Die Datenschutzbehörde des Mitgliedstaats, in dem dieser Betreiber seinen Sitz hat, kann nach der Richtlinie 95/461 sowohl gegen ihn als auch gegen die in diesem Mitgliedstaat niedergelassene Tochtergesellschaft von Facebook vorgehen.
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hat zum Urteil des Europäischen Gerichtshof vom 05.06.2018 Stellung genommen.