Stellungnahme zu Grundsatzfragen zur Sanktionierung von Datenschutzverstößen von Unternehmen - EuGH-Rechtssache C-807/21 - vom 5. Januar 2023
A. Zusammenfassung
Nach der Auffassung der Datenschutzkonferenz ist die erste Vorlagefrage des
Berliner Kammergerichts (KG) dahingehend zu beantworten, dass Art. 83 Abs. 4 bis
6 der Datenschutz-Grundverordnung (DSGVO) so auszulegen ist, dass der
funktionale Unternehmensbegriff und das Funktionsträgerprinzip aufgrund des
Willen des europäischen Gesetzgebers (vgl. Erwägungsgrund 150 Satz 3 DSGVO) von
den Datenschutzaufsichtsbehörden bei der Bußgeldverhängung anzuwenden ist.
Entgegenstehende Vorschriften, die wie § 30 des Gesetzes über Ordnungswidrigkeiten
(OWiG) das Rechtsträgerprinzip vorsehen, sind nicht anzuwenden. Es
bedarf wie im EU-Kartellrecht (Art. 101 und 102 des Vertrags über die Arbeitsweise
der Europäischen Union (AEUV)) nur der Feststellung, dass Mitarbeitende des
Unternehmens einen Verstoß gegen die DSGVO begangen haben, ohne dass die
konkret handelnden Mitarbeitenden ermittelt werden oder Leitungspersonen des
Unternehmens sein müssen. Die Notwendigkeit der Feststellung eines
Leitungsverschuldens würde unter Verletzung des Effektivitätsgebots („effet utile“)
den Vollzug des Art. 83 DSGVO in Deutschland ansonsten erheblich erschweren.
Die zweite Vorlagefrage des KG ist so zu beantworten, dass für eine Bebußung des
Unternehmens nach Art. 83 Abs. 4 bis 6 DSGVO im Grundsatz bereits ein dem
Unternehmen zuzuordnender objektiver Pflichtenverstoß ausreicht („strict liability“).
Diese vom europäischen Gesetzgeber gewollte Erleichterung für die
Datenschutzaufsichtsbehörden ist verhältnismäßig, denn sie hält zum Schutz der
Grundrechte natürlicher Personen die Verantwortlichen und Auftragsverarbeiter zur
Einhaltung der Pflichten aus der DSGVO an.
B. Zur ersten Vorlagefrage: Funktionsträgerprinzip
I. Inhalt der Vorlagefrage
In seiner ersten Vorlagefrage hat das KG den EuGH gefragt, ob Art. 83 Abs. 4 bis 6
DSGVO dahingehend auszulegen ist, dass es den Art. 101 und 102 AEUV
zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in
das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des
dem § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren
unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht
der Feststellung einer durch eine natürliche und identifizierte Person,
gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf.
II. Historie der DSGVO – Von nationalen Bußgeldtatbeständen zu einem supranationalen
Sanktionsregime
Mit Art. 83 DSGVO wird nach dem Willen des Unionsgesetzgebers das Ziel verfolgt,
das Grundrecht auf Datenschutz durch die Androhung empfindlicher und dadurch
abschreckender Geldbußen – insbesondere gegen Unternehmen – in der gesamten
EU abzusichern.
Das Grundrecht auf Datenschutz ist als solches insbesondere in Art. 8 (Schutz
personenbezogener Daten) der Charta der Grundrechte der Europäischen Union
(GRCh) verankert. Um dieses in allen Mitgliedstaaten gleichermaßen zu schützen,
setzt sich der Unionsgesetzgeber mit der DSGVO im Bereich der Sanktionen deutlich
von der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.
Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Richtlinie –
DS-RL) ab und überlässt es nicht mehr – wie seinerzeit Art. 24 DS-RL – allein dem
nationalen Gesetzgeber, Regelungen zur Sanktionierung von Verstößen zu treffen
(vgl. hierzu Art. 24 DS-RL, ABl L 1995/281, 31 idF L 2017/40, 78).
Dem Unionsgesetzgeber kam es mit der Schaffung des Art. 83 DSGVO insbesondere
darauf an, die Durchsetzung eines unionsweit einheitlichen Datenschutzstandards
durch den Rechtsaktwechsel von einer Richtlinie hin zu einer unmittelbar wirksamen
Verordnung für den gesamten räumlichen Geltungsbereich durch ein
supranationales (und damit einheitliches) Sanktionsregime sicherzustellen (vgl.
Erwägungsgrund 9, 10 Satz 1, 11, 13 Satz 1, 129 Satz 1, 148 Satz 1 und 152 Satz 1
DSGVO; LG Bonn, Urt. v. 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663
Rn. 33). Damit das in der Grundrechte-Charta verankerte Grundrecht auf
Datenschutz einheitlich gewährleistet werden kann, darf es daher nicht zu
regionalen Unterschieden bei der Ahndung von Datenschutzverstößen durch
Unternehmen aufgrund unterschiedlicher nationaler Bestimmungen und einer
unterschiedlichen Vollzugspraxis kommen.
Bei der gemäß Art. 83 DSGVO zu verhängenden Geldbuße handelt es sich insoweit
um eine verwaltungs- und keine strafrechtliche Sanktion. Dies ergibt sich schon aus
dem Kompetenzbereich der EU, da die Mitgliedstaaten keine Strafgewalt an die EU
übertragen haben. Dies bedeutet allerdings nicht, dass die EU in ihrem
Kompetenzbereich auf den Einsatz von Sanktionen im Fall von Zuwiderhandlungen
gegen gemeinschaftliche Bestimmungen verzichten muss (Schwarze , EuZW 2003,
261). Insofern beinhaltet Art. 16 Abs. 2 AEUV, obwohl dies dort nicht ausdrücklich
vorgesehen ist, als Annex auch eine Regelungskompetenz der EU für Vorgaben zum
Erlass von Verwaltungssanktionen wie Geldbußen (vgl. EuGH, Urt. v. 23. Oktober
2007 – C-440/05, NStZ 2008, 703 Rn. 70 und 71). Die gemäß Art. 83 DSGVO durch
die Aufsichtsbehörden zu verhängenden Geldbußen sind demnach keine kriminalstrafrechtlichen
Sanktionen im eigentlichen Sinne. Vielmehr handelt es sich nach
dem unionsrechtlichen Verständnis um ein (rein) administratives
Sanktionsinstrument (vgl. Ehmann , in: Gola/Heckmann, DSGVO BDSG, 3. Aufl. 2022,
§ 41 BDSG Rn. 6).
Während der europäische Gesetzgeber demnach von sog. „administrative fines“, also
Verwaltungsgeldbußen ausgeht, ordnet die deutsche Rechtstradition die
Bußgeldtatbestände des Art. 83 Abs. 4 bis 6 DSGVO über § 41
Bundesdatenschutzgesetz (BDSG) dem Ordnungswidrigkeitenrecht als
Sonderstrafrecht zu. Diese in Deutschland gewählte Zuordnung darf jedoch nicht
dazu führen, die Durchsetzung des Willens des europäischen Gesetzgebers zu
erschweren oder zu verhindern.
Das deutsche Ordnungswidrigkeitenrecht geht davon aus, dass Verstöße gegen
nationale Bußgeldtatbestände nur von natürlichen Personen begangen werden
können. Täter ist daher nach § 1 OWiG zunächst die natürliche Person, die
rechtswidrig gehandelt hat. Dem folgend eröffnet dann nur der auf dem
Rechtsträgerprinzip basierende § 30 OWiG die Möglichkeit, gegen juristische
Personen und Personenvereinigungen eine Sanktion in Form einer Geldbuße zu
verhängen, wenn eine ihrer Leitungspersonen eine Ordnungswidrigkeit begangen
hat. Diese muss in einem Zurechnungszusammenhang zum Unternehmen stehen,
weil durch sie Pflichten der juristischen Person oder Personenvereinigung verletzt
worden sind oder durch sie eine Bereicherung der juristischen Person oder
Personenvereinigung erreicht wurde oder werden sollte (Meyberg , in: BeckOK OWiG,
36. Edition, Stand: 1. Oktober 2022, § 30 vor Rn. 1). Begehen aber Mitarbeitende
unterhalb der Leitungs- oder Kontrollebene Ordnungswidrigkeiten, kommt eine
Geldbuße gegen die juristische Person nur noch in Betracht, wenn Leitungspersonen
Aufsichtspflichten gemäß § 130 OWiG verletzt haben. Das im deutschen
Ordnungswidrigkeitenrecht vorgesehene Rechtsträgerprinzip und das Erfordernis
von Leitungsverschulden unterscheidet sich damit wesentlich vom Ansatz des in der
DSGVO und dem europäischen Kartellrecht vorgesehenen Funktionsträgerprinzips.
III. Keine Anwendbarkeit des § 30 OWiG
1. DSGVO sieht Bußgelder direkt gegen juristische Personen und Unternehmen vor
Die Bußgeldvorschriften der DSGVO und Erwägungsgrund 150 Satz 3 DSGVO zeigen
eindeutig auf, dass der europäische Gesetzgeber von einer direkten Sanktionierung
juristischer Personen und Unternehmen im Sinne des Funktionsträgerprinzips
ausgegangen ist.
a) Adressatenkreis ergibt sich bereits aus Art. 83 Abs. 4 bis 6 DSGVO i. V. m. Art. 4
Nr. 7 und Nr. 8 DSGVO
Das Bußgeldsystem der DSGVO sieht juristische Personen als Teil des Kreises von
Bußgeldadressaten vor. Die Bußgeldtatbestände in Art. 83 Abs. 4 bis 6 DSGVO
knüpfen an diverse Pflichten nach der DSGVO an, die mit wenigen Ausnahmen
ausschließlich Verantwortliche und/oder Auftragsverarbeiter treffen. Verantwortliche
und Auftragsverarbeiter können dabei gemäß Art. 4 Nr. 7 und Nr. 8 DSGVO auch
juristische Personen sein.
Handelt es sich um juristische Personen, werden Mitarbeitende, auch leitende
Mitarbeitende inkl. gesetzliche Vertreter:innen (ausgenommen sie handeln im
Exzess) nicht als Verantwortliche angesehen, unterliegen somit auch nicht den
Verpflichtungen der DSGVO und gehören daher nicht zum Adressatenkreis nach
Art. 83 Abs. 4 bis 6 DSGVO (vgl. Interdiözesanes Datenschutzgericht (IDSG), Beschl.
v. 14. Dezember 2020 – IDSG 01/2020, Rn. 44 ff.; Art. 29-Datenschutzgruppe ,
Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und
„Auftragsverarbeiter“, WP 169, S. 19). Die DSGVO geht in der Definition des
Verantwortlichen in Art. 4 Absatz 7 DSGVO explizit davon aus, dass (auch) die
juristische Person über Mittel und Zwecke der Datenverarbeitung entscheiden kann
d.h. die juristische Person als Verantwortliche ist – handelnd durch ihre Organe –
dazu in der Lage und nimmt diese Kompetenz auch regelmäßig wahr, um die
Aufgaben der Einrichtung und die Unternehmensziele zu erreichen (vgl. IDSG,
Beschl. v. 14. Dezember 2020 – IDSG 01/2020, Rn. 44). Die juristische Person ist es,
die die primären Folgen – die datenschutzrechtlichen Pflichten – und die sekundären
Folgen – die Haftung und die Sanktionen der Datenschutzaufsichtsbehörden –
treffen sollen (vgl. IDSG, Beschl. v. 14. Dezember 2020 – IDSG 01/2020, Rn. 44). Sie
hat die tatsächliche Entscheidungsgewalt über die Mittel und Zwecke der
Verarbeitung und die für einen umfassenden Schutz der Grundrechte der von der
Verarbeitung betroffenen Personen erforderliche rechtliche Befugnis und die
tatsächliche Entscheidungsgewalt, den Beanstandungen der
Datenschutzaufsichtsbehörden abzuhelfen. Sie verfügt auch über die nötige
Haftungsmasse für eine Sanktionierung (vgl. IDSG, Beschl. v. 14. Dezember 2020 –
IDSG 01/2020, Rn. 46 f.).
Das Abstellen auf die juristische Person als Verantwortliche führt dabei auch nicht
zu Schutzlücken, denn das Handeln ihrer Organe und Mitarbeitenden sowie auch
das Handeln teilweise verselbständigter Organisationseinheiten, etwa der ITAbteilung,
werden der juristischen Person zugerechnet (vgl. IDSG, Beschl. v. 14.
Dezember 2020 – IDSG 01/2020, Rn. 47). Den Gegensatz zwischen der juristischen
Person als Verantwortlicher, die Weisungen erteilt, und den weisungsabhängigen
unterstellten Mitarbeitenden bringen Art. 29 DSGVO und Art. 4 Nr. 10 DSGVO
deutlich zum Ausdruck. Da das Handeln von Mitarbeitenden der juristischen Person
als Verantwortliche zugerechnet wird, können etwa nach Art. 4 Nr. 10 DS-GVO
Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen befugt
sind, personenbezogene Daten zu verarbeiten, nicht „Dritte“ i. S. d. DSGVO sein (vgl.
IDSG, Beschl. v. 14. Dezember 2020 – IDSG 01/2020, Rn. 49). Die Regelung des
Art. 29 DSGVO benennt ausdrücklich Personen, die dem Verantwortlichen unterstellt
sind und Zugang zu personenbezogenen Daten haben, und zeigt dadurch, dass die
weisungsabhängigen Mitarbeitende nicht mit dem Verantwortlichen i. S. d. Art. 4 Nr.
7 DSGVO identisch sind (vgl. IDSG, Beschl. v. 14. Dezember 2020 – IDSG 01/2020,
Rn. 47).
In Art. 83 Abs. 4 bis 6 DSGVO werden des Weiteren „Unternehmen“ als mögliche
Bußgeld-adressat:innen explizit genannt („im Fall eines Unternehmens“ ). Dass in
Art. 83 Abs. 4 bis 6 DSGVO nicht die identische Formulierung des Art. 23 Abs. 1
KartellVO verwendet wurde, („Die Kommission kann gegen Unternehmen und
Unternehmensvereinigungen durch Entscheidung Geldbußen […] festsetzen“ ) dürfte
an dem kartellrechtlich bedingten wirtschaftlichen Fokus liegen, dass Art. 23
KartellVO ausschließlich Bußgelder gegen „Unternehmen“ und
„Unternehmensvereinigungen“ ermöglicht.
