wird der Klägerin zu 2 die Verarbeitung der Daten eines wesentlich weiter gezogenen Kreises potentiell betroffener Personen ermöglicht als bei dem Betrieb einer „Fanpage“. Ergänzend ist, wie oben angesprochen, in die Gesamtwürdigung auch die Außenwirkung der Tätigkeit und eine hiermit verbundene Erwartungshaltung der Betroffenen einzustellen. Bindet der Betreiber einer Internetseite auf derselben ein „Plugin“ ein, tritt gleichwohl – wie die Beklagte selbst betont – er nach außen gegenüber dem Besucher seiner Internetseite auf. Die Betroffenen werden die Verantwortung regelmäßig (auch) dem Betreiber der Internetseite, auf welcher das „Plugin“ eingebunden ist, zuschreiben und nicht (allein) dem Entwickler des „Plugins“. Der Betreiber einer „Fanpage“ tritt demgegenüber gerade angesichts deren Nutzung als Teil einer etablierten Plattform schon der Außenwirkung nach nicht als Verantwortlicher in Erscheinung, sondern vielmehr der Betreiber des sozialen Netzwerks. So ist die „Fanpage“ auch optisch in das „Facebook“-Layout eingebunden. Es erscheint fernliegend, dass Betroffene sich wegen der von dem Aufruf spezifisch der „Fanpage“ nicht abhängigen Platzierung der „Cookies“ beziehungsweise den hiermit verbundenen und auch nachfolgenden Verarbeitungen ihrer personenbezogenen Daten an den Betreiber der „Fanpage“ und nicht vielmehr den Betreiber des sozialen Netzwerks wenden würden. Weiter ist zu bedenken, dass, begründete bereits die dargestellte Mitursächlichkeit des Betriebs einer „Fanpage“ für die streitgegenständlichen Datenverarbeitungen eine gemeinsame Entscheidung über die einzusetzenden Mittel, neben Betreibern von „Fanpages“ selbst private Nutzer wegen der Einrichtung ihrer „Facebook“-Profilseite als datenschutzrechtlich Verantwortliche in Betracht zu ziehen wären. Die streitgegenständlichen „Cookies“ werden auch bei dem Besuch ebendieser Internetseiten gesetzt, wenn der Nutzer nach deren Aufruf die Interaktion vornimmt, welche die Platzierung der „Cookies“ auslöst. Also könnte die datenschutzrechtliche Verantwortlichkeit entgegen oben dargestellter Maßgaben letztlich durch die bloße Nutzung des sozialen Netzwerks begründet werden, was auch unter Berücksichtigung von Sinn und Zweck der Begriffsbestimmung des Verantwortlichen, einen möglichst umfassenden Schutz der Betroffenen zu gewährleisten, nicht geboten erscheint, zumal die Klägerin zu 2 den Nutzern bei der Inanspruchnahme ihrer Dienste keinerlei Mitentscheidungsbefugnis über den Umfang der ihr ermöglichten Datenverarbeitungen einräumt, sondern die Ermöglichung dieser Datenverarbeitungen im von der Klägerin zu 2 einseitig festgelegten Umfang schlicht zur Voraussetzung der Nutzung ihres Netzwerks macht. Die Klägerin zu 1 entscheidet unter Berücksichtigung all dessen nicht gemeinsam mit der Klägerin zu 2 und erst recht nicht allein über die Mittel der streitgegenständlichen Datenverarbeitungen. Vor diesem Hintergrund kommt auch eine parallele Verantwortlichkeit der Klägerin zu 1 nicht infrage. Vgl. hierzu etwa Schreiber , in: Plath, DSGVO/​BDSG/​TTDSG, 4. Auflage 2023, DSGVO Art. 4 Rn. 29. 2. Die Verwarnungen zu Ziffern 2 bis 4 des Bescheides sind ebenfalls rechtswidrig. Rechtsgrundlage der Verwarnungen ist Art. 58 Abs. 2 Buchst. b DSGVO, im Hinblick auf die Verwarnung zu Ziffer 3 des Bescheides in Verbindung mit § 29 Abs. 3 TTDSIreland Jeder Aufsichtsbehörde ist nach der ersteren Vorschrift gestattet, einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat. Der Verantwortliche ist gemäß Art. 5 Abs. 2 für die Einhaltung der Maßgaben des Art. 5 Abs. 1 DSGVO verantwortlich und muss deren Einhaltung nachweisen können. Für die Beurteilung der Rechtmäßigkeit einer Verwarnung ist die Sach- und