DA+

Vorabentscheidungsersuchen an den EuGH zur Einordnung von Unternehmen als unmittelbar Betroffene im Bußgeldverfahren bei Datenschutzverstößen : (Kammergericht Berlin, Beschluss vom 6. Dezember 2021 – 3 Ws 250/21 –)

Archiv RDV
Lesezeit 12 Min.

Dem Gerichtshof der Europäischen Union werden zur Auslegung von Art. 83 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) folgende Fragen zur Vorabentscheidung vorgelegt:

  1. Ist Art. 83 Abs. 4 bis 6 DS-GVO dahin auszulegen, dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf? (Rn.7)
  2. Wenn die Frage zu 1. bejaht werden sollte: Ist Art. 83 Abs. 4 bis 6 DS-GVO dahin auszulegen, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss (vgl. Art. 23 der Verordnung (EG) Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung der in den Art. 81 und 82 des Vertrags niedergelegten Wettbewerbsregeln), oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus („strict liability“)? (Rn.28)

Tenor Gründe:

I.

Das betroffene Unternehmen ist ein börsennotiertes Immobilienunternehmen mit Sitz in Berlin. Es hält über gesellschaftsrechtliche Beteiligungen mittelbar rund 163.000 Wohneinheiten und 3.000 Gewerbeeinheiten. Eigentümer dieser Einheiten sind Tochtergesellschaften, sogenannte Besitzgesellschaften, die das operative Geschäft führen und die mit dem betroffenen Unternehmen einen Konzern bilden. Die Geschäftstätigkeit des betroffenen Unternehmens konzentriert sich auf die übergeordnete Leitung, wie die Geschäftsführung, das Personalwesen und das Finanz- und Rechnungswesen. Die Besitzgesellschaften vermieten die Wohn- und Gewerbeeinheiten, die Verwaltung der Einheiten erfolgt ebenfalls durch Konzerngesellschaften („Servicegesellschaften“).

Im Rahmen ihrer Geschäftstätigkeit verarbeiten das betroffene Unternehmen und die Konzerngesellschaften auch personenbezogene Daten von Mieterinnen und Mietern der Wohn- und Gewerbeeinheiten. Dies geschieht im Rahmen der Neuvermietung eines Objektes, der laufenden Verwaltung eines bestehenden Mietverhältnisses, dem Erwerb von bereits vermieteten Immobilien und der Übernahme der hier bestehenden Mietverhältnisse. Bei diesen Daten handelt es sich z.B. um Identitätsnachweise (z.B. Personalausweiskopien), Bonitätsbelege (z.B. Kontoauszüge), Gehaltsbescheinigungen, Arbeitsnachweise, Steuer-, Sozial- und Krankenversicherungsdaten sowie Angaben zu Vormietverhältnissen.

Am 23. Juni 2017 hat die Berliner Beauftragte für den Datenschutz (im Folgenden: „Behörde“) im Rahmen einer Vor-Ort-Kontrolle das betroffene Unternehmen darauf hingewiesen, dass ihre Konzerngesellschaften personenbezogene Daten von Mietern in einem elektronischen Archivsystem speicherten, bei dem nicht nachvollzogen werden könne, ob die Speicherung erforderlich und gewährleistet sei, dass nicht mehr erforderliche Daten gelöscht würden. Die Behörde hat das betroffene Unternehmen in der Folge aufgefordert, bis zum Jahresende 2017 Dokumente aus dem elektronischen Archivsystem zu löschen. Hierauf hat das betroffene Unternehmen erwidert, die Löschung sei aus technischen und rechtlichen Gründen nicht möglich. Eine Löschung der Dokumente erfordere insbesondere zunächst die Überführung der alten Archivdaten in ein neues Archivsystem, das wiederum mit den gesetzlichen handels- und steuerrechtlichen Aufbewahrungspflichten konform sein müsse.

Zu diesen Einwänden hat auf Wunsch des betroffenen Unternehmens ein Gespräch mit Vertretern der Behörde stattgefunden, in dem diese die Auffassung vertreten hat, dass es durchaus technische Lösungen für die erforderte Löschung gebe. Nachdem das betroffene Unternehmen nochmals schriftlich dargelegt hatte, dass es nicht innerhalb der gesetzten Frist löschen könne, ist es mit Schreiben vom 20. Dezember 2017 dazu aufgefordert worden, die der Löschung entgegenstehenden Gründe, insbesondere einen etwaigen unverhältnismäßigen Aufwand, schriftlich darzulegen. Die Betroffene hat in der Folge über den vorgesehenen Aufbau eines neuen Speichersystems berichtet, mit dem das bisher beanstandete System ersetzt werden solle.

Am 5. März 2020 hat die Behörde eine Prüfung in der Konzernzentrale des Unternehmens vorgenommen, bei der insgesamt 16 Stichproben im Datenbestand entnommen worden sind. Zugleich ist der Behörde mitgeteilt worden, dass das beanstandete Archivsystem bereits außer Betrieb gesetzt worden sei und die Migration der Daten auf das neue System unmittelbar bevorstehe. Mit dem am 30. Oktober 2020 erlassenen Bußgeldbescheid wird dem betroffenen Unternehmen vorgeworfen, es zwischen dem 25. Mai 2018 und dem 5. März 2019 vorsätzlich unterlassen zu haben, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Weiter wird ihm vorgeworfen, personenbezogene Daten von mindestens 15 näher bezeichneten Mietern fortgesetzt gespeichert zu haben, obgleich bekannt gewesen sei, dass dies nicht oder nicht mehr erforderlich war. Wegen des vorsätzlichen Verstoßes gegen Art. 25 Abs. 1, Art. 5 Abs. 1 a), c) und e) DS-GVO hat die Behörde eine Geldbuße in Höhe von 14.385.000 Euro und wegen Verstößen gegen Art. 6 Abs. 1 DS-GVO hat sie 15 weitere Geldbußen festgesetzt, die jeweils zwischen 3.000 und 17.000 Euro betragen.

Auf den Einspruch des betroffenen Unternehmens hat das Landgericht Berlin das Verfahren nach § 46 Abs. 1 OWiG i.V.m. § 206a StPO eingestellt. Das Landgericht vertritt die Auffassung, der Bußgeldbescheid leide unter so gravierenden Mängeln, dass er nicht Grundlage des Verfahrens sein könne. Namentlich könne eine juristische Person nicht Betroffene eines Bußgeldverfahrens sein, auch nicht in einem solchen nach Art. 83 DS-GVO. Eine Ordnungswidrigkeit könne nur eine natürliche Person vorwerfbar begehen. Der juristischen Person könne lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten zugerechnet werden. In einem Bußgeldverfahren könne eine juristische Person daher nur Nebenbeteiligte sein. Die Verhängung einer Geldbuße gegen eine juristische Person sei in § 30 OWiG abschließend geregelt, der über § 41 Abs. 1 BDSG auch für Verstöße nach Art. 83 Abs. 4 bis 6 DS-GVO Anwendung finde. Danach könne entweder in einem einheitlichen Verfahren gegen die juristische Person eine Geldbuße festgesetzt werden, wenn gegen das Organmitglied oder den Repräsentanten, also die natürliche Person, ein Bußgeldverfahren durchgeführt werde oder aber nach § 30 Abs. 4 OWiG in einem selbstständigen Verfahren. Voraussetzung sei in Fall des § 30 Abs. 4 OWiG aber, dass gegen das Organmitglied oder den Repräsentanten der juristischen Person ein Verfahren gar nicht eingeleitet oder ein eingeleitetes Verfahren eingestellt werde. Allerdings müsse, weil die juristische Person eine Ordnungswidrigkeit nicht begehen könne, auch im selbstständigen Verfahren eine vorwerfbare Ordnungswidrigkeit eines Organmitgliedes der juristischen Person festgestellt werden. Die in Art. 83 DS-GVO kodifizierte unmittelbare Unternehmenshaftung verstoße gegen das im deutschen Recht verankerte Schuldprinzip und könne daher nicht angewendet werden.

II.

Hiergegen richtet sich die sofortige Beschwerde der Staatsanwaltschaft Berlin. Vor einer (letztinstanzlichen) Entscheidung über dieses Rechtsmittel ist es erforderlich, das Verfahren auszusetzen und gemäß Art. 267 Abs. 3 AEUV eine Vorabentscheidung des Gerichtshofs der Europäischen Union zu den in der Entscheidungsformel gestellten Fragen, welche die Auslegung von im Fall anzuwendendem Sekundärrecht der Union betreffen, einzuholen. Eine gefestigte Rechtsprechung besteht insoweit nicht. Die Sachentscheidung hängt unmittelbar davon ab, ob die Vorlagefrage 1 bejaht wird. Ist dies der Fall, ist die Vorlagefrage 2 von entscheidender Bedeutung für das weitere Bußgeldverfahren. Der Wortlaut der maßgeblichen nationalen Vorschriften – §§ 9, 30 OWiG, 41 BDSG – ist dem Anhang dieses Beschlusses zu entnehmen.

Die sofortige Beschwerde der Staatsanwaltschaft Berlin hätte Erfolg, wenn ein Verfahrenshindernis nicht bestünde. Dies wäre vor dem Hintergrund des § 66 Abs. 1 OWiG der Fall, wenn der Bußgeldbescheid eine ausreichende Grundlage für das Bußgeldverfahren bildete. Nach dieser Vorschrift muss der Bußgeldbescheid „die Bezeichnung der Tat, die dem Betroffenen zur Last gelegt wird, Zeit und Ort ihrer Begehung, die gesetzlichen Merkmale der Ordnungswidrigkeit und die angewendeten Bußgeldvorschriften“ enthalten. Der Bußgeldbescheid muss den Tatvorwurf nach gefestigtem Verständnis formal und sachlich umgrenzen (Umgrenzungsfunktion) und den Betroffenen ausreichend über den Tatvorwurf unterrichten (Informationsfunktion) (vgl. BGHSt 23, 336; Senat Verkehrsrecht aktuell 2019, 123 [Volltext bei juris]; OLG Celle ZfSch 2015, 649). Diese Voraussetzungen könnte der Bußgeldbescheid verfehlen, wenn unter Geltung des § 30 OWiG ein Bußgeldverfahren gar nicht unmittelbar gegen ein Unternehmen geführt werden könnte und die Verhängung einer Geldbuße gegen ein nur „verfahrens-“ oder „nebenbeteiligtes“ Unternehmen nach § 30 Abs. 1 OWiG davon abhinge, dass eine natürliche Person als so genannter Repräsentant die – im Bußgeldbescheid gegebenenfalls konkret zu bezeichnende – „Anlasstat“ zurechenbar deliktisch begangen hätte.

  1. Nach überkommenem innerstaatlichen Recht können wegen Ordnungswidrigkeiten Verbandsgeldbußen ausschließlich nach § 30 OWiG festgesetzt werden. Nach dieser Vorschrift können Verbänden bestimmte Ordnungswidrigkeiten (nur) ihrer Leitungspersonen (Repräsentanten) zugerechnet werden. Demzufolge erfordert § 30 OWiG eine durch eine (natürliche) Person begangene Anknüpfungstat. Es liegt nahe, dass die Anlass-Tathandlung zur Erfüllung der Informations- und Umgrenzungsfunktion im Bußgeldbescheid bezeichnet werden muss. Die nachfolgende Verhängung einer Verbandsgeldbuße kommt unter der Geltung des § 30 OWiG nur in Betracht, wenn festgestellt werden kann, dass die Leitungsperson eine bußgeldbewehrte Norm tatbestandlich, rechtswidrig und schuldhaft verletzt hat. Ist dies der Fall, kann die Verbandsgeldbuße nach § 30 Abs. 1 OWiG im gegen die Leitungsperson geführten einheitlichen Verfahren oder nach Anordnung der Verfahrensbeteiligung des Verbands im mit diesem als Verfahrens- oder Nebenbeteiligtem geführten selbstständigen Verfahren festgesetzt werden (§ 30 Abs. 4 OWiG). Die Möglichkeit, über § 30 OWiG den hinter der Leitungsperson stehenden Verband zu sanktionieren, erscheint als akzessorischer Annex oder Reflex des volldeliktischen Handelns der natürlichen Person. Ihre Tat wird dem Unternehmen zugerechnet.
  2. Dieses limitierte Haftungsregime des innerstaatlichen Rechts widerspricht der in der nationalen Rechtsprechung (vgl. LG Bonn K & R 2021, 133 ECLI:DE:LGBN:2020:1111.29OWI1.20.00) vertretenen Auffassung, Art. 83 DS-GVO überforme als vorrangig geltendes Unionsrecht mit einem Regularium der unmittelbaren Verbandshaftung das tradierte innerstaatliche Regime der lediglich rechtsfolgenbezogenen Zurechnung des Handelns von Leitungspersonen (§ 30 OWiG). Die Auffassung des LG Bonn wird auch mehrheitlich in der Rechtsliteratur geteilt (vgl. Bergt, DuD 2017, 555 [556, 558]; Boms, ZD 2019, 536 [537]; Brodowski/Nowak, in: BeckOK DatenschutzR 37. Ed., § 41 BDSG Rn. 11.3; von dem Bussche, ZD 2021, 154 [160]; Cornelius, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz 3. Aufl., Teil XIV Rn. 88; Gassner, in: Gassner/Seith, OWiG 2. Aufl., Einl. Rn. 69; Gola/Heckmann/Ehmann, BDSG 13. Aufl., § 41 Rn. 19-21; Grözinger, in: Müller/Schlothauer/Knauer, Anwaltshandb. StV 3. Aufl., § 50 Rn. 139; Kühling/Buchner/Bergt, DS-GVO 3. Aufl., Art. 83 Rn. 20; Qasim, ZDAktuell 2021, 05102; Zelger, EuR 2021, 478; Zitzelberger, in: Esser/Tsambikakis, PandemisstrafR, § 15 Rn. 49 u. v. m.), allerdings auch durch einzelne Stimmen, überwiegend rechtsberatende Autoren und namentlich Wirtschaftsanwälte, abgelehnt (vgl. Konrad, CR 2021, 389 [Anm. zu LG Bonn]; Kremer, NZWiSt 2021, 314; Moos, MMR-Beilage 08, 27; ders. DSRITP 2021, 161; Nolte/di Fabio, juris-PR-Compl 2/2021 Anm. 2; Wybitul/Venn, ZD 2021, 343; Venn/Wybitul, NStZ 2021, 204 [Anm. zu LG Bonn]; Wybitul, ZD 2021, 177; Piltz, § 41 Rn. 7 ff.; vgl. jedoch auch BMI, Evaluierung des Gesetzes zur Anpassung des Datenschutzrechts [Stand Oktober 2021] S. 61).

In der herrschenden Rechtsliteratur wird darauf abgestellt, aus dem Anwendungsvorrang des Unionsrechts ergebe sich, dass die durch Art. 83 DS-GVO gewollten und vorgegebenen supranationalen Grundsätze der Unternehmenssanktionierung normativ leiteten. Schließlich sei die DS-GVO eine im ordentlichen Gesetzgebungsverfahren erlassene Verordnung der Europäischen Union. Als Sekundärrecht der Union habe sie allgemeine Geltung; sie sei in allen ihren Teilen verbindlich und gelte unmittelbar in jedem Mitgliedstaat (Art. 288 AEUV). Bereits dieses Primat streite dafür, dass sich die Zurechnung von Verstößen zu Verbänden nach den anerkannten unionsrechtlichen Maßstäben und nicht nach überkommenen nationalen Zurechnungsgrundsätzen (hier: § 30 OWiG) richte (vgl. Brodowski/Nowak, in: BeckOK DatenschutzR 37. Ed., § 41 BDSG Rn. 11; Bergt, in: Kühling/Buchner, DS-GVO BDSG 3. Aufl. 2020, § 41 BDSG Rn. 7).

Den Mitgliedstaaten sei es demzufolge grundsätzlich nicht erlaubt, den von der Verordnung festgeschriebenen Datenschutz durch nationale Regelungen abzuschwächen. Das Europarecht weise, historisch gewachsen durch Anliegen eines unverfälschten Wettbewerbs und eines funktionierenden Binnenmarkts nach Art. 26 Abs. 1 AEUV (vgl. Faust/Spittka/Wybitul ZD 2016, 120) und begründet im EU-Bankenrecht (Art. 132 und VO [EG] Nr. 25532/98) sowie im EU-Kartellrecht (Art. 101, 102 AEUV und VO [EG] 1/2003), gegenüber dem deutschen Recht gänzlich andere Strukturen der Ahndung von Verstößen auf (vgl. Holländer, in: BeckOK DatenschutzR 37. Ed., Art. 83 DS-GVO Rn. 8.1). Der Begriff des Unternehmens i.S.d. Art. 101 und 102 AEUV sei nach der ständigen Rechtsprechung des EuGH ein funktionaler (vgl. nur EuGH NJW 1991, 289; NZBau 2007, 190; Emmerich in: Immenga/Mestmäcker, EU-WettbewerbsR 5. Aufl., Art. 101 AEUV Rn. 8). Entscheidend sei hierbei nicht, wer unmittelbar tätig werde, maßgeblich sei vielmehr die konkrete aktive Teilnahme einer Wirtschaftseinheit am Wirtschaftsleben durch das Anbieten (oder Nachfragen) von Gütern oder Dienstleistungen auf einem bestimmten Markt (vgl. EuGH EuZW 1999, 93). Zur Sicherung dieses Ziels sei es zweckmäßig, für die Regulierung nicht an der Rechtsform oder dem einzelnen Rechtssubjekt anzuknüpfen, sondern an der wirtschaftlichen Einheit, in der das unerwünschte, z.B. wettbewerbswidrige, Marktverhalten entstanden sei. Mit diesem funktionalen Unternehmensbegriff gehe das Funktionsträgerprinzip einher, das im Widerspruch zum deutschen Rechtsträgerprinzip (§§ 9, 30 OWiG) stehe (vgl. Holländer, a.a.O. Rn. 9; Monopolkommission BT-Drs. 18/7508, 11 m.w.N.).

Wesen des Funktionsträgerprinzips sei es, dass dem Unternehmen (als nach praktischen Bedürfnissen weit verstandener wirtschaftlicher Einheit) die „materielle Haftung für Sanktionen“ zugewiesen werde, so dass die Handlungen aller berechtigt für ein Unternehmen handelnder Bediensteter dem Unternehmen auch bußgeldrechtlich zuzurechnen seien. Nicht einmal erforderlich sei es, den Mitarbeiter und seine konkrete taterfolgauslösende Handlung zu bezeichnen (vgl. EuGH GRUR Int 2004, 45; Bergt, DuD 2017, 555 [556]; Holländer, a.a.O. Rn. 11). Dieses Konzept bringe es mit sich, dass es auf die nationalen Haftungsregeln nicht ankomme (vgl. Holländer, a.a.O. Rn. 10), diese vielmehr verdrängt würden. Daher sei auch § 30 OWiG mit seinem Modell der Akzessorietät zur volldeliktischen Handlung einer Leitungsperson nicht anwendbar.

Für das Verständnis der Übernahme des europäischen Sanktionsregimes werden durch das LG Bonn und die herrschende Literaturmeinung unterschiedliche Argumente angeführt.

a) Überformung des § 30 OWiG durch das europäische Kartellsanktionsrecht

Bereits der Wortlaut des Art. 83 DS-GVO spreche dafür, dass das europäische Sanktionsrecht die Vorschriften des § 30 OWiG überformt. In den Absätzen 4 bis 6 werde festgelegt, dass sich die Geldbuße „im Fall eines Unternehmens“ nach dessen Jahresumsatz bemisst. Die Bußgeldtatbestände richten sich also eindeutig an Unternehmen, was durch die EU-Definition des Unternehmensbegriffes (Art. 101, 102 AEUV) gestützt wird.

b) Erwägungsgrund 150 zur DS-GVO

Dieser Erwägungsgrund zur DS-GVO bestätigt den Bezug auf das europäische Kartellrecht, indem er explizit festlegt, dass der Begriff „Unternehmen“ im Sinne der Art. 101 und 102 AEUV verstanden werden sollte. Damit sei klar, dass der europäische Gesetzgeber das EU-Kartellrecht bei der Ausarbeitung der Sanktionen in der DS-GVO als Vorbild genommen habe, was wiederum das Funktionsträgerprinzip stützt.

c) Harmonisierungsziele der DS-GVO

In der Verordnung selbst werde explizit auf die Harmonisierung des Datenschutzrechts hingewiesen, um unterschiedliche Standards in den Mitgliedstaaten zu vermeiden. Dies werde in verschiedenen Erwägungsgründen betont, beispielsweise im Erwägungsgrund 9, der die Unterschiede in der Umsetzung der Datenschutzrichtlinie anführt, sowie in Erwägungsgrund 148, der die Notwendigkeit einheitlicher Sanktionen hervorhebt. Auch Erwägungsgrund 129 zur Rolle der Aufsichtsbehörden in der EU betont eine einheitliche Durchsetzung der DS-GVO.

d) Unterschiedliche Rechtstraditionen

Das Sanktionssystem der DS-GVO sei darauf ausgelegt, verschiedene nationale Rechtstraditionen zu harmonisieren, um effektive Sanktionen gegen Datenschutzverstöße zu ermöglichen. Dies könne nur erreicht werden, wenn nationale Zurechnungsregeln wie in § 30 OWiG verdrängt werden. Würden Mitgliedstaaten ihre nationalen Vorschriften anwenden, wie es in Deutschland mit § 30 OWiG der Fall wäre, könnte dies die Effektivität der Sanktionen erheblich beeinträchtigen. Dies gelte insbesondere, da das deutsche Modell der „Akzessorietät zur volldeliktischen Handlung einer Leitungsperson“ oft die Zurechnung erschwere.

III. Unternehmensschuld nach Art. 83 DS-GVO

Sollte die Vorlagefrage zu 1 bejaht werden, bleibt für das weitere Verfahren zu klären, wie die Schuld eines Unternehmens zu bestimmen ist. Dabei sei fraglich, ob nach dem europäischen Recht schon die Feststellung einer objektiven Pflichtwidrigkeit für eine Sanktionierung ausreicht („strict liability“) oder ob ein schuldhaftes Verhalten erforderlich ist.

Der Gerichtshof der Europäischen Union könnte auf Grundlage seiner bisherigen Rechtsprechung entscheiden, dass für die Verhängung einer Geldbuße keine schuldhafte Handlung eines Mitarbeiters erforderlich ist, sondern die objektive Verletzung von Pflichten nach der DS-GVO ausreichend ist.