Im Gegensatz dazu richten sich Art. 83 Abs. 4 bis 6 DSGVO (vgl. Erwägungsgrund
150 Satz 4 DSGVO) auch gegen Verantwortliche und Auftragsverarbeiter, die keine
„Unternehmen“ sind, wie z. B. gegen nicht kommerziell handelnde juristische und
natürliche Personen. Die Öffnungsklausel in Art. 83 Abs. 7 DSGVO eröffnet den
Mitgliedstaaten die Möglichkeit, Bußgelder gegen Behörden und sonstige öffentliche
Stellen zu verhängen, sodass der Adressatenkreis des Gesetzgebers bewusst weiter
gewählt wurde als im europäischen Kartellrecht.
b) Funktionsträgerprinzip bei Sanktionen nach der DSGVO
Vor dem Hintergrund des Erwägungsgrunds 150 Satz 3 DSGVO eröffnet der
europäische Gesetzgeber in Art. 83 Abs. 4 bis 6 DSGVO die Möglichkeit der
Bußgeldverhängung gegen „Unternehmen“ im Sinne einer direkten
Unternehmensgeldbuße nach Vorbild des Funktionsträgerprinzips aus dem EUKartellrecht
(vgl. LG Bonn, Urt. v. 11. November 2020 – 29 OWi 1/20, BeckRS 2020,
35663 Rn. 22 ff.; IDSG, Beschl. v. 12. Juli 2021 – IDSG 21/2020, Rn. 79 ff.;
Europäischer Datenschutzausschuss (EDSA) , Guidelines 04/2022 on the calculation
of administrative fines under the GDPR, Version 1.0, Adopted on 12 May 2022, Rn.
123; Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes
und der Länder (DSK) , Entschließung der 97. Konferenz am 3. April 2019;
Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 1. Aufl. 2017, Teil 8 Rn. 35).
Erwägungsgrund 150 Satz 3 DSGVO sieht Folgendes vor: „Werden Geldbußen
Unternehmen auferlegt, sollte zu diesem Zweck der Begriff ‚Unternehmen‘ im Sinne
der Artikel 101 und 102 AEUV verstanden werden.“ Nach dem
Funktionsträgerprinzip aus dem EU-Kartellrecht werden dabei einem
„Unternehmen“, also jeder eine wirtschaftliche Tätigkeit ausübenden Einheit
unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung (vgl. EuGH, Urt. v.
10. April 2014 – C-231/11 P – Siemens Österreich, EuZW 2014, 714 Rn. 42–44;
EuGH, Urt. v. 23. April 1991 – Rs C-41/90 – Höfner und Elser, NJW 1991, 2891 Rn.
21), alle Verstöße irgendeiner Person (ausgenommen Exzess), die berechtigt ist, für
das Unternehmen tätig zu werden, zugerechnet, unabhängig ob es sich dabei um
Leitungspersonen handelt (vgl. LG Bonn, Urt. v. 11. November 2020 – 29 OWi 1/20,
BeckRS 2020, 35663 Rn. 22 ff.; IDSG, Beschl. v. 12. Juli 2021 – IDSG 21/2020, Rn.
79 ff.; EDSA, Guidelines 04/2022 on the calculation of administrative fines under
the GDPR, Version 1.0, Adopted on 12 May 2022, Rn. 123; DSK, Entschließung der
97. Konferenz am 3. April 2019; vgl. auch zum europäischen Kartellrecht: EuGH,
Urt. v. 7. Juni 1983 – 100/80 – SA Musique Diffusion francaise/KOM, BeckRS 2004,
70610 Rn. 97; EuGH, Urt. v. 7. Februar 2013 – C-68/12, EuZW 2013, 438 Rn. 25;
EuGH, Urt. v. 21. Juni 2016 – C-542/14, EuZW 2016, 737 Rn. 23 f.; EuGH, Urt. v.
16. Februar 2017 – C-95/15 P, BeckRS 2017, 101804 Rn. 34). Welche Mitarbeiterin
oder welcher Mitarbeiter gehandelt hat, muss nicht einmal ermittelt werden (vgl.
EuGH, Urt. v. 18. September 2003 – C-338/00 P, BeckRS 2003, 154494 Rn. 98;
Generalanwältin beim EuGH, Schlussantrag v. 18. April 2013 – C-501/11 P, BeckRS
2013, 80815 Rn. 125 ff.; EDSA, Guidelines 04/2022 on the calculation of
administrative fines under the GDPR, Version 1.0, Adopted on 12 May 2022, Rn.
123).
Mit dem Begriff „Unternehmen“ in Erwägungsgrund 150 Satz 3 1. Halbsatz DSGVO
ist auch nicht die datenschutzrechtliche Definition des Art. 4 Nr. 18 DSGVO gemeint.
Es handelt sich um unterschiedliche Unternehmensbegriffe, wie die klare und nicht
zufällige Begriffstrennung in der englischen Fassung („undertaking“ in
Erwägungsgrund 150 Satz 3 DSGVO und Art. 83 DSGVO sowie „enterprise“ in Art. 4
Nr. 18 DSGVO) zeigt. Während sich der in Art. 4 Nr. 18 DSGVO definierte Begriff
„enterprise“ an verschiedenen Stellen der DSGVO wiederfindet, hat sich der
Gesetzgeber bewusst dafür entschieden, im Art. 83 DSGVO und Erwägungsgrund
150 DSGVO einen anderen Begriff („undertaking“ ) zu verwenden. Mit dieser
sprachlichen Differenzierung macht der Gesetzgeber deutlich, dass nicht lediglich
auf der Rechtsfolgenseite, sondern im gesamten Bußgeldverfahren, der
Unternehmensbegriff nach dem europäischen Kartellrecht maßgeblich ist (vgl. LG
Bonn, Urt. v. 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663 Rn. 59). Die
Auslegung des Begriffs richtet sich nach den Auslegungsregeln des Europarechts
und daher nicht nur nach der deutschen Sprachfassung. Insbesondere stellt die
deutsche Sprachfassung nicht die äußere Wortlautgrenze zur Auslegung dar. Der
tatsächliche gesetzgeberische Wille und Inhalt der Norm ist europarechtsautonom
unter Heranziehung auch anderer Sprachfassungen zu ergründen (vgl. ständige
Rspr. des EuGH, Urt. v. 5. Dezember 1967 – 19/67, BeckRS 2004, 72119; EuGH, Urt.
v. 8. Dezember 2005 – C-280/04, IStR 2006, 58 Rn. 31). Die sprachliche
Differenzierung ist im Übrigen auch keine Eigenart der englischen Sprachfassung.
Sie findet sich etwa auch in der bulgarischen Fassung, in der dänischen Fassung, in
der gälischen Fassung, in der kroatischen Fassung und in der slowenischen Fassung
(LG Bonn, Urt. v. 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663 Rn. 59;
Uebele , EuZW 2018, 443 m. w. N.).
c) Erwägungsgrund 150 Satz 3 DSGVO ist zwingend zu berücksichtigen
Erwägungsgrund 150 Satz 3 ist integraler Teil der DSGVO und als solcher vom
Gericht bei der Auslegung des Art. 83 DSGVO zu berücksichtigen.
Gemäß Art. 296 Abs. 2 AEUV sind Rechtsakte mit einer Begründung „zu versehen“,
die sich in den dem operativen Teil der Unionsrechtsakte voranstehenden
Erwägungsgründen wiederfindet, sodass die Begründung ein wesentlicher Teil des
Rechtsakts selbst ist (vgl. EuGH, Urt. v. 23. Februar 1988 – Rs. 131/86 – „Vereinigtes
Königreich/Kommission“, BeckRS 2004, 71529 Rn. 36 f.). Rechtsakt und
Begründung werden insofern als ein „unteilbares Ganzes“ bezeichnet (vgl. EuGH, Urt.
v. 15. Juni 1994 – C-137/92 Rn. 67 – „Kommission/BASF u. a.“; EuG, Urt. v. 7. Juni
2006 – T-613/97 Rn. 69 – „Ufex u. a./Kommission“).
Erwägungsgründe werden dabei insbesondere zur im EU-Recht besonders wichtigen
teleologischen Auslegung herangezogen (vgl. EuGH, Urt. v. 26. Mai 2005, Rs.
478/03 Rn. 38 – „Celtec“).
Es ist vorliegend auch nicht so, dass der Inhalt von Erwägungsgrund 150 Satz 3
DSGVO keinen Anklang in den Artikeln der DSGVO gefunden hat, denn in Art. 83
Abs. 4 bis 6 DSGVO wird ausdrücklich auf Unternehmen Bezug genommen („im Fall
eines Unternehmens“ ).
d) Erwägungsgrund 150 Satz 3 DSGVO betrifft nicht nur Bußgeldzumessung
Der Erwägungsgrund 150 Satz 3 DSGVO hat bereits Relevanz für den
Adressatenkreis von Art. 83 Abs. 4 bis 6 DSGVO und nicht nur für die
Bußgeldbemessung.
Bei der Behauptung des Landgerichts (LG) Berlin, Erwägungsgrund 150 Satz 3
DSGVO greife nur, wenn überhaupt ein Bußgeld gegen ein Unternehmen verhängt
werde, weshalb der funktionale Unternehmensbegriff auf der Ebene des „Ob“ der
Verhängung keine Rolle spiele (vgl. LG Berlin, Beschl. v. 18. Februar 2021 – (526 OWi
LG) 212 Js-OWi 1/20 (1/20), BeckRS 2021, 2985), handelt es sich um einen
Zirkelschluss. Wenn deutsche Aufsichtsbehörden bei Bußgeldbescheiden nach
Art. 83 Abs. 4 bis 6 DSGVO den § 30 OWiG anzuwenden hätten, würde ein Bußgeld
gegen Unternehmen überhaupt nicht möglich sein. § 30 OWiG sieht nur Bußgelder
gegen juristische Personen oder Personenvereinigungen vor und nicht gegen
Unternehmen. Das Unternehmen als Bußgeldadressat ist dem deutschen
Ordnungswidrigkeitenrecht vollkommen fremd.
Des Weiteren kann die Begründung der Höhe eines Bußgeldes nicht vom Adressaten
der Ebene des „Ob“ abgekoppelt werden, sondern die Ebene des „Wie“ hängt damit
unmittelbar zusammen, sodass bei einer Trennung der Ebenen schon keine
rechtssichere Ermittlung der Höhe der Geldbuße durch die
Datenschutzaufsichtsbehörden möglich wäre.
2. Die Datenschutzaufsichtsbehörden der Mitgliedstaaten sanktionieren wie die EUKommission
im EU-Kartellrecht direkt auf Grundlage einer europäischen
Verordnung
Die DSGVO sieht mit Art. 83 eine eigenständige, an das europäische Kartellrecht
angelehnte Bußgeldnorm vor, die durch nationale Behörden vollzogen wird.
Das Sanktionsregime der DSGVO ist dem unionsrechtlichen Wettbewerbsrecht nachempfunden,
insbesondere den Bußgeldern gegen Unternehmen nach Art. 23 der
Verordnung (EG) Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung
der in den Art. 81 und 82 des Vertrags niedergelegten Wettbewerbsregeln
(KartellVO) (vgl. LG Bonn, Urt. v. 11. November 2020 – 29 OWi 1/20, BeckRS 2020,
35663 Rn. 31; Eckhardt , in: Spindler/Schuster, Recht der elektronischen Medien, 4.
Auflage 2019, Art. 83 DSGVO Rn. 6; Albrecht , CR 2016, 88 (96)). Auch der Verweis
in Erwägungsgrund 150 Satz 3 DSGVO auf Art. 101 und 102 AEUV verdeutlicht die
Parallelen zwischen den beiden Rechtsgebieten.
Sowohl im europäischen Datenschutzrecht als auch – soweit ersichtlich – im
gesamten europäischen Sanktionsrecht bewirkt die Einführung des Art. 83 DSGVO
dabei eine Epochenwende. Als Novum verhängen erstmalig Aufsichtsbehörden der
Mitgliedstaaten auf Grundlage einer unmittelbar anwendbaren Bußgeldnorm
Geldbußen anstatt auf Grundlage von nationalen Bußgeldnormen.
Die nationalen Datenschutzaufsichtsbehörden leiten, wie die EU-Kommission im EUKartellrecht,
die Befugnis zur Sanktionierung unmittelbar aus einer europäischen
Verordnung her und nicht aus nationalem Recht. Insofern entsprechen die Befugnisund
Bußgeldnormen des Datenschutzrechts (Art. 58, 83 DSGVO) denen des EUKartellrechts
(Art. 17 ff., 23 KartellVO). Art. 58 DSGVO weist den Aufsichtsbehörden
der Mitgliedstaaten direkt eine Vielzahl von unionsrechtlichen Ermittlungs- und
Abhilfebefugnissen zu, so wie das europäische Kartellrecht der EU-Kommission in
Art. 17 ff. KartellVO ebenfalls direkt Befugnisse einräumt. Es bedarf daher im
Datenschutzrecht grundsätzlich keines Rückgriffs auf nationale Befugnisnormen
(wie ansonsten z. B. bei deutschen Wettbewerbsbehörden nach §§ 57 ff. und 81 des
Gesetzes gegen Wettbewerbsbeschränkungen (GWB)).
3. Kein Konflikt mit dem Schuldprinzip
Die fehlende Anknüpfung an die Handlung einer Leitungsperson einer juristischen
Person verstößt auch nicht gegen das Schuldprinzip.
Auf die Zahlung einer Geldbuße als unionsrechtliche Sanktion, die keinen
strafrechtlichen Charakter hat, findet nach der Rechtsprechung des EuGH das
Schuldprinzip schon keine Anwendung (vgl. EuGH, Urt. v. 11. Juli 2002 – C-210/00 –
Käserei Champignon Hofmeister, BeckRS 2004, 74993 Rn. 43 f.). Selbst eine echte
Unternehmensstrafe würde nach der Interpretation des EuGH und des EGMR weder
gegen die Unschuldsvermutung nach Maßgabe von Art. 6 Abs. 2 der Europäischen
Menschenrechtskonvention (EMRK) oder Art. 48 Abs. 2 GRCh noch gegen das
Schuldprinzip als allgemein anerkanntem Rechtsgrundsatz des Unionsrechts
verstoßen (vgl. Hochmayr , ZIS 2016, 226).
Im Hinblick auf das Schuldprinzip vertrat die Generalanwältin beim EuGH Juliane
Kokott in ihren Schlussanträgen bezüglich direkt an Unternehmen adressierter
Geldbußen nach Art. 23 KartellVO die Ansicht, dass sich ein Unternehmen im
Normalfall alle rechtswidrigen Machenschaften zurechnen lassen müsse – auch
solche, zu denen es ohne Wissen und ohne ausdrückliche Billigung der
Unternehmensleitung kam –, sofern diese Machenschaften sich im
Verantwortungsbereich des Unternehmens ereigneten (Generalanwältin beim EuGH,
Schlussantrag v. 18. April 2013 – C-501/11 P, BeckRS 2013, 80815 Rn. 111 ff., 129
ff.; der Rechtsmittelgrund, auf den die Generalanwältin Bezug nimmt, wurde
anschließend vom EuGH als neues Angriffsmittel als unzulässig angesehen, weshalb
sich der EuGH inhaltlich nicht damit befasste, EuGH, Urt. v. 18. Juli 2013 – C-
501/11 P, BeckRS 2013, 81521 Rn. 77-84). Dies sei in der Regel dann der Fall, wenn
die fraglichen Handlungen durch die eigenen Mitarbeitenden im Zusammenhang mit
ihrer Tätigkeit für das Unternehmen vorgenommen wurden (Generalanwältin beim
EuGH, Schlussantrag vom 18. April 2013 – C-501/11 P, BeckRS 2013, 80815 Rn.