Rechtslage im Zeitpunkt ihres Erlasses maßgeblich. Vgl. BVerwG, Urteil vom 20. März 2024 – 6 C 8.22 –, juris Rn. 15. Auf der genannten Grundlage ist sind Verwarnungen jedenfalls materiell rechtswidrig, weil die Klägerin zu 1 zum Zeitpunkt des Erlasses des Verwarnungsbescheides nicht (mehr) für die beanstandeten Datenverarbeitungen verantwortlich war. Adressat der Verwarnung ist der Verantwortliche oder Auftragsdatenverarbeiter, der gegen die Datenschutzgrundverordnung verstoßen hat. Vgl. OVG NRW, Urteil vom 15. Juni 2022 – 16 A 857/21 –, juris Rn. 41. Tauglicher Adressat der Verwarnung ist der für den vollendeten Datenschutzverstoß Verantwortliche oder der Auftragsverarbeiter dabei allerdings nur dann, wenn er im Zeitpunkt des Erlasses des Verwarnungsbescheides im Hinblick auf die als datenschutzwidrig monierte Datenverarbeitung noch Verantwortlicher oder Auftragsverarbeiter ist. Die Verwarnung knüpft zwar – repressiv – an einen vollendeten Datenschutzverstoß an, verfolgt jedoch als Abhilfebefugnis zugleich das Ziel, dass der Verantwortliche oder Auftragsverarbeiter künftig eine datenschutzkonforme Ausgestaltung der verwarnungsgegenständlichen Datenverarbeitung vornimmt. Weigert sich der Verantwortliche oder Auftragsverarbeiter, kommen schärfere Abhilfemaßnahmen und die Verhängung von Geldbußen (nach den Umständen des Einzelfalls ihrerseits auch ohne vorherige Verwarnung) in Betracht. Die Verwarnung lässt sich vor diesem Hintergrund als „repressive Abhilfemaßnahme“ klassifizieren. Vgl. Grittmann , in: Taeger/​Gabel, DSGVO/BDSG/TTDSG, 4. Auflage 2022, DSGVO Art. 58 Rn. 24; Kugelmann/​Buchmann , in: Schwartmann/​Jaspers/​Thüsing/​Kugelmann, DSGVO/​BDSG, 3. Auflage 2024, DSGVO Art. 58 Rn. 82; Selmayr , in: Ehmann/ders., DSGVO, 3. Auflage 2024, DSGVO Art. 58 Rn. 20. Das Ziel einer künftig datenschutzkonformen Ausgestaltung des Datenverarbeitungsvorgangs lässt sich durch eine Verwarnung indes nicht erreichen, wenn deren Adressat nicht mehr Verantwortlicher oder Auftragsverarbeiter ist. Angesichts dessen war die Klägerin zu 1 nicht taugliche Adressatin der Verwarnung, weil sie zum Zeitpunkt ihres Erlasses nicht (mehr) für die beanstandeten Datenverarbeitungen verantwortlich war. Ob ihre Verantwortlichkeit vor Deaktivierung der „Insights“-Funktion zu bejahen gewesen wäre, ist nicht entscheidungserheblich und angesichts der bloß statischen Verfügbarkeit der Statistiken ohne Möglichkeit, Parameter für die ihrer Erstellung zugrundeliegenden Datenverarbeitungen festzulegen, von obigen Maßstäben ausgehend zudem erheblichen Zweifeln unterworfen. Die Verwarnung zu Ziffer 3 des angefochtenen Bescheides, gestützt auf Art. 58 Abs. 2 Buchst. b DSGVO in Verbindung mit § 29 Abs. 3 TTDSG ist desgleichen materiell rechtswidrig. Dies ergibt sich bereits daraus, dass kein Verstoß gerade der Klägerin zu 1 gegen § 25 Abs. 1 Satz 1 TTDSG vorliegt, auf dessen Annahme die Verwarnung indes beruht. Schließlich ist die Verwarnung zu Ziffer 4 des angefochtenen Bescheides materiell rechtswidrig. Dies folgt wiederum jedenfalls daraus, dass die Klägerin zu 1 zum Zeitpunkt des Erlasses der Verwarnung nicht (mehr) Verantwortliche für die beanstandeten Datenverarbeitungen war. 3. Die Klägerin zu 2 ist in ihren Rechten verletzt. Das Datenverarbeitungsverbot verletzt sie jedenfalls in ihrem Grundrecht der unternehmerischen Freiheit aus Art. 16 GRC. Zwar bewirkt die angefochtene Verfügung nicht unmittelbar einen Nachteil für die Klägerin zu 2 im Hinblick auf die Betätigung ihrer unternehmerischen Freiheit. Nicht ihr, sondern der Klägerin zu 1 wurden die streitgegenständlichen Datenverarbeitungen untersagt. Auch bezweckt die Maßnahme primär nicht eine Beschränkung der Klägerin zu 2 in ihrer unternehmerischen Freiheit. Sie soll zunächst den Betrieb der „Fanpage“ durch die Klägerin zu 1 unterbinden. Es gehen jedoch mittelbar-faktisch hiermit bedeutsame, kausal auf dem Verhalten der Beklagten beruhende Auswirkungen auf die Betätigung der unternehmerischen Freiheit der Klägerin zu 2 einher. Die Verfügung wirkt sich wahrnehmbar nachteilig hierauf aus. Das ergibt sich insbesondere daraus, dass die angefochtene Verfügung ersichtlich die Datenschutzkonformität des Geschäftsmodells der Klägerin zu 2 grundlegend infrage stellt, sogar über den Betrieb von „Fanpages“ hinaus. Die Monita der Beklagten beziehen sich nicht spezifisch auf die Ausgestaltung von „Fanpages“, erst recht nicht bloß diejenige der Klägerin zu 1. Die in Rede stehenden „Cookies“ können vielmehr auch bei dem Besuch anderer „Facebook“-Seiten platziert werden. Es greift angesichts dessen zu kurz, wenn die Beklagte darauf verweist, für den wirtschaftlichen Erfolg der Klägerin zu 2 sei der Verlust einer einzelnen „Fanpage“ nicht maßgeblich. Erweist sich die angefochtene Verfügung als rechtmäßig, muss die Klägerin zu 2 mit der Untersagung des Betriebs von „Fanpages“ und darüber hinaus einer jeden „Facebook“-Seite, bei deren Aufruf die Platzierung der streitgegenständlichen „Cookies“ in Betracht kommt, rechnen, entweder ihr oder den Nutzern ihres Angebots gegenüber. Die Maßnahme setzt die Klägerin zu 2 über den Einzelfall der Klägerin zu 1 hinaus gleichsam unter Zugzwang. Vgl. auch BVerwG, Urteil vom 11. September 2019 – 6 C 15.18 –, juris Rn. 31. Die Kostenentscheidung folgt aus § 155 Abs. 1 Satz 1 Alt. 2, § 159 Satz 1 VwGO in Verbindung mit § 100 Abs. 1 ZPO, wobei nach den Maßgaben der sogenannten Baumbach‘schen Formel zwischen Gerichtskosten und außergerichtlichen Kosten zu differenzieren war. Die Klägerinnen haben nicht im gleichen Ausmaß obsiegt. Vgl. Olbertz , in: Schoch/Schneider, Verwaltungsrecht, Stand August 2024, VwGO § 159 Rn. 5 ff. Der Ausspruch über die vorläufige Vollstreckbarkeit beruht für die Klägerin zu 1 auf § 167 Abs. 1 Satz 1, Abs. 2 VwGO in Verbindung mit § 709 Satz 1, 2 ZPO. Für die Beklagte und die Klägerin zu 2 folgt die Entscheidung über die vorläufige Vollstreckbarkeit jeweils aus § 167 Abs. 1 Satz 1, Abs. 2 VwGO in Verbindung mit § 708 Nr. 11 Alt. 2, § 711 Satz 1, 2, § 709 Satz 2 ZPO. Die Berufung wird gemäß § 124a Abs. 1 Satz 1 in Verbindung mit § 124 Abs. 2 Nr. 3 VwGO zugelassen, weil die Rechtssache grundsätzliche Bedeutung hat. Für die Entscheidung der Kammer war insbesondere mit der Frage, ob Betreiber einer „Fanpage“ mit der Klägerin zu 2 auch dann gemeinsam verantwortlich sind, wenn die Betreiber keinerlei wirtschaftliche Interessen verfolgen, keine Möglichkeit einer Parametrierung haben und ihnen erstellte „Insights“-Statistiken nicht zur Verfügung gestellt werden, eine grundsätzliche, bisher in der Rechtsprechung noch nicht geklärte Rechtsfrage von Bedeutung, die auch für die Entscheidung im Berufungsverfahren erheblich wäre und deren Klärung im Interesse der einheitlichen Rechtsanwendung und der Fortbildung des Rechts geboten erscheint. Vgl. etwa OVG NRW, Beschluss vom 23. Januar 2008 – 12 A 2918/06 –, juris Rn. 11. Rechtsmittelbelehrung Gegen dieses Urteil kann innerhalb eines Monats nach Zustellung bei dem Verwaltungsgericht Köln schriftlich Berufung eingelegt werden. Die Berufung muss das angefochtene Urteil bezeichnen. Die Berufung ist innerhalb von zwei Monaten nach Zustellung des Urteils zu begründen. Die Begründung ist, sofern sie nicht zugleich mit der Einlegung der Berufung erfolgt, bei dem Oberverwaltungsgericht für das Land Nordrhein-Westfalen in Mün-ster schriftlich einzureichen. Die Begründungsfrist kann auf einen vor ihrem