Streit um Bußgelderlasse gegen juristische Personen

Die Datenschutzgrundverordnung des europäischen Gesetzgebers beschäftigt Wirtschaft, Jurisprudenz und Rechtswissenschaft in erhöhtem Maße allerspätestens seit ihrem Inkrafttreten Mitte des Jahres 2018. Das kommt nicht von ungefähr. Denn schließlich sollte die Verordnung nicht weniger als ein neuer "Meilenstein" für das Schutzniveau des informationellen Selbstbestimmungsrechts betroffener Personen in der Europäischen Union darstellen. Zur Verwirklichung eines möglichst hohen Schutzniveaus gehört unweigerlich die Schaffung einer gesetzlichen Grundlage für eine effektive Bußgeldpraxis der nationalen Behörden, die für die Verhängung von Bußgeldern zuständig sind. Art. 83 der DSGVO sieht deshalb in dessen Absätzen 4 - 6 empfindliche Bußgeldhöhen vor, gerade auch eine Orientierung an den Umsatzzahlen, denn schwere Verstöße sollen auch mindestens gleichermaßen "wehtun".

Wer - gewissermaßen an "Ort und Stelle" - eine Antwort auf die Frage sucht, wen die Bußgeldandrohung in Art. 83 DSGVO trifft, wird zunächst Art. 83 Absatz 3 DSGVO in den Blick nehmen. Dort taucht - neben dem Auftragsverarbeiter für dessen Pflichten - der "Verantwortliche" expressis verbis auf, ebenso wie in Absatz 4 Buchstabe a. Im Übrigen ergibt sich - etwa für die Verstöße in Absatz 5 - dessen Adressierung unter Berücksichtigung der dort aufgeführten Bestimmungen der DSGVO selbst, denn es ist häufig jener "Verantwortliche", der zur Einhaltung der aufgeführten Bestimmungen gesetzlich verpflichtet ist. Wer "datenschutzrechtlich verantwortlich" ist, das bestimmt der europäische Gesetzgeber in Art. 4 Nr. 7 DSGVO. Dies ist "die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet". Festzuhalten ist somit, dass juristische Personen - eben weil diese eine datenschutzrechtliche Verantwortlichkeit treffen kann - nach der Konzeption des europäischen Gesetzgebers Adressaten der Sanktionstatbestände in Art. 83 DSGVO sind.

Entsprechende Verstöße setzen jedoch denknotwendig pflichtwidriges Handeln oder Unterlassen voraus. Auch ein bloßer „Zustand“ der Pflichtverletzung geht letztlich stets auf ein solches zurück. Jedenfalls das deutsche Ordnungswidrigkeitenrecht setzt für die Bebußung einer juristischen Person unter anderem voraus, dass eine der in § 30 Absatz 1 OWiG genannten Personen mit einer herausgehobenen Stellung (Organmitglieder und Repräsentanten) die Ordnungswidrigkeit begangen haben muss, welche dann dem entsprechenden Rechtsträger zugerechnet wird. Ein Betriebsinhaber selbst kann unter den weiteren Voraussetzungen des § 130 Absatz 1 OWiG etwa auch bei einer schuldhaften Aufsichtspflichtverletzung haften, was in der Folge über § 30 OWiG auch der juristischen Person zugerechnet werden kann.

Um eine grundlegende Problematik an dieser Stelle, nämlich der Frage des "Ob" und "Wie" einer ahndbaren Handlung bei juristischen Personen im Kontext des Art. 83 DSGVO, dreht sich die im Februar des Jahres 2021 ergangene Entscheidung des Berliner Landgerichts. Durch Beschluss hat die 26. große Strafkammer (Beschluss vom 18.02.2021 – (526 OWi LG) 212 Js-OWi 1/20 (1/20) = BeckRS 2021, 2985) über eine für die Bußgeldpraxis im Datenschutzrecht höchst bedeutsame und aktuell weiter in der Diskussion befindlichen Frage entschieden:

• Setzt auch ein auf Grund von Art. 83 DSGVO wegen Verstoßes gegen datenschutzrechtliche Bestimmungen ergangener Bußgeldbescheid gegen eine Gesellschaft voraus, dass eine der in § 30 Absatz 1 OWiG genannten Personen dieser Gesellschaft selbst einen ahndbaren Verstoß gegen die DSGVO-Bestimmungen begangen haben muss?