131). Es bedürfe insofern auch keiner Feststellungen, welche konkreten
Mitarbeitenden eines Unternehmens an den Zuwiderhandlungen des Kartells
beteiligt waren, wenn klar ist, dass die Personen, die auf Seiten des Unternehmens
an den wettbewerbswidrigen Machenschaften des Kartells beteiligt waren,
Mitarbeitende des Unternehmens waren (Generalanwältin beim EuGH, Schlussantrag
vom 18. April 2013 – C-501/11 P, BeckRS 2013, 80815 Rn. 125 ff.).
Die Generalanwältin Kokott bringt dabei auch die Problematik des von den Behörden
ggf. nachzuweisenden Leitungsverschulden auf den Punkt. So stellt die
Generalanwältin ausdrücklich fest, dass für den Fall, dass Unternehmen in
Kartellverfahren nur das Verhalten derjenigen Mitarbeitenden zurechenbar wäre,
deren wettbewerbswidrige Machenschaften nachweisbar auf einer konkreten
Anweisung oder Bevollmächtigung der Unternehmensleitung beruhten oder von
dieser zumindest wissentlich geduldet wurden, das unionsrechtliche Kartellverbot
jeglicher praktischer Wirksamkeit beraubt würde, da es dann für Unternehmen ein
Leichtes wäre, sich ihrer Verantwortlichkeit für Kartellvergehen aus rein formalen
Gründen zu entziehen (Generalanwältin beim EuGH, Schlussantrag vom 18. April
2013 – C-501/11 P, BeckRS 2013, 80815 Rn. 130).
4. Umfang der Öffnungsklausel des Art. 83 Abs. 8 DSGVO
Indem nach deutschem Recht über § 41 Abs. 1 BDSG auch auf § 30 Abs. 1 OWiG
verwiesen wird, bewegt sich der deutsche Gesetzgeber außerhalb seiner nationalen
Spielräume. Die Regelung ist diesbezüglich schlichtweg nicht mehr von der
Öffnungsklausel des Art. 83 Abs. 8 DSGVO umfasst.
Zwar soll die Umsetzung des europäischen Grundgedankens auf Basis der
nationalen Verfahrensgarantien erfolgen (Art. 83 Abs. 8 DSGVO). Die DSGVO enthält
aber keine Öffnungsklausel für nationale Verfahrensgarantien, die über den
europarechtlich gebotenen Schutz der Bußgeldadressat:innen nach den Vorgaben
der GRCh hinausgehen und so die effektive und vor allem auch unionsweit
einheitliche Durchsetzung der DSGVO behindern würden und damit nicht mehr
„angemessen“ sind (vgl. Bergt , in: Kühling/Buchner, DSGVO BDSG, 4 Aufl. 2022,
Art. 83 DSGVO Rn. 112).
Der Unionsrechtsgeber ermöglicht den Mitgliedstaaten über Art. 83 Abs. 8 DSGVO
lediglich, Verfahrensvorschriften im nationalen Recht vorzusehen, nicht hingegen
materiell-rechtliche Vorschriften (vgl. Golla , DuD 2021, 180, 181; einschränkend auf
unionsrechtskonforme materiell-rechtliche Vorschriften LG Bonn, Urt. v. 11.
November 2020 – 29 OWi 1/20, BeckRS 2020, 35663 Rn. 35).
§ 30 OWiG stellt jedoch eine solche unzulässige materiell-rechtliche Norm dar (vgl.
LG Bonn, Urt. v. 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663 Rn. 26;
siehe auch zum äquivalenten § 3 des Entwurfs zum Gesetz zur Sanktionierung von
verbandsbezogenen Straftaten – VerSanG: Referentenentwurf des
Bundesministeriums der Justiz und für Verbraucherschutz, Stand: 20. April 2020,
S. 71). § 30 OWiG sieht nämlich keine Regelungen für den Ablauf des
Bußgeldverfahrens (also das „Wie“ der Verhängung, z. B. Anhörung oder
Akteneinsicht) vor, sondern materielle Voraussetzungen im Sinne von zusätzlichen
Tatbestandsmerkmalen (also das „Ob“ der Verhängung, hier: Anknüpfungstat einer
Leitungsperson) für ein Bußgeld gegen juristische Personen. Insofern gehört § 30
OWiG auch zum ersten Teil des OWiG, dem Teil „Allgemeine Vorschriften“ , und nicht
zum zweiten Teil des OWiG, „Bußgeldverfahren“ .
5. Auslegung des § 41 BDSG
Auch eine europarechtskonforme Auslegung des § 41 Abs. 1 Satz 1 BDSG führt zur
Anwendung des Funktionsträgerprinzips.
a) Auslegung nach dem Wortlaut
Der Wortlaut des § 41 Abs. 1 Satz 1 BDSG lässt Raum für die gebotene
unionsrechtskonforme Auslegung.
Die Regelung des § 41 Abs. 1 Satz 1 BDSG verweist nur auf eine „sinngemäße“
Geltung des OWiG. Demnach gilt die DSGVO vorrangig und das OWiG ist nur
anwendbar, soweit die DSGVO Regelungslücken lässt (Brodowski/Nowak , in: BeckOK
DatenschutzR, 42. Edition, Stand: 1. November 2022, § 41 BDSG Rn. 7).
Soweit eine Regelung des deutschen Ordnungswidrigkeitenrechts der DSGVO
entgegensteht, muss sie unanwendbar bleiben (Ehmann , ZD 2017, 201; Bergt , DuD
2017, 555 (559)). Da die DSGVO eine unmittelbare Verbandshaftung vorsieht, fehlt
es an einer Lücke des Unionsrechts, die mit einer vollständigen Anwendung des
§ 30 OWiG zu füllen wäre. Soweit § 30 OWiG dem europäischen
Funktionsträgerprinzip entgegensteht, indem es auf ein Verschulden eines Organs
oder einer Leitungsperson abstellt, ist die Vorschrift mit den Regelungen der DSGVO
unvereinbar und damit nicht anwendbar.
b) Systematische Auslegung
Dass sich die Unanwendbarkeit des § 30 Abs. 1 OWiG bei Bußgeldern wegen
Datenschutzverstößen auch aus § 41 BDSG ergibt, zeigt die systematische
Auslegung der BDSG-Norm. Denn wäre die Regelung des § 30 OWiG anwendbar,
wäre die Regelung des § 41 Abs. 2 Satz 2 BDSG widersprüchlich.
Zu den in § 41 Abs. 2 Satz 2 BDSG von der Anwendung ausgeschlossenen
Vorschriften des OWiG zählen etwa §§ 87, 88 OWiG. Diese Regelungen finden sich
im achten Abschnitt des zweiten Teils des OWiG. Dabei trägt der achte Abschnitt die
Überschrift „Verfahren bei Anordnung von Nebenfolgen oder der Festsetzung einer
Geldbuße gegen eine juristische Person oder Personenvereinigung“ .
Es überzeugt daher nicht, dass die Anwendung des materiell-rechtlichen § 30 OWiG
durch den Gesetzgeber nicht ausgeschlossen sein soll, wohl aber die zur
prozessualen Durchsetzung des § 30 OWiG zentralen Verfahrensvorschriften zur
Sanktionierung von juristischen Personen im OWiG (so auch Brodowski/Nowak , in:
BeckOK DatenschutzR, 42. Edition, Stand: 1. November 2022, § 41 BDSG Rn. 11.3).
c) Anwendungsvorrang des Unionsrechts
In der hier gegenständlichen Konstellation geht es gerade nicht um eine nationale
Norm, die im Lichte einer Richtlinie ausgelegt werden muss. Es geht vielmehr um die
Durchsetzung von Sanktionen, die in einer unmittelbar anwendbaren europäischen
Verordnung geregelt sind und durch die Aufsichtsbehörden verhängt werden.
Während Richtlinien nur hinsichtlich ihrer Regelungsziele beachtet werden müssen,
gelten Verordnungen unmittelbar und sind in allen ihren Teilen verbindlich (vgl.
Art. 288 Abs. 2 AEUV). Insofern ist der Spielraum für eine Abweichung vom Willen
des europäischen Gesetzgebers im Rahmen der Durchsetzung datenschutzrechtlicher
Sanktionen auf Grundlage der DSGVO grundsätzlich deutlich
geringer, als wenn die Sanktionen lediglich in einer Richtlinie vorgesehen wären.
Als europäischer Verordnung kommt der DSGVO Anwendungsvorrang vor
nationalem Recht zu (vgl. EuGH, Urt. v. 15. Juli 1965 – Rs. 6/64 – Costa/ENEL, Slg.
1964, 1251, 1269; EuGH, Urt. v. 9. März 1978 – Rs. 106/77 – Simmentahl II, Slg.
1978, 629 Rn. 17/18). In der Folge verliert kollidierendes mitgliedstaatliches Recht
zwar nicht seine Gültigkeit, wird jedoch unanwendbar. Der Grund für dieses
Verständnis liegt dabei weniger in der Schonung staatlicher Souveränität als in der
fehlenden Befugnis des EuGH, über die Geltung mitgliedstaatlichen Rechts zu
judizieren (Ruffert , in: Calliess/Ruffert, EUV/AEUV, 5. Aufl. 2016 Art. 1 AEUV
Rn. 18 f.).
Der Anwendungsvorrang wirkt gegenüber sämtlichem mitgliedstaatlichen Recht,
auch gegenüber solchem mit Verfassungsrang, um Einheit, Funktionsfähigkeit und
Wirksamkeit des Unionsrechts zu sichern (EuGH, Urt. v. 17. Dezember 1970 – C-
11/70 – Internationale Handelsgesellschaft, Slg. 1970, 1125 Rn. 3 f.; EuGH, Urt. v.
26. Februar 2013 – C-399/11 – Meloni, NJW 2013, 1215 Rn. 59 ff.; EuGH, Urt. v. 22.
November 2005 – C-144/04 – Mangold, NJW 2005, 3695 Rn. 77).
Auch ohne eine ausdrückliche Herausnahme des § 30 OWiG aus der Verweisung in
§ 41 BDSG wäre damit die Anwendung des § 30 OWiG bereits aufgrund der sich aus
dem Anwendungsvorrang ergebenden Kollisionsregel ausgeschlossen. Dies ergibt
sich schon aus dem eindeutigen Willen des europäischen Gesetzgebers, der
grundsätzlich von einem funktionalen Unternehmensbegriff bei der
datenschutzrechtlichen Sanktionierung ausgeht.
d) Effektivitätsgebot („effet utile“)
Der Vergleich mit anderen Mitgliedstaaten zeigt darüber hinaus, dass das
Rechtsträgerprinzip des § 30 OWiG den Vollzug des Art. 83 Abs. 4 bis 6 DSGVO
unzulässiger Weise erheblich erschwert und somit gegen das Effektivitätsgebot
verstößt.
Aus dem Anwendungsvorrang folgt nicht nur die Unanwendbarkeit kollidierenden
nationalen Rechts für Behörden und Gerichte, sondern auch die Verpflichtung, das
nationale Recht unionsrechtskonform auszulegen und fortzubilden. Dabei ist das
Effektivitätsgebot („effet utile“) zu berücksichtigen (ständige Rspr. d. EuGH, Urt. v.
19. November 1991 – Rs C-6/70 u. 9/79, NJW 1992, 165 Rn. 32 m. w. N.).
Demnach darf die Anwendung mitgliedstaatlichen Rechts die Wirksamkeit des
Unionsrecht nicht praktisch unmöglich machen oder übermäßig erschweren.
Derjenigen Auslegung ist der Vorzug einzuräumen, die der Verwirklichung der
Vertragsziele und der Funktionsfähigkeit der Union am dienlichsten ist (vgl. Mayer ,
in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 77. EL September 2022, Art. 19 EUV
Rn. 57).
Wäre die Zurechnung über § 30 OWiG tatsächlich bei jedem Datenschutzverstoß
erforderlich, so könnte nicht gelingen, was der europäische Gesetzgeber zum Ziel
hatte, nämlich die Gesetzverstöße von Unternehmen in der gesamten EU
harmonisiert zu sanktionieren (vgl. bspw. Erwägungsgrund 129 Satz 1 DSGVO). Die
zusätzlichen Anforderungen würden gegenüber dem europäischen Haftungsmodell
zu einer erheblichen Einschränkung der Bußgeldverhängung gegen juristische
Personen führen, wenn trotz Feststehens eines Datenschutzverstoßes die internen
Verantwortlichkeiten von den Datenschutzaufsichtsbehörden aufzuklären wären.
Den Nachweis eines Organisations- oder Überwachungsverschuldens einer
Leitungsperson erbringen zu können, wird schwieriger, je größer das Unternehmen
und seine organisatorischen Verflechtungen sind, insbesondere bei großen
börsennotierten Konzernen. Hierdurch entstehen auf Seiten der deutschen
Verwaltungs- und Ermittlungsbehörden, aber auch auf Seiten der Unternehmen
selbst, enormer Aufwand und enorme Kosten im Rahmen von (zum Teil
öffentlichkeitswirksamen) Durchsuchungen von Geschäftsräumen und
Beschlagnahmen sowie Sichtung von Material, wie interner E-Mail-Kommunikation,
die zum Teil nur deshalb stattfinden muss, um intern eine Leitungsperson der
juristischen Person ermitteln zu können. Schlimmstenfalls entstehen
Sanktionslücken, weil trotz enormem Ermittlungsaufwands eine Leitungsperson, der
ein Vorwurf zu machen ist, nicht ermittelt werden kann, obschon ein Verstoß des
Unternehmens anhand der übrigen Beweise ansonsten zweifelsfrei feststeht. Der
Nachweis ist regelmäßig mit einem erheblichen Aufwand verbunden. Das Erfordernis
des Leitungsverschuldens kann Unternehmen darüber hinaus dazu bewegen,
Verantwortlichkeiten und Entscheidungswege über ein Geflecht an
Tochtergesellschaften und eine Vielzahl an Abteilungen derart unüberschaubar zu
organisieren, dass für die Datenschutzaufsichtsbehörden nur schwer
nachvollziehbar ist, welche Leitungsperson die interne Verantwortung trägt.
Es bestünde insofern die naheliegende Gefahr einer europaweit deutlich
unterschiedlichen Sanktionierungspraxis (vgl. LG Bonn, Urt. v. 11. November 2020 –
29 OWi 1/20, BeckRS 2020, 35663 Rn. 32). Da Zurechnungserfordernisse im
europäischen Ausland weitgehend unbekannt sind (Kubiciel/Gräbener , ZRP 2016,
137 m. w. N.), würde die Anwendbarkeit einer Regelung wie der des § 30 OWiG dem
Harmonisierungswillen des europäischen Gesetzgebers entgegenstehen. Wird ein
Verfahren gegen juristische Personen mit Sitz in Deutschland geführt, würden durch
den § 30 OWiG weitere, über Art. 83 DSGVO hinausgehende, Voraussetzungen
hinzukommen, die durch die Aufsichtsbehörde zu ermitteln und zu prüfen wären,
anders als dies etwa in Frankreich oder der Slowakei der Fall ist. Denn in den
meisten europäischen Mitgliedstaaten ist die Verhängung einer Verbandsstrafe auch
in den nationalen Gesetzen vorgesehen. So gilt etwa in Frankreich die strafrechtliche
Verbandshaftung bereits seit 1994 (Rogall , in: KK-OWiG, 5. Aufl. 2018, § 30 Rn.
