DA+

Aufsatz : Die Verhängung von Geldbußen wegen Datenschutzverstößen gegen Krankenkassen nach Art. 83 DS‑GVO* : aus der RDV 4/2024, Seite 212 bis 220

Ein exemplarischer Beitrag zur Auslegung des Unionsrechts und des mitgliedstaatlichen Rechts anhand des Gebots der Unionstreue

Lesezeit 43 Min.

Stellen der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit oder die für die Kontrolle des Datenschutzes zuständigen Stellen der Länder einen Datenschutzverstoß einer Krankenkasse fest, können sie nach Art. 83 Abs. 4 – 6 DS-GVO eine Geldbuße in Höhe von 2% bzw. 4% ihres gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen. Sie sind hierzu ohne Rücksicht auf die Regelungen des § 85a Abs. 3 SGB X und § 43 Abs. 3 BDSG berechtigt, weil Krankenkassen keine Behörden oder öffentliche Stellen i.S.d. Art. 83 Abs. 7 DS-GVO, sondern Unternehmen i.S.d. Art. 83 Abs. 4 – 6 DS-GVO sind. Der nach Art. 83 Abs. 4 – 6 DS-GVO maßgebliche Jahresumsatz einer Krankenkasse ergibt sich aus den jährlich auf sie entfallenden Zuweisungen aus dem Gesundheitsfonds. Die nach Art. 83 Abs. 4 – 6 DS-GVO maximal festzusetzende Höhe einer Geldbuße kann bei einer großen Krankenkasse durchaus einen dreistelligen Millionenbetrag erreichen. Dabei ist die Frage der Verhältnismäßigkeit der Höhe einer Geldbuße nicht nach den Maßstäben des deutschen Rechts, sondern nach unionsrechtlichen Maßstäben zu beurteilen.

I. Rechtliche Rahmenbedingungen

Bisher ist in Rechtsprechung und Literatur nicht abschließend geklärt, ob und falls ja unter welchen Umständen gegen Krankenkassen wegen von ihnen begangener Verstöße gegen die DS-GVO Geldbußen i.S.d. Art. 83 DS-GVO verhängt werden können[1] . Die Frage, ob gegen Krankenkassen Geldbußen nach Art.  83 DS-GVO verhängt werden dürfen, kann nur unter Anwendung unionsrechtlicher Dogmatik zutreffend beantwortet werden. Die scheinbar zu einer Beantwortung der Frage führenden einfachgesetzlichen nationalen Regelungen werden nämlich durch vorrangig anwendbares Unionsrecht überlagert[2].

1. Unionsrechtlicher Hintergrund

Krankenkassen als Träger der Gesetzlichen Krankenversicherung unterliegen der DS-GVO, wobei im Rahmen ihrer Öffnungsklauseln ergänzend sozialdatenschutzrechtliche Vorschriften wie solche des SGB X[3] und SGB V[4] zur Anwendung kommen. Soweit sozialdatenschutzrechtliche oder andere nationale Vorschriften jedoch nicht von den Öffnungsklauseln der DS-GVO gedeckt sind oder aus anderen Gründen mit Unionsrecht nicht vereinbar sind, haben diese im Rahmen des Anwendungsvorrangs des Unionsrechts unangewendet zu bleiben[5] . Sollten Regelungen der DS-GVO zu solchen des primären Unionsrechts in Widerspruch stehen, ist wie folgt zu unterscheiden: Ist eine Norm der DS-GVO mit primärem Unionsrecht völlig unvereinbar, darf aufgrund des Normverwerfungsmonopols[6] nur der EuGH diese Norm für nichtig[7] bzw. ungültig[8] erklären. Besteht aber die Möglichkeit, einen zwischen DS-GVO und primärem Unionsrecht bestehenden Widerspruch durch eine normerhaltende Auslegung aufzulösen, ist eine solche im Wege der primärrechtskonformen Auslegung vorzunehmen[9].

a) Inhalt und Bedeutung der Ausnahmeregel des Art. 83 Abs. 7 DS-GVO

Bei der Konzeption der DS-GVO waren viele ihrer Verfasser von dem Wunsch geleitet, dass die Aufsichtsbehörde bei festgestellten Verstößen gegen die DS-GVO gegen jeden der DS-GVO unterworfenen Akteure grundsätzlich auch eine Geldbuße i.S.d. Art.  83 DS-GVO verhängen darf[10]. Allerdings sieht Art. 83 Abs. 7 DS-GVO vor, dass im mitgliedstaatlichen Recht geregelt werden kann, dass in dem betreffenden Mitgliedstaat gegen niedergelassene Behörden und öffentliche Stellen Geldbußen nicht oder nur in bestimmtem Umfang verhängt werden dürfen – eine Vorschrift, die maßgeblich auf deutschen Einfluss bei der Gesetzgebung der Union zurückzuführen ist[11]. Deutschland hat von dieser Möglichkeit mit §  43 Abs.  3 BDSG (bzw. den §  43 Abs.  3 BDSG entsprechenden datenschutzrechtlichen Regelungen der Länder[12]) und §  85a Abs.  3 SGB X Gebrauch gemacht. In der Literatur ist umstritten, ob Art. 83 Abs. 7 DS-GVO so zu verstehen ist, dass ohne nationale Regelung gegen Behörden Geldbußen verhängt werden dürfen[13] oder Geldbußen nur im Fall einer entsprechenden nationalen Regelung verhängt werden dürfen[14]. Auf eine Entscheidung dieses Literaturstreits kommt es im Fall von Krankenkassen aber nicht an: Einerseits gibt es in Deutschland mit § 85a Abs. 3 SGB X und § 43 Abs. 3 BDSG (bzw. den §  43 Abs.  3 BDSG entsprechenden datenschutzrechtlichen Regelungen der Länder) nationale Regelungen i.S.d. Art. 83 Abs. 7 DS-GVO, andererseits sind Krankenkassen keine Behörden oder öffentliche Stellen i.S.d. Art. 83 Abs. 7 DS-GVO, sondern Unternehmen i.S.d. Art. 83 Abs. 4 – 6 DS-GVO.

b) Fragliche Vereinbarkeit von Art. 83 Abs. 7 DS-GVO mit primärem Unionsrecht

Angesichts der ursprünglich nicht vorgesehenen Ausnahmemöglichkeit des Art.  83 Abs.  7 DS-GVO kann durchaus hinterfragt werden, ob Art.  83 Abs.  7 DS-GVO überhaupt mit primärem Unionsrecht vereinbar ist. Insbesondere kann die Vereinbarkeit der durch Art. 83 Abs. 7 DS-GVO ermöglichten Ungleichbehandlung von Privaten und Behörden bzw. öffentlichen Stellen mit den in Art. 9 EUV, Art. 8 AEUV und Art. 20 GrCh geregelten Gleichheitspostulaten ernsthaft angezweifelt werden[15]. Die Frage der Legitimität der durch Art.  83 Abs. 7 DS-GVO für Behörden und öffentliche Stellen ermöglichen Ausnahme von der Bußgeldfähigkeit ist bisher soweit ersichtlich nicht ernsthaft gestellt worden. Dies mag darauf zurückzuführen sein, dass teilweise von einer allgemeinen Vermutung für die Primärrechtskonformität sekundären Unionsrechts ausgegangen wird[16]. Eine solche Vermutung stützt sich schlicht auf die Erwägung, dass sich der Unionsgesetzgeber bei der Schaffung sekundären Unionsrechts an primärem Unionsrecht als ranghöherer Norm ausrichte[17]. Gegen eine solche allgemeine Vermutung sprechen jedoch insbesondere ein formales Argument und eine – wohl vor allem Praktikern bekannte – Erfahrung aus der Lebenswirklichkeit bei der Gesetzgebung. In formaler Hinsicht kann aus den eine Normverwerfung erlaubenden Regelungen des primären Unionsrechts[18] geschlossen werden, dass die Mitgliedstaaten als die „Herren“ der Gründungsverträge dem Unionsgesetzgeber bei der Schaffung sekundären Unionsrechts misstraut haben[19]. In praktischer Hinsicht ist vor allem die Erfahrung zu berücksichtigen, dass zu einem späten Zeitpunkt in ein Gesetzgebungsverfahren eingebrachte Änderungen häufig nicht gründlich geprüft werden[20]. Gerade im Bereich der Unionsgesetzgebung gilt: Je länger ein Gesetzgebungsverfahren bereits läuft, desto größer ist der Einigungsdruck und die Bereitschaft zu – insbesondere politischen – Kompromissen. Es ist ein offenes Geheimnis, dass sich gerade in späten Stadien der Unionsgesetzgebung die entscheidenden Diskussionen in den gesetzgebenden Organen fast nur noch auf politischer Ebene abspielen und einem Abgleich mit unionsrechtlicher Dogmatik – vorsichtig formuliert – eine eher nachrangige Bedeutung zukommt. Vor diesem Hintergrund spricht keinesfalls eine Vermutung dafür, dass sekundäres Unionsrechts mit primärem Unionsrecht vereinbar ist. Im hier betroffenen Fall des Art. 83 Abs. 7 DS-GVO gilt dies umso mehr, als er ursprünglich gar nicht vorgesehen war und erst auf Druck unter anderem Deutschlands[21] in den ursprünglichen Entwurf der DS-GVO nachträglich eingefügt wurde.

Die mit Art. 83 Abs. 7 DS-GVO für Behörden und öffentliche Stellen ermöglichte Ausnahme von der Bußgeldfähigkeit begegnet insbesondere im Hinblick auf den in Art.  20 GrCH genannten Gleichheitsgrundsatz erheblichen Bedenken. Dies gilt insbesondere, wenn man berücksichtigt, dass Private bei einem gleich schweren Verstoß mit einer Geldbuße in mehrstelliger Millionenhöhe sanktioniert werden können, Behörden und öffentliche Stellen dagegen nur mit einer Verwarnung. Zwar könnte argumentiert werden, dass die Arbeit von Behörden so wichtig ist, dass sie nicht durch den Sanktionsdruck einer Bußgelddrohung behindert werden soll, jedoch kann dem entgegengehalten werden, dass der Unionsgesetzgeber ursprünglich die der Sachlogik entsprechende Gleichbehandlung des öffentlichen und des privaten Bereichs wollte und Art.  83 Abs.  7 DS-GVO nur aufgrund des – auch durch deutschen Druck ausgelösten[22] – Einigungszwangs eingeführt wurde. Das Argument, dass die Arbeit von Behörden aufgrund ihrer Wichtigkeit nicht mit dem Sanktionsdruck einer Bußgelddrohung belastet werden soll, ist auch insoweit nicht konsistent, als es dann keinen Grund geben dürfte, die in Art. 83 Abs. 7 DS-GVO geregelte Ausnahmemöglichkeit fakultativ auszugestalten, um von ihr je nach Mitgliedstaat unterschiedlich Gebrauch machen zu können. Die konsequente Fortführung des Arguments von der Wichtigkeit behördlicher Arbeit führt dann nämlich zu dem Ergebnis, dass die Arbeit von Behörden nur in den Mitgliedstaaten als wichtig anzusehen ist, in denen die Behörden von der Bußgeldfähigkeit nach Art. 83 Abs. 7 DS-GVO ausgenommen sind und die Arbeit von Behörden in den Mitgliedstaaten als nicht so wichtig anzusehen ist, in denen Behörden nicht von der Bußgeldfähigkeit nach Art. 83 Abs. 7 DS-GVO ausgenommen sind. Für die Frage, ob Krankenkassen von der Bußgeldfähigkeit nach Art. 83 Abs. 7 DS-GVO ausgenommen sind, kann eine Entscheidung über die Frage nach der Vereinbarkeit von Art.  83 Abs.  7 DS-GVO mit primärem Unionsrecht jedoch dahinstehen, weil diese ohnehin keine Behörden oder öffentlichen Stellen i.S.d. Art.  83 Abs.  7 DS-GVO, sondern Unternehmen i.S.d. Art.  83 Abs.  4 – 6 DS-GVO sind. Aus vorstehender Diskussion kann aber jedenfalls der Ausnahmecharakter einer Freistellung von der Geldbuße mit der Konsequenz hergeleitet werden, dass Art. 83 Abs. 7 DS-GVO im Fall seiner Anwendbarkeit restriktiv ausgelegt werden muss und umgekehrt der in Art. 83 Abs. 4 – 6 DS-GVO und in Erwägungsgrund 150 genannte Unternehmensbegriff, weil er eben auch ein unionsrechtlicher ist, erweiternd ausgelegt werden muss

2. Bundes- und landesrechtlicher Hintergrund

Für Krankenkassen als Träger der gesetzlichen Krankenversicherung ist grundsätzlich der Anwendungsbereich der Vorschrift des §  85a Abs.  3 SGB X eröffnet, laut dem gegen Behörden und sonstige öffentlichen Stellen keine Bußgelder verhängt werden.

a) Das Verhältnis von § 85a Abs. 3 SGB X zu § 43 Abs. 3 BDSG bzw. den § 43 Abs. 3 BDSG entsprechenden landesrechtlichen Vorschriften

§ 85a Abs. 3 SGB X geht als sozialdatenschutzrechtliche Spezialvorschrift in Bezug auf Krankenkassen der allgemeindatenschutzrechtlichen Vorschrift des §  43 Abs.  3 BDSG (bzw. den §  43 Abs.  3 BDSG entsprechenden datenschutzrechtlichen Regelungen der Länder) vor[23]. Dies ergibt sich für § 43 Abs.  3 BDSG aus dem allgemeinen Spezialitätsgrundsatz[24] bzw. dessen Ausdruck in §  1 Abs.  2 BDSG und für die §  43 Abs.  3 BDSG entsprechenden datenschutzrechtlichen Vorschriften der Länder jedenfalls aus dem allgemeinen Spezialitätsgrundsatz. Durch den in § 43 Abs. 3 BDSG enthaltenen Verweis auf § 2 Abs. 1 i.V.m. Abs. 5 BDSG kommt die gesetzliche Vorgabe zum Ausdruck, dass eine Einrichtung dann keine von der Bußgeldfähigkeit ausgenommene öffentliche Stelle ist, wenn es sich bei ihr um ein am Wettbewerb teilnehmendes öffentlich-rechtliches Unternehmen handelt[25]. Jedoch kommt es auf eine Einordnung von Krankenkassen als am Wettbewerb teilnehmende öffentlich-rechtliche Unternehmen i.S.d. § 43 Abs. 3 BDSG (bzw. den § 43 Abs. 3 BDSG entsprechenden datenschutzrechtlichen Vorschriften der Länder) bereits deshalb nicht an, weil § 43 Abs. 3 BDSG (bzw. die § 43 Abs. 3 BDSG entsprechenden datenschutzrechtlichen Vorschriften der Länder) durch die sozialdatenschutzrechtliche Vorschrift des § 85a Abs. 3 SGB X verdrängt wird, die eine solche Ausnahme nicht enthält.

b) Die fehlende Behördeneigenschaft i.S.d. § 85a Abs. 3 SGB X von Krankenkassen

Krankenkassen sind nach herrschender Rechtsprechung und Literatur bereits deshalb keine Behörden i.S.d. § 1 Abs. 2 SGB X, weil nach § 31 Abs. 3 S. 1 SGB IV nur deren vertretungsberechtigte Organe, nicht aber die Krankenkassen selbst Behörden sind[26]. Auch wenn der Wortlaut des §  31 Abs.  3 S.  1 SGB IV es zulassen würde, dass nach §  31 Abs.  3 S.  1 SGB IV sowohl Sozialversicherungsträger als auch ihre vertretungsberechtigten Organe Behörden sind, wird § 31 Abs. 3 S. 1 SGB IV allgemein als argumentum e contrario für die Aussage herangezogen, dass die Sozialversicherungsträger selbst keine Behörden sind. Dies kann auch durch eine Bezugnahme auf die Historie von § 31 Abs. 3 S. 1 SGB IV unterstützt werden: § 31 Abs. 3 S. 1 SGB IV ist auf § 1343 S. 1 der Reichsversicherungsordnung (RVO) zurückzuführen[27]. § 1343 S. 1 RVO sah vor, dass dem Vorstand von für die Invalidenversicherung zuständigen Versicherungsanstalten Behördeneigenschaft zukam. §  1343 S. 1 RVO bedurfte es als Ausnahmeregel, weil Versicherungsträgern ansonsten eben keine Behördeneigenschaft zukam. Dies ergibt sich daraus, dass die RVO klar zwischen „Versicherungsträgern“ (§§  3 ff. RVO)[28], „Versicherungsbehörden“ (§§ 35 ff. RVO)[29] und „sonstigen Behörden“ (§§ 110 ff. RVO)[30] differenziert hat.

Mit anderen Worten: Krankenkassen waren in Deutschland noch nie Behörden, und ihre vertretungsberechtigten Organe sind dies erst seit dem 01.07.1977, seit mit Inkrafttreten des § 31 Abs. 3 S. 1 SGB IV die ursprünglich nur den Vorstand der Invalidenversicherung betreffende Vorschrift des § 1343 RVO auf die vertretungsberechtigten Organe von Sozialversicherungsträgern im Allgemeinen übertragen worden ist.

Eine nach Art. 83 DS-GVO zu verhängende Geldbuße wird aber mit Blick auf den funktionalen Unternehmensbegriff regelmäßig[31] nicht gegen den Vorstand als ein die Behördeneigenschaft i.S.d. § 31 Abs. 3 S. 1 SGB IV erfüllendes vertretungsberechtigtes Organ einer Krankenkasse verhängt, sondern gegen das Unternehmen selbst, welches die die Behördeneigenschaft nicht erfüllende Krankenkasse ist (siehe dazu unten unter III. 2.). Soweit ersichtlich ist bisher nie hinterfragt worden, weshalb Krankenkassen nach Art. 83 Abs. 7 DS-GVO denn überhaupt von der Bußgeldfähigkeit ausgenommen worden sein sollten, wenn sie schon nach bundesrechtlichem Verständnis nicht den Begriff einer Behörde i.S.d. § 1 Abs. 2 SGB X erfüllen. Offenbar ist man in der Praxis in Verkennung des § 31 Abs. 3 S. 1 SGB IV schlicht davon ausgegangen, dass Krankenkassen Behörden i.S.d. § 1 Abs. 2 SGB X und als solche von der Bußgeldfähigkeit nach § 85a Abs. 3 SGB X i.V.m. Art. 83 Abs. 7 DS-GVO ausgenommen sind. Möglicherweise ist dies darauf zurückzuführen, dass Sozialversicherungsträger im verwaltungspraktischen Sprachgebrauch als Behörden bezeichnet und behandelt werden, ohne solche im juristischen Sinne zu sein[32].

Ob eine Krankenkasse zwar keine Behörde, wohl aber eine öffentliche Stelle i.S.d. § 85a Abs. 3 SGB X sein kann, ist soweit ersichtlich bisher ebenfalls nicht thematisiert worden. Mit Blick auf die Regelung des § 31 Abs. 3 S. 1 SGB IV spricht einiges dafür, dass Krankenkassen auch keine öffentlichen Stellen i.S.d. § 85a Abs. 3 SGB X sind, da die vom Gesetzgeber in § 31 Abs. 3 S. 1 SGB IV getroffene Grundentscheidung auch im Rahmen des §  85 Abs.  3 SGB X respektiert werden sollte. Allerdings kann es für die Frage der Bußgeldfähigkeit von Krankenkassen nach Art.  83 Abs.  7 DS-GVO aufgrund der Pflicht zur Unionstreue auch dahinstehen, ob Krankenkassen nach bundesrechtlichem Verständnis die Eigenschaft einer Behörde oder einer öffentlichen Stelle i.S.d. § 85a Abs. 3 SGB X erfüllen oder nicht, weil sie nach unionsrechtlichem Verständnis ohnehin weder Behörde noch öffentliche Stelle i.S.d. Art. 83 Abs. 7 DS-GVO sind.

c) Die Bedeutung des § 31 Abs. 3 S. 1 SGB IV für eine mögliche Vorstandshaftung

Sollte ein Vorstand einer Krankenkasse für einen Verstoß gegen die DS-GVO verantwortlich sein, kann gegen ihn nach bundesrechtlichem Verständnis mit Blick auf § 31 Abs. 3 S. 1 SGB IV i.V.m. § 85a Abs. 3 SGB X keine Geldbuße verhängt werden, weil er nach § 31 Abs. 3 S. 1 SGB IV Behörde ist. Allerdings richten sich nach Art.  83 DS-GVO zu verhängende Geldbußen wegen des funktionalen Unternehmensbegriffs regelmäßig[33] ohnehin nicht gegen den Vorstand, sondern gegen das Unternehmen als solches, d.h. hier also die Krankenkasse (siehe dazu unten unter III. 2.). Soweit eine Geldbuße gegen eine Krankenkasse aber aufgrund des Verschuldens des Vorstands verhängt wurde, kann die Krankenkasse ihn aber in Regress nehmen. Hierauf hat die nach § 90 SGB IV zuständige Rechtsaufsichtsbehörde in geeigneten Fällen entsprechend § 12 Abs. 3 SGB V hinzuwirken, falls die Krankenkasse den Vorstand nicht von sich aus in Regress nimmt. Ein Vorstand ist also vor einer Zahlungspflicht als Folge eines auf ihn zurückzuführenden Verstoßes gegen die DS-GVO nicht geschützt, obwohl er nach § 31 Abs. 3 S. 1 SGB X Behörde ist, gegen die nach bundesrechtlichem Verständnis nach §  85a Abs.  3 SGB X keine Geldbuße verhängt werden kann. Denn wenn wegen eines Verstoßes gegen die DS-GVO nach Art.  83 DS-GVO eine Geldbuße gegen die nicht die Behördeneigenschaft erfüllende Krankenkasse verhängt werden kann und diese den Vorstand – ggf. entsprechend § 12 Abs. 3 SGB V auf Druck der Rechtsaufsichtsbehörde – in Regress nimmt, dann kann gegenüber dem Vorstand wegen § 31 Abs. 3 S. 1 SGB X nach bundesrechtlichem Verständnis zwar keine Geldbuße verhängt werden, jedoch eine Zahlungspflicht in Form eines Regresses entstehen, die der Höhe der gegen die Krankenkasse verhängten Geldbuße entspricht. Eine andere Frage ist, ob ein den bundesrechtlichen Behördenbegriff nach § 31 Abs. 3 S. 1 SGB IV erfüllender Vorstand auch nach unionsrechtlichem Verständnis eine Behörde oder öffentliche Stelle i.S.d. Art. 83 Abs. 7 DS-GVO ist und als solche von der Bußgeldfähigkeit überhaupt ausgenommen sein kann[34].

Da es nach hier vertretener Auffassung nicht von vornherein ausgeschlossen ist, dass ein Vorstand in Höhe einer gegen die Krankenkasse verhängten Geldbuße in Regress genommen wird, kann sich für einen Vorstand die Frage stellen, ob er nicht eine D & O-Versicherung mindestens in Höhe einer maximal zu verhängenden Geldbuße (siehe dazu unten unter III. 3.) abschließt.

3. Die praktische Bedeutung der Verpflichtung der Aufsichtsbehörde zur Unionstreue nach Art. 4 Abs. 3 EUV

Eine Aufsichtsbehörde hat aufgrund ihrer Verpflichtung zur Unionstreue nach Art. 4 Abs. 3 EUV zu prüfen, ob sie Vorgaben des Unionsrechts Vorrang gegenüber nationalen Vorschriften einräumen muss[35]. In Bezug auf die Verhängung von Geldbußen gegenüber gesetzlichen Krankenkassen kann sich eine solche Frage im Verhältnis von Art. 83 DS-GVO und § 85a Abs.  3 SGB X dann stellen, wenn man die Ansicht vertreten sollte, dass eine Krankenkasse eine Behörde oder öffentliche Stelle i.S.d. §  85a Abs.  3 SGB X ist. Eine Aufsichtsbehörde[36] darf ohne Rücksicht auf § 85a Abs. 3 SGB X gegen Krankenkassen Geldbußen nach Art.  83 DS-GVO verhängen, wenn feststeht, dass Krankenkassen keine Behörden oder öffentliche Stellen i.S.d. Art. 83 Abs. 7 DS-GVO sind. Dabei kann in dogmatischer Hinsicht dahinstehen, ob §  85a Abs.  3 SGB X unionsrechtskonform dahingehend ausgelegt wird[37], dass Krankenkassen keine Behörden oder öffentliche Stellen i.S.d. § 85a Abs. 3 SGB X sind oder ob diese zwar Behörden oder öffentliche Stellen i.S.d. § 85a Abs. 3 SGB X sind, aber § 85a Abs. 3 SGB X nach dem Anwendungsvorrang des Unionsrechts[38] insoweit unangewendet bleiben muss, als er einer Verhängung von Geldbußen gegen Krankenkassen entgegensteht. Unter dem Gesichtspunkt des aus dem Grundsatz der Unionstreue (Art. 4 Abs. 3 DS-GVO) hergeleiteten Konzepts des „effet utile[39] kommt es nämlich nur darauf an, dass das Unionsrecht uneingeschränkt zur Anwendung kommt, und dieses sieht eine Ausnahme von der Bußgeldfähigkeit anderer Verantwortlicher als Behörden und öffentlicher Stellen i.S.d. Art. 83 Abs. 7 DS-GVO nun einmal nicht vor.

II. Krankenkassen als Unternehmen i.S.d. Art. 83 Abs. 4 – 6 DS-GVO

Tatsächlich sind Krankenkassen weder Behörden noch öffentliche Stellen i.S.d. Art. 83 Abs. 7 DS-GVO, sondern Unternehmen i.S.d. Art.  83 Abs.  4-6 DS-GVO. Bei der Frage, ob Krankenkassen als Behörden oder öffentliche Stellen i.S.d. 83 Abs. 7 DS-GVO oder als Unternehmen i.S.d. Art. 83 Abs. 4 – 6 DS-GVO einzuordnen sind, ist zunächst zu beachten, dass die in Art. 83 DS-GVO verwendeten Begriffe „Behörde“, „öffentliche Stelle“ und „Unternehmen“ spezifisch unionsrechtlich und damit losgelöst von den Begrifflichkeiten des deutschen Rechts zu interpretieren sind. Die Begriffe „Behörde“ und „öffentliche Stelle“ sind in Art. 4 DS-GVO nicht legaldefiniert. In der deutschen Sprachfassung der DS-GVO taucht der in Art.  83 Abs.  4-6 DS-GVO verwendete Begriff des „Unternehmen“ zwar auch in Nr. 18 der Definitionsnorm des Art. 4 DS-GVO auf, jedoch wird mit überzeugenden Gründen die Auffassung vertreten, dass der in Art. 83 DS-GVO verwendete Begriff des Unternehmens nicht dem in Art. 4 Abs. 18 DS-GVO legaldefinierten Unternehmensbegriff entspricht.

1. Der funktionale Unternehmensbegriff in Art. 83 DS-GVO

Der Wortlaut des Erwägungsgrundes 150, die Verwendung unterschiedlicher Begrifflichkeiten in Art.  4 Abs.  18 DS-GVO und in Art. 83 in der Entwurfsfassung sowie der in Kraft getretenen englischen und weiteren[40] Sprachfassungen der DS-GVO sowie die Auslegung nach Sinn und Zweck sprechen dafür, den Unternehmensbegriff des Art. 83 DS-GVO funktional zu verstehen.

a) Erwägungsgrund 150 DS-GVO

Anhaltspunkte für die Auslegung der in Art. 83 DS-GVO verwendeten Begriffe „Behörde“ und „Unternehmen“ finden sich zunächst im Erwägungsgrund 150 zur DS-GVO. Der Wortlaut des Erwägungsgrunds 150 legt nahe, dass sich die beiden Begriffe nach der Vorstellung des Gesetzgebers einander ausschließen sollen, da in Erwägungsgrund 150 als potenzielle Adressaten „Unternehmen“, „sich nicht um Unternehmen handelnde Personen“ (also natürliche Personen) und „Behörden“ genannt werden. Hinsichtlich der näheren Definition des Begriffs des Unternehmens verweist Erwägungsgrund 150 DS-GVO auf den in Artt. 101 und 102 AEUV gebrauchten Unternehmensbegriff. Nach Art.  101 AEUV sind in den Unternehmensbegriff auch im Wettbewerb stehende öffentliche Unternehmen mit einbezogen. Die Artt. 101 und 102 AEUV legen nicht den gesellschaftsrechtlichen, sondern den kartellrechtlichen Unternehmensbegriff zugrunde[41]. Hieraus wird in der datenschutzrechtlichen Literatur[42] und der Rechtsprechung[43] gefolgert, dass der in Art. 83 DS-GVO verwendete Unternehmensbegriff funktional bzw. kartellrechtlich zu verstehen ist. Hierfür spricht auch, dass die in Art. 83 Abs. 7 DS-GVO ermöglichte mitgliedstaatliche Ausnahme für Behörden und öffentliche Stellen sich wohl auch auf der – von Vielen angezweifelten[44] – Vorstellung gründet, dass Behörden und öffentlichen Stellen die Motivation fehle, aufgrund des Wettbewerbsdrucks Datenschutzverstöße zu begehen[45].

b) Die Bedeutung der Legaldefinition des Unternehmens in Art. 4 Nr. 18 DS-GVO

Nach der Legaldefinition des Art. 4 Nr. 18 DS-GVO handelt es sich bei Unternehmen um natürliche oder juristische Personen, die eine wirtschaftliche Tätigkeit ausüben. Bei einem engen Verständnis einer wirtschaftlichen Tätigkeit könnte die Absicht der Gewinnerzielung als Merkmal eines Unternehmens i.S.d. Art. 4 Nr. 18 DS-GVO angesehen werden, die bei Krankenkassen aufgrund ihrer Eigenschaft als Sozialleistungsträger i.S.d. § 21 Abs. 2 SGB I in Zweifel gezogen werden könnte. Auch wenn Krankenkassen formal keinen bilanziellen Gewinn erzielen dürfen, so kann man die Frage nach der Gewinnerzielungsabsicht und der sich daraus ergebenden wirtschaftlichen Tätigkeit jedenfalls bei einer materiell betriebswirtschaftlichen Betrachtung durchaus auch bejahen, zumal sie Überschüsse zwischen Einnahmen und Ausgaben ausweisen können und zudem nach § 160 SGB V in Insolvenz, z.B. wegen Überschuldung gehen können. Ungeachtet dessen ist aber bereits äußerst zweifelhaft, ob es für die Einordnung einer Stelle als „Unternehmen“ i.S.d. Art. 83 Abs. 4 – 6 DS-GVO überhaupt auf die in Art. 4 Nr. 18 DS-GVO genannte Legaldefinition des Unternehmens ankommt. In der datenschutzrechtlichen Literatur wird mit Blick auf die in Erwägungsgrund 150 enthaltene Charakterisierung des in Art. 83 DS-GVO verwendeten Unternehmensbegriffs nämlich seit jeher die Auffassung vertreten, dass der in Art.  83 DS-GVO verwendete Begriff des Unternehmens autonom, d.h. ohne Rücksicht auf die Legaldefinition des Art. 4 Nr. 18 DS-GVO zu interpretieren ist[46]. In diesem Zusammenhang ist zu berücksichtigen, dass ein und derselbe Terminus im gleichen unionsrechtlichen Regelwerk in verschiedenen Zusammenhängen durchaus unterschiedliche Bedeutungsgehalte entfalten kann[47]. Dies steht zwar in Widerspruch zu den Vorgaben im „Gemeinsamen Leitfaden des Europäischen Parlaments, des Rates und der Kommission für Personen, die an der Abfassung von Rechtstexten der Europäischen Union mitwirken“[48] und entspricht damit nicht den Maßstäben, die sich der europäische Gesetzgeber selbst als Ideal auferlegt hat. Dies ändert aber nichts daran, dass dies in der Praxis durchaus geschehen kann[49]. Angesichts der Vielzahl der an Entwürfen unionsrechtlicher Normen mitwirkenden Personen und Gremien, der häufig höchst komplizierten Inhalte, des enormen Abstimmungsbedarfs und des nicht selten artifiziell auferlegten Zeitdrucks bei der Vornahme der Qualitätssicherung dürfte mit solchen gesetzgeberischen Unzulänglichkeiten trotz aller Bemühungen um inhaltliche Stimmigkeit stets zu rechnen sein. Vor diesem Hintergrund kann im vorliegenden Fall von Bedeutung sein, dass die hier maßgebliche Aussage des Satz  3 des Erwägungsgrundes 150 erst im Rahmen des Trilogs Eingang in die DS-GVO gefunden hat[50]. Dies lässt es bereits aus formalen Gründen als durchaus möglich erscheinen, dass der europäische Gesetzgeber bei der Verwendung des Begriffs des „Unternehmen“ in Art 83 DS-GVO nicht den in Art.  4 Abs.  18 DS-GVO verwendeten Begriff des Unternehmens zugrunde gelegt hat, sondern diesen anders als in Art. 4 Nr. 18 DS-GVO verstanden wissen wollte.[51]

Diese Möglichkeit eines unterschiedlichen Begriffsverständnisses wird im Rahmen der Auslegung des Art. 83 DS-GVO durch den Umstand erhärtet, dass die Charakterisierung in Erwägungsgrund 150 speziell auf die Situation des Art. 83 DS-GVO Bezug nimmt, während die Legaldefinition des Art.  4 Nr.  18 DS-GVO als allgemeine Definition pauschal für jegliche in der DS-GVO im Zusammenhang mit Unternehmen geregelte Situationen gedacht ist. Nach dem Spezialitätsgedanken kommt der von Erwägungsgrund 150 konkret in Bezug genommenen Situation des Art. 83 DS-GVO damit Vorrang zu.[52]

Gegen eine Gleichsetzung des in Art.  4 Nr.  18 DS-GVO und in Art. 83 DS-GVO verwendeten Unternehmensbegriffs spricht aber vor allem, dass zwar in der deutschen Fassung der DS-GVO in Art. 4 Nr. 18 DS-GVO und Art. 83 DS-GVO der gleiche Terminus „Unternehmen“ verwendet wird, nicht aber in der englischen Fassung[53]. In der englischen Fassung wird in Art. 4 Nr. 18 DS-GVO der Begriff „enterprise“ definiert[54], während in Art. 83 DS-GVO der Begriff „undertaking“ verwendet wird[55]. Zwar sind beide Sprachfassungen gleich verbindlich[56], jedoch ist unter dem Gesichtspunkt der historischen Auslegung zu berücksichtigen, dass sich auch der deutsche Text auf Entwürfe gründet, die nur in englischer Sprache als Arbeitssprache abgefasst wurden[57]. Die im Ursprungsentwurf verwendeten unterschiedlichen Bezeichnungen „enterprise“ und „undertaking“ weisen darauf hin, dass der Gesetzgeber bei dem in Art. 83 DS-GVO verwendeten Unternehmensbegriff gerade nicht an den in Art. 4 Nr. 18 DS-GVO definierten Unternehmensbegriff gedacht hat, sondern vielmehr einen anderen Bedeutungsgehalt vermitteln wollte. Hinzu kommt, dass der Begriff „undertaking“ im Unionsrecht regelmäßig in Abgrenzung zu „enterprise“ im kartellrechtlichen Sinn verwendet wird[58]. Für ein unterschiedliches Verständnis des in Art. 4 Abs. 18 DS-GVO einerseits und in Art. 83 Abs. 4 – 6 und Erwägungsgrund 150 andererseits verwendeten Begriffs des „Unternehmen“ spricht überdies, dass auch in der bulgarischen, dänischen, gälischen, kroatischen und der slowenischen Fassung der in Art. 4 Abs. 18 DS-GVO legaldefinierte Begriff nicht den in Art.  83 Abs.  4 – 6 DS-GVO und Erwägungsgrund 150 verwendeten entspricht[59]. Dagegen wäre es abwegig anzunehmen, dass der Gesetzgeber zwar ursprünglich an unterschiedliche Begriffe gedacht hat, sich später aber anders entschlossen hat. Hiergegen spricht bereits, dass in der englischen Sprachfassung der DS-GVO (sowie den vorgenannten weiteren Sprachfassungen) nach wie vor unterschiedliche Begriffe verwendet werden. Tatsächlich dürfte sich der vom Gesetzgeber intendierte Bedeutungsgehalt allein aufgrund des späten Zeitpunkts der Schaffung der letzten Fassung des Erwägungsgrundes 150 im Trilog (und der damit einhergehenden Bedeutungsbeimessung für den in Art. 83 DS-GVO verwendeten Begriff des Unternehmens) nicht in allen Übersetzungen sprachlich niedergeschlagen haben. Daher ist bei der Verwendung des Begriffs Unternehmen in Art. 4 Nr. 18 DS-GVO und in Art. 83 DS-GVO schlicht an eine gesetzgeberische Fehlleistung bei der Übersetzung des englischsprachigen Entwurfs der DS-GVO in die deutsche amtliche Fassung zu denken, in der sich keinerlei gesetzgeberische Willensbekundung ausdrückt.[60]

2. Krankenkassen als Unternehmen im funktionalen Sinn

Bei der gebotenen funktionalen Betrachtung handelt es sich bei Krankenkassen um Unternehmen, weil sie sowohl untereinander als auch im Verhältnis zu privaten Krankenversicherungen[61] grundsätzlich im Wettbewerb stehen. Der zwischen den Krankenkassen bestehende Wettbewerb[62] ergibt sich aus verschiedensten gesetzlichen Vorschriften, die der deutsche Gesetzgeber mit verschiedenen Wettbewerbsstärkungsgesetzen[63] eingeführt hat. So wurde z.B. der morbiditätsorientierte Risikostrukturausgleich im Wesentlichen deshalb eingeführt, weil für die Krankenkassen der Wettbewerb untereinander eröffnet wurde. Teilweise reichen die den Krankenkassen über die selektivvertraglich möglichen besonderen Versorgungsformen (§§ 140a ff. SGB V) und die erweiterten Satzungsleistungen (§ 11 Abs. 6 SGB V) eingeräumten Möglichkeiten der Differenzierungen untereinander an die im Ergebnis viel beklagte „ZweiKlassen-Medizin“ im Verhältnis von gesetzlicher und privater Krankenversicherung heran oder übertreffen sie sogar[64].

In § 4a SGB V[65] wird der Wettbewerb von Krankenkassen allgemein vorausgesetzt und in dessen Abs. 7 sind dem UWG nachgebildete Rechtsschutzmöglichkeiten gegen andere Krankenkassen vorgesehen[66].

Im Hinblick auf das in Erwägungsgrund 150 angelegte kartellrechtliche Verständnis des in Art. 83 DS-GVO verwendeten Unternehmensbegriffs ist darauf hinzuweisen, dass gerade mit Blick auf die verschiedenen Wettbewerbsstärkungsgesetze angenommen wird, dass Krankenkassen dem unionskartellrechtlichen Unternehmensbegriff unterfallen[67]. Zwar hatte sich der EuGH 2004 noch dahingehend geäußert, dass bestimmte Zusammenschlüsse von Krankenkassen bei der Festsetzung von Festbeträgen bei der Arzneimittelversorgung nicht als Unternehmen oder Unternehmensvereinigungen i.S.d. damaligen Art. 81 EG anzusehen sind[68], jedoch hat sich der Wettbewerbscharakter von Krankenkassen zwischenzeitlich durch grundlegende legislatorische Maßnahmen des Gesetzgebers derart verstärkt[69], dass der EuGH 2013 Krankenkassen als Gewerbetreibende i.S.d. Richtlinie über unlautere Geschäftspraktiken eingeordnet hat[70]. Hieraus ziehen jedenfalls Teile der Literatur den Schluss, dass der EuGH in dieser Entscheidung in der Sache den kartellrechtlichen Unternehmensbegriff angewendet hat, hierin ein Paradigmenwechsel zu sehen sei und der EuGH in künftigen Entscheidungen Krankenkassen als Unternehmen i.S.d. Unionskartellrechts ansehen wird[71].

Im deutschen Recht werden Krankenkassen ohnehin schon als kartellrechtsfähig angesehen, wie sich in der Vorschrift des § 158 SGB V zeigt, der vor freiwilligen Vereinigungen von Krankenkassen eine vom Bundeskartellamt vorzunehmende Zusammenschlusskontrolle vorschreibt.

Auch die Insolvenzfähigkeit von Krankenkassen nach §§ 160 f. SGB V spricht in besonderer Weise dafür, Krankenkassen nicht als Behörden, sondern als Unternehmen einzuordnen. Behörden können nämlich typischerweise nicht insolvent werden, während die Insolvenzfähigkeit für Unternehmen geradezu wesensprägend ist.

Über die verschiedensten gesetzlichen Regelungen zur Wettbewerbsstärkung von Krankenkassen hinaus ist auch zu berücksichtigen, dass sich Krankenkassen im Außenverhältnis, z.B. durch zulässige Werbung, gerne als Unternehmen gerieren und darauf bedacht sind, gerade nicht wie eine Behörde aufzutreten und „auf dem Markt“ zu wirken. Bspw. wurde im Jahr 2009 für eine mit exklusiven Leistungen werbende Krankenkasse die Wortmarke „privasetzlich“ eingetragen[72]. Eine Krankenkasse hatte unter anderem mit der Zurverfügungstellung von Getränken und Obst im Wartezimmer eines vertragsärztlichen Dienstleisters geworben, die Versicherte anderer Krankenkassen nicht in Anspruch nehmen durften, was als geradezu konfrontativer Wettbewerb gegenüber anderen Krankenkassen wahrgenommen werden konnte[73].

Damit sind Krankenkassen keine Behörden oder öffentliche Stellen i.S.d. Art. 83 Abs. 7 DS-GVO, sondern Unternehmen i.S.d. Art. 83 Abs. 4 – 6 DS-GVO, für welche die Bußgeldfähigkeit nicht nach Art. 83 Abs. 7 DS-GVO ausgeschlossen werden kann.

III. Die Höhe der zu verhängenden Geldbuße

Die Höhe der zu verhängenden Geldbuße richtet sich nach den Vorgaben des Art. 83 DS-GVO. Nach dessen Abs. 1 hat eine Aufsichtsbehörde sicherzustellen, dass eine Geldbuße in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist, während Abs. 2 DS-GVO darauf aufbauend eine Berücksichtigung der individuellen Schuld vorsieht.

1. Die Vorgaben des Art. 83 Abs. 1 DS-GVO

Den in Art.  83 Abs.  1 DS-GVO genannten drei Merkmalen Wirksamkeit, Verhältnismäßigkeit und Abschreckung kommen verschiedene Dimensionen zu: Die Wirksamkeit ist der Zweck[74], die Abschreckung ist das Mittel zur Erreichung dieses Zwecks[75] und die Verhältnismäßigkeit ist die rechtstaatlich gebotene Begrenzung dieses Mittels[76]. Die Abschreckung soll sowohl spezialpräventiv als auch generalpräventiv wirken[77]. Zur Beurteilung der gebotenen Abschreckungswirkung hat das LG Bonn darauf hingewiesen, dass die Ahndungsempfindlichkeit eines Unternehmens umso geringer ist, je größer das Unternehmen ist und hieraus den Schluss gezogen, dass deshalb ein Bußgeld grundsätzlich umso höher anzusetzen ist, je größer das Unternehmen ist.[78]

Zwischen den Gesichtspunkten der Abschreckung und der Verhältnismäßigkeit besteht allerdings ein gewisser Zielkonflikt, weil eine Geldbuße, die unverhältnismäßig hoch ist, besonders abschreckend ist. Bereits bei Inkrafttreten der DS-GVO war klar, dass es nach Art. 83 DS-GVO zur Verhängung hoher Sanktionen kommen sollte, weil die Wirksamkeit der drastischen Sanktionen im Kartellrecht als Vorbild für das Sanktionsmodell der DS-GVO gedient hat[79]. In einem aktuellen Urteil hat der EuGH nunmehr ausdrücklich betont, dass Abschreckung durch Sanktionen ein Schlüsselelement im Bemühen um Einhaltung des Datenschutzes sein soll[80]. Wenn man davon ausgeht, dass eine Geldbuße umso abschreckender ist, je höher sie ist und zugleich berücksichtigt, dass ihre Höhe auch verhältnismäßig sein muss, dann ergibt sich aus Art.  83 Abs.  1 DS-GVO ein an die Aufsichtsbehörden gerichteter Auftrag, eine Geldbuße zunächst so hoch anzusetzen, dass sie gerade noch nicht unverhältnismäßig ist. Idealtypisch ist eine Geldbuße nach Art. 83 Abs. 1 DS-GVO daher genau einen Cent unterhalb der Unverhältnismäßigkeit anzusetzen. In der Lebenswirklichkeit kann in aller Regel aber keine genaue Grenze ausgemacht werden, ab dem die Verhältnismäßigkeit endet und die Unverhältnismäßigkeit beginnt, so dass man sich bei der Abgrenzung der Verhältnismäßigkeit von der Unverhältnismäßigkeit mit einem Abstellen auf Größenordnungen behilft.

Bei der Bewertung der Verhältnismäßigkeit einer Geldbuße ist aber wieder zu berücksichtigen, dass der in Art. 83 Abs. 1 DS-GVO verwendete Begriff der Verhältnismäßigkeit spezifisch unionsrechtlich auszulegen ist[81]. Die in Art. 83 Abs. 4 – 6 DS-GVO genannte Maximalhöhe der zu verhängenden Geldbußen weist bereits darauf hin, dass nach unionsrechtlichem Verständnis auch solche Beträge noch als verhältnismäßig angesehen werden können, die nach deutschem Verständnis längst als unverhältnismäßig hoch angesehen werden dürften. Es ist davon auszugehen, dass der europäische Gesetzgeber die in Art. 83 Abs. 5 und 6 DS-GVO genannte Bezugnahme auf 4 % des Jahresumsatzes als maximale Höhe einer wegen Datenschutzverstößen zu verhängenden Geldbuße nicht als exorbitant hoch ansieht. Der europäische Gesetzgeber hat eine solche Bezugnahme auf 4% des Jahresumsatzes nämlich auch in einer Reihe von anderen unionsrechtlichen Regelwerken als Maßstab vorgesehen. Aktuelles Beispiel ist die Verordnung (EU) 2023/115 vom 31.05.2023 über die Pflicht zur Schaffung entwaldungsfreier Lieferketten[82], in deren Art. 25 Abs. 2 S. 2 lit. a), 2. HS. der europäische Gesetzgeber 4% des Jahresumsatzes nicht wie in Art. 83 Abs. 5 und 6 DS-GVO als unionsweit geltende Maximalhöhe, sondern als vom mitgliedstaatlichen Gesetzgeber mindestens festzulegender Höchstbetrag einer zu verhängenden Geldbuße vorgesehen hat. Dies führt im Übrigen zu der bemerkenswerten Feststellung, dass der europäische Gesetzgeber es offenbar für schlimmer hält, wenn ein Unternehmen ein Produkt auf den Markt bringt, für das es nicht nachweisen kann, dass mit dessen Erzeugung keine Entwaldung oder anderweitige Waldschädigung einhergegangen ist, als wenn es schwerwiegend gegen den Datenschutz verstoßen hätte. Oder anders formuliert: Wo beim Datenschutz die Geldbuße aufhört, fängt sie beim Klima- und Naturschutz erst an.

Außerdem ist festzuhalten, dass in Anwendung des unionsrechtlichen Verständnisses von Verhältnismäßigkeit bestandskräftig Geldbußen in einer Höhe verhängt worden sind, die nach dem klassischen deutschen Verständnis bereits als unverhältnismäßig angesehen werden dürften. Bereits im Jahr 2017 hatte die EU-Kommission wegen irreführender Angaben von Facebook (jetzt: Meta) bei der Übernahme von Whatsapp eine Strafe in Höhe 110.000.000 Euro verhängt[83]. 2018 hat die EU-Kommission gegen Google wegen eines Kartellrechtsverstoßes schon eine Geldbuße in Höhe von 4.340.000.000 Euro verhängt[84]. Ein Meilenstein im Bereich des Datenschutzes war die im Jahr 2021 durch die luxemburgische Datenschutzaufsichtsbehörde gegen Amazon Europe Core S.à r.l. nach Art. 83 DS-GVO verhängte Geldbuße in Höhe von 746.000.000 Euro[85]. Zuletzt hat die irische Datenschutzbehörde im Jahr 2023 gegen Meta Platforms Ireland Limited eine Geldbuße in Höhe von 1.200.000.000 Euro verhängt[86]. Letztere Entscheidung der irischen Datenschutzaufsichtsbehörde ist auf eine bindende Entscheidung des Europäischen Datenschutzausschusses (EDSA)[87] zurückzuführen, die dieser getroffen hatte, nachdem die irische Datenschutzaufsichtsbehörde zunächst von der Verhängung einer Geldbuße absehen wollte, aber einige Datenschutzaufsichtsbehörden anderer Mitgliedstaaten die Verhängung eines Bußgelds gefordert haben und im EDSA kein Konsens erzielt werden konnte. Diese unionsrechtliche Praxis der Verhängung von für deutsche Verhältnisse hohen Geldbußen dürfte sich an der im angelsächsischen Bereich lange bestehenden Tradition hoher Bußgelder anlehnen, zu deren Entstehen wohl auch beigetragen haben dürfte, dass die Aufsichtsbehörden dort vielfach institutionell unabhängig und nicht wie die klassischen deutschen Aufsichtsbehörden in die staatliche Hierarchie eingegliedert sind[88]. Nachdem die EUKommission diese Tradition zunächst für den Wettbewerbsbereich der EU übernommen hatte, wurde diese zunächst für den Bereich des Datenschutzes übernommen und greift aktuell auf das Gebiet des Klimaschutzes über.

Wie im angelsächsischen Bereich wird diese Tradition durch die Unabhängigkeit der Aufsichtsbehörden begünstigt bzw. überhaupt erst ermöglicht. Die unabhängigen Datenschutzaufsichtsbehörden verständigen sich allerdings sowohl auf unionsrechtlicher als auch auf bundesdeutscher Ebene untereinander über einheitliche Maßstäbe der Höhe der Verhängung von Bußgeldern.[89]

Für den europäischen Gesetzgeber ist festzuhalten, dass er besonderen Wert darauf gelegt hat, die Aufsicht im Bereich des Datenschutzes unabhängig zu gestalten[90] und dadurch den Weg für die Verhängung hoher Bußgelder unter Geltung des unionsrechtlichen Verständnisses von Verhältnismäßigkeit geebnet hat. Gleichwohl ist zu konstatieren, dass in der deutschen Rechtstradition sozialisierte Richterinnen und Richter dem spezifisch unionsrechtlichen Verständnis von Verhältnismäßigkeit noch bisweilen skeptisch gegenüberstehen und sich bei der Abgrenzung von Verhältnismäßigkeit und Unverhältnismäßigkeit lieber auf das traditionelle deutsche Verständnis zurückziehen. Eindrucksvoll dokumentiert ist dies in den Urteilsgründen zu LG Bonn, Urt. v. 11.11.2020 – Az. 29 OWi 1/20[91].

2. Die Vorgaben des Art. 83 Abs. 2 DS-GVO

Dessen ungeachtet ist nach Art. 83 Abs. 2 DS-GVO auch das Ausmaß der individuellen Schuld bei der Begehung des Verstoßes zu berücksichtigen. Mit Blick auf den Wortlaut des Art.  83 Abs.  2 DS-GVO wird vereinzelt hinterfragt, ob die Schuldhaftigkeit eines Verstoßes gegen die DS-GVO als Voraussetzung für die Verhängung einer Geldbuße oder nur als bloßes Zumessungskriterium anzusehen ist, weil die Merkmale der Fahrlässigkeit und der Vorsätzlichkeit nach Art. 83 Abs.  2 DS-GVO nur „gebührend zu berücksichtigen“ sind[92]. Auch wenn der mögliche Wortsinn des Art. 83 Abs. 2 DS-GVO eine dahingehende Auslegung zulässt, dass die Schuldhaftigkeit eines Verstoßes gegen die DS-GVO keine zwingende Voraussetzung für die Verhängung einer Geldbuße, sondern ledig lich eines von mehreren Zumessungskriterien ist, sieht die wohl herrschende Meinung die Schuldhaftigkeit als echte Voraussetzung für die Verhängung einer Geldbuße an[93]. Für Zwecke dieses Beitrags beschränken wir uns auf die Aussage, dass das Vorliegen von Fahrlässigkeit jedenfalls ausreicht, um wegen eines Verstoßes gegen die DS-GVO eine Geldbuße verhängen zu dürfen. Klar ist aber, dass der Begriff der Schuld hier anders als der im deutschen Strafrecht gebrauchte Schuldbegriff zu verstehen ist[94]. In diesem Zusammenhang hat Cornelius herausgearbeitet, dass Art. 83 DS-GVO ein unionsrechtlicher Schuldbegriff zugrunde liegt, der spezifisch normativ geprägt ist[95]. Im deutschen Strafrecht können sich nur natürliche, nicht aber juristische Personen strafbar machen, während die DS-GVO bei der Sanktion auf den Verantwortlichen abstellt[96], der auch eine Organisation bzw. eine Organisationseinheit sein kann[97]. Die in Art. 83 Abs. 2 DS-GVO verwendeten Begriffe „vorsätzlich“ und „fahrlässig“ sind daher auch insoweit anders als im deutschen Strafrecht zu verstehen, als der mit Geldbuße belegte Verstoß auch von juristischen Personen begangen werden kann. Insoweit kann bzw. muss bei der Feststellung der Schuldhaftigkeit eines Verstoßes zur Begründung der Verhängung einer Geldbuße quasi auch auf die Vorsätzlichkeit und Fahrlässigkeit des Handelns oder Unterlassenes einer juristischen Person abgestellt werden[98]. Tatsächlich kann das Schuldprinzip aber auch bereits nach bundesrechtlichem Verständnis auf juristische Personen Anwendung finden[99]. Da eine juristische Person keine natürliche Person, sondern ein normatives Konstrukt ist, muss bei der Bestimmung der Vorsätzlichkeit und Fahrlässigkeit des Verhaltens einer juristischen Person auf die Vorsätzlichkeit und Fahrlässigkeit des Verhaltens von natürlichen Personen zurückgegriffen werden, die der betreffenden juristischen Person zugerechnet werden können[100]. Dogmatisch betrachtet ergibt sich die Haftung des Unternehmens für schuldhafte Handlungen seiner Mitarbeitenden aus dem funktionalen Unternehmensbegriff der DS-GVO[101]. In seinem Urteil vom 05.12.2023 hat der EuGH nun klargestellt, dass für das Verschulden einer juristischen Person auf das Verhalten aller natürlicher Personen abgestellt werden kann, die im Rahmen der unternehmerischen Tätigkeit des Verantwortlichen und in dessen Namen gehandelt haben, wobei diese natürlichen Personen nicht identifiziert sein müssen[102]. Soweit Handlungen und Unterlassungen auf Entscheidungen beruhen, die auf den Einsatz Künstlicher Intelligenz zurückzuführen sind, können sich hier herausfordernde Zurechnungsfragen ergeben.[103]

3. Die Bestimmung der in Art. 83 Abs. 4 – 6 DS-GVO genannten Höchstgrenzen bei Krankenkassen

Der in Art.  83 Abs.  4 – 6 DS-GVO als gesetzlicher Anknüpfungspunkt genannte weltweite Jahresumsatz entspricht bei Krankenkassen den jährlich auf sie nach § 266 SGB V entfallenden Zuweisungen aus dem Gesundheitsfonds. Diese sind schwankend und unterscheiden sich nach der Zahl der bei der betreffenden Krankenkasse Versicherten sowie deren Morbiditätsstruktur ganz beträchtlich. Geht man von den jährlich auf die größte deutsche Krankenkasse entfallenden Zuweisungen aus dem Gesundheitsfonds aus, können die auf ein Jahr entfallenden Zuweisungen bei konservativer Schätzung durchaus 10.000.000.000 Euro betragen. Hieraus ergibt sich nach Art. 83 Abs. 5 – 6 DS-GVO ein mögliches Potenzial einer Geldbuße von maximal 400.000.000. Euro. Zur Feststellung der in Art. 83 Abs. 4 – 6 DS-GVO genannten Höchstgrenzen muss die die Geldbuße festsetzende Aufsichtsbehörde die für den konkreten Fall tatsächlich zutreffende Höhe der Zuweisungen aus dem Gesundheitsfonds vom Bundesamt für Soziale Sicherung erfragen, welches nach § 266 Abs. 6 SGB V für die Ermittlung der Höhe der Zuweisungen zuständig ist.

IV. Fazit

Da Krankenkassen Unternehmen i.S.d. Art. 83 Abs. 4 – 6 DS-GVO sind, können der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit sowie die für die Kontrolle des Datenschutzes zuständigen Stellen der Länder gegen Krankenkassen Geldbußen wegen von ihnen begangener Datenschutzverstöße verhängen, ohne dass der Nachweis des Vorliegens einer konkreten Wettbewerbssituation hierfür erforderlich ist. Bei der gebotenen Anwendung des in Art.  83 Abs.  4 – 6 DS-GVO zugrunde gelegten spezifisch unionsrechtlichen Verständnisses der Verhältnismäßigkeit ist auch die Verhängung hoher Bußgeldbeträge, jedenfalls bei schweren Verstößen, geboten.

* Der Beitrag gibt ausschließlich die persönliche Auffassung der Autoren wieder.

 

Dr. Maximilian Gaßner ist Präsident des Bundesversicherungsamtes a.D.

Jens M. Strömer, LL.M. ist Referent bei der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit.

[1] Für eine unionsrechtlich begründete Möglichkeit der Verhängung von Geldbußen gegen Krankenkassen aber bereits ausdrücklich Bergt, in: Kühling/ Buchner, DS-GVO BDSG, 3. Aufl. 2020, Art. 83 Rn. 27.

[2] Klaas/Momsen/Wybitul, in: Klaas/Momsen/Wybitul, Datenschutzsanktionenrecht, 1. Aufl. 2023, § 1 Rn. 16.

[3] §§ 67 ff. SGB X.

[4] §§ 284 ff. SGB V.

[5] Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, 2019, S. 99 ff.; Müller, Die Öffnungsklauseln der Datenschutz-Grundverordnung (DS-GVO), 2018, S. 163 ff.; Ambrock, ZD 2020, 492, 495.

[6] Ständige Rechtsprechung seit EuGH, Urt. v. 22.10.1987 – Rs. 314/85, ECLI:EU:C:1987:452, Rn. 15 ff.; aktuell dazu EuGH, Urt. v. 22.02.2022 – C-430/21, ECLI:EU:C:2022:99, Rn. 71 f.

[7] Art. 19 Abs. 3 lit. a) EUV, Art. 263, 264 Abs. 1 AEUV

[8] Art. 19 Abs. 3 lit. b) EUV, Art. 267 Abs. 1 lit. a) AEUV.

[9] Zur primärrechtskonformen Auslegung eingehend Leible/Domröse, in: Riesenhuber, Europäische Methodenlehre, 2021, S. 211; Müller/Christensen, Juristische Methodik, Band II, 3. Aufl. 2012 Rn. 540 ff.; vgl. auch Buck, Über die Auslegungsmethoden der Europäischen Gemeinschaften, 1997, S. 186 ff.

[10] Boehm, in: Simitis/Hornung/Spiecker gen. Döhmann, DatenschutzR, 1. Aufl. 2019, Art. 83 Rn. 55.

[11] Boehm, in: Simitis/Hornung/Spiecker gen. Döhmann, DatenschutzR, 1. Aufl. 2019, Art. 83 Rn. 55.

[12] Eine Übersicht über die entsprechenden landesrechtlichen Regelungen bietet Reimer, Verw DatenschutzR – HdR, 2019, Rn. 99 Fn. 236; speziell zur Rechtslage in Hessen Friedrichsen/Rapp, ZD 2023, 535, 537.

[13] So Nemitz, in: Ehmann/Selmayer, DS-GVO, 2. Aufl. 2018, Art. 83 Rn. 46; wohl auch Schaffland/Wiltfang, in: Schaffland/Holthaus, DS-GVO BDSG, 4. EL 2024, Art. 83 Rn. 37.

[14] So Moos/Schefzig, in: Taeger/Gabel, DS-GVO BDSG TTDSG, 4. Aufl.  2022, Art.  83 Rn. 156; Martini/Wagner/Wenzel, VerwArch 2018, 163, 175; wohl auch Boehm, in: Simitis/Hornung/Spiecker gen. Döhmann, DatenschutzR, 1. Aufl. 2019, Art. 83 Rn. 55.

[15] Art. 20 GrCh hat aufgrund von Art. 6 Abs. 1 EUV den Rang primären Unionsrechts

[16] Vgl. Leible/Domröse, in: Riesenhuber, Europäische Methodenlehre, 4. Aufl. 2021, S. 221.

[17] Müller/Christensen, Juristische Methodik, 3. Aufl. 2012, Bd. II, Rn. 543; Buck, Über die Auslegungsmethoden der Europäischen Gemeinschaften, 1997, S. 186; Müller/Christensen, Juristische Methodik, 3. Aufl. 2012, Bd. II, Rn. 543; Bleckmann, NJW 1982, 1177, 1181 f.

[18] Wie den Regelungen über die Nichtigkeitsklage und das Vorabentscheidungsverfahren.

[19] Leible/Domröse, in: Riesenhuber, Europäische Methodenlehre, 4. Aufl. 2021, S. 221, Höpfner, Die systemkonforme Auslegung, 2008, S. 222 f.

[20] Im Bereich der Bundesgesetzgebung gibt es das Phänomen auch. Insbesondere bei späten Änderungen an einem Gesetzentwurf werden die durch die Gemeinsame Geschäftsordnung der Bundesministerien vorgesehenen Qualitätsprüfungen nicht selten durch eine Kombination von sehr kurzen Fristen mit dem den so genannten Default-Effekt ausnutzenden Mechanismus der Verschweigensfristen ad absurdum geführt, vgl. Gaßner/Strömer, SGb 2022, 395, 398 ff. Im Bereich der Unionsgesetzgebung ist die Situation aber keinesfalls besser, eher schlechter

[21] Siehe oben unter Fn. 11.

[22] Siehe oben unter Fn. 11.

[23] Vgl. zum Verhältnis von Sozialdatenschutzrecht und allgemeinem Datenschutzrecht Engelke/Kipker/Voskamp, in: Kipker/Voskamp, Sozialdatenschutz in der Praxis, 2021, Kap. 1 Rn. 66 ff.

[24] Lex specialis derogat legi generali. Freilich ist dieser Satz keine „Automatik“, sondern im Ergebnis nur die Konsequenz der Auslegung der Norm, Larenz/ Canaris, Methodenlehre der Rechtswissenschaft, 3. Aufl. 1995, S. 88 f. Durch die explizite Regelung in § 1 Abs. 2 BDSG erübrigt sich jedoch hier eine weitere Exegese der Norm.

[25] BR-Drs. 110/2017, 111, BT-Drs. 18/11325, 109.

[26] Neumann, in: Becker, Hauck/Noftz, SGB X, 1. EL 2024, § 1 SGB X Rn. 44; Mutschler, in: Rolfs/Körner/Krasney/Mutschler, KassKomm Stand 01.03.2022, §  1 SGB X Rn. 25; Westphal, in: Rolfs/Giesen/Meßling/Udsching, SGB X, 71. Ed. 2023, § 1 SGB X Rn. 8; Palsherm, in: Mutschler, Palsherm, juris-PK SGB X, 3. Aufl. 2023, § 1 SGB X Rn. 16; Breitkreuz, in: Diering/Timme/Stähler, SGB X, 6. Aufl. 2022, § 1 Rn. 7; Schnapp, NZS 2010, 241, 244 f.; für Sozialversicherungsträger allgemein BSG, Urt. v. 06.05.2009 – B 6 KA 7/08 R, Rn. 20; a.A. OLG Düsseldorf, Beschl. v. 24.05.2012 – I-10 W 6/12, 10W 6/12, Rn. 9, welches die Regelung des § 31 Abs. 3 S. 1 SGB IV offenbar schlicht übersehen hat.

[27] BT-Drucks. 7/4122 S. 35.

[28] Reichsgesetzblatt Nr. 42 (1911) S. 510 ff.

[29] Reichsgesetzblatt Nr. 42 (1911) S. 516 ff.

[30] Reichsgesetzblatt Nr. 42 (1911) S. 530 ff

[31] Die Problematik des so genannten Mitarbeitendenexzesses wird hierbei ausgeklammert, vgl. dazu Härting/Konrad, DS-GVO im Praxistest, 2020, Rn. 378 ff.

[32] So Marschner, in: Pickel/Marschner, SGB X, 2024, § 1 Rn. 15.

[33] Siehe Fn. 31.

[34] Es spricht einiges dafür, dass der Vorstand einer Krankenkasse nicht den unionsrechtlichen Behördenbegriff erfüllt, wenn die Krankenkasse keine Behörde ist, jedoch wird dieser Frage hier nicht weiter nachgegangen.

[35] Speziell zur Bedeutung des Anwendungsvorrangs des Unionsrechts für die aufsichtsbehördliche Tätigkeit Gaßner/Strömer, SGb 2022, 395 ff.; allgemein zum Anwendungsvorrang des Unionsrechts Cornelius, in: Klaas/Momsen/ Wybitul, Datenschutzsanktionenrecht, 1. Aufl. 2023, § 2 Rn. 47 ff.; Brest, Das Bußgeldverfahren im Datenschutzrecht, 1. Aufl. 2023 S. 52 f

[36] Mit Aufsichtsbehörde sind hier selbstverständlich nur die in Artt. 51 ff. DS-GVO genannten spezifischen Datenschutzaufsichtsbehörden gemeint, nicht aber die auf dem Gebiet des Datenschutzrechts teilweise noch parallel agierenden nicht unabhängigen allgemeinen Rechtsaufsichtsbehörden, dazu Gaßner/ Strömer, DÖV 2023, 578 ff

[37] Zur unionsrechtskonformen Auslegung Gaßner/Strömer, SGb 2022, 395 ff

[38] Zum Anwendungsvorrang des Unionsrechts siehe oben Fn. 35.

[39] Zum Konzept des effet utile Brest, Das Bußgeldverfahren im Datenschutzrecht, 1. Aufl. 2023, S. 52 f.; Weiß, Öffnungsklauseln in der DS-GVO und nationale Verwirklichung im BDSG, 1. Aufl. 2022.

[40] Sowie der bulgarischen, dänischen, gälischen, kroatischen und slowenischen Fassung der DS-GVO, siehe dazu im Fließtext unter II.1.b).

[41] Brest, Das Bußgeldverfahren im Datenschutzrecht, 1. Aufl. 2023, S. 56.

[42] Von Lewinski/Rüpke/Eckhardt, Datenschutzrecht, 2. Aufl.  2022 S. 409; Specht/Mantz, Handbuch Europäisches Datenschutzrecht, 2019, S. 52; Brest, Das Bußgeldverfahren im Datenschutzrecht, 1. Aufl. 2023, S. 56.

[43] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20, ECLI:DE:LGBN:2020:1111:20OWI1.20.00, Rn. 52, 84 ff.; vgl. auch EuGH, Urt. v. 05.12.2023 – C-807/21, ECLI:EU:2023:950, Rn. 53 ff., 60, 75 ff.

[44] Boehm, in: Simitis/Hornung/Spiecker gen. Döhmann, DatenschutzR, 1. Aufl.  2019, Art.  83 Rn. 55; Frenzel, in: Paal/Pauly, DS-GVO BDSG, 3. Aufl. 2021, Art. 83 Rn. 22.; vgl. auch Bergt, in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl. 2020, Art. 83 Rn. 26 f.

[45] Holländer, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK DatenschutzR, 47. Ed. 2024, Art. 83 Rn. 79.1.

[46] Vgl. bereits Martini/Wagner/Wenzel, VerwArchiv 2018, 163, 173; durch die Rechtsprechung bestätigt durch LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20, ECLI :DE:LGBN:2020:1111:29OWI1.20.00, Rn. 85 f.

[47] Martini/Wagner/Wenzel, VerwArchiv 2018, 163, 173.

[48] Europäische Kommission, Juristischer Dienst, Gemeinsamer Leitfaden des Europäischen Parlaments, des Rates und der Kommission für Personen, die an der Abfassung von Rechtstexten der Europäischen Union mitwirken, 2. Aufl. 2015, S. 21 f.

[49] Martini/Wagner/Wenzel, VerwArch 2018, 163, 173.

[50] Martini/Wagner/Wenzel, VerwArch 2018, 163, 173.

[51] Martini/Wagner/Wenzel, VerwArch 2018, 163, 173.

[52] Vgl. Ambrock/Karg in v.d. Bussche/Voigt, Konzerndatenschutzrecht, 2. Aufl. 2019, S. 499.

[53] LG Bonn, Urt. v. 11.11.2020 – 290 OWi 1/20, ECLI:DE:LGBN:2020:1111.29O WI1.2020, Rn. 86.

[54] Official Journal of the European Union, L 119 vom 4.5.2016, S. 34.

[55] Official Journal of the European Union, L 119 vom 4.5.2016, S. 82 f.

[56] Vgl. dazu EuGH, Urt. v. 08.12.2005 – C-280/04, ECLI:EU:C:2005:753, Rn. 31.

[57] Brest, Das Bußgeldverfahren im Datenschutzrecht, 1. Aufl. 2023, S. 56.

[58] Brest, Das Bußgeldverfahren im Datenschutzrecht, 1. Aufl. 2023, S. 56

[59] Brest, Das Bußgeldverfahren im Datenschutzrecht, 1. Aufl. 2023, S. 57 m. w. N.

[60] Brest, Das Bußgeldverfahren im Datenschutzrecht, 1. Aufl. 2023, S. 57.

[61] Sog. Systemwettbewerb, der neben dem Kassenwettbewerb steht (GKV-Gesundheitsreformgesetz 2000, BT-Drucks. 15/1525, S. 1).

[62] Das Gesetz zur Modernisierung des Gesundheitswesens (BT-Drucks. 15/1525, S. 72, 74 f.) fokussiert sich auch auf den Wettbewerb der Leistungserbringer.

[63] Im Gesetzentwurf zum Gesundheitsstrukturgesetz 1993 (BT-Drucks. 12/3608, S. 74 f.) ist das Wettbewerbsziel noch begrenzt auf die Organisationsform durch die Kassenwahlfreiheit und die Einführung des Risikostrukturausgleichs. Der zwar im Bundesrat gescheiterte Entwurf des GKV-Weiterentwicklungsgesetzes 1996, dessen Inhalt jedoch weitgehend in den GKV-Neuordnungsgesetzen 1997 (BGBl 1997, I, S 1518 und 1520) verwirklicht wurde, postuliert die Stärkung der „Selbststeuerungskräfte im Gesundheitswesen“ und ein sich selbst steuerndes System (BT-Drs. 13/3608, S. 1). Vertragliche Gestaltungsmöglichkeiten und Gestaltungsräume wurden hierfür eröffnet. Und die Gesetzesbegründung des GKV-Wettbewerbsstärkungsgesetzes (BGBl 2007 I, S. 378) benennt den Wettbewerb zwischen den Krankenkassen und den Leistungserbringern als wesentliches Ziel der Reform (BT-Drs. 16/3100, S. 1 f.)

[64] Gaßner/Strömer, NZS 2013, 561, 569.

[65] Eingefügt durch Gesetz vom 22.03.2020 (BGBl. I S. 604)

[66] Herbst, in: Rolfs/Körner/Krasney/Mutscher, KassKomm, Stand 15.02.2024, § 4a SGB V Rn. 21; Mühlhausen, in: Becker/Kingreen, SGB V, 8. Aufl. 2022, § 4a Rn. 9; Vossen, in: Krauskopf, KV PV, 120. EL Nov. 2023 § 4a SGB V Rn. 18.

[67] Kluckert, in: Sodan, Hdb d. KV Rechts, 3. Aufl. 2018, § 14 Rn. 117 ff. (streitig); vgl. dazu Ebert-Weidenfeller/Gromotke, EuZW 2013, 937 ff.

[68] EuGH, Urt. v. 16.03.2004 – C-264/01 – ECLI:EU:C:2004:150, Rn. 65.

[69] So BGH, Beschl. v. 18.01.2012 – I ZR 170/10, Rn. 15.

[70] EuGH, Urt. v. 03.10.2013 – C-59/12 – ECLI:EU:C:2013:634, Rn. 38.

[71] Ebert-Weidenfeller/Gromotke, EuZW 2013, 937, 940.

[72] Gaßner/Strömer, NZS 2013, 561, 569.

[73] Gaßner/Strömer, NZS 2013, 561, 569.

[74] 4 Vgl. Brest, Das Bußgeldverfahren im Datenschutzrecht, 1. Aufl. 2023, S. 100; Weiß, Öffnungsklauseln in der DS-GVO und nationale Verwirklichung im BDSG, 1. Aufl. 2022, S. 37.

[75] Vgl. Brest, Das Bußgeldverfahren im Datenschutzrecht, 1. Aufl. 2023, S. 100; Weiß, Öffnungsklauseln in der DS-GVO und nationale Verwirklichung im BDSG, 1. Aufl. 2022, S. 37.

[76] Brest, Das Bußgeldverfahren im Datenschutzrecht, 1. Aufl. 2023, S. 108

[77] Ambrock/Karg, in: v. d. Bussche/Voigt, Konzerndatenschutzrecht, 2. Aufl. 2019, S. 500

[78] LG Bonn, Urt. v. 11.11.2020 – OWi 1/20, ECLI:DE:LGBN:2020:1111.29OWI1.20.00, Rn. 93

[79] Martini/Wagner/Wenzel, VerwArch 2018, 163, 171.

[80] EuGH, Urt. v. 05.12.2023 – C-683/21, ECLI:EU:C:2023:949, Rn. 78.

[81] Vgl. zur unionsrechtlichen Determination von Begrifflichkeiten Weiß, Öffnungsklauseln in der DS-GVO und nationale Verwirklichung im BDSG, 1. Aufl. 2022, S. 37.

[82] ABl. L 150 vom 09.06.2023, S. 206 ff.

[83] Pressemitteilung der EU-Kommission vom 18.05.2017.

[84] Pressemitteilung der EU-Kommission vom 18.07.2018.

[85] Brest, Das Bußgeldverfahren im Datenschutzrecht, 1. Aufl. 2023, S. 35

[86] An Comisiún um Choisant Sonraí/Data Protection Commission, Decision of the Data Protection Commission made pursuant to Section 111 of the Data Protection Act, 2018 and Articles 60 and 65 of the General Data Protection Regulation vom 12.05.2023.

[87] Streitbeilegungsbeschluss des EDSA vom 13.04.2023, Binding Decision 1/2023 on the dispute submitteld by the Irish SA on data transfers by Meta Platforms Ireland Limited for Facebook service.

[88] Kritisch zur fehlenden Unabhängigkeit mancher deutscher Aufsichtsbehörden auf dem Gebiet des Datenschutzes Gaßner/Strömer, DÖV 2023, 578 ff.; allgemein zur Problematik nicht unabhängiger Aufsichtsbehörden im Bereich des Unionsrechts Gaßner/Strömer, SGb 2022, 395, 401 f.

[89] In Art. 70 Abs. 1 lit. k) DS-GVO ist dem Europäischen Datenschutzausschuss (EDSA) die Aufgabe zugewiesen, Leitlinien für die Festsetzung von Geldbußen zu erarbeiten. Hiervon hat der EDSA mit den am 24.05.2023 angenommenen Leitlinien 04/2022 für die Berechnung von Geldbußen im Sinne der DS-GVO Gebrauch gemacht, vgl. dazu Thiel, in: Klaas/Momsen/Wybitul, Datenschutzsanktionenrecht, 1. Aufl. 2023, § 4 Rn. 30 ff. Außerdem haben die deutschen Datenschutzaufsichtsbehörden am 14.10.2019 ein Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldbemessung in Verfahren gegen Unternehmen beschlossen, welches so weder in der DS-GVO noch im BDSG vorgesehen ist, aber in Deutschland nach den aus Art. 3 Abs. 1 GG hergeleiteten Grundsätzen der Selbstbindung der Verwaltung jedenfalls mittelbare Rechtswirkung entfalten dürfte (Brest, Das Bußgeldverfahren im Datenschutzrecht, 1. Aufl. 2023, S. 112)

[90] Gaßner/Strömer, DÖV 2023, 578 ff.

[91] ECLI:DE:LGBN:2020:1111.29OWI1.20.00, Rn. 96 ff.; zum Urteil allgemein Brest: Das Bußgeldverfahren im Datenschutzrecht, 1. Aufl. 2023, S. 34.

[92] Nemitz, in: Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art. 83 Rn. 17.

[93] Holländer, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK DatenschutzR, 47. Ed. 2024, Art. 83 Rn. 18; Cornelius, in: Klaas/Momsen/Wybitul, Datenschutzsanktionenrecht, 1. Aufl. 2023 § 2 Rn. 89; Härting/Konrad, DS-GVO im Praxistest, 2020, Rn. 312 ff.

[94] Cornelius, in: Klaas/Momsen/Wybitul, Datenschutzsanktionenrecht, 1. Aufl. 2023, §  2 Rn. 49, 76 ff. und 87 ff.; vgl. auch Brest, Das Bußgeldverfahren im Datenschutzrecht, 1. Aufl. 2023, S. 47 f.

[95] Cornelius, in: Klaas/Momsen/Wybitul, Datenschutzsanktionenrecht, 1. Aufl. 2023, § 2 Rn. 76 ff

[96] EuGH, Urt. v. 05.12.2023 – C-807/21, ECLI:EU:C:2023:950, Rn. 42. Cornelius, in: Klaas/Momsen/Wybitul, Datenschutzsanktionenrecht, 1. Aufl. 2023, § 2 Rn. 65 ff

[97] Wybitul/Brink, ZD 2024, 137, 140 f.; von Lewinski/Rüpke/Eckhard, Datenschutzrecht, 2. Aufl.  2022, S. 405; Brest, Das Bußgeldverfahren im Datenschutzrecht, 1. Aufl. 2023, S. 47 f., 50.

[98] Cornelius, in: Klaas/Momsen/Wybitul, Datenschutzsanktionenrecht, 1. Aufl. 2023, Rn. 53 und 77 ff.

[99] Vgl. BVerfG, Beschl. v. 25.10.1966 – 2 BvR 506/63, Rn. 45 ff.; Härting/Konrad, DS-GVO im Praxistest, 2020, Rn. 315.

[100] Eingehend dazu Brest, Das Bußgeldverfahren im Datenschutzrecht, 1. Aufl. 2023, S. 53 f.; vgl. auch Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, 2019, S. 216 f.; Härting/Konrad, DS-GVO im Praxistest, 2020, Rn. 317.

[101] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20, ECLI:DE:LGBN:2020:1111:29OWI1.20.00, Rn. 52 ff.; Ambrock, ZD 2020, 492 f., 495.

[102] EuGH, Urt. v. 05.12.2023 – C-807/21, ECLI:EU:C:2023:950, Rn. 44 ff.; zur fehlenden Notwendigkeit der Identifizierung der handelnden natürlichen Person zuvor bereits Cornelius, in: Klaas/Momsen/Wybitul, Datenschutzsanktionenrecht, 1. Aufl. 2023, Rn. 56.

[103] Dazu eingehend Pauli, Künstliche Intelligenz und Gefährdungshaftung im öffentlichen Recht, 2023, S. 135 ff.; vgl. auch von Lewinski/Rüpke/Eckhardt, Datenschutzrecht, 2. Aufl. 2022, S. 249 ff.