DA+

Aufsatz : Die wirtschaftliche Einheit als Bußgeldadressat unter der Datenschutz-Grundverordnung? : aus der RDV 5/2017, Seite 221 bis 227

Lesezeit 21 Min.

Die Relevanz von Bußgeldern wird unter der Datenschutz-Grundverordnung voraussichtlich erheblich zunehmen. Infolgedessen wird die Rechtsfrage aufgeworfen, inwiefern und unter welchen Voraussetzungen Unternehmen und Konzerne Adressaten eines Bußgeldes sein können. Der Ausdehnung der Bußgeldhaftung entsprechend des Kartellrechts auf die wirtschaftliche Einheit sollte in diesem Zusammenhang aus Gründen der Bestimmtheit der derzeitigen Bußgeldregelungen der Datenschutz-Grundverordnung eine Absage erteilt werden. Die Systematik des Datenschutzrechts und der Grundsatz der Verhältnismäßigkeit sprechen ebenfalls gegen eine derartige Ausdehnung der Bußgeldhaftung.

I. Einleitung

Die Datenschutz-Grundverordnung wirft ihre Schatten voraus. Angesichts des nahenden Anwendungsbeginns der neuen Datenschutzregelungen am 25. Mai 2018 befinden sich viele Unternehmen derzeit in der Anpassungsphase ihrer Prozesse. Solche Anpassungen sind teilweise auch dringend erforderlich, damit auch zukünftig personenbezogene Daten rechtmäßig verarbeitet werden. Andernfalls sieht die Datenschutz-Grundverordnung einen empfindlichen Bußgeldkatalog vor.

In Berichten über die Datenschutz-Grundverordnung werden die neuen Bußgelder regelmäßig eher plakativ herausgestellt, und diese sind sicherlich ein Aspekt, warum der Datenschutz eine immer wichtigere Rolle in den Compliance-Strukturen von Unternehmen einnimmt. Neu ist insbesondere der Bußgeldrahmen, der gemäß Art. 83 Abs. 4 DS-GVO bis zu 10 Mio. EUR oder bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes bzw. in qualifizierten Verstößen gemäß Art. 83 Abs. 5 DS-GVO bis zu 20 Mio. EUR bzw. bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens betragen kann. Diese Zahlen verdeutlichen, dass ein Datenschutzbewusstsein im Unternehmen unbedingt erforderlich ist. Gleichzeitig sind die Zahlen jedoch lediglich Höchstgrenzen von Bußgeldern, und ein Grund für Panik besteht nicht.

Neben der Erhöhung des Bußgeldrahmens wurden auch die Bußgeldtatbestände im Vergleich zur bisherigen Rechtslage erheblich erweitert, vgl. Art. 83 Abs. 4-6 DS-GVO. Vor dem Hintergrund des aus dem Kartellrecht entliehenen funktionalen Unternehmensbegriffs werden zudem Stimmen laut, die auch die Verantwortlichkeit für Datenschutzverstöße ausweiten wollen.

Infolgedessen sollen auch Muttergesellschaften in einem Konzern gesamtschuldnerisch für das Fehlverhalten ihrer Tochtergesellschaften haften.[1] Hierfür müsse eine unmittelbare Beteiligung der Muttergesellschaft an dem Datenschutzverstoß der Tochter nicht bewiesen sein.[2]

Dabei stützen sich die Befürworter der Ausdehnung der Haftung auf die wirtschaftliche Einheit auf den EWG 150 S. 3 DSGVO, der wiederum besagt, dass bei Geldbußen für Unternehmen der Begriff „Unternehmen“ im Sinne der Art. 101 und 102 AEUV verstanden werden soll. Daraus wird eine Parallele zum Kartellrecht gezogen: Sowohl bei der Bemessung eines Bußgeldes als auch bei der Bestimmung des Bußgeld adressaten nach Art. 83 Abs. 4-6 DS-GVO sei ein Unternehmen i.S.v. Art. 101 f. AEUV und damit die wirtschaftliche Einheit maßgeblich.

Ob die Datenschutz-Grundverordnung tatsächlich mit EWG 150 DS-GVO diesen weiten Ansatz verfolgt, der auf den ersten Blick im Widerspruch zum Unternehmensbegriff des Art. 4 Nr. 18 DS-GVO steht, und ob dieser überhaupt in die Systematik des Datenschutzrechts passt, soll im Folgenden untersucht werden.

II. Unternehmensbegriff

Zunächst ist aufzuzeigen, was überhaupt mit dem Verweis in EWG 150 S. 3 DS-GVO auf den Unternehmensbegriff nach AEUV gemeint ist und welche Folgen für das europäische Kartellrecht daraus resultieren. Im Anschluss ist zu erörtern, ob und ggf. welche Auswirkungen sich entsprechend für das Datenschutzrecht ergeben könnten.

1. Funktionaler Unternehmensbegriff im Kartellrecht

a) Art. 101 f. AEUV

Art. 101 und 102 AEUV definieren nicht unmittelbar den Begriff des Unternehmens. Für das Kartellrecht war daher die Rechtsprechung gefordert, nähere Konturen für den Unternehmensbegriff zu schaffen. Allgemein anerkannt ist, dass der Unternehmensbegriff unionsrechtlich definiert werden muss, und aufgrund der EuGH-Rechtsprechung hat sich ein funktionales Verständnis herausgebildet.[3] Nach Ansicht des EuGH „umfasst der Begriff des Unternehmens jede eine wirtschaftliche Tätigkeit ausübende Einheit, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung.“[4]

Eine wirtschaftliche Einheit kann aus mehreren juristischen Personen bestehen, die zusammen ein Unternehmen i.S.v. Art. 101 und 102 AEUV bilden. Ob die einzelnen juristischen Personen eine wirtschaftliche Einheit bilden, bemisst sich daran, inwiefern einzelne Gesellschaften ihr Marktverhalten autonom bestimmen können oder den Weisungen der beherrschenden Gesellschaft unterliegen. Sofern sie weisungsgebunden sind, liegt eine wirtschaftliche Einheit vor.[5] Davon ist auszugehen, wenn die Muttergesellschaft zu (fast) 100 % an der Tochtergesellschaft beteiligt ist. In solchen Fällen bedarf es auch nicht des Nachweises einer konkreten Weisungsabhängigkeit, und es greift eine widerlegliche Vermutung der Abhängigkeit.[6] Die Vermutung ist widerlegt, wenn nachgewiesen werden kann, dass die Tochtergesellschaft sich autonom auf dem Markt verhält.

Bei geringeren Beteiligungen bedarf es für die Annahme einer wirtschaftlichen Einheit, dass die Muttergesellschaft die Kontrolle über die Tochtergesellschaft hat und insbesondere ein Weisungsrecht ausüben kann.[7] Dabei ist wieder das Marktverhalten zu beurteilen, wobei dieses nur ein Anknüpfungspunkt von vielen für die Annahme einer wirtschaftlichen Einheit ist.[8] Weitere können beispielsweise personelle Verflechtungen oder eine einheitliche Leitung sein.[9]

Diese weite Betrachtung des Unternehmensbegriffs wird vorgenommen, um dem Schutzzweck des Kartellrechts gerecht zu werden. Es soll ein freier, wirksamer und unverfälschter Wettbewerb gewährleistet[10] und damit ein funktionierender Binnenmarkt nach Art. 26 Abs. 1 AEUV geschaffen werden.[11] Vor diesem Hintergrund sei es zweckmäßig, an das Marktverhalten der wirtschaftlichen Einheit als Ganzes anzuknüpfen.[12]

b) Gesamtschuldnerische Haftung der wirtschaftlichen Einheit Der weite Unternehmensbegriff im Kartellrecht bewirkt sodann, dass Muttergesellschaften gesamtschuldnerisch für Kartellrechtsverstöße einer Tochtergesellschaft einstehen müssen.[13] Dies lässt sich mit der Sicherung der zuvor genannten Schutzrichtung des Kartellrechts begründen, sodass bei der Verhängung von Bußgeldern nicht auf den einzelnen Rechtsträger abgestellt wird, sondern auf die wirtschaftliche Einheit als eine Art Unternehmensvereinigung im umgangssprachlichen Sinn.[14]

Dieser Zurechnung von Rechtsverstößen steht jedoch das Konzernprivileg gegenüber, wodurch Absprachen innerhalb einer wirtschaftlichen Einheit zulässig sind.[15] Infolgedessen bestehen innerhalb der wirtschaftlichen Einheit aufgrund eines fehlenden Wettbewerbs auch keine konzerninternen Wettbewerbsbeschränkungen, und Art. 101 AEUV ist auf die einzelnen Gesellschaften der wirtschaftlichen Einheit/Unternehmen nicht anwendbar.[16] Die weite Haftung ist also eine Art Ausgleich für das Konzernprivileg.

2. Vorgaben der DS-GVO zum Unternehmensbegriff

Der Datenschutz-Grundverordnung ist stellenweise anzumerken, dass sie unter großem Zeitdruck verhandelt wurde. Dieser Umstand hinterließ selbstverständlich Spuren, und die Festlegung des Unternehmensbegriffs in der Datenschutz-Grundverordnung verursacht in gewisser Weise ein „legislatives Chaos“[17]: In Art. 4 Nr. 18 DS-GVO definiert der europäische Verordnungsgeber, was datenschutzrechtlich unter einem Unternehmen zu verstehen ist. Danach ist ein Unternehmen eine natürliche und juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen. Zusätzlich definiert er in Art. 4 Nr. 19 DS-GVO auch, was unter einer Unternehmensgruppe zu verstehen ist, nämlich eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht. Mit der Definition des Unternehmens knüpft der Verordnungsgeber damit offenkundig nicht an den funktionalen Unternehmensbegriff aus dem Kartellrecht an, während er bei der Unternehmensgruppe eher eine funktionale Sichtweise offenbart.

Für den in Art. 83 Abs. 5 DS-GVO genannten Begriff des Unternehmens soll nun jedoch nicht der des Art. 4 Nr. 18 DS-GVO gelten. EWG 150 DS-GVO verlangt vielmehr, dass auf den aus dem Kartellrecht bekannten funktionalen Unternehmensbegriff nach Art. 101 f. AEUV zurückgegriffen wird. Ein Umstand, der erst im Trilog Einzug in die Datenschutz-Grundverordnung fand. Damit scheinen EWG 150 und Art. 4 Nr. 18 DS-GVO im Widerspruch zu stehen. Erwägungsgründe dürfen jedoch nur präzisieren, sollen aber keine Abweichung von Regelungen des verfügenden Teils eines Rechtsaktes bewirken.[18] Ein Erwägungsgrund einer Verordnung kann also eine Regelung im normativen Teil nicht überlagern.[19] Die deutsche Fassung vermittelt infolgedessen den Eindruck, dass dem Verordnungsgeber ein Versehen unterlaufen ist und im Endeffekt dürfte EWG 150 DS-GVO aufgrund der bindenden Definition des Unternehmensbegriffs in Art. 4 Nr. 18 DS-GVO nicht maßgebend im Hinblick auf Art. 83 Abs. 4-6 DS-GVO sein.

Die vorangestellte Wertung kann jedoch so einfach nicht getroffen werden. Während in der deutschen Fassung jeweils in Art. 4 Nr. 18 und Art. 83 DS-GVO der Begriff „Unternehmen“ verwendet wird,[20] trifft dies nicht auf alle Sprachfassungen der Verordnung zu. In den beiden Normen werden teilweise unterschiedliche Begrifflichkeiten genutzt, so dass nicht zwangsläufig im Rahmen von Art. 83 DS-GVO auf den Unternehmensbegriff aus Art. 4 Nr. 18 DS-GVO abgestellt werden muss. In der englischen Sprachfassung wird beispielsweise in Art. 4 Nr. 18 DS-GVO der Begriff „enterprise“ und in Art. 83 Abs. 4-6 sowie EWG 150 DS-GVO „undertaking“ verwendet.[21]

Aufzulösen ist der Widerspruch zwischen den verschiedenen Sprachfassungen anhand der unionsrechtlichen Grundsätze. Diese kennen keinen Vorrang einer Landessprache der Europäischen Union.[22] Nach dem Gebot des „effet utile“ ist vielmehr der Sprachfassung den Vorzug zu geben bzw. eine Norm so auszulegen, dass das Vertragsziel am besten erreicht werden kann.[23] Es könnte insofern argumentiert werden, dass bereits Art. 16 Abs. 1 AEUV im Einklang mit Art. 8 Abs. 1 GRCh zusichert, dass jede Person das Recht auf den Schutz personenbezogener Daten hat. Trägt die englische Sprachfassung der Datenschutz-Grundverordnung jedoch mehr zum Ziel des Schutzes personenbezogener Daten bei? Dann müsste man davon ausgehen, dass der ohnehin hohe Bußgeldrahmen des Art. 83 Abs. 4 und 5 DS-GVO mittels der Ausweitung des Unternehmensbegriffs auf eine wirtschaftliche Einheit eine noch abschreckendere Wirkung entfaltet. Verantwortliche und Auftragsverarbeiter müssten aufgrund dessen noch eher Bußgelder befürchten, so dass sie erhebliche Anstrengungen für den Datenschutz unternehmen. Letztendlich lässt sich dies wohl kaum belegen und darf zumindest angezweifelt werden.

Viel gewichtiger sind jedoch Zweifel an der Bestimmtheit der Norm des Art. 83 DS-GVO, wenn unklar ist, welcher Unternehmensbegriff in dessen Kontext gilt.[24] Das Bestimmtheitsgebot als Teil des Gesetzlichkeitsprinzips ist gemäß Art. 49 GRCh fest im Unionsrecht verankert und gilt auch für Normen mit verwaltungsrechtlichen Sanktionen[25] wie Bußgeldtatbestände.[26] Diese dürfen nach dem Bestimmtheitsgebot nur aufgrund einer Norm bzw. Rechtsgrundlage verhängt werden, die klar und unzweideutig formuliert sowie die Rechtsfolge vorhersehbar festlegt.[27] Dieser Umstand ist äußerst fraglich, wenn noch nicht einmal klar ist, wer als „Unternehmen“ i.S.d. Art. 83 DS-GVO Adressat eines Bußgeldes ist.

In diesem Zusammenhang ist auch Art. 4 Nr. 19 DS-GVO und damit der Begriff der Unternehmensgruppe zu berücksichtigen. Diese dem funktionalen Unternehmensbegriff nahestehende Definition sorgt für weitere Verwirrung, wenn die Abstufung vom Unternehmen nach Art. 4 Nr. 18 DS-GVO zur Unternehmensgruppe gerade nicht im Rahmen des Art. 83 DS-GVO maßgebend sein soll. Andernfalls würde ein (funktionaler) Unternehmensbegriff bei Art. 83 DS-GVO gelten, der zwar weitgehend der Definition der Unternehmensgruppe entspricht, aber im Wortlaut nicht auf diese Weise bezeichnet wird. Legislativ ist dies ein Zustand, der für die Bußgeldpraxis kaum hinnehmbar ist. Letztendlich werden gleichwohl die Gerichte diese Problematik klären müssen, wobei der Ausgang eines solchen Verfahrens nur schwer abzuschätzen ist.

III. Auswirkungen auf die zukünftige Bußgeldpraxis

Da sich bislang insbesondere einzelne Vertreter der Datenschutzbehörden trotz der Bedenken hinsichtlich der Bestimmtheit und des Vorrangs des Verordnungstexts gegenüber den Erwägungsgründen positioniert haben, dass im Rahmen von Art. 83 DS-GVO gemäß EWG 150 DS-GVO der funktionale Unternehmensbegriff Anwendung finden soll,[28] stellt sich hier die Frage, welche Auswirkungen damit für die Haftung nach der Datenschutz-Grundverordnung verbunden und ob diese überhaupt mit der Systematik des Datenschutzrechts zu vereinbaren sind.

1. Ausdehnung der Haftung auf Muttergesellschaften

Für die zukünftige Bußgeldpraxis der Datenschutzbehörden wird es von großer Bedeutung sein, ob entsprechend einer Parallele zum Kartellrecht und der Anwendung des funktionalen Unternehmensbegriffs die Muttergesellschaft gesamtschuldnerisch für einen Verstoß einer Tochtergesellschaft einstehen muss.

a) Argumente für die gesamtschuldnerische Haftung der wirtschaftlichen Einheit auch im Datenschutzrecht

Eine Ausdehnung der Haftung nach Art. 83 DS-GVO auf die wirtschaftliche Einheit entsprechend EWG 150 DS-GVO wird befürwortet, um dem Betroffenenschutz zu genügen und gleiche Bedingungen auf dem wettbewerbsträchtigen Markt herzustellen.[29] Es sei zu befürchten, dass das Bußgeldsystem andernfalls nicht wirksam und keinen ausreichenden abschreckenden Charakter habe, insbesondere wenn sich Muttergesellschaften trotz der Beherrschung des Verhaltens der Tochtergesellschaft aus der Verantwortung stehlen könnten.[30] Eine Umgehung der Haftung durch Umstrukturierungen im Konzern könnte zudem verhindert werden, wenn hierdurch die Haftung bei der Muttergesellschaft verbleibt.[31]

Hervorgehoben wird ferner, dass Muttergesellschaften bei Datenschutzverstößen einer Tochtergesellschaft nicht bebußt werden, sondern hierfür nur haften.[32] Dies entspreche auch der Systematik des europäischen Sanktionsrechtes, das keine Trennung von Tatbestand und Rechtsfolge vornehme.[33] Bei der Bemessung des Bußgeldes werde insofern auf die Unternehmensgruppe bzw. wirtschaftliche Einheit abgestellt, wohingegen der Datenschutzverstoß allein von einem dieser Einheit zugehörigen Verantwortlichen oder Auftragsverarbeiter begangen sein muss.[34] Es sei daher unerheblich, dass das Unternehmen oder die Unternehmensgruppe nicht Normadressaten im Datenschutzrecht sind.[35] Insofern sei es auch konsequent, in Art. 83 DS-GVO den Verantwortlichen und Auftragsverarbeiter als Normadressaten zu nennen. Dem liegt auch die Annahme zugrunde, dass nach europäischem Verständnis keine Trennung zwischen Verstoß und Haftungsadressat vorausgesetzt werde. Andernfalls könne ein Szenario entstehen, wonach einzelne Mitgliedsstaaten im Wege nationaler Regelungen bei der Ausgestaltung der rechtlichen Organisation des datenschutzrechtlichen Verantwortlichen die Wirksamkeit des europäischen Sanktionsrechts erheblich beeinträchtigen.[36]

Zu guter Letzt wird darauf hingewiesen, dass Muttergesellschaften in der Systematik der gesamtschuldnerischen Haftung der wirtschaftlichen Einheit nicht vollkommen schutzlos gestellt seien. Schutz vor der Haftung werde der wirtschaftlichen Einheit nämlich bei nicht zurechenbaren Zuwiderhandlungen gewährt.[37]

b) Argumente gegen die gesamtschuldnerische Haftung der wirtschaftlichen Einheit nach der DS-GVO

Die Argumente für eine Ausweitung der Haftung auf die wirtschaftliche Einheit sind erkennbar davon geprägt, ein möglichst wirksames und abschreckendes Bußgeldsystem im Datenschutzrecht zu implementieren. Diese Haftungsystematik müsste gleichwohl auch so in der Datenschutz-Grundverordnung abgebildet sein, was derzeit zumindest nicht unmittelbar erkennbar ist. Rechtspolitisch mag der Export des unternehmensbezogenen Bußgeldrechtes aus dem Kartellrecht noch verständlich sein, in „nicht-unternehmensbezogenen“ Rechtsbereichen wie dem Datenschutzrecht wären damit hingegen erhebliche Probleme verbunden.[38]

Wenig nachvollziehbar ist bereits, dass der Verordnungsgeber eine so wichtige Entscheidung wie eine Ausdehnung der Haftung lediglich über die Erwägungsgründe der Datenschutz-Grundverordnung vorgenommen haben soll.[39] Dies könnte jedoch noch der Hektik der Trilog-Verhandlungen geschuldet sein. Neben den bereits aufgezeigten Zweifeln an der Bestimmtheit des Art. 83 Abs. 4-6 DS-GVO im Zusammenhang mit Art. 4 Nr. 18 und EWG 150 DS-GVO spricht allerdings vor allen Dingen die Systematik der DatenschutzGrundverordnung gegen eine Ausweitung der Haftung auf eine wirtschaftliche Einheit im Datenschutzrecht.

Das Datenschutzrecht ist nach dem Prinzip der Verantwortung ausgestaltet. Verbotsnormen der DatenschutzGrundverordnung richten sich daher auch nicht per se an Unternehmen, sondern an den für die Datenverarbeitung Verantwortlichen, vgl. Art. 5 Abs. 2 DS-GVO. Dieser ist für die Einhaltung der Datenschutzprinzipien nach Art. 5 Abs. 1 DS-GVO verantwortlich. Unter einem Verantwortlichen ist wiederum gemäß Art. 4 Nr. 7 DS-GVO u. a. jede natürliche oder juristische Person zu verstehen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.

Die Datenschutz-Grundverordnung enthält ferner bereits ein ausdifferenziertes Adressatenmodell für Bußgelder. Gemäß Art. 58 Abs. 2 lit. i) DS-GVO können Bußgelder zusätzlich oder anstelle der weiteren in diesem Absatz genannten Maßnahmen verhängt werden. Die weiteren Maßnahmen richten sich an den Verantwortlichen oder Auftragsverarbeiter, so dass grundsätzlich diese und keine weiteren Protagonisten Adressaten von Bußgeldern sein können. Die Verordnung stellt also neben dem Auftragsverarbeiter explizit auf die Rolle des Verantwortlichen ab. Dementsprechend knüpft auch Art. 83 Abs. 4-6 DSGVO an diese Systematik an und benennt Verantwortliche und Auftragsverarbeiter (sowie ggf. Zertifizierungsstellen) als Normadressaten.[40] Letztendlich ist es insofern konsequent, wenn derjenige, der über das „Ob“ und „Wie“ der Datenverarbeitung entscheidet, für Bußgelder haften soll. Dementsprechend kommt es bei der Bestimmung des Bußgeldadressaten nicht auf eine Unternehmensstellung, sondern vielmehr auf die Frage an, wer die Verantwortung trägt.[41]

Datenschutzrechtlich werden Konzerne und Unternehmensgruppen auch nicht ohne weiteres als Einheit betrachtet.[42] Die Unternehmensgruppe ist in Art. 4 Nr. 19 DS-GVO legaldefiniert und gewinnt lediglich in Art. 37 Abs. 2, Art. 47 und Art. 88 Abs. 2 DS-GVO an Bedeutung. Darüber hinaus ist der Datenschutz-Grundverordnung ein derartiges einheitliches Konzernbild eher fremd. Infolgedessen wird eine entscheidende Abweichung zum Kartellrecht deutlich, die ebenfalls gegen eine Übernahme der Haftung für eine wirtschaftliche Einheit in das Datenschutzrecht spricht: Während das Kartellrecht ein Konzernprivileg kennt, existiert ein solches im Datenschutzrecht auch unter der Datenschutz-Grundverordnung nicht.[43] Diese Privilegierung der Unternehmensgruppe im Kartellrecht, welche eine Ausdehnung der Haftung begründet, kann somit mangels Entsprechung nicht zu einem ausgedehnten Bußgeldsystem im Datenschutzrecht führen.

Die rechtspolitischen Erwägungen zur Optimierung eines wirksamen und abschreckenden Bußgeldsystems wurden im Übrigen vom Verordnungsgeber der Datenschutz-Grundverordnung durchaus berücksichtigt. Dafür ist es auch nicht erforderlich, eine Haftung der Muttergesellschaft für Datenschutzverstöße der Tochtergesellschaft über eine wirtschaftliche oder datenschutzrechtliche[44] Einheit zu entwickeln. Entsprechend des Verantwortungsprinzips kann eine Muttergesellschaft bei einem Datenschutzverstoß dann bußgeldpflichtig gemäß Art. 83 DS-GVO werden, wenn sie gemeinsam verantwortlich mit der den Verstoß begehenden Tochtergesellschaft gemäß Art. 26 DS-GVO ist. Legen Mutter- und Tochtergesellschaft gemeinsam Mittel und Zwecke der Datenverarbeitung fest und kann ein Datenschutzverstoß auch tatsächlich beiden zugerechnet werden, kann ein entsprechendes Bußgeld mit doppeltem Adressaten verhängt werden. Dies kommt dem Konstrukt der wirtschaftlichen Einheit durchaus nahe, wobei hier wohl die Haftung für Bußgelder nach den Vorgaben der Datenschutz-Grundverordnung nicht gesamtschuldnerisch ausfällt.

Hervorzuheben ist bei dieser Systematik, dass die gemeinsame Verantwortung und Zurechnung eines Datenschutzverstoßes auch tatsächlich feststehen muss. Ohne ein Konzernprivileg als Ausgleich zur umfassenden Haftung als Einheit, kann bei Beteiligungsformen von 100 % nicht wie im europäischen Kartellrecht automatisch von einer Einflussnahmemöglichkeit der Muttergesellschaft auf die Tochtergesellschaft ausgegangen werden, die eine Haftung begründet. Diese Vermutungsregelung greift nicht, was angesichts der erheblichen Kritik an dieser zu begrüßen ist. Im Kartellrecht wird bereits bemängelt, dass diese zu einer Verletzung der in Art. 6 EMRK und Art. 48 Abs. 1 GRC garantierten Unschuldsvermutung führe, da ein Nachweis für ein alleinverantwortliches Handeln der Tochtergesellschaft ein nahezu unüberwindbares Hindernis sei.[45]

Abschließend ist somit festzuhalten, dass die systematischen Erwägungen gegen eine Ausdehnung der Haftung für Bußgelder auf eine wirtschaftliche Einheit im Datenschutzrecht sprechen.

2. Bußgeldrahmen

Vertritt man die Ansicht, dass der funktionale Unternehmensbegriff entsprechend EWG 150 DS-GVO maßgeblich für Bußgelder nach Art. 83 DS-GVO sein soll, könnte dies auch erhebliche Konsequenzen auf der Rechtsfolgenseite bei der Bemessung des Bußgeldes haben. Unmittelbar aus dem Wortlaut des Art. 83 Abs. 4-6 DS-GVO ergibt sich, dass bei der Bemessung des Bußgeldes auf den Umsatz des Unternehmens abzustellen ist.

Würde man aufgrund des EWG 150 DS-GVO davon ausgehen, dass damit die wirtschaftliche Einheit gemeint ist, dürfte somit regelmäßig der Konzernumsatz herangezogen werden.

Es erscheint jedoch wenig sinnvoll, dass auf den Konzernumsatz bei der Bemessung der Höhe des Bußgeldes abgestellt werden soll, wenn ausschließlich eine Tochtergesellschaft für einen Datenschutzverstoß verantwortlich ist und bebußt werden soll. Regelmäßig würde die Gesellschaft mit einem Bußgeld belegt werden, welches ihre Finanzkraft erheblich übersteigt.[46] Bußgelder sollen abschreckend wirken, müssen gleichzeitig aber auch verhältnismäßig sein, vgl. Art. 83 Abs. 1 DS-GVO. Ein an eine einzelne Konzerngesellschaft gerichtetes Bußgeld würde den Grundsatz der Verhältnismäßigkeit[47] regelmäßig verletzen, wenn es anhand der Unternehmensgruppe bzw. des Konzernumsatzes bemessen wird. Heranzuziehen ist in solchen Fällen somit der Umsatz der einzelnen Gesellschaft.

In Fällen, in denen Gesellschaften einer Unternehmensgruppe als gemeinsam Verantwortliche für einen Datenschutzverstoß verantwortlich und damit bußgeldpflichtig werden, sollte das Bußgeld ebenfalls nicht in Bezug auf deren gemeinsamen Umsatz berechnet werden. Die gemeinsam Verantwortlichen haften nach den Vorgaben der Datenschutz-Grundverordnung nicht gesamtschuldnerisch für Bußgelder, so dass das Bußgeld individuell und im Hinblick auf den Beitrag am Datenschutzverstoß bemessen werden sollte. Eine andere Praxis müsste aufgrund der fehlenden Verhältnismäßigkeit als unzulässig angesehen werden.

IV. Fazit

Welcher Unternehmensbegriff – der des Art. 4 Nr. 18 DS-GVO oder der funktionale Unternehmensbegriff nach Art. 101 f. AEUV – im Rahmen von Art. 83 Abs. Abs. 4-6 DS-GVO künftig zur Anwendung kommen soll, werden wohl die Gerichte entscheiden müssen. Es sind jedoch ernstzunehmende Bedenken ersichtlich, warum Bußgelder nicht aufgrund des funktionalen Unternehmensbegriffs gegen eine wirtschaftliche Einheit zu verhängen sind. Sofern der europäische Verordnungsgeber eine andere Bußgeldpraxis anstrebt und insbesondere die wirtschaftliche Einheit haften sowie bei der Bemessung des Bußgeldes als Maßstab herangezogen werden soll, müsste eine Änderung direkt am Text der Datenschutz-Grundverordnung erfolgen. Dem einfachen Versuch, dies ggf. mit einem dem eigentlichen Wortlaut und Definitionen der Verordnung abweichenden EWG 150 DS-GVO zu erreichen, sollte aus Gründen der fehlenden Bestimmtheit eine Absage erteilt werden.

Sollte sich der Verordnungsgeber allem Aufwand zum Trotz kurzfristig zu Änderungen an der Datenschutz-Grundverordnung entscheiden, um mehr Rechtssicherheit für Bußgeldverfahren zu schaffen, spricht jedoch die Systematik des Datenschutzrechts gegen eine Ausweitung der Haftung auf die wirtschaftliche Einheit (wie sie ggf. EWG 150 DS-GVO entnommen werden könnte). Das Datenschutzrecht geht von einem Verantwortungsprinzip aus, und Bußgelder sollten als schärfstes Schwert der Aufsicht dementsprechend adressiert werden. Eine Muttergesellschaft kann zudem nach der Datenschutz-Grundverordnung schon für einen Verstoß durch eine Tochtergesellschaft bebußt werden, wenn beide gemeinsam verantwortlich sind und der Gesellschaftsmutter der Verstoß zugerechnet werden kann. Liegt der Verstoß allerdings allein im Verantwortungsbereich der Tochtergesellschaft und geschieht ein Datenschutzverstoß ohne Zutun der Muttergesellschaft, haftet diese selbstverständlich nicht.

Da bereits gewichtige Argumente gegen eine Ausdehnung der Haftung auf eine wirtschaftliche Einheit sprechen, sollte auch im Rahmen der Bußgeldbemessung der funktionale Unternehmensbegriff nicht herangezogen werden. Andernfalls drohen Szenarien, in denen einzelne Unternehmen eines Konzerns Bußgelder befürchten müssen, die am Umsatz des Konzerns bemessen und für das einzelne Unternehmen nicht leistbar sind. Dies würde einen vollkommen unzulässigen Verstoß gegen das Verhältnismäßigkeitsprinzip darstellen.

* Der Beitrag gibt ausschließlich die persönliche Meinung des Autors wieder.

Dr. Niclas Krohm ist Syndikusrechtsanwalt beim Gesamtverband der Deutschen Versicherungswirtschaft e.V. (GDV) im Bereich Datenschutz/ Grundsatzfragen sowie als Rechtsanwalt für Schürmann Wolschendorf Dreyer Rechtsanwälte tätig.

[1] Berliner Beauftrage für Datenschutz und Informationsfreiheit, Jahresbericht 2016, S. 33 f.; Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 2017, Teil 8 D. Rn. 35; Hohmann, in: Roßnagel, Europäische Datenschutz-Grundverordnung, 2017, § 3 Rn. 321; Holländer, in: Beck‘scher online-Kommentar Datenschutzrecht, Wolff/Brink, 20. Edition, Stand: 01.05.2017, Art. 83 Rn. 10 ff.; Rost, RDV 2017, 13 (17); Schönefeld/ Thomé, PinG 2017, 126 (127 f.). Vorsichtiger in diese Richtung kommentieren Bergt, in: Kühling/Buchner, die DS-GVO, 2017, Art. 83 Rn. 28; ders., DuD 2017, 555 (556); Feiler/Forgó, EU-DS-GVO, 2017, Art. 83 Rn. 12.

[2] Schönefeld/Thomé, PinG 2017, 126 (128).

[3] Weiß, in: Calliess/Ruffert, EUV/AEUV, 5. Aufl. 2016, Art. 101 AEUV Rn. 25.

[4] EuGH, Urteil vom 23. 4. 1991 – C-41/90, Rn. 21.

[5] Weiß, in: Calliess/Ruffert, EUV/AEUV, 5. Aufl. 2016, Art. 101 AEUV Rn. 34 mit Verweis auf die Rechtsprechung des EuGH.

[6] EuGH, Urt. v. 25.10.1983 – 107/82, Rn. 50; EuGH, Urt. v. 10.09.2009 – C-97/08 P, Rn. 60; EuGH, Urt. v. 29.09.2011 – C-521/09 P, Rn. 56; EuGH, Urt. v. 18.07.2013 – C-501/11 P, Rn. 103 ff

[7] Weiß, in: Calliess/Ruffert, EUV/AEUV, 5. Aufl. 2016, Art. 101 AEUV Rn. 35.

[8] EuGH, Urt. v. 10.09.2009 – C-97/08 P, Rn. 73.

[9] Weiß, in: Calliess/Ruffert, EUV/AEUV, 5. Aufl. 2016, Art. 101 AEUV Rn. 74 m.w.N.

[10] EuGH, Urt. V. 5. 6. 2014 – C-557/12

[11] Faust/Spittka/Wybitul, ZD 2016, 120 (121).

[12] Faust/Spittka/Wybitul, ZD 2016, 120 (121).

[13] Diese weite Haftung ist mit der kürzlich in Kraft getretenen 9. GWB-Novelle auch in das deutsche Kartellbußgeldrecht übernommen worden.

[14] Vgl. auch Holländer, in: Beck‘scher online-Kommentar Datenschutzrecht, Wolff/Brink, 20. Edition, Stand: 01.05.2017, Art. 83 Rn. 9.

[15]

[16] EuGH, Urt. v. 12.07.1984 – 170/83; Cornelius, NZWiSt 2016, 421 (423).

[17] Cornelius, NZWiSt 2016,421 (423).

[18] Golla, in: Eßer/Kramer/von Lewinski, DS-GVO BDSG, 2017, Art. 83 Rn. 26 mit Verweis auf EuGH, Urt. v. 14.07.1972 – 48/6; a. A. Nemitz, in: Ehmann / Selmayr, Datenschutz-Grundverordnung, 2017, Art. 83 Rn. 42, nach dessen Auffassung sich EWG 150 DS-GVO als spezielle Regelungen bzw. aus Auslegungsdirektive gegenüber den Regelungen in Art. 4 Nr. 18 und 19 DS-GVO durchsetzt.

[19] Faust/Spittka/Wybitul, ZD 2016, 120 (124); Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, 2016, § 11 Rn. 28.

[20] Denselben Begriff wie die deutsche Sprachfassung verwenden auch die spanische, niederländische, rumänische, italienische und estnische Version des Art. 4 Nr. 18, Art. 83 und EWG 150 DS-GVO, siehe Bergt, in: Kühling/Buchner, die DS-GVO, 2017, Art. 83 Rn. 43; ders., DuD 2017, 555 (559).

[21] Weitere Beispiele bei Golla, in: Eßer/Kramer/von Lewinski, DS-GVO BDSG, 2017, Art. 83 Rn. 26.

[22] Cornelius, NZWiSt 2016, 421 (424) mit Verweis auf EuGH, Urt. v. 27.03.1990 – C-372/88, Rn. 19.

[23] Cornelius, NZWiSt 2016, 421 (424).

[24] Vgl. Bergt, in: Kühling/Buchner, die DS-GVO, 2017, Art. 83 Rn. 43; ders., DuD 2017, 555 (559); Faust/Spittka/Wybitul, ZD 2016, 120 (124); Gola, in: Gola, Datenschutz-Grundverordnung, 2017, Art. 83 Rn. 14.

[25] Bergt, in: Kühling/Buchner, die DS-GVO, 2017, Art. 83 Rn. 44.

[26] Golla, in: Eßer/Kramer/von Lewinski, DS-GVO BDSG, 2017, Art. 83 Rn. 15.

[27] Holländer, in: Beck‘scher online-Kommentar Datenschutzrecht, Wolff/ Brink, 20. Edition, Stand: 01.05.2017, Art. 83 Rn. 5.

[28] Berliner Beauftrage für Datenschutz und Informationsfreiheit, Jahresbericht 2016, S. 33 f.; BayLDA, EU-Datenschutz-und Verordnung (DS-GVO) – Das BayLDA auf dem Weg zur Umsetzung der Verordnung, Papier Nr. VII, Sanktionen nach der DS-GVO; Rost, RDV 2017, 13 (17); Schönefeld/Thomé, PinG 2017, 126 (127 f.).

[29] Holländer, in: Beck‘scher online-Kommentar Datenschutzrecht, Wolff/ Brink, 20. Edition, Stand: 01.05.2017, Art. 83 Rn. 14.

[30] Nemitz, in: Ehmann / Selmayr, Datenschutz-Grundverordnung, 2017, Art. 83 Rn. 43.

[31] Vgl. Gola, in: Gola, Datenschutz-Grundverordnung, 2017, Art. 83 Rn. 13; Gola, K&R 2017, 144 (146).

[32] Holländer, in: Beck‘scher online-Kommentar Datenschutzrecht, Wolff/ Brink, 20. Edition, Stand: 01.05.2017, Art. 83 Rn. 12.1.

[33] Holländer, in: Beck‘scher online-Kommentar Datenschutzrecht, Wolff/ Brink, 20. Edition, Stand: 01.05.2017, Art. 83 Rn. 11 und 13.2.

[34] Holländer, in: Beck‘scher online-Kommentar Datenschutzrecht, Wolff/ Brink, 20. Edition, Stand: 01.05.2017, Art. 83 Rn. 13.2.

[35] Holländer, in: Beck‘scher online-Kommentar Datenschutzrecht, Wolff/ Brink, 20. Edition, Stand: 01.05.2017, Art. 83 Rn. 14.1.

[36] Holländer, in: Beck‘scher online-Kommentar Datenschutzrecht, Wolff/ Brink, 20. Edition, Stand: 01.05.2017, Art. 83 Rn. 14.1.

[37] Holländer, in: Beck‘scher online-Kommentar Datenschutzrecht, Wolff/ Brink, 20. Edition, Stand: 01.05.2017, Art. 83 Rn. 13.2.

[38] Dannecker/Dannecker, NZWiSt 2016, 162 (166).

[39] Vgl. auch Faust/Spittka/Wybitul, ZD 2016, 120 (124).

[40] Vgl. zu den Normadressaten auch Bergt, in: Kühling/Buchner, die DSGVO, 2017, Art. 83 Rn. 21.

[41] In diesem Sinne auch Cornelius, NZWiSt 2016, 421 (425); Faust/Spittka/ Wybitul, ZD 2016, 120 (122 ff.).

[42] Faust/Spittka/Wybitul, ZD 2016, 120 (124).

[43] Ebenso Cornelius, NZWiSt 2016, 421 (425); Faust/Spittka/Wybitul, ZD 2016, 120 (124); Gola, K&R 2017, 144 (146). Zum fehlenden Konzernprivileg in der DS-GVO im Einzelnen auch Voigt, CR 2017, 428 (429 f.).

[44] Vgl. Cornelius, NZWiSt 2016, 421 (426), der einen Vorschlag zur datenschutzrechtlichen Einheit unterbreitet.

[45] Siehe zur Kritik insbesondere bei Dannecker/Dannecker, NZWiSt 2016, 162 (167 f) m.w.N.

[46] So auch Faust/Spittka/Wybitul, ZD 2016, 120 (124).

[47] Siehe weitgehender zum auch im europäischen Recht geltenden Grundsatz der Verhältnismäßigkeit in Bezug auf Bußgelder gegen Unternehmen, Martini/Wenzel, PinG 2017, 92 (94).