266). Auch in anderen europäischen Mitgliedstaaten, so etwa in Belgien, Dänemark,
Italien, Niederlande (Rogall , in: KK-OWiG, 5. Aufl. 2018, § 30 Rn. 263 ff.),
Tschechien (vgl. Bohata, NZWiSt 2012, 161 (162 ff.)), Rumänien, Luxemburg und der
Slowakei (vgl. Clifford Chance , Corporate Criminal Liability in Europe, 2016
https://www.cliffordchance.com/content/dam/cliffordchance/briefings/2016/04/
corporate-criminal-liability.pdf) ist die Verbandshaftung gesetzlich verankert.
Auch die Entscheidung des Conseil d’État vom 19. Juni 2020 (in Bezug auf die von
der französischen Datenschutzbehörde „CNIL“ verhängte Sanktion gegenüber
Google LLC in Höhe von 50 Millionen Euro) zeigt exemplarisch, dass die Verhängung
von Geldbußen gegenüber juristischen Personen offensichtlich keiner namentlichen
Benennung einer natürlichen Person bedarf. Im Rahmen der rechtlichen Beurteilung
kommt das Höchstgericht zum Entschluss, dass Google LLC als Verantwortliche zu
qualifizieren und daher die Geldbuße – ohne Einbeziehung des tatbestandsmäßigen,
rechtswidrigen und vorwerfbaren Verhaltens einer natürlichen Person – zu Recht ihr
gegenüber zu verhängen ist (vgl. die Entscheidung des Conseil d’État vom 19. Juni
2020, N° 430810, abrufbar in Französisch unter https://www.conseil17
etat.fr/ressources/decisions-contentieuses/dernieres-decisionsimportantes/
conseil-d-etat-19-juin-2020-sanction-infligee-a-google-par-la-cnil).
Zur zweiten Vorlagefrage: Allgemeines Verschuldenserfordernis
I. Inhalt der Vorlagefrage
Für den Fall, dass der EuGH die erste Vorlagefrage bejaht, fragt das KG in einer
zweiten Vorlagefrage, ob Art. 83 Abs. 4 bis Abs. 6 DSGVO dahingehend auszulegen
ist, dass das Unternehmen den durch Mitarbeitende vermittelten Verstoß schuldhaft
begangen haben muss (vgl. Art. 23 KartellVO), oder ob für eine Bebußung des
Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver
Pflichtenverstoß ausreicht („strict liability“).
II. Auslegung des Art. 83 DSGVO spricht für verschuldensunabhängige Bebußung
1. Auslegung nach dem Wortlaut
Für eine verschuldensunabhängige Bebußung spricht zunächst, dass an keiner Stelle
in der DSGVO, insbesondere nicht in Art. 83 Abs 1 oder Abs. 4 bis 6 DSGVO, das
Erfordernis von Fahrlässigkeit oder Vorsatz als Voraussetzung einer Geldbuße
kodifiziert ist. Stattdessen wird in Art. 83 Abs. 2 Satz 2 lit. b DSGVO Vorsatz oder
Fahrlässigkeit lediglich als eines der Zumessungskriterien („berücksichtigt“)
aufgeführt (vgl. Bergt , in: Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2022, Art. 83
DSGVO Rn. 35; Nemitz , in: Ehmann/Selmayr, DSGVO, 2. Aufl. 2018, Art. 83 Rn. 17;
Härting , Datenschutz-Grundverordnung, 1. Aufl. 2016, Rn. 253; Bergt , DuD 2017,
555 (558 f.); Boms , ZD 2019, 536 (537)). Auch der Formulierung des Art. 83 Abs. 3
DSGVO lässt sich nicht entnehmen, dass nur solche Verstöße mit Geldbußen
sanktioniert werden können, bei denen ein Verschulden nachgewiesen werden kann.
Vielmehr gilt die in der Norm vorgesehene Privilegierung für vorsätzliche oder
fahrlässige Verstöße bei gleichen oder miteinander verbundenen
Verarbeitungsvorgängen nach dem Grundsatz „a maiore ad minus“ erst recht für
Fälle schuldloser Verstöße (Boms , ZD 2019, 536 (537)).
2. Systematische Auslegung
Es gibt keinen „Allgemeinen Teil“ eines EU-Sanktionsrechts, der vorsieht, dass nur
vorsätzliche oder fahrlässige Handlungen mit Geldbuße bedroht sind (Bergt , in:
Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2022, Art. 83 DSGVO Rn. 35).
Für eine verschuldensunabhängige Bebußung spricht auch das Regelungsgefüge der
Schadensersatznorm des Art. 82 Abs. 1 DSGVO. Danach besteht das Recht auf
Schadensersatz gegen den Verantwortlichen oder Auftragsverarbeiter, solange
dieser gemäß Art. 82 Abs. 3 DSGVO nicht nachweist, dass er in keinerlei Hinsicht für
den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Dass der
europäische Gesetzgeber insofern nicht ein Verschulden, sondern bloß eine strenge
Exkulpationsmöglichkeit vorgesehen hat, bezeugt, dass er die rechtlichen
Konsequenzen von DSGVO-Verstößen für den Verantwortlichen von der Feststellung
von Verschulden lösen wollte.
In anderen Sanktionsvorschriften in EU-Verordnungen wird die fahrlässige oder
vorsätzliche Begehung von Bußgeldtatbeständen ausdrücklich vorausgesetzt, z. B. in
Art. 23 VO (EG) 1/2003. Darauf hat der europäische Gesetzgeber in Art. 83 DSGVO
offensichtlich verzichtet.
Der europäische Gesetzgeber hat daneben aber auch in anderen Verordnungen
verschuldensunabhängige Sanktionen vorgesehen, wie z. B. in Art. 55 Abs. 2 bzw.
Abs. 3 der Verordnung (EG) Nr. 555/2008 (vgl. zu danach verschuldensunabhängig
verhängten Geldbußen VG Ansbach, Urt. v. 29. Januar 2016 – AN 14 K 14.01302, AN
14 K 14,01335, BeckRS 2016, 42304; VG Würzburg, Urt. v. 10. Juli 2014 – W 3 K
14.37, BeckRS 2014, 56016) und Art. 11 Abs. 1 Satz 1 der Verordnung (EWG)
Nr. 3665/87 in der durch die Verordnung (EG) Nr. 2945/94 geänderten Fassung
(vgl. zu danach verschuldensunabhängig vorgenommenen Verminderungen EuGH,
Urt. v. 6. Dezember 2012 – C-562/11, BeckRS 2012, 82568 Rn. 26 m. w. N.). Indem
sich der europäische Gesetzgeber in Art. 83 DSGVO für eine vergleichbare
Regelungssystematik wie in den o. g. Verordnungen entschieden hat, macht er
deutlich, dass Geldbußen nach der DSGVO verschuldensunabhängig verhängt
werden können.
3. Historische Auslegung
Nach den DSGVO-Entwürfen der Europäischen Kommission und dem Rat der
Europäischen Union waren Fahrlässigkeit oder Vorsatz Voraussetzung einer Sanktion
(vgl. Art. 79 Abs. 4, 5 und 6 DSGVO-E (KOM) und Art. 79a Abs. 1, 2 und 3 DSGVO-E
(Rat)). Das Europäische Parlament wollte hingegen gemäß Art. 79 Abs. 2a DSGVO-E
(EP) Sanktionen für „jeden, der seinen in dieser Verordnung festgelegten Pflichten
nicht nachkommt“.
Insofern bestätigt Art. 79 Abs. 2b DSGVO-E (EP), der regeln sollte, dass Geldbußen
nur bei Vorsatz oder Fahrlässigkeit verhängt werden, sofern der Verantwortliche
oder Auftragsverarbeiter im Besitz des europäischen Datenschutzsiegels ist, dass
vom Europäischen Parlament die Möglichkeit der Datenschutzaufsichtsbehörden
beabsichtigt war, Geldbußen aufgrund von DSGVO-Verstößen grundsätzlich
verschuldensunabhängig zu verhängen (vgl. Bergt , in: Kühling/Buchner, DSGVO
BDSG, 3. Aufl. 2022, Art. 83 DSGVO Rn. 10; Bergt , DuD 2017, 555, 558; Härting , CR
2013, 715, 721).
Da die Vorschläge von Kommission und Rat im weiteren Gesetzgebungsverfahren
nicht übernommen, sondern gestrichen worden sind, spricht das Ergebnis dafür,
dass der europäische Gesetzgeber gerade kein Verschuldenserfordernis vorsehen
wollte, mithin nicht von einem Redaktionsversehen auszugehen ist (vgl. Bergt , in:
Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2022, Art. 83 DSGVO Rn. 35; Boehm , in:
Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Aufl. 2019, Art. 83
DSGVO Rn. 26; Cornelius , in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz,
3. Aufl. 2019, Teil XIV Rn. 127; Bergt , DuD 2017, 555, 558; Boms , ZD 2019, 536,
537).
4. Teleologische Auslegung
Die Geldbußen nach Art. 83 DSGVO sind entscheidend für die effektive
Durchsetzung des neuen, unionsweit harmonisierten Datenschutzrechts (vgl.
Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 1. Aufl. 2017, Teil 8 Rn. 34; vgl.
auch Erwägungsgrund 148 Satz 1 DSGVO). Insbesondere gegenüber wirtschaftlich
starken und international agierenden Akteuren sollen sie abschreckend wirken und
deren Rechtstreue erzwingen (vgl. Albrecht/Jotzo, Das neue Datenschutzrecht der
EU, 1. Aufl. 2017, Teil 8 Rn. 34). Hierfür müssen Geldbußen nach Art. 83 Abs. 1
DSGVO wirksam, verhältnismäßig und abschreckend sein.
Mit dieser Zielrichtung erscheint der Verzicht auf eine Verschuldensvoraussetzung in
Art. 83 DSGVO dem Sinn und Zweck der Vorschrift, den
Datenschutzaufsichtsbehörden unionsweit eine möglichst einfache und konsequente
Bebußung von Verstößen gegen die DSGVO zu ermöglichen, gerecht zu werden. Die
verschuldensunabhängige Bebußungsmöglichkeit schafft insofern auch für
Verantwortliche und Auftragsverarbeiter zusätzliche Anreize, besonders effektive
Datenschutzmanagementsysteme aufzubauen und einzusetzen, um die Vorgaben
der DSGVO, die bußgeldbewehrt sind, einzuhalten.
III. Verhältnismäßigkeit entsprechend der EuGH-Rechtsprechung gewahrt
Eine verschuldensunabhängige Bebußung nach Art. 83 DSGVO ist auch mit dem
Unionsrecht vereinbar, da sie verhältnismäßig ausgestaltet ist.
Bei der Beurteilung, ob eine Sanktion mit dem Grundsatz der Verhältnismäßigkeit im
Einklang steht, sind u. a. Art und Schwere des Verstoßes, der mit dieser Sanktion
geahndet werden soll, sowie die Modalitäten für die Bestimmung ihrer Höhe zu
berücksichtigen (vgl. EuGH, Urt. v. 13. November 2014 – C-443/13, LMuR 2015, 8
Rn. 40; EuGH, Urt. v. 17. Juli 2014 – C-272/13, BeckRS 2014, 81202 Rn. 35). Nach
der Rechtsprechung des EuGH ist dabei sogar eine bloß objektiv basierte
Strafbarkeit zulässig, soweit der Verhältnismäßigkeitsgrundsatz gewahrt bleibt; ein
System der objektiven Verantwortlichkeit steht als solches nicht außer Verhältnis zu
den angestrebten Zielen, wenn es geeignet ist, die von ihm erfassten Personen zur
Beachtung der Bestimmungen einer Verordnung anzuhalten, und wenn die
verfolgten Ziele ein Allgemeininteresse aufweisen, das die Schaffung eines solchen
Systems rechtfertigen kann (EuGH, Urt. v. 13. November 2014 – C-443/13, LMuR
2015, 8 Rn. 42; EuGH, Urt. v. 9. Februar 2012 – C-210/10, BeckRS 2012, 80284 Rn.
48; EuGH, Urt. v. 10. Juli 1990 – 326/88, BeckRS 2004, 70816 Rn. 19; EuGH, Urt. v.
2. Oktober 1991 – C-7/90, BeckRS 2004, 77713 Rn. 16 f.; EuGH, Urt. v. 27. Februar
1997 – C-177/95, BeckRS 2004, 74706 Rn. 36; EuGH, Urt. v. 20. März 2018 – C-
524/15, MwStR 2018, 551 Rn. 45 ff.).
Nach diesen Maßstäben ist auch die objektiv basierte Bebußung nach Art. 83 Abs. 4
bis 6 DSGVO zulässig, auch wenn es sich dabei nicht um Strafvorschriften handelt.
Die Zielsetzung der DSGVO stellt ein Allgemeininteresse dar, das die Schaffung
eines Systems der objektiven Verantwortlichkeit rechtfertigt. Ziel der DSGVO ist es,
unionsweit ein hohes Datenschutzniveau zu gewährleisten, um insbesondere für das
Recht auf den Schutz personenbezogener Daten nach Art. 8 GRCh und das Recht auf
Achtung des Privat- und Familienlebens nach Art. 7 GRCh natürlicher Personen bei
der Verarbeitung personenbezogener Daten sowie den freien Verkehr solcher Daten
ein gleichwertiges und hohes Datenschutzniveau zu gewährleisten (vgl. Art. 1
DSGVO und Erwägungsgrund 10 Satz 1 DSGVO). Bußgelder aufgrund objektiver
Verstöße gegen die DSGVO dürften Verantwortliche und Auftragsverarbeiter auch
veranlassen, bei der Umsetzung der Verpflichtungen aus der DSGVO besondere
Sorgfalt walten zu lassen, weil sie sich mit dem Hinweis auf mangelndes
Verschulden der Verantwortlichkeit im Rahmen der Bebußung nach Art. 83 Abs. 4
bis 6 DSGVO nicht entziehen können (vgl. Boms , ZD 2019, 536, 537). Der
Bußgeldrahmen in Art. 83 Abs. 4 bis 6 DSGVO kann dabei unter Berücksichtigung
der Vorgaben der Wirksamkeit, Verhältnismäßigkeit und Abschreckung nach Art. 83
Abs. 1 DSGVO und der Bußgeldzumessungskriterien nach Art. 83 Abs. 2 Satz 2 lit. a
bis k DSGVO von den Datenschutzaufsichtsbehörden passend für den jeweiligen
Einzelfall ausgefüllt werden. Insofern ist die verschuldensunabhängige Bebußung
auch angemessen, denn sie ist darüber hinaus kein Automatismus. Die
Datenschutzaufsichtsbehörden können vielmehr auch bei einem objektiven Verstoß
von einer Geldbuße absehen und stattdessen eine Verwarnung nach Art. 58 Abs. 2
lit. b DSGVO erteilen, insbesondere bei geringfügigen Verstößen oder wenn
voraussichtlich zu verhängende Geldbußen eine unverhältnismäßige Belastung für
eine natürliche Person bewirken würden (vgl. Erwägungsgrund 148 Satz 2 DSGVO).