Ablauf gestellten Antrag von dem Vorsitzenden des Senats verlängert werden. Die Begründung muss einen bestimmten Antrag enthalten sowie die im Einzelnen anzuführenden Gründe der Anfechtung (Berufungsgründe). Die Berufung ist einzulegen und zu begründen durch einen Rechtsanwalt oder einen Rechtslehrer an einer staatlichen oder staatlich anerkannten Hochschule eines Mitgliedstaates der Europäischen Union, eines anderen Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum oder der Schweiz, der die Befähigung zum Richteramt besitzt, oder eine diesen gleichgestellte Person als Bevollmächtigten. Behörden und juristische Personen des öffentlichen Rechts einschließlich der von ihnen zur Erfüllung öffentlicher Aufgaben gebildeten Zusammenschlüsse können sich auch durch eigene Beschäftigte mit Befähigung zum Richteramt oder durch Beschäftigte mit Befähigung zum Richteramt anderer Behörden oder juristischer Personen des öffentlichen Rechts einschließlich der von ihnen zur Erfüllung ihrer öffentlichen Aufgaben gebildeten Zusammenschlüsse vertreten lassen. Auf die besonderen Regelungen in § 67 Abs. 4 Sätze 7 und 8 VwGO wird hingewiesen. Ferner ergeht ohne Mitwirkung der ehrenamtlichen Richterinnen der Beschluss Der Wert des Streitgegenstandes wird auf 40.000 € festgesetzt. Gründe In Verfahren vor den Gerichten der Verwaltungsgerichtsbarkeit ist gemäß § 52 Abs. 1 Alt. 1 des Gerichtskostengesetzes (GKG), soweit nichts anderes bestimmt ist, der Streitwert nach der sich aus dem Antrag des Klägers für ihn ergebenden Bedeutung der Sache nach Ermessen zu bestimmen. Bietet der Sach- und Streitstand für die Bestimmung des Streitwerts keine genügenden Anhaltspunkte, ist nach § 52 Abs. 2 GKG ein Streitwert von 5.000 € anzunehmen. In demselben Verfahren und in demselben Rechtszug werden dabei gemäß § 39 Abs. 1 GKG die Werte mehrerer Streitgegenstände zusammengerechnet, soweit nichts anderes bestimmt ist. Wird isoliert ein Datenverarbeitungsverbot auf Grundlage des Art. 58 Abs. 2 Buchst. f DSGVO oder eine Verwarnung gemäß Art. 58 Abs. 2 Buchst. b DSGVO angegriffen, ist nach diesen Maßgaben regelmäßig mangels genügender Anhaltspunkte für die Bestimmung des Streitwerts der Auffangwert von 5.000 € anzunehmen. Die Anfechtung eines Datenverarbeitungsverbots sowie dreier Verwarnungen ist vor diesem Hintergrund mit 20.000 € zu bemessen. Schließlich waren die Streitwerte der Klagen der Klägerinnen von jeweils 20.000 € nach § 39 Abs. 1 GKG zusammenzurechnen. Es liegt kein dem entgegenstehender Fall der wirtschaftlichen Identität vor, weil über die Klagen nicht aus materiell-rechtlichen Gründen nur einheitlich hätte entschieden werden können. Vgl. Bundessozialgericht, Beschluss vom 19. September 2006 – B 6 KA 30/06 B –, juris Rn. 3. Rechtsmittelbelehrung Gegen diesen Beschluss kann innerhalb von sechs Monaten, nachdem die Entscheidung in der Hauptsache Rechtskraft erlangt oder das Verfahren sich anderweitig erledigt hat, bei dem Verwaltungsgericht Köln schriftlich oder zur Niederschrift des Urkundsbeamten der Geschäftsstelle Beschwerde eingelegt werden, über die das Oberverwaltungsgericht für das Land Nordrhein-Westfalen in Münster entscheidet, falls das Verwaltungsgericht ihr nicht abhilft. Ist der Streitwert später als einen Monat vor Ablauf der genannten Frist festgesetzt worden, kann die Beschwerde innerhalb eines Monats nach Zustellung oder formloser Mitteilung des Festsetzungsbeschlusses eingelegt werden. Die Beschwerde ist nur zulässig, wenn der Wert des Beschwerdegegenstandes zweihundert Euro übersteigt. Die Beschwerde findet auch statt, wenn sie das Gericht, das die Entscheidung erlassen hat, wegen der grundsätzlichen Bedeutung der zur Entscheidung stehenden Frage zulässt.