DA+

Aufsatz : Compliance und Datenschutz – EuGH bringt das Thema Geldbußen auf Kurs : aus der RDV 3/2024 Seite 133 bis 139

Lesezeit 33 Min.

Compliance und Datenschutz[1] stehen in Beziehung zueinander. Bei Ermittlungen im Rahmen von Compliancemaßnahmen[2] stellen sich auf der einen Seite häufig Fragen im Zusammenhang mit dem Beschäftigtendatenschutz. Auf der anderen Seite braucht es ein gut funktionierendes Datenschutzmanagementsystem, um Verstöße gegen die DS‑GVO zu vermeiden.[3]

Die Einhaltung der Datenschutzgesetzgebung sollte in das Compliance-Management eingebunden sein. Gab es bisher offene Rechtsfragen, die die erfolgreiche Durchsetzung von Geldbußen noch behindert haben, ist spätestens seit der Rechtsprechung des EuGH vom 05.12.2023 zu dem Az.: C-807/21[4] Aufmerksamkeit geboten[5]. Grund genug, diesen Entwicklungen Beachtung zu schenken. Was bringt die neue EuGH-Rechtsprechung und ergeben sich hieraus neue Fragen?

I. Was bisher geschah

Um die Entwicklung nachzuvollziehen, ist ein Blick auf die Entscheidungen des LG Bonn und des LG Berlin zu werfen. Als die DS‑GVO am 25. Mai 2018 Geltung erlangte, sprachen alle über die nun folgenden immens hohen Geldbußen, über Millionen und Milliarden hohe Geldbußen. Aber es war für Fachleute des deutschen Ordnungswidrigkeitenrechts, die Art. 58 Abs. 2 Buchst. i) DS‑GVO und ErwG 150 aufmerksam gelesen haben, auch schnell klar, dass hier zwischen der europäischen Verordnung dem nationalen Ordnungswidrigkeitenrecht etwas nicht zusammen‑ passt. Erste Aufsätze befassten sich mit der Rechtslage.[6] Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) reagierte am 03.04.2019 mit der Entschließung „Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten!“. In der Entschließung wurde die Auf‑ fassung vertreten, das Unternehmen im Rahmen von Art.  83 DS‑GVO für schuldhafte Datenschutzverstöße ihrer Beschäftigten haften, sofern es sich nicht um einen Exzess handelt[7]. Des Weiteren hielt die DSK fest, dass es nicht erforderlich sei, dass für die Handlung ein gesetzlicher Vertreter oder eine Leitungsper‑ son verantwortlich ist. Zurechnungseinschränkende Regelun‑ gen im nationalen Recht würden dem widersprechen.[8] Die DSK forderte den Bundesgesetzgeber in ihrer Entschließung vom 03.04.2019 auf, in den Beratungen des Entwurfs des Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU)2016/679 (DS‑GVO) und zur Umsetzung der Richtlinie (EU) 2016/680 die §§ 30, 130 OWiG[9] klarstellend vom Anwendungs‑ bereich auszunehmen und damit dem europäischen Recht anzupassen. Strategisch kam diese Entschließung zur rechten Zeit. Es stand die erste Rechtsstreitigkeit in Bußgeldsachen unter der DS‑GVO an. Auf diesem Weg wurden die Gerichte auf eine nationaleuropäische Kollision von Rechtstraditionen aufmerksam. Das Rechtsproblem war auch nicht neu. Die Kartellaufsicht hatte sich im Rahmen der Europäisierung des Kartellrechts bereits damit auseinandersetzen müssen.[10]

  1. LG Bonn

Das LG Bonn hatte am 11.11.2020[11] die erste öffentlichkeits‑ wirksame Entscheidung über eine Geldbuße nach Art.  83 DS‑GVO zu treffen. Das LG Bonn verurteilte das betroffene Unternehmen aus der Telekommunikationsbranche wegen Verstoßes gegen die Verpflichtung, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein angemessenes Schutzniveau für personenbezogene Daten gem. Art. 32 Abs. 1, Abs. 2 DS‑GVO zu gewährleisten, für schuldig. Der Betroffene wurde vom LG Bonn zu einer Geldbuße von 900.000 EUR verurteilt. Während die mediale Aufmerksamkeit vor allem darauf lag, dass die Geldbuße von 9.550.000 EUR auf 900.000 EUR reduziert wurde, enthielt diese Ent‑ scheidung eine rechtlich sehr spannende Entwicklung. Das LG Bonn entschied zum ersten Mal über eine unmittelbare Haftung von Unternehmen. Das Gericht ging davon aus, dass für diese Haftung des Unternehmens, keine natürliche Person ermittelt werden muss, welche den Verstoß konkret begangen hat[12]. Das LG Bonn setzte sich in seiner Entscheidung mit dem geltenden Ordnungswidrigkeitenrecht und der rechtlichen Kollision mit dem supranationalen europäischen Kartellrecht bei Verstößen gegen Artt. 101 und 102 AEUV auseinander. Das supranationale europäische Kartellrecht gehe von einer unmittelbaren Verantwortlichkeit der Unternehmen aus, der sogenannten unmittelbaren Verbandshaftung.[13]

Die Entscheidung des LG Bonn war eine kleine Sensation. Sie setzte sich ausführlich mit dem Streitstand und letztlich mit der Kollision des Rechtsverständnis der EU-Ebene und Deutschland auseinander. Das Gericht führte aus, dass das deutsche Sank‑ tionsrecht eine solche unmittelbare Haftung von Unternehmen bislang nicht kenne. Gem. § 30 Abs. 1 OWiG könnten Behörden zwar Geldbußen gegen juristische Personen oder Personenvereinigungen verhängen; die Geldbußen knüpfen jedoch stets an ein schuldhaftes Fehlverhalten natürlicher Personen an, für das erst auf der Rechtsfolgenseite – als sog. „Nebenbetroffene“ – die juristische Person oder Personenvereinigung einste‑ hen muss. Für eine Geldbuße reiche dabei nicht das Verhalten irgendeines Mitarbeiters des Unternehmens, sondern nur das Verhalten ganz bestimmter Personen in Führungs- oder Aufsichtspositionen. Eine Geldbuße könne – zumindest im Grund‑ satz (vgl. § 31 Abs. 1 Nr. 5 OWiG) – nur gegen diejenige juristische Person oder Personenvereinigung verhängt werden, deren Organ oder Leitungsperson die Ordnungswidrigkeit begangen habe. Auf weitere Rechtsträger des Gesamtunternehmens – etwa weitere juristische Personen eines Konzerns – erstrecke sich die Bußgeldhaftung nicht.[14] Das LG Bonn wandte sich mit seiner Entscheidung vom deutschen Rechtsträgerprinzip[15] ab.

Das LG Bonn gab den Annahmen zur Verbandshaftung aus dem supranationale Kartellrecht den Vorrang. Das supranatio‑ nale europäische Kartellrecht gehe bei Verstößen gegen Artt. 101 und 102 AEUV von einer unmittelbaren Verantwortlichkeit der Unternehmen aus. Nach dem supranationalen Kartellsanktions‑ recht hafte der Verband unmittelbar für den Verstoß, gleichgül‑ tig, welche natürliche Person für ihn gehandelt hat (unmittelbare Verbandshaftung). Eine Kenntnis oder gar Anweisung der Ge‑ schäftsführung oder die Verletzung der Aufsichtspflicht sei nicht erforderlich. Nach dem Funktionsträgerprinzip hafte das Unter‑ nehmen als funktionale Einheit[16]. Habe ein Unternehmen mehre‑ re Rechtsträger – werde etwa ein einheitliches Unternehmen von mehreren juristischen Personen getragen – könne gegen sämt‑ liche Rechtsträger die Geldbuße als Gesamtschuldner verhängt werden. Die einzelnen Rechtsträger des Unternehmens seien nur als formale Adressaten der Sanktionsentscheidung, als Verfah‑ rensbetroffene und als Adressaten der Vollstreckung relevant.[17]

Bei der Frage, ob bei der Verhängung von Geldbußen nach Art.  83 Abs.  4 bis 6 DS‑GVO der §  30 Abs.  1 OWiG und das deutsche Rechtsträgerprinzip anzuwenden sind oder ob die Grundsätze des supranationalen Kartellsanktionsrechts zur Anwendung kommen, entschied das LG Bonn den Streitstand mit einer europäischen Orientierung[18].

Der deutsche Gesetzgeber habe diese Frage nicht ein‑ deutig beantwortet. In § 41 Abs. 1 BDSG habe er angeordnet, dass für Verstöße nach Art. 83 Abs. 4 bis 6 DS‑GVO die ma‑ teriellrechtlichen Vorschriften des OWiG „sinngem.“ gelten. Der Gesetzgeber habe den Anwendungsvorrang der DS‑GVO zwar anerkannt, indem nur insoweit auf die Vorschriften des OWiG verwiesen wird, „soweit dieses Gesetz nichts Anderes bestimmt“, was neben dem BDSG auch die DS‑GVO erfasse. In § 41 Abs. 1 S. 2 BDSG habe der Gesetzgeber allerdings bestimmte Vorschriften ausdrücklich von der Verweisung ausgenommen. § 30 OWiG werde dort entgegen der Anregung der Datenschutzkonferenz und entgegen der ersten Fassun‑ gen des Referentenentwurfs vom BDSG nicht ausgenommen. Daraus könne der Schluss zu ziehen sein, der deutsche Gesetzgeber sei von einer Geltung des § 30 OWiG ausgegangen. Es bleibt aber unbeantwortet, da eine Begründung für diese Änderung des Referentenentwurfs fehle.[19]

Das LG Bonn bezog in seine Gesamtbetrachtung eine Entscheidung des Bundesverwaltungsgerichts der Republik Österreich vom 19.08.2019[20] ein. Danach sei eine dem § 30 OWiG vergleichbare Regelung in §  30 ÖDSG angewendet worden und ein Normenvorrang des Art. 83 Abs. 4 bis 6 DS‑GVO verneint. Es habe das dortige Straferkenntnis[21] aufgehoben und das Verfahren mangels Anknüpfung der Geldbuße an das Verhalten einer natürlichen Person eingestellt.[22]

Das LG Bonn stellte zudem fest, dass Teile des deutschen datenschutzrechtlichen Schrifttums davon ausgingen, dass Art. 83 Abs.  4 bis 6 DS‑GVO die Frage der Zurechnung eines Datenschutzverstoßes zu einem Verband nicht selbst abschließend regele. Es sei Raum für eine Anwendung des Rechts der jeweiligen Mitgliedstaaten. Nach dem deutschen Sanktionsrecht sei daher die konkrete Feststellung einer rechtswidrigen und schuldhaften Handlung einer Leitungsperson im Sinne von § 30 Abs. 1 OWiG erforderlich, um gegen den Verband eine Geldbuße zu verhängen[23]. Der BfDI, die Landesdatenschutzbeauftragten und andere Ver‑ treter der datenschutzrechtlichen Literatur gingen hingegen davon aus, dass für die Ordnungswidrigkeitentatbestände in Art. 83 Abs. 4 bis 6 DS‑GVO die Grundsätze des supranationalen Kartellrechts entsprechend gelten.[24] Das LG Bonn kam zu dem Schluss, dass die letztgenannte Auffassung zutreffend sei. Der europäische Gesetzgeber habe bei der Schaffung der Art. 83 Abs. 4 bis 6 DS‑GVO ersichtlich das supranationale Kartellrecht zum Vorbild gehabt. Dies komme etwa in ErwG 150 zur DS‑GVO zum Ausdruck, wenn es dort heiße, dass im Fall einer Geldbuße gegen Unternehmen der Begriff „Unternehmen“ i.S.d. Artt. 101 und 102 AEUV verstanden werden solle, also i.S.d. EU-kartellrechtlichen Unternehmensbegriffs. Im Wortlaut der Bußgeldtatbestände in Art. 83 Abs. 4 bis 6 DS‑GVO würden dementsprechend als Adres‑ saten nur Verantwortliche[25] und Auftragsverarbeiter[26] sowie die Zertifizierungsstelle im Fall des Abs.  4 Buchst.  b) und die Überwachungsstelle im Fall des Abs.  4 Buchst.  c) genannt. Die Verhängung einer Geldbuße knüpfe dort nicht an eine schuldhafte Handlung der Organe oder Leitungspersonen juristischer Personen oder Personenvereinigungen an.[27]

Die Anknüpfung der Geldbuße an ein Fehlverhalten von Organen oder Leitungspersonen gem. §  30 OWiG ließe sich mit dem Haftungskonzept nach EU-kartellrechtlichem Vor‑ bild und dem Funktionsträgerprinzip nicht sinnvoll in Einklang bringen[28]. Die Anwendung von § 30 OWiG würde gegenüber dem europäischen Haftungsmodell zu einer erheblichen Einschränkung der Bußgeldverhängung gegen Unternehmen führen, wenn trotz Feststehens eines Datenschutzverstoßes die internen Verantwortlichkeiten aufzuklären wären. Wären §  30 OWiG und vergleichbare Vorschriften anderer Mitgliedstaaten uneingeschränkt anwendbar, so würden in den Mitgliedstaaten der EU jeweils unterschiedliche Regelungen gelten oder wären zumindest möglich. Da die Sanktionierung von Ordnungsverstößen von Verbänden in den Mitgliedstaa‑ ten der EU auf ganz unterschiedlichen Rechtstraditionen beruht, hätte die Anreicherung des Art. 83 Abs. 4 bis 6 DS‑GVO durch nationale Haftungs- und Zurechnungsvorschriften zur Folge, dass die Sanktionierung von Unternehmen nach Art. 83 Abs. 4 bis 6 DS‑GVO von Mitgliedstaat zu Mitgliedstaat nicht unerheblich divergieren würde. Dies beträfe nicht nur die materiellrechtliche Reichweite der Bußgeldhaftung von Unternehmen, sondern auch die Effektivität des Verfahrens, etwa in Deutschland durch die Notwendigkeit sehr aufwendiger Ermittlungen von internen Unternehmensstrukturen und Verantwortlichkeiten. Es bestünde die naheliegende Gefahr einer europaweit deutlich unterschiedlichen Sanktionierungspra‑ xis.[29] Aus den ErwG zur DS‑GVO ergebe sich, dass dies der europäische Gesetzgeber nicht gewollt habe. Im Gegenteil seien die gleichmäßige Rechtsanwendung und eine einheit‑ liche sowie insbesondere auch effektive Sanktionierung von Datenschutzverstößen von Unternehmen gerade eines der Grundanliegen bei der Schaffung der DS‑GVO gewesen.[30]

Das LG Bonn erkennt, dass den ErwG zur DS‑GVO keine Rechtsnormqualität zukommt. Dennoch geht es davon aus, dass die Gerichte diesen bei der Auslegung des Art.  83 Abs. 4 bis 6 DS‑GVO Rechnung zu tragen haben. Für eine Einschränkung der Haftung durch Beschränkung auf individuelles Fehlverhalten von Leitungspersonen gem. § 30 OWiG sei demnach kein Raum. Könnten die Mitgliedstaaten die Bußgeldtatbestände in Art. 83 Abs. 4 bis 6 DS‑GVO durch die An‑ wendung eigener Rechtsvorschriften einschränken, wären zentrale Ziele – Vereinheitlichung sowie gleichmäßige und effektive Sanktionierung auf der Grundlage europaweit einheitlicher Vorschriften – gefährdet.[31]

Etwas Anderes ergebe sich auch nicht daraus, dass der europäische Gesetzgeber in Art. 83 Abs. 8 DS‑GVO für die Gewährleistung angemessener Verfahrensgarantien „einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren“ auch auf das Recht der Mitgliedstaaten verweise. Der Inhalt dieser Vorschrift, insbesondere als nationale Regelungsbefugnis, sei im Lichte des europarechtlichen Effektivitätsgebots[32] auszulegen. In Ermangelung eines europäischen Bußgeldverfahrensrechts dürfe auf das nationale Bußgeldverfahren nur insoweit zurückgegriffen werden, als damit die effektive Durchsetzung und praktische Wirksamkeit der DS‑GVO gewährleistet blieben. Art. 83 Abs. 8 DS‑GVO beziehe sich zudem nur auf das Bußgeldverfahren. Nur insoweit bestünden nationale Regelungskompetenzen. In Grenzbereichen zwischen Verfahrensrecht und materiellem Recht könnten daher – wenn überhaupt – allenfalls einzelne materiellrechtliche Vorschriften aus dem nationalen Recht angewendet werden, sofern das nationale Verfahrensrecht die Anwendung erfordere. Diese materiellrechtlichen Vorschriften könnten aber erst Recht nur solche sein, die einer effektiven bußgeldrechtlichen Ahndung nicht entgegenstehen. Eine Einschränkung und Schwächung des unionsrechtlichen Haftungsmodells durch Vorschriften wie in § 30 Abs. 1 OWiG sei von Art. 83 Abs. 8 DS‑GVO nicht gedeckt.[33] Das LG Bonn sprach sich also für das Funktionsträgerprinzip und gegen das national zugrundeliegende Rechtsträgerprinzip aus. Die Entscheidung war eine kleine Sensation.

  1. Entscheidung des LG Berlin

Das Aufatmen nach der Entscheidung des LG Bonn vom 11.11.2020 währte nicht lange. Am 18.02.2021 folgte das LG Berlin mit einer Entscheidung, die zum gegenteiligen Ergebnis kam. Das LG Berlin entschied in einem Verfahren über eine Geldbuße der Berliner Datenschutzaufsicht gegen eine Immobilienfirma zugunsten der deutschen Rechtstradition und gewährte dem Rechtsträgerprinzip den Vorzug.[34] Das LG Berlin kam zum Er‑ gebnis, dass eine juristische Person nicht Betroffene in einem Bußgeldverfahren sein könne, auch nicht in einem solchen nach Art. 83 DS‑GVO.[35] Denn eine Ordnungswidrigkeit könne nur eine natürliche Person vorwerfbar begehen. Der juristischen Person könne lediglich ein Handeln ihrer Organmitglieder oder Reprä‑ sentanten (der natürlichen Personen) zugerechnet werden.[36]

Des Weiteren kommt das LG Berlin entgegen dem LG Bonn[37] zu der Erkenntnis, dass bei einer Verhängung einer Geldbuße wegen Verstößen nach Art. 83 Abs. 4 bis 6 DS‑GVO gegen eine juristische Person, §  30 OWiG über §  41 Abs.  1 BDSG Anwendung finde[38].

Das LG Berlin stellte das Verfahren ein. Die Staatsanwalt‑ schaft legte gegen den Einstellungsbeschluss sofortige Be‑ schwerde ein, über die das KG Berlin zu entscheiden hatte.

  1. KG Berlin legt vor

Das KG Berlin erkannte die Notwenigkeit zur Klärung des Streitstandes und legte dem EuGH zwei Fragen vor.

a) Erste Vorlagefrage

Das KG Berlin fragte sich erstens, ob nach Art. 83 DS‑GVO die Möglichkeit bestehen muss, eine Geldbuße gegen eine juristische Person zu verhängen, ohne dass der Verstoß gegen die DS‑GVO zuvor einer identifizierten natürlichen Person zugerechnet wird. In diesem Zusammenhang wollte es geklärt wissen, welche Relevanz der Begriff Unternehmen im Sinne von Artt. 101 und 102 AEUV hat.[39]

Es legte dar, dass gem. einer nationalen Rechtsprechung das nach nationalem Recht bestehende Regime der limitierten Haftung juristischer Personen dem in Art.  83 DS‑GVO geregelten Regime der unmittelbaren Unternehmenshaftung widerspreche. Dieser Rechtsprechung zufolge ergebe sich aus dem Wortlaut des Art. 83 DS‑GVO, der gem. dem Grundsatz des Vorrangs des Unionsrechts Vorrang vor dem nationalen System habe, dass Geldbußen gegen Unternehmen verhängt werden können. Es sei daher entgegen den Anforderungen des anwendbaren nationalen Rechts nicht erforderlich, bei der Verhängung solcher Geldbußen an eine schuldhafte Handlung der Organe oder Leitungspersonen juristischer Personen anzuknüpfen.[40] Diese Rechtsprechung messe nämlich ebenso wie die Mehrheit der nationalen Rechtsliteratur dem Begriff „Unternehmen“ im Sinne der Artt. 101 und 102 AEUV und damit dem Gedanken, dass die Haftung der wirtschaftlichen Einheit zugewiesen werde, in der das unerwünschte, z.B. wettbewerbswidrige Marktverhalten entstanden sei, besondere Bedeutung bei. Nach diesem funktionalen Verständnis seien alle Handlungen aller Bediensteter, die berechtigt für ein Unternehmen handeln, dem Unternehmen auch bußgeldrechtlich zuzurechnen.[41]

b) Zweite Vorlagefrage Für den Fall, dass der Gerichtshof der Auffassung sein sollte, dass die Möglichkeit bestehen muss, eine Geldbuße unmittel‑ bar gegen eine juristische Person zu verhängen, wollte das vorlegende Gericht zweitens wissen, welche Kriterien für die Feststellung heranzuziehen sind, dass eine juristische Person als Unternehmen für einen Verstoß gegen die DS‑GVO verantwortlich ist. Insbesondere wollte es wissen, ob nach Art. 83 DS‑GVO eine Geldbuße gegen eine juristische Person verhängt werden kann, ohne dass nachgewiesen ist, dass der ihr zugerechnete Verstoß gegen die DS‑GVO schuldhaft be‑ gangen wurde.[42] Es fragte, ob Art. 83 Abs. 4 bis 6 DS‑GVO dahin auszulegen sei, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben müsse (vgl. Art. 23 der Verordnung [EG] Nr. 1/2003 des Rates vom 16.12.2002 zur Durchführung der in den Artt. 81 und 82 des Vertrags niedergelegten Wettbewerbsregeln (ABl. 2003, L 1, S. 1), oder ob es für eine Bebußung des Unternehmens, im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß ausreiche („strict liability“)?[43]

II. Der EuGH in C-807/21

Am 05.12.2023 entschied der EuGH schließlich und beendete damit eine Streitfrage von nachhaltiger Bedeutung für die Effektivität des Verfahrens über Geldbußen nach der DS‑GVO.

1. Erste Vorlagefrage

Der EuGH kam zu dem Ergebnis, dass Art. 58 Abs. 2 Buchst. i) und Art. 83 Abs. 1 bis 6 DS‑GVO dahin auszulegen sind, dass sie einer nationalen Regelung entgegenstehen, wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DS‑GVO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde.[44] Der EuGH erteilte damit dem in deutschen dem Ordnungswidrigkeitenrecht zugrundliegen‑ den Rechtsträgerprinzip eine Absage.

a) Aufsichtspflichtverletzung i.S.d. § 130 OWiG

Der EuGH klärte zunächst die Rolle des § 130 OWiG, der von der deutschen Regierung in der Stellungnahme im Vorlageverfahren vorgebracht wurde. Dieser Ansatz hegte Zweifel an der Auslegung des nationalen Rechts durch das vorlegende Gericht. Die Bundesregierung vertrat die Auffassung, dass §  130 OWiG es erlaube, auch außerhalb der von §  30 OWiG erfassten Fälle eine Geldbuße gegen eine juristische Per‑ son zu verhängen. Des Weiteren sei es nach diesen beiden Bestimmungen möglich, eine sogenannte „anonyme“ Geldbuße in einem Verfahren gegen das Unternehmen festzusetzen, ohne dass eine natürliche Person als Täter des frag‑ lichen Verstoßes identifiziert werden müsse. Der EuGH kam hier zu dem Ergebnis, dass §  130 OWiG keinen Einfluss auf die erste Vorlagefrage habe.[45] Die Beantwortung der Frage sei ausgenommen, da der EuGH in Bezug auf die Auslegung von Bestimmungen des nationalen Rechts grundsätzlich gehalten ist, die sich aus der Vorlageentscheidung ergebenden rechtlichen Würdigungen zugrunde zu legen. Nach ständiger Rechtsprechung sei der Gerichtshof[46] nicht befugt, das innerstaatliche Recht eines Mitgliedstaats auszulegen.[47]

b) Verantwortlicher i.S.d. Art. 4 Nr. 7 DS‑GVO

Bei der Beantwortung der ersten Vorlagefrage wurde die An‑ nahme zugrunde gelegt, dass nach dem anwendbaren nationalen Recht eine Geldbuße wegen eines Verstoßes gem. Art. 83 Abs. 4 bis 6 DS‑GVO gegen eine juristische Person in ihrer Eigenschaft als Verantwortlicher nur unter den in § 30 OWiG bestimmten Voraussetzungen, wie sie das vorlegende Gericht dargelegt hat, verhängt werden kann.[48]

Da die in der DS‑GVO vorgesehenen Grundsätze, Verbote und Pflichten sich insbesondere an „Verantwortliche“ richten, befasste sich der EuGH daher zunächst mit dem „Verantwort‑ lichen“ i.S.d. Art.  4 Nr. 7 DS‑GVO. Der EuGH kommt zu dem Schluss, dass in Bezug auf juristische Personen, diese nicht nur für Verstöße haften, die von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch für Verstöße, die von jeder anderen Person begangen wurden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Personen handelt. Es müsse möglich sein, die in Art. 83 DS‑GVO für solche Verstöße vorgesehenen Geldbußen unmittelbar gegen juristische Personen zu verhängen, wenn diese als für die betreffende Verarbeitung Ver‑ antwortliche eingestuft werden können. [49]

Die Verantwortung und Haftung des Verantwortlichen erstrecke sich nach den Ausführungen im 74. ErwG der DS‑GVO auf jedwede Verarbeitung personenbezogener Daten, die durch sie oder in ihrem Namen erfolgt. In diesem Rahmen müssen sie nicht nur geeignete und wirksame Maßnahmen treffen, sondern sie müssen auch nachweisen können, dass ihre Verarbeitungstätigkeiten im Einklang mit der DS‑GVO stehen und die Maßnahmen, die sie ergriffen haben, um diesen Einklang sicherzustellen, auch wirksam sind. Diese Haftung ist es, die bei einem der in Art. 83 Abs. 4 bis 6 DS‑GVO genannten Verstöße die Grundlage dafür bilde, nach Art. 83 DS‑GVO eine Geldbuße gegen den Verantwortlichen zu verhängen.[50] In Art. 4 Nr. 7 DS‑GVO sei der Begriff „Verantwortlicher“ weit definiert. Es sei demnach eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheide.[51]

Das Ziel dieser weiten Definition des Art. 4 Nr. 7 DS‑GVO – die ausdrücklich auch juristische Personen einschließt – bestehe im Einklang mit dem Ziel der DS‑GVO darin, einen wirksamen Schutz der Grundfreiheiten und Grundrechte natürlicher Personen und insbesondere ein hohes Schutzniveau für das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten zu gewährleisten.[52] Verantwortlicher sei auch eine natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt, als Verantwortlicher angesehen werden kann.[53]

Aus dem Wortlaut und dem Zweck von Art. 4 Nr. 7 DS‑GVO ergebe sich, dass der Unionsgesetzgeber bei der Bestimmung der Haftung nach der DS‑GVO nicht zwischen natürlichen und juristischen Personen unterschieden habe, da die einzige Voraussetzung für diese Haftung darin bestehe, dass diese Personen allein oder zusammen mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.[54] Vorbehaltlich der Bestimmungen von Art. 83 Abs. 7 DS‑GVO betreffend Behörden und öffentliche Stellen hafte daher jede Person, die diese Voraussetzung erfüllt – unabhängig davon, ob es sich um eine natürliche oder juristische Person, eine Behörde, Einrichtung oder andere Stelle handelt – u.a. für jeden in Art. 83 Abs. 4 bis 6 der DS‑GVO genannten Verstoß, der von ihr selbst oder in ihrem Namen begangen wurde.[55]

c) Art. 58 Abs. 2 DS‑GVO

Art.  58 Abs.  2 DS‑GVO lege die Befugnisse der Aufsichtsbe‑ hörden zum Erlass von Abhilfemaßnahmen genau fest, ohne auf das Recht der Mitgliedstaaten zu verweisen oder den Mit‑ gliedstaaten einen Ermessensspielraum einzuräumen. Die Be‑ fugnisse zielen, zu denen gem. Art. 58 Abs. 2 Buchst. i) DS‑GVO die Befugnis zur Verhängung von Geldbußen gehört, auf den Verantwortlichen ab. Zudem könne ein solcher Verantwort‑ licher, sowohl eine natürliche als auch eine juristische Person sein. Die materiellen Voraussetzungen, die eine Aufsichtsbe‑ hörde bei der Verhängung einer solchen Geldbuße zu beachten habe, seien in Art. 83 Abs. 1 bis 6 DS‑GVO genau und ohne Er‑ messensspielraum für die Mitgliedstaaten aufgeführt.[56]

Aus der Zusammenschau von Art. 4 Nr. 7, Art. 83 und Art. 58 Abs. 2 Buchst. i) DS‑GVO ergebe sich, dass eine Geldbuße wegen eines Verstoßes gem. Art. 83 Abs. 4 bis 6 DS‑GVO gegen juristische Personen verhängt werden könne, sofern sie die Eigenschaft eines Verantwortlichen haben.

d) Angemessene Verfahrensgarantien

Aus Art. 58 Abs. 4 und Art. 83 Abs. 8 DS‑GVO ergebe sich zwar im Licht des 129. Erwägungsgrundes der DS‑GVO, dass die Ausübung der Befugnisse, über die die Aufsichtsbehörde gem. diesen Artikeln verfügt, angemessenen Verfahrensgarantien gem. dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren, unterliegen müsse.[57]

Davon ausgeschlossen sei es aber weitere materielle Voraussetzungen von Seiten des Mitgliedstaates vorzusehen, die zu den in Art. 83 Abs. 1 bis 6 DS‑GVO hinzutreten. Durch den Umstand, dass der Unionsgesetzgeber eigens und ausdrücklich diese Möglichkeit vorgesehen hat, aber nicht diejenige, solche zusätzlichen materiellen Voraussetzungen festzulegen, werde bestätigt, dass er den Mitgliedstaaten insoweit keinen Ermessensspielraum gelassen hat. Für diese materiellen Voraussetzungen gilt daher nach Auffassung des EuGH ausschließlich das Unionsrecht.[58]

Auch der Zweck der DS‑GVO bestätige diese Auslegung von Art. 58 Abs. 2 und Art. 83 Abs. 1 bis 6 DS‑GVO.[59] Insbesondere aus dem 10. ErwG der DS‑GVO gehe hervor, dass deren Bestimmungen u. a. die Ziele haben, bei der Verarbeitung personen‑ bezogener Daten unionsweit ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und zu diesem Zweck sicherzustellen, dass die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten dieser Personen bei der Verarbeitung solcher Daten unionsweit gleichmäßig und einheitlich angewendet werden. In den ErwG 11 und 129 der DS‑GVO werde außerdem das Erfordernis betont, zur Sicherstellung einer einheitlichen Anwendung der DS‑GVO sicherzustellen, dass die Aufsichtsbehörden über gleiche Befug‑ nisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie über gleiche Sanktionen im Fall von Verstößen gegen die DS‑GVO verfügen.[60]

e) Funktioneller Unternehmensbegriff Artt. 101 und 102 AEUV

In seiner Entscheidung ordnete der EuGH die Bedeutung des funktionellen Unternehmensbegriffs im Datenschutzrecht ein. Der Begriff „Unternehmen“ im Sinne der Artt.  101 und 102 AEUV ist nach dem EuGH ohne Bedeutung für die Frage, ob und unter welchen Voraussetzungen eine Geldbuße nach Art. 83 DS‑GVO gegen einen Verantwortlichen verhängt werden kann, der eine juristische Person ist, da diese Frage in Art. 58 Abs. 2 und Art. 83 Abs. 1 bis 6 DS‑GVO abschließend geregelt sei.[61] Dieser Begriff ist hiernach nur relevant, um die Höhe einer Geldbuße zu bestimmen, die gem. Art. 83 Abs. 4 bis 6 DS‑GVO gegen einen Verantwortlichen verhängt wird.[62] Dieser Unternehmensbegriff umfasse für die Zwecke der Anwendung der in den Artt.  101 und 102 AEUV niedergelegten Wettbewerbsregeln jede eine wirtschaftliche Tätigkeit aus‑ übende Einheit unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung. Er bezeichnet somit eine wirtschaftliche Einheit, auch wenn diese aus rechtlicher Sicht aus mehreren natürlichen oder juristischen Personen besteht. Diese wirtschaftliche Einheit besteht in einer einheitlichen Organisation persönlicher, materieller und immaterieller Mittel, die dauerhaft einen bestimmten wirtschaftlichen Zweck verfolgt.[63]

So ergebe sich aus Art. 83 Abs. 4 bis 6 DS‑GVO, der die Berechnung der Geldbußen für die in diesen Absätzen aufgeführten Verstöße betrifft, dass der Höchstbetrag für die Geldbuße auf der Grundlage eines Prozentsatzes des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs des betreffenden Unternehmens berechnet werde, wenn der Adressat der Geldbuße ein Unternehmen im Sinne der Artt. 101 und 102 AEUV ist oder einem solchen angehöre.[64] Weiter fordert der EuGH für Geldbußen, dass deren Höhe anhand der tatsächlichen oder materiellen Leistungsfähigkeit des Adressaten von der Aufsichtsbehörde unter Zugrundelegung des Begriffs der wirtschaftlichen Einheit festgesetzt werden und die die drei in Art. 83 Abs. 1 DS‑GVO genannten Voraussetzungen erfüllen, sowohl wirksam und verhältnismäßig als auch abschreckend zu sein.[65]

Eine Aufsichtsbehörde sei, wenn sie aufgrund ihrer Befug‑ nisse nach Art. 58 Abs. 2 DS‑GVO beschließe, gegen einen Verantwortlichen, der ein Unternehmen im Sinne der Artt. 101 und 102 AEUV ist oder einem solchen angehört, eine Geldbuße gem. Art.  83 DS‑GVO zu verhängen, nach Art.  83 im Licht des 150. ErwG der DS‑GVO verpflichtet, bei der Berechnung der Geldbu‑ ßen für die in Art. 83 Abs. 4 bis 6 DS‑GVO genannten Verstöße den Begriff „Unternehmen“ im Sinne der Artt. 101 und 102 AEUV zugrunde zu legen.[66] Damit bestätigte der EuGH die in der Literatur schon länger vertretene Auffassung.

  1. Zweite Vorlagefrage

Mit der zweiten Frage hatte der EuGH darüber zu entscheiden, ob Art. 83 DS‑GVO dahin auszulegen sei, dass nach dieser Bestimmung eine Geldbuße nur dann verhängt werden dürfe, wenn nachgewiesen sei, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DS‑GVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat.[67] Art. 83 DS‑GVO enthält keine ausdrückliche Klarstellung, dass die in seinen Abs. 4 bis 6 genannten Verstöße nur dann mit einer solchen Geldbuße geahndet werden können, wenn sie vorsätzlich oder zumindest fahrlässig begangen wurden.

a) Auslegung Art. 83 DS‑GVO

Für die materiellen Voraussetzungen, die eine Aufsichtsbehörde bei der Verhängung einer Geldbuße gegen einen Verantwortlichen zu beachten hat, gilt ausschließlich das Unionsrecht. Diese Voraussetzungen sind in Art. 83 Abs. 1 bis 6 DS‑GVO genau festgelegt und lassen den Mitgliedstaaten keinen Ermessensspielraum.[68] Zu diesen Voraussetzungen ist festzustellen, dass Art.  83 Abs.  2 DS‑GVO die Kriterien anführt, die die Aufsichtsbehörde bei der Verhängung einer Geldbuße gegen den Verantwortlichen berücksichtigt. Zu diesen Kriterien gehört nach Buchst. b) dieser Bestimmung die „Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes“. Da‑ gegen deute keines der in der genannten Bestimmung aufgeführten Kriterien auf eine Möglichkeit hin, den Verantwortlichen unabhängig von seinem Verschulden haftbar zu machen.[69] Aus dem Wortlaut von Art. 83 Abs. 2 DS‑GVO er‑ gebe sich, dass nur Verstöße gegen die Bestimmungen der DS‑GVO, die der Verantwortliche schuldhaft, d.h. vorsätzlich oder fahrlässig, begeht, zur Verhängung einer Geldbuße gegen ihn nach diesem Artikel führen können.[70]

Dies sieht der EuGH durch die Systematik und den Zweck der DS‑GVO bestätigt.[71] Zum einen habe der Unionsgesetzgeber ein Sanktionssystem vorgesehen, das es den Aufsichtsbehörden ermöglicht, je nach den Umständen des Einzelfalls die geeignetste Sanktion zu verhängen.[72] Art. 58 Abs. 2 Buchst. i) der DS‑GVO bestimme nämlich, dass die Aufsichtsbehörden befugt seien, eine Geldbuße gem. Art. 83 DS‑GVO „zusätzlich zu oder anstelle von“ anderen in Art. 58 Abs. 2 genannten Abhilfebefugnissen, wie die Befugnis zur Erteilung von Warnungen, Verwarnungen oder Anweisungen zu verhängen. Zudem heiße es im 148. ErwG dieser Verordnung u.a., dass es den Aufsichtsbehörden gestattet ist, im Fall eines geringfügigeren Verstoßes oder falls die voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, von der Verhängung einer Geldbuße abzusehen und stattdessen eine Verwarnung zu erteilen.[73]

Zur Sicherstellung einer einheitlichen Anwendung der DS‑GVO müssten die Aufsichtsbehörden zudem über gleiche Befugnisse bei der Überwachung und Gewährleistung der Ein‑ haltung der Vorschriften zum Schutz personenbezogener Daten verfügen, so dass sie im Fall von Verstößen gegen die DS‑GVO die gleichen Sanktionen verhängen könnten.[74] Ein Sanktionssystem, das es ermögliche, eine Geldbuße gem. Art. 83 DS‑GVO zu verhängen, wenn die besonderen Umstände des Einzelfalls dies rechtfertigen, schafft für Verantwortliche und Auftragsverarbeiter einen Anreiz, der DS‑GVO nachzukommen. Geldbußen trügen durch ihre abschreckende Wirkung zu einem stärkeren Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten bei. Sie seien daher ein Schlüsselelement, um die Wahrung der Rechte dieser Personen zu gewährleisten, und stünden im Einklang mit dem Ziel der DS‑GVO, ein hohes Schutzniveau für solche Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten.[75] Der EuGH stelle fest, dass Art. 83 DS‑GVO es nicht gestatte, eine Geldbuße we‑ gen eines in Art. 83 Abs. 4 bis 6 genannten Verstoßes zu verhän‑ gen, ohne dass nachgewiesen sei, dass dieser Verstoß von dem Verantwortlichen vorsätzlich oder fahrlässig begangen wurde. Folglich ist Voraussetzung für die Verhängung einer solchen Geldbuße, dass der Verstoß schuldhaft begangen wurde.[76]

b) Vorsatz oder Fahrlässigkeit

Nach dem EuGH ist Art. 83 DS‑GVO dahin auszulegen, dass nach dieser Bestimmung eine Geldbuße nur dann verhängt werden dürfe, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DS‑GVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat. Das Gericht stellt unter Be‑ zugnahme vorausgehender kartellrechtlicher Rechtsprechung klar, dass ein Verantwortlicher für ein Verhalten, das in den Anwendungsbereich der DS‑GVO fällt, sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DS‑GVO verstößt.[77] Handelt es sich bei dem Verantwortlichen um eine juristische Person, ist klarzustellen, dass die Anwendung von Art. 83 DS‑GVO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person verlangt.[78]

III. Das KG Berlin entscheidet

Das KG Berlin hat nun am 22.01.2024 entschieden. Der Bußgeldbescheid sei wirksam und stelle eine ausreichende Ver‑ fahrensgrundlage dar.[79] Es gab der Beschwerde der Staatsan‑ waltschaft statt und verwies das Verfahren an das Landgericht Berlin zurück. Für das Landgericht Berlin bedeutet dies nun, dass das Landgericht das Verfahren fortsetzen muss und über den Einspruch gegen den Bußgeldbescheid in der Sache zu entscheiden hat.[80] Dabei muss es berücksichtigen, dass nach der Rechtsprechung des EuGH[81] die in Art. 83 DS-GVO vorgesehenen Geldbußen unmittelbar gegen juristische Personen verhängt werden können, wenn diese als für die Datenverarbeitung Verantwortliche einzustufen sind. Eine Verbandshaftung erfordert weder das Verschulden eines Repräsentanten (§ 30 OWiG) noch eine Aufsichtspflichtverletzung (§ 130 OWiG). Vielmehr seien Unternehmen im Deliktsbereich der DS‑GVO per se schuldfähig. Die vom EuGH für den Bereich der DS‑GVO entwickelten sachlich-rechtlichen Grundzüge der Verbands‑ geldbuße überformen, prägen und gestalten auch das diesbezügliche nationale Verfahrensrecht (hier §  66 OWiG). Der Bußgeldbescheid muss die natürliche Person, der eine Pflicht‑ verletzung ggf. zur Last fällt, nicht bezeichnen.[82]

IV. Neue offene Fragen

Es sind mit der Entscheidung des EuGH entscheidende offene Fragen geklärt worden. Zwei Fragen dürften nun in der Folge noch zu klären sein.

  1. Sanktionsminderung infolge Compliance

Eine Frage, die mit Sicherheit noch einer rechtlichen Klärung zu‑ zuführen sein wird, ist die Frage, ob ein gutes Compliancesystem sich tatbestandsausschließend oder mindernd bei der Zumessung der Geldbuße auswirkt. Die Zumessung einer Sanktion fordert die Berücksichtigung der Zumessungskriterien nach Art.  83 Abs.  2 DS‑GVO. Explizit genannt sind Compliancemaßnahmen dort jedenfalls nicht. Aber Art. 83 Abs. 2 Buchst. f) DS‑GVO fordert, dass der Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern Berücksichtigung in der Bußgeldzumessung zu finden hat. Als Kriterium für die Bemessung einer Geld‑ buße wegen eines Datenschutzverstoßes berücksichtigen die Datenschutzaufsichtsbehörden ein Compliance-Systems, indem die Sanktionsminimierung auch deshalb erfolgen kann, weil sich Unternehmen nach erfolgtem Rechtsverstoß einsichtig zeigt und sich kooperativ zur Erstellung eines neuen Datenschutzkonzepts (mit u.a. einem neu berufenen Datenschutzkoordinator, monat‑ lichen Datenschutz-Statusupdates) bereitfindet.[83] Die Herausforderung für die Aufsichtsbehörden wird sicherlich sein, die Compliance-Systeme zu überschauen und anzuerkennen, dass sie die oben geschilderte positive Auswirkung haben können. Positiv könnte es insofern sein, dass mit der 10. GWB-Novelle[84] das Kartell- und Wettbewerbsrecht in Deutschland grundlegend geändert wurde und seitdem effektive Compliance-Programme und Nachtat-Verhalten von Unternehmen zu berücksichtigen sind.[85]

  1. Bestimmtheit der Pflichten

Ein weiterer Punkt dürfte die Frage sein, war es für das Unternehmen erkennbar, welche Pflichten es als Verantwortlichen i.S.v. Art. 4 DS‑GVO treffen. Eine im Kartellrecht viel diskutierte Frage ist im Zusammenhang mit Vorsatz und Fahrlässigkeit, der Schuld, inwieweit denn die Pflichten bestimmt sein müssen um sie erfüllen zu können. Außerdem könnte klärungsbedürftig sein, was geschieht, wenn die Behörden unklare oder gar falsche Aufführungen bei der Klarstellung der Pflichten machen.

V. Zusammenfassung

Wenn neues europäisches Recht auf die Praxis trifft, bleiben Rechtsfragen nicht aus. Dies kann zu einer diversen nationalen Rechtsprechung führen. Wichtig ist es dann, dass frühzeitig die Gelegenheit zur Klärung von Fragen vor dem EuGH genutzt wird. Mit dieser konkreten Entscheidung vom 05.12.2023 hat der EuGH einen wesentlichen Beitrag zur Effektivierung der DS‑GVO-Bußgeldverfahren nach 5 Jahren DS‑GVO geleistet.

Maria Christina Rost wurde am 24.04.2024 zur Landesbeauftragten für den Datenschutz Sachsen-Anhalt gewählt. Bis zu ihrer Ernennung war sie Leiterin des Justiziariat und der Öffentlichkeitsarbeit beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI). Vor ihrer Tätigkeit beim HBDI war sie in der Kanzlei des Hessischen Landtags, im Ministerium für Schule und Weiterbildung des Landes NRW und als Rechtsanwältin tätig

[1] Rost/Wigger, CB 2023, 333; Sonnenberg, JuS 2017, 917; Siepelt/Pütz, CCZ 2018, 78.

[2] Zu unternehmensinternen Ermittlungen s.a. Spehl/Momsen/Grützner, CCZ 2013, 260, dies. CCZ 2014, 2; dies. CC 2014, 170; dies. CCZ 2015, 77; Greve, ZD 2014, 336; Greco/Caracas, NStZ 2015, 7; Krug/Skoupil, NJW 2017, 2374.

[3] Thode, CR 216, 714; Wybitul, CCZ 2016, 194; ders. ZD 2016, 782

[4] EuGH C-807/21, ECLI:EU:C:2023:950

[5] Roßnagel/Rost, ZD 2024, 183; Müllmann/Spiecker gen. Döhmann, JZ 2024, 348; Roßnagel/Rost, ZD 2023, 502

[6] Rost, RDV 2017, 13; Schönefeld/Thomé, PinG 2017, 126; Eckhardt/Menz, DuD 2018, 139; Keppler/Berning, DStR 2018, 91; Bergt, DuD 217, 555; Cornelius, NZWiSt 2016, 421; Faust/Spittka/Wybitul, ZD 2016, 120; Uebele, EuZW 2018, 440; Grundwald/Hackl, ZD 2017, 556

[7] Entschließung der DSK v. 03.04.2019, S. 1.

[8] Entschließung der DSK v. 03.04.2019, S. 1.

[9] S. dazu Danecker, NZWiSt 2022, 85; Cordes/Reichling, NJW 2016, 3209; Blassl, CCZ 2016, 201; Fromm NJOZ 2015, 441; Tiedemann, NJW 1988, 1169.

[10] Schwarz, EuR 2009, 171; Mansdörfer/Timmerbeil, EuZW 2011, 214

[11] LG Bonn v. 11.11.2020 Az.: 29 OWi 430 Js-OWi 366/20-1/20 LG.

[12] LG Bonn v. 11.11.2020 Az.: 29 OWi 430 Js-OWi 366/20-1/20 LG.

[13] S. dazu Danecker, NZWiSt 2022, 85; Eckhardt/Menz, DuD 2018, 139

[14] LG Bonn v. 11.11.2020 Az.: 29 OWi 430 Js-OWi 366/20-1/20 LG, Rn. 55

[15] Roßnagel/Rost, ZD 2024, 183; Danecker, NZWiSt 2022, 85; Cornelius, NZWiSt 2016, 421

[16] S. dazu zum Kartellrecht Ahrens, EuZW 2013, 899; Mansdörfer/Timmerbeil, EuZW 2011, 214; Cordes/Reichling, NJW 2015, 1335; Bosch, NJW 2016, 1700

[17] LG Bonn v. 11.11.2020, Az.: 29 OWi 430 Js-OWi 366/20-1/20 LG, Rz. 56.

[18] LG Bonn v. 11.11.2020, Az.: 29 OWi 430 Js-OWi 366/20-1/20 LG, Rz. 58-60

[19] LG Bonn v. 11.11.2020, Az.: 29 OWi 430 Js-OWi 366/20-1/20 LG, Rz. 58.

[20] Bundesverwaltungsgericht Österreich v. 19.08.2019, Az. W211 2208885-1.

[21] Straferkenntnis entspricht dem deutschen Bußgeldbescheid.

[22] LG Bonn v. 11.11.2020, Az.: 29 OWi 430 Js-OWi 366/20-1/20 LG, Rz. 59-61.

[23] Vgl. Gola, DS‑GVO, 2. Aufl. 2018, Art. 83 Rn. 11; Schantz/Wolff, Das neue Daten‑ schutzrecht, F. Durchsetzung des Datenschutzrechts, Rn.  1134; Forgó/Hel‑ frich/Schneider, Betrieblicher Datenschutz, Teil XIV. Straf- und Ordnungswid‑ rigkeitenvorschriften im Bereich des betrieblichen Datenschutzes, Rn.  148; die Frage der Anwendbarkeit aufwerfend: Sydow, Europäische Datenschutz‑ grundverordnung, 2. Aufl. 2018, Art. 83 Rn. 5.

[24] Vgl. BeckOK, DatenschutzR/Holländer, 33. Ed. 01.08.2020 DS‑GVO Art.  83 Rn. 11, 21; Gola/Heckmann/Ehmann, 13. Aufl. 2019, BDSG § 41 Rn. 20; Thiel, (In‑ terview) ZD 2020, 3 (3f.); Bergt, DuD 2017, 555, 556; Kühling/Buchner/Bergt, 3. Aufl. 2020 Rn. 20, DS‑GVO Art. 83 Rn. 20; Ebner/Schmidt, CCZ 2020, 84; sie‑ he auch Entschließung vom 03.04.2019 der 97. DSK „Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten“ und das Working Paper 253 der Art.–29-Datenschutzgruppe vom 03.10.2017, S. 6.

[25] Verantwortlicher i.S.d. Art. 4 Nr. 7 DS-GVO

[26] Auftragverarbeiter i.S.d. Art. 4 Nr. 8 DS‑GVO

[27] LG Bonn v. 11.11.2020, Az.: 29 OWi 430 Js-OWi 366/20-1/20 LG, Rz. 63

[28] Vgl. Bergt, in: Kühling/Buchner, DS‑GVO BDSG, 3. Aufl. 2020, § 41 BDSG Rn. 7: „im Ansatz für ein originäres Unternehmenssanktionsrecht unpassende[r] § 30 OWiG“.

[29] LG Bonn v. 11.11.2020, Az.: 29 OWi 430 Js-OWi 366/20-1/20 LG, Rz. 64.

[30] LG Bonn v. 11.11.2020, Az.: 29 OWi 430 Js-OWi 366/20-1/20 LG, Rz. 65 – 71 mit näheren Ausführungen.

[31] LG Bonn v. 11.11.2020, Az.: 29 OWi 430 Js-OWi 366/20-1/20 LG, Rz 72.

[32] S. „effet utile“, st. Rspr. EuGH, vgl. Rechtssache C-6/90 u. 9/90, NJW 1992, 165, Rn. 32 m.w.N.

[33] LG Bonn v. 11.11.2020, Az.: 29 OWi 430 Js-OWi 366/20-1/20 LG Rz 77.

[34] LG Berlin Beschl. v. 18.02.2021 Az.: ((526 OWi LG) 2012 Js-OWi 1/20 (1/29( 526 OWi LG 1/20; ECLI:DE:LGBE:2021:0218.526OWI.LG212JS.OW.00 https://gesetze. berlin.de/bsbe/document/KORE209362021.

[35] LG Berlin, Beschl. v. 18.02.2021, Az.: 526 OWi LG 1/20, Leitsatz 1.

[36] LG Berlin, Beschl. v. 18.02.2021, Az.: 526 OWi LG 1/20, Leitsatz 1.

[37] LG Bonn v. 11.11.2020, 29 OWi 1/20, wistra 2021, 88.

[38] LG Berlin, Beschl. v. 18.02.2021, Az.: 526 OWi LG 1/20, Rn. 11.

[39] EuGH v. 05.12.2023, Az.: C-807/21, Rz. 22 f

[40] EuGH v. 05.12.2023, Az.: C-807/21, Rz. 23.

[41] EuGH v. 05.12.2023, Az.: C-807/21, Rz. 24.

[42] EuGH v. 05.12.2023, Az.: C-807/21, Rz. 25.

[43] EuGH v. 05.12.2023, Az.: C-807/21, Rz. 26

[44] EuGH v. 05.12.2023, Az.: C-807/21, Rz. 60

[45] 6 EuGH v. 05.12.2023, Az.: C-807/21, Rz. 34.

[46] S. Urt. v. 26.01.2021, Hessischer Rundfunk, C‑422/19 und C‑423/19, EU:C:2021:63, Rn. 31 und die dort angeführte Rechtsprechung.

[47] EuGH v. 05.12.2023, Az.: C-807/21, Rz. 36.

[48] EuGH v. 05.12.2023, Az.: C-807/21, Rz. 37

[49] EuGH v. 05.12.2023, Az.: C-807/21, Rz. 44.

[50] EuGH v. 05.12.2023, Az.: C-807/21, Rz. 38.

[51] EuGH v. 05.12.2023, Az.: C-807/21, Rz. 39

[52] EuGH v. 5.12.2023, Az.: C-807/21, Rz. 40; s.a. Urt. v. 29.07.2019, Fashion ID, C‑40/17, EU:C:2019:629, Rn. 66, und vom 28.04.2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, Rn. 73 sowie die dort angeführte Rechtsprechung.

[53] Vgl. in diesem Sinne Urt. v. 10.07.2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, Rn. 68.

[54] EuGH v. 05.12.2023, Az.: C-807/21, Rz. 42.

[55] EuGH v. 05.12.2023, Az.: C-807/21, Rz. 43.

[56] EuGH v. 05.12.2023, Az.: C-807/21, Rz. 45.

[57] EuGH v. 05.12.2023, Az.: C-807/21, Rz. 47.

[58] EuGH v. 05.12.2023, Az.: C-807/21, Rz. 48

[59] EuGH v. 05.12.2023, Az.: C-807/21, Rz. 49-52

[60] EuGH v. 05.12.2023, Az.: C-807/21, Rz. 50

[61] EuGH v. 05.12.2023, Az.: C-807/21, Rz. 53

[62] EuGH v. 05.12.2023, Az.: C-807/21, Rz. 54.

[63] S. Rn. 56 und s. Urt. v. 06.10.2021, Sumal, C‑882/19, EU:C:2021:800, Rn. 41 und die dort angeführte Rechtsprechung.

[64] EuGH v. 05.12.2023, Az.: C-807/21, Rz. 57

[65] EuGH v. 05.12.2023, Az.: C-807/21, Rz. 58.

[66] EuGH v. 05.12.2023, Az.: C-807/21, Rz. 59

[67] EuGH v. 05.12.2023, Az.: C-807/21, Rz. 61.

[68] EuGH v. 05.12.2023, Az.: C-807/21, Rz. 65; vgl. auch Urt. v. 05.12.2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:XXX, Rn. 64 bis 70).

[69] EuGH v. 05.12.2023, Az.: C-807/21, Rz. 66.

[70] EuGH v. 05.12.2023, Az.: C-807/21, Rz. 67-68.

[71] EuGH v. 05.12.2023, Az.: C-807/21, Rz. 69.

[72] EuGH v. 05.12.2023, Az.: C-807/21, Rz. 79.

[73] EuGH v. 05.12.2023, Az.: C-807/21, Rz. 71.

[74] EuGH v. 05.12.2023, Az.: C-807/21, Rz. 72

[75] EuGH v. 05.12.2023 Az.: C-807/21, Rz. 73.

[76] EuGH v. 05.12.2023 Az.: C-807/21, Rz. 74-75.

[77] EuGH v. 05.12.2023 Az.: C-807/21, Rz. 76; vgl. entsprechend Urt. v. 18.06.2013, Schenker & Co. u.a., C‑681/11, EU:C:2013:404, Rn.  37 und die dort ange‑ führte Rechtsprechung, v. 25.03.2021, Lundbeck/Kommission, C‑591/16 P, EU:C:2021:243, Rn. 156, und vom 25.03.2021, Arrow Group und Arrow Generics/ Kommission, C‑601/16 P, EU:C:2021:244, Rn. 97).

[78] EuGH v. 05.12.2023 Az.: C-807/21, Rz. 76-77; vgl. auch Urt. v. 07.06.1983, Musi‑ que Diffusion française u.a./Kommission, 100/80 bis 103/80, EU:C:1983:158, Rn.  97, und vom 16.02.2017, Tudapetrol Mineralölerzeugnisse Nils Hansen/ Kommission, C‑94/15 P, EU:C:2017:124, Rn.  28 sowie die dort angeführte Rechtsprechung).

[79] Dazu KG Berlin Beschl. v. 22.01.2024 – 3 Ws 250/21 – 161 AR 84/21)

[80] Https://openjur.de/u/2482447.ppdf.

[81] EuGH v. 05.12.2023 Az.: C-807/21.

[82] S. Leitsätze KG Berlin Beschl. v. 22.01.2024 – 3 Ws 250/21 – 161 AR 84/21.

[83] Vg. Gola RDV 2022, S. 8; Eufinger CCZ 2016, 209; Brauneck CCZ 2016, 107; Glöck‑ ner JuS 2017, 905.

[84] S. BGBl. I, 2021 Teil I; 2021 Nr. 1 v. 18.01.2021.

[85] S. Gola RDV 2022, 8.