Aufsatz : Rechts- oder Funktionsträgerprinzip? Unternehmenshaftung nach der Datenschutz-Grundverordnung auf dem rechtlichen Prüfstand : aus der RDV 5/2022, Seite 237 bis 247
Art. 83 DS-GVO dient der Datenschutzaufsicht als Grundlage für millionenschwere Bußgelder. Im Fokus der Behörde steht die Sanktionierung von Unternehmen. Dennoch ist das Haftungsmodell, welches den Verbandssanktionen zugrunde liegt, nach wie vor ungeklärt und seit längerem heftig umstritten. Aktuell sorgt eine Stellungnahme des EDSA für Unruhe. Dieser bestimmte im Zuge der Vereinheitlichung der Bußgeldpraxis eher nebenbei das Haftungsmodell des Unionskartellrechts auch für die DS-GVO für anwendbar. Für die Praxis hätte das weitreichende Konsequenzen. Auch sorgfältig und gewissenhaft aufgestellte Chefetagen müssten dann für Datenpannen im Unternehmen haften. Die Positionierung des EDSA ist befremdlich, weil die Frage nach der Unternehmenshaftung nach Art. 83 DS-GVO in einem vom Berliner Kammergericht vorgelegten Fall aktuell beim Europäischen Gerichtshof anhängig ist. Ob er die Auffassung teilt, ist völlig offen. Dennoch bennent der EDSA kaum Argumente für seine Position. Ihm genügt, wie manchen Stimmen in der Literatur, ein pauschaler Verweis auf Rechtsprechung des EuGH zum Unionskartellrecht. Ob diese ungeprüfte Übernahme rechtlich haltbar ist, wird der Beitrag hinterfragen. Fest steht jedoch: Endgültig entschieden ist der Streit durch die Stellungnahme des EDSA noch nicht.
I. Einleitung
Die Frage nach dem anwendbaren Haftungsmodell für Unternehmen beschäftigte in der Vergangenheit nicht nur Aufsichtsbehörden, sondern auch Rechtsprechung, Literatur und Praxis. Während das Bundesinnenministerium im Rahmen der Evaluation des BDSG noch selbstbewusst das hiesige Rechtsträgerprinzip zugrunde legte,[1] sehen sich mittlerweile vermehrt Gerichte mit der Frage konfrontiert. LG Bonn[2] und das LG Berlin[3] beantworteten die Streitfrage Anfang des Jahres mit unterschiedlichen Ergebnissen, aber in Eigenregie. Das Kammergericht Berlin hat nun den EuGH angerufen.[4] Sein Prüfauftrag ist komplex. Schon der Rechtsweg ist nicht eindeutig. Zudem muss nicht nur bestimmt werden, wie Art. 83 DS-GVO auszulegen ist, sondern auch, was das nationale Recht zur Unternehmenshaftung bestimmt und ob Umsetzungsspielraum besteht. Es wird sogar ein Überschreiten der Grenzen der hiesigen Verfassung diskutiert.[5] Orientierungsmöglichkeiten anhand anderer Mitgliedsstaaten gibt es kaum, denn Deutschland ist mit seinem Rechtsträgerprinzip im europäischen Vergleich ein Exot. Die Streitfrage stellt sich daher in kaum einem anderen Land in gleicher Weise.[6]
Mit dem deutschen Rechtsträgerprinzip auf der einen Seite und dem auf supranationaler Ebene vornehmlich zugrunde gelegten Funktionsträgerprinzip auf der anderen Seite, stehen sich zwei grundlegend unterschiedliche Haftungsmodelle gegenüber, die Auswirkungen auf quasi jeden Aspekt der Sanktionierung haben. Sie erstrecken sich von den Zurechnungsvoraussetzungen über die notwendige Bestimmtheit eines Bußgeldbescheides bis hin zum konkreten Haftungsadressaten. Die Frage nach dem anwendbaren Haftungsmodell für Unternehmen hat damit weitreichende praktische Konsequenzen.
Darüber hinaus hat die Frage auch rechtspolitische Bedeutung, denn der Erlass eines Verbandssanktionsgesetzes ist in Deutschland seit langem geplant. Es ist möglich, dass das Haftungsmodell der DS-GVO den diesbezüglichen Diskurs wesentlich prägen und als ein mögliches Vorbild dienen wird. Deshalb bietet es sich an, die materiellrechtlichen und verfahrensrechtlichen Fragen nicht nur im Zusammenhang mit der DS-GVO, sondern übergreifend zu betrachten. Die Linie der DS-GVO könnte als mögliche Änderung, Ergänzung oder gar partielle Ersetzung des OWiG in Betracht kommen. Im Zentrum steht hierbei die Frage, ob neben der handelnden natürlichen Person immer auch ein Arbeitgeber, Rechtsträger oder Unternehmen verantwortlich sein muss. Davon geht der EDSA ungeprüft aus. Das liegt jedoch nur dann auf der Hand, wenn dieser Kreis gegen Organisationsund Überwachungspflichten verstoßen hat.[7]
Dieser Beitrag soll es leisten, zwei in Betracht kommende, konkurrierenden Haftungsmodelle für Unternehmen gegenüberzustellen. Hierbei sind Fragen, die sich auf unterschiedlichen Ebenen stellen, abzuschichten und zu systematisieren. Die einzelnen Aspekte der Unternehmenshaftung müssen dabei jeweils differenziert betrachtet werden. Die Diskussionen gehen in ihrer Pauschalität zurzeit teilweise fehl. So begründet etwa die Tatsache allein, dass die DSGVO die Anwendung des „funktionalen Unternehmensbegriff“ in ErwG 150 zur Bemessung des Bußgeldes anordnet, nicht zwangsläufig die Unanwendbarkeit des Rechtsträgerprinzips im Gesamten. „Mischmodelle“, die die Haftung nach dem Rechtsträgerprinzip an Grundkonzepte und Begrifflichkeiten des Funktionsträgerprinzips angepasst haben, gibt es bereits, etwa im nationalen Kartellsanktionsrecht,[8] und sie sind auch im Datenschutzrecht vorstellbar.
II. Rechtsträger- vs. Funktionsträgerprinzip
Rechtlich stehen sich das Rechtsträger- und das Funktionsträgerprinzip gegenüber.
1. Rechtsträgerprinzip
Die hiesige Verbandshaftung ist im allgemeinen Teil es OWiG normiert. Sie erlaubt es, nach der Begehung einer Ordnungswidrigkeit, durch die Pflichten eines Unternehmens verletzt oder ein Unternehmen bereichert wurde, Geldbußen zu verhängen. Deren Festsetzung ist nicht nur gegenüber dem unmittelbaren Täter möglich, sondern auch gegenüber dem hinter diesem stehenden Verband (§§ 9, 30, 130 OWiG).[9] Dem Haftungsmodell liegt das sog. Rechtsträgerprinzip zugrunde, d.h. Geldbußen können nur gegenüber dem „Rechtsträger“ der handelnden Person (sog. Tätergesellschaft) verhängt werden. Auf andere juristische Personen des Konzerns, wie die Muttergesellschaft, erstreckt sich die Haftung nicht. Haftungsadressat sind damit die einzelnen juristischen Personen, aus denen ein Konzern besteht.
Grundnorm ist § 30 OWiG. Die dogmatische Einordnung der Norm und damit auch die der hiesigen Verbandsgeldbuße ist umstritten. Teilweise wird vertreten, es handele sich um eine reine Zurechnungsnorm.[10] Die Haftung knüpfe an eine rechtswidrige und schuldhafte Tat eines Angestellten an, für diese Tat werde das Unternehmen im Wege der Zurechnung sanktioniert. Die Gegenauffassung geht davon aus § 30 würde eine eigene „Verbandstäterschaft“ begründen, also eine Verantwortung für ein Organisationsdefizit und damit ein eigenes Fehlverhalten.[11] Unabhängig aber von der dogmatischen Herleitung bestimmt die Norm im Ergebnis eine Haftung des Unternehmens nur für rechtswidrige und schuldhafte Verstöße von Personen in Führungs- oder Aufsichtspositionen, wobei eine Aufsichtspflichtverletzung genügt (§ 130 OWiG).[12] § 30 OWiG normiert ein Modell der Akzessorietät zur volldeliktischen Handlung einer Leitungsperson (Anknüpfungstat). Diese Tat muss im Bußgeldbescheid konkret benannt und bewiesen werden.
2. Funktionsträgerprinzip
Dem steht das Unternehmensbußgeldrecht der europäischen Union gegenüber, welches sich in den letzten Jahrzenten, wesentlich durch den EuGH geprägt, entwickelt hat. Der Kernbereich, in dem das Sanktionsinstrument zum Einsatz kommt, ist das Unionskartellrecht.[13] Auch das Bankenaufsichtsrecht kennt jedoch die Unternehmensstrafe.[14] Vorgesehen sind Unternehmensbußgelder zudem in den Entwürfen zum DMA und DSA.[15] Dem europäischen Haftungsmodell liegt das Funktionsträgerprinzip zugrunde. Es stellt als Haftungsadressat nicht auf juristische Personen oder Rechtsträger ab, sondern auf das Unternehmen als wirtschaftliche Einheit, den sog. Funktionsträger. Als Unternehmen versteht der EuGH „jede wirtschaftliche Tätigkeit ausübende Einheit unabhängig von ihrer Rechtsform sowie der Art ihrer Finanzierung“ (sog. kartellrechtlicher Unternehmensbegriff).[16] Alle juristischen Personen, die an einem Rechtsverstoß beteiligt sind, haften für das Unternehmensbußgeld gesamtschuldnerisch.[17] Damit kommt es auf die Ausgestaltung der Rechtssubjekte in den nationalen Rechtsordnungen, ihre Rechtsformen und Haftungsregelungen gerade nicht an.
Wesen des Funktionsträgerprinzips ist es, dass dem Unternehmen selbst die Haftung zugewiesen wird. Dogmatisch wird hierdurch eine unmittelbare Verbandshaftung begründet. Die unionsrechtliche Verbandsverantwortung basiert auf dem Grundgedanken, dass sich jedes Unternehmen so zu organisieren hat, dass es nicht zu Rechtsverstößen kommt. Unternehmen müssen die Handlungen und Arbeitsweisen ihrer Mitarbeitenden kennen und können sich im Konfliktfall nicht auf Unkenntnis berufen.[18] Auch die Tatsache, dass der handelnde Mitarbeiter einen Verhaltenskodex nicht eingehalten hat, reicht nicht aus, um die Zurechnung zu unterbrechen.[19] Dementsprechend genügt als Anknüpfungstat die Handlung einer jeden Person, die berechtigt ist, für das Unternehmen tätig zu werden, unabhängig davon, ob die Unternehmensleitung hieran beteiligt war. Handlungen sämtlicher Mitarbeitenden werden dem Unternehmen zugerechnet und als eine unmittelbar vom Unternehmen selbst begangene Handlung bzw. Zuwiderhandlung betrachtet.[20] Einzige Ausnahme ist der sog. Exzess.[21]
Die Konsequenzen für die Aufsichtspraxis sind erheblich. Im Bußgeldbescheid muss nach dem Funktionsträgerprinzip nur der Verstoß gegen die DS-GVO benannt und belegt werden.[22] Welcher Mitarbeiter, wann gehandelt hat, ist ohne Bedeutung und muss nicht bewiesen werden. Voraussetzung für die Zurechnung des Verstoßes ist allein die Erkennbarkeit und Vermeidbarkeit des Datenschutzverstoßes. Es genügt, dass „dem Unternehmen der Verstoß bewusst gewesen ist“, oder es sich hierüber nicht in Unkenntnis hätte befinden dürfen.[23]
3. Gegenüberstellung
Tabellarisch lassen die Ansätze sich wie folgt gegenüberstellen.
III. Auslegung von Art. 83 DS-GVO
Eine der zentralen Fragen, wenn es um das nach der DS-GVO anzuwendende Haftungsmodell für Unternehmen geht, ist die nach der Auslegung des Art. 83 DS-GVO. Es geht im Kern um die Frage, ob die DS-GVO das Funktionsträgerprinzip implizit für anwendbar erklärt oder Raum für die Anwendung der hiesigen §§ 30, 130 OWiG und das dort normierte Rechtsträgerprinzip bleibt. Da die DS-GVO gegenüber nationalen Vorschriften Anwendungsvorrang genießt, ist zur Bestimmung des datenschutzrechtlichen Haftungsmodells für Unternehmen primär deren Auslegung entscheidend. Nationale Modelle können nur dort angewendet werden, wo die DS-GVO den Mitgliedsstaaten Umsetzungsspielraum gewährt.
1. Art. 83 DS-GVO als unvollständige Norm
Daran, dass Art. 83 DS-GVO eine unvollständige Norm ist, die durch das nationale Recht ergänzt werden muss, dürfte kein Zweifel bestehen. Immerhin verfügt das europäische Recht bisher weder über einen allgemeinen Teil eines Sanktionsrechts noch über ein hierzu passendes Prozessrecht. Die Mitgliedsstaaten sind daher nicht nur berechtigt, sondern nach der allgemeinen Pflicht zur Durchführung des Unionsrechts (Art. 197 Abs. 3 S. 1, Art. 291 Abs. 1 AEUV) sogar verpflichtet, materielles Bußgeldrecht zu erlassen. Das umfasst nicht nur Bestimmungen etwa zu Versuch und Unterlassen, sondern auch den Bereich der Sanktionierung von Unternehmen. Der Umsetzungsspielraum bzw. die Umsetzungspflicht des hiesigen Gesetzgebers endet erst dort, wo die DS-GVO ausdrücklich oder implizit eigene Regelungen enthält.[27] Der Einwand des LG Bonn, Art. 83 Abs. 8 DS-GVO als explizite Öffnungsklausel beziehe sich nur auf Verfahrensvorschriften und nicht auf materielles Bußgeldrecht, weswegen die materiell-rechtlichen Haftungsbedingungen für Unternehmen gar nicht vom Umsetzungsspielraum der Mitgliedsstaaten umfasst werden könnten, überrascht daher.[28]
2. Das europäische Kartellbußgeldrechts als Vorbild für Art. 83 DS-GVO?
Ein nennenswerter Teil der datenschutzrechtlichen Literatur geht davon aus, der Unionsgesetzgeber habe das System des europäischen Kartellbußgeldrechts in Art. 83 DS-GVO für das Datenschutzrecht übernommen.[29] Dieses sei Vorbild für die Bußgeldregelung des Art. 83 DS-GVO gewesen und werde dort implizit für anwendbar erklärt. Hierfür werden im Wesentlichen drei Argumente herangezogen: erstens Wortlaut und Systematik des Art. 83 DS-GVO, zweitens der Erwägungsgrund 150 der DS-GVO und drittens der sog. effet utile Grundsatz.
Wortlaut und Systematik des Art. 83 DS-GVO belegten eine Anlehnung der DS-GVO an das Sanktionsmodell des Europäischen Kartellrechts, da der Artikel, anders als die hiesigen §§ 30, 130 OWiG, Unternehmen unmittelbar adressiert. Art. 83 DS-GVO Abs. 4 und 5 DS-GVO sprechen von „Unternehmen“ als Bußgeldadressat, Art. 83 Abs. 3 DS-GVO von „Verantwortlichen und Auftragsverarbeitern“ (Art. 4 Nr. 7 und 8 DS-GVO). Dass Verantwortliche in diesem Sinne nicht zwingend natürliche Personen sind, sondern auch Unternehmen wie Facebook Irland sein können, hat der EuGH bereits entscheiden.[30]Damit stellt Art. 83 DS-GVO als Haftungsadressat nicht, wie es die hiesigen §§ 30, 130 OWiG tun, auf natürliche Personen ab, für deren Taten Unternehmen in die Verantwortung genommen werden. Vielmehr haftet das Unternehmen an sich unmittelbar. Daher sei, so die Stimmen aus der Literatur, die Rechtsprechung des EuGH zur kartellrechtlichen unmittelbaren Unternehmenshaftung zu übertragen.[31] Dies werde von ErwG 150 DS-GVO unterstrichen. ErwG 150 DS-GVO bestimmt: „Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff ‚Unternehmen‘ im Sinne der Art. 101 und 102 AEUV [kartellrechtlicher, funktionaler Unternehmensbegriff] verstanden werden“.[32]Schließlich streite der effet utile Grundsatz für die Übernahme des Haftungsmodells des supranationalen Kartellrechts. Würde die DS-GVO das anzuwendende Haftungsregime nämlich offen lassen, würden in unterschiedlichen Mitgliedsstaaten erheblich unterschiedliche Haftungsrisiken bestehen. Das stünde im Wiederspruch zum effet utile Grundsatz, nach dem Gemeinschaftsvorschriften so umzusetzen und auszulegen sind, dass sie „praktische“[33]bzw. „volle Wirksamkeit“[34] erlangen.[35]
3. Grenzen der Übertragbarkeit des Unionskartellrechts
In der Tat lässt sich angesichts ErwG 150 DS-GVO nicht leugnen, dass der europäische Gesetzgeber bei Erlass der DS-GVO den kartellrechtlichen Unternehmensbegriff im Blick hatte und in irgendeiner Form berücksichtigen wollte. Auch, dass er davon ausging, dass datenschutzrechtliche Bußgelder nicht nur an natürliche Personen gerichtet werden können, sondern auch eine Sanktionierung von Unternehmen möglich sein muss, ist offenkundig. Warum jedoch die Tatsache allein, dass ein „Unternehmen“ Haftungsadressat ist, automatisch bedeuten sollte, die Rechtsprechung des EuGH zur Unternehmenshaftung im Unionskartellrecht sei im Gesamten übertragbar, ist nicht ersichtlich. Das europäische Modell einer „Unternehmenshaftung“ ist immerhin keineswegs die einzige Möglichkeit, Verbände zu sanktionieren. Hinzu kommt, dass der EuGH, der Natur der europäischen Rechtsprechung als Case Law entsprechend, Einzelfälle entschieden hat und keine allgemeingültige Theorie zur Sanktionierung von Wirtschaftsunternehmen entwickelt hat.[36] Um eine Übertragbarkeit zu begründen, bedarf es daher einer intensiven Betrachtung beider Rechtsgebiete. Ein pauschaler Verweis auf die im Art. 83 DS-GVO angeordnete „Unternehmenshaftung“ kann als Beleg kaum genügen.[37]
a) Die Besonderheiten des kartellakzessorischen Bußgeldrechts
Die pauschale Übertragbarkeit begegnet aus unterschiedlichen Gründen Bedenken. Das Kartellrecht stellt, anders als das Datenschutzrecht, von vornherein auf Unternehmen im Sinne einer „wirtschaftlichen Einheit“ ab und nicht auf juristische Personen. Unternehmen werden hier im Sinne einer wirtschaftlichen Einheit verstanden, da innerhalb einer solchen Einheit kartellrechtliche Beschränkungen wegen des fehlenden Wettbewerbs keinen Sinn machen. Art. 101 AEUV (Kartellverbot) ist daher auf die eine wirtschaftliche Einheit bildenden einzelnen Bestandteile eines Unternehmens nicht anwendbar (sog. Konzernprivileg).[38] Aufbauend auf diesem originär kartellrechtlichen Unternehmensbegriff hat der EuGH anhand von Einzelentscheidungen das kartellakzessorische Bußgeldrecht entwickelt und in Bezug auf das Kartellrecht konkretisiert. Im Datenschutzrecht gibt es ein mit dem Kartellrecht vergleichbares Konzernprivileg nicht. Datenschutzrechtliche Vorschriften gelten auch zwischen einzelnen Bestandteilen eines Konzerns bzw. einer Unternehmensgruppe.[39]Datenschutzrechtlich verantwortlich ist das konkrete Rechtssubjekt.[40]Unternehmen im Sinne der DSGVO[41] ist daher nach Art. 4 Nr. 18 DS-GVO eine natürliche oder juristische Person, nicht „jede wirtschaftliche Tätigkeit ausübende Einheit“.[42] Konsequenterweise müsste für das Sanktionsregime des Datenschutzrechts daher wie im Kartellrecht von einem rechtsgebietsspezifischen Unternehmensbegriff auszugehen sein.[43]Er müsste in Bezug auf die Besonderheiten des „nicht-unternehmensbezogenen“ Datenschutzrecht[44] entwickelt werden.
Schließlich differieren Datenschutz- und Kartellrecht auch in Zielsetzung, Interessenslagen und Regelungsumfang.[45] Das Kartellrecht hat von vornherein eine rein restriktive Ausrichtung. Kernanliegen ist die Verhinderung der missbräuchlichen Ausnutzung einer marktbeherrschenden Stellung (Art. 102 AEUV). Die DS-GVO hingen möchte nicht nur die unsachgemäße Verarbeitung personenbezogener Daten verhindern, sie hat zugleich eine ermöglichende Funktion. ErwG 4 DS-GVO stellt ausdrücklich klar, dass der Datenschutz stets auch in Hinblick auf seine gesellschaftliche Funktion gesehen werden muss. Er soll auch den freien Verkehr personenbezogener Daten erleichtern (Art. 1 Abs. 2, 3 sowie ErwG 123 DS-GVO) und so wirtschaftliche Freiheiten ermöglichen.[46] Die abschreckende Wirkung der Sanktionierung ist im Datenschutzrecht daher zwar ebenso wie im Kartellrecht gewollt, darf aber nicht überspannt werden. Denn, anders als im Kartellrecht, kann eine drakonische Sanktionspraxis hier auch schaden. Müssen Unternehmen aus Angst vor Strafen stets „im Zweifel für den Datenschutz“ entscheiden, verhindert das Innovation und wirtschaftliche Freiheiten und schadet damit den dem Datenschutz inhärenten Zielen. Das widerspricht Art. 1 Abs. 3 DS-GVO und deren Erwägungsgrund 4. Zu viel Missbrauchskontrolle nach Art. 102 AEUV kann es hingegen nicht geben.
Die unterschiedlichen Zielsetzungen spiegeln sich auch in der Natur der sanktionsbewehrten Rechtsverstöße wider. Anders als Wettbewerbsverstöße sind Datenpannen nicht ihrer Natur nach konspirativ. Auch das sollte im Haftungsmodell Berücksichtigung finden. So ist nachvollziehbar, wieso ein Unternehmen für jeden Kartellverstoß, der in der Regel vorsätzlich, nicht selten auch gemeinschaftlich begangen wird und wesentlich vom Betriebsklima abhängt, haften soll. Der Grundgedanke, dass Unternehmen die Handlungen und Arbeitsweisen ihrer Mitarbeitenden kennen müssen und sich im Konfliktfall nicht auf Unkenntnis oder eine fehlerhafte interne Organisation berufen können, macht mit Blick auf die Natur von Wettbewerbsverstößen Sinn. Wieso jedoch auch gut organisierte Chefetagen für jede noch so kleine Datenpanne jedes einzelnen Mitarbeitenden in Verantwortung genommen werden sollen, erschließt sich jedenfalls nicht automatisch[47] und ist gerade mit Blick auf die Ermöglichungsfunktion der DS-GVO kritisch zu hinterfragen. Hier droht sich die DS-GVO selbst zu schaden. Die bisher ergangenen Entscheidungen des EuGH zum europäischen kartellakzessorischen Sanktionsrecht, die gerade nicht auf die Schaffung abstrakter Rechtsgrundsätze abzielten, können und sollten daher nicht ohne nähere Prüfung auf das Datenschutzrecht übertragen werden.
b) Das „Mischmodell“ des nationalen Kartellrechts
Zudem wird die Rechtsprechung des EuGH zum originär kartellrechtlichen Funktionsträgerprinzip selbst innerhalb des Kartellrechts nicht uneingeschränkt angewendet. Dort, wo kartellrechtliche Sanktionen nicht durch europäische, sondern durch nationale Behörden verhangen werden,[48] gilt konstruktiv nach wie vor das Rechtsträgerprinzip. Ein Verstoß gegen das EU-Recht liegt darin nicht.[49]So liegt dem GWB mittlerweile zwar der europäische Unternehmensbegriff zugrunde. Deshalb können nun bspw. über § 30 OWiG hinaus auch Geldbußen gegen Muttergesellschaften festgesetzt werden.[50] Voraussetzung für eine Unternehmenshaftung ist aber nach wie vor die volldeliktische Tat einer Leitungsperson. So konnte der Gesetzgeber nach eigener Aussage einen „Gleichklang des Bußgeld adressaten mit dem Adressaten der materiellen Gebots- und Verbotsnormen sowie dem gesetzlichen Bußgeldrahmen“[51] herstellen, ohne konstruktiv vom Rechtsträgerprinzip abweichen zu müssen. Die Unternehmenshaftung nach dem § 30 OWiG wurde an das Unionskartellrecht angepasst, ohne das Funktionsträgerprinzip umfassend zu übernehmen.[52]
Einen Verstoß gegen die Richtlinie (EU) 1/2019 (ECN+- RL), die ausdrücklich gewährleisten soll, dass „die nationalen Wettbewerbsbehörden über […] die Befugnisse im Bereich […] der Verhängung von Geldbußen verfügen, die sie benötigen, um die Art. 101 und 102 AEUV wirksam anzuwenden“, begründet das nicht. Erforderlich war hiernach nur die nationale Auslegung des Begriffs „Unternehmen“ i.S.d. Art. 101 und 102 AEUV und die Ermöglichung einer rechtlichen und wirtschaftlichen Nachfolge.[53]
Wenn selbst innerhalb des Kartellrechts die nationale Anwendung des europäischen Funktionsträgerprinzips in toto nicht zwingend ist, dann wird man wohl kaum davon ausgehen können, dass allein das Abstellen auf ein „Unternehmen“ genügt, um die Inkorporation des gesamten supranationalen kartellrechtlichen Sanktionsregimes in das nationale Datenschutzrecht zu begründen.[54] Hier dürfte mindestens so viel Umsetzungsspielraum bestehen, wie im nationalen Kartellrecht.
c) Die Notwendigkeit einer differenzierten Betrachtung
Weiterer Grund für vorschnelle, ggf. sogar falsche Ergebnisse ist, dass die Frage, ob Funktions- oder Rechtsträgerprinzip anzuwenden ist, jedenfalls in ihrer Pauschalität fehlgeht. Zu untersuchen ist vielmehr, welche Aspekte des europäischen Modells die DS-GVO für anwendbar bestimmt und wo Umsetzungsspielraum besteht. Zentral und praxisrelevant sind hierbei v.a. drei Fragen:
- Erstens: Ist der funktionale Unternehmensbegriff mit all seinen Konsequenzen anwendbar? Bejaht man dies, wäre im Datenschutzrecht wie im hiesigen Kartellrecht (§ 81 GWB) eine Haftung des Mutterkonzerns sowie eine wirtschaftliche Nachfolge über § 30 OWiG hinaus möglich.
- Zweitens: Kann sich ein Bußgeldbescheid unmittelbar gegen ein Unternehmen richten? Falls ja bedürfte es, anders als im deutschen Kartellrecht, keiner volldeliktischen Ordnungswidrigkeit einer natürlichen Person. In diesem Zusammenhang müsste auch beantwortet werden, ob Tathandlung und Tatzeit im Bescheid benannt werden müssen.
- Drittens: Haften Unternehmen für Handlungen sämtlicher Mitarbeitenden oder ist die Haftung auf Handlungen von Führungspersonen beschränkt?
Auf dieser differenzierten Linie bewegt sich auch das Kammergericht Berlin mit seiner Vorlagefrage an den EuGH. Es fragt konkret, ob Art. 83 Abs. 4-6 DS-GVO dahingehend auszulegen ist, „dass er […] das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf“.[55]
Eine differenzierte Betrachtung ist wichtig, weil je nach Fallkonstellation unterschiedliche Argumente greifen. Mit Blick auf den anzuwendenden Unternehmensbegriff (Frage 1) wird etwa die Bedeutung des ErwG 150 DS-GVO[56] und eine Unterscheidung in haftungsbegründenden und haftungsausfüllenden Tatbestand diskutiert.[57] Zudem werden Wortlaut und Systematik der DS-GVO und die Begrifflichkeiten der englischen Fassung analysiert, um einen „datenschutzrechtlichen Unternehmensbegriff“[58] zu erarbeiten.[59] Für die Frage nach der unmittelbaren Bebußbarkeit von Verbänden und die hieran anknüpfende Schuldfrage (Frage 2) spielt v.a. das Grundgesetz sowie das Wesen datenschutzrechtlicher Sanktionen eine entscheidende Rolle.