Das Berliner Kammergericht hat mit Beschluss vom 6.12.2021 (3 Ws 250/21) dem EuGH Fragen zu Vorabentscheidung vorgelegt, die aktuell anhängig sind und für die datenschutzrechtliche Bußgeldpraxis von enormer Bedeutung sind. Ich nehme dies zum Anlass, die Entscheidung des LG Berlin nochmals zusammenzufassen:

Betroffen von einem Bußgeldbescheid aus dem Jahr 2020 wegen Verstoßes gegen datenschutzrechtliche Bestimmungen war die Deutsche Wohnen SE. Diese hatte personenbezogene Daten ihrer Mieterinnen und Mieter in einem elektronischen Archivsystem gespeichert. Die Berliner Beauftragte für den Datenschutz hatte die Zulässigkeit der Verarbeitung insbesondere mit der Begründung beanstandet, die Erforderlichkeit einer solchen Speicherung lasse sich ebenso wenig überprüfen wie die im Datenschutzrecht obligatorische Löschung nicht mehr zweckgemäß benötigter Daten. Nach einem längeren Verfahrensprozedere hatte die Behörde am 30. Oktober 2020 schließlich einen Bußgeldbescheid vom 30. Oktober 2020 gegen die Betroffene wegen „vorsätzlicher“ Verstöße gegen Artikel 25 Absatz 1, Artikel 5 Absatz 1 lit. a), c) und e) sowie gegen Artikel 6 Absatz 1 DS-GVO ein Bußgeld in Höhe von rund 14, 5 Millionen Euro verhängt. Hiergegen legte die betroffene Einspruch ein.

Das Landgericht Berlin hat das Verfahren wegen eines Verfolgungshindernisses eingestellt (§§ 206a StPO i.V.m. §§ 46, 71 OWiG). Nach Auffassung der entscheidenden Kammer fehlt es nämlich an einem nicht hinreichend konkretisierten ordnungswidrigen Verhalten, das gerade durch Organmitglieder oder Repräsentanten der Betroffenen persönlich und schuldhaft begangen worden sein müsse. Denn nur unter diesen Voraussetzungen, die § 30 OWiG aufstelle, sei ein ordnungswidriges Verhalten einer juristischen Person überhaupt zurechenbar. Die juristische Person selbst könne über diese Zurechnung hinaus nicht ordnungswidrig handeln und insoweit auch nicht in rechtmäßiger Weise Adressat eines Bußgeldbescheids sein. Dies gelte auch für die Ahndung auf Grundlage von Art. 83 DSGVO und die hiervon umfassten Verstöße gegen die Bestimmungen der Datenschutzgrundverordnung. Der in § 41 Absatz 1 S. 1 BDSG enthaltene Verweis auf die "sinngemäße" Anwendung der Vorschriften des OWiG, darunter auch gerade die §§ 130, 30 OWiG, sei umfassend, was in der Sache auch aus § 41 Absatz 1 S. 2 BDSG folge. Dort habe der Gesetzgeber explizit diejenigen Vorschriften ausgenommen, die bei Anwendung der DSGVO-Vorschriften konzeptionell nicht passten. Die Kammer setzt sich hier auch en detail mit der Formulierung "sinngemäß" auseinander: Der Gesetzgeber greife damit lediglich den Umstand auf, dass der zugrundeliegende Wortlaut der OWiG-Vorschriften unpassend sei. Dass der Gesetzgeber damit jedoch inhaltliche Einschränkungen vornehmen wolle, sei nicht erkennbar. Auch nimmt die Kammer zur Begründung ihrer Auffassung u.a. Bezug auf die konkrete Gesetzgebungsgeschichte - die verschiedenen Entwurfsfassungen der Referentenentwürfe - und führt darüber hinaus das verfassungsrechtlich verankerte Schuldprinzip ins Feld, das die Anknüpfung an ein schuldhaftes menschliches Handeln erforderlich mache.

Die ausführlich begründete Entscheidung des LG Berlin steht in direktem Widerspruch zum ebenfalls sehr ausführlich begründeten Urteil der 9. Strafkammer des LG Bonn (Urteil vom 11.11.2020 – 29 OWi 1/20 = BeckRS 2020, 35663). Das LG Bonn nahm nämlich an, Art. 83 DSGVO liege das vorrangig anzuwendende Konzept der "unmittelbaren Verbandshaftung" zugrunde. Dieses ist im europäischen Kartellrecht verankert und setzt einen zurechenbaren Verstoß einer Leitungsperson für die Bebußung einer juristischen Person gerade nicht voraus. Der Entscheidung des LG Bonn wird zwar entgegengehalten, dass der dort womöglich vertretene Gedanke einer reinen "Verletzungserfolgshaftung" (vergleiche LG Bonn, a.a.O, Rn. 22), welche ein Handeln irgendeiner natürlichen Person vollständig obsolet mache, auch dem europäischen Haftungskonzept fremd sei (dazu Venn/Witybul, NStZ 2021, 204 (207)). Unstreitig erscheint allerdings, dass das europäische Verbandshaftungskonzept im Kartellrecht jedenfalls Verstöße jedes Bediensteten im Organisations- und Verantwortungsbereich ausreichen lässt.  Die "subjektive Zurechnung" von Verstößen zulasten der juristischen Person wird in der Sache auf eine wertungsoffene Organisationsverantwortung gestützt, wobei die bloße Feststellung eines objektiven Verstoßes – ohne dass es auf das Verhalten einer konkreten Person ankommt - gegen eine sanktionsgeschützte Bestimmung regelmäßig zunächst zur Vermutung der Verantwortlichkeit im sanktionsrechtlichen Sinne führt (vgl. Mansdörfer, Timmerbeil, EuZW 2011, 214). Die Gesellschaft muss sich faktisch entlasten. Ob jenes besondere Konzept der europäischen Verbandshaftung auch Art. 83 Absatz 4 - 6 DSGVO zugrunde liegt und damit - jedenfalls im Grundsatz - die Feststellung eines objektiven Verstoßes einer datenschutzrechtlich verantwortlichen juristischen Person praktisch zunächst ausreicht, ist auch in der Literatur stark umstritten (vgl. Venn/Witybul, NStZ 2021, 204; vgl. den Beschluss des KG Berlin vom 6.12.2021, 3 Ws 250/21). In der Tat verweist S. 3 des Erwägungsgrundes Nr. 150 der DSGVO auf den kartellrechtlichen Unternehmensbegriff der Art. 101, 102 AEUV, womit auch das dortige Haftungskonzept in Bezug genommen sein kann. Art. 83 DSGVO lässt eindeutige Ausführungen aber jedenfalls vermissen.

Legt man die Auffassung des LG Berlin zugrunde, so bedeutete dies für die Sanktionspraxis der Aufsichtsbehörde eine erhebliche Erschwernis. Insofern müssten zukünftig stets Ermittlungen dazu stattfinden, ob entsprechende Leitungspersonen durch ihr konkretes Handeln oder Unterlassen schuldhaft gegen Datenschutzbestimmungen verstoßen haben. Solche eindeutigen Feststellungen wären, anders als wohl unter Zugrundelegung des Verbands­haftungskonzepts, nicht entbehrlich. Die Staatsanwaltschaft Berlin hatte gegen die Entscheidung Beschwerde eingelegt (siehe die Pressemitteilung der Berliner Beauftragten für Datenschutz vom 02.03.2021).

Im Rahmen des Beschwerdeverfahrens hat das Kammergericht dem EuGH folgende Fragen zur Auslegung der Bestimmung des Art. 83 DSGVO vorgelegt:

1. Ist Art. 83 Abs. 4 bis Abs. 6 DS-GVO dahin auszulegen, dass er den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zu Grunde liegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf?

2. Wenn die Frage zu 1. bejaht werden sollte: Ist Art. 83 Abs. 4 bis Abs. 6 DS-GVO dahin auszulegen, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss (vgl. Art. 23 VO (EG) Nr. 1/2003 des Rates v. 16.12.2002 zur Durchführung der in den Art. 81 und 82 des Vertrags niedergelegten Wettbewerbsregeln), oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus („strict liability“)?

Kay Uwe Erdmann