Kontakt:
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Holstenstraße 98
24103 Kiel
E-Mail: mail@datenschutzzentrum.de
Weitere Informationen zur Datenschutzkonferenz:
www.datenschutzkonferenz-online.de
A. Zusammenfassung
Nach der Auffassung der Datenschutzkonferenz ist die erste Vorlagefrage des
Berliner Kammergerichts (KG) dahingehend zu beantworten, dass Art. 83 Abs. 4 bis
6 der Datenschutz-Grundverordnung (DSGVO) so auszulegen ist, dass der
funktionale Unternehmensbegriff und das Funktionsträgerprinzip aufgrund des
Willen des europäischen Gesetzgebers (vgl. Erwägungsgrund 150 Satz 3 DSGVO) von
den Datenschutzaufsichtsbehörden bei der Bußgeldverhängung anzuwenden ist.
Entgegenstehende Vorschriften, die wie § 30 des Gesetzes über Ordnungswidrigkeiten
(OWiG) das Rechtsträgerprinzip vorsehen, sind nicht anzuwenden. Es
bedarf wie im EU-Kartellrecht (Art. 101 und 102 des Vertrags über die Arbeitsweise
der Europäischen Union (AEUV)) nur der Feststellung, dass Mitarbeitende des
Unternehmens einen Verstoß gegen die DSGVO begangen haben, ohne dass die
konkret handelnden Mitarbeitenden ermittelt werden oder Leitungspersonen des
Unternehmens sein müssen. Die Notwendigkeit der Feststellung eines
Leitungsverschuldens würde unter Verletzung des Effektivitätsgebots („effet utile“)
den Vollzug des Art. 83 DSGVO in Deutschland ansonsten erheblich erschweren.
Die zweite Vorlagefrage des KG ist so zu beantworten, dass für eine Bebußung des
Unternehmens nach Art. 83 Abs. 4 bis 6 DSGVO im Grundsatz bereits ein dem
Unternehmen zuzuordnender objektiver Pflichtenverstoß ausreicht („strict liability“).
Diese vom europäischen Gesetzgeber gewollte Erleichterung für die
Datenschutzaufsichtsbehörden ist verhältnismäßig, denn sie hält zum Schutz der
Grundrechte natürlicher Personen die Verantwortlichen und Auftragsverarbeiter zur
Einhaltung der Pflichten aus der DSGVO an.
B. Zur ersten Vorlagefrage: Funktionsträgerprinzip
I. Inhalt der Vorlagefrage
In seiner ersten Vorlagefrage hat das KG den EuGH gefragt, ob Art. 83 Abs. 4 bis 6
DSGVO dahingehend auszulegen ist, dass es den Art. 101 und 102 AEUV
zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in
das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des
dem § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren
unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht
der Feststellung einer durch eine natürliche und identifizierte Person,
gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf.
II. Historie der DSGVO – Von nationalen Bußgeldtatbeständen zu einem supranationalen
Sanktionsregime
Mit Art. 83 DSGVO wird nach dem Willen des Unionsgesetzgebers das Ziel verfolgt,
das Grundrecht auf Datenschutz durch die Androhung empfindlicher und dadurch
abschreckender Geldbußen – insbesondere gegen Unternehmen – in der gesamten
EU abzusichern.
Das Grundrecht auf Datenschutz ist als solches insbesondere in Art. 8 (Schutz
personenbezogener Daten) der Charta der Grundrechte der Europäischen Union
(GRCh) verankert. Um dieses in allen Mitgliedstaaten gleichermaßen zu schützen,
setzt sich der Unionsgesetzgeber mit der DSGVO im Bereich der Sanktionen deutlich
von der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.
Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Richtlinie –
DS-RL) ab und überlässt es nicht mehr – wie seinerzeit Art. 24 DS-RL – allein dem
nationalen Gesetzgeber, Regelungen zur Sanktionierung von Verstößen zu treffen
(vgl. hierzu Art. 24 DS-RL, ABl L 1995/281, 31 idF L 2017/40, 78).
Dem Unionsgesetzgeber kam es mit der Schaffung des Art. 83 DSGVO insbesondere
darauf an, die Durchsetzung eines unionsweit einheitlichen Datenschutzstandards
durch den Rechtsaktwechsel von einer Richtlinie hin zu einer unmittelbar wirksamen
Verordnung für den gesamten räumlichen Geltungsbereich durch ein
supranationales (und damit einheitliches) Sanktionsregime sicherzustellen (vgl.
Erwägungsgrund 9, 10 Satz 1, 11, 13 Satz 1, 129 Satz 1, 148 Satz 1 und 152 Satz 1
DSGVO; LG Bonn, Urt. v. 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663
Rn. 33). Damit das in der Grundrechte-Charta verankerte Grundrecht auf
Datenschutz einheitlich gewährleistet werden kann, darf es daher nicht zu
regionalen Unterschieden bei der Ahndung von Datenschutzverstößen durch
Unternehmen aufgrund unterschiedlicher nationaler Bestimmungen und einer
unterschiedlichen Vollzugspraxis kommen.
Bei der gemäß Art. 83 DSGVO zu verhängenden Geldbuße handelt es sich insoweit
um eine verwaltungs- und keine strafrechtliche Sanktion. Dies ergibt sich schon aus
dem Kompetenzbereich der EU, da die Mitgliedstaaten keine Strafgewalt an die EU
übertragen haben. Dies bedeutet allerdings nicht, dass die EU in ihrem
Kompetenzbereich auf den Einsatz von Sanktionen im Fall von Zuwiderhandlungen
gegen gemeinschaftliche Bestimmungen verzichten muss (Schwarze , EuZW 2003,
261). Insofern beinhaltet Art. 16 Abs. 2 AEUV, obwohl dies dort nicht ausdrücklich
vorgesehen ist, als Annex auch eine Regelungskompetenz der EU für Vorgaben zum
Erlass von Verwaltungssanktionen wie Geldbußen (vgl. EuGH, Urt. v. 23. Oktober
2007 – C-440/05, NStZ 2008, 703 Rn. 70 und 71). Die gemäß Art. 83 DSGVO durch
die Aufsichtsbehörden zu verhängenden Geldbußen sind demnach keine kriminalstrafrechtlichen
Sanktionen im eigentlichen Sinne. Vielmehr handelt es sich nach
dem unionsrechtlichen Verständnis um ein (rein) administratives
Sanktionsinstrument (vgl. Ehmann , in: Gola/Heckmann, DSGVO BDSG, 3. Aufl. 2022,
§ 41 BDSG Rn. 6).
Während der europäische Gesetzgeber demnach von sog. „administrative fines“, also
Verwaltungsgeldbußen ausgeht, ordnet die deutsche Rechtstradition die
Bußgeldtatbestände des Art. 83 Abs. 4 bis 6 DSGVO über § 41
Bundesdatenschutzgesetz (BDSG) dem Ordnungswidrigkeitenrecht als
Sonderstrafrecht zu. Diese in Deutschland gewählte Zuordnung darf jedoch nicht
dazu führen, die Durchsetzung des Willens des europäischen Gesetzgebers zu
erschweren oder zu verhindern.
Das deutsche Ordnungswidrigkeitenrecht geht davon aus, dass Verstöße gegen
nationale Bußgeldtatbestände nur von natürlichen Personen begangen werden
können. Täter ist daher nach § 1 OWiG zunächst die natürliche Person, die
rechtswidrig gehandelt hat. Dem folgend eröffnet dann nur der auf dem
Rechtsträgerprinzip basierende § 30 OWiG die Möglichkeit, gegen juristische
Personen und Personenvereinigungen eine Sanktion in Form einer Geldbuße zu
verhängen, wenn eine ihrer Leitungspersonen eine Ordnungswidrigkeit begangen
hat. Diese muss in einem Zurechnungszusammenhang zum Unternehmen stehen,
weil durch sie Pflichten der juristischen Person oder Personenvereinigung verletzt
worden sind oder durch sie eine Bereicherung der juristischen Person oder
Personenvereinigung erreicht wurde oder werden sollte (Meyberg , in: BeckOK OWiG,
36. Edition, Stand: 1. Oktober 2022, § 30 vor Rn. 1). Begehen aber Mitarbeitende
unterhalb der Leitungs- oder Kontrollebene Ordnungswidrigkeiten, kommt eine
Geldbuße gegen die juristische Person nur noch in Betracht, wenn Leitungspersonen
Aufsichtspflichten gemäß § 130 OWiG verletzt haben. Das im deutschen
Ordnungswidrigkeitenrecht vorgesehene Rechtsträgerprinzip und das Erfordernis
von Leitungsverschulden unterscheidet sich damit wesentlich vom Ansatz des in der
DSGVO und dem europäischen Kartellrecht vorgesehenen Funktionsträgerprinzips.
III. Keine Anwendbarkeit des § 30 OWiG
1. DSGVO sieht Bußgelder direkt gegen juristische Personen und Unternehmen vor
Die Bußgeldvorschriften der DSGVO und Erwägungsgrund 150 Satz 3 DSGVO zeigen
eindeutig auf, dass der europäische Gesetzgeber von einer direkten Sanktionierung
juristischer Personen und Unternehmen im Sinne des Funktionsträgerprinzips
ausgegangen ist.
a) Adressatenkreis ergibt sich bereits aus Art. 83 Abs. 4 bis 6 DSGVO i. V. m. Art. 4
Nr. 7 und Nr. 8 DSGVO
Das Bußgeldsystem der DSGVO sieht juristische Personen als Teil des Kreises von
Bußgeldadressaten vor. Die Bußgeldtatbestände in Art. 83 Abs. 4 bis 6 DSGVO
knüpfen an diverse Pflichten nach der DSGVO an, die mit wenigen Ausnahmen
ausschließlich Verantwortliche und/oder Auftragsverarbeiter treffen. Verantwortliche
und Auftragsverarbeiter können dabei gemäß Art. 4 Nr. 7 und Nr. 8 DSGVO auch
juristische Personen sein.
Handelt es sich um juristische Personen, werden Mitarbeitende, auch leitende
Mitarbeitende inkl. gesetzliche Vertreter:innen (ausgenommen sie handeln im
Exzess) nicht als Verantwortliche angesehen, unterliegen somit auch nicht den
Verpflichtungen der DSGVO und gehören daher nicht zum Adressatenkreis nach
Art. 83 Abs. 4 bis 6 DSGVO (vgl. Interdiözesanes Datenschutzgericht (IDSG), Beschl.
v. 14. Dezember 2020 – IDSG 01/2020, Rn. 44 ff.; Art. 29-Datenschutzgruppe ,
Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und
„Auftragsverarbeiter“, WP 169, S. 19). Die DSGVO geht in der Definition des
Verantwortlichen in Art. 4 Absatz 7 DSGVO explizit davon aus, dass (auch) die
juristische Person über Mittel und Zwecke der Datenverarbeitung entscheiden kann
d.h. die juristische Person als Verantwortliche ist – handelnd durch ihre Organe –
dazu in der Lage und nimmt diese Kompetenz auch regelmäßig wahr, um die
Aufgaben der Einrichtung und die Unternehmensziele zu erreichen (vgl. IDSG,
Beschl. v. 14. Dezember 2020 – IDSG 01/2020, Rn. 44). Die juristische Person ist es,
die die primären Folgen – die datenschutzrechtlichen Pflichten – und die sekundären
Folgen – die Haftung und die Sanktionen der Datenschutzaufsichtsbehörden –
treffen sollen (vgl. IDSG, Beschl. v. 14. Dezember 2020 – IDSG 01/2020, Rn. 44). Sie
hat die tatsächliche Entscheidungsgewalt über die Mittel und Zwecke der
Verarbeitung und die für einen umfassenden Schutz der Grundrechte der von der
Verarbeitung betroffenen Personen erforderliche rechtliche Befugnis und die
tatsächliche Entscheidungsgewalt, den Beanstandungen der
Datenschutzaufsichtsbehörden abzuhelfen. Sie verfügt auch über die nötige
Haftungsmasse für eine Sanktionierung (vgl. IDSG, Beschl. v. 14. Dezember 2020 –
IDSG 01/2020, Rn. 46 f.).
Das Abstellen auf die juristische Person als Verantwortliche führt dabei auch nicht
zu Schutzlücken, denn das Handeln ihrer Organe und Mitarbeitenden sowie auch
das Handeln teilweise verselbständigter Organisationseinheiten, etwa der ITAbteilung,
werden der juristischen Person zugerechnet (vgl. IDSG, Beschl. v. 14.
Dezember 2020 – IDSG 01/2020, Rn. 47). Den Gegensatz zwischen der juristischen
Person als Verantwortlicher, die Weisungen erteilt, und den weisungsabhängigen
unterstellten Mitarbeitenden bringen Art. 29 DSGVO und Art. 4 Nr. 10 DSGVO
deutlich zum Ausdruck. Da das Handeln von Mitarbeitenden der juristischen Person
als Verantwortliche zugerechnet wird, können etwa nach Art. 4 Nr. 10 DS-GVO
Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen befugt
sind, personenbezogene Daten zu verarbeiten, nicht „Dritte“ i. S. d. DSGVO sein (vgl.
IDSG, Beschl. v. 14. Dezember 2020 – IDSG 01/2020, Rn. 49). Die Regelung des
Art. 29 DSGVO benennt ausdrücklich Personen, die dem Verantwortlichen unterstellt
sind und Zugang zu personenbezogenen Daten haben, und zeigt dadurch, dass die
weisungsabhängigen Mitarbeitende nicht mit dem Verantwortlichen i. S. d. Art. 4 Nr.
7 DSGVO identisch sind (vgl. IDSG, Beschl. v. 14. Dezember 2020 – IDSG 01/2020,
Rn. 47).
In Art. 83 Abs. 4 bis 6 DSGVO werden des Weiteren „Unternehmen“ als mögliche
Bußgeld-adressat:innen explizit genannt („im Fall eines Unternehmens“ ). Dass in
Art. 83 Abs. 4 bis 6 DSGVO nicht die identische Formulierung des Art. 23 Abs. 1
KartellVO verwendet wurde, („Die Kommission kann gegen Unternehmen und
Unternehmensvereinigungen durch Entscheidung Geldbußen […] festsetzen“ ) dürfte
an dem kartellrechtlich bedingten wirtschaftlichen Fokus liegen, dass Art. 23
KartellVO ausschließlich Bußgelder gegen „Unternehmen“ und
„Unternehmensvereinigungen“ ermöglicht.
Im Gegensatz dazu richten sich Art. 83 Abs. 4 bis 6 DSGVO (vgl. Erwägungsgrund
150 Satz 4 DSGVO) auch gegen Verantwortliche und Auftragsverarbeiter, die keine
„Unternehmen“ sind, wie z. B. gegen nicht kommerziell handelnde juristische und
natürliche Personen. Die Öffnungsklausel in Art. 83 Abs. 7 DSGVO eröffnet den
Mitgliedstaaten die Möglichkeit, Bußgelder gegen Behörden und sonstige öffentliche
Stellen zu verhängen, sodass der Adressatenkreis des Gesetzgebers bewusst weiter
gewählt wurde als im europäischen Kartellrecht.
b) Funktionsträgerprinzip bei Sanktionen nach der DSGVO
Vor dem Hintergrund des Erwägungsgrunds 150 Satz 3 DSGVO eröffnet der
europäische Gesetzgeber in Art. 83 Abs. 4 bis 6 DSGVO die Möglichkeit der
Bußgeldverhängung gegen „Unternehmen“ im Sinne einer direkten
Unternehmensgeldbuße nach Vorbild des Funktionsträgerprinzips aus dem EUKartellrecht
(vgl. LG Bonn, Urt. v. 11. November 2020 – 29 OWi 1/20, BeckRS 2020,
35663 Rn. 22 ff.; IDSG, Beschl. v. 12. Juli 2021 – IDSG 21/2020, Rn. 79 ff.;
Europäischer Datenschutzausschuss (EDSA) , Guidelines 04/2022 on the calculation
of administrative fines under the GDPR, Version 1.0, Adopted on 12 May 2022, Rn.
123; Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes
und der Länder (DSK) , Entschließung der 97. Konferenz am 3. April 2019;
Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 1. Aufl. 2017, Teil 8 Rn. 35).
Erwägungsgrund 150 Satz 3 DSGVO sieht Folgendes vor: „Werden Geldbußen
Unternehmen auferlegt, sollte zu diesem Zweck der Begriff ‚Unternehmen‘ im Sinne
der Artikel 101 und 102 AEUV verstanden werden.“ Nach dem
Funktionsträgerprinzip aus dem EU-Kartellrecht werden dabei einem
„Unternehmen“, also jeder eine wirtschaftliche Tätigkeit ausübenden Einheit
unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung (vgl. EuGH, Urt. v.
10. April 2014 – C-231/11 P – Siemens Österreich, EuZW 2014, 714 Rn. 42–44;
EuGH, Urt. v. 23. April 1991 – Rs C-41/90 – Höfner und Elser, NJW 1991, 2891 Rn.
21), alle Verstöße irgendeiner Person (ausgenommen Exzess), die berechtigt ist, für
das Unternehmen tätig zu werden, zugerechnet, unabhängig ob es sich dabei um
Leitungspersonen handelt (vgl. LG Bonn, Urt. v. 11. November 2020 – 29 OWi 1/20,
BeckRS 2020, 35663 Rn. 22 ff.; IDSG, Beschl. v. 12. Juli 2021 – IDSG 21/2020, Rn.
79 ff.; EDSA, Guidelines 04/2022 on the calculation of administrative fines under
the GDPR, Version 1.0, Adopted on 12 May 2022, Rn. 123; DSK, Entschließung der
97. Konferenz am 3. April 2019; vgl. auch zum europäischen Kartellrecht: EuGH,
Urt. v. 7. Juni 1983 – 100/80 – SA Musique Diffusion francaise/KOM, BeckRS 2004,
70610 Rn. 97; EuGH, Urt. v. 7. Februar 2013 – C-68/12, EuZW 2013, 438 Rn. 25;
EuGH, Urt. v. 21. Juni 2016 – C-542/14, EuZW 2016, 737 Rn. 23 f.; EuGH, Urt. v.
16. Februar 2017 – C-95/15 P, BeckRS 2017, 101804 Rn. 34). Welche Mitarbeiterin
oder welcher Mitarbeiter gehandelt hat, muss nicht einmal ermittelt werden (vgl.
EuGH, Urt. v. 18. September 2003 – C-338/00 P, BeckRS 2003, 154494 Rn. 98;
Generalanwältin beim EuGH, Schlussantrag v. 18. April 2013 – C-501/11 P, BeckRS
2013, 80815 Rn. 125 ff.; EDSA, Guidelines 04/2022 on the calculation of
administrative fines under the GDPR, Version 1.0, Adopted on 12 May 2022, Rn.
123).
Mit dem Begriff „Unternehmen“ in Erwägungsgrund 150 Satz 3 1. Halbsatz DSGVO
ist auch nicht die datenschutzrechtliche Definition des Art. 4 Nr. 18 DSGVO gemeint.
Es handelt sich um unterschiedliche Unternehmensbegriffe, wie die klare und nicht
zufällige Begriffstrennung in der englischen Fassung („undertaking“ in
Erwägungsgrund 150 Satz 3 DSGVO und Art. 83 DSGVO sowie „enterprise“ in Art. 4
Nr. 18 DSGVO) zeigt. Während sich der in Art. 4 Nr. 18 DSGVO definierte Begriff
„enterprise“ an verschiedenen Stellen der DSGVO wiederfindet, hat sich der
Gesetzgeber bewusst dafür entschieden, im Art. 83 DSGVO und Erwägungsgrund
150 DSGVO einen anderen Begriff („undertaking“ ) zu verwenden. Mit dieser
sprachlichen Differenzierung macht der Gesetzgeber deutlich, dass nicht lediglich
auf der Rechtsfolgenseite, sondern im gesamten Bußgeldverfahren, der
Unternehmensbegriff nach dem europäischen Kartellrecht maßgeblich ist (vgl. LG
Bonn, Urt. v. 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663 Rn. 59). Die
Auslegung des Begriffs richtet sich nach den Auslegungsregeln des Europarechts
und daher nicht nur nach der deutschen Sprachfassung. Insbesondere stellt die
deutsche Sprachfassung nicht die äußere Wortlautgrenze zur Auslegung dar. Der
tatsächliche gesetzgeberische Wille und Inhalt der Norm ist europarechtsautonom
unter Heranziehung auch anderer Sprachfassungen zu ergründen (vgl. ständige
Rspr. des EuGH, Urt. v. 5. Dezember 1967 – 19/67, BeckRS 2004, 72119; EuGH, Urt.
v. 8. Dezember 2005 – C-280/04, IStR 2006, 58 Rn. 31). Die sprachliche
Differenzierung ist im Übrigen auch keine Eigenart der englischen Sprachfassung.
Sie findet sich etwa auch in der bulgarischen Fassung, in der dänischen Fassung, in
der gälischen Fassung, in der kroatischen Fassung und in der slowenischen Fassung
(LG Bonn, Urt. v. 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663 Rn. 59;
Uebele , EuZW 2018, 443 m. w. N.).
c) Erwägungsgrund 150 Satz 3 DSGVO ist zwingend zu berücksichtigen
Erwägungsgrund 150 Satz 3 ist integraler Teil der DSGVO und als solcher vom
Gericht bei der Auslegung des Art. 83 DSGVO zu berücksichtigen.
Gemäß Art. 296 Abs. 2 AEUV sind Rechtsakte mit einer Begründung „zu versehen“,
die sich in den dem operativen Teil der Unionsrechtsakte voranstehenden
Erwägungsgründen wiederfindet, sodass die Begründung ein wesentlicher Teil des
Rechtsakts selbst ist (vgl. EuGH, Urt. v. 23. Februar 1988 – Rs. 131/86 – „Vereinigtes
Königreich/Kommission“, BeckRS 2004, 71529 Rn. 36 f.). Rechtsakt und
Begründung werden insofern als ein „unteilbares Ganzes“ bezeichnet (vgl. EuGH, Urt.
v. 15. Juni 1994 – C-137/92 Rn. 67 – „Kommission/BASF u. a.“; EuG, Urt. v. 7. Juni
2006 – T-613/97 Rn. 69 – „Ufex u. a./Kommission“).
Erwägungsgründe werden dabei insbesondere zur im EU-Recht besonders wichtigen
teleologischen Auslegung herangezogen (vgl. EuGH, Urt. v. 26. Mai 2005, Rs.
478/03 Rn. 38 – „Celtec“).
Es ist vorliegend auch nicht so, dass der Inhalt von Erwägungsgrund 150 Satz 3
DSGVO keinen Anklang in den Artikeln der DSGVO gefunden hat, denn in Art. 83
Abs. 4 bis 6 DSGVO wird ausdrücklich auf Unternehmen Bezug genommen („im Fall
eines Unternehmens“ ).
d) Erwägungsgrund 150 Satz 3 DSGVO betrifft nicht nur Bußgeldzumessung
Der Erwägungsgrund 150 Satz 3 DSGVO hat bereits Relevanz für den
Adressatenkreis von Art. 83 Abs. 4 bis 6 DSGVO und nicht nur für die
Bußgeldbemessung.
Bei der Behauptung des Landgerichts (LG) Berlin, Erwägungsgrund 150 Satz 3
DSGVO greife nur, wenn überhaupt ein Bußgeld gegen ein Unternehmen verhängt
werde, weshalb der funktionale Unternehmensbegriff auf der Ebene des „Ob“ der
Verhängung keine Rolle spiele (vgl. LG Berlin, Beschl. v. 18. Februar 2021 – (526 OWi
LG) 212 Js-OWi 1/20 (1/20), BeckRS 2021, 2985), handelt es sich um einen
Zirkelschluss. Wenn deutsche Aufsichtsbehörden bei Bußgeldbescheiden nach
Art. 83 Abs. 4 bis 6 DSGVO den § 30 OWiG anzuwenden hätten, würde ein Bußgeld
gegen Unternehmen überhaupt nicht möglich sein. § 30 OWiG sieht nur Bußgelder
gegen juristische Personen oder Personenvereinigungen vor und nicht gegen
Unternehmen. Das Unternehmen als Bußgeldadressat ist dem deutschen
Ordnungswidrigkeitenrecht vollkommen fremd.
Des Weiteren kann die Begründung der Höhe eines Bußgeldes nicht vom Adressaten
der Ebene des „Ob“ abgekoppelt werden, sondern die Ebene des „Wie“ hängt damit
unmittelbar zusammen, sodass bei einer Trennung der Ebenen schon keine
rechtssichere Ermittlung der Höhe der Geldbuße durch die
Datenschutzaufsichtsbehörden möglich wäre.
2. Die Datenschutzaufsichtsbehörden der Mitgliedstaaten sanktionieren wie die EUKommission
im EU-Kartellrecht direkt auf Grundlage einer europäischen
Verordnung
Die DSGVO sieht mit Art. 83 eine eigenständige, an das europäische Kartellrecht
angelehnte Bußgeldnorm vor, die durch nationale Behörden vollzogen wird.
Das Sanktionsregime der DSGVO ist dem unionsrechtlichen Wettbewerbsrecht nachempfunden,
insbesondere den Bußgeldern gegen Unternehmen nach Art. 23 der
Verordnung (EG) Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung
der in den Art. 81 und 82 des Vertrags niedergelegten Wettbewerbsregeln
(KartellVO) (vgl. LG Bonn, Urt. v. 11. November 2020 – 29 OWi 1/20, BeckRS 2020,
35663 Rn. 31; Eckhardt , in: Spindler/Schuster, Recht der elektronischen Medien, 4.
Auflage 2019, Art. 83 DSGVO Rn. 6; Albrecht , CR 2016, 88 (96)). Auch der Verweis
in Erwägungsgrund 150 Satz 3 DSGVO auf Art. 101 und 102 AEUV verdeutlicht die
Parallelen zwischen den beiden Rechtsgebieten.
Sowohl im europäischen Datenschutzrecht als auch – soweit ersichtlich – im
gesamten europäischen Sanktionsrecht bewirkt die Einführung des Art. 83 DSGVO
dabei eine Epochenwende. Als Novum verhängen erstmalig Aufsichtsbehörden der
Mitgliedstaaten auf Grundlage einer unmittelbar anwendbaren Bußgeldnorm
Geldbußen anstatt auf Grundlage von nationalen Bußgeldnormen.
Die nationalen Datenschutzaufsichtsbehörden leiten, wie die EU-Kommission im EUKartellrecht,
die Befugnis zur Sanktionierung unmittelbar aus einer europäischen
Verordnung her und nicht aus nationalem Recht. Insofern entsprechen die Befugnisund
Bußgeldnormen des Datenschutzrechts (Art. 58, 83 DSGVO) denen des EUKartellrechts
(Art. 17 ff., 23 KartellVO). Art. 58 DSGVO weist den Aufsichtsbehörden
der Mitgliedstaaten direkt eine Vielzahl von unionsrechtlichen Ermittlungs- und
Abhilfebefugnissen zu, so wie das europäische Kartellrecht der EU-Kommission in
Art. 17 ff. KartellVO ebenfalls direkt Befugnisse einräumt. Es bedarf daher im
Datenschutzrecht grundsätzlich keines Rückgriffs auf nationale Befugnisnormen
(wie ansonsten z. B. bei deutschen Wettbewerbsbehörden nach §§ 57 ff. und 81 des
Gesetzes gegen Wettbewerbsbeschränkungen (GWB)).
3. Kein Konflikt mit dem Schuldprinzip
Die fehlende Anknüpfung an die Handlung einer Leitungsperson einer juristischen
Person verstößt auch nicht gegen das Schuldprinzip.
Auf die Zahlung einer Geldbuße als unionsrechtliche Sanktion, die keinen
strafrechtlichen Charakter hat, findet nach der Rechtsprechung des EuGH das
Schuldprinzip schon keine Anwendung (vgl. EuGH, Urt. v. 11. Juli 2002 – C-210/00 –
Käserei Champignon Hofmeister, BeckRS 2004, 74993 Rn. 43 f.). Selbst eine echte
Unternehmensstrafe würde nach der Interpretation des EuGH und des EGMR weder
gegen die Unschuldsvermutung nach Maßgabe von Art. 6 Abs. 2 der Europäischen
Menschenrechtskonvention (EMRK) oder Art. 48 Abs. 2 GRCh noch gegen das
Schuldprinzip als allgemein anerkanntem Rechtsgrundsatz des Unionsrechts
verstoßen (vgl. Hochmayr , ZIS 2016, 226).
Im Hinblick auf das Schuldprinzip vertrat die Generalanwältin beim EuGH Juliane
Kokott in ihren Schlussanträgen bezüglich direkt an Unternehmen adressierter
Geldbußen nach Art. 23 KartellVO die Ansicht, dass sich ein Unternehmen im
Normalfall alle rechtswidrigen Machenschaften zurechnen lassen müsse – auch
solche, zu denen es ohne Wissen und ohne ausdrückliche Billigung der
Unternehmensleitung kam –, sofern diese Machenschaften sich im
Verantwortungsbereich des Unternehmens ereigneten (Generalanwältin beim EuGH,
Schlussantrag v. 18. April 2013 – C-501/11 P, BeckRS 2013, 80815 Rn. 111 ff., 129
ff.; der Rechtsmittelgrund, auf den die Generalanwältin Bezug nimmt, wurde
anschließend vom EuGH als neues Angriffsmittel als unzulässig angesehen, weshalb
sich der EuGH inhaltlich nicht damit befasste, EuGH, Urt. v. 18. Juli 2013 – C-
501/11 P, BeckRS 2013, 81521 Rn. 77-84). Dies sei in der Regel dann der Fall, wenn
die fraglichen Handlungen durch die eigenen Mitarbeitenden im Zusammenhang mit
ihrer Tätigkeit für das Unternehmen vorgenommen wurden (Generalanwältin beim
EuGH, Schlussantrag vom 18. April 2013 – C-501/11 P, BeckRS 2013, 80815 Rn.
131). Es bedürfe insofern auch keiner Feststellungen, welche konkreten
Mitarbeitenden eines Unternehmens an den Zuwiderhandlungen des Kartells
beteiligt waren, wenn klar ist, dass die Personen, die auf Seiten des Unternehmens
an den wettbewerbswidrigen Machenschaften des Kartells beteiligt waren,
Mitarbeitende des Unternehmens waren (Generalanwältin beim EuGH, Schlussantrag
vom 18. April 2013 – C-501/11 P, BeckRS 2013, 80815 Rn. 125 ff.).
Die Generalanwältin Kokott bringt dabei auch die Problematik des von den Behörden
ggf. nachzuweisenden Leitungsverschulden auf den Punkt. So stellt die
Generalanwältin ausdrücklich fest, dass für den Fall, dass Unternehmen in
Kartellverfahren nur das Verhalten derjenigen Mitarbeitenden zurechenbar wäre,
deren wettbewerbswidrige Machenschaften nachweisbar auf einer konkreten
Anweisung oder Bevollmächtigung der Unternehmensleitung beruhten oder von
dieser zumindest wissentlich geduldet wurden, das unionsrechtliche Kartellverbot
jeglicher praktischer Wirksamkeit beraubt würde, da es dann für Unternehmen ein
Leichtes wäre, sich ihrer Verantwortlichkeit für Kartellvergehen aus rein formalen
Gründen zu entziehen (Generalanwältin beim EuGH, Schlussantrag vom 18. April
2013 – C-501/11 P, BeckRS 2013, 80815 Rn. 130).
4. Umfang der Öffnungsklausel des Art. 83 Abs. 8 DSGVO
Indem nach deutschem Recht über § 41 Abs. 1 BDSG auch auf § 30 Abs. 1 OWiG
verwiesen wird, bewegt sich der deutsche Gesetzgeber außerhalb seiner nationalen
Spielräume. Die Regelung ist diesbezüglich schlichtweg nicht mehr von der
Öffnungsklausel des Art. 83 Abs. 8 DSGVO umfasst.
Zwar soll die Umsetzung des europäischen Grundgedankens auf Basis der
nationalen Verfahrensgarantien erfolgen (Art. 83 Abs. 8 DSGVO). Die DSGVO enthält
aber keine Öffnungsklausel für nationale Verfahrensgarantien, die über den
europarechtlich gebotenen Schutz der Bußgeldadressat:innen nach den Vorgaben
der GRCh hinausgehen und so die effektive und vor allem auch unionsweit
einheitliche Durchsetzung der DSGVO behindern würden und damit nicht mehr
„angemessen“ sind (vgl. Bergt , in: Kühling/Buchner, DSGVO BDSG, 4 Aufl. 2022,
Art. 83 DSGVO Rn. 112).
Der Unionsrechtsgeber ermöglicht den Mitgliedstaaten über Art. 83 Abs. 8 DSGVO
lediglich, Verfahrensvorschriften im nationalen Recht vorzusehen, nicht hingegen
materiell-rechtliche Vorschriften (vgl. Golla , DuD 2021, 180, 181; einschränkend auf
unionsrechtskonforme materiell-rechtliche Vorschriften LG Bonn, Urt. v. 11.
November 2020 – 29 OWi 1/20, BeckRS 2020, 35663 Rn. 35).
§ 30 OWiG stellt jedoch eine solche unzulässige materiell-rechtliche Norm dar (vgl.
LG Bonn, Urt. v. 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663 Rn. 26;
siehe auch zum äquivalenten § 3 des Entwurfs zum Gesetz zur Sanktionierung von
verbandsbezogenen Straftaten – VerSanG: Referentenentwurf des
Bundesministeriums der Justiz und für Verbraucherschutz, Stand: 20. April 2020,
S. 71). § 30 OWiG sieht nämlich keine Regelungen für den Ablauf des
Bußgeldverfahrens (also das „Wie“ der Verhängung, z. B. Anhörung oder
Akteneinsicht) vor, sondern materielle Voraussetzungen im Sinne von zusätzlichen
Tatbestandsmerkmalen (also das „Ob“ der Verhängung, hier: Anknüpfungstat einer
Leitungsperson) für ein Bußgeld gegen juristische Personen. Insofern gehört § 30
OWiG auch zum ersten Teil des OWiG, dem Teil „Allgemeine Vorschriften“ , und nicht
zum zweiten Teil des OWiG, „Bußgeldverfahren“ .
5. Auslegung des § 41 BDSG
Auch eine europarechtskonforme Auslegung des § 41 Abs. 1 Satz 1 BDSG führt zur
Anwendung des Funktionsträgerprinzips.
a) Auslegung nach dem Wortlaut
Der Wortlaut des § 41 Abs. 1 Satz 1 BDSG lässt Raum für die gebotene
unionsrechtskonforme Auslegung.
Die Regelung des § 41 Abs. 1 Satz 1 BDSG verweist nur auf eine „sinngemäße“
Geltung des OWiG. Demnach gilt die DSGVO vorrangig und das OWiG ist nur
anwendbar, soweit die DSGVO Regelungslücken lässt (Brodowski/Nowak , in: BeckOK
DatenschutzR, 42. Edition, Stand: 1. November 2022, § 41 BDSG Rn. 7).
Soweit eine Regelung des deutschen Ordnungswidrigkeitenrechts der DSGVO
entgegensteht, muss sie unanwendbar bleiben (Ehmann , ZD 2017, 201; Bergt , DuD
2017, 555 (559)). Da die DSGVO eine unmittelbare Verbandshaftung vorsieht, fehlt
es an einer Lücke des Unionsrechts, die mit einer vollständigen Anwendung des
§ 30 OWiG zu füllen wäre. Soweit § 30 OWiG dem europäischen
Funktionsträgerprinzip entgegensteht, indem es auf ein Verschulden eines Organs
oder einer Leitungsperson abstellt, ist die Vorschrift mit den Regelungen der DSGVO
unvereinbar und damit nicht anwendbar.
b) Systematische Auslegung
Dass sich die Unanwendbarkeit des § 30 Abs. 1 OWiG bei Bußgeldern wegen
Datenschutzverstößen auch aus § 41 BDSG ergibt, zeigt die systematische
Auslegung der BDSG-Norm. Denn wäre die Regelung des § 30 OWiG anwendbar,
wäre die Regelung des § 41 Abs. 2 Satz 2 BDSG widersprüchlich.
Zu den in § 41 Abs. 2 Satz 2 BDSG von der Anwendung ausgeschlossenen
Vorschriften des OWiG zählen etwa §§ 87, 88 OWiG. Diese Regelungen finden sich
im achten Abschnitt des zweiten Teils des OWiG. Dabei trägt der achte Abschnitt die
Überschrift „Verfahren bei Anordnung von Nebenfolgen oder der Festsetzung einer
Geldbuße gegen eine juristische Person oder Personenvereinigung“ .
Es überzeugt daher nicht, dass die Anwendung des materiell-rechtlichen § 30 OWiG
durch den Gesetzgeber nicht ausgeschlossen sein soll, wohl aber die zur
prozessualen Durchsetzung des § 30 OWiG zentralen Verfahrensvorschriften zur
Sanktionierung von juristischen Personen im OWiG (so auch Brodowski/Nowak , in:
BeckOK DatenschutzR, 42. Edition, Stand: 1. November 2022, § 41 BDSG Rn. 11.3).
c) Anwendungsvorrang des Unionsrechts
In der hier gegenständlichen Konstellation geht es gerade nicht um eine nationale
Norm, die im Lichte einer Richtlinie ausgelegt werden muss. Es geht vielmehr um die
Durchsetzung von Sanktionen, die in einer unmittelbar anwendbaren europäischen
Verordnung geregelt sind und durch die Aufsichtsbehörden verhängt werden.
Während Richtlinien nur hinsichtlich ihrer Regelungsziele beachtet werden müssen,
gelten Verordnungen unmittelbar und sind in allen ihren Teilen verbindlich (vgl.
Art. 288 Abs. 2 AEUV). Insofern ist der Spielraum für eine Abweichung vom Willen
des europäischen Gesetzgebers im Rahmen der Durchsetzung datenschutzrechtlicher
Sanktionen auf Grundlage der DSGVO grundsätzlich deutlich
geringer, als wenn die Sanktionen lediglich in einer Richtlinie vorgesehen wären.
Als europäischer Verordnung kommt der DSGVO Anwendungsvorrang vor
nationalem Recht zu (vgl. EuGH, Urt. v. 15. Juli 1965 – Rs. 6/64 – Costa/ENEL, Slg.
1964, 1251, 1269; EuGH, Urt. v. 9. März 1978 – Rs. 106/77 – Simmentahl II, Slg.
1978, 629 Rn. 17/18). In der Folge verliert kollidierendes mitgliedstaatliches Recht
zwar nicht seine Gültigkeit, wird jedoch unanwendbar. Der Grund für dieses
Verständnis liegt dabei weniger in der Schonung staatlicher Souveränität als in der
fehlenden Befugnis des EuGH, über die Geltung mitgliedstaatlichen Rechts zu
judizieren (Ruffert , in: Calliess/Ruffert, EUV/AEUV, 5. Aufl. 2016 Art. 1 AEUV
Rn. 18 f.).
Der Anwendungsvorrang wirkt gegenüber sämtlichem mitgliedstaatlichen Recht,
auch gegenüber solchem mit Verfassungsrang, um Einheit, Funktionsfähigkeit und
Wirksamkeit des Unionsrechts zu sichern (EuGH, Urt. v. 17. Dezember 1970 – C-
11/70 – Internationale Handelsgesellschaft, Slg. 1970, 1125 Rn. 3 f.; EuGH, Urt. v.
26. Februar 2013 – C-399/11 – Meloni, NJW 2013, 1215 Rn. 59 ff.; EuGH, Urt. v. 22.
November 2005 – C-144/04 – Mangold, NJW 2005, 3695 Rn. 77).
Auch ohne eine ausdrückliche Herausnahme des § 30 OWiG aus der Verweisung in
§ 41 BDSG wäre damit die Anwendung des § 30 OWiG bereits aufgrund der sich aus
dem Anwendungsvorrang ergebenden Kollisionsregel ausgeschlossen. Dies ergibt
sich schon aus dem eindeutigen Willen des europäischen Gesetzgebers, der
grundsätzlich von einem funktionalen Unternehmensbegriff bei der
datenschutzrechtlichen Sanktionierung ausgeht.
d) Effektivitätsgebot („effet utile“)
Der Vergleich mit anderen Mitgliedstaaten zeigt darüber hinaus, dass das
Rechtsträgerprinzip des § 30 OWiG den Vollzug des Art. 83 Abs. 4 bis 6 DSGVO
unzulässiger Weise erheblich erschwert und somit gegen das Effektivitätsgebot
verstößt.
Aus dem Anwendungsvorrang folgt nicht nur die Unanwendbarkeit kollidierenden
nationalen Rechts für Behörden und Gerichte, sondern auch die Verpflichtung, das
nationale Recht unionsrechtskonform auszulegen und fortzubilden. Dabei ist das
Effektivitätsgebot („effet utile“) zu berücksichtigen (ständige Rspr. d. EuGH, Urt. v.
19. November 1991 – Rs C-6/70 u. 9/79, NJW 1992, 165 Rn. 32 m. w. N.).
Demnach darf die Anwendung mitgliedstaatlichen Rechts die Wirksamkeit des
Unionsrecht nicht praktisch unmöglich machen oder übermäßig erschweren.
Derjenigen Auslegung ist der Vorzug einzuräumen, die der Verwirklichung der
Vertragsziele und der Funktionsfähigkeit der Union am dienlichsten ist (vgl. Mayer ,
in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 77. EL September 2022, Art. 19 EUV
Rn. 57).
Wäre die Zurechnung über § 30 OWiG tatsächlich bei jedem Datenschutzverstoß
erforderlich, so könnte nicht gelingen, was der europäische Gesetzgeber zum Ziel
hatte, nämlich die Gesetzverstöße von Unternehmen in der gesamten EU
harmonisiert zu sanktionieren (vgl. bspw. Erwägungsgrund 129 Satz 1 DSGVO). Die
zusätzlichen Anforderungen würden gegenüber dem europäischen Haftungsmodell
zu einer erheblichen Einschränkung der Bußgeldverhängung gegen juristische
Personen führen, wenn trotz Feststehens eines Datenschutzverstoßes die internen
Verantwortlichkeiten von den Datenschutzaufsichtsbehörden aufzuklären wären.
Den Nachweis eines Organisations- oder Überwachungsverschuldens einer
Leitungsperson erbringen zu können, wird schwieriger, je größer das Unternehmen
und seine organisatorischen Verflechtungen sind, insbesondere bei großen
börsennotierten Konzernen. Hierdurch entstehen auf Seiten der deutschen
Verwaltungs- und Ermittlungsbehörden, aber auch auf Seiten der Unternehmen
selbst, enormer Aufwand und enorme Kosten im Rahmen von (zum Teil
öffentlichkeitswirksamen) Durchsuchungen von Geschäftsräumen und
Beschlagnahmen sowie Sichtung von Material, wie interner E-Mail-Kommunikation,
die zum Teil nur deshalb stattfinden muss, um intern eine Leitungsperson der
juristischen Person ermitteln zu können. Schlimmstenfalls entstehen
Sanktionslücken, weil trotz enormem Ermittlungsaufwands eine Leitungsperson, der
ein Vorwurf zu machen ist, nicht ermittelt werden kann, obschon ein Verstoß des
Unternehmens anhand der übrigen Beweise ansonsten zweifelsfrei feststeht. Der
Nachweis ist regelmäßig mit einem erheblichen Aufwand verbunden. Das Erfordernis
des Leitungsverschuldens kann Unternehmen darüber hinaus dazu bewegen,
Verantwortlichkeiten und Entscheidungswege über ein Geflecht an
Tochtergesellschaften und eine Vielzahl an Abteilungen derart unüberschaubar zu
organisieren, dass für die Datenschutzaufsichtsbehörden nur schwer
nachvollziehbar ist, welche Leitungsperson die interne Verantwortung trägt.
Es bestünde insofern die naheliegende Gefahr einer europaweit deutlich
unterschiedlichen Sanktionierungspraxis (vgl. LG Bonn, Urt. v. 11. November 2020 –
29 OWi 1/20, BeckRS 2020, 35663 Rn. 32). Da Zurechnungserfordernisse im
europäischen Ausland weitgehend unbekannt sind (Kubiciel/Gräbener , ZRP 2016,
137 m. w. N.), würde die Anwendbarkeit einer Regelung wie der des § 30 OWiG dem
Harmonisierungswillen des europäischen Gesetzgebers entgegenstehen. Wird ein
Verfahren gegen juristische Personen mit Sitz in Deutschland geführt, würden durch
den § 30 OWiG weitere, über Art. 83 DSGVO hinausgehende, Voraussetzungen
hinzukommen, die durch die Aufsichtsbehörde zu ermitteln und zu prüfen wären,
anders als dies etwa in Frankreich oder der Slowakei der Fall ist. Denn in den
meisten europäischen Mitgliedstaaten ist die Verhängung einer Verbandsstrafe auch
in den nationalen Gesetzen vorgesehen. So gilt etwa in Frankreich die strafrechtliche
Verbandshaftung bereits seit 1994 (Rogall , in: KK-OWiG, 5. Aufl. 2018, § 30 Rn.
266). Auch in anderen europäischen Mitgliedstaaten, so etwa in Belgien, Dänemark,
Italien, Niederlande (Rogall , in: KK-OWiG, 5. Aufl. 2018, § 30 Rn. 263 ff.),
Tschechien (vgl. Bohata, NZWiSt 2012, 161 (162 ff.)), Rumänien, Luxemburg und der
Slowakei (vgl. Clifford Chance , Corporate Criminal Liability in Europe, 2016
https://www.cliffordchance.com/content/dam/cliffordchance/briefings/2016/04/
corporate-criminal-liability.pdf) ist die Verbandshaftung gesetzlich verankert.
Auch die Entscheidung des Conseil d’État vom 19. Juni 2020 (in Bezug auf die von
der französischen Datenschutzbehörde „CNIL“ verhängte Sanktion gegenüber
Google LLC in Höhe von 50 Millionen Euro) zeigt exemplarisch, dass die Verhängung
von Geldbußen gegenüber juristischen Personen offensichtlich keiner namentlichen
Benennung einer natürlichen Person bedarf. Im Rahmen der rechtlichen Beurteilung
kommt das Höchstgericht zum Entschluss, dass Google LLC als Verantwortliche zu
qualifizieren und daher die Geldbuße – ohne Einbeziehung des tatbestandsmäßigen,
rechtswidrigen und vorwerfbaren Verhaltens einer natürlichen Person – zu Recht ihr
gegenüber zu verhängen ist (vgl. die Entscheidung des Conseil d’État vom 19. Juni
2020, N° 430810, abrufbar in Französisch unter https://www.conseil17
etat.fr/ressources/decisions-contentieuses/dernieres-decisionsimportantes/
conseil-d-etat-19-juin-2020-sanction-infligee-a-google-par-la-cnil).
Zur zweiten Vorlagefrage: Allgemeines Verschuldenserfordernis
I. Inhalt der Vorlagefrage
Für den Fall, dass der EuGH die erste Vorlagefrage bejaht, fragt das KG in einer
zweiten Vorlagefrage, ob Art. 83 Abs. 4 bis Abs. 6 DSGVO dahingehend auszulegen
ist, dass das Unternehmen den durch Mitarbeitende vermittelten Verstoß schuldhaft
begangen haben muss (vgl. Art. 23 KartellVO), oder ob für eine Bebußung des
Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver
Pflichtenverstoß ausreicht („strict liability“).
II. Auslegung des Art. 83 DSGVO spricht für verschuldensunabhängige Bebußung
1. Auslegung nach dem Wortlaut
Für eine verschuldensunabhängige Bebußung spricht zunächst, dass an keiner Stelle
in der DSGVO, insbesondere nicht in Art. 83 Abs 1 oder Abs. 4 bis 6 DSGVO, das
Erfordernis von Fahrlässigkeit oder Vorsatz als Voraussetzung einer Geldbuße
kodifiziert ist. Stattdessen wird in Art. 83 Abs. 2 Satz 2 lit. b DSGVO Vorsatz oder
Fahrlässigkeit lediglich als eines der Zumessungskriterien („berücksichtigt“)
aufgeführt (vgl. Bergt , in: Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2022, Art. 83
DSGVO Rn. 35; Nemitz , in: Ehmann/Selmayr, DSGVO, 2. Aufl. 2018, Art. 83 Rn. 17;
Härting , Datenschutz-Grundverordnung, 1. Aufl. 2016, Rn. 253; Bergt , DuD 2017,
555 (558 f.); Boms , ZD 2019, 536 (537)). Auch der Formulierung des Art. 83 Abs. 3
DSGVO lässt sich nicht entnehmen, dass nur solche Verstöße mit Geldbußen
sanktioniert werden können, bei denen ein Verschulden nachgewiesen werden kann.
Vielmehr gilt die in der Norm vorgesehene Privilegierung für vorsätzliche oder
fahrlässige Verstöße bei gleichen oder miteinander verbundenen
Verarbeitungsvorgängen nach dem Grundsatz „a maiore ad minus“ erst recht für
Fälle schuldloser Verstöße (Boms , ZD 2019, 536 (537)).
2. Systematische Auslegung
Es gibt keinen „Allgemeinen Teil“ eines EU-Sanktionsrechts, der vorsieht, dass nur
vorsätzliche oder fahrlässige Handlungen mit Geldbuße bedroht sind (Bergt , in:
Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2022, Art. 83 DSGVO Rn. 35).
Für eine verschuldensunabhängige Bebußung spricht auch das Regelungsgefüge der
Schadensersatznorm des Art. 82 Abs. 1 DSGVO. Danach besteht das Recht auf
Schadensersatz gegen den Verantwortlichen oder Auftragsverarbeiter, solange
dieser gemäß Art. 82 Abs. 3 DSGVO nicht nachweist, dass er in keinerlei Hinsicht für
den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Dass der
europäische Gesetzgeber insofern nicht ein Verschulden, sondern bloß eine strenge
Exkulpationsmöglichkeit vorgesehen hat, bezeugt, dass er die rechtlichen
Konsequenzen von DSGVO-Verstößen für den Verantwortlichen von der Feststellung
von Verschulden lösen wollte.
In anderen Sanktionsvorschriften in EU-Verordnungen wird die fahrlässige oder
vorsätzliche Begehung von Bußgeldtatbeständen ausdrücklich vorausgesetzt, z. B. in
Art. 23 VO (EG) 1/2003. Darauf hat der europäische Gesetzgeber in Art. 83 DSGVO
offensichtlich verzichtet.
Der europäische Gesetzgeber hat daneben aber auch in anderen Verordnungen
verschuldensunabhängige Sanktionen vorgesehen, wie z. B. in Art. 55 Abs. 2 bzw.
Abs. 3 der Verordnung (EG) Nr. 555/2008 (vgl. zu danach verschuldensunabhängig
verhängten Geldbußen VG Ansbach, Urt. v. 29. Januar 2016 – AN 14 K 14.01302, AN
14 K 14,01335, BeckRS 2016, 42304; VG Würzburg, Urt. v. 10. Juli 2014 – W 3 K
14.37, BeckRS 2014, 56016) und Art. 11 Abs. 1 Satz 1 der Verordnung (EWG)
Nr. 3665/87 in der durch die Verordnung (EG) Nr. 2945/94 geänderten Fassung
(vgl. zu danach verschuldensunabhängig vorgenommenen Verminderungen EuGH,
Urt. v. 6. Dezember 2012 – C-562/11, BeckRS 2012, 82568 Rn. 26 m. w. N.). Indem
sich der europäische Gesetzgeber in Art. 83 DSGVO für eine vergleichbare
Regelungssystematik wie in den o. g. Verordnungen entschieden hat, macht er
deutlich, dass Geldbußen nach der DSGVO verschuldensunabhängig verhängt
werden können.
3. Historische Auslegung
Nach den DSGVO-Entwürfen der Europäischen Kommission und dem Rat der
Europäischen Union waren Fahrlässigkeit oder Vorsatz Voraussetzung einer Sanktion
(vgl. Art. 79 Abs. 4, 5 und 6 DSGVO-E (KOM) und Art. 79a Abs. 1, 2 und 3 DSGVO-E
(Rat)). Das Europäische Parlament wollte hingegen gemäß Art. 79 Abs. 2a DSGVO-E
(EP) Sanktionen für „jeden, der seinen in dieser Verordnung festgelegten Pflichten
nicht nachkommt“.
Insofern bestätigt Art. 79 Abs. 2b DSGVO-E (EP), der regeln sollte, dass Geldbußen
nur bei Vorsatz oder Fahrlässigkeit verhängt werden, sofern der Verantwortliche
oder Auftragsverarbeiter im Besitz des europäischen Datenschutzsiegels ist, dass
vom Europäischen Parlament die Möglichkeit der Datenschutzaufsichtsbehörden
beabsichtigt war, Geldbußen aufgrund von DSGVO-Verstößen grundsätzlich
verschuldensunabhängig zu verhängen (vgl. Bergt , in: Kühling/Buchner, DSGVO
BDSG, 3. Aufl. 2022, Art. 83 DSGVO Rn. 10; Bergt , DuD 2017, 555, 558; Härting , CR
2013, 715, 721).
Da die Vorschläge von Kommission und Rat im weiteren Gesetzgebungsverfahren
nicht übernommen, sondern gestrichen worden sind, spricht das Ergebnis dafür,
dass der europäische Gesetzgeber gerade kein Verschuldenserfordernis vorsehen
wollte, mithin nicht von einem Redaktionsversehen auszugehen ist (vgl. Bergt , in:
Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2022, Art. 83 DSGVO Rn. 35; Boehm , in:
Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Aufl. 2019, Art. 83
DSGVO Rn. 26; Cornelius , in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz,
3. Aufl. 2019, Teil XIV Rn. 127; Bergt , DuD 2017, 555, 558; Boms , ZD 2019, 536,
537).
4. Teleologische Auslegung
Die Geldbußen nach Art. 83 DSGVO sind entscheidend für die effektive
Durchsetzung des neuen, unionsweit harmonisierten Datenschutzrechts (vgl.
Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 1. Aufl. 2017, Teil 8 Rn. 34; vgl.
auch Erwägungsgrund 148 Satz 1 DSGVO). Insbesondere gegenüber wirtschaftlich
starken und international agierenden Akteuren sollen sie abschreckend wirken und
deren Rechtstreue erzwingen (vgl. Albrecht/Jotzo, Das neue Datenschutzrecht der
EU, 1. Aufl. 2017, Teil 8 Rn. 34). Hierfür müssen Geldbußen nach Art. 83 Abs. 1
DSGVO wirksam, verhältnismäßig und abschreckend sein.
Mit dieser Zielrichtung erscheint der Verzicht auf eine Verschuldensvoraussetzung in
Art. 83 DSGVO dem Sinn und Zweck der Vorschrift, den
Datenschutzaufsichtsbehörden unionsweit eine möglichst einfache und konsequente
Bebußung von Verstößen gegen die DSGVO zu ermöglichen, gerecht zu werden. Die
verschuldensunabhängige Bebußungsmöglichkeit schafft insofern auch für
Verantwortliche und Auftragsverarbeiter zusätzliche Anreize, besonders effektive
Datenschutzmanagementsysteme aufzubauen und einzusetzen, um die Vorgaben
der DSGVO, die bußgeldbewehrt sind, einzuhalten.
III. Verhältnismäßigkeit entsprechend der EuGH-Rechtsprechung gewahrt
Eine verschuldensunabhängige Bebußung nach Art. 83 DSGVO ist auch mit dem
Unionsrecht vereinbar, da sie verhältnismäßig ausgestaltet ist.
Bei der Beurteilung, ob eine Sanktion mit dem Grundsatz der Verhältnismäßigkeit im
Einklang steht, sind u. a. Art und Schwere des Verstoßes, der mit dieser Sanktion
geahndet werden soll, sowie die Modalitäten für die Bestimmung ihrer Höhe zu
berücksichtigen (vgl. EuGH, Urt. v. 13. November 2014 – C-443/13, LMuR 2015, 8
Rn. 40; EuGH, Urt. v. 17. Juli 2014 – C-272/13, BeckRS 2014, 81202 Rn. 35). Nach
der Rechtsprechung des EuGH ist dabei sogar eine bloß objektiv basierte
Strafbarkeit zulässig, soweit der Verhältnismäßigkeitsgrundsatz gewahrt bleibt; ein
System der objektiven Verantwortlichkeit steht als solches nicht außer Verhältnis zu
den angestrebten Zielen, wenn es geeignet ist, die von ihm erfassten Personen zur
Beachtung der Bestimmungen einer Verordnung anzuhalten, und wenn die
verfolgten Ziele ein Allgemeininteresse aufweisen, das die Schaffung eines solchen
Systems rechtfertigen kann (EuGH, Urt. v. 13. November 2014 – C-443/13, LMuR
2015, 8 Rn. 42; EuGH, Urt. v. 9. Februar 2012 – C-210/10, BeckRS 2012, 80284 Rn.
48; EuGH, Urt. v. 10. Juli 1990 – 326/88, BeckRS 2004, 70816 Rn. 19; EuGH, Urt. v.
2. Oktober 1991 – C-7/90, BeckRS 2004, 77713 Rn. 16 f.; EuGH, Urt. v. 27. Februar
1997 – C-177/95, BeckRS 2004, 74706 Rn. 36; EuGH, Urt. v. 20. März 2018 – C-
524/15, MwStR 2018, 551 Rn. 45 ff.).
Nach diesen Maßstäben ist auch die objektiv basierte Bebußung nach Art. 83 Abs. 4
bis 6 DSGVO zulässig, auch wenn es sich dabei nicht um Strafvorschriften handelt.
Die Zielsetzung der DSGVO stellt ein Allgemeininteresse dar, das die Schaffung
eines Systems der objektiven Verantwortlichkeit rechtfertigt. Ziel der DSGVO ist es,
unionsweit ein hohes Datenschutzniveau zu gewährleisten, um insbesondere für das
Recht auf den Schutz personenbezogener Daten nach Art. 8 GRCh und das Recht auf
Achtung des Privat- und Familienlebens nach Art. 7 GRCh natürlicher Personen bei
der Verarbeitung personenbezogener Daten sowie den freien Verkehr solcher Daten
ein gleichwertiges und hohes Datenschutzniveau zu gewährleisten (vgl. Art. 1
DSGVO und Erwägungsgrund 10 Satz 1 DSGVO). Bußgelder aufgrund objektiver
Verstöße gegen die DSGVO dürften Verantwortliche und Auftragsverarbeiter auch
veranlassen, bei der Umsetzung der Verpflichtungen aus der DSGVO besondere
Sorgfalt walten zu lassen, weil sie sich mit dem Hinweis auf mangelndes
Verschulden der Verantwortlichkeit im Rahmen der Bebußung nach Art. 83 Abs. 4
bis 6 DSGVO nicht entziehen können (vgl. Boms , ZD 2019, 536, 537). Der
Bußgeldrahmen in Art. 83 Abs. 4 bis 6 DSGVO kann dabei unter Berücksichtigung
der Vorgaben der Wirksamkeit, Verhältnismäßigkeit und Abschreckung nach Art. 83
Abs. 1 DSGVO und der Bußgeldzumessungskriterien nach Art. 83 Abs. 2 Satz 2 lit. a
bis k DSGVO von den Datenschutzaufsichtsbehörden passend für den jeweiligen
Einzelfall ausgefüllt werden. Insofern ist die verschuldensunabhängige Bebußung
auch angemessen, denn sie ist darüber hinaus kein Automatismus. Die
Datenschutzaufsichtsbehörden können vielmehr auch bei einem objektiven Verstoß
von einer Geldbuße absehen und stattdessen eine Verwarnung nach Art. 58 Abs. 2
lit. b DSGVO erteilen, insbesondere bei geringfügigen Verstößen oder wenn
voraussichtlich zu verhängende Geldbußen eine unverhältnismäßige Belastung für
eine natürliche Person bewirken würden (vgl. Erwägungsgrund 148 Satz 2 DSGVO).
Kontakt:
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Holstenstraße 98
24103 Kiel
E-Mail: mail@datenschutzzentrum.de
Weitere Informationen zur Datenschutzkonferenz:
www.datenschutzkonferenz-online.de