Wichtig ist, sich zu vergegenwärtigen, dass es durchaus möglich ist, die eine Frage im Sinne des europäischen und andere im Sinne des nationalen Modells zu beantworten. So geschieht es im nationalen Kartellrecht. Soll daher bspw. eine unmittelbare Unternehmenshaftung (Frage 2) oder eine Zurechnung der Handlungen sämtlicher Mitarbeitenden begründet werden (Frage 3), genügt weder ein Verweis auf ErwG 150 DS-GVO bzw. den anzuwenden Unternehmensbegriff (Frage 1) noch die pauschale Bezugnahme auf die Rechtsprechung des EuGH zum Unionskartellrecht.[60] Es bedarf vielmehr einer intensiveren Betrachtung der konkret aufgeworfenen Frage. Daran fehlt es[61]bislang sowohl beim EDSA[62] als auch bei den deutschen Gerichten.[63]
4. Das Effektivitätsgebot als entscheidender Faktor
Ein wesentliches Argument für die Anwendung europäischer Haftungsmaximen wird im Ergebnis in allen Bereichen eine wertende Betrachtung im Sinne des sog. effet utile Grundsatz sein. Er hat im Lichte der durch die DS-GVO angestrebten Vollharmoniserung besondere Bedeutung. Hinzu kommt, dass die Verbandssanktionierung in den Mitgliedsstaaten auf völlig unterschiedlichen Rechtstraditionen beruht. Die Unterschiede reichen von den Voraussetzungen, unter denen Verbände und natürliche Personen zur Verantwortung gezogen werden können, bis zu den Rechtsfolgen. Verwaltungssanktionen erfolgen z.B. in Griechenland, Geldbußen und Ordnungswidrigkeiten kennt man in Deutschland und Österreich. Unterschiedliche Ansätze gibt es auch bei der Sanktionsbemessung.[64] Die Verknüpfung der Art. 83 Abs. 4 bis 6 DS-GVO mit nationalen Haftungs- und Zurechnungsvorschriften hätte daher zur Folge, dass die Sanktionierung von Unternehmen in hohem Maße uneinheitlich erfolgen würde.[65] Ob das tatsächlich gewollt ist, ist unklar und wird von den nationalen Gerichten und der Literatur zurzeit unterschiedlich bewertet.[66]Orientierungsmöglichkeiten anhand anderer Mitgliedstaaten gibt es kaum, da diese, wie erwähnt, das deutsche Rechtsträgerprinzip nicht kennen.
IV. Strafverfassungsrechtliche Grenzen der Unternehmenssanktion
1. Das Schuldprinzip
Einige Stimmen in der Literatur bestehen mit Blick auf Schuld- und Gesetzlichkeitsprinzip auf die Anwendung der §§ 30, 130 OWiG und das deutsche Rechtsträgerprinzip.[67] Auch das LG Berlin verweist in seinem Urteil auf die genannten Grundsätze. Ihm zufolge ist ein staatlicher Strafausspruch ohne eine Anknüpfung an eine schuldhafte Handlung nicht möglich.[68] Das gelte nicht nur für das klassische Strafrecht, sondern auch im Ordnungswidrigkeitenrecht. Da einer juristische Person aber kein Schuldvorwurf gemacht werden könne, bedürfe es stets der Anknüpfung an die Handlung einer natürlichen Person. Das mache die Anwendung der §§ 30, 130 OWiG verfassungsrechtlich erforderlich, da diese, anders als das supranationale Funktionsträgerprinzip, die schuldhafte Tat eines Mitarbeiters voraussetzen. Eine unmittelbare Unternehmenshaftung, wie sie das europäische Recht bestimme, sei hierzulande mit Blick auf das Schuldprinzip konstitutionell ausgeschlossen.
Das hätte praktische Konsequenten von enormer Tragweite, weit über das Datenschutzrecht hinaus. Dann wäre das europäische Haftungsmodell für Unternehmen nämlich nicht nur im Datenschutzrecht nicht mit dem integrationsfesten Teil des Grundgesetzes vereinbar. Konflikte würden immer dann entstehen, wenn Sanktionsrechtssysteme auf Unionsebene eingeführt werden. Damit wären nicht nur alle kartellrechtlichen Sanktionen europäischer Behörden verfassungswidrig,[69] sondern bspw. auch die geplanten Sanktionsmöglichkeiten nach dem DGA und DSA. Gleichzeitig herrscht darüber, dass einer juristischen Person konstitutionell kein Schuldvorwurf gemacht werden kann, in der strafrechtlichen Literatur keine Einigkeit. Auch vom Bundesverfassungsgericht wurde diese Wertung bisher nicht bestätigt.[70]
a) Sanktionsfähigkeit des Verbandes
Als Kernargument gegen die Sanktionsfähigkeit juristischer Personen dient in der Regel die Lissabon-Entscheidung des BVerfG, in der sich das BVerfG u.a. mit den Zuständigkeiten der Europäischen Union im Bereich der Strafrechtspflege auseinandersetzt. In diesem Kontakt stellt das Gericht fest, dass die Menschenwürde das Wesen von Strafe und Schuld bestimmt. Es betont, dass der Schuldgrundsatz („Keine Strafe ohne Schuld“) in Art. 1 Abs. 1 GG wurzelt und daher die Eigenverantwortung des Menschen, der sein Handeln selbst bestimmt und sich kraft seiner Willensfreiheit zwischen Recht und Unrecht entscheiden kann, voraussetzt.[71]Das trifft mit Blick auf natürliche Personen unstreitig zu. Der Schuldgrundsatz betrifft gegenüber einer natürlichen Person den Aspekt der Menschenwürde.[72] Der Schuldgrundsatz ist jedoch ebenso im Rechtsstaatsprinzip begründet. Laut BVerfG ist die „strafrechtliche oder strafrechtsähnliche Ahndung einer Tat ohne Schuld des Täters […] rechtsstaatswidrig und verletzt den Betroffenen in seinem Grundrecht aus Art. 2 Abs. 1 GG“.[73] Die Feststellung, dass der Schuldvorwurf gegenüber einer natürlichen Person den Aspekt der Menschenwürde betrifft, kann damit nur als Teilaspekt des Schuldprinzips begriffen werden.[74]Mit der Frage, was das für die Sanktionsfähigkeit von Verbänden bedeutet, hat sich das Gericht in der Entscheidung nicht auseinandergesetzt. Die Feststellungen des Gerichts können daher nicht ohne Weiteres als Absage an die Integration der Verbandsstrafe verstanden werden.[75]Das gilt insb., da einem Verband ein verfassungsrechtlich geschütztes Recht nicht allein deshalb abgesprochen werden kann, weil dieses Recht auch unter Hinzuziehung von Art. 1 GG hergeleitet wird. Das hat der BGH bereits mehrfach mit Blick auf das aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG abgeleitete allgemeine Persönlichkeitsrecht entschieden. Dieses ist in Teilen auch auf juristische Personen anwendbar.[76]
Insofern ist auch vertretbar, dass der Gesetzgeber mit Blick auf juristischer Personen nicht an die traditionelle, von der Menschenwürde geprägte Vorstellung von Schuld und Strafe gebunden ist.[77]Hierfür spricht, dass die Verfassung nur einen Rahmen setzt und dem demokratisch legitimierten Gesetzgeber die Möglichkeit eröffnet, im Detail zu bestimmen,[78] wann ein schuldhafter Pflichtverstoß (einer natürlichen Person oder eines Unternehmens) begründet ist und wie hierauf zu reagieren ist. So ließe sich auch die Bertelsmann-Lesering-Entscheidung des BVerfG aus dem Jahr 1966 erklären. Hier heißt es: „Die dargelegten Grundsätze [des Schuldprinzips] gelten auch für juristische Personen. Die juristische Person ist rechtsfähig. Sie nimmt gleichwertig mit den natürlichen Personen am Rechtsleben teil. […] Auch eine juristische Person ist also „wegen einer jeden Zuwiderhandlung“ zu einer Geld- oder Haftstrafe zu verurteilen.“[79] Die Übertragbarkeit der Lissabon-Entscheidung auf die Schuldfähigkeit von Verbänden ist gerade mit Blick auf die Bertelsmann-Lesering-Entscheidung, die sich hiermit explizit befasst, kritisch zu hinterfragen. Jedenfalls kann die Entscheidung allein als Beleg kaum genügen.
Aber auch dann, wenn man davon ausgeht, eine juristische Person könne aus verfassungsrechtlichen Gründen nicht schuldhaft handeln, muss das kein Argument dafür sein, dass ihre Bestrafung das Schuldprinzip verletzt. Es kann auch ein Argument dafür sein, das Schuldprinzip auf juristische Personen gar nicht anzuwenden.[80] Es liegt daher nahe, die Frage nach der Sanktionsfähigkeit von Verbänden als rechtspolitische Entscheidung zu bewerten, der die Verfassung zwar Grenzen setzt (zu denken ist hier insb. an das Übermaßverbot), die aber nicht konstitutionell vorgeprägt ist.
b) Modelle verfassungskonformer Unternehmensverantwortlichkeit
Wenn es um die Frage geht, wie eine strafrechtliche Verbandsschuld/Verantwortlichkeit ausgestaltet werden kann, kommen v.a. zwei verschiedene Modelle in Betracht.[81] Denkbar wäre ein sog. Zurechnungsmodell, wonach stets ein sog. Zurechnungsakt erforderlich wäre. Hierüber würden dem Verband Handlungen und Schuldvorwurf der für das Unternehmen handelnden Mitarbeiter zugerechnet. Eine originäre Verbandsschuld würde es dann nicht geben. Der Zurechnungsakt könnte sowohl zivilrechtsakzessorisch, angepasst an die gesellschaftsrechtlichen Gestaltungsformen, oder aber autonom durch das Sanktionsrecht ausgestaltet werden.[82] Ebenfalls möglich wäre die Normierung eines eigenständigen Schuldvorwurfs, der nicht mit dem des Individualstrafrechts identisch ist. Handlungen im Namen eines Unternehmens würden rechtlich als Handlungen des Verbandes eingestuft, das Unternehmen würde dabei nicht für die Schuld eines Dritten haften, sondern im Wege einer kooperativen Verbandsschuld.[83] Zwar hat das BVerfG festgestellt, dass für die Inanspruchnahme einer juristischen Person für schuldhaftes Verhalten im strafrechtlichen Sinne „nur die Schuld der für sie verantwortlich handelnden Personen maßgebend“ sein könne. Hiermit wollte das Gericht aber lediglich klarstellen, dass auch Unternehmen verfassungsrechtlich davor geschützt sind, für „fremdes“ Fehlverhalten bestraft zu werden. Eine abstrakte Positionierung in Richtung eines Zurechnungsmodells war ebenso wenig beabsichtigt, wie eine Beschränkung der Zurechnung auf den Rechtsträger der handelnden Person.[84]
2. Gesetzlichkeitsprinzip
Einige Stimmen in Literatur und Rechtsprechung gehen überdies davon aus, die Adaption des europäischen Kartellrechts durch die DS-GVO verstoße gegen das Gesetzlichkeitsprinzip.[85] Über das sowohl in Art. 103 Abs. 2 GG als auch in Art. 49 GRCh verankerte Gesetzlichkeitsprinzip bekommt die Wortsinngrenze im Bereich des Straf- und Ordnungswidrigkeitenrecht eine besondere Bedeutung. Eine gesetzlich nicht vorgesehene strafrechtliche Unternehmensverantwortlichkeit verstößt daher ebenso wie eine Überdehnung des Wortlautes durch teleologische Reduktion oder Analogie gegen das deutsche sowie das europäische Verfassungsrecht. Das gilt selbst dann, wenn sich der eigentliche Wortlaut einer Norm oder eine Haftungslücke als unionsrechtswidrig erweist.[86]
Eine Interpretation der §§ 30, 130 OWiG im Sinne des hier gerade nicht angeordneten Funktionsträgerprinzips (und damit contra legem) verstößt daher, so argumentiert bspw. das LG Berlin, gegen das Gesetzlichkeitsprinzip.[87] Diesem Gedanken ist im Kern zuzustimmen, die §§ 30, 130 OWiG können verfassungskonform nicht so ausgelegt werden, dass sie eine unmittelbare Unternehmenshaftung im Sinne des Unionskartellrechts begründen. Übersehen wird hier jedoch, dass der Sanktionierung von Unternehmen nach dem europäischen Modell keine unionsrechtkonforme Auslegung der §§ 30, 130 OWiG zugrunde läge, sondern Art. 83 DS-GVO selbst. Die §§ 30, 130 OWiG blieben dann wegen eines Widerspruchs zum Unionsrechts unanwendbar.[88]
Entscheidend ist damit die Frage, ob Art. 83 i.V.m. ErwG 150 DS-GVO als unmittelbare Rechtsgrundlage taugt.[89] Bedenken bestehen mit Blick auf das Bestimmtheitsgebot.[90] Würden diese Bedenken durchgreifen, würde das indes nicht bedeuten, dass eine Interpretation der Norm im Sinne des Funktionsträgerprinzips ausgeschlossen wäre. Vielmehr müsste der nationale Gesetzgeber dann tätig werden und durch Erlass unionsrechtskonformen Bußgeldrechts, d.h. insb. unter Berücksichtigung des effet utile Grundsatzes, die Durchführung des Art. 83 DS-GVO gewährleisten. Die allg. Verpflichtung dazu ergibt sich aus Art. 197 Abs. 3 S. 1, Art. 291 Abs. 1 AEUV.[91] Entsprechend hat der Gesetzgeber auch im Kartellrecht reagiert, nachdem der BGH entschieden hat, dass § 30 OWiG mit Blick auf Art. 103 Abs. 2 GG keine generelle Bußgeldverantwortung des Rechtsnachfolgern im Sinne des Unionsrechts begründen kann. Er hat § 30 Abs. 2 a OWiG eingeführt,[92] der später durch § 81 Abs. 3 b GWB ergänzt wurde.[93]
V. Fazit
Mit dem deutschen Rechtsträgerprinzip auf der einen Seite und dem auf supranationaler Ebene vornehmlich zugrunde gelegten Funktionsträgerprinzip auf der anderen Seite stehen sich zwei grundlegend unterschiedliche Haftungsmodelle gegenüber. Wahrscheinlich deshalb geht die Diskussion um die Verbandshaftung in ihrer Pauschalität häufig fehl. Die Auslegung und Anwendung des Art. 83 DS-GVO folgt nicht etwa dem Prinzip „ganz oder gar nicht“. Die einzelnen Aspekte der Unternehmenshaftung können und müssen vielmehr differenziert betrachtet werden. „Mischmodelle“, die die Haftung nach dem Rechtsträgerprinzip an Grundkonzepte und Begrifflichkeiten des Funktionsträgerprinzips angepasst haben, gibt es bereits, etwa im nationalen Kartellsanktionsrecht.[94] Vergleichbares ist auch im Datenschutzrecht vorstellbar. Konstitutionell ausgeschlossen ist in diesem Kontext wahrscheinlich wenig, Grenze ist wie üblich das Übermaßverbot. Die Frage nach der datenschutzrechtlichen Verbandshaftung ist europarechtlich hochpolitisch und eine Entscheidung für das Funktionsträgerprinzip würde eine Abkehr vom Schuldprinzip in seiner bisherigen Form bedeuten. Deutschland wählt mit seinem Rechtsträgerprinzip im europäischen Vergleich einen eigenen Weg. Die Streitfrage stellt sich daher in kaum einem anderen Land in gleicher Weise.
Klar scheint: So einfach, wie es sich der EDSA und einige Stimmen in der Literatur machen, ist es nicht, vertretbar ist Vieles. Vor diesem Hintergrund ist die Positionierung des EDSA, die versucht das Funktionsträgerprinzip im Wege der Verwaltungspraxis vor der Entscheidung des EuGH zu etablieren, rechtlich fragwürdig und datenschutzpolitisch übergriffig. Entscheidend für die Wirtschaft ist es, nun Ruhe zu bewahren. Der nächst Schritt ist die anstehende Auslegung durch den EuGH.
Hält der EuGH den hiesigen Weg für europarechtswidrig, ist es denkbar, dass er Deutschland „nur“ ein Umsetzungsdefizit attestiert, ohne zugleich die Anwednung des Funktionsträgerprinzips anzuordnen. Dann würde er zwar nicht davon ausgehen, dass die DS-GVO selbst eine unmittelbare Unternehmenshaftung nach dem Vorbild des europäischen Kartellrechts normiere. Es wäre aber möglich, dass die Umsetzung durch Deutschland wegen der hierdurch bedingten Verfahrenshindernisse als Verstoß gegen den Effektivitätsgrundsatz gewertet würde.
Prof. Dr. Rolf Schwartmann
Kölner Forschungsstelle für Medienrecht der Technischen Hochschule Köln, Mitherausgeber von Recht der Datenverarbeitung (RDV) sowie Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD)
Lucia Burkhardt
Wissenschaftliche Mitarbeiterin an der Kölner Forschungsstelle für Medienrecht an der Technischen Hochschule Köln.
Foto: TH Köln/Schmülgen
[1] Bundesministerium des Inneren, für Bau und Heimat Evaluierung des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680, S. 61 f.
[2] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20.
[3] LG Berlin, Urt. v. 18.02.2021 – 526 OWi LG, 212 Js-OWi 1/20 (1/20).
[4] KG Berlin, Beschl. v. 06.12.2021 – 3 Ws 250/21.
[5] LG Berlin, Urt. v. 18.02.2021 – 526 OWi LG, 212 Js-OWi 1/20 (1/20), Rn. 25; Venn/Wybitul, Die bußgeldrechtliche Haftung von Unternehmen nach Art. 83 DS-GVO, NStZ 2021, 204 (208 f.); Dannecker/Dannecker, Europäische und verfassungsrechtliche Vorgaben für das materielle und formelle Unternehmensstrafrecht, NZWiSt 2016, 162 (169 ff.).
[6] Lediglich Österreich verfügt über ein mit dem deutschen Modell vergleichbare Unternehmenshaftung. Zur durch den ÖVwGH positiv beschiedenen Frage der Notwendigkeit der Benennung der handelnden Person im Bescheid ÖVwGH, Erk. v. 12.05.2020 – Ro 2019/04/0229.
[7] Anderenfalls drohe, so warnt die Praxis, ein erhebliches, teils unkalkulierbares Haftungsrisiko für Unternehmen. Ein Haftungsrisiko besteht jedoch nicht nur mit Blick auf datenschutzrechtliche Sanktionen nach Art. 83 DS-GVO. Vielmehr droht nach Art. 82 DS-GVO, und das kann je nach Entwicklung der Rechtsprechung zu Bagatellschäden deutlich gefährlicher werden, auch eine zivilrechtliche Haftung. Hier werden dem Unternehmen die Taten ihrer Mitarbeitenden zweifelsfrei nach den Grundsätzen der §§ 278, 30, 831 BGB zugerechnet.
[8] Hierzu ausführlich Dannecker, Zur bußgeldrechtlichen Verantwortung der Unternehmen in der Europäischen Union, NZWiSt 2022, 85 (90 ff.); Ost/Kallaß/Roesen, Einführung einer Unternehmensverantwortlichkeit im deutschen Kartellsanktionenrecht – Anmerkungen zum Entwurf der 9. GWB Novelle, NZKart 2916, 447; pointiert auch BeckOK KartellrechtHeinichen § 81 a GWB Rn. 24 ff.
[9] Hierzu pointiert auch Wabnitz/Janovsky/Schmitt, Handbuch Wirtschafts- und Steuerstrafrecht-Dannecker/Müller 19. Kap. Kartellstrafund -ordnungswidrigkeitenrecht, Rn. 150 ff.
[10] BeckOK OWiG, Mayberg § 30 Rn. 17.1 f.; Leitner/Rosenau-Gräfin von Galen/Maas, § 30 OWiG Rn. 2.
[11] KK OWiG-Rogall, § 30 Rn. 2 ff.
[12] Zur Aufsichtspflichtverletzung KK OWiG, Rogall § 30 Rn. 91, zum erforderlichen Verschulden KK OWiG, Rogall § 130 Rn. 119.
[13] Hierzu Dannecker, Zur bußgeldrechtlichen Verantwortung der Unternehmen in der Europäischen Union, NZWiSt 2022, 85 (86 ff.).
[14] Hierzu Dannecker, Zur bußgeldrechtlichen Verantwortung der Unternehmen in der Europäischen Union, NZWiSt 2022, 85 (92 ff.).
[15] Hierzu Dannecker, Zur bußgeldrechtlichen Verantwortung der Unternehmen in der Europäischen Union, NZWiSt 2022, 85 (95 f.).
[16] EuGH, Urt. v. 23.04.1991 – C-41/90, Rn. 21, Urt. v. 17.02.1993 – C-159/91 und C-160/91, Rn. 17, Urt. v. 10.09.2009 – C-97/08 P, Rn. 54.
[17] Dannecker, Zur bußgeldrechtlichen Verantwortung der Unternehmen in der Europäischen Union, NZWiSt 2022, 85 (85).
[18] Dannecker, Zur bußgeldrechtlichen Verantwortung der Unternehmen in der Europäischen Union, NZWiSt 2022, 85 (94).
[19] EuGH, Urt. v. 18.07.2013 – C-501/11 P, Rn.114.
[20] EuGH, Urt. v. 07.06.1983 – C-100 to 103/80, Rn. 97, Urt. v. 18.09.2003 – C-338/00 P, 93 ff.; hierzu auch Wabnitz/Janovsky/Schmitt, Handbuch Wirtschafts- und Steuerstrafrecht-Dannecker/Müller, 19. Kap., Kartellstraf- und -ordnungswidrigkeitenrecht, Rn. 239 f.
[21] Hierzu ausführlich: EDSA-Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Rn. 19.
[22] EuGH, Urt. v. 18.09.2003 – C-338/00 P, Rn. 97 f
[23] EuGH, Urt. v. 18.09.2003 – C-338/00 P, Rn. 29 ff. m.w.N.; so auch EuGH, Urt. v. 06.10.1994 – T-83/91, Rn. 238 ff; Urt. v. 08.11.1983 – C-96/82, Rn. 45.; zu den Voraussetzungen der subj. Zurechnung Mansdörfer/Timmerbeil, Das Modell der Verbandshaftung im europäischen Kartellbußgeldrecht, in: EuZW 2011, 214 (216 f); Schwarze/Bechtold, Rechtsstaatliche Defizite im Kartellrecht der Europäischen Gemeinschaft, S. 46 f.
[24] Ambrock, Mitarbeiterexzess im Datenschutzrecht, ZD 2020, 492.
[25] Nach ständiger Rechtsprechung bilden eine Muttergesellschaft und ihre Tochtergesellschaft eine wirtschaftliche Einheit, wenn die Tochtergesellschaft „trotz eigener Rechtspersönlichkeit ihr Marktverhalten nicht autonom bestimmt, sondern im Wesentlichen Weisungen der Muttergesellschaft befolgt […], und zwar vor allem wegen der wirtschaftlichen, organisatorischen und rechtlichen Bindungen, die die beiden Rechtssubjekte verbinden“; vgl. EuGH, Urt. v. 10.09.2009 – C-97/08, Rn. 58; so auch EDSA-Guidelines 04/2022 on the calculation of administrative findes under the GDPR v. 12.05.2022, Rn. 122, 124 ff.; hierzu ausführlich Dannecker, Europäische und verfassungsrechtliche Vorgaben für das materielle und formelle Unternehmensstrafrecht, NZWiSt 2016, 162 (167); Calliess/Ruffert-Weiß, Art. 101 AEUV Rn. 35 ff.
[26] Meixner, WuW 2017, 1281 und 1286, zitiert nach Dannecker, Zur bußgeldrechtlichen Verantwortung der Unternehmen in der Europäischen Union, NZWiSt 2022, 85 (91).
[27] Vgl. HK DS-GVO/BDSG-Schwartmann/Burkhardt, § 41 BDSG (im Anh. zu Art. 83 DS-GVO) Rn. 1 f., 6.
[28] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20ZD, Rn. 73; zitiert von KG Berlin, Beschl. v. 06.12.2021 – 3 Ws 250/21, Rn. 24 f.; Zelger, Der Begriff des „Unternehmens“ im europäischen Datenschutzrecht – Vorbild europäisches Kartellrecht?, EuR 2021, 478.
[29] BeckOK Datenschutzrecht-Holländer, Art. 83 DS-GVO Rn. 8, 13 ff.; Ehmann/Selmayr-Nemitz, Art. 83 Rn. 42; Kühling/Buchner-Bergt, Art. 83 DS-GVO Rn. 20; Simitis/Hornung/Spiecker-Boehm, Art. 83 DS-GVO Rn. 43; Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, Born, § 8 Datenschutz und Straf- und Ordnungswidrigkeitenrecht Rn. 23 f.
[30] EuGH, Urt. v. 29.07.2019 – C-40/17.
[31] EDSA-Guidelines 04/2022 on the calculation of administrative findes under the GDPR v. 12.05.2022, Rn. 123; LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20ZD; BeckOK Datenschutzrecht, Holländer, Art. 83 DS-GVO Rn. 11.
[32] EDSA-Guidelines 04/2022 on the calculation of administrative findes under the GDPR v. 12.05.2022, Rn. 118; DSK-Entschließung v. 03.04.2019: Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten; LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20. BeckOK Datenschutzrecht, Holländer, Art. 83 DS-GVO Rn. 13; ausführlich zu diesem Argument Ehmann/Selmayr-Nemitz, Art. 83 Rn. 42.
[33] EuGH, Urt. v. 08.04.1976 – Rs. 48/75, Rn. 69/73.
[34] Potacs Effet utile als Auslegungsgrundsatz, EuR 2009, 465 (466).
[35] Ausführlich hierzu Potacs Effet utile als Auslegungsgrundsatz, EuR 2009, 465.
[36] Mansdörfer/Timmerbeil, Das Modell der Verbandshaftung im europäischen Kartellbußgeldrecht, EuZW 2011, 214 (214).
[37] Zudem erging die Rechtsprechung des EuGH mit Blick auf Kartellrechtsanktionen, die von europäischen Behörden vollzogen wurden. Betroffen war damit ein „rein europäisches“ Sanktionsinstrument. Das Datenschutzrecht hingegen wird von mitgliedstaatlichen Aufsichtsbehörden auf der Grundlage von mitgliedsstaatlichem Recht (vgl. etwa Art. 83 Abs. 9 DS-GVO) exekutiert. Insofern besteht hier schon der Natur der Sache nach nationaler Umsetzungsspielraum (hierzu auch Abschnitt III 1).
[38] EuGH, Urt. v. 12.07.1984 – 170/83, Rn. 11; zum „Konzernprivileg“ Cornelius Die „datenschutzrechtliche Einheit“ als Grundlage des bußgeldrechtlichen Unternehmensbegriff nach der EU-DS-GVO, NZWiSt 2016, 421 (423 m.w.N.).
[39] Forgó/Helfrich/Schneider, Betrieblicher Datenschutz-Cornelius Teil XIV, Straf- und Ordnungswidrigkeitenvorschriften im Bereich des betrieblichen Datenschutzes, Rn. 94.
[40] Hierzu Faust/Spittka/Wybitul, Milliardenbußgelder nach der DS-GVO? – Ein Überblick über die neuen Sanktionen bei Verstößen gegen den Datenschutz, ZD 2016, 120 (122 f.); Hessel/Potel, Catch Me If You Can – Die Widersprüche der DS-GVO bei Verantwortlichkeit und Bußgeldbemessung im Konzernkontext, K&R 2020, 654 ff.; a.A. Zelger, Der Begriff des „Unternehmens“ im europäischen Datenschutzrecht – Vorbild europäisches Kartellrecht?, EuR 2021, 478 (488 ff.).
[41] Zum „Unternehmen“ in der DS-GVO Forgó/Helfrich/Schneider, Betrieblicher Datenschutz-Cornelius Teil XIV, Straf- und Ordnungswidrigkeitenvorschriften im Bereich des betrieblichen Datenschutzes, Rn. 96 ff.; ausführlich (inkl. Übersicht) auch bei Zelger, Der Begriff des „Unternehmens“ im europäischen Datenschutzrecht – Vorbild europäisches Kartellrecht?, EuR 2021, 478, 484 f.; Uebele, Das Unternehmen im europäischen Datenschutzrecht, EuZW 2018, 440; hierzu auch EDSA Guidelines 04/2022 on the calculation of administrative findes under the GDPR v. 12.05.2022, Rn. 119 sowie BeckOK Datenschutzrecht-Holländer Art. 83 DS-GVO Rn. 31.1 ff.
[42] Vgl. etwa EuGH, Urt. v. 23.04.1991 – C-41/90, Rn. 21.
[43] So Dannecker, Zur bußgeldrechtlichen Verantwortung der Unternehmen in der Europäischen Union, NZWiSt 2022, 85 (97); a.A. BeckOK Datenschutzrecht, Holländer, Art. 83 DS-GVO Rn. 14.1.
[44] Dannecker, Zur bußgeldrechtlichen Verantwortung der Unternehmen in der Europäischen Union, NZWiSt 2022, 85 (97); Cornelius, Die „datenschutzrechtliche Einheit“ als Grundlage des bußgeldrechtlichen Unternehmensbegriff nach der EU-DS-GVO, NZWiSt 2016, 421; a.A. Zelger, Der Begriff des „Unternehmens“ im europäischen Datenschutzrecht – Vorbild europäisches Kartellrecht?, EuR 2021, 478 (488 ff.).
[45] Spindler/Schuster-Eckardt, Art. 83 DS-GVO Rn. 77.
[46] EuGH, Urt. v. 08.04.2014 – C-288/12, ECLI:EU:C:2014:237, Rn. 51; HK DS-GVO/BDSG-Kugelmann/Buchner, Art. 58 DS-GVO Rn. 22 f.
[47] Ähnliches gilt, wenn es um die Frage geht, ob die handelnde Person im Bescheid benannt werden muss. Im Unionskartellrecht lehnt der EuGH dies zwar ab (EuGH Urt. v. 19.09.2003 – C-338/00 P), ob das auch für Datenschutzverstöße gilt, ist jedoch, selbst unter Zugrundelegung einer unmittelbaren „Verbandsverantwortlichkeit“, höchst fraglich. Der EuGH argumentiert, dass eine Identifizierung nicht erforderlich sei, da die kartellrechtlichen Geldbußen nach Art. 15 Abs. 4 der Verordnung Nr. 17 ausdrücklich keinen strafrechtlichen Charakter hätten, und dass ein solches Erfordernis die Effektivität des Wettbewerbsrechts der EU ernsthaft gefährden würde. Diese Argumentation steht zum einen auf wackeligen Beinen, da es nicht möglich ist, den strafähnlichen Charakter einer Norm gesetzlich abzubedingen. Zum anderen lässt sie sich nicht ohne Weiteres auf das mitgliedstaatlich geprägte Datenschutzrecht übertragen, dessen Verstöße nicht ihrer Natur nach konspirativ sind. So im Ergebnis auch der ÖVwGH, Erk. v. 12.05.2020 – Ro 2019/04/0229, Rn. 23.
[48] Kartellrechtsanktionen werden teils (bei grenzüberschreitenden Sachverhalten) von europäischen Behörden, teils von nationalen Aufsichtsbehörden vollzogen. Das Rechtsgebiet teilt sich damit in einen „rein europäischen“ Teil (das Unionskartellrecht) und einen mitgliedsstaatlich geprägten Teil.
[49] So auch Dannecker, Zur bußgeldrechtlichen Verantwortung der Unternehmen in der Europäischen Union, NZWiSt 2022, 85 (98 ff.); ders. schon ebd. 2016, 162 (166 und 168 ff.).
[50] Vgl. die durch die 9. GWB Novelle eingefügten § 81 Abs. 3 a – 3 e) GWB.
[51] BT-Drs 18/10207, 86.
[52] Zum kartellrechtlichen Modell ausführlich Dannecker, Zur bußgeldrechtlichen Verantwortung der Unternehmen in der Europäischen Union, NZWiSt 2022, 85 (90 ff.); Ost/Kallaß/Roesen, Einführung einer Unternehmensverantwortlichkeit im deutschen Kartellsanktionenrecht – Anmerkungen zum Entwurf der 9. GWB Novelle, NZKart 2916, 447; pointiert auch BeckOK Kartellrecht-Heinichen, § 81 a GWB Rn. 24 ff.
[53] Hierzu Dannecker, Zur bußgeldrechtlichen Verantwortung der Unternehmen in der Europäischen Union, NZWiSt 2022, 85 (90).
[54] So dennoch Thiel im Interview mit der ZD, ZD 2020, 3 (3); DSK-Entschließung v. 03.04.2019: Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten; LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20.
[55] KG Berlin, Beschl. v. 06.12.2021 – 3 Ws 250/21.
[56] Ehmann/Selmayr-Nemitz, Art. 83 Rn. 42
[57] LG Berlin, Beschl. v. 18.02.2021 – 526 Owi LG, Rn. 24; Taeger/GabeMoos/Schefzig, Art. 83 DS-GVO Rn. 120.
[58] Cornelius, Die „datenschutzrechtliche Einheit“ als Grundlage des bußgeldrechtlichen Unternehmensbegriff nach der EU-DS-GVO, NZWiSt 2016, 421.
[59] Zelger, Der Begriff des „Unternehmens“ im europäischen Datenschutzrecht – Vorbild europäisches Kartellrecht?, EuR 2021, 478; Faust/Spittka/ Wybitul, Milliardenbußgelder nach der DS-GVO? – Ein Überblick über die neuen Sanktionen bei Verstößen gegen den Datenschutz, ZD 2016, 120 (122 f.); Hessel/Potel, Catch Me If You Can – Die Widersprüche der DSGVO bei Verantwortlichkeit und Bußgeldbemessung im Konzernkontext, K&R 2020, 654 ff.; Ehmann/Selmayr-Nemitz, Art. 83 Rn. 42.
[60] So etwa Thiel im Interview mit der ZD, ZD 2020, 3 (3); DSK-Entschließung v. 03.04.2019: Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten; Dannecker, Zur bußgeldrechtlichen Verantwortung der Unternehmen in der Europäischen Union, NZWiSt 2022, 85 (94f.); BeckOK Datenschutzrecht, Holländer, Art. 83 DS-GVO Rn. 13 ff.; so auch noch Schwartmann/Burkhardt, HK zum Datenschutzrecht in der Kommentierung zum § 41 BDSG (in Anh. zu Art. 83 DS-GVO), Rn. 9; Simitis/ Hornung/Spiecker-Boehm, Art. 83 DS-GVO Rn. 40.
[61] Kühling/Buchner-Bergt, Art. 83 DS-GVO Rn. 20, 39 ff. differenziert immerhin zwischen dem Haftungsmodell (Rn. 20) und dem Unternehmensbegriff (Rn. 39 ff.).
[62] EDSA-Guidelines 04/2022 on the calculation of administrative findes under the GDPR v. 12.05.2022, Rn. 123; dem EDSA genügte als Argument zur Anwendung der gesamten unionskartellrechtlichen Rechtsprechung die Bezugnahme auf ErwG 150 DS-GVO sowie die Tatsache, dass Art. 83 DS-GVO dem Grundsatz der Unternehmenshaftung folgt.
[63] Selbst das KG Berlin stellt in der Begründung seiner noch sehr präzise formulierten Vorlagefrage auf ErwG 150 DS-GVO und den funktionalen Unternehmensbegriff ab, ohne darzulegen, wieso hierdurch automatisch eine unmittelbare Unternehmenshaftung begründet werden sollte, vgl. KG Berlin, Beschl. v. 06.12.2021 – 3 Ws 250/21, Rn. 15.
[64] Dannecker, Zur bußgeldrechtlichen Verantwortung der Unternehmen in der Europäischen Union, NZWiSt 2022, 85 (86).
[65] KG Berlin, Beschl. v. 06.12.2021 – 3 Ws 250/21, Rn. 18.
[66] Für einen eingeschränkten Umsetzungsspielraum argumentieren bspw. LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20ZD; KG Berlin, Beschl. v. 06.12.2021 – 3 Ws 250/21, Rn. 18 f.; Qasim, Adressierung eines Bußgeldbescheids nach der DS-GVO, ZD-Aktuell 2021, 05102; Bussche, Anmerkung zu LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20, ZD 2021, 159; Ehmann/Selmayr-Nemitz, Art. 83 Rn. 42 f.; so im Ergebnis auch BeckOK-Holländer, Art. 83 DS-GVO Rn. 14.1.; Kühling/Buchner-Bergt, Art. 83 DS-GVO Rn. 43 a; Simitis/Hornung/Spiecker-Boehm, Art. 83 DSGVO Rn. 43; a.A. LG Berlin, Urt. v. 18.02.2021 – 526 OWi LG, 212 JsOWi 1/20 (1/20); ÖVwGH, Erk. v. 12.05.2020 – Ro 2019/04/0229; Taeger/Gabel-Moos/Schefzig, Art. 83 DS-GVO Rn. 121 ff.
[67] Venn/Wybitul, Die bußgeldrechtliche Haftung von Unternehmen nach Art. 83 DS-GVO, NStZ 2021, 204 (208 f.); allg. zu den strafverfassungsrechtlichen Grenzen eines europäisch geprägten Verbandssanktionengesetzes Dannecker/Dannecker, Europäische und verfassungsrechtliche Vorgaben für das materielle und formelle Unternehmensstrafrecht, NZWiSt 2016, 162 (169 ff.).
[68] LG Berlin, Urt. v. 18.02.2021 – 526 OWi LG, 212 Js-OWi 1/20 (1/20), Rn. 25.
[69] Zur Verfassungskonformität der 9. GWB-Novelle mit Blick auf den Schuldgrundsatz Ost/Kallaß/Roesen, Einführung einer Unternehmensverantwortlichkeit im deutschen Kartellsanktionenrecht – Anmerkungen zum Entwurf der 9. GWB Novelle, NZKart 2916, 447 (456 f.).
[70] Für die Möglichkeit einer Verbandsschuld argumentieren etwa Ost/Kallaß/Roesen, Einführung einer Unternehmensverantwortlichkeit im deutschen Kartellsanktionenrecht – Anmerkungen zum Entwurf der 9. GWB Novelle, NZKart 2916, 447(456); Dannecker/Dannecker, Europäische und verfassungsrechtliche Vorgaben für das materielle und formelle Unternehmensstrafrecht, NZWiSt 2016, 162 (175 ); ebenfalls ablehnend MK StGB-Freund, Vorbermerkung zu § 13 Rn. 147 ff. m.w.N.
[71] BVerfG, Urt. v. 30.06.2009 – 2 BvE 2/08 u.a., Rn. 364.
[72] Osterloh, Strafrechtsdogmatische und strafprozessuale Probleme bei der Einführung und Umsetzung einer Verbandsstrafbarkeit, S. 64.
[73] BVerfG, Beschl. v. 25.10.1966 – 2 BvR 506/63.
[74] Osterloh, Strafrechtsdogmatische und strafprozessuale Probleme bei der Einführung und Umsetzung einer Verbandsstrafbarkeit, S. 65.
[75] Dannecker/Dannecker, Europäische und verfassungsrechtliche Vorgaben für das materielle und formelle Unternehmensstrafrecht, NZWiSt 2016, 162 (175) m.w.N.
[76] Osterloh, Strafrechtsdogmatische und strafprozessuale Probleme bei der Einführung und Umsetzung einer Verbandsstrafbarkeit, S. 65.
[77] Dannecker/Dannecker, Europäische und verfassungsrechtliche Vorgaben für das materielle und formelle Unternehmensstrafrecht, NZWiSt 2016, 162 (173).
[78] Baumann, Grundbegriffe und System des Strafrechts, S. 157; zitiert nach Osterloh, Strafrechtsdogmatische und strafprozessuale Probleme bei der Einführung und Umsetzung einer Verbandsstrafbarkeit, S. 65.
[79] BVerfG, Beschl. v. 25.10.1966 – 2 BvR 506/63. Zwar hat das BVerfG ein Jahr später festgestellt, dass „juristische Personen als bloße Zweckgebilde der Rechtsordnung […] ihren Willen nur durch Organe [bilden] und im […] Hinblick auf Straftaten oder Ordnungswidrigkeiten nur einer eingeschränkten Verantwortlichkeit [unterliegen].“ Weiter stellt es fest: „Begeht ein Organwalter unter Verletzung von Pflichten der juristischen Person eine solche Tat, so ist allein er Täter. Gegen die juristische Person kann lediglich gem. § 30 eine Geldbuße festgesetzt werden, die aber weder einen Schuldvorwurf noch eine ethische Missbilligung enthält, sondern einen Ausgleich für die aus der Tat gezogenen Vorteile schaffen soll“ (BVerfG, Urt. v. 26.02.1997 – 1 BvR 2172/96). Um vermeintliche Widersprüche in der Rechtsprechung des BVerfG aufzulösen, ist es hier ebenso wie mit Blick auf die Lissabon-Entscheidung erforderlich, das Urteil im Kontext des zu entscheidenden Falles zu betrachten. Das Gericht wollte keine Aussage zur Bebußbarkeit eines Unternehmens treffen, sondern begründen, warum ein Unternehmen sich nicht auf das Selbstbelastungsprivileg berufen kann. Es bezieht sich hierzu auf die damalige (nach wie vor unveränderte) einfach-rechtliche Ausgestaltung der Rechtsordnung, nicht auf die Verfassung.
[80] Neumann, Strafrechtliche Verantwortlichkeit von Verbänden – rechtstheoretische Prolegomena, in: Kempf/Lüderssen/Volk (Hrsg.), Unternehmensstrafrecht, 2012, S. 13 (19); Vogel, Umfang und Grenzen der strafrechtlichen. Geschäftsherrenhaftung, StV 427 (429); das gilt insbesondere, da die moderne Strafrechtswissenschaft nicht mehr davon ausgeht, Zweck der Strafe sei der Ausgleich von Schuld (sog. Vergeltungstheorie); vielmehr dient Strafe der Verhinderung zukünftiger Taten (sog. relative Straftheorien); Schuld legitimiert Strafe daher nicht mehr, sondern ist Bedingung für ein faires Strafrecht.
[81] Hierzu auch KK-Rogall, § 30 OWiG Rn. 2 ff.
[82] Ost/Kallaß/Roesen, Einführung einer Unternehmensverantwortlichkeit im deutschen Kartellsanktionenrecht – Anmerkungen zum Entwurf der 9. GWB Novelle, NZKart 2916, 447 (456).
[83] Dannecker/Dannecker, Europäische und verfassungsrechtliche Vorgaben für das materielle und formelle Unternehmensstrafrecht, NZWiSt 2016, 162 (175).
[84] Mit Blick auf den letztgenannten Punkt so auch Ost/Kallaß/Roesen, Einführung einer Unternehmensverantwortlichkeit im deutschen Kartellsanktionenrecht – Anmerkungen zum Entwurf der 9. GWB Novelle, NZKart 2916, 447(457).
[85] LG Berlin, Urt. v. 18.02.2021 – 526 OWi LG, 212 Js-OWi 1/20 (1/20), Rn. 26 f.; Venn/Wybitul, Die bußgeldrechtliche Haftung von Unternehmen nach Art. 83 DS-GVO, NStZ 2021, 204 (208); a.A. Ebner/Schmidt, Verhängung von Bußgeldern nach Art. 83 DS-GVO gegen deutsche Muttergesellschaften – Eine Praxisbetrachtung, CCZ 2020, 84 (87)
[86] So ausdrücklich BGH, Beschl. v. 16.12.2014 – KRB 47/14, Rn. 19 f.
[87] LG Berlin, Urt. v. 18.02.2021 – 526 OWi LG, 212 Js-OWi 1/20 (1/20), Rn. 26 f.
[88] HK DS-GVO/BDSG-Schwartmann/Burkhardt, § 41 BDSG (im Anh. zu Art. 83 DS-GVO) Rn. 3.
[89] Das hat der BGH für den kartellrechtlichen Art. 5 Abs. 1 1 VO (EG) Nr. 1/2003 abgelehnt. Dieser enthält jedoch anders als Art. 83 DS-GVO gar keine eigenständige Rechtsgrundlage nationaler Behörden gegenüber Bürgern, sondern entfalten. Wirkung nur zwischen der Union und den Mitgliedstaaten; vgl. BGH, Beschl. v. 16.12.2014 – KRB 47/14, Rn. 26 ff.
[90] KG Berlin, Beschl. vom 06.12.2021 – 3 Ws 250/21, Rn. 27; hierzu auch Schwarze/Bechtold, Rechtsstaatliche Defizite im Kartellrecht der Europäischen Gemeinschaft, 2008, S. 15 ff.
[91] HK DS-GVO/BDSG-Schwartmann/Burkhardt, § 41 BDSG (im Anh. zu Art. 83 DS-GVO) Rn. 1 ff.
[92] Durch das 8. Gesetz zur Änderung des Gesetzes gegen Wettbewerbsbeschränkungen v. 26.06.2013 (BGBl. I S. 1738) eingeführt (8. GWB-Novelle).
[93] Eingeführt durch die 9. GWB-Novelle; hierzu Dannecker, Zur bußgeldrechtlichen Verantwortung der Unternehmen in der Europäischen Union, NZWiSt 2022, 85 (91 f.)
[94] Hierzu ausführlich Dannecker, Zur bußgeldrechtlichen Verantwortung der Unternehmen in der Europäischen Union, NZWiSt 2022, 85 (90 ff.); Ost/Kallaß/Roesen, Einführung einer Unternehmensverantwortlichkeit im deutschen Kartellsanktionenrecht – Anmerkungen zum Entwurf der 9. GWB Novelle, NZKart 2916, 447; pointiert auch BeckOK KartellrechtHeinichen, § 81 a GWB Rn. 24 ff.