Aufsatz : Der funktionale Unternehmensbegriff im Bußgeldverfahren nach DS-GVO – nationale Identität im Spannungsfeld europäischer Erfüllungspflichten : aus der RDV 5/2021, Seite 253 bis 258
Drei Jahre Bußgeldverfahren nach Datenschutzgrundverordnung und die erste Rechtsprechung dazu zeigten eine Divergenz zweier Sanktionsregime auf
Mit der EU-Datenschutz-Grundverordnung (DS-GVO) kamen die neuen umsatzbasierten hohen Bußgelder und damit das scharfe Schwert der Datenschutzaufsicht. Den Datenschutzaufsichtsbehörden wurde nach Art. 83 Abs. 1 DS-GVO der Auftrag zuteil, sicherzustellen, dass die Verhängung von Geldbußen für Verstöße gegen die DS-GVO gemäß Art. 83 Abs. 4, 5 und 6 DS-GVO in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
Nach drei Jahren Bußgeldpraxis der Datenschutzaufsicht und erster Rechtsprechung deutscher Gerichte kristallisiert sich heraus, dass mit dem funktionalen Unternehmensbegriff auf der europäischen Ebene und dem Rechtsträgerprinzip auf der nationalen Ebene zwei nicht ohne weiteres miteinander kompatible Rechtstraditionen aufeinanderstoßen, die durch sehr unterschiedlich ausfallende Judikatur zum Hemmnis einer effektiven Aufgabenerfüllung der hiesigen Aufsichtsbehörden in der Sanktionierung von Verstößen gegen die DS-GVO werden können.
Der Beitrag gibt zunächst einen kurzen Überblick über die national und europäisch angewandten Prinzipien. Nach einer kurzen Vorstellung der Rechtsprechung wagt der Beitrag einen Blick auf die Entwicklung im Kartellrecht und wirft die Frage auf, ob man aus den Erfahrungen im Kartellrecht für die datenschutzrechtlichen Bußgeldverfahren nach DS-GVO lernen kann.
I. Bebußung von Unternehmen national und nach der DS-GVO
Es ist umstritten, ob die Grundsätze des deutschen Rechtsträgerprinzips auch für bußgeldbewährte Verstöße gegen die Bestimmungen der DS-GVO gelten oder ob die Verordnung eine unmittelbare Unternehmenshaftung vorsieht.[1]
1. Rechtsträgerprinzip
Das deutsche Ordnungswidrigkeitenrecht geht strikt vom Rechtsträgerprinzip und damit von der Rechtsträgerhaftung aus. Wenn ein gemäß § 30 des Gesetzes über Ordnungswidrigkeiten (OWiG) Verantwortlicher verbotswidrig für eine juristische Person oder Personenvereinigung handelt, führt dies dazu, dass grundsätzlich der vertretende Rechtsträger haftet.[2] Das bedeutet: Es haftet das vertretungsberechtigte Organ eines Unternehmens.[3]
2. Funktionaler Unternehmensbegriff
Erwägungsgrund 150 S. 3 DS-GVO gibt vor, dass dann, wenn Unternehmen Geldbußen auferlegt werden, zu diesem Zweck der Begriff „Unternehmen“ im Sinne der Art. 101 und 102 des Vertrages über die Arbeitsweise der Europäischen Union (AEUV) verstanden werden sollte. Was dies bedeutet, kann man der Rechtsprechung hierzu entnehmen. Danach ist ein Unternehmen „jede eine wirtschaftliche Tätigkeit ausübende Einheit, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung“.[4] Der EuGH folgt damit einem funktionalen Ansatz – der Begriffsinhalt bestimmt sich also nicht nach institutionellen oder organisatorischen Kriterien, also Rechtsträgereigenschaften, sondern nach der Tätigkeit. Nach der Rechtsprechung zum funktionalen Unternehmensbegriff haften Unternehmen für das Fehlverhalten sämtlicher ihrer Beschäftigten. Anders als nach dem in Deutschland geltenden Rechtsträgerprinzip ist eine Kenntnis der Geschäftsführung eines Unternehmens von dem konkreten Verstoß oder eine Verletzung der Aufsichtspflicht für die Zuordnung der Verantwortlichkeit nicht erforderlich.
3. Die Entschließung der DSK v. April 2019[5]
Während in der Zeit vor Geltung der DS-GVO primär zunächst die neuen umsatzbezogenen Bußgelder diskutiert wurden,[6] folgten ab 2018 Diskussionen aus der konkreten Umsetzung der Bußgeldverfahren.[7] Ein Ergebnis der ersten Erfahrungen ist aus dieser Zeit eine Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK). Nach der Entschließung der 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder am 3.4.2019 haften Unternehmen im Rahmen von Art. 83 DS-GVO für schuldhafte Datenschutzverstöße ihrer Beschäftigten, sofern es sich nicht um einen Exzess handelt. Dabei ist nicht erforderlich, dass für die Handlung ein gesetzlicher Vertreter oder eine Leitungsperson verantwortlich ist. Zurechnungseinschränkende Regelungen im nationalen Recht würden dem widersprechen. Diese Haftung für Mitarbeiterverschulden ergebe sich aus der Anwendung des sogenannten funktionalen Unternehmensbegriffs des europäischen Primärrechts. Eine Kenntnis der Geschäftsführung eines Unternehmens von dem konkreten Verstoß oder eine Verletzung der Aufsichtspflicht sei danach für die Verantwortlichkeit nicht erforderlich. Handlungen von Beschäftigten, die bei verständiger Würdigung nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zugerechnet werden können („Exzesse“), seien ausgenommen. Die DSK stellt in dieser Entschließung auch fest, dass die alten nationalen Haftungsregeln bisher nicht europarechtskonform der neuen Rechtslage angepasst wurden. Unzutreffend verweise § 41 Abs. 1 des neuen Bundesdatenschutzgesetzes (BDSG) auf zurechnungseinschränkende Regelungen im OWiG. Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) haben bereits im Rahmen des Gesetzgebungsverfahrens zum neuen BDSG darauf aufmerksam gemacht, dass diese Bestimmungen den Vorgaben der DS-GVO zur Verantwortlichkeit für Datenschutzverstöße widersprechen. Die DSK begrüße insoweit, dass der Koalitionsvertrag vorsehe, das Sanktionsrecht für Unternehmen generell im deutschen Recht so zu ändern, dass „die von Fehlverhalten von Mitarbeiterinnen und Mitarbeitern profitierenden Unternehmen stärker sanktioniert werden“. Diese gebotene Modernisierung des deutschen Unternehmenssanktionsrechts entspräche dann auch dem europäischen Kartellrecht und dem etablierten internationalen Standard. Die DSK forderte den Bundesgesetzgeber daher nochmals auf, in den Beratungen des Entwurfs des Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 (DS-GVO) und zur Umsetzung der Richtlinie (EU) 2016/680 die §§ 30, 130 OWiG entsprechend zu modifizieren.[8] Dieser Apell fand in der Umsetzung keine Berücksichtigung.
II. Rechtsprechung
Mittlerweile liegt zu diesem Streitstand auch erste Rechtsprechung vor. Es wird klar, dass nicht nur ein europäischer Mitgliedstaat allein vor Problemen bei der Umsetzung und Auslegung steht, sondern dass sich auch andere EU-Mitgliedstaaten diese Frage stellen. In Deutschland haben zwei Landgerichtsentscheidungen die Aufmerksamkeit auf sich gezogen und den Streitstand eindrucksvoll mit ihren unterschiedlichen Auffassungen dargestellt.
1. LG Bonn[9]
Das LG Bonn hat am 11.11.2020 einen Telekommunikationsdienstleister wegen eines Verstoßes gegen die Verpflichtung, durch geeignete technische und organisatorische Maßnahmen ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten (Art. 32 Abs. 1, 2; 83 Abs. 1,2, 4 DS-GVO) zu einer Geldbuße von 900.000 EUR verurteilt. Das Gericht reduzierte damit die ursprünglich im Bußgeldverfahren durch den Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) festgesetzte Geldbuße von 9.55 Mio EUR um 90 Prozent. Das LG Bonn legt seiner Entscheidung die Auffassung zugrunde, Gegenstand bei der Sanktionierung in Art. 83 Abs. 4 bis 6 DSGVO sei der Datenschutzverstoß als Erfolg und nicht die dafür ursächliche Handlung bestimmter natürlicher Personen. Daher sei die Tat im prozessualen Sinne ausreichend bestimmt. Nach Ansicht des LG Bonn gelten für die Bußgeldtatbestände in Art. 83 Abs. 4 bis 6 DS-GVO die Grundsätze supranationalen Kartellrechtes entsprechend und somit eine unmittelbare Verbandshaftung. Die Anwendung der Vorschrift des § 30 Abs. 1 OWiG und das deutsche Rechtsträgerprinzip lehnt das LG Bonn ab. Das LG Bonn sieht einen Anwendungsvorrang der DS-GVO vor nationalen Vorschriften, da es andernfalls zu unerwünschten Wettbewerbsverzerrungen in den Mitgliedstaaten der EU im Hinblick auf die Durchsetzung der europarechtlichen Datenschutzregeln kommen könne. Nationale Vorschriften wie §§ 41 Abs. 1 BDSG i.V.m. 30, 130 OWIG seien wegen des Grundsatzes der praktischen Wirksamkeit (effet utile)[10] so auszulegen, dass ihre Anwendung nicht zum Vollzugsdefizit führen könne. Da, wo dies nicht gelänge, seien sie gar nicht anzuwenden. Schließlich gäben die Erwägungsgründe der DS-GVO Hinweis darauf, dass der europäische Verordnungsgeber das Sanktionsregime des europäischen Kartellrechtes habe nachbilden wollen, dem eine unmittelbare Verbandshaftung zugrunde liege. Danach bedürfe es gerade nicht der Feststellung einer Tathandlung durch eine natürliche Person, die dem Verband zugerechnet werden müsse (sog. Anknüpfungstat). Vielmehr sei die juristische Person selbst Täter und nach insoweit unmittelbar anwendbarem Unionsrecht auch schuldfähig.[11]
2. LG Berlin[12]
Zu einer anderen Auffassung gelangt das LG Berlin in seiner Entscheidung vom 18.2.2021.[13] Das LG Berlin hatte über eine Bußgeldentscheidung der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) zu urteilen. Die Betroffene des Gerichtsverfahrens ist ein börsennotiertes Immobilienunternehmen mit Sitz in Berlin. Die Eigentümer der Wohneinheiten und Gewerbeeinheiten sind Tochtergesellschaften der Betroffenen und bilden mit dieser einen Konzern. Die Betroffene konzentriert sich auf die übergeordnete Leitung. Die Tochtergesellschaften, sog. Besitzgesellschaften, kümmern sich um die Vermietung der Wohn- und Gewerbeeinheiten. Die Verwaltung der Einheiten erfolgt ebenfalls durch Konzerngesellschaften, sog. Servicegesellschaften. Das LG Berlin geht in seiner Entscheidung davon aus, dass eine juristische Person nicht Betroffene in einem Bußgeldverfahren, auch nicht in einem solchen nach Art. 83 DS-GVO, sein kann. Denn eine Ordnungswidrigkeit könne nur durch eine natürliche Person vorwerfbar begangen werden. Der juristischen Person könne lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten (also der natürlichen Person, gegen die ein Bußgeldverfahren durchgeführt wird) zugerechnet werden. Die juristische Person könne deswegen nur Nebenbeteiligte sein. Die Verhängung einer Geldbuße gegen diese sei in § 30 OWiG geregelt, der über § 41 BDSG auch für die Verstöße gegen Art. 83 Abs. 4 bis 6 DS-GVO Anwendung finde. Danach könne entweder in einem einheitlichen Verfahren gegen die juristische Person eine Geldbuße festgesetzt werden, wenn wegen der Tat des Organmitglieds oder Repräsentanten, also der natürlichen Person, gegen diese ein Bußgeldverfahren durchgeführt wird oder gem. § 30 Abs. 4 OWiG in einem selbstständigen Verfahren. Das LG Berlin setzt sich in seiner Entscheidung intensiv mit den abweichenden Auffassungen auseinander, befürwortet dann aber in seiner Entscheidung das dem OWiG zugrundeliegende Rechtsträgerprinzip, denn dafür habe sich der nationale Gesetzgeber entschieden.
3. Bundesverwaltungsgericht Österreich[14]
Doch nicht nur in Deutschland ist der Streitstand um den funktionalen Unternehmensbegriff aufgekommen, auch in Österreich wird die Frage kontrovers diskutiert. Auslöser ist die Entscheidung des österreichischen Verwaltungsgerichtshofs (VwGH) vom 5.5.2020, in welcher der VwGH für die Bestrafung einer juristischen Person die ausdrückliche Nennung einer ihr zurechenbaren natürlichen Person im Straferkenntnis forderte und die direkte Verhängung einer Geldbuße nach dem Vorbild des europäischen Kartellrechtes ausdrücklich ablehnte.[15]
4. Das Problem
Die nicht nur innerstaatlich, sondern auch europaweit divergierende Rechtsprechung macht einen Handlungsbedarf deutlich. Schließlich geht es um eine effektive Umsetzung europäischer Regelungen aus einer EU-Verordnung. Die Rechtsprechung wirft vor dem Ziel eines einheitlichen europäischen Datenschutzrechts und einer einheitlichen Auslegung der DS-GVO Fragen auf. Diese Rechtsprechung ist geeignet, die Ziele der Grundverordnung[16] zu gefährden. Handlungsbedarf kann allein schon deshalb gerechtfertigt sein, weil die Europäische Union dies i.S. des sog. Loyalitätsgebot i.S.d. Art. 4 EUV so fordern kann. Die in Art. 4 Abs. 3 UA 2 EUV normierte Erfüllungspflicht der Mitgliedstaaten umfasst auch Konkretisierungen für legislative oder administrative Durchführung des Unionsrechts.[17] Der EuGH hat dem Loyalitätsgebot in Verbindung mit anderen Normen und Rechtsinstituten des Unionsrechts eine Reihe von bedeutsamen Konkretisierungen entnommen.[18] Darunter fallen drei Konkretisierungen. Das ist zum einen der Grundsatz der praktischen Wirksamkeit des Europäischen Rechts („effet utile“)[19] als einer der Eckpfeiler des Unionsrechts. Er wirkt dahingehend, dass europäische Richtlinien und Verordnungen gut, wenn nicht bestmöglich umgesetzt werden sollen.
Des Weiteren ist die Einhaltung des Unionsrechts für den Fall von Verstößen durch Sanktionen zu sichern. Die Sanktionen müssen wirksam, gegebenenfalls auch abschreckend sein. Das bedeutet für den verwaltungsmäßigen Vollzug, dass die ungeschriebenen Prinzipien der Effektivität und der Äquivalenz zu beachten sind.[20] Nach dem Effektivitätsprinzip darf eine unionsrechtliche Rechtsposition nicht durch die Anwendung nationalen Rechts praktisch unmöglich oder wesentlich erschwert werden. Nach dem Äquivalenzprinzip darf ein europäischer Sachverhalt nicht schlechter behandelt werden als ein innerstaatlicher.[21]
An diesen Maßstäben muss sich das deutsche Ordnungswidrigkeitenrecht messen lassen und gegebenenfalls sind die Vorschriften europafreundlich auszulegen. Diesen Schritt hat LG Bonn getan.
III. Alter Wein in neuen Schläuchen
Letztlich kam diese Entwicklung nicht überraschend. Zum einen haben die Datenschutzaufsichtsbehörden schon frühzeitig auf das Problem aufmerksam gemacht,[22] und es handelt sich um alten Wein in neuen Schläuchen. Bereits im Kartellrecht wurde die Unvereinbarkeit des europäischen Funktionsträgerprinzips mit dem, dem deutschen Ordnungswidrigkeitenrecht zugrundeliegenden, Rechtsträgerprinzip intensiv diskutiert.[23] Auch im Kartellrecht wurden Defizite in der Durchsetzung des europäischen Kartellrechts aufgezeigt.[24]
Für die Systematik des deutschen Kartellrechts wird 2015 problematisiert, dass aus der Systematik des deutschen Bußgeldrechts folge, dass nach deutschem Recht zwischen dem Verstoß als Haftungsgrund auf der Tatbestandsseite und der Bestimmung des Haftungsumfangs und des Haftungsadressaten auf der Rechtfolgenseite zu trennen sei. Das deutsche Recht stelle einheitlich auf die Rechtsträger ab, aus denen die betreffende wirtschaftliche Einheit bestehe.[25] Dahingegen gehe das europäische Kartellrecht von der persönlichen Verantwortlichkeit des Unternehmens als wirtschaftliche Einheit aus. Eine Unterscheidung zwischen Zuwiderhandlung und Haftung fände insofern nicht statt. Deshalb sei auch die Haftung dem gesamten Unternehmen zugewiesen, einzelne Rechtsträger seien nur als formelle Entscheidungsadressaten interessant.[26] Anders gesagt, erfolge danach im europäischen Recht keine Trennung zwischen dem Verstoß (Tatbestandseite) und der Frage des materiellrechtlichen Haftungsadressaten (Rechtsfolgenseite).[27] Die Monopolkommission kommt zu dem Ergebnis, dass die Bestimmung des persönlichen Haftungsumfangs nach dem europäischen Recht unbegründet der Kritik seitens des Schrifttums und der anwaltlichen Praxis ausgesetzt sei.[28]
Die Monopolkommission bezieht sich auf den europäischen Gerichtshof.[29] Der Europäische Gerichtshof hat hierzu entschieden: „Um den Urheber einer Zuwiderhandlung gegen das Wettbewerbsrecht zu bestimmen, dem (gemäß Art. 101 und 102 AEUV) eine Sanktion auferlegt werden kann, haben sich die Verfasser der Verträge dafür entschieden, den Unternehmensbegriff zu verwenden (…). Nach ständiger Rechtsprechung bezeichnet der Begriff des Unternehmens jede eine wirtschaftliche Tätigkeit ausübende Einheit unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung. (…) Verstößt eine solche wirtschaftliche Einheit gegen die Wettbewerbsregeln, so hat sie nach dem Grundsatz der persönlichen Verantwortlichkeit für diese Zuwiderhandlung einzustehen.“[30]
Darauf aufbauend, ist das Kartellrecht heute weiter. Die Harmonisierung von europäischen und nationalem Kartellrecht ist fortgeschritten. Mit der Richtlinie (EU) 2019/1 vom 11.12.2018) werden wichtige Hinweise auf ein gemeinsames Verständnis der Art. 102 und 102 AEUV gegeben. Die Richtlinie ist auf die Stärkung der Wettbewerbsbehörden der Mitgliedstaaten im Hinblick auf eine wirksamere Durchsetzung der Wettbewerbsvorschriften und zur Gewährleistung des reibungslosen Funktionierens des Binnenmarktes gerichtet.[31] Die Erwägungsgründe, beispielsweise Erwägungsgründe 35, 37, 40, 42 und 46, haben Hinweiswirkung für die Arbeitsweise nationaler Aufsichtsbehörden bei der Umsetzung europäischer Verordnungen in der nationalen Verwaltungs- und Sanktionspraxis. Diese Entwicklungen spiegeln sich in den Novellen zum Gesetz gegen Wettbewerbsbeschränkungen (GWB) wieder.
