Keine „vom EU-Gesetzgeber gewollte Erleichterung“ für die Verhängung von DS-GVO-Geldbußen?

MMR 2023, 321    Am 27.4.2023 stellte der Generalanwalt Campos Sánchez-Bordona am EuGH seine Schlussanträge (SA) in einem wichtigen Verfahren zu Datenschutz-Bußgeldern (Rs. C-807/21). Er erteilt dabei Forderungen nach einer verschuldensunabhängigen Unternehmenshaftung bei Bußgeldverfahren wegen Art. 83 DS-GVO eine Absage. Das Verfahren betrifft einen Bußgeldbescheid der Berliner Datenschutzbehörde aus dem Jahr 2019. Es wirft wichtige Fragen darüber auf, wie die Vorgaben der DS-GVO auf nationaler und internationaler Ebene umzusetzen sind. Das LG Berlin (ZD 2021, 270 mAnm von dem Bussche) hatte den Bußgeldbescheid mit klaren Worten für unwirksam erklärt: „Der Bußgeldbescheid der Berliner Beauftragten für Da-tenschutz und Informationsfreiheit vom 30.10.2019 leidet un-ter derart gravierenden Mängeln, dass er nicht Grundlage des Verfahrens sein kann.“

Worum geht es?

Die deutschen Datenschutzaufsichtsbehörden fordern erleichterte Voraussetzungen für die Verhängung von Bußgeldern nach Art. 83 DS-GVO. Sie gehen von einer unmittelbaren Unternehmenshaftung aus. Denn das deutsche Bußgeldrecht erlaube keine effektive Sanktionierung von Unternehmen. Daher fordert die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) in einer aktuellen Stellungnahme eine „strict liability“ von Unternehmen bei möglichen Verstößen gegen die DS-GVO. Danach sollten sie keine Feststellungen zu Aufsichtspflichtverletzungen oder sonstigen vorsätzlichen oder fahrlässigen Verstößen eines Unternehmensvertreters treffen müssen. Dies sei gegenüber dem deutschen Recht eine „vom EU-Gesetzgeber gewollte Erleichterung“ (DSK, Stellungnahme v. 5.1.2023, S. 1). Daher fordern die Behörden ein „supranationales Sanktionsregime“ bei der Ahndung möglicher DS-GVO-Verstöße (DSK, Stellungnahme v. 5.1.2023, S. 2).

„Strict liability“ oder deutsches Bußgeldrecht?

Im Unionsrecht gelten zwar einheitliche Justizgrundsätze in Art. 47 ff. GRCh. Dort gibt es aber kein einheitliches Bußgeldrecht. Nach Art. 83 Abs. 8 DS-GVO gelten zudem die Prozessgarantien der einzelnen Mitgliedstaaten der EU. Das deutsche Gesetz über Ordnungswidrigkeiten (OWiG) sieht vor, dass Datenschutzbehörden Bußgelder nur dann gegen Unternehmen verhängen können, wenn sie ein vorwerfbares Handeln der Unternehmensleitung oder sonstiger gesetzlichen Vertreter nachweisen. Eine unzureichende Kontrolle durch die Unternehmensleitung kann nach § 130 OWiG ein solches vorwerfbares Handeln in Form einer Aufsichtspflichtverletzung darstellen.

Die Datenschutzbehörden hingegen sprechen sich für ein einheitliches Prozessrecht in der Union aus, soweit es um die Verfolgung möglicher DS-GVO-Verstöße geht. Der Nachweis einer Aufsichtspflichtverletzung oder eines sonstigen vorwerfbaren Verhaltens sei dabei nicht geboten, denn: „Der Nachweis ist regelmäßig mit einem erheblichen Aufwand verbunden“ (DSK, Stellungnahme v. 5.1.2023, S. 1).

Was sagt der Generalanwalt zu diesen Forderungen?

Zu der geforderten „strict liability“ äußert sich der Generalanwalt erwartbar klar. Ein objektiver Verstoß gegen datenschutzrechtliche Vorgaben allein kann nicht ausreichend sein, um eine Geldbuße zu verhängen. Eine solche unmittelbare Haftung verstieße gegen den auch im strafrechtsähnlichen Verwaltungssanktionenrecht geltenden Grundsatz „nulla poena sine culpa“ (SA Rn. 72 ff.). Die Beurteilung der Frage, ob die komplexen Vorgaben der DS-GVO eingehalten worden sind, setze hingegen „einen komplexen Bewertungs- und Beurteilungsprozess voraus, der über die bloße Feststellung eines formalen Verstoßes hinausgeht“ (SA Rn. 80). Auch der eindeutige Wortlaut von Art. 83 DS-GVO spricht „gegen ein System der objektiven (verschuldensunabhängigen) Verantwortlichkeit im Bereich von Sanktionen, dh, er setzt Vorsatz oder Fahrlässigkeit bei der strafbaren Handlung voraus“ (SA Rn. 81).

Der Generalanwalt weist in diesem Zusammenhang darauf hin, dass bislang noch nicht einmal geklärt ist, ob das betroffene Unternehmen tatsächlich gegen die DS-GVO verstoßen habe. Das LG Berlin konnte im Ausgangsfall auf Grund der angesprochen gravierenden Verfahrensmängeln gar nicht feststellen, ob das Unternehmen die Vorgaben der DS-GVO tatsächlich missachtet hat. Denn der Bußgeldbescheid ging von einer „strict liability“ aus und hatte die zur Last gelegte Tat nicht hinreichend iSv § 66 OWiG bezeichnet (LG Berlin ZD 2021, 270 Rn 36 mAnm von dem Bussche). Dementsprechend wurden bislang weder ein Verstoß noch ein Verschulden festgestellt (vgl. auch SA Rn. 66). Anders als es manche Aussagen im bisherigen Verfahren vermuten lassen, geht es im Ausgangsverfahren daher keinesfalls allein um Zurechnungsfragen.

In seinen Schlussanträgen hat der Generalanwalt letztlich auch keine Aussagen zur Wirksamkeit und Effektivität des deutschen Ordnungswidrigkeitenrechts getroffen. Er überlässt es vielmehