Stellungnahme vom 5. Januar 2023 zu Grundsatzfragen zur Sanktionierung von Datenschutzverstößen von Unternehmen – EuGH-Rechtssache C-807/21
A. Zusammenfassung
Nach der Auffassung der Datenschutzkonferenz ist die erste Vorlagefrage des Berliner Kammergerichts (KG) dahingehend zu beantworten, dass Art. 83 Abs. 4 bis 6 der Datenschutz-Grundverordnung (DSGVO) so auszulegen ist, dass der funktionale Unternehmensbegriff und das Funktionsträgerprinzip aufgrund des Willen des europäischen Gesetzgebers (vgl. Erwägungsgrund 150 Satz 3 DSGVO) von den Datenschutzaufsichtsbehörden bei der Bußgeldverhängung anzuwenden ist. Entgegenstehende Vorschriften, die wie § 30 des Gesetzes über Ordnungswidrigkeiten (OWiG) das Rechtsträgerprinzip vorsehen, sind nicht anzuwenden. Es bedarf wie im EU-Kartellrecht (Art. 101 und 102 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV)) nur der Feststellung, dass Mitarbeitende des Unternehmens einen Verstoß gegen die DSGVO begangen haben, ohne dass die konkret handelnden Mitarbeitenden ermittelt werden oder Leitungspersonen des Unternehmens sein müssen. Die Notwendigkeit der Feststellung eines Leitungsverschuldens würde unter Verletzung des Effektivitätsgebots („effet utile“) den Vollzug des Art. 83 DSGVO in Deutschland ansonsten erheblich erschweren.
Die zweite Vorlagefrage des KG ist so zu beantworten, dass für eine Bebußung des Unternehmens nach Art. 83 Abs. 4 bis 6 DSGVO im Grundsatz bereits ein dem Unternehmen zuzuordnender objektiver Pflichtenverstoß ausreicht („strict liability“). Diese vom europäischen Gesetzgeber gewollte Erleichterung für die Datenschutzaufsichtsbehörden ist verhältnismäßig, denn sie hält zum Schutz der Grundrechte natürlicher Personen die Verantwortlichen und Auftragsverarbeiter zur Einhaltung der Pflichten aus der DSGVO an.
B. Zur ersten Vorlagefrage: Funktionsträgerprinzip
I. Inhalt der Vorlagefrage
In seiner ersten Vorlagefrage hat das KG den EuGH gefragt, ob Art. 83 Abs. 4 bis 6 DSGVO dahingehend auszulegen ist, dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des dem § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf.
II. Historie der DSGVO – Von nationalen Bußgeldtatbeständen zu einem supranationalen Sanktionsregime
Mit Art. 83 DSGVO wird nach dem Willen des Unionsgesetzgebers das Ziel verfolgt, das Grundrecht auf Datenschutz durch die Androhung empfindlicher und dadurch abschreckender Geldbußen – insbesondere gegen Unternehmen – in der gesamten EU abzusichern.
Das Grundrecht auf Datenschutz ist als solches insbesondere in Art. 8 (Schutz personenbezogener Daten) der Charta der Grundrechte der Europäischen Union (GRCh) verankert. Um dieses in allen Mitgliedstaaten gleichermaßen zu schützen, setzt sich der Unionsgesetzgeber mit der DSGVO im Bereich der Sanktionen deutlich von der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Richtlinie – DS-RL) ab und überlässt es nicht mehr – wie seinerzeit Art. 24 DS-RL – allein dem nationalen Gesetzgeber, Regelungen zur Sanktionierung von Verstößen zu treffen (vgl. hierzu Art. 24 DS-RL, ABl L 1995/281, 31 idF L 2017/40, 78).
Dem Unionsgesetzgeber kam es mit der Schaffung des Art. 83 DSGVO insbesondere darauf an, die Durchsetzung eines unionsweit einheitlichen Datenschutzstandards durch den Rechtsaktwechsel von einer Richtlinie hin zu einer unmittelbar wirksamen Verordnung für den gesamten räumlichen Geltungsbereich durch ein supranationales (und damit einheitliches) Sanktionsregime sicherzustellen (vgl. Erwägungsgrund 9, 10 Satz 1, 11, 13 Satz 1, 129 Satz 1, 148 Satz 1 und 152 Satz 1 DSGVO; LG Bonn, Urt. v. 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663 Rn. 33). Damit das in der Grundrechte-Charta verankerte Grundrecht auf Datenschutz einheitlich gewährleistet werden kann, darf es daher nicht zu regionalen Unterschieden bei der Ahndung von Datenschutzverstößen durch Unternehmen aufgrund unterschiedlicher nationaler Bestimmungen und einer unterschiedlichen Vollzugspraxis kommen.
Bei der gemäß Art. 83 DSGVO zu verhängenden Geldbuße handelt es sich insoweit um eine verwaltungs- und keine strafrechtliche Sanktion. Dies ergibt sich schon aus dem Kompetenzbereich der EU, da die Mitgliedstaaten keine Strafgewalt an die EU übertragen haben. Dies bedeutet allerdings nicht, dass die EU in ihrem Kompetenzbereich auf den Einsatz von Sanktionen im Fall von Zuwiderhandlungen gegen gemeinschaftliche Bestimmungen verzichten muss (Schwarze , EuZW 2003, 261). Insofern beinhaltet Art. 16 Abs. 2 AEUV, obwohl dies dort nicht ausdrücklich vorgesehen ist, als Annex auch eine Regelungskompetenz der EU für Vorgaben zum Erlass von Verwaltungssanktionen wie Geldbußen (vgl. EuGH, Urt. v. 23. Oktober 2007 – C-440/05, NStZ 2008, 703 Rn. 70 und 71). Die gemäß Art. 83 DSGVO durch die Aufsichtsbehörden zu verhängenden Geldbußen sind demnach keine kriminalstrafrechtlichen Sanktionen im eigentlichen Sinne. Vielmehr handelt es sich nach dem unionsrechtlichen Verständnis um ein (rein) administratives Sanktionsinstrument (vgl. Ehmann , in: Gola/Heckmann, DSGVO BDSG, 3. Aufl. 2022, § 41 BDSG Rn. 6).
Während der europäische Gesetzgeber demnach von sog. „administrative fines“, also Verwaltungsgeldbußen ausgeht, ordnet die deutsche Rechtstradition die Bußgeldtatbestände des Art. 83 Abs. 4 bis 6 DSGVO über § 41 Bundesdatenschutzgesetz (BDSG) dem Ordnungswidrigkeitenrecht als Sonderstrafrecht zu. Diese in Deutschland gewählte Zuordnung darf jedoch nicht dazu führen, die Durchsetzung des Willens des europäischen Gesetzgebers zu erschweren oder zu verhindern.
Das deutsche Ordnungswidrigkeitenrecht geht davon aus, dass Verstöße gegen nationale Bußgeldtatbestände nur von natürlichen Personen begangen werden können. Täter ist daher nach § 1 OWiG zunächst die natürliche Person, die rechtswidrig gehandelt hat. Dem folgend eröffnet dann nur der auf dem Rechtsträgerprinzip basierende § 30 OWiG die Möglichkeit, gegen juristische Personen und Personenvereinigungen eine Sanktion in Form einer Geldbuße zu verhängen, wenn eine ihrer Leitungspersonen eine Ordnungswidrigkeit begangen hat. Diese muss in einem Zurechnungszusammenhang zum Unternehmen stehen, weil durch sie Pflichten der juristischen Person oder Personenvereinigung verletzt worden sind oder durch sie eine Bereicherung der juristischen Person oder Personenvereinigung erreicht wurde oder werden sollte (Meyberg , in: BeckOK OWiG, 36. Edition, Stand: 1. Oktober 2022, § 30 vor Rn. 1). Begehen aber Mitarbeitende unterhalb der Leitungs- oder Kontrollebene Ordnungswidrigkeiten, kommt eine Geldbuße gegen die juristische Person nur noch in Betracht, wenn Leitungspersonen Aufsichtspflichten gemäß § 130 OWiG verletzt haben. Das im deutschen Ordnungswidrigkeitenrecht vorgesehene Rechtsträgerprinzip und das Erfordernis von Leitungsverschulden unterscheidet sich damit wesentlich vom Ansatz des in der DSGVO und dem europäischen Kartellrecht vorgesehenen Funktionsträgerprinzips.
III. Keine Anwendbarkeit des § 30 OWiG
1. DSGVO sieht Bußgelder direkt gegen juristische Personen und Unternehmen vor
Die Bußgeldvorschriften der DSGVO und Erwägungsgrund 150 Satz 3 DSGVO zeigen eindeutig auf, dass der europäische Gesetzgeber von einer direkten Sanktionierung juristischer Personen und Unternehmen im Sinne des Funktionsträgerprinzips ausgegangen ist.
a) Adressatenkreis ergibt sich bereits aus Art. 83 Abs. 4 bis 6 DSGVO i. V. m. Art. 4 Nr. 7 und Nr. 8 DSGVO
Das Bußgeldsystem der DSGVO sieht juristische Personen als Teil des Kreises von Bußgeldadressaten vor. Die Bußgeldtatbestände in Art. 83 Abs. 4 bis 6 DSGVO knüpfen an diverse Pflichten nach der DSGVO an, die mit wenigen Ausnahmen ausschließlich Verantwortliche und/oder Auftragsverarbeiter treffen. Verantwortliche und Auftragsverarbeiter können dabei gemäß Art. 4 Nr. 7 und Nr. 8 DSGVO auch juristische Personen sein.
Handelt es sich um juristische Personen, werden Mitarbeitende, auch leitende Mitarbeitende inkl. gesetzliche Vertreter:innen (ausgenommen sie handeln im Exzess) nicht als Verantwortliche angesehen, unterliegen somit auch nicht den Verpflichtungen der DSGVO und gehören daher nicht zum Adressatenkreis nach Art. 83 Abs. 4 bis 6 DSGVO (vgl. Interdiözesanes Datenschutzgericht (IDSG), Beschl. v. 14. Dezember 2020 – IDSG 01/2020, Rn. 44 ff.; Art. 29-Datenschutzgruppe , Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, WP 169, S. 19). Die DSGVO geht in der Definition des Verantwortlichen in Art. 4 Absatz 7 DSGVO explizit davon aus, dass (auch) die juristische Person über Mittel und Zwecke der Datenverarbeitung entscheiden kann d.h. die juristische Person als Verantwortliche ist – handelnd durch ihre Organe – dazu in der Lage und nimmt diese Kompetenz auch regelmäßig wahr, um die Aufgaben der Einrichtung und die Unternehmensziele zu erreichen (vgl. IDSG, Beschl. v. 14. Dezember 2020 – IDSG 01/2020, Rn. 44). Die juristische Person ist es, die die primären Folgen – die datenschutzrechtlichen Pflichten – und die sekundären Folgen – die Haftung und die Sanktionen der Datenschutzaufsichtsbehörden – treffen sollen (vgl. IDSG, Beschl. v. 14. Dezember 2020 – IDSG 01/2020, Rn. 44). Sie hat die tatsächliche Entscheidungsgewalt über die Mittel und Zwecke der Verarbeitung und die für einen umfassenden Schutz der Grundrechte der von der Verarbeitung betroffenen Personen erforderliche rechtliche Befugnis und die tatsächliche Entscheidungsgewalt, den Beanstandungen der Datenschutzaufsichtsbehörden abzuhelfen. Sie verfügt auch über die nötige Haftungsmasse für eine Sanktionierung (vgl. IDSG, Beschl. v. 14. Dezember 2020 – IDSG 01/2020, Rn. 46 f.).
Das Abstellen auf die juristische Person als Verantwortliche führt dabei auch nicht zu Schutzlücken, denn das Handeln ihrer Organe und Mitarbeitenden sowie auch das Handeln teilweise verselbständigter Organisationseinheiten, etwa der ITAbteilung, werden der juristischen Person zugerechnet (vgl. IDSG, Beschl. v. 14. Dezember 2020 – IDSG 01/2020, Rn. 47). Den Gegensatz zwischen der juristischen Person als Verantwortlicher, die Weisungen erteilt, und den weisungsabhängigen unterstellten Mitarbeitenden bringen Art. 29 DSGVO und Art. 4 Nr. 10 DSGVO deutlich zum Ausdruck. Da das Handeln von Mitarbeitenden der juristischen Person als Verantwortliche zugerechnet wird, können etwa nach Art. 4 Nr. 10 DS-GVO Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen befugt sind, personenbezogene Daten zu verarbeiten, nicht „Dritte“ i. S. d. DSGVO sein (vgl. IDSG, Beschl. v. 14. Dezember 2020 – IDSG 01/2020, Rn. 49). Die Regelung des Art. 29 DSGVO benennt ausdrücklich Personen, die dem Verantwortlichen unterstellt sind und Zugang zu personenbezogenen Daten haben, und zeigt dadurch, dass die weisungsabhängigen Mitarbeitende nicht mit dem Verantwortlichen i. S. d. Art. 4 Nr. 7 DSGVO identisch sind (vgl. IDSG, Beschl. v. 14. Dezember 2020 – IDSG 01/2020, Rn. 47).
In Art. 83 Abs. 4 bis 6 DSGVO werden des Weiteren „Unternehmen“ als mögliche Bußgeld-adressat:innen explizit genannt („im Fall eines Unternehmens“ ). Dass in Art. 83 Abs. 4 bis 6 DSGVO nicht die identische Formulierung des Art. 23 Abs. 1 KartellVO verwendet wurde, („Die Kommission kann gegen Unternehmen und Unternehmensvereinigungen durch Entscheidung Geldbußen […] festsetzen“ ) dürfte an dem kartellrechtlich bedingten wirtschaftlichen Fokus liegen, dass Art. 23 KartellVO ausschließlich Bußgelder gegen „Unternehmen“ und „Unternehmensvereinigungen“ ermöglicht.
Im Gegensatz dazu richten sich Art. 83 Abs. 4 bis 6 DSGVO (vgl. Erwägungsgrund 150 Satz 4 DSGVO) auch gegen Verantwortliche und Auftragsverarbeiter, die keine „Unternehmen“ sind, wie z. B. gegen nicht kommerziell handelnde juristische und natürliche Personen. Die Öffnungsklausel in Art. 83 Abs. 7 DSGVO eröffnet den Mitgliedstaaten die Möglichkeit, Bußgelder gegen Behörden und sonstige öffentliche Stellen zu verhängen, sodass der Adressatenkreis des Gesetzgebers bewusst weiter gewählt wurde als im europäischen Kartellrecht.
b) Funktionsträgerprinzip bei Sanktionen nach der DSGVO
Vor dem Hintergrund des Erwägungsgrunds 150 Satz 3 DSGVO eröffnet der europäische Gesetzgeber in Art. 83 Abs. 4 bis 6 DSGVO die Möglichkeit der Bußgeldverhängung gegen „Unternehmen“ im Sinne einer direkten Unternehmensgeldbuße nach Vorbild des Funktionsträgerprinzips aus dem EUKartellrecht (vgl. LG Bonn, Urt. v. 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663 Rn. 22 ff.; IDSG, Beschl. v. 12. Juli 2021 – IDSG 21/2020, Rn. 79 ff.; Europäischer Datenschutzausschuss (EDSA) , Guidelines 04/2022 on the calculation of administrative fines under the GDPR, Version 1.0, Adopted on 12 May 2022, Rn. 123; Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) , Entschließung der 97. Konferenz am 3. April 2019; Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 1. Aufl. 2017, Teil 8 Rn. 35).
Erwägungsgrund 150 Satz 3 DSGVO sieht Folgendes vor: „Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff ‚Unternehmen‘ im Sinne der Artikel 101 und 102 AEUV verstanden werden.“ Nach dem Funktionsträgerprinzip aus dem EU-Kartellrecht werden dabei einem „Unternehmen“, also jeder eine wirtschaftliche Tätigkeit ausübenden Einheit unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung (vgl. EuGH, Urt. v. 10. April 2014 – C-231/11 P – Siemens Österreich, EuZW 2014, 714 Rn. 42–44; EuGH, Urt. v. 23. April 1991 – Rs C-41/90 – Höfner und Elser, NJW 1991, 2891 Rn. 21), alle Verstöße irgendeiner Person (ausgenommen Exzess), die berechtigt ist, für das Unternehmen tätig zu werden, zugerechnet, unabhängig ob es sich dabei um Leitungspersonen handelt (vgl. LG Bonn, Urt. v. 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663 Rn. 22 ff.; IDSG, Beschl. v. 12. Juli 2021 – IDSG 21/2020, Rn. 79 ff.; EDSA, Guidelines 04/2022 on the calculation of administrative fines under the GDPR, Version 1.0, Adopted on 12 May 2022, Rn. 123; DSK, Entschließung der 97. Konferenz am 3. April 2019; vgl. auch zum europäischen Kartellrecht: EuGH, Urt. v. 7. Juni 1983 – 100/80 – SA Musique Diffusion francaise/KOM, BeckRS 2004, 70610 Rn. 97; EuGH, Urt. v. 7. Februar 2013 – C-68/12, EuZW 2013, 438 Rn. 25; EuGH, Urt. v. 21. Juni 2016 – C-542/14, EuZW 2016, 737 Rn. 23 f.; EuGH, Urt. v. 16. Februar 2017 – C-95/15 P, BeckRS 2017, 101804 Rn. 34). Welche Mitarbeiterin oder welcher Mitarbeiter gehandelt hat, muss nicht einmal ermittelt werden (vgl. EuGH, Urt. v. 18. September 2003 – C-338/00 P, BeckRS 2003, 154494 Rn. 98; Generalanwältin beim EuGH, Schlussantrag v. 18. April 2013 – C-501/11 P, BeckRS 2013, 80815 Rn. 125 ff.; EDSA, Guidelines 04/2022 on the calculation of administrative fines under the GDPR, Version 1.0, Adopted on 12 May 2022, Rn. 123).
Mit dem Begriff „Unternehmen“ in Erwägungsgrund 150 Satz 3 1. Halbsatz DSGVO ist auch nicht die datenschutzrechtliche Definition des Art. 4 Nr. 18 DSGVO gemeint. Es handelt sich um unterschiedliche Unternehmensbegriffe, wie die klare und nicht zufällige Begriffstrennung in der englischen Fassung („undertaking“ in Erwägungsgrund 150 Satz 3 DSGVO und Art. 83 DSGVO sowie „enterprise“ in Art. 4 Nr. 18 DSGVO) zeigt. Während sich der in Art. 4 Nr. 18 DSGVO definierte Begriff „enterprise“ an verschiedenen Stellen der DSGVO wiederfindet, hat sich der Gesetzgeber bewusst dafür entschieden, im Art. 83 DSGVO und Erwägungsgrund 150 DSGVO einen anderen Begriff („undertaking“ ) zu verwenden. Mit dieser sprachlichen Differenzierung macht der Gesetzgeber deutlich, dass nicht lediglich auf der Rechtsfolgenseite, sondern im gesamten Bußgeldverfahren, der Unternehmensbegriff nach dem europäischen Kartellrecht maßgeblich ist (vgl. LG Bonn, Urt. v. 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663 Rn. 59). Die Auslegung des Begriffs richtet sich nach den Auslegungsregeln des Europarechts und daher nicht nur nach der deutschen Sprachfassung. Insbesondere stellt die deutsche Sprachfassung nicht die äußere Wortlautgrenze zur Auslegung dar. Der tatsächliche gesetzgeberische Wille und Inhalt der Norm ist europarechtsautonom unter Heranziehung auch anderer Sprachfassungen zu ergründen (vgl. ständige Rspr. des EuGH, Urt. v. 5. Dezember 1967 – 19/67, BeckRS 2004, 72119; EuGH, Urt. v. 8. Dezember 2005 – C-280/04, IStR 2006, 58 Rn. 31). Die sprachliche Differenzierung ist im Übrigen auch keine Eigenart der englischen Sprachfassung. Sie findet sich etwa auch in der bulgarischen Fassung, in der dänischen Fassung, in der gälischen Fassung, in der kroatischen Fassung und in der slowenischen Fassung (LG Bonn, Urt. v. 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663 Rn. 59; Uebele , EuZW 2018, 443 m. w. N.).
c) Erwägungsgrund 150 Satz 3 DSGVO ist zwingend zu berücksichtigen
Erwägungsgrund 150 Satz 3 ist integraler Teil der DSGVO und als solcher vom Gericht bei der Auslegung des Art. 83 DSGVO zu berücksichtigen.
Gemäß Art. 296 Abs. 2 AEUV sind Rechtsakte mit einer Begründung „zu versehen“, die sich in den dem operativen Teil der Unionsrechtsakte voranstehenden Erwägungsgründen wiederfindet, sodass die Begründung ein wesentlicher Teil des Rechtsakts selbst ist (vgl. EuGH, Urt. v. 23. Februar 1988 – Rs. 131/86 – „Vereinigtes Königreich/Kommission“, BeckRS 2004, 71529 Rn. 36 f.). Rechtsakt und Begründung werden insofern als ein „unteilbares Ganzes“ bezeichnet (vgl. EuGH, Urt. v. 15. Juni 1994 – C-137/92 Rn. 67 – „Kommission/BASF u. a.“; EuG, Urt. v. 7. Juni 2006 – T-613/97 Rn. 69 – „Ufex u. a./Kommission“).
Erwägungsgründe werden dabei insbesondere zur im EU-Recht besonders wichtigen teleologischen Auslegung herangezogen (vgl. EuGH, Urt. v. 26. Mai 2005, Rs. 478/03 Rn. 38 – „Celtec“).
Es ist vorliegend auch nicht so, dass der Inhalt von Erwägungsgrund 150 Satz 3 DSGVO keinen Anklang in den Artikeln der DSGVO gefunden hat, denn in Art. 83 Abs. 4 bis 6 DSGVO wird ausdrücklich auf Unternehmen Bezug genommen („im Fall eines Unternehmens“ ).
d) Erwägungsgrund 150 Satz 3 DSGVO betrifft nicht nur Bußgeldzumessung
Der Erwägungsgrund 150 Satz 3 DSGVO hat bereits Relevanz für den Adressatenkreis von Art. 83 Abs. 4 bis 6 DSGVO und nicht nur für die Bußgeldbemessung.
Bei der Behauptung des Landgerichts (LG) Berlin, Erwägungsgrund 150 Satz 3 DSGVO greife nur, wenn überhaupt ein Bußgeld gegen ein Unternehmen verhängt werde, weshalb der funktionale Unternehmensbegriff auf der Ebene des „Ob“ der Verhängung keine Rolle spiele (vgl. LG Berlin, Beschl. v. 18. Februar 2021 – (526 OWi LG) 212 Js-OWi 1/20 (1/20), BeckRS 2021, 2985), handelt es sich um einen Zirkelschluss. Wenn deutsche Aufsichtsbehörden bei Bußgeldbescheiden nach Art. 83 Abs. 4 bis 6 DSGVO den § 30 OWiG anzuwenden hätten, würde ein Bußgeld gegen Unternehmen überhaupt nicht möglich sein. § 30 OWiG sieht nur Bußgelder gegen juristische Personen oder Personenvereinigungen vor und nicht gegen Unternehmen. Das Unternehmen als Bußgeldadressat ist dem deutschen Ordnungswidrigkeitenrecht vollkommen fremd.
Des Weiteren kann die Begründung der Höhe eines Bußgeldes nicht vom Adressaten der Ebene des „Ob“ abgekoppelt werden, sondern die Ebene des „Wie“ hängt damit unmittelbar zusammen, sodass bei einer Trennung der Ebenen schon keine rechtssichere Ermittlung der Höhe der Geldbuße durch die Datenschutzaufsichtsbehörden möglich wäre.
2. Die Datenschutzaufsichtsbehörden der Mitgliedstaaten sanktionieren wie die EUKommission im EU-Kartellrecht direkt auf Grundlage einer europäischen Verordnung
Die DSGVO sieht mit Art. 83 eine eigenständige, an das europäische Kartellrecht angelehnte Bußgeldnorm vor, die durch nationale Behörden vollzogen wird.
Das Sanktionsregime der DSGVO ist dem unionsrechtlichen Wettbewerbsrecht nachempfunden, insbesondere den Bußgeldern gegen Unternehmen nach Art. 23 der Verordnung (EG) Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung der in den Art. 81 und 82 des Vertrags niedergelegten Wettbewerbsregeln (KartellVO) (vgl. LG Bonn, Urt. v. 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663 Rn. 31; Eckhardt , in: Spindler/Schuster, Recht der elektronischen Medien, 4. Auflage 2019, Art. 83 DSGVO Rn. 6; Albrecht , CR 2016, 88 (96)). Auch der Verweis in Erwägungsgrund 150 Satz 3 DSGVO auf Art. 101 und 102 AEUV verdeutlicht die Parallelen zwischen den beiden Rechtsgebieten.
Sowohl im europäischen Datenschutzrecht als auch – soweit ersichtlich – im gesamten europäischen Sanktionsrecht bewirkt die Einführung des Art. 83 DSGVO dabei eine Epochenwende. Als Novum verhängen erstmalig Aufsichtsbehörden der Mitgliedstaaten auf Grundlage einer unmittelbar anwendbaren Bußgeldnorm Geldbußen anstatt auf Grundlage von nationalen Bußgeldnormen.
Die nationalen Datenschutzaufsichtsbehörden leiten, wie die EU-Kommission im EUKartellrecht, die Befugnis zur Sanktionierung unmittelbar aus einer europäischen Verordnung her und nicht aus nationalem Recht. Insofern entsprechen die Befugnisund Bußgeldnormen des Datenschutzrechts (Art. 58, 83 DSGVO) denen des EUKartellrechts (Art. 17 ff., 23 KartellVO). Art. 58 DSGVO weist den Aufsichtsbehörden der Mitgliedstaaten direkt eine Vielzahl von unionsrechtlichen Ermittlungs- und Abhilfebefugnissen zu, so wie das europäische Kartellrecht der EU-Kommission in Art. 17 ff. KartellVO ebenfalls direkt Befugnisse einräumt. Es bedarf daher im Datenschutzrecht grundsätzlich keines Rückgriffs auf nationale Befugnisnormen (wie ansonsten z. B. bei deutschen Wettbewerbsbehörden nach §§ 57 ff. und 81 des Gesetzes gegen Wettbewerbsbeschränkungen (GWB)).
3. Kein Konflikt mit dem Schuldprinzip
Die fehlende Anknüpfung an die Handlung einer Leitungsperson einer juristischen Person verstößt auch nicht gegen das Schuldprinzip.
Auf die Zahlung einer Geldbuße als unionsrechtliche Sanktion, die keinen strafrechtlichen Charakter hat, findet nach der Rechtsprechung des EuGH das Schuldprinzip schon keine Anwendung (vgl. EuGH, Urt. v. 11. Juli 2002 – C-210/00 – Käserei Champignon Hofmeister, BeckRS 2004, 74993 Rn. 43 f.). Selbst eine echte Unternehmensstrafe würde nach der Interpretation des EuGH und des EGMR weder gegen die Unschuldsvermutung nach Maßgabe von Art. 6 Abs. 2 der Europäischen Menschenrechtskonvention (EMRK) oder Art. 48 Abs. 2 GRCh noch gegen das Schuldprinzip als allgemein anerkanntem Rechtsgrundsatz des Unionsrechts verstoßen (vgl. Hochmayr , ZIS 2016, 226).
Im Hinblick auf das Schuldprinzip vertrat die Generalanwältin beim EuGH Juliane Kokott in ihren Schlussanträgen bezüglich direkt an Unternehmen adressierter Geldbußen nach Art. 23 KartellVO die Ansicht, dass sich ein Unternehmen im Normalfall alle rechtswidrigen Machenschaften zurechnen lassen müsse – auch solche, zu denen es ohne Wissen und ohne ausdrückliche Billigung der Unternehmensleitung kam –, sofern diese Machenschaften sich im Verantwortungsbereich des Unternehmens ereigneten (Generalanwältin beim EuGH, Schlussantrag v. 18. April 2013 – C-501/11 P, BeckRS 2013, 80815 Rn. 111 ff., 129 ff.; der Rechtsmittelgrund, auf den die Generalanwältin Bezug nimmt, wurde anschließend vom EuGH als neues Angriffsmittel als unzulässig angesehen, weshalb sich der EuGH inhaltlich nicht damit befasste, EuGH, Urt. v. 18. Juli 2013 – C- 501/11 P, BeckRS 2013, 81521 Rn. 77-84). Dies sei in der Regel dann der Fall, wenn die fraglichen Handlungen durch die eigenen Mitarbeitenden im Zusammenhang mit ihrer Tätigkeit für das Unternehmen vorgenommen wurden (Generalanwältin beim EuGH, Schlussantrag vom 18. April 2013 – C-501/11 P, BeckRS 2013, 80815 Rn. 131). Es bedürfe insofern auch keiner Feststellungen, welche konkreten Mitarbeitenden eines Unternehmens an den Zuwiderhandlungen des Kartells beteiligt waren, wenn klar ist, dass die Personen, die auf Seiten des Unternehmens an den wettbewerbswidrigen Machenschaften des Kartells beteiligt waren, Mitarbeitende des Unternehmens waren (Generalanwältin beim EuGH, Schlussantrag vom 18. April 2013 – C-501/11 P, BeckRS 2013, 80815 Rn. 125 ff.).
Die Generalanwältin Kokott bringt dabei auch die Problematik des von den Behörden ggf. nachzuweisenden Leitungsverschulden auf den Punkt. So stellt die Generalanwältin ausdrücklich fest, dass für den Fall, dass Unternehmen in Kartellverfahren nur das Verhalten derjenigen Mitarbeitenden zurechenbar wäre, deren wettbewerbswidrige Machenschaften nachweisbar auf einer konkreten Anweisung oder Bevollmächtigung der Unternehmensleitung beruhten oder von dieser zumindest wissentlich geduldet wurden, das unionsrechtliche Kartellverbot jeglicher praktischer Wirksamkeit beraubt würde, da es dann für Unternehmen ein Leichtes wäre, sich ihrer Verantwortlichkeit für Kartellvergehen aus rein formalen Gründen zu entziehen (Generalanwältin beim EuGH, Schlussantrag vom 18. April 2013 – C-501/11 P, BeckRS 2013, 80815 Rn. 130).
4. Umfang der Öffnungsklausel des Art. 83 Abs. 8 DSGVO
Indem nach deutschem Recht über § 41 Abs. 1 BDSG auch auf § 30 Abs. 1 OWiG verwiesen wird, bewegt sich der deutsche Gesetzgeber außerhalb seiner nationalen Spielräume. Die Regelung ist diesbezüglich schlichtweg nicht mehr von der Öffnungsklausel des Art. 83 Abs. 8 DSGVO umfasst.
Zwar soll die Umsetzung des europäischen Grundgedankens auf Basis der nationalen Verfahrensgarantien erfolgen (Art. 83 Abs. 8 DSGVO). Die DSGVO enthält aber keine Öffnungsklausel für nationale Verfahrensgarantien, die über den europarechtlich gebotenen Schutz der Bußgeldadressat:innen nach den Vorgaben der GRCh hinausgehen und so die effektive und vor allem auch unionsweit einheitliche Durchsetzung der DSGVO behindern würden und damit nicht mehr „angemessen“ sind (vgl. Bergt , in: Kühling/Buchner, DSGVO BDSG, 4 Aufl. 2022, Art. 83 DSGVO Rn. 112).
Der Unionsrechtsgeber ermöglicht den Mitgliedstaaten über Art. 83 Abs. 8 DSGVO lediglich, Verfahrensvorschriften im nationalen Recht vorzusehen, nicht hingegen materiell-rechtliche Vorschriften (vgl. Golla , DuD 2021, 180, 181; einschränkend auf unionsrechtskonforme materiell-rechtliche Vorschriften LG Bonn, Urt. v. 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663 Rn. 35).
§ 30 OWiG stellt jedoch eine solche unzulässige materiell-rechtliche Norm dar (vgl. LG Bonn, Urt. v. 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663 Rn. 26; siehe auch zum äquivalenten § 3 des Entwurfs zum Gesetz zur Sanktionierung von verbandsbezogenen Straftaten – VerSanG: Referentenentwurf des Bundesministeriums der Justiz und für Verbraucherschutz, Stand: 20. April 2020, S. 71). § 30 OWiG sieht nämlich keine Regelungen für den Ablauf des Bußgeldverfahrens (also das „Wie“ der Verhängung, z. B. Anhörung oder Akteneinsicht) vor, sondern materielle Voraussetzungen im Sinne von zusätzlichen Tatbestandsmerkmalen (also das „Ob“ der Verhängung, hier: Anknüpfungstat einer Leitungsperson) für ein Bußgeld gegen juristische Personen. Insofern gehört § 30 OWiG auch zum ersten Teil des OWiG, dem Teil „Allgemeine Vorschriften“ , und nicht zum zweiten Teil des OWiG, „Bußgeldverfahren“ .
5. Auslegung des § 41 BDSG
Auch eine europarechtskonforme Auslegung des § 41 Abs. 1 Satz 1 BDSG führt zur Anwendung des Funktionsträgerprinzips.
a) Auslegung nach dem Wortlaut
Der Wortlaut des § 41 Abs. 1 Satz 1 BDSG lässt Raum für die gebotene unionsrechtskonforme Auslegung.
Die Regelung des § 41 Abs. 1 Satz 1 BDSG verweist nur auf eine „sinngemäße“ Geltung des OWiG. Demnach gilt die DSGVO vorrangig und das OWiG ist nur anwendbar, soweit die DSGVO Regelungslücken lässt (Brodowski/Nowak , in: BeckOK DatenschutzR, 42. Edition, Stand: 1. November 2022, § 41 BDSG Rn. 7).
Soweit eine Regelung des deutschen Ordnungswidrigkeitenrechts der DSGVO entgegensteht, muss sie unanwendbar bleiben (Ehmann , ZD 2017, 201; Bergt , DuD 2017, 555 (559)). Da die DSGVO eine unmittelbare Verbandshaftung vorsieht, fehlt es an einer Lücke des Unionsrechts, die mit einer vollständigen Anwendung des § 30 OWiG zu füllen wäre. Soweit § 30 OWiG dem europäischen Funktionsträgerprinzip entgegensteht, indem es auf ein Verschulden eines Organs oder einer Leitungsperson abstellt, ist die Vorschrift mit den Regelungen der DSGVO unvereinbar und damit nicht anwendbar.
b) Systematische Auslegung
Dass sich die Unanwendbarkeit des § 30 Abs. 1 OWiG bei Bußgeldern wegen Datenschutzverstößen auch aus § 41 BDSG ergibt, zeigt die systematische Auslegung der BDSG-Norm. Denn wäre die Regelung des § 30 OWiG anwendbar, wäre die Regelung des § 41 Abs. 2 Satz 2 BDSG widersprüchlich.
Zu den in § 41 Abs. 2 Satz 2 BDSG von der Anwendung ausgeschlossenen Vorschriften des OWiG zählen etwa §§ 87, 88 OWiG. Diese Regelungen finden sich im achten Abschnitt des zweiten Teils des OWiG. Dabei trägt der achte Abschnitt die Überschrift „Verfahren bei Anordnung von Nebenfolgen oder der Festsetzung einer Geldbuße gegen eine juristische Person oder Personenvereinigung“ .
Es überzeugt daher nicht, dass die Anwendung des materiell-rechtlichen § 30 OWiG durch den Gesetzgeber nicht ausgeschlossen sein soll, wohl aber die zur prozessualen Durchsetzung des § 30 OWiG zentralen Verfahrensvorschriften zur Sanktionierung von juristischen Personen im OWiG (so auch Brodowski/Nowak , in: BeckOK DatenschutzR, 42. Edition, Stand: 1. November 2022, § 41 BDSG Rn. 11.3).
c) Anwendungsvorrang des Unionsrechts
In der hier gegenständlichen Konstellation geht es gerade nicht um eine nationale Norm, die im Lichte einer Richtlinie ausgelegt werden muss. Es geht vielmehr um die Durchsetzung von Sanktionen, die in einer unmittelbar anwendbaren europäischen Verordnung geregelt sind und durch die Aufsichtsbehörden verhängt werden. Während Richtlinien nur hinsichtlich ihrer Regelungsziele beachtet werden müssen, gelten Verordnungen unmittelbar und sind in allen ihren Teilen verbindlich (vgl. Art. 288 Abs. 2 AEUV). Insofern ist der Spielraum für eine Abweichung vom Willen des europäischen Gesetzgebers im Rahmen der Durchsetzung datenschutzrechtlicher Sanktionen auf Grundlage der DSGVO grundsätzlich deutlich geringer, als wenn die Sanktionen lediglich in einer Richtlinie vorgesehen wären.
Als europäischer Verordnung kommt der DSGVO Anwendungsvorrang vor nationalem Recht zu (vgl. EuGH, Urt. v. 15. Juli 1965 – Rs. 6/64 – Costa/ENEL, Slg. 1964, 1251, 1269; EuGH, Urt. v. 9. März 1978 – Rs. 106/77 – Simmentahl II, Slg. 1978, 629 Rn. 17/18). In der Folge verliert kollidierendes mitgliedstaatliches Recht zwar nicht seine Gültigkeit, wird jedoch unanwendbar. Der Grund für dieses Verständnis liegt dabei weniger in der Schonung staatlicher Souveränität als in der fehlenden Befugnis des EuGH, über die Geltung mitgliedstaatlichen Rechts zu judizieren (Ruffert , in: Calliess/Ruffert, EUV/AEUV, 5. Aufl. 2016 Art. 1 AEUV Rn. 18 f.).
Der Anwendungsvorrang wirkt gegenüber sämtlichem mitgliedstaatlichen Recht, auch gegenüber solchem mit Verfassungsrang, um Einheit, Funktionsfähigkeit und Wirksamkeit des Unionsrechts zu sichern (EuGH, Urt. v. 17. Dezember 1970 – C- 11/70 – Internationale Handelsgesellschaft, Slg. 1970, 1125 Rn. 3 f.; EuGH, Urt. v. 26. Februar 2013 – C-399/11 – Meloni, NJW 2013, 1215 Rn. 59 ff.; EuGH, Urt. v. 22. November 2005 – C-144/04 – Mangold, NJW 2005, 3695 Rn. 77).
Auch ohne eine ausdrückliche Herausnahme des § 30 OWiG aus der Verweisung in § 41 BDSG wäre damit die Anwendung des § 30 OWiG bereits aufgrund der sich aus dem Anwendungsvorrang ergebenden Kollisionsregel ausgeschlossen. Dies ergibt sich schon aus dem eindeutigen Willen des europäischen Gesetzgebers, der grundsätzlich von einem funktionalen Unternehmensbegriff bei der datenschutzrechtlichen Sanktionierung ausgeht.
d) Effektivitätsgebot („effet utile“)
Der Vergleich mit anderen Mitgliedstaaten zeigt darüber hinaus, dass das Rechtsträgerprinzip des § 30 OWiG den Vollzug des Art. 83 Abs. 4 bis 6 DSGVO unzulässiger Weise erheblich erschwert und somit gegen das Effektivitätsgebot verstößt.
Aus dem Anwendungsvorrang folgt nicht nur die Unanwendbarkeit kollidierenden nationalen Rechts für Behörden und Gerichte, sondern auch die Verpflichtung, das nationale Recht unionsrechtskonform auszulegen und fortzubilden. Dabei ist das Effektivitätsgebot („effet utile“) zu berücksichtigen (ständige Rspr. d. EuGH, Urt. v. 19. November 1991 – Rs C-6/70 u. 9/79, NJW 1992, 165 Rn. 32 m. w. N.).
Demnach darf die Anwendung mitgliedstaatlichen Rechts die Wirksamkeit des Unionsrecht nicht praktisch unmöglich machen oder übermäßig erschweren. Derjenigen Auslegung ist der Vorzug einzuräumen, die der Verwirklichung der Vertragsziele und der Funktionsfähigkeit der Union am dienlichsten ist (vgl. Mayer , in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 77. EL September 2022, Art. 19 EUV Rn. 57).
Wäre die Zurechnung über § 30 OWiG tatsächlich bei jedem Datenschutzverstoß erforderlich, so könnte nicht gelingen, was der europäische Gesetzgeber zum Ziel hatte, nämlich die Gesetzverstöße von Unternehmen in der gesamten EU harmonisiert zu sanktionieren (vgl. bspw. Erwägungsgrund 129 Satz 1 DSGVO). Die zusätzlichen Anforderungen würden gegenüber dem europäischen Haftungsmodell zu einer erheblichen Einschränkung der Bußgeldverhängung gegen juristische Personen führen, wenn trotz Feststehens eines Datenschutzverstoßes die internen Verantwortlichkeiten von den Datenschutzaufsichtsbehörden aufzuklären wären. Den Nachweis eines Organisations- oder Überwachungsverschuldens einer Leitungsperson erbringen zu können, wird schwieriger, je größer das Unternehmen und seine organisatorischen Verflechtungen sind, insbesondere bei großen börsennotierten Konzernen. Hierdurch entstehen auf Seiten der deutschen Verwaltungs- und Ermittlungsbehörden, aber auch auf Seiten der Unternehmen selbst, enormer Aufwand und enorme Kosten im Rahmen von (zum Teil öffentlichkeitswirksamen) Durchsuchungen von Geschäftsräumen und Beschlagnahmen sowie Sichtung von Material, wie interner E-Mail-Kommunikation, die zum Teil nur deshalb stattfinden muss, um intern eine Leitungsperson der juristischen Person ermitteln zu können. Schlimmstenfalls entstehen Sanktionslücken, weil trotz enormem Ermittlungsaufwands eine Leitungsperson, der ein Vorwurf zu machen ist, nicht ermittelt werden kann, obschon ein Verstoß des Unternehmens anhand der übrigen Beweise ansonsten zweifelsfrei feststeht. Der Nachweis ist regelmäßig mit einem erheblichen Aufwand verbunden. Das Erfordernis des Leitungsverschuldens kann Unternehmen darüber hinaus dazu bewegen, Verantwortlichkeiten und Entscheidungswege über ein Geflecht an Tochtergesellschaften und eine Vielzahl an Abteilungen derart unüberschaubar zu organisieren, dass für die Datenschutzaufsichtsbehörden nur schwer nachvollziehbar ist, welche Leitungsperson die interne Verantwortung trägt.
Es bestünde insofern die naheliegende Gefahr einer europaweit deutlich unterschiedlichen Sanktionierungspraxis (vgl. LG Bonn, Urt. v. 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663 Rn. 32). Da Zurechnungserfordernisse im europäischen Ausland weitgehend unbekannt sind (Kubiciel/Gräbener , ZRP 2016, 137 m. w. N.), würde die Anwendbarkeit einer Regelung wie der des § 30 OWiG dem Harmonisierungswillen des europäischen Gesetzgebers entgegenstehen. Wird ein Verfahren gegen juristische Personen mit Sitz in Deutschland geführt, würden durch den § 30 OWiG weitere, über Art. 83 DSGVO hinausgehende, Voraussetzungen hinzukommen, die durch die Aufsichtsbehörde zu ermitteln und zu prüfen wären, anders als dies etwa in Frankreich oder der Slowakei der Fall ist. Denn in den meisten europäischen Mitgliedstaaten ist die Verhängung einer Verbandsstrafe auch in den nationalen Gesetzen vorgesehen. So gilt etwa in Frankreich die strafrechtliche Verbandshaftung bereits seit 1994 (Rogall , in: KK-OWiG, 5. Aufl. 2018, § 30 Rn. 266). Auch in anderen europäischen Mitgliedstaaten, so etwa in Belgien, Dänemark, Italien, Niederlande (Rogall , in: KK-OWiG, 5. Aufl. 2018, § 30 Rn. 263 ff.), Tschechien (vgl. Bohata, NZWiSt 2012, 161 (162 ff.)), Rumänien, Luxemburg und der Slowakei (vgl. Clifford Chance , Corporate Criminal Liability in Europe, 2016 https://www.cliffordchance.com/content/dam/cliffordchance/briefings/2016/04/ corporate-criminal-liability.pdf) ist die Verbandshaftung gesetzlich verankert.
Auch die Entscheidung des Conseil d’État vom 19. Juni 2020 (in Bezug auf die von der französischen Datenschutzbehörde „CNIL“ verhängte Sanktion gegenüber Google LLC in Höhe von 50 Millionen Euro) zeigt exemplarisch, dass die Verhängung von Geldbußen gegenüber juristischen Personen offensichtlich keiner namentlichen Benennung einer natürlichen Person bedarf. Im Rahmen der rechtlichen Beurteilung kommt das Höchstgericht zum Entschluss, dass Google LLC als Verantwortliche zu qualifizieren und daher die Geldbuße – ohne Einbeziehung des tatbestandsmäßigen, rechtswidrigen und vorwerfbaren Verhaltens einer natürlichen Person – zu Recht ihr gegenüber zu verhängen ist (vgl. die Entscheidung des Conseil d’État vom 19. Juni 2020, N° 430810, abrufbar in Französisch unter https://www.conseil17 etat.fr/ressources/decisions-contentieuses/dernieres-decisionsimportantes/ conseil-d-etat-19-juin-2020-sanction-infligee-a-google-par-la-cnil).
Zur zweiten Vorlagefrage: Allgemeines Verschuldenserfordernis
I. Inhalt der Vorlagefrage
Für den Fall, dass der EuGH die erste Vorlagefrage bejaht, fragt das KG in einer zweiten Vorlagefrage, ob Art. 83 Abs. 4 bis Abs. 6 DSGVO dahingehend auszulegen ist, dass das Unternehmen den durch Mitarbeitende vermittelten Verstoß schuldhaft begangen haben muss (vgl. Art. 23 KartellVO), oder ob für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß ausreicht („strict liability“).
II. Auslegung des Art. 83 DSGVO spricht für verschuldensunabhängige Bebußung
1. Auslegung nach dem Wortlaut
Für eine verschuldensunabhängige Bebußung spricht zunächst, dass an keiner Stelle in der DSGVO, insbesondere nicht in Art. 83 Abs 1 oder Abs. 4 bis 6 DSGVO, das Erfordernis von Fahrlässigkeit oder Vorsatz als Voraussetzung einer Geldbuße kodifiziert ist. Stattdessen wird in Art. 83 Abs. 2 Satz 2 lit. b DSGVO Vorsatz oder Fahrlässigkeit lediglich als eines der Zumessungskriterien („berücksichtigt“) aufgeführt (vgl. Bergt , in: Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2022, Art. 83 DSGVO Rn. 35; Nemitz , in: Ehmann/Selmayr, DSGVO, 2. Aufl. 2018, Art. 83 Rn. 17; Härting , Datenschutz-Grundverordnung, 1. Aufl. 2016, Rn. 253; Bergt , DuD 2017, 555 (558 f.); Boms , ZD 2019, 536 (537)). Auch der Formulierung des Art. 83 Abs. 3 DSGVO lässt sich nicht entnehmen, dass nur solche Verstöße mit Geldbußen sanktioniert werden können, bei denen ein Verschulden nachgewiesen werden kann. Vielmehr gilt die in der Norm vorgesehene Privilegierung für vorsätzliche oder fahrlässige Verstöße bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen nach dem Grundsatz „a maiore ad minus“ erst recht für Fälle schuldloser Verstöße (Boms , ZD 2019, 536 (537)).
2. Systematische Auslegung
Es gibt keinen „Allgemeinen Teil“ eines EU-Sanktionsrechts, der vorsieht, dass nur vorsätzliche oder fahrlässige Handlungen mit Geldbuße bedroht sind (Bergt , in: Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2022, Art. 83 DSGVO Rn. 35). Für eine verschuldensunabhängige Bebußung spricht auch das Regelungsgefüge der Schadensersatznorm des Art. 82 Abs. 1 DSGVO. Danach besteht das Recht auf Schadensersatz gegen den Verantwortlichen oder Auftragsverarbeiter, solange dieser gemäß Art. 82 Abs. 3 DSGVO nicht nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Dass der europäische Gesetzgeber insofern nicht ein Verschulden, sondern bloß eine strenge Exkulpationsmöglichkeit vorgesehen hat, bezeugt, dass er die rechtlichen Konsequenzen von DSGVO-Verstößen für den Verantwortlichen von der Feststellung von Verschulden lösen wollte.
In anderen Sanktionsvorschriften in EU-Verordnungen wird die fahrlässige oder vorsätzliche Begehung von Bußgeldtatbeständen ausdrücklich vorausgesetzt, z. B. in Art. 23 VO (EG) 1/2003. Darauf hat der europäische Gesetzgeber in Art. 83 DSGVO offensichtlich verzichtet.
Der europäische Gesetzgeber hat daneben aber auch in anderen Verordnungen verschuldensunabhängige Sanktionen vorgesehen, wie z. B. in Art. 55 Abs. 2 bzw. Abs. 3 der Verordnung (EG) Nr. 555/2008 (vgl. zu danach verschuldensunabhängig verhängten Geldbußen VG Ansbach, Urt. v. 29. Januar 2016 – AN 14 K 14.01302, AN 14 K 14,01335, BeckRS 2016, 42304; VG Würzburg, Urt. v. 10. Juli 2014 – W 3 K 14.37, BeckRS 2014, 56016) und Art. 11 Abs. 1 Satz 1 der Verordnung (EWG) Nr. 3665/87 in der durch die Verordnung (EG) Nr. 2945/94 geänderten Fassung (vgl. zu danach verschuldensunabhängig vorgenommenen Verminderungen EuGH, Urt. v. 6. Dezember 2012 – C-562/11, BeckRS 2012, 82568 Rn. 26 m. w. N.). Indem sich der europäische Gesetzgeber in Art. 83 DSGVO für eine vergleichbare Regelungssystematik wie in den o. g. Verordnungen entschieden hat, macht er deutlich, dass Geldbußen nach der DSGVO verschuldensunabhängig verhängt werden können.
3. Historische Auslegung
Nach den DSGVO-Entwürfen der Europäischen Kommission und dem Rat der Europäischen Union waren Fahrlässigkeit oder Vorsatz Voraussetzung einer Sanktion (vgl. Art. 79 Abs. 4, 5 und 6 DSGVO-E (KOM) und Art. 79a Abs. 1, 2 und 3 DSGVO-E (Rat)). Das Europäische Parlament wollte hingegen gemäß Art. 79 Abs. 2a DSGVO-E (EP) Sanktionen für „jeden, der seinen in dieser Verordnung festgelegten Pflichten nicht nachkommt“.
Insofern bestätigt Art. 79 Abs. 2b DSGVO-E (EP), der regeln sollte, dass Geldbußen nur bei Vorsatz oder Fahrlässigkeit verhängt werden, sofern der Verantwortliche oder Auftragsverarbeiter im Besitz des europäischen Datenschutzsiegels ist, dass vom Europäischen Parlament die Möglichkeit der Datenschutzaufsichtsbehörden beabsichtigt war, Geldbußen aufgrund von DSGVO-Verstößen grundsätzlich verschuldensunabhängig zu verhängen (vgl. Bergt , in: Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2022, Art. 83 DSGVO Rn. 10; Bergt , DuD 2017, 555, 558; Härting , CR 2013, 715, 721).
Da die Vorschläge von Kommission und Rat im weiteren Gesetzgebungsverfahren nicht übernommen, sondern gestrichen worden sind, spricht das Ergebnis dafür, dass der europäische Gesetzgeber gerade kein Verschuldenserfordernis vorsehen wollte, mithin nicht von einem Redaktionsversehen auszugehen ist (vgl. Bergt , in: Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2022, Art. 83 DSGVO Rn. 35; Boehm , in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Aufl. 2019, Art. 83 DSGVO Rn. 26; Cornelius , in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 3. Aufl. 2019, Teil XIV Rn. 127; Bergt , DuD 2017, 555, 558; Boms , ZD 2019, 536, 537).
4. Teleologische Auslegung
Die Geldbußen nach Art. 83 DSGVO sind entscheidend für die effektive Durchsetzung des neuen, unionsweit harmonisierten Datenschutzrechts (vgl. Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 1. Aufl. 2017, Teil 8 Rn. 34; vgl. auch Erwägungsgrund 148 Satz 1 DSGVO). Insbesondere gegenüber wirtschaftlich starken und international agierenden Akteuren sollen sie abschreckend wirken und deren Rechtstreue erzwingen (vgl. Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 1. Aufl. 2017, Teil 8 Rn. 34). Hierfür müssen Geldbußen nach Art. 83 Abs. 1 DSGVO wirksam, verhältnismäßig und abschreckend sein.
Mit dieser Zielrichtung erscheint der Verzicht auf eine Verschuldensvoraussetzung in Art. 83 DSGVO dem Sinn und Zweck der Vorschrift, den Datenschutzaufsichtsbehörden unionsweit eine möglichst einfache und konsequente Bebußung von Verstößen gegen die DSGVO zu ermöglichen, gerecht zu werden. Die verschuldensunabhängige Bebußungsmöglichkeit schafft insofern auch für Verantwortliche und Auftragsverarbeiter zusätzliche Anreize, besonders effektive Datenschutzmanagementsysteme aufzubauen und einzusetzen, um die Vorgaben der DSGVO, die bußgeldbewehrt sind, einzuhalten.
III. Verhältnismäßigkeit entsprechend der EuGH-Rechtsprechung gewahrt
Eine verschuldensunabhängige Bebußung nach Art. 83 DSGVO ist auch mit dem Unionsrecht vereinbar, da sie verhältnismäßig ausgestaltet ist.
Bei der Beurteilung, ob eine Sanktion mit dem Grundsatz der Verhältnismäßigkeit im Einklang steht, sind u. a. Art und Schwere des Verstoßes, der mit dieser Sanktion geahndet werden soll, sowie die Modalitäten für die Bestimmung ihrer Höhe zu berücksichtigen (vgl. EuGH, Urt. v. 13. November 2014 – C-443/13, LMuR 2015, 8 Rn. 40; EuGH, Urt. v. 17. Juli 2014 – C-272/13, BeckRS 2014, 81202 Rn. 35). Nach der Rechtsprechung des EuGH ist dabei sogar eine bloß objektiv basierte Strafbarkeit zulässig, soweit der Verhältnismäßigkeitsgrundsatz gewahrt bleibt; ein System der objektiven Verantwortlichkeit steht als solches nicht außer Verhältnis zu den angestrebten Zielen, wenn es geeignet ist, die von ihm erfassten Personen zur Beachtung der Bestimmungen einer Verordnung anzuhalten, und wenn die verfolgten Ziele ein Allgemeininteresse aufweisen, das die Schaffung eines solchen Systems rechtfertigen kann (EuGH, Urt. v. 13. November 2014 – C-443/13, LMuR 2015, 8 Rn. 42; EuGH, Urt. v. 9. Februar 2012 – C-210/10, BeckRS 2012, 80284 Rn. 48; EuGH, Urt. v. 10. Juli 1990 – 326/88, BeckRS 2004, 70816 Rn. 19; EuGH, Urt. v. 2. Oktober 1991 – C-7/90, BeckRS 2004, 77713 Rn. 16 f.; EuGH, Urt. v. 27. Februar 1997 – C-177/95, BeckRS 2004, 74706 Rn. 36; EuGH, Urt. v. 20. März 2018 – C- 524/15, MwStR 2018, 551 Rn. 45 ff.).
Nach diesen Maßstäben ist auch die objektiv basierte Bebußung nach Art. 83 Abs. 4 bis 6 DSGVO zulässig, auch wenn es sich dabei nicht um Strafvorschriften handelt. Die Zielsetzung der DSGVO stellt ein Allgemeininteresse dar, das die Schaffung eines Systems der objektiven Verantwortlichkeit rechtfertigt. Ziel der DSGVO ist es, unionsweit ein hohes Datenschutzniveau zu gewährleisten, um insbesondere für das Recht auf den Schutz personenbezogener Daten nach Art. 8 GRCh und das Recht auf Achtung des Privat- und Familienlebens nach Art. 7 GRCh natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie den freien Verkehr solcher Daten ein gleichwertiges und hohes Datenschutzniveau zu gewährleisten (vgl. Art. 1 DSGVO und Erwägungsgrund 10 Satz 1 DSGVO). Bußgelder aufgrund objektiver Verstöße gegen die DSGVO dürften Verantwortliche und Auftragsverarbeiter auch veranlassen, bei der Umsetzung der Verpflichtungen aus der DSGVO besondere Sorgfalt walten zu lassen, weil sie sich mit dem Hinweis auf mangelndes Verschulden der Verantwortlichkeit im Rahmen der Bebußung nach Art. 83 Abs. 4 bis 6 DSGVO nicht entziehen können (vgl. Boms , ZD 2019, 536, 537). Der Bußgeldrahmen in Art. 83 Abs. 4 bis 6 DSGVO kann dabei unter Berücksichtigung der Vorgaben der Wirksamkeit, Verhältnismäßigkeit und Abschreckung nach Art. 83 Abs. 1 DSGVO und der Bußgeldzumessungskriterien nach Art. 83 Abs. 2 Satz 2 lit. a bis k DSGVO von den Datenschutzaufsichtsbehörden passend für den jeweiligen Einzelfall ausgefüllt werden. Insofern ist die verschuldensunabhängige Bebußung auch angemessen, denn sie ist darüber hinaus kein Automatismus. Die Datenschutzaufsichtsbehörden können vielmehr auch bei einem objektiven Verstoß von einer Geldbuße absehen und stattdessen eine Verwarnung nach Art. 58 Abs. 2 lit. b DSGVO erteilen, insbesondere bei geringfügigen Verstößen oder wenn voraussichtlich zu verhängende Geldbußen eine unverhältnismäßige Belastung für eine natürliche Person bewirken würden (vgl. Erwägungsgrund 148 Satz 2 DSGVO).
Kontakt:
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Holstenstraße 98
24103 Kiel
E-Mail: mail@datenschutzzentrum.de
Weitere Informationen zur Datenschutzkonferenz:
A. Zusammenfassung
Nach der Auffassung der Datenschutzkonferenz ist die erste Vorlagefrage des Berliner Kammergerichts (KG) dahingehend zu beantworten, dass Art. 83 Abs. 4 bis 6 der Datenschutz-Grundverordnung (DSGVO) so auszulegen ist, dass der funktionale Unternehmensbegriff und das Funktionsträgerprinzip aufgrund des Willen des europäischen Gesetzgebers (vgl. Erwägungsgrund 150 Satz 3 DSGVO) von den Datenschutzaufsichtsbehörden bei der Bußgeldverhängung anzuwenden ist. Entgegenstehende Vorschriften, die wie § 30 des Gesetzes über Ordnungswidrigkeiten (OWiG) das Rechtsträgerprinzip vorsehen, sind nicht anzuwenden. Es bedarf wie im EU-Kartellrecht (Art. 101 und 102 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV)) nur der Feststellung, dass Mitarbeitende des Unternehmens einen Verstoß gegen die DSGVO begangen haben, ohne dass die konkret handelnden Mitarbeitenden ermittelt werden oder Leitungspersonen des Unternehmens sein müssen. Die Notwendigkeit der Feststellung eines Leitungsverschuldens würde unter Verletzung des Effektivitätsgebots („effet utile“) den Vollzug des Art. 83 DSGVO in Deutschland ansonsten erheblich erschweren.
Die zweite Vorlagefrage des KG ist so zu beantworten, dass für eine Bebußung des Unternehmens nach Art. 83 Abs. 4 bis 6 DSGVO im Grundsatz bereits ein dem Unternehmen zuzuordnender objektiver Pflichtenverstoß ausreicht („strict liability“). Diese vom europäischen Gesetzgeber gewollte Erleichterung für die Datenschutzaufsichtsbehörden ist verhältnismäßig, denn sie hält zum Schutz der Grundrechte natürlicher Personen die Verantwortlichen und Auftragsverarbeiter zur Einhaltung der Pflichten aus der DSGVO an.
B. Zur ersten Vorlagefrage: Funktionsträgerprinzip
I. Inhalt der Vorlagefrage
In seiner ersten Vorlagefrage hat das KG den EuGH gefragt, ob Art. 83 Abs. 4 bis 6 DSGVO dahingehend auszulegen ist, dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des dem § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf.
II. Historie der DSGVO – Von nationalen Bußgeldtatbeständen zu einem supranationalen Sanktionsregime
Mit Art. 83 DSGVO wird nach dem Willen des Unionsgesetzgebers das Ziel verfolgt, das Grundrecht auf Datenschutz durch die Androhung empfindlicher und dadurch abschreckender Geldbußen – insbesondere gegen Unternehmen – in der gesamten EU abzusichern.
Das Grundrecht auf Datenschutz ist als solches insbesondere in Art. 8 (Schutz personenbezogener Daten) der Charta der Grundrechte der Europäischen Union (GRCh) verankert. Um dieses in allen Mitgliedstaaten gleichermaßen zu schützen, setzt sich der Unionsgesetzgeber mit der DSGVO im Bereich der Sanktionen deutlich von der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Richtlinie – DS-RL) ab und überlässt es nicht mehr – wie seinerzeit Art. 24 DS-RL – allein dem nationalen Gesetzgeber, Regelungen zur Sanktionierung von Verstößen zu treffen (vgl. hierzu Art. 24 DS-RL, ABl L 1995/281, 31 idF L 2017/40, 78).
Dem Unionsgesetzgeber kam es mit der Schaffung des Art. 83 DSGVO insbesondere darauf an, die Durchsetzung eines unionsweit einheitlichen Datenschutzstandards durch den Rechtsaktwechsel von einer Richtlinie hin zu einer unmittelbar wirksamen Verordnung für den gesamten räumlichen Geltungsbereich durch ein supranationales (und damit einheitliches) Sanktionsregime sicherzustellen (vgl. Erwägungsgrund 9, 10 Satz 1, 11, 13 Satz 1, 129 Satz 1, 148 Satz 1 und 152 Satz 1 DSGVO; LG Bonn, Urt. v. 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663 Rn. 33). Damit das in der Grundrechte-Charta verankerte Grundrecht auf Datenschutz einheitlich gewährleistet werden kann, darf es daher nicht zu regionalen Unterschieden bei der Ahndung von Datenschutzverstößen durch Unternehmen aufgrund unterschiedlicher nationaler Bestimmungen und einer unterschiedlichen Vollzugspraxis kommen.
Bei der gemäß Art. 83 DSGVO zu verhängenden Geldbuße handelt es sich insoweit um eine verwaltungs- und keine strafrechtliche Sanktion. Dies ergibt sich schon aus dem Kompetenzbereich der EU, da die Mitgliedstaaten keine Strafgewalt an die EU übertragen haben. Dies bedeutet allerdings nicht, dass die EU in ihrem Kompetenzbereich auf den Einsatz von Sanktionen im Fall von Zuwiderhandlungen gegen gemeinschaftliche Bestimmungen verzichten muss (Schwarze , EuZW 2003, 261). Insofern beinhaltet Art. 16 Abs. 2 AEUV, obwohl dies dort nicht ausdrücklich vorgesehen ist, als Annex auch eine Regelungskompetenz der EU für Vorgaben zum Erlass von Verwaltungssanktionen wie Geldbußen (vgl. EuGH, Urt. v. 23. Oktober 2007 – C-440/05, NStZ 2008, 703 Rn. 70 und 71). Die gemäß Art. 83 DSGVO durch die Aufsichtsbehörden zu verhängenden Geldbußen sind demnach keine kriminalstrafrechtlichen Sanktionen im eigentlichen Sinne. Vielmehr handelt es sich nach dem unionsrechtlichen Verständnis um ein (rein) administratives Sanktionsinstrument (vgl. Ehmann , in: Gola/Heckmann, DSGVO BDSG, 3. Aufl. 2022, § 41 BDSG Rn. 6).
Während der europäische Gesetzgeber demnach von sog. „administrative fines“, also Verwaltungsgeldbußen ausgeht, ordnet die deutsche Rechtstradition die Bußgeldtatbestände des Art. 83 Abs. 4 bis 6 DSGVO über § 41 Bundesdatenschutzgesetz (BDSG) dem Ordnungswidrigkeitenrecht als Sonderstrafrecht zu. Diese in Deutschland gewählte Zuordnung darf jedoch nicht dazu führen, die Durchsetzung des Willens des europäischen Gesetzgebers zu erschweren oder zu verhindern.
Das deutsche Ordnungswidrigkeitenrecht geht davon aus, dass Verstöße gegen nationale Bußgeldtatbestände nur von natürlichen Personen begangen werden können. Täter ist daher nach § 1 OWiG zunächst die natürliche Person, die rechtswidrig gehandelt hat. Dem folgend eröffnet dann nur der auf dem Rechtsträgerprinzip basierende § 30 OWiG die Möglichkeit, gegen juristische Personen und Personenvereinigungen eine Sanktion in Form einer Geldbuße zu verhängen, wenn eine ihrer Leitungspersonen eine Ordnungswidrigkeit begangen hat. Diese muss in einem Zurechnungszusammenhang zum Unternehmen stehen, weil durch sie Pflichten der juristischen Person oder Personenvereinigung verletzt worden sind oder durch sie eine Bereicherung der juristischen Person oder Personenvereinigung erreicht wurde oder werden sollte (Meyberg , in: BeckOK OWiG, 36. Edition, Stand: 1. Oktober 2022, § 30 vor Rn. 1). Begehen aber Mitarbeitende unterhalb der Leitungs- oder Kontrollebene Ordnungswidrigkeiten, kommt eine Geldbuße gegen die juristische Person nur noch in Betracht, wenn Leitungspersonen Aufsichtspflichten gemäß § 130 OWiG verletzt haben. Das im deutschen Ordnungswidrigkeitenrecht vorgesehene Rechtsträgerprinzip und das Erfordernis von Leitungsverschulden unterscheidet sich damit wesentlich vom Ansatz des in der DSGVO und dem europäischen Kartellrecht vorgesehenen Funktionsträgerprinzips.
III. Keine Anwendbarkeit des § 30 OWiG
1. DSGVO sieht Bußgelder direkt gegen juristische Personen und Unternehmen vor
Die Bußgeldvorschriften der DSGVO und Erwägungsgrund 150 Satz 3 DSGVO zeigen eindeutig auf, dass der europäische Gesetzgeber von einer direkten Sanktionierung juristischer Personen und Unternehmen im Sinne des Funktionsträgerprinzips ausgegangen ist.
a) Adressatenkreis ergibt sich bereits aus Art. 83 Abs. 4 bis 6 DSGVO i. V. m. Art. 4 Nr. 7 und Nr. 8 DSGVO
Das Bußgeldsystem der DSGVO sieht juristische Personen als Teil des Kreises von Bußgeldadressaten vor. Die Bußgeldtatbestände in Art. 83 Abs. 4 bis 6 DSGVO knüpfen an diverse Pflichten nach der DSGVO an, die mit wenigen Ausnahmen ausschließlich Verantwortliche und/oder Auftragsverarbeiter treffen. Verantwortliche und Auftragsverarbeiter können dabei gemäß Art. 4 Nr. 7 und Nr. 8 DSGVO auch juristische Personen sein.
Handelt es sich um juristische Personen, werden Mitarbeitende, auch leitende Mitarbeitende inkl. gesetzliche Vertreter:innen (ausgenommen sie handeln im Exzess) nicht als Verantwortliche angesehen, unterliegen somit auch nicht den Verpflichtungen der DSGVO und gehören daher nicht zum Adressatenkreis nach Art. 83 Abs. 4 bis 6 DSGVO (vgl. Interdiözesanes Datenschutzgericht (IDSG), Beschl. v. 14. Dezember 2020 – IDSG 01/2020, Rn. 44 ff.; Art. 29-Datenschutzgruppe , Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, WP 169, S. 19). Die DSGVO geht in der Definition des Verantwortlichen in Art. 4 Absatz 7 DSGVO explizit davon aus, dass (auch) die juristische Person über Mittel und Zwecke der Datenverarbeitung entscheiden kann d.h. die juristische Person als Verantwortliche ist – handelnd durch ihre Organe – dazu in der Lage und nimmt diese Kompetenz auch regelmäßig wahr, um die Aufgaben der Einrichtung und die Unternehmensziele zu erreichen (vgl. IDSG, Beschl. v. 14. Dezember 2020 – IDSG 01/2020, Rn. 44). Die juristische Person ist es, die die primären Folgen – die datenschutzrechtlichen Pflichten – und die sekundären Folgen – die Haftung und die Sanktionen der Datenschutzaufsichtsbehörden – treffen sollen (vgl. IDSG, Beschl. v. 14. Dezember 2020 – IDSG 01/2020, Rn. 44). Sie hat die tatsächliche Entscheidungsgewalt über die Mittel und Zwecke der Verarbeitung und die für einen umfassenden Schutz der Grundrechte der von der Verarbeitung betroffenen Personen erforderliche rechtliche Befugnis und die tatsächliche Entscheidungsgewalt, den Beanstandungen der Datenschutzaufsichtsbehörden abzuhelfen. Sie verfügt auch über die nötige Haftungsmasse für eine Sanktionierung (vgl. IDSG, Beschl. v. 14. Dezember 2020 – IDSG 01/2020, Rn. 46 f.).
Das Abstellen auf die juristische Person als Verantwortliche führt dabei auch nicht zu Schutzlücken, denn das Handeln ihrer Organe und Mitarbeitenden sowie auch das Handeln teilweise verselbständigter Organisationseinheiten, etwa der ITAbteilung, werden der juristischen Person zugerechnet (vgl. IDSG, Beschl. v. 14. Dezember 2020 – IDSG 01/2020, Rn. 47). Den Gegensatz zwischen der juristischen Person als Verantwortlicher, die Weisungen erteilt, und den weisungsabhängigen unterstellten Mitarbeitenden bringen Art. 29 DSGVO und Art. 4 Nr. 10 DSGVO deutlich zum Ausdruck. Da das Handeln von Mitarbeitenden der juristischen Person als Verantwortliche zugerechnet wird, können etwa nach Art. 4 Nr. 10 DS-GVO Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen befugt sind, personenbezogene Daten zu verarbeiten, nicht „Dritte“ i. S. d. DSGVO sein (vgl. IDSG, Beschl. v. 14. Dezember 2020 – IDSG 01/2020, Rn. 49). Die Regelung des Art. 29 DSGVO benennt ausdrücklich Personen, die dem Verantwortlichen unterstellt sind und Zugang zu personenbezogenen Daten haben, und zeigt dadurch, dass die weisungsabhängigen Mitarbeitende nicht mit dem Verantwortlichen i. S. d. Art. 4 Nr. 7 DSGVO identisch sind (vgl. IDSG, Beschl. v. 14. Dezember 2020 – IDSG 01/2020, Rn. 47).
In Art. 83 Abs. 4 bis 6 DSGVO werden des Weiteren „Unternehmen“ als mögliche Bußgeld-adressat:innen explizit genannt („im Fall eines Unternehmens“ ). Dass in Art. 83 Abs. 4 bis 6 DSGVO nicht die identische Formulierung des Art. 23 Abs. 1 KartellVO verwendet wurde, („Die Kommission kann gegen Unternehmen und Unternehmensvereinigungen durch Entscheidung Geldbußen […] festsetzen“ ) dürfte an dem kartellrechtlich bedingten wirtschaftlichen Fokus liegen, dass Art. 23 KartellVO ausschließlich Bußgelder gegen „Unternehmen“ und „Unternehmensvereinigungen“ ermöglicht.
Im Gegensatz dazu richten sich Art. 83 Abs. 4 bis 6 DSGVO (vgl. Erwägungsgrund 150 Satz 4 DSGVO) auch gegen Verantwortliche und Auftragsverarbeiter, die keine „Unternehmen“ sind, wie z. B. gegen nicht kommerziell handelnde juristische und natürliche Personen. Die Öffnungsklausel in Art. 83 Abs. 7 DSGVO eröffnet den Mitgliedstaaten die Möglichkeit, Bußgelder gegen Behörden und sonstige öffentliche Stellen zu verhängen, sodass der Adressatenkreis des Gesetzgebers bewusst weiter gewählt wurde als im europäischen Kartellrecht.
b) Funktionsträgerprinzip bei Sanktionen nach der DSGVO
Vor dem Hintergrund des Erwägungsgrunds 150 Satz 3 DSGVO eröffnet der europäische Gesetzgeber in Art. 83 Abs. 4 bis 6 DSGVO die Möglichkeit der Bußgeldverhängung gegen „Unternehmen“ im Sinne einer direkten Unternehmensgeldbuße nach Vorbild des Funktionsträgerprinzips aus dem EUKartellrecht (vgl. LG Bonn, Urt. v. 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663 Rn. 22 ff.; IDSG, Beschl. v. 12. Juli 2021 – IDSG 21/2020, Rn. 79 ff.; Europäischer Datenschutzausschuss (EDSA) , Guidelines 04/2022 on the calculation of administrative fines under the GDPR, Version 1.0, Adopted on 12 May 2022, Rn. 123; Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) , Entschließung der 97. Konferenz am 3. April 2019; Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 1. Aufl. 2017, Teil 8 Rn. 35).
Erwägungsgrund 150 Satz 3 DSGVO sieht Folgendes vor: „Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff ‚Unternehmen‘ im Sinne der Artikel 101 und 102 AEUV verstanden werden.“ Nach dem Funktionsträgerprinzip aus dem EU-Kartellrecht werden dabei einem „Unternehmen“, also jeder eine wirtschaftliche Tätigkeit ausübenden Einheit unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung (vgl. EuGH, Urt. v. 10. April 2014 – C-231/11 P – Siemens Österreich, EuZW 2014, 714 Rn. 42–44; EuGH, Urt. v. 23. April 1991 – Rs C-41/90 – Höfner und Elser, NJW 1991, 2891 Rn. 21), alle Verstöße irgendeiner Person (ausgenommen Exzess), die berechtigt ist, für das Unternehmen tätig zu werden, zugerechnet, unabhängig ob es sich dabei um Leitungspersonen handelt (vgl. LG Bonn, Urt. v. 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663 Rn. 22 ff.; IDSG, Beschl. v. 12. Juli 2021 – IDSG 21/2020, Rn. 79 ff.; EDSA, Guidelines 04/2022 on the calculation of administrative fines under the GDPR, Version 1.0, Adopted on 12 May 2022, Rn. 123; DSK, Entschließung der 97. Konferenz am 3. April 2019; vgl. auch zum europäischen Kartellrecht: EuGH, Urt. v. 7. Juni 1983 – 100/80 – SA Musique Diffusion francaise/KOM, BeckRS 2004, 70610 Rn. 97; EuGH, Urt. v. 7. Februar 2013 – C-68/12, EuZW 2013, 438 Rn. 25; EuGH, Urt. v. 21. Juni 2016 – C-542/14, EuZW 2016, 737 Rn. 23 f.; EuGH, Urt. v. 16. Februar 2017 – C-95/15 P, BeckRS 2017, 101804 Rn. 34). Welche Mitarbeiterin oder welcher Mitarbeiter gehandelt hat, muss nicht einmal ermittelt werden (vgl. EuGH, Urt. v. 18. September 2003 – C-338/00 P, BeckRS 2003, 154494 Rn. 98; Generalanwältin beim EuGH, Schlussantrag v. 18. April 2013 – C-501/11 P, BeckRS 2013, 80815 Rn. 125 ff.; EDSA, Guidelines 04/2022 on the calculation of administrative fines under the GDPR, Version 1.0, Adopted on 12 May 2022, Rn. 123).
Mit dem Begriff „Unternehmen“ in Erwägungsgrund 150 Satz 3 1. Halbsatz DSGVO ist auch nicht die datenschutzrechtliche Definition des Art. 4 Nr. 18 DSGVO gemeint. Es handelt sich um unterschiedliche Unternehmensbegriffe, wie die klare und nicht zufällige Begriffstrennung in der englischen Fassung („undertaking“ in Erwägungsgrund 150 Satz 3 DSGVO und Art. 83 DSGVO sowie „enterprise“ in Art. 4 Nr. 18 DSGVO) zeigt. Während sich der in Art. 4 Nr. 18 DSGVO definierte Begriff „enterprise“ an verschiedenen Stellen der DSGVO wiederfindet, hat sich der Gesetzgeber bewusst dafür entschieden, im Art. 83 DSGVO und Erwägungsgrund 150 DSGVO einen anderen Begriff („undertaking“ ) zu verwenden. Mit dieser sprachlichen Differenzierung macht der Gesetzgeber deutlich, dass nicht lediglich auf der Rechtsfolgenseite, sondern im gesamten Bußgeldverfahren, der Unternehmensbegriff nach dem europäischen Kartellrecht maßgeblich ist (vgl. LG Bonn, Urt. v. 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663 Rn. 59). Die Auslegung des Begriffs richtet sich nach den Auslegungsregeln des Europarechts und daher nicht nur nach der deutschen Sprachfassung. Insbesondere stellt die deutsche Sprachfassung nicht die äußere Wortlautgrenze zur Auslegung dar. Der tatsächliche gesetzgeberische Wille und Inhalt der Norm ist europarechtsautonom unter Heranziehung auch anderer Sprachfassungen zu ergründen (vgl. ständige Rspr. des EuGH, Urt. v. 5. Dezember 1967 – 19/67, BeckRS 2004, 72119; EuGH, Urt. v. 8. Dezember 2005 – C-280/04, IStR 2006, 58 Rn. 31). Die sprachliche Differenzierung ist im Übrigen auch keine Eigenart der englischen Sprachfassung. Sie findet sich etwa auch in der bulgarischen Fassung, in der dänischen Fassung, in der gälischen Fassung, in der kroatischen Fassung und in der slowenischen Fassung (LG Bonn, Urt. v. 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663 Rn. 59; Uebele , EuZW 2018, 443 m. w. N.).
c) Erwägungsgrund 150 Satz 3 DSGVO ist zwingend zu berücksichtigen
Erwägungsgrund 150 Satz 3 ist integraler Teil der DSGVO und als solcher vom Gericht bei der Auslegung des Art. 83 DSGVO zu berücksichtigen.
Gemäß Art. 296 Abs. 2 AEUV sind Rechtsakte mit einer Begründung „zu versehen“, die sich in den dem operativen Teil der Unionsrechtsakte voranstehenden Erwägungsgründen wiederfindet, sodass die Begründung ein wesentlicher Teil des Rechtsakts selbst ist (vgl. EuGH, Urt. v. 23. Februar 1988 – Rs. 131/86 – „Vereinigtes Königreich/Kommission“, BeckRS 2004, 71529 Rn. 36 f.). Rechtsakt und Begründung werden insofern als ein „unteilbares Ganzes“ bezeichnet (vgl. EuGH, Urt. v. 15. Juni 1994 – C-137/92 Rn. 67 – „Kommission/BASF u. a.“; EuG, Urt. v. 7. Juni 2006 – T-613/97 Rn. 69 – „Ufex u. a./Kommission“).
Erwägungsgründe werden dabei insbesondere zur im EU-Recht besonders wichtigen teleologischen Auslegung herangezogen (vgl. EuGH, Urt. v. 26. Mai 2005, Rs. 478/03 Rn. 38 – „Celtec“).
Es ist vorliegend auch nicht so, dass der Inhalt von Erwägungsgrund 150 Satz 3 DSGVO keinen Anklang in den Artikeln der DSGVO gefunden hat, denn in Art. 83 Abs. 4 bis 6 DSGVO wird ausdrücklich auf Unternehmen Bezug genommen („im Fall eines Unternehmens“ ).
d) Erwägungsgrund 150 Satz 3 DSGVO betrifft nicht nur Bußgeldzumessung
Der Erwägungsgrund 150 Satz 3 DSGVO hat bereits Relevanz für den Adressatenkreis von Art. 83 Abs. 4 bis 6 DSGVO und nicht nur für die Bußgeldbemessung.
Bei der Behauptung des Landgerichts (LG) Berlin, Erwägungsgrund 150 Satz 3 DSGVO greife nur, wenn überhaupt ein Bußgeld gegen ein Unternehmen verhängt werde, weshalb der funktionale Unternehmensbegriff auf der Ebene des „Ob“ der Verhängung keine Rolle spiele (vgl. LG Berlin, Beschl. v. 18. Februar 2021 – (526 OWi LG) 212 Js-OWi 1/20 (1/20), BeckRS 2021, 2985), handelt es sich um einen Zirkelschluss. Wenn deutsche Aufsichtsbehörden bei Bußgeldbescheiden nach Art. 83 Abs. 4 bis 6 DSGVO den § 30 OWiG anzuwenden hätten, würde ein Bußgeld gegen Unternehmen überhaupt nicht möglich sein. § 30 OWiG sieht nur Bußgelder gegen juristische Personen oder Personenvereinigungen vor und nicht gegen Unternehmen. Das Unternehmen als Bußgeldadressat ist dem deutschen Ordnungswidrigkeitenrecht vollkommen fremd.
Des Weiteren kann die Begründung der Höhe eines Bußgeldes nicht vom Adressaten der Ebene des „Ob“ abgekoppelt werden, sondern die Ebene des „Wie“ hängt damit unmittelbar zusammen, sodass bei einer Trennung der Ebenen schon keine rechtssichere Ermittlung der Höhe der Geldbuße durch die Datenschutzaufsichtsbehörden möglich wäre.
2. Die Datenschutzaufsichtsbehörden der Mitgliedstaaten sanktionieren wie die EUKommission im EU-Kartellrecht direkt auf Grundlage einer europäischen Verordnung
Die DSGVO sieht mit Art. 83 eine eigenständige, an das europäische Kartellrecht angelehnte Bußgeldnorm vor, die durch nationale Behörden vollzogen wird.
Das Sanktionsregime der DSGVO ist dem unionsrechtlichen Wettbewerbsrecht nachempfunden, insbesondere den Bußgeldern gegen Unternehmen nach Art. 23 der Verordnung (EG) Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung der in den Art. 81 und 82 des Vertrags niedergelegten Wettbewerbsregeln (KartellVO) (vgl. LG Bonn, Urt. v. 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663 Rn. 31; Eckhardt , in: Spindler/Schuster, Recht der elektronischen Medien, 4. Auflage 2019, Art. 83 DSGVO Rn. 6; Albrecht , CR 2016, 88 (96)). Auch der Verweis in Erwägungsgrund 150 Satz 3 DSGVO auf Art. 101 und 102 AEUV verdeutlicht die Parallelen zwischen den beiden Rechtsgebieten.
Sowohl im europäischen Datenschutzrecht als auch – soweit ersichtlich – im gesamten europäischen Sanktionsrecht bewirkt die Einführung des Art. 83 DSGVO dabei eine Epochenwende. Als Novum verhängen erstmalig Aufsichtsbehörden der Mitgliedstaaten auf Grundlage einer unmittelbar anwendbaren Bußgeldnorm Geldbußen anstatt auf Grundlage von nationalen Bußgeldnormen.
Die nationalen Datenschutzaufsichtsbehörden leiten, wie die EU-Kommission im EUKartellrecht, die Befugnis zur Sanktionierung unmittelbar aus einer europäischen Verordnung her und nicht aus nationalem Recht. Insofern entsprechen die Befugnisund Bußgeldnormen des Datenschutzrechts (Art. 58, 83 DSGVO) denen des EUKartellrechts (Art. 17 ff., 23 KartellVO). Art. 58 DSGVO weist den Aufsichtsbehörden der Mitgliedstaaten direkt eine Vielzahl von unionsrechtlichen Ermittlungs- und Abhilfebefugnissen zu, so wie das europäische Kartellrecht der EU-Kommission in Art. 17 ff. KartellVO ebenfalls direkt Befugnisse einräumt. Es bedarf daher im Datenschutzrecht grundsätzlich keines Rückgriffs auf nationale Befugnisnormen (wie ansonsten z. B. bei deutschen Wettbewerbsbehörden nach §§ 57 ff. und 81 des Gesetzes gegen Wettbewerbsbeschränkungen (GWB)).
3. Kein Konflikt mit dem Schuldprinzip
Die fehlende Anknüpfung an die Handlung einer Leitungsperson einer juristischen Person verstößt auch nicht gegen das Schuldprinzip.
Auf die Zahlung einer Geldbuße als unionsrechtliche Sanktion, die keinen strafrechtlichen Charakter hat, findet nach der Rechtsprechung des EuGH das Schuldprinzip schon keine Anwendung (vgl. EuGH, Urt. v. 11. Juli 2002 – C-210/00 – Käserei Champignon Hofmeister, BeckRS 2004, 74993 Rn. 43 f.). Selbst eine echte Unternehmensstrafe würde nach der Interpretation des EuGH und des EGMR weder gegen die Unschuldsvermutung nach Maßgabe von Art. 6 Abs. 2 der Europäischen Menschenrechtskonvention (EMRK) oder Art. 48 Abs. 2 GRCh noch gegen das Schuldprinzip als allgemein anerkanntem Rechtsgrundsatz des Unionsrechts verstoßen (vgl. Hochmayr , ZIS 2016, 226).
Im Hinblick auf das Schuldprinzip vertrat die Generalanwältin beim EuGH Juliane Kokott in ihren Schlussanträgen bezüglich direkt an Unternehmen adressierter Geldbußen nach Art. 23 KartellVO die Ansicht, dass sich ein Unternehmen im Normalfall alle rechtswidrigen Machenschaften zurechnen lassen müsse – auch solche, zu denen es ohne Wissen und ohne ausdrückliche Billigung der Unternehmensleitung kam –, sofern diese Machenschaften sich im Verantwortungsbereich des Unternehmens ereigneten (Generalanwältin beim EuGH, Schlussantrag v. 18. April 2013 – C-501/11 P, BeckRS 2013, 80815 Rn. 111 ff., 129 ff.; der Rechtsmittelgrund, auf den die Generalanwältin Bezug nimmt, wurde anschließend vom EuGH als neues Angriffsmittel als unzulässig angesehen, weshalb sich der EuGH inhaltlich nicht damit befasste, EuGH, Urt. v. 18. Juli 2013 – C- 501/11 P, BeckRS 2013, 81521 Rn. 77-84). Dies sei in der Regel dann der Fall, wenn die fraglichen Handlungen durch die eigenen Mitarbeitenden im Zusammenhang mit ihrer Tätigkeit für das Unternehmen vorgenommen wurden (Generalanwältin beim EuGH, Schlussantrag vom 18. April 2013 – C-501/11 P, BeckRS 2013, 80815 Rn. 131). Es bedürfe insofern auch keiner Feststellungen, welche konkreten Mitarbeitenden eines Unternehmens an den Zuwiderhandlungen des Kartells beteiligt waren, wenn klar ist, dass die Personen, die auf Seiten des Unternehmens an den wettbewerbswidrigen Machenschaften des Kartells beteiligt waren, Mitarbeitende des Unternehmens waren (Generalanwältin beim EuGH, Schlussantrag vom 18. April 2013 – C-501/11 P, BeckRS 2013, 80815 Rn. 125 ff.).
Die Generalanwältin Kokott bringt dabei auch die Problematik des von den Behörden ggf. nachzuweisenden Leitungsverschulden auf den Punkt. So stellt die Generalanwältin ausdrücklich fest, dass für den Fall, dass Unternehmen in Kartellverfahren nur das Verhalten derjenigen Mitarbeitenden zurechenbar wäre, deren wettbewerbswidrige Machenschaften nachweisbar auf einer konkreten Anweisung oder Bevollmächtigung der Unternehmensleitung beruhten oder von dieser zumindest wissentlich geduldet wurden, das unionsrechtliche Kartellverbot jeglicher praktischer Wirksamkeit beraubt würde, da es dann für Unternehmen ein Leichtes wäre, sich ihrer Verantwortlichkeit für Kartellvergehen aus rein formalen Gründen zu entziehen (Generalanwältin beim EuGH, Schlussantrag vom 18. April 2013 – C-501/11 P, BeckRS 2013, 80815 Rn. 130).
4. Umfang der Öffnungsklausel des Art. 83 Abs. 8 DSGVO
Indem nach deutschem Recht über § 41 Abs. 1 BDSG auch auf § 30 Abs. 1 OWiG verwiesen wird, bewegt sich der deutsche Gesetzgeber außerhalb seiner nationalen Spielräume. Die Regelung ist diesbezüglich schlichtweg nicht mehr von der Öffnungsklausel des Art. 83 Abs. 8 DSGVO umfasst.
Zwar soll die Umsetzung des europäischen Grundgedankens auf Basis der nationalen Verfahrensgarantien erfolgen (Art. 83 Abs. 8 DSGVO). Die DSGVO enthält aber keine Öffnungsklausel für nationale Verfahrensgarantien, die über den europarechtlich gebotenen Schutz der Bußgeldadressat:innen nach den Vorgaben der GRCh hinausgehen und so die effektive und vor allem auch unionsweit einheitliche Durchsetzung der DSGVO behindern würden und damit nicht mehr „angemessen“ sind (vgl. Bergt , in: Kühling/Buchner, DSGVO BDSG, 4 Aufl. 2022, Art. 83 DSGVO Rn. 112).
Der Unionsrechtsgeber ermöglicht den Mitgliedstaaten über Art. 83 Abs. 8 DSGVO lediglich, Verfahrensvorschriften im nationalen Recht vorzusehen, nicht hingegen materiell-rechtliche Vorschriften (vgl. Golla , DuD 2021, 180, 181; einschränkend auf unionsrechtskonforme materiell-rechtliche Vorschriften LG Bonn, Urt. v. 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663 Rn. 35).
§ 30 OWiG stellt jedoch eine solche unzulässige materiell-rechtliche Norm dar (vgl. LG Bonn, Urt. v. 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663 Rn. 26; siehe auch zum äquivalenten § 3 des Entwurfs zum Gesetz zur Sanktionierung von verbandsbezogenen Straftaten – VerSanG: Referentenentwurf des Bundesministeriums der Justiz und für Verbraucherschutz, Stand: 20. April 2020, S. 71). § 30 OWiG sieht nämlich keine Regelungen für den Ablauf des Bußgeldverfahrens (also das „Wie“ der Verhängung, z. B. Anhörung oder Akteneinsicht) vor, sondern materielle Voraussetzungen im Sinne von zusätzlichen Tatbestandsmerkmalen (also das „Ob“ der Verhängung, hier: Anknüpfungstat einer Leitungsperson) für ein Bußgeld gegen juristische Personen. Insofern gehört § 30 OWiG auch zum ersten Teil des OWiG, dem Teil „Allgemeine Vorschriften“ , und nicht zum zweiten Teil des OWiG, „Bußgeldverfahren“ .
5. Auslegung des § 41 BDSG
Auch eine europarechtskonforme Auslegung des § 41 Abs. 1 Satz 1 BDSG führt zur Anwendung des Funktionsträgerprinzips.
a) Auslegung nach dem Wortlaut
Der Wortlaut des § 41 Abs. 1 Satz 1 BDSG lässt Raum für die gebotene unionsrechtskonforme Auslegung.
Die Regelung des § 41 Abs. 1 Satz 1 BDSG verweist nur auf eine „sinngemäße“ Geltung des OWiG. Demnach gilt die DSGVO vorrangig und das OWiG ist nur anwendbar, soweit die DSGVO Regelungslücken lässt (Brodowski/Nowak , in: BeckOK DatenschutzR, 42. Edition, Stand: 1. November 2022, § 41 BDSG Rn. 7).
Soweit eine Regelung des deutschen Ordnungswidrigkeitenrechts der DSGVO entgegensteht, muss sie unanwendbar bleiben (Ehmann , ZD 2017, 201; Bergt , DuD 2017, 555 (559)). Da die DSGVO eine unmittelbare Verbandshaftung vorsieht, fehlt es an einer Lücke des Unionsrechts, die mit einer vollständigen Anwendung des § 30 OWiG zu füllen wäre. Soweit § 30 OWiG dem europäischen Funktionsträgerprinzip entgegensteht, indem es auf ein Verschulden eines Organs oder einer Leitungsperson abstellt, ist die Vorschrift mit den Regelungen der DSGVO unvereinbar und damit nicht anwendbar.
b) Systematische Auslegung
Dass sich die Unanwendbarkeit des § 30 Abs. 1 OWiG bei Bußgeldern wegen Datenschutzverstößen auch aus § 41 BDSG ergibt, zeigt die systematische Auslegung der BDSG-Norm. Denn wäre die Regelung des § 30 OWiG anwendbar, wäre die Regelung des § 41 Abs. 2 Satz 2 BDSG widersprüchlich.
Zu den in § 41 Abs. 2 Satz 2 BDSG von der Anwendung ausgeschlossenen Vorschriften des OWiG zählen etwa §§ 87, 88 OWiG. Diese Regelungen finden sich im achten Abschnitt des zweiten Teils des OWiG. Dabei trägt der achte Abschnitt die Überschrift „Verfahren bei Anordnung von Nebenfolgen oder der Festsetzung einer Geldbuße gegen eine juristische Person oder Personenvereinigung“ .
Es überzeugt daher nicht, dass die Anwendung des materiell-rechtlichen § 30 OWiG durch den Gesetzgeber nicht ausgeschlossen sein soll, wohl aber die zur prozessualen Durchsetzung des § 30 OWiG zentralen Verfahrensvorschriften zur Sanktionierung von juristischen Personen im OWiG (so auch Brodowski/Nowak , in: BeckOK DatenschutzR, 42. Edition, Stand: 1. November 2022, § 41 BDSG Rn. 11.3).
c) Anwendungsvorrang des Unionsrechts
In der hier gegenständlichen Konstellation geht es gerade nicht um eine nationale Norm, die im Lichte einer Richtlinie ausgelegt werden muss. Es geht vielmehr um die Durchsetzung von Sanktionen, die in einer unmittelbar anwendbaren europäischen Verordnung geregelt sind und durch die Aufsichtsbehörden verhängt werden. Während Richtlinien nur hinsichtlich ihrer Regelungsziele beachtet werden müssen, gelten Verordnungen unmittelbar und sind in allen ihren Teilen verbindlich (vgl. Art. 288 Abs. 2 AEUV). Insofern ist der Spielraum für eine Abweichung vom Willen des europäischen Gesetzgebers im Rahmen der Durchsetzung datenschutzrechtlicher Sanktionen auf Grundlage der DSGVO grundsätzlich deutlich geringer, als wenn die Sanktionen lediglich in einer Richtlinie vorgesehen wären.
Als europäischer Verordnung kommt der DSGVO Anwendungsvorrang vor nationalem Recht zu (vgl. EuGH, Urt. v. 15. Juli 1965 – Rs. 6/64 – Costa/ENEL, Slg. 1964, 1251, 1269; EuGH, Urt. v. 9. März 1978 – Rs. 106/77 – Simmentahl II, Slg. 1978, 629 Rn. 17/18). In der Folge verliert kollidierendes mitgliedstaatliches Recht zwar nicht seine Gültigkeit, wird jedoch unanwendbar. Der Grund für dieses Verständnis liegt dabei weniger in der Schonung staatlicher Souveränität als in der fehlenden Befugnis des EuGH, über die Geltung mitgliedstaatlichen Rechts zu judizieren (Ruffert , in: Calliess/Ruffert, EUV/AEUV, 5. Aufl. 2016 Art. 1 AEUV Rn. 18 f.).
Der Anwendungsvorrang wirkt gegenüber sämtlichem mitgliedstaatlichen Recht, auch gegenüber solchem mit Verfassungsrang, um Einheit, Funktionsfähigkeit und Wirksamkeit des Unionsrechts zu sichern (EuGH, Urt. v. 17. Dezember 1970 – C- 11/70 – Internationale Handelsgesellschaft, Slg. 1970, 1125 Rn. 3 f.; EuGH, Urt. v. 26. Februar 2013 – C-399/11 – Meloni, NJW 2013, 1215 Rn. 59 ff.; EuGH, Urt. v. 22. November 2005 – C-144/04 – Mangold, NJW 2005, 3695 Rn. 77).
Auch ohne eine ausdrückliche Herausnahme des § 30 OWiG aus der Verweisung in § 41 BDSG wäre damit die Anwendung des § 30 OWiG bereits aufgrund der sich aus dem Anwendungsvorrang ergebenden Kollisionsregel ausgeschlossen. Dies ergibt sich schon aus dem eindeutigen Willen des europäischen Gesetzgebers, der grundsätzlich von einem funktionalen Unternehmensbegriff bei der datenschutzrechtlichen Sanktionierung ausgeht.
d) Effektivitätsgebot („effet utile“)
Der Vergleich mit anderen Mitgliedstaaten zeigt darüber hinaus, dass das Rechtsträgerprinzip des § 30 OWiG den Vollzug des Art. 83 Abs. 4 bis 6 DSGVO unzulässiger Weise erheblich erschwert und somit gegen das Effektivitätsgebot verstößt.
Aus dem Anwendungsvorrang folgt nicht nur die Unanwendbarkeit kollidierenden nationalen Rechts für Behörden und Gerichte, sondern auch die Verpflichtung, das nationale Recht unionsrechtskonform auszulegen und fortzubilden. Dabei ist das Effektivitätsgebot („effet utile“) zu berücksichtigen (ständige Rspr. d. EuGH, Urt. v. 19. November 1991 – Rs C-6/70 u. 9/79, NJW 1992, 165 Rn. 32 m. w. N.).
Demnach darf die Anwendung mitgliedstaatlichen Rechts die Wirksamkeit des Unionsrecht nicht praktisch unmöglich machen oder übermäßig erschweren. Derjenigen Auslegung ist der Vorzug einzuräumen, die der Verwirklichung der Vertragsziele und der Funktionsfähigkeit der Union am dienlichsten ist (vgl. Mayer , in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 77. EL September 2022, Art. 19 EUV Rn. 57).
Wäre die Zurechnung über § 30 OWiG tatsächlich bei jedem Datenschutzverstoß erforderlich, so könnte nicht gelingen, was der europäische Gesetzgeber zum Ziel hatte, nämlich die Gesetzverstöße von Unternehmen in der gesamten EU harmonisiert zu sanktionieren (vgl. bspw. Erwägungsgrund 129 Satz 1 DSGVO). Die zusätzlichen Anforderungen würden gegenüber dem europäischen Haftungsmodell zu einer erheblichen Einschränkung der Bußgeldverhängung gegen juristische Personen führen, wenn trotz Feststehens eines Datenschutzverstoßes die internen Verantwortlichkeiten von den Datenschutzaufsichtsbehörden aufzuklären wären. Den Nachweis eines Organisations- oder Überwachungsverschuldens einer Leitungsperson erbringen zu können, wird schwieriger, je größer das Unternehmen und seine organisatorischen Verflechtungen sind, insbesondere bei großen börsennotierten Konzernen. Hierdurch entstehen auf Seiten der deutschen Verwaltungs- und Ermittlungsbehörden, aber auch auf Seiten der Unternehmen selbst, enormer Aufwand und enorme Kosten im Rahmen von (zum Teil öffentlichkeitswirksamen) Durchsuchungen von Geschäftsräumen und Beschlagnahmen sowie Sichtung von Material, wie interner E-Mail-Kommunikation, die zum Teil nur deshalb stattfinden muss, um intern eine Leitungsperson der juristischen Person ermitteln zu können. Schlimmstenfalls entstehen Sanktionslücken, weil trotz enormem Ermittlungsaufwands eine Leitungsperson, der ein Vorwurf zu machen ist, nicht ermittelt werden kann, obschon ein Verstoß des Unternehmens anhand der übrigen Beweise ansonsten zweifelsfrei feststeht. Der Nachweis ist regelmäßig mit einem erheblichen Aufwand verbunden. Das Erfordernis des Leitungsverschuldens kann Unternehmen darüber hinaus dazu bewegen, Verantwortlichkeiten und Entscheidungswege über ein Geflecht an Tochtergesellschaften und eine Vielzahl an Abteilungen derart unüberschaubar zu organisieren, dass für die Datenschutzaufsichtsbehörden nur schwer nachvollziehbar ist, welche Leitungsperson die interne Verantwortung trägt.
Es bestünde insofern die naheliegende Gefahr einer europaweit deutlich unterschiedlichen Sanktionierungspraxis (vgl. LG Bonn, Urt. v. 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663 Rn. 32). Da Zurechnungserfordernisse im europäischen Ausland weitgehend unbekannt sind (Kubiciel/Gräbener , ZRP 2016, 137 m. w. N.), würde die Anwendbarkeit einer Regelung wie der des § 30 OWiG dem Harmonisierungswillen des europäischen Gesetzgebers entgegenstehen. Wird ein Verfahren gegen juristische Personen mit Sitz in Deutschland geführt, würden durch den § 30 OWiG weitere, über Art. 83 DSGVO hinausgehende, Voraussetzungen hinzukommen, die durch die Aufsichtsbehörde zu ermitteln und zu prüfen wären, anders als dies etwa in Frankreich oder der Slowakei der Fall ist. Denn in den meisten europäischen Mitgliedstaaten ist die Verhängung einer Verbandsstrafe auch in den nationalen Gesetzen vorgesehen. So gilt etwa in Frankreich die strafrechtliche Verbandshaftung bereits seit 1994 (Rogall , in: KK-OWiG, 5. Aufl. 2018, § 30 Rn. 266). Auch in anderen europäischen Mitgliedstaaten, so etwa in Belgien, Dänemark, Italien, Niederlande (Rogall , in: KK-OWiG, 5. Aufl. 2018, § 30 Rn. 263 ff.), Tschechien (vgl. Bohata, NZWiSt 2012, 161 (162 ff.)), Rumänien, Luxemburg und der Slowakei (vgl. Clifford Chance , Corporate Criminal Liability in Europe, 2016 https://www.cliffordchance.com/content/dam/cliffordchance/briefings/2016/04/ corporate-criminal-liability.pdf) ist die Verbandshaftung gesetzlich verankert.
Auch die Entscheidung des Conseil d’État vom 19. Juni 2020 (in Bezug auf die von der französischen Datenschutzbehörde „CNIL“ verhängte Sanktion gegenüber Google LLC in Höhe von 50 Millionen Euro) zeigt exemplarisch, dass die Verhängung von Geldbußen gegenüber juristischen Personen offensichtlich keiner namentlichen Benennung einer natürlichen Person bedarf. Im Rahmen der rechtlichen Beurteilung kommt das Höchstgericht zum Entschluss, dass Google LLC als Verantwortliche zu qualifizieren und daher die Geldbuße – ohne Einbeziehung des tatbestandsmäßigen, rechtswidrigen und vorwerfbaren Verhaltens einer natürlichen Person – zu Recht ihr gegenüber zu verhängen ist (vgl. die Entscheidung des Conseil d’État vom 19. Juni 2020, N° 430810, abrufbar in Französisch unter https://www.conseil17 etat.fr/ressources/decisions-contentieuses/dernieres-decisionsimportantes/ conseil-d-etat-19-juin-2020-sanction-infligee-a-google-par-la-cnil).
Zur zweiten Vorlagefrage: Allgemeines Verschuldenserfordernis
I. Inhalt der Vorlagefrage
Für den Fall, dass der EuGH die erste Vorlagefrage bejaht, fragt das KG in einer zweiten Vorlagefrage, ob Art. 83 Abs. 4 bis Abs. 6 DSGVO dahingehend auszulegen ist, dass das Unternehmen den durch Mitarbeitende vermittelten Verstoß schuldhaft begangen haben muss (vgl. Art. 23 KartellVO), oder ob für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß ausreicht („strict liability“).
II. Auslegung des Art. 83 DSGVO spricht für verschuldensunabhängige Bebußung
1. Auslegung nach dem Wortlaut
Für eine verschuldensunabhängige Bebußung spricht zunächst, dass an keiner Stelle in der DSGVO, insbesondere nicht in Art. 83 Abs 1 oder Abs. 4 bis 6 DSGVO, das Erfordernis von Fahrlässigkeit oder Vorsatz als Voraussetzung einer Geldbuße kodifiziert ist. Stattdessen wird in Art. 83 Abs. 2 Satz 2 lit. b DSGVO Vorsatz oder Fahrlässigkeit lediglich als eines der Zumessungskriterien („berücksichtigt“) aufgeführt (vgl. Bergt , in: Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2022, Art. 83 DSGVO Rn. 35; Nemitz , in: Ehmann/Selmayr, DSGVO, 2. Aufl. 2018, Art. 83 Rn. 17; Härting , Datenschutz-Grundverordnung, 1. Aufl. 2016, Rn. 253; Bergt , DuD 2017, 555 (558 f.); Boms , ZD 2019, 536 (537)). Auch der Formulierung des Art. 83 Abs. 3 DSGVO lässt sich nicht entnehmen, dass nur solche Verstöße mit Geldbußen sanktioniert werden können, bei denen ein Verschulden nachgewiesen werden kann. Vielmehr gilt die in der Norm vorgesehene Privilegierung für vorsätzliche oder fahrlässige Verstöße bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen nach dem Grundsatz „a maiore ad minus“ erst recht für Fälle schuldloser Verstöße (Boms , ZD 2019, 536 (537)).
2. Systematische Auslegung
Es gibt keinen „Allgemeinen Teil“ eines EU-Sanktionsrechts, der vorsieht, dass nur vorsätzliche oder fahrlässige Handlungen mit Geldbuße bedroht sind (Bergt , in: Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2022, Art. 83 DSGVO Rn. 35). Für eine verschuldensunabhängige Bebußung spricht auch das Regelungsgefüge der Schadensersatznorm des Art. 82 Abs. 1 DSGVO. Danach besteht das Recht auf Schadensersatz gegen den Verantwortlichen oder Auftragsverarbeiter, solange dieser gemäß Art. 82 Abs. 3 DSGVO nicht nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Dass der europäische Gesetzgeber insofern nicht ein Verschulden, sondern bloß eine strenge Exkulpationsmöglichkeit vorgesehen hat, bezeugt, dass er die rechtlichen Konsequenzen von DSGVO-Verstößen für den Verantwortlichen von der Feststellung von Verschulden lösen wollte.
In anderen Sanktionsvorschriften in EU-Verordnungen wird die fahrlässige oder vorsätzliche Begehung von Bußgeldtatbeständen ausdrücklich vorausgesetzt, z. B. in Art. 23 VO (EG) 1/2003. Darauf hat der europäische Gesetzgeber in Art. 83 DSGVO offensichtlich verzichtet.
Der europäische Gesetzgeber hat daneben aber auch in anderen Verordnungen verschuldensunabhängige Sanktionen vorgesehen, wie z. B. in Art. 55 Abs. 2 bzw. Abs. 3 der Verordnung (EG) Nr. 555/2008 (vgl. zu danach verschuldensunabhängig verhängten Geldbußen VG Ansbach, Urt. v. 29. Januar 2016 – AN 14 K 14.01302, AN 14 K 14,01335, BeckRS 2016, 42304; VG Würzburg, Urt. v. 10. Juli 2014 – W 3 K 14.37, BeckRS 2014, 56016) und Art. 11 Abs. 1 Satz 1 der Verordnung (EWG) Nr. 3665/87 in der durch die Verordnung (EG) Nr. 2945/94 geänderten Fassung (vgl. zu danach verschuldensunabhängig vorgenommenen Verminderungen EuGH, Urt. v. 6. Dezember 2012 – C-562/11, BeckRS 2012, 82568 Rn. 26 m. w. N.). Indem sich der europäische Gesetzgeber in Art. 83 DSGVO für eine vergleichbare Regelungssystematik wie in den o. g. Verordnungen entschieden hat, macht er deutlich, dass Geldbußen nach der DSGVO verschuldensunabhängig verhängt werden können.
3. Historische Auslegung
Nach den DSGVO-Entwürfen der Europäischen Kommission und dem Rat der Europäischen Union waren Fahrlässigkeit oder Vorsatz Voraussetzung einer Sanktion (vgl. Art. 79 Abs. 4, 5 und 6 DSGVO-E (KOM) und Art. 79a Abs. 1, 2 und 3 DSGVO-E (Rat)). Das Europäische Parlament wollte hingegen gemäß Art. 79 Abs. 2a DSGVO-E (EP) Sanktionen für „jeden, der seinen in dieser Verordnung festgelegten Pflichten nicht nachkommt“.
Insofern bestätigt Art. 79 Abs. 2b DSGVO-E (EP), der regeln sollte, dass Geldbußen nur bei Vorsatz oder Fahrlässigkeit verhängt werden, sofern der Verantwortliche oder Auftragsverarbeiter im Besitz des europäischen Datenschutzsiegels ist, dass vom Europäischen Parlament die Möglichkeit der Datenschutzaufsichtsbehörden beabsichtigt war, Geldbußen aufgrund von DSGVO-Verstößen grundsätzlich verschuldensunabhängig zu verhängen (vgl. Bergt , in: Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2022, Art. 83 DSGVO Rn. 10; Bergt , DuD 2017, 555, 558; Härting , CR 2013, 715, 721).
Da die Vorschläge von Kommission und Rat im weiteren Gesetzgebungsverfahren nicht übernommen, sondern gestrichen worden sind, spricht das Ergebnis dafür, dass der europäische Gesetzgeber gerade kein Verschuldenserfordernis vorsehen wollte, mithin nicht von einem Redaktionsversehen auszugehen ist (vgl. Bergt , in: Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2022, Art. 83 DSGVO Rn. 35; Boehm , in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Aufl. 2019, Art. 83 DSGVO Rn. 26; Cornelius , in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 3. Aufl. 2019, Teil XIV Rn. 127; Bergt , DuD 2017, 555, 558; Boms , ZD 2019, 536, 537).
4. Teleologische Auslegung
Die Geldbußen nach Art. 83 DSGVO sind entscheidend für die effektive Durchsetzung des neuen, unionsweit harmonisierten Datenschutzrechts (vgl. Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 1. Aufl. 2017, Teil 8 Rn. 34; vgl. auch Erwägungsgrund 148 Satz 1 DSGVO). Insbesondere gegenüber wirtschaftlich starken und international agierenden Akteuren sollen sie abschreckend wirken und deren Rechtstreue erzwingen (vgl. Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 1. Aufl. 2017, Teil 8 Rn. 34). Hierfür müssen Geldbußen nach Art. 83 Abs. 1 DSGVO wirksam, verhältnismäßig und abschreckend sein.
Mit dieser Zielrichtung erscheint der Verzicht auf eine Verschuldensvoraussetzung in Art. 83 DSGVO dem Sinn und Zweck der Vorschrift, den Datenschutzaufsichtsbehörden unionsweit eine möglichst einfache und konsequente Bebußung von Verstößen gegen die DSGVO zu ermöglichen, gerecht zu werden. Die verschuldensunabhängige Bebußungsmöglichkeit schafft insofern auch für Verantwortliche und Auftragsverarbeiter zusätzliche Anreize, besonders effektive Datenschutzmanagementsysteme aufzubauen und einzusetzen, um die Vorgaben der DSGVO, die bußgeldbewehrt sind, einzuhalten.
III. Verhältnismäßigkeit entsprechend der EuGH-Rechtsprechung gewahrt
Eine verschuldensunabhängige Bebußung nach Art. 83 DSGVO ist auch mit dem Unionsrecht vereinbar, da sie verhältnismäßig ausgestaltet ist.
Bei der Beurteilung, ob eine Sanktion mit dem Grundsatz der Verhältnismäßigkeit im Einklang steht, sind u. a. Art und Schwere des Verstoßes, der mit dieser Sanktion geahndet werden soll, sowie die Modalitäten für die Bestimmung ihrer Höhe zu berücksichtigen (vgl. EuGH, Urt. v. 13. November 2014 – C-443/13, LMuR 2015, 8 Rn. 40; EuGH, Urt. v. 17. Juli 2014 – C-272/13, BeckRS 2014, 81202 Rn. 35). Nach der Rechtsprechung des EuGH ist dabei sogar eine bloß objektiv basierte Strafbarkeit zulässig, soweit der Verhältnismäßigkeitsgrundsatz gewahrt bleibt; ein System der objektiven Verantwortlichkeit steht als solches nicht außer Verhältnis zu den angestrebten Zielen, wenn es geeignet ist, die von ihm erfassten Personen zur Beachtung der Bestimmungen einer Verordnung anzuhalten, und wenn die verfolgten Ziele ein Allgemeininteresse aufweisen, das die Schaffung eines solchen Systems rechtfertigen kann (EuGH, Urt. v. 13. November 2014 – C-443/13, LMuR 2015, 8 Rn. 42; EuGH, Urt. v. 9. Februar 2012 – C-210/10, BeckRS 2012, 80284 Rn. 48; EuGH, Urt. v. 10. Juli 1990 – 326/88, BeckRS 2004, 70816 Rn. 19; EuGH, Urt. v. 2. Oktober 1991 – C-7/90, BeckRS 2004, 77713 Rn. 16 f.; EuGH, Urt. v. 27. Februar 1997 – C-177/95, BeckRS 2004, 74706 Rn. 36; EuGH, Urt. v. 20. März 2018 – C- 524/15, MwStR 2018, 551 Rn. 45 ff.).
Nach diesen Maßstäben ist auch die objektiv basierte Bebußung nach Art. 83 Abs. 4 bis 6 DSGVO zulässig, auch wenn es sich dabei nicht um Strafvorschriften handelt. Die Zielsetzung der DSGVO stellt ein Allgemeininteresse dar, das die Schaffung eines Systems der objektiven Verantwortlichkeit rechtfertigt. Ziel der DSGVO ist es, unionsweit ein hohes Datenschutzniveau zu gewährleisten, um insbesondere für das Recht auf den Schutz personenbezogener Daten nach Art. 8 GRCh und das Recht auf Achtung des Privat- und Familienlebens nach Art. 7 GRCh natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie den freien Verkehr solcher Daten ein gleichwertiges und hohes Datenschutzniveau zu gewährleisten (vgl. Art. 1 DSGVO und Erwägungsgrund 10 Satz 1 DSGVO). Bußgelder aufgrund objektiver Verstöße gegen die DSGVO dürften Verantwortliche und Auftragsverarbeiter auch veranlassen, bei der Umsetzung der Verpflichtungen aus der DSGVO besondere Sorgfalt walten zu lassen, weil sie sich mit dem Hinweis auf mangelndes Verschulden der Verantwortlichkeit im Rahmen der Bebußung nach Art. 83 Abs. 4 bis 6 DSGVO nicht entziehen können (vgl. Boms , ZD 2019, 536, 537). Der Bußgeldrahmen in Art. 83 Abs. 4 bis 6 DSGVO kann dabei unter Berücksichtigung der Vorgaben der Wirksamkeit, Verhältnismäßigkeit und Abschreckung nach Art. 83 Abs. 1 DSGVO und der Bußgeldzumessungskriterien nach Art. 83 Abs. 2 Satz 2 lit. a bis k DSGVO von den Datenschutzaufsichtsbehörden passend für den jeweiligen Einzelfall ausgefüllt werden. Insofern ist die verschuldensunabhängige Bebußung auch angemessen, denn sie ist darüber hinaus kein Automatismus. Die Datenschutzaufsichtsbehörden können vielmehr auch bei einem objektiven Verstoß von einer Geldbuße absehen und stattdessen eine Verwarnung nach Art. 58 Abs. 2 lit. b DSGVO erteilen, insbesondere bei geringfügigen Verstößen oder wenn voraussichtlich zu verhängende Geldbußen eine unverhältnismäßige Belastung für eine natürliche Person bewirken würden (vgl. Erwägungsgrund 148 Satz 2 DSGVO).
Kontakt:
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Holstenstraße 98
24103 Kiel
E-Mail: mail@datenschutzzentrum.de
Weitere Informationen zur Datenschutzkonferenz: