Aufsatz : Kritische Würdigung des Konzepts der Datenschutzaufsichtsbehörden zur Bußgeldzumessung : aus der RDV 2/2020, Seite 57 bis 65
Die große öffentliche Aufmerksamkeit für die Datenschutzgrundverordnung (DS-GVO), deren Anwendbarkeit sich am 25. Mai 2020 zum zweiten Mal jährt, gründet auch und gerade auf dem im Vergleich zur vormaligen Rechtslage deutlich erhöhten Bußgeldrahmen. Während die neuen datenschutzrechtlichen Sanktionsmöglichkeiten durch Aufsichtsbehörden in anderen EU-Mitgliedstaaten bereits zu Bebußungen in zweistelliger Millionenhöhe geführt haben,[1] war es in Deutschland bis vor wenigen Monaten vergleichsweise ruhig geblieben. Dies dürfte – neben anderen Umständen, wie etwa begrenzte (finanzielle, personelle und sächliche) Ressourcen, Priorisierung anderer Aufgaben in Umsetzung der veränderten rechtlichen Rahmenbedingungen – nicht zuletzt auch auf die von der DS-GVO nur abstrakt adressierte Frage zurückzuführen sein, nach welchen Maßgaben die Aufsichtsbehörden innerhalb des gesetzlichen Rahmens („wirksam, verhältnismäßig und abschreckend“, vgl. Art. 83 Abs. 1 DS-GVO) die Höhe der Geldbuße konkret zu bestimmen haben.
Zum Zwecke der Herstellung von – erhöhter – Transparenz in dieser Frage hat die deutsche Datenschutzkonferenz (im Folgenden: DSK), sprich der Zusammenschluss der Datenschutzbehörden des Bundes und der Länder, im Oktober 2019 ein Konzept veröffentlicht, das die Bußgeldzumessung bis auf Weiteres (nämlich bis zur Vorlage von abschließenden Leitlinien zur Methodik der Bußgeldzumessung durch den Europäischen Datenschutzausschuss – EDSA) einheitlich regeln soll.[2] Es steht zu erwarten, dass die hierin enthaltenen Leitlinien künftig zu einer Festsetzung deutlich höherer Bußgelder gegenüber Unternehmen führen werden.[3]
In diesem Beitrag soll das Konzept der DSK zur Bußgeldzumessung dargestellt und kritisch gewürdigt werden. Dazu wird der Blick insbesondere zu richten sein auf die Weichenstellung der Inbezugnahme des Unternehmensumsatzes als Berechnungskriterium, auf den zugrunde zu legenden Unternehmensbegriff und auf generelle unions- sowie verfassungsrechtliche Erwägungen. Zudem wird die neue nationale Bußgeldpraxis anhand zweier aktueller Fälle, namentlich der Bußgelder gegen die Deutsche Wohnen SE und gegen die 1&1 Telecom GmbH, auf den Prüfstand gestellt.
I. Das DSK-Konzept zur Bußgeldzumessung
Das Sanktionspotenzial des Datenschutzrechts und damit auch dessen Praxisbedeutung hat unter dem neuen Rechtsregime der DS-GVO deutlich zugenommen: In Art. 83 Abs. 4 und 5 DS-GVO ist nunmehr ein Bußgeldrahmen von bis zu € 10 Mio. respektive € 20 Mio. bzw. von 2% respektive 4% des weltweiten Jahresumsatzes eines Unternehmens niedergelegt. Die Berechnung des Umsatzes orientiert sich dabei am Vorbild des Kartellrechts, worauf noch zurückzukommen sein wird; berücksichtigt werden nach der Gesetzeskonzeption die Umsätze der gesamten Unternehmensgruppe. Möglich wird vor diesem Hintergrund die Verhängung von Bußgeldern bis hin zu Milliardenhöhen für Datenschutzverstöße.
Dem Unionsgesetzgeber war bewusst, dass die einheitliche Anwendung der in der DS-GVO vorgesehenen Sanktionen im Sinne der Rechtssicherheit und des gleichförmigen Normvollzugs entscheidend sein würde. Aus diesem Grund ermächtigt Art. 70 Abs. 1 S. 1 Buchst. k) DS-GVO den EDSA zur Ausarbeitung von Leitlinien für die Aufsichtsbehörden in Bezug auf die Anwendung von Sanktionsmaßnahmen und die Festsetzung von Geldbußen. In der Folge hat sich der EDSA den in einem Arbeitspapier (Working Paper) als Leitlinie niedergelegten Ausführungen der Art.-29-Datenschutzgruppe angeschlossen,[4] in denen Kriterien unter anderem der Bußgeldzumessung ausgearbeitet und konkretisiert werden. Das betreffende Arbeitspapier stellt jedoch auch klar, dass es sich hierbei gerade nicht um einen abschließenden Leitlinienkatalog handeln soll.[5] Vor diesem Hintergrund liegen Bedarf und Raum für eine weitergehende Vereinheitlichung auf der Hand. Zum Zwecke einer solchen Vereinheitlichung will das neue Konzept der DSK die Bußgeldzumessung in Verfahren gegenüber Unternehmen in Deutschland regeln.
1. Vorgaben der DS-GVO
Das Konzept der DSK fußt auf den in der DS-GVO niedergelegten Kriterien zur Bußgeldzumessung. Zentrale Norm ist insoweit Art. 83 DS-GVO, nach dessen Abs. 1 das durch die zuständige Aufsichtsbehörde verhängte Bußgeld „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein soll. Was unter Wirksamkeit, Verhältnismäßigkeit und Abschreckung genau zu verstehen ist, wird allerdings vom Normtext nicht weiter präzisiert. Diesbezüglich verweist auch die Art.-29-Datenschutzgruppe lediglich auf eine durch die Praxis und die Gerichte vorzunehmende Begriffsbestimmung[6]. Im Schrifttum wird in diesem Sinne unter einer „wirksamen“ und „abschreckenden“ Sanktion vornehmlich die Eignung der Maßnahme verstanden, generalund spezialpräventive Wirkung zu entfalten.[7]
Darüber hinaus führt Art. 83 Abs. 2 DS-GVO eine Reihe von Indikatoren auf, die durch die Aufsichtsbehörde bei der konkreten Bemessung der Bußgeldhöhe zu berücksichtigen sind, darunter etwa die Art, Schwere und Dauer des Verstoßes, die Zahl der betroffenen Personen (Art. 83 Abs. 2 S. 2 Buchst. a) DS-GVO) sowie der Verschuldensgrad[8] des Verantwortlichen (Art. 83 Abs. 2 S. 2 Buchst. b) DS-GVO). Zudem sind im Sinne einer Auffangklausel „jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall“ zu berücksichtigen (Art. 83 Abs. 2 S. 2 Buchst. k) DS-GVO). In Art. 83 Abs. 4 bis Abs. 6 DS-GVO wird schließlich festgelegt, dass Bußgelder insgesamt bis zu € 10 Mio. bzw. € 20 Mio. oder, soweit dieser Betrag höher ist, 2 % bzw. 4 % des (Vor-)Jahresumsatzes des Unternehmens betragen dürfen.