Bereits die 9. GWB-Novelle hatte die Aufgabe, im Kartellrecht die verschuldensunabhängige Bußgeldhaftung für Konzerngesellschaften einzuführen. In diesem Zusammenhang wurde unter anderem geprüft, ob die Verantwortung von Konzernen für Kartellverstöße ihrer Tochterunternehmen klarer geregelt werden sollte.[32] Mit der 10.GWB-Novelle wurden weitere Umsetzungsfragen geklärt.[33]
Diese Impulse könnten als Anregung und Vorlage für eine Entwicklung im Datenschutzrecht verstanden werden. Zumal deutsche Datenschutzaufsichtsbehörden primär mit der Überwachung der Einhaltung einer europäischen Verordnung und mit der Sanktionierung von Verstößen gegen diese beauftragt sind. Der Streitstand und die dadurch sich abzeichnende Lage ist in wesentlichen Punkten mit dem europäischen Kartellrecht vergleichbar. Einzelne Streitfragen spiegeln sich in der Entwicklung des Kartellrechts wieder.
IV. Zusammenfassung
Mit seiner Entscheidung ist das LG Bonn auf dem richtigen Weg, dem europarechtlich aufgehangenen Datenschutz nach DS-GVO Rechnung zu tragen. Die Entscheidung des LG Berlin ist handwerklich nachvollziehbar. Diese Entscheidung führt aber zu einer nicht vertretbaren Verzerrung der Sanktionspraxis in der EU. Es ist im Sinne des effet utile wichtig, eine Lösung zu erarbeiten und ggf. vorhandene Regelungslücken zu schließen. Sofern die Rechtsprechung sich weiter im Sinne des LG Berlin entwickeln würde, käme es zu einer Wettbewerbsverzerrung in den Mitgliedstaaten, was den Binnenmarkt belasten würde. Es würde dann passieren, was man ja gerade mit der DS-GVO vermeiden wollte. Denn dann könnte es zu Situationen kommen, in den deutsche Unternehmen, die durch ein Bußgeld eines anderen Mitgliedstaates in die Haftung kommen, anders behandelt werden als solche gegen die eine deutsche Datenschutzaufsichtsbehörde eine Geldbuße festsetzt. Das ist nicht im Sinne der DS-GVO.
In ihrem Leitfaden zur DS-GVO v. 24.1.2018[34] weist die Kommission gegenüber dem Europäischen Parlament und dem Europäischen Rat darauf hin, dass die DS-GVO dem Ansatz folge, einen harmonisierten Rechtsrahmen zu bilden, der zu einer einheitlichen Anwendung der Vorschriften führe, was sich positiv auf den europäischen digitalen Binnenmarkt auswirke.
Die deutschen Datenschutzaufsichtsbehörden sind aufgefordert, die Verstöße der Unternehmen gegen die DS-GVO effektiv und mit abschreckenden und verhältnismäßigen Bußgeldern zu ahnden. Die Rechtsprechung befördert eine unklare Regelungslage, die genau dieses erschwert. Es wäre wichtig und hilfreich, höchstrichterliche Rechtsprechung zu diesem Streitstand zu erhalten. Vielleicht können § 81 a und b GWB[35] als Vorbild für eine Überarbeitung des § 41 BDSG dienen. Mag sein, dass die Pläne für das „Unternehmensstraf- und Ordnungswidrigkeitenrecht“ nach dem Vorbild anderer EUMitgliedsländer und insbesondere der USA und der aus der Bestrebung gediehene Referentenentwurf des BMJV vom 22.4.2020 für ein „Gesetz zur Stärkung der Integrität in der Wirtschaft“ Impulse geben. Denn Kern dieser am Straf- und nicht mehr am Ordnungswidrigkeitenrecht orientierten zusätzlichen Verbandsverantwortlichkeit ist ein „Gesetz zur Sanktionierung von verbandsbezogenen Straftaten (Verbandssanktionengesetz – VerSanG)“.
* Die Verfasserinnen vertreten hier ihre persönliche Auffassung, die nicht notwendig der Auffassung des Hessischen Beauftragten für Datenschutz und Informationsfreiheit entspricht.
Maria Christina Rost leitet die Stabsstellen Justiziariat und Öffentlichkeitsarbeit beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI). Vor ihrer Tätigkeit beim HBDI war sie in der Kanzlei des Hessischen Landtags, im Ministerium für Schule und Weiterbildung des Landes NRW und als Rechtsanwältin tätig.
Stefanie Fischer ist Referentin in der Stabsstelle Justiziariat beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit. Davor war sie als Rechtsanwältin tätig.
[1] Dazu Wybitul/Venn, ZD 2021, 343; Anm. zu LG Berlin, von dem Bussche, ZD 2021, S. 270, Stürzl, jurisPR-StrafR 1/2021 Anm. 1; MMR 2021, 173 m. Anm. Geminn/Johanes; Grünwald/Hackl, ZD 2017, 556 ff.
[2] S. statt vieler Achenbach, HdB Wirtschaftsstrafrecht, 5. Aufl., S. 3 Rn. 2 ff.; S. 7 Rn. 1 ff.
[3] Achenbach, HdB Wirtschaftsstrafrecht, 5. Aufl., S. 7, Rn. 1; BGSt 57, 193.
[4] St. Rechtsprechung seit EuGH, Rs. C-41 (Höfner und Elsner/Mactron, ECLI:EU:C 1991:161 Slg. 1991, I-1979, Rn. 21.; EuGH, Urt. v. 14.12.2006, Rs. C -217/05, Slg. 2006, I-11987, Rdnr. 40 – CEEES; EuGH, Urt. v. 10.09.2009, Rs. C-97, 08 P, Slg. 2009, I – 8237, Rn. 58 – Akzo Nobel; OLG Celle v. 14.01.2014, – 13 Verg 11/13, VergabeR 2014, 592 ff.; OLG Frankfurt v. 07.09.2004 – 11 Verg 11/04, VergabeR 2005, 80 (85); Ahrens EuZW 213, 899; Mansdörfer/Timmerbeil EuZW 2011, 214.
[5] Entschließung der 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder am 3. April 2019: „Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten!“, https:// www. datenschutzkonferenz-online.de/media/en/20190405_Entschliessung_ Unternehmenshaftung.pdf.
[6] S. z.B. Grünewald/Hackl, ZD 2017, 556 ff; PinG 2017, 97 ff; Rost, RDV 2017, 13-20; Bergt, DuD 2017, 555; Ashkar, DuD 2015, 796; Cornelius, NZW ist 2016, 421; Dieterich, ZD 2016, 260; Faust/Spittka/Wybitul, ZD 2016, 120.
[7] S. u.a. Uebele, EuZW 2018, 440; Rost, DuD 2019, 488-492; Eckhardt/ Menz, DuD 2018, 139; Tinner/Radlanski/Eisenfeld, CR 2019, 782.
[8] Vgl. Entschließung der 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder am 3. April 2019: „Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten!“,
Maria Christina Rost leitet die Stabsstellen Justiziariat und Öffentlichkeitsarbeit beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI). Vor ihrer Tätigkeit beim HBDI war sie in der Kanzlei des Hessischen Landtags, im Ministerium für Schule und Weiterbildung des Landes NRW und als Rechtsanwältin tätig.
.
[9] Anmerkung Stürzl, jurisPR-StrafR 1/2021 Anm. 1 zu LG Bonn, Urteil v. 11.11.2020 – 29 OWi 120.
[10] Zum Streitstand im Kartellrecht s. u.a. Klusmann, ZGR 2019, 252-270; Ackermann, ZWeR 2012, 3, 5 f.,16; Mühlhof, NZWiST 2013, 321, 324; Kling, WRP 2010, 506-518.
[11] Zu einem vergleichbaren Ergebnis kommt eine Entscheidung des französischen Conseil d‘ État v. 19.06.2020, s. Conseil d´État, 10ème chambres réunies, 19/06/2020, 430810, ECLI:FR:CECHR:2020:430810.20200 619, Publié au recueil Lebon.
[12] LG Berlin BeckRS 2021, 2985; m. Anm. von dem Bussche, ZD 2021, 270-274.
[13] Die Entscheidung des LG Berlin ist im August 2021 noch nicht rechtskräftig.
[14] Österr. VwGH, Urt. v. 12.05.2020 – 2019/04/0229; dazu auch Zelger, EuR 2021, S. 478-493.
[15] Vgl. Zelger, EuR 2021, S. 478.
[16] Dazu zählen zum Beispiel Erwägungsgründe 11, 123 und 150
[17] Vedder/Heintschel von Heinegg/Vedder, EUV/AEUV, 1. Aufl. 2012, Art. 4 EUV, RN. 25 f.
[18] Vgl. Vedder/Heintschel von Heinegg/Vedder, EUV/AEUV, 1. Aufl. 2012, Art. 4 EUV, RN. 27 m.w.N.
[19] EuGH Rs 41/74, van Duyn Slg. 1974, 1137 Rn 12.
[20] Dazu Vedder/Heintschel von Heinegg/Vedder, EUV/AEUV, 1. Aufl. 2012, Art. 4 EUV, RN. 27 m.w.N.
[21] Vgl. Vedder/Heintschel von Heinegg/Vedder, EUV/AEUV, 1. Aufl. 2012, Art. 4 EUV, RN. 27 m.w.N.
[22] S. Entschließung der DSK v. 03.04.2019.
[23] S. Meyer-Lindemann, WuW 2020, 16-22; S ZGR 2016, 252-270; Eufinger NZG 2018, 327 ff.; Bosch, NJW 2016, 1700 ff.; Seeliger/de Crozales, ZRP 2017, 37 ff; Cordes/Reichling, NJW 2015, 1335 ff.; Monopolkommission Sondergutachten 72 „Strafrechtliche Sanktionen bei Kartellverstößen“ 2015; Hintergrundpapier des Bundeskartellamts „Kartellbußgeldverfahren zwischen deutschem Systemdenken und europäischer Konvergenz“ v. 04.10.2012; Hauptgutachten XX „Eine Wettbewerbsordnung für die Finanzmärkte (2012/2013der Monopolkommission; Keßler, WRP 2014, 765-770; Murach, GWR 2013, 353 ff.; Kling, WRP 2010, 506-518; Scheidtmann, WRP 2010, 499 ff; Soltéz/Steinle, EuZW 2003, 202-210; Barth/Budda, WRP 2009, 1357 ff
[24] S. Monopolkommission Sondergutachten 72 „Strafrechtliche Sanktionen bei Kartellverstößen“ 2015, 5 ff.; Corell/von Saucken, wistra 2013, 297 ff.; Eidam, wistra 2003, 449 ff.; Roth, WRP 2013, 257 ff.
[25] S. Monopolkommission Sondergutachten 72 „Strafrechtliche Sanktionen bei Kartellverstößen“ 2015, 5.
[26] S. Monopolkommission Sondergutachten 72 „Strafrechtliche Sanktionen bei Kartellverstößen“ 2015, 9 f
[27] S. Monopolkommission, XX. Hauptgutachten, Tz. 951.
[28] S. Monopolkommission Sondergutachten 72 „Strafrechtliche Sanktionen bei Kartellverstößen“ 2015, 17.
[29] S. Monopolkommission Sondergutachten 72, „Strafrechtliche Sanktionen bei Kartellverstößen“ 2015, 9.
[30] EuGH, Urt. v. 10.04.2014 – C-231/11 P bis C-233/11 P – Siemens Österreich, ECLI: EU: C: 2014: 256, Rz. 42-44.
[31] RL (EU) 11/3 v. 14.01.2019.
[32] Bericht des Bundeskartellamts, BT Drs. 18/5210, S. IV).
[33] S. BT-Drs. 19/23492.
[34] Mitteilung der Kommission an das europäische Parlament und den Rat, „Besserer Schutz und neue Chancen – Leitfaden der Kommission zur unmittelbaren Anwendbarkeit der Datenschutz-Grundverordnung ab 25. Mai 2018, Ziff. 1 Unterpunkt 1 u 2.
[35] S. Begründung zu §§ 81 a und b GWB, BT-Drs. 19/23492, S. 125 f