Dieses Berechnungsmodell geht zunächst vom Gesamtumsatz des Konzerns (der wirtschaftlichen Einheit) aus und nimmt dann erst eine Multiplikation mit einem an den Kriterien des Art. 83 II DS-GVO orientierten Faktor bezüglich der Schwere der Tat vor. Solch ein abstraktes Berechnungsmodell wird sich immer mit der Frage konfrontiert sehen, ob damit tatsächlich eine auf den Einzelfall bezogene schuldangemessene Sanktion ausgeworfen wird.
Dem Bußgeldverfahren vor dem LG Bonn (Az. 29 OWi 1/20 LG) kommt aber auch deshalb Pioniercharakter zu, weil die DS-GVO-Geldbußen gegen Unternehmen (Art. 58 II lit. i] iVm Art. 83 DSGVO) grundsätzliche Fragen wie den Bestimmtheitsgrundsatz und das Schuldprinzip berühren. Dabei ist besonders nachteilig, dass die einzelnen Tatbestände durch das europäische Recht vorgegeben werden, aber ein Allgemeiner Teil eines Europäischen Ordnungswidrigkeitenrechts mit einem Zurechnungsmodell von Verantwortlichkeiten und einer entsprechenden Beteiligtendogmatik weitgehend fehlt.
Das LG Bonn geht davon aus, dass die Verhängung eines Bußgelds gegen ein Unternehmen nicht davon abhänge, ob der konkrete Verstoß einer Leitungsperson des Unternehmens festgestellt werde, denn das europäische Recht stelle anders als das deutsche Ordnungswidrigkeitenrecht kein entsprechendes Erfordernis auf. Diese Erwägung ist wegen des Vorrangs der Unionsrechtsordnung zutreffend, soweit die im nationalen Recht geltenden Regelungen nach §§ 30, 130 OWiG dem europäischem Recht widersprechen. Allerdings setzt sich die (wohl gewollte) Übernahme des kartellrechtlichen Unternehmensbegriffs in das Datenschutzrecht (vgl. DS-GVO-Erwägungsgrund 150) in Widersprüche zu dem verfügenden Teil der DS-GVO (Cornelius, NZWiSt 2016, 421 [423 ff.]). Kann trotzdem noch von einer dem Bestimmtheitsgrundsatz genügenden Regelung ausgegangen werden?
Der Rechtsprechung kommt nun die wichtige Funktion zu, erste Leitplanken einzuziehen und gegebenenfalls auch eine Nachbesserung durch den europäischen Gesetzgeber einzufordern. Sicher ist bisher nur, dass bis zu einer (zumindest gewissen) Vorhersehbarkeit bezüglich der Sanktionierung von DS-GVO-Verstößen noch etliche Gerichtsurteile und geraume Zeit ins Land gehen werden. •
NJW-Editorial
Prof. Dr. Kai Cornelius
Bestimmtheit ade?
Millionen-Geldbußen wegen datenschutzrechtlicher Verstöße sind nicht nur abstrakte Warnungen, sondern real existierend. Der Telekommunikationsanbieter 1&1 Telecom wehrt sich gegen eine vom Bundesdatenschutzbeauftragten verhängte Geldbuße von 9,55 Mio. Euro. Das LG Bonn hat erstinstanzlich eine Reduzierung der Geldbuße um 90 % auf 0,9 Mio. Euro wegen eines geringen Verschuldens vorgenommen. Damit zeigt das Gericht dem Berechnungsmodell der Datenschutzkonferenz die rote Karte.
26. Nov 2020
Prof. Dr. Kai Cornelius, LL.M. ist Rechtsanwalt und apl. Professor an der Universität Heidelberg.