2. Mehrstufiges Berechnungsmodell
Unter Zugrundelegung dieser gesetzlich festgelegten Kriterien soll das Konzept der DSK eine einheitliche, für die No rmadressaten vorhersehbare Berechnungsweise der Bußgelder in Deutschland etablieren.[9] Das Konzept versteht sich dabei als Übergangsregelung bis zur Verabschiedung von EU-weit geltenden Kriterien durch den EDSA.[10] Der Anwendungsbereich des DSK-Konzepts ist zum einen inhaltlich beschränkt auf Verarbeitungstätigkeiten von Unternehmen im Inland. Nicht umfasst sind hiernach grenzüberschreitende Verarbeitungsvorgänge sowie die Bußgeldzumessung gegenüber natürlichen Personen oder Vereinen.[11] Zum anderen ist der Geltungsbereich des Konzepts beschränkt auf interne Bindungswirkungen gegenüber inländischen Aufsichtsbehörden. Das Konzept bindet also nur die Ermessensausübung der deutschen Behörden, nicht hingegen Aufsichtsbehörden in anderen Mitgliedstaaten oder die Gerichte.[12]
Konzeptionell sieht das Berechnungsmodell der DSK zur Bußgeldzumessung ein mehrstufiges Vorgehen vor:[13]
- In einem ersten Schritt wird das betroffene Unternehmen auf Grundlage seines Vorjahresumsatzes einer von vier Größenklassen zugeordnet. Innerhalb dieser Größenklassen wird sodann differenziert zwischen insgesamt 20 Untergruppen, wodurch eine genau(er)e Erfassung des Vorjahresumsatzes ermöglicht werden soll. Auf diese Weise wird das Unternehmen einer Kategorie zwischen Kleinstunternehmen mit geringem Umsatz (Jahresumsatz bis € 700.000) und sehr umsatzstarken Großunternehmen (Jahresumsatz über € 500 Mio.) zugeordnet. Unter Zugrundelegung des sog. funktionalen Unternehmensbegriffs im Sinne des unionalen Kartellrechts (so insbesondere Art. 101 und 102 AEUV) soll hierbei der Vorjahresumsatz der gesamten Unternehmensgruppe maßgeblich sein.
- In einem zweiten Schritt wird jeder der definierten Untergruppen ein mittlerer Jahresumsatz zugeordnet. Dabei sind die in dem Konzept niedergelegten, abstrakten Festlegungen maßgeblich, nicht dagegen der tatsächliche Jahresumsatz des Unternehmens. So wird etwa bei einem Kleinunternehmen, dessen Jahresumsatz zwischen € 2 Mio. und € 5 Mio. liegt, ein mittlerer Umsatz in Höhe von € 3,5 Mio. zugrunde zu legen sein
- dies gilt unabhängig davon, ob der tatsächliche Jahresumsatz über oder unter diesem Wert liegt. Lediglich in der Gruppe der Großunternehmen mit einem Umsatz von über € 500 Mio. wird auf die abstrakte Festlegung verzichtet und der tatsächliche Jahresumsatz ermittelt.
- Der auf diese Weise ermittelte Wert wird anschließend durch den Faktor 360 geteilt, um einen durchschnittlichen Tagessatz („wirtschaftlicher Grundwert“) zu errechnen. Der kleinstmögliche Tagessatz eines Kleinstunternehmens liegt nach dieser Rechenart bei € 972, ein Großunternehmen mit einem Umsatz zwischen € 400 Mio. und € 500 Mio. wird hingegen mit einem Tagessatz in Höhe von € 1,25 Mio. bemessen. Bei Großunternehmen mit einem Umsatz von über € 500 Mio. richtet sich der Tagessatz nach dem in Schritt zwei konkret ermittelten Umsatz.
- In einem vierten Schritt wird anhand des Schweregrads der Tat ein Faktor zwischen eins und zwölf bestimmt, mit dem der in Schritt drei ermittelte Tagessatz sodann multipliziert wird. Der Multiplikationsfaktor richtet sich dabei zum einen nach dem oben erläuterten Kriterienkatalog des Art. 83 Abs. 2 DS-GVO. Zum anderen wird berücksichtigt, ob es sich um einen formellen DS-GVOVerstoß im Sinne von Art. 83 Abs. 4 DS-GVO oder um einen materiellen Verstoß im Sinne von Art. 83 Abs. 5, 6 DS-GVO handelt. Während leichte, formelle Verstöße zu einem niedrigen Multiplikationsfaktor führen, können schwere, materielle Verstöße einen Faktor von bis zu zwölf begründen. Zu beachten ist allerdings, dass auch bei Anwendung hoher Multiplikationsfaktoren die in Art. 83 Abs. 4 bis 6 DS-GVO genannten Höchstgrenzen der Bußgeldzumessung (von bis zu € 10 Mio. respektive € 20 Mio. bzw. von 2% respektive 4% des weltweiten Jahresumsatzes eines Unternehmens) nicht überschritten werden dürfen.
- Schließlich wird den Aufsichtsbehörden die Möglichkeit eingeräumt, den so berechneten Bußgeldbetrag anhand sonstiger, das Unternehmen betreffender Umstände anzupassen. Dies soll die Berücksichtigung täterbezogener Kriterien im Einzelfall ermöglichen, soweit diesen Kriterien nicht bereits zuvor in Schritt vier Rechnung getragen wurde.
3. Kritische Würdigung
In Ansehung der erheblichen wirtschaftlichen Bedeutung der Bußgeldzumessung für betroffene Unternehmen ist das Ziel der DSK, einen einheitlichen Rahmen für die Sanktionierung zu schaffen, uneingeschränkt begrüßenswert. Gleichwohl existieren rechtliche Bedenken gegenüber dem DSK-Berechnungsmodell, die im Folgenden aufgegriffen und analysiert werden sollen.
a) Umsatz als maßgebliches Berechnungskriterium
Dem Bußgeldkonzept der DSK liegt entscheidend die Annahme zugrunde, der Umsatz eines Unternehmens stelle „eine geeignete, sachgerechte und faire Anknüpfung“ für die Bußgeldzumessung dar.[14] Bereits diese Grundannahme bedarf – jedenfalls in ihrer Absolutheit – der rechtlichen Vergewisserung.[15] So sieht Art. 83 Abs. 2 DS-GVO einen Kriterienkatalog zur Bußgeldzumessung vor,[16] in dem das für das DSK-Konzept zentrale Kriterium des Unternehmensumsatzes allerdings gerade nicht genannt wird. Zwar eröffnet der Auffangtatbestand des Art. 83 Abs. 2 S. 2 Buchst. k) DS-GVO grundsätzlich die Möglichkeit, jegliche sonstigen Milderungs- oder Erschwerungsgründe zu berücksichtigen.[17] Insoweit steht der Gesetzeswortlaut einer grundsätzlichen Berücksichtigung des Unternehmensumsatzes also nicht im Wege. Es ist aber kritisch zu hinterfragen, ob und inwieweit der nach dem Wortlaut vor allem bei der Festlegung von Obergrenzen (vgl. Art. 83 Abs. 4 bis 6 DS-GVO) zu berücksichtigende Umstand „Umsatz“ zum entscheidenden Faktor der Bußgeldzumessung gemacht werden sollte.[18] Nach dem Konzept der DSK ist der Unternehmensumsatz gerade maßgebender Ausgangspunkt der Berechnung, der die konkrete Bußgeldhöhe in erheblicher Weise determiniert.
Als Folge dieser zentralen Rolle des Unternehmensumsatzes treten konsequenterweise die tatsächlich gesetzlich normierten Kriterien, konkret also jene aus Art. 83 Abs. 2 S. 2 Buchst. a) bis j) DS-GVO, bedenklich in den Hintergrund: Diese Kriterien werden lediglich auf den Stufen vier und fünf des DSK-Konzepts in die Berechnung einbezogen und können insoweit nur begrenzte Wirkung entfalten. Besonders stark wirkt sich in diesem Kontext aus, dass bei der Wahl eines Multiplikationsfaktors (unter Berücksichtigung des Kriterienkatalogs des Art. 83 Abs. 2 S. 2 DS-GVO) als geringster Faktor „1“ gewählt werden kann. Der gesetzlich festgelegte Kriterienkatalog kann demnach im Ergebnis nur strafschärfend, nicht jedoch auch strafmildernd wirken.[19] Während also die Anknüpfung an den Unternehmensumsatz sich wirtschaftlich durchaus als sinnvoll darstellen mag, dürfte die Degradierung gesetzlich vorgesehener Berechnungskriterien zu bloßen „Korrekturfaktoren“ den Intentionen des Unionsgesetzgebers kaum hinreichend Rechnung tragen. Damit ist jedenfalls eine unionsrechtskonforme Auslegung der aufsichtsbehördlichen Leitlinie zur Bußgeldzumessung anzuempfehlen.[20]
b) Konzernumsatz als Anknüpfungspunkt
Anlass zu Kritik[21] gibt ferner der Ansatz der DSK, wonach bei der Bestimmung des Vorjahresumsatzes des betroffenen Unternehmens im Sinne eines „funktionalen Unternehmensbegriffs“ der Umsatz des gesamten Konzerns heranzuziehen sei.[22] Die insoweit aufgeworfene Frage, ob das „Unternehmen“ im Sinne von Art. 83 DS-GVO als rechtliche Einheit oder – unter Einbeziehung der gesamten Konzernstruktur – als wirtschaftliche Einheit zu verstehen ist, hat erhebliche praktische Auswirkungen: Gerade bei Tochterunternehmen umsatzstarker Konzernmütter stellt die Entscheidung in dieser Frage maßgeblich die Weiche für die Größenordnung der festzusetzenden Geldbuße.
aa) Ausgangspunkt: Wortlaut der DS-GVO
Ausgangspunkt der Überlegungen in dieser Frage ist die Legaldefinition des Begriffs „Unternehmen“ in Art. 4 Nr. 18 DS-GVO, wonach ein Unternehmen jede natürliche oder juristische Person ist, die eine wirtschaftliche Tätigkeit ausübt. Diese Definition spricht zunächst, insbesondere in Abgrenzung zu der Definition der „Unternehmensgruppe“ nach Maßgabe von Art. 4 Nr. 19 DS-GVO, für eine Berücksichtigung (nur) der rechtlichen Unternehmenseinheit.[23] In Erwägungsgrund 150 Satz 3 zur DS-GVO heißt es hingegen ausdrücklich, im Kontext von Geldbußen sei der Unternehmensbegriffs „im Sinne der Art. 101 und Art. 102 AEUV“ zugrunde zu legen. Dieser kartellrechtliche Unternehmensbegriff stellt ab auf eine Berücksichtigung der gesamten wirtschaftlichen Einheit, der das betroffene Unternehmen zugehörig ist, insbesondere also auch unter Einbeziehung der verschiedenen (Unter-)Einheiten eines Konzerns, sofern die Möglichkeit einer bestimmenden Einflussnahme durch die Konzernmutter besteht.[24] Somit besteht ein offener sprachlicher Widerspruch zwischen dem Normtext des Art. 4 Nr. 18 DS-GVO und dem Wortlaut des Erwägungsgrunds 150 Satz 3 DS-GVO.
Aus methodischer Perspektive kommt den Erwägungsgründen lediglich erläuternde Wirkung ohne normativen Gehalt zu,[25] sodass grundsätzlich von einem Vorrang der in Art. 4 Nr. 18 DS-GVO enthaltenen Definition auszugehen wäre. Zwar dienen die Erwägungsgründe als feste Bestandteile der Rechtsquelle DS-GVO als Kriterien der Auslegung, auf welche die Gerichte regelmäßig in Urteilsbegründungen zurückgreifen; gleichwohl entfalten die Erwägungsgründe aber gerade keine normgleiche Bindungswirkung.[26] Bei der Auslegung der DS-GVO können überdies jedenfalls korrigierend auch die anderen Sprachfassungen der DS-GVO herangezogen werden.[27] In diesem Sinne ist festzustellen, dass in der englischsprachigen Fassung von Art. 83 DS-GVO von „undertaking“ die Rede ist – einem Begriff, der zum einen vom EuGH zur Umschreibung des kartellrechtlichen Unternehmensbegriffs verwendet wird[28] und der sich zum anderen von dem in Art. 4 Nr. 18 DS-GVO gewählten Begriff „enterprise“ unterscheidet. Dieses Auseinanderfallen der Begriffsbedeutungen in der englischen wie auch in einigen anderen Sprachfassungen[29] lässt sich mit guten Gründen dahingehend interpretieren, dass das „Unternehmen“ in Art. 83 DS-GVO als eigenständiger, von Art. 4 Nr. 18 DS-GVO unabhängiger Begriff zu verstehen ist, der unter Rekurs auf den Willen des Unionsgesetzgebers im Sinne eines funktionalen Unternehmensbegriffs auszulegen ist.[30]
bb) Parallelen zum Kartellrecht
Über den Wortlaut der DS-GVO hinaus ist der Blick zu richten auf die grundsätzliche, mit teleologischen Erwägungen aufgeladene Frage, ob die Bezugnahme auf den kartellrechtlichen, funktionalen Unternehmensbegriff im Kontext der datenschutzrechtlichen Bußgeldzumessung rechtsdogmatisch angemessen ist. Hiergegen wird vorgebracht, der kartellrechtliche Unternehmensbegriff sei als „Kehrseite“ des sogenannten Konzernprivilegs zu verstehen, wonach das Verbot wettbewerbsbeschränkender Vereinbarungen nicht innerhalb eines Konzernverbundes gilt.[31] Dem europäischen Datenschutzrecht sei demgegenüber ein solches Konzernprivileg fremd; so müssen insbesondere auch Datenverarbeitungsvorgänge zwischen Untereinheiten eines Konzerns den Anforderungen der DS-GVO entsprechen.[32] Eine schematische Übertragung der nachteiligen Konzernhaftung ohne gleichzeitige Übertragung des Konzernprivilegs stellt sich vor diesem Hintergrund als fragwürdig dar.[33]
Zudem wird zutreffend darauf verwiesen, dass die Konzernhaftung im Kartellrecht gerade deshalb Relevanz entfaltet, weil bei der Bußgeldbestimmung der Wert der „verkauften Waren oder Dienstleistungen, die mit dem Wettbewerbsverstoß in […] Zusammenhang stehen“, als Ausgangspunkt dient.[34] Die Sanktionierung ist hier also (auch) auf die Abschöpfung solcher Vermögensvorteile gerichtet, die gerade durch den Verstoß erwirtschaftet wurden. Da sich solche Vermögensvorteile, so etwa insbesondere bei Produktionsketten, häufig bei mehreren unterschiedlichen Einheiten eines Konzerns manifestieren (können), sei eine funktionale Betrachtungsweise insoweit folgerichtig. Im Datenschutzrecht hingegen sei ein Anknüpfen an die erlangten Vermögensvorteile durch den Datenschutzverstoß weder vom Gesetzgeber intendiert noch überhaupt realisierbar; denn Datenschutzverstöße ließen sich vielfach nicht ohne weiteres in Gewinnzahlen übersetzen.[35] Auf Sanktionsebene erscheint nach alledem eine pauschale Übertragung des kartellrechtlichen Unternehmensbegriffs auf das Datenschutzrecht (vor allem auch) aus teleologischer Warte als zweifelhaft.
cc) Bewertung
Trotz der bestehenden Zweifel an einer Übertragbarkeit kartellrechtlicher Prinzipien auf das Datenschutzrecht lässt sich in Ansehung des Normtextes der DS-GVO gleichwohl vertreten, dass eine Anwendung des funktionalen Unternehmensbegriffs im Rahmen der Bußgeldzumessung rechtlich zulässig ist. Diese Einschätzung kann nicht zuletzt auch gestützt werden durch Berufung auf Steuerungspotenziale von Muttergesellschaften, das Effizienzziel (effet utile)[36] und das Bestreben zur Verhinderung von taktisch gezielt eingesetzten Insolvenzen.[37] Für die Praxis muss in Ansehung des DSK-Berechnungsmodells, das sich auf den „funktionalen Unternehmensbegriff“ und Erwägungsgrund 150 der DS-GVO beruft,[38] einstweilen davon ausgegangen werden, dass der Konzernumsatz als maßgebliches Berechnungskriterium herangezogen wird.[39]
Eine kritische Hinterfragung dieses Ansatzes in den künftig geltenden Leitlinien des EDSA ist nach dem Vorherigen allerdings wünschenswert. Denn eine so weitreichende Auslegung, wie die Zugrundelegung des Konzernumsatzes als Anknüpfungspunkt bedarf einer belastbareren Stütze als die bloße Existenz eines (unverbindlichen) Erwägungsgrundes, um den Wortlaut von Art. 83 DS-GVO zu überspielen.[40] Letztlich wird es auf den EuGH ankommen bei der Frage, ob die Heranziehung des kartellrechtlichen Unternehmensbegriffs sich im Datenschutzrecht wird durchsetzen können. Zutreffend ist insoweit darauf verwiesen worden, dass der Gerichtshof bei der historischen Auslegung und in Ansehung des Bestimmtheitsgebots zurückhaltend judiziert.[41] Rechtspraktisch ist zu bedenken, dass bei der Bußgeldzumessung unter Anknüpfung an den Konzernumsatz ein solches Bußgeld die finanzielle Leistungsfähigkeit der den Datenschutzverstoß begehenden Gesellschaft leicht übersteigen kann.
c) Verfassungs- und unionsrechtliche Erwägungen
Schließlich wird gegen das Konzept der DSK vorgebracht, es verstoße gegen grundlegende unions- und verfassungsrechtliche Prinzipien. So wird teilweise in der Anknüpfung an den Unternehmensumsatz als maßgebliches Berechnungskriterium ein Verstoß gegen die rechtsstaatlichen Gebote der Bestimmtheit und der Gleichbehandlung erkannt: Kleinere Unternehmen würden gegenüber umsatzstärkeren diskriminiert, da bei umsatzstärkeren häufig die Höchstgrenze aus Art. 83 Abs. 4 bis 6 DS-GVO überschritten und die Geldbuße daher bei dem Höchstbetrag gekappt würde, wohingegen umsatzschwächere Unternehmen den vollen Umfang des errechneten Bußgelds tragen müssten.[42] Es darf allerdings bezweifelt werden, dass die Festsetzung einer höheren/niedrigeren Geldbuße – sei sie auch durch die Vorschrift des Art. 83 Abs. 4 bis 6 DS-GVO begrenzt – als rechtfertigungsbedürftige Privilegierung gegenüber der Festsetzung einer niedrigeren/höheren Geldbuße verstanden werden kann.
Wirkungsmächtiger erscheint vor diesem Hintergrund die Auseinandersetzung mit der Anknüpfung an den Verhältnismäßigkeitsgrundsatz aus Art. 20 Abs. 3 GG, der sich für den Fall der Bußgeldzumessung neben seiner primärrechtlichen Verankerung[43] überdies direkt aus dem Wortlaut des Art. 83 Abs. 1 DS-GVO ergibt. Hiernach muss die Härte der Sanktion zu der Schwere der Tat in einem angemessenen Verhältnis stehen.[44] Durch die Fokussierung auf den Unternehmensumsatz besteht die Gefahr, dass insoweit kaum mehr Raum für eine einzelfallbezogene, schuldorientierte Bußgeldzumessung verbleibt.[45] Denn es drohen die Bemessungskriterien aus Art. 83 Abs. 2 S. 2 DS-GVO, die gerade der Anknüpfung an den Einzelfall dienen sollen, zu bloßen Korrektiven auf vierter und fünfter Stufe der DSK-Berechnung zu verkümmern. Diese vorstehend bereits adressierte Problematik schlägt sich somit auch auf Ebene der Verhältnismäßigkeit nieder, indem und insoweit die „Schwere der Tat“ als Abwägungsfaktor nicht hinreichend berücksichtigt wird. In diesem Sinne ist es geboten, der täter- und tatbezogenen „Anpassung“ der Geldbuße im fünften Schritt eine weitergehende Bedeutung beizumessen. So sollte es den Aufsichtsbehörden im Rahmen des fünften Schrittes des DSK-Konzepts eröffnet werden, auch starke Abweichungen von dem zuvor errechneten Betrag vorzunehmen.[46] Auf diese Weise ließe sich im Ergebnis eine Wahrung des Verhältnismäßigkeitsgrundsatzes bei der Festsetzung von Bußgeldern sicherstellen, was naturgemäß allerdings wieder einer schematischen Einheitlichkeit der Bußgeldzumessung entgegenstehen würde.
d) Zwischenergebnis
Eine Selbstbindung des Ermessens der Aufsichtsbehörden bei der Festsetzung von Geldbußen ist im Sinne einer Einheitlichkeit der Rechtspraxis über Ländergrenzen hinweg sowie im Sinne der Rechtssicherheit für den Normadressaten begrüßenswert. Die Anknüpfung an den funktionalen Unternehmensbegriff und damit an den Konzernumsatz bei der Ermittlung des Vorjahresumsatzes ist zwar dogmatisch kritikwürdig, aber unter Heranziehung verschiedener Sprachfassungen der DS-GVO nach dem Wortlaut sowie dem Telos einer effektiven Sanktionierung letztlich tragfähig. Die weitgehende Anknüpfung an den Unternehmensumsatz als (ganz überwiegend) maßgebliches Berechnungskriterium hingegen ist zwar rechtspolitisch nachvollziehbar, stößt aber infolge ihrer mangelnden Tatbezogenheit auf gravierende Bedenken. Diesen Bedenken sollte in der Praxis mit einer stärkeren Berücksichtigung der tat- und täterbezogener Kriterien des Art. 83 Abs. 2 S. 2 DS-GVO bei der Bußgeldzumessung begegnet werden.
II. Die Praxis der Bußgeldzumessung in Deutschland
Vor Geltung der DS-GVO waren in Deutschland nach dem BDSG a.F. lediglich Bußgelder in Höhe von bis zu € 300.000 vorgesehen.[47] Die substanzielle Erhöhung des Bußgeldrahmens durch die DS-GVO ließ insoweit eine veränderte, deutlich strengere Bußgeldpraxis der Aufsichtsbehörden erwarten. Dass eine solche Veränderung – anders als in anderen Mitgliedstaaten[48] – in Deutschland zunächst ausblieb, dürfte rückblickend nicht zuletzt auch auf die laufenden Abstimmungsprozesse der inländischen Aufsichtsbehörden zurückzuführen gewesen sein, die im Oktober 2019 in der Ausarbeitung des Konzepts der DSK mündeten. Seit Veröffentlichung des Konzepts sind dann auch bereits mehrere, im Vergleich zur früheren Praxis deutlich höhere Bußgelder verhängt worden. Vor diesem Hintergrund erfolgt im Folgenden eine Auseinandersetzung mit den besonders öffentlichkeitswirksamen, da millionenschweren Bußgeldern gegen die Deutsche Wohnen SE und gegen die 1&1 Telecom GmbH.
1. Deutsche Wohnen SE
Am 30.10.2019 erließ die Berliner Datenschutzaufsichtsbehörde gegen die Wohnungsgesellschaft Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund € 14,5 Mio.[49] Dieser Bescheid erregte als bislang höchstes datenschutzrechtliches Bußgeld in Deutschland hohes mediales Interesse.[50] Die Deutsche Wohnen SE hat erklärt, sich gegen den Bußgeldbescheid wehren zu wollen.[51]
a) Aufsichtsbehördliche Beurteilung
Die zuständige Aufsichtsbehörde hatte datenschutzrechtlich beanstandet, dass das Unternehmen für personenbezogene Daten von Mieterinnen und Mietern ein Archivsystem verwendet habe, das keine Möglichkeit zur Löschung nicht mehr benötigter Daten vorsehe.[52] Auf diese Weise seien Daten zu persönlichen und finanziellen Verhältnissen der Betroffenen auch Jahre, nachdem der Zweck der Speicherung entfallen war, abrufbar gewesen.[53] Die Behörde ordnete dies als Verstoß gegen die Pflicht aus Art. 25 Abs. 1 DS-GVO ein, geeignete technische und organisatorische Maßnahmen zur Einhaltung der DS-GVO-Vorschriften zu treffen.[54] Zugleich wurde ein Verstoß gegen die Grundsätze der Datenverarbeitung aus Art. 5 DS-GVO gerügt, wodurch offenbar Verstöße gegen die Grundsätze der Datenminimierung (Art. 5 Abs. 1 Buchst. c) DS-GVO) und der Speicherbegrenzung (Art. 5 Abs. 1 Buchst. e) DS-GVO) in Bezug genommen wurden. Letztere scheinen jedoch aus Sicht der Behörde gegenüber der Pflicht aus Art. 25 DS-GVO in den Hintergrund zu treten, nahm die Berliner Beauftragte für Datenschutz und Informationsfreiheit doch bei der Bußgeldzumessung implizit einen auf formelle Verstöße im Sinne der in Art. 83 Abs. 4 DS-GVO ausgerichteten Bußgeldrahmen an, wohingegen eine Nichtbeachtung der in Art. 83 Abs. 5 DS-GVO genannten Vorschriften einen materiellen Verstoß darstellen würde. Näheren Aufschluss über die diesbezüglichen Überlegungen der Behörde bringt – hoffentlich – das weitere Verfahren.
b) Anwendung des DSK-Bußgeldberechnungskonzepts
Im Rahmen der öffentlich verfügbaren Erläuterungen der Berliner Datenschutzaufsichtsbehörde zur Bestimmung der Bußgeldhöhe wird (erstaunlicherweise) kein ausdrücklicher Bezug auf das Konzept der DSK genommen. Denkbar ist, dass hierfür schlicht der geringe zeitliche Abstand von 16 Tagen zwischen Veröffentlichung des Konzepts und dem Erlass des Bußgeldbescheids ursächlich war. Es dürfte jedenfalls davon auszugehen sein, dass Erwägungen des DSK-Berechnungsmodells eine wesentliche Grundlage der Bußgeldberechnung waren. Daher soll nunmehr als Anwendungsbeispiel des oben Erläuterten die Bußgeldberechnung mittels der von der DSK vorgegebenen Methode nachvollzogen werden: Zu betrachten ist im Ausgangspunkt der Vorjahresumsatz der Deutsche Wohnen SE, wobei der gesamte Konzernumsatz zu berücksichtigen ist. Am Beispiel der Deutsche Wohnen SE zeigt sich dabei besonders anschaulich die Reichweite der Weichenstellung für den funktionalen Unternehmensbegriff; denn die Deutsche Wohnen SE agiert als Holding, deren Geschäftsbereiche in zahlreichen Tochtergesellschaften organisiert sind.[55]
Mit einem Konzernumsatz von € 1,4 Mrd. im Jahr 2018[56] ist die Gesellschaft in die Gruppe der Großunternehmen mit einem Umsatz von mehr als € 500 Mio. einzuordnen. Die abstrakte Berechnung eines mittleren Jahresumsatzes entfällt daher zugunsten der Betrachtung des tatsächlichen Umsatzes. Aus diesem tatsächlichen Umsatz kann sodann durch Division mit 360 ein Tagessatz in Höhe von ca. € 3,9 Mio. ermittelt werden. In einem vierten Schritt ist nach dem geeigneten Multiplikationsfaktor zu suchen: Auf Grundlage der Ausführungen der Behörde ist (vornehmlich) von einem formellen Verstoß auszugehen. Das beanstandete Archivsystem betraf teils sehr persönliche (Finanz-)Daten, wurde von dem Unternehmen bewusst eingerichtet und über mehrere Jahre betrieben, sodass grundsätzlich ein mittelschwerer (Faktor zwei bis vier) bis schwerer Verstoß (Faktor vier bis sechs) anzunehmen ist. Wählt man für die Zwecke dieses Beitrags hier exemplarisch als Mittelweg den Faktor vier, ergibt sich ein Bußgeld von € 15,6 Mio. als Mittelweg. Da dieser Betrag unter der nach Art. 83 Abs. 4 DS-GVO ermittelten Höchstgrenze von € 28 Mio. liegt, ist hierbei keine Begrenzung vorzunehmen. Schließlich können in einem letzten Schritt sonstige tat- und täterbezogene Kriterien berücksichtigt werden. So wurde von der Aufsichtsbehörde vorgebracht, das Unternehmen habe gut kooperiert, bereits erste Schritte zur Bereinigung des Verstoßes eingeleitet und es habe keine missbräuchlichen Zugriffe auf die Daten gegeben.[57] Auf diese Weise ließe sich der Betrag korrigieren auf € 14,5 Mio., was dem konkret verhängten Betrag entspricht.
c) Bewertung
Während sich die tatsächlichen Erwägungen der Aufsichtsbehörde wohl frühestens im weiteren Verfahren zeigen werden, ist gleichwohl bereits hier festzuhalten, dass die Anwendung der Berechnungsmethode der DSK jedenfalls bei der sich derzeit abzeichnenden restriktiven Handhabung der Anpassungsmöglichkeiten auf fünfter Stufe fast zwangsläufig zu einem Bußgeld in der Größenordnung des tatsächlich verhängten führen muss.
2. 1&1 Telecom GmbH
Im Dezember 2019 erließ der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit das zweite Bußgeld in Millionenhöhe gegen die 1&1 Telecom GmbH. Das Unternehmen 1&1 Telecom GmbH soll € 9,55 Mio. zahlen, da es keine technischen und organisatorischen Maßnahmen nach Art. 32 DS-GVO implementiert habe, die der Authentifizierung von Kunden am Telefon dienten.[58]
a) Aufsichtsbehördliche Beurteilung
Im konkret gerügten Fall habe der ehemalige Lebenspartner einer Betroffenen (allein) durch die Angabe ihres Namens und Geburtsdatums weitreichende Informationen zu ihren personenbezogenen Daten erhalten können.[59] Die 1&1 Telecom GmbH hat ebenfalls angekündigt, gegen das verhängte Bußgeld vorgehen zu wollen.[60] Das Unternehmen stützt sich dabei explizit auf die Unverhältnismäßigkeit der zugrundliegenden Berechnungsmethode der DSK.[61] Das verhängte Bußgeld soll nunmehr anhand der DSK-Berechnungsmethode nachvollzogen werden.
b) Anwendung des DSK-Bußgeldberechnungskonzepts
Die 1&1 Telecom GmbH ist eine hundertprozentige Tochtergesellschaft der 1&1 Telecommunication SE, die ihrerseits eine hundertprozentige Tochter der 1&1 Drillisch AG ist. Letztere wird mehrheitlich von der Konzernmutter United Internet AG gehalten.[62] Zu betrachten ist also der Konzernumsatz der United Internet AG, der im Jahr 2018 bei € 5,1 Mrd. lag.[63] Somit liegt auch 1&1 Telecom in der Gruppe der umsatzstärksten Großunternehmen, deren tatsächlicher Umsatz für die Berechnung maßgeblich ist. Teilt man diesen Betrag durch 360, so ergibt sich hieraus ein Tagessatz von € 14,2 Mio.
c) Bewertung
An der Höhe des Tagessatzes von € 14,2 Mio. wird die vorstehend ausgeführte Gefahr der Bußgeldberechnung mittels des Unternehmensumsatzes deutlich. So wird nicht zuletzt im Vergleich zum Fall der Deutsche Wohnen SE, deren schwerwiegender Verstoß letztlich mit einem ähnlichen Betrag beziffert wurde, die mangelnde Tatangemessenheit der Bußgeldberechnung deutlich. Zwar hat sich die Aufsichtsbehörde offenbar bemüht, dieses Ergebnis auf letzter Stufe durch eine Korrektur abzufangen, wird doch strafmildernd angeführt, die 1&1 Telecom GmbH habe sich „äußerst kooperativ“ gezeigt und ein neues, datenschutzkonformes Authentifizierungsverfahren eingeführt. Gleichwohl zeigt sich auch hier die Unzulänglichkeit einer Korrektur erst auf letzter Stufe, da diese die Größenordnung der Geldbuße nicht mehr maßgeblich zu determinieren vermag. Aus generalpräventiven Gesichtspunkten bleibt für Unternehmen womöglich sogar die Frage offen, ob sich eine Kooperation mit der Aufsichtsbehörde überhaupt „lohnt“, wenn eine solche Kooperation lediglich in sehr begrenztem Umfang strafmildernd berücksichtigt werden kann.
III. Zusammenfassung und Ausblick
Der Blick auf die beiden datenschutzaufsichtsrechtlichen Bußgeldbescheide gegen die Deutsche Wohnen SE und die 1&1 Telecom GmbH bestätigt die Einschätzung, wonach das neue Berechnungsmodell der DSK deutlich höhere Bußgelder erwarten lasse.[64] Somit werden Datenschutz(recht) und Datensicherheit – nicht nur – für Unternehmen auch und gerade in Ansehung der Sanktionen immer wichtiger.[65] Obgleich die Aufsichtsbehörden bislang ihre Rechenweise in den beiden Sachverhalten (noch) nicht öffentlich gemacht haben, kann unter Rekurs auf die im DSK-Konzept dargelegten Berechnungsschritte dennoch eine belastbare Annäherung an das Zustandekommen der jeweiligen Bußgeldhöhe erfolgen.
Bei diesem Vorgehen treten zudem die Schwächen der Berechnungsmethode deutlich zutage. Dies gilt insbesondere betreffend das Bußgeld gegen die 1&1 Telecom GmbH, welche trotz zügiger Kooperation mit den Behörden infolge ihres hohen Konzernumsatzes ein sehr hohes Bußgeld erhalten hat. Eine stärkere Orientierung an angemessenen, risikobasierten Kriterien wäre bei der Fortentwicklung der Bußgeld-Leitlinien, konkret im Sinne einer Harmonisierung der Vorgaben durch den EDSA, wünschenswert. Auf Sanktionsebene ist überdies ganz grundsätzlich die pauschale Übertragung des kartellrechtlichen Unternehmensbegriffs auf das Datenschutzrecht sowohl nach dem Wortlaut als auch nach der Systematik sowie der Zielsetzung der DS-GVO kritisch zu hinterfragen.
Die Berechnung von Bußgeldern im Rahmen der DSGVO ist im Lichte des Spannungsfelds zwischen effektiver Sanktionierung auch gerade umsatzstarker Unternehmen einerseits und tatangemessener, verhältnismäßiger Bußgeldhöhe andererseits zu betrachten. Dabei lassen die gesetzlichen Vorgaben des maßgeblichen Art. 83 DS-GVO einigen Raum, den die DSK mittels ihres neuen Konzepts zur Bußgeldberechnung auszufüllen sucht. Grundsätzlich orientiert sich das DSK-Berechnungsmodell – rechtspolitisch zwar verständlich, in Ansehung des Verhältnismäßigkeitsgrundsatzes aber in der Rechtspraxis zweifelhaft – bei der Ausfüllung des eröffneten Anwendungsspielraums hauptsächlich an dem Umsatz des betroffenen Unternehmens. Insgesamt stellt sich die Frage, ob nicht im Sinne eines Systemwechsels stärker auf einen risikobasierten Ansatz abgestellt werden sollte, der vor allem auch die konkrete Gefährdung anstelle der Unternehmensumsätze in Bezug nimmt.
Die aktuellen Bußgeldverfahren zeigen, dass durch das neue Konzept in Zukunft jedenfalls mit deutlich höheren Geldbußen gerechnet werden muss. Abzuwarten bleibt, wie die Gerichte über die Verhältnis- und Rechtmäßigkeit der aufgrund des DSK-Konzepts verhängten Bußgelder urteilen werden. Denn im Grundsatz gilt, dass ein näherungsweise gleich schwerer Verstoß wegen des ungleichen Umsatzes des datenschutzrechtlich verantwortlichen Unternehmens ungleich bebußt wird. Eine Bindungswirkung des als Leitlinie einzustufenden Bußgeldzumessungskonzepts für die Gerichte besteht im Übrigen jedenfalls anerkanntermaßen nicht. Das letzte Wort wird in Ansehung des von der DS-GVO vorgegebenen Rechtsrahmens vom EuGH zu sprechen sein.
Prof. Dr. Boris Paal Direktor des Instituts für Medien- und Informationsrecht, Abt. I (Privatrecht), Albert-Ludwigs-Universität Freiburg. Forschung und Lehre, Beratung und Expertentätigkeiten im gesamten Zivil- und Wirtschaftsrecht mit Schwerpunkten auf Daten(schutz)-, Wettbewerbs-, Medien- und Informationsrecht.
[1] So verhängte die französische Aufsichtsbehörde CNIL bereits im Januar 2019 ein Bußgeld in Höhe von € 50 Mio. gegen Google LLC, vgl. die PM der Behörde vom 21.01.2019, abrufbar unter https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-eurosagainst-google-llc (zuletzt abgerufen am 15.02.2020). Zudem kündigte das englische ICO im Juli 2019 an, ein Bußgeld in Höhe von umgerechnet rund € 216 Mio. gegen die Fluggesellschaft British Airways zu verhängen, vgl. die PM vom 08.07.2019, abrufbar unter https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intention-to-fine-british-airways/ (zuletzt abgerufen am 15.02.2020). Das ICO hat im Januar 2020 allerdings bekannt gegeben, das Sanktionsverfahren zunächst bis März 2020 zu verlängern. Eine Liste der bisher durch EU-Datenschutzaufsichtsbehörden verhängten Sanktionen findet sich unter https://www.enforcementtracker.com/ (zuletzt abgerufen am 15.02.2020).
[2] DSK, Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen, 14.10.2019, abrufbar unter https://www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf (zuletzt abgerufen am 15.02.2020).
[3] Handel, K&R 2019, 757, 760.
[4] Art.-29-Datenschutzgruppe, WP 253, Leitlinien für die Anwendung und Festsetzung von Geldbußen im Sinne der Verordnung (EU) 2016/679, angenommen am 3. Oktober 2017, S. 4.
[5] Art.-29-Datenschutzgruppe, WP 253, Leitlinien für die Anwendung und Festsetzung von Geldbußen im Sinne der Verordnung (EU) 2016/679, angenommen am 3. Oktober 2017, S. 4.
[6] Art.-29-Datenschutzgruppe, WP 253, Leitlinien für die Anwendung und Festsetzung von Geldbußen im Sinne der Verordnung (EU) 2016/679, angenommen am 3. Oktober 2017, S. 6
[7] Kühling/Buchner-Bergt, DS-GVO BDSG, 2. Aufl. 2018, Art. 83 DS-GVO Rn. 50; Paal/Pauly/Frenzel, DS-GVO, 2. Aufl. 2018, Art. 83 Rn. 6, 7; BeckOK/Holländer, Datenschutzrecht (30. Edition, Stand 01.11.2019), Art. 83 DS-GVO Rn. 22.
[8] BeckOK/Holländer, Datenschutzrecht (30. Edition, Stand 01.11.2019) Art. 83 DS-GVO Rn. 26 weist insoweit zutreffend darauf hin, dass das Verschulden bereits Voraussetzung der Verhängung einer Geldbuße ist. Der Grad des Verschuldens kann jedoch darüber hinaus eine höhere Bußgeldzumessung indizieren.
[9] DSK, Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen, 14.10.2019, S. 1 f.
[10] Timner/Radlanski/Eisenfeld, CR 2019, 782, 782.
[11] DSK, Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen, 14.10.2019, S. 1.
[12] DSK, Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen, 14.10.2019, S. 1.
[13] Vgl. zum Berechnungsmodell auch DSK, Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen, 14.10.2019, S. 3 ff. Weiterhin auch Handel, K&R 2019, 757, 758 f.; Timner/Radlanski/Eisenfeld, CR 2019, 782, 782 f.
[14] DSK, Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen, 14.10.2019, S. 2.
[15] So auch Timner/Radlanski/Eisenfeld, CR 2019, 782, 783.
[16] Vgl. oben II. 2.
[17] Sydow/Popp, Europäische DS-GVO, 2. Aufl. 2018, Art. 83 DS-GVO Rn. 11.
[18] So auch Timner/Radlanski/Eisenfeld, CR 2019, 782, 783.
[19] Handel, K&R 2019, 757, 760.
[20] So sollte, um die Intentionen des Gesetzgebers stärker zu berücksichtigen, zumindest auf fünfter Stufe der Begriff der „Anpassung“ der Bußgeldhöhe im Geiste des Unionsrechts dahingehend verstanden werden, dass auch starke Abweichungen von dem zuvor errechneten Betrag möglich sind. In diesem Sinne auch Handel, K&R 2019, 757, 760, der darüber hinaus sogar die Option eines kompletten Absehens von der Festsetzung einer Geldbuße für geboten hält.
[21] Vgl. Kühling/Buchner/Bergt, DS-GVO BDSG, 2. Aufl. 2018, Art. 83 DSGVO Rn. 39 ff.; Sydow/Popp, Europäische DS-GVO, 2. Aufl. 2018, Art. 83 DS-GVO Rn. 6 ff.; Timner/Radlanski/Eisenfeld, CR 2019, 782, 783.
[22] DSK, Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen, 14.10.2019, S. 3.
[23] Zum Unternehmensbegriff in der DS-GVO Kühling/Buchner/Bergt, DSGVO BDSG, 2. Aufl. 2018, Art. 83 DS-GVO Rn. 39 ff. m.w.N.; Gola, K&R 2017, 145, 146; Spindler, DB 2016, 937, 946; Uebele, EuZW 2018, 440.
[24] Grünwald/Hackl, ZD 2017, 556, 558; Uebele, EuZW 2018, 440, 441.
[25] Kühling/Buchner/Bergt, DS-GVO BDSG, 2. Aufl. 2018, Art. 83 DS-GVO Rn. 43 m.w.N.; Sydow/Popp, Europäische DS-GVO, 2. Aufl. 2018, Art. 83 DS-GVO Rn. 7.
[26] Siehe bereits Paal/Pauly/Paal/Pauly, DS-GVO, 2. Aufl. 2018, Einleitung Rn. 10.
[27] Weiterführend zur sprachvergleichenden Auslegung Weiler, ZEuP 2010, 861.
[28] Vgl. die Grundsatzentscheidung EuGH, Urt. v. 23.04.1991, C-41/90, ECLI:EU:C:1991:161 – Klaus Höfner und Fritz Elser/Macrotron GmbH.
[29] Aufzählung in Uebele, EuZW 2018, 440, 443 m.w.N. Hinzuweisen ist allerdings darauf, dass die dort aufgezählte kroatische Sprachfassung – anders als von Uebele ausgeführt – wohl nicht zwischen dem Unternehmensbegriff in Art. 4 Nr. 18 DS-GVO und Art. 83 DS-GVO unterscheidet. Vielmehr dürfte unter „poduzetnik“ (wörtlich „Unternehmer“) das Gleiche zu verstehen sein wie unter „poduze e“ (wörtlich „Unternehmen“). Dies zeigt sich schon daran, dass auch die Unternehmensgruppe in Art. 4 Nr. 19 DS-GVO als „grupa poduzetnika“ („Unternehmergruppe“) definiert wird.
[30] So Kühling/Buchner/Bergt, DS-GVO BDSG, 2. Aufl. 2018, Art. 83 DS-GVO Rn. 39 ff.; Sydow/Popp, Europäische DS-GVO, 2. Aufl. 2018, Art. 83 DSGVO Rn. 7, der insoweit von der „Brüsseler Nonchalance im Umgang mit dem Bestimmtheitsgebot“ spricht; aA Timner/Radlanski/Eisenfeld, CR 2019, 782, 783 f.
[31] EuGH, Urt. v. 24.10.1996, C-73/95, ECLI:EU:C:1996:405 – Viho Europe BV/Kommission; Wiedemann/Schroeder, Kartellrecht, 3. Aufl. 2016, § 9 Rn. 2 ff.
[32] Timner/Radlanski/Eisenfeld, CR 2019, 782, 784.
[33] Faust/Spittka/Wybitul, ZD 2016, 123; Grünwald/Hackl, ZD 2017, 556, 559; Sydow/Popp, Europäische DS-GVO, 2. Aufl. 2018, Art. 83 DS-GVO Rn. 7; aA Uebele, EuZW 2018, 440, 444.
[34] EU-Kommission, Leitlinien für das Verfahren zur Festsetzung von Geldbußen gemäß Art. 23 Abs. 2 Buchstabe a) der Verordnung (EG) Nr. 1/2003, 2 f.
[35] Timner/Radlanski/Eisenfeld, CR 2019, 782, 784.
[36] Bergt, DuD 2017, 555, 559; zur kartellrechtlichen Bußgeldhaftung nach der 9. GWB-Novelle vor diesem Hintergrund siehe etwa Mäger/von Schreitter, NZKart 2017, 264.
[37] Kühling/Buchner/Bergt, DS-GVO BDSG, 2. Aufl. 2018, Art. 83 DS-GVO Rn. 43 m.w.N.
[38] DSK, Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen, 14.10.2019, S. 3.
[39] So auch Specht/Mantz/Born, Handbuch Europäisches und deutsches Datenschutzrecht, 2019, § 8 Rn. 57.
[40] Faust/Spittka/Wybitul, ZD 2016, 123, 124.
[41] Kühling/Buchner/Bergt, DS-GVO BDSG, 2. Aufl. 2018, Art. 83 DS-GVO Rn. 43 m.w.N.
[42] Timner/Radlanski/Eisenfeld, CR 2019, 782, 786.
[43] Art. 49 Abs. 3, 52 Abs. 1 S. 2 GRCh.
[44] EuGH, Urt. v. 27.03.2014 – C-565/12, ECLI:EU:C:2014:190 – LCL Le Credit Lyonnais SA/Kalhan, EuZW 2014, 514 Rn. 45; Taeger/Gabel-Moos/ Schefzig, DS-GVO BDSG, 3. Aufl. 2019, Art. 83 DS-GVO Rn. 25.
[45] Handel, K&R 2019, 757, 760; Timner/Radlanski/Eisenfeld, CR 2019, 782, 787.
[46] So auch Handel, K&R 2019, 757, 760.
[47] Vgl. § 43 Abs. 2 BDSG a.F.
[48] Beispiele und Nachweise zu bisherigen aufsichtsbehördlichen Verfahren in den Mitgliedstaaten finden sich bereits vorstehend in Fn. 1.
[49] Berliner Beauftragte für Datenschutz und Informationsfreiheit, PM vom 05.11.2019, abrufbar unter https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191105-PM-Bussgeld_DW.pdf (zuletzt abgerufen am 15.02.2020).
[50] Siehe exemplarisch nur FAZ vom 05.11.2019, Deutsche Wohnen bestraft, abrufbar unter https://www.faz.net/aktuell/wirtschaft/datenschutz-deutsche-wohnen-bestraft-16470354.html (zuletzt abgerufen am 15.02.2020).
[51] Süddeutsche Zeitung vom 18.11.2019, Widerspruch eingelegt, abrufbar unter https://www.sueddeutsche.de/wirtschaft/deutsche-wohnen-widerspruch-eingelegt-1.4687525 (zuletzt abgerufen am 15.02.2020).
[52] Berliner Beauftragte für Datenschutz und Informationsfreiheit, PM vom 05.11.2019, S. 1.
[53] Berliner Beauftragte für Datenschutz und Informationsfreiheit, PM vom 05.11.2019, S. 1.
[54] Berliner Beauftragte für Datenschutz und Informationsfreiheit, PM vom 05.11.2019, S. 1
[55] Deutsche Wohnen, Geschäftsbericht 2018, abrufbar unter https://www.deutsche-wohnen.com/fileadmin/pdf/ueber-uns/pressedownload/Deutsche_Wohnen_SE_Geschaeftsbericht_2018.pdf (zuletzt abgerufen am 15.02.2020), S. 25.
[56] Deutsche Wohnen, Geschäftsbericht 2018
[57] Berliner Beauftragte für Datenschutz und Informationsfreiheit, PM vom 05.11.2019, S. 2.
[58] Bundesbeauftragter für Datenschutz und Informationsfreiheit, PM vom 09.12.2019, abrufbar unter https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2019/30_BfDIverh%C3%A4ngtGeldbu%C3%9Fe1u1.html;jsessionid=C8B427F6622D7A24195A6B29B73DEEAA.2_cid354 (zuletzt abgerufen am 15.02.2020).
[59] Bundesbeauftragter für Datenschutz und Informationsfreiheit, PM vom 09.12.2019.
[60] 1&1, PM vom 09.12.2019, abrufbar unter https://newsroom.1und1.de/2019/12/09/11-klagt-gegen-bussgeldbescheid-der-datenschutzbehoerde/ #page-content (zuletzt abgerufen am 15.02.2020).
[61] 1&1, PM vom 09.12.2019.
[62] Zur Konzernstruktur s. United Internet, Geschäftsbericht 2018, abrufbar unter https://www.united-internet.de/uploads/tx_unitedinternetpublication/United_Internet_Konzern_2018.pdf (zuletzt abgerufen am 15.02.2020).
[63] United Internet, Geschäftsbericht 2018, S. 7, 53, 78.
[64] Handel, K&R 2019, 757, 760.
[65] Zu Schadensersatzansprüchen wegen Datenschutzverstößen unlängst Paal, MMR 2020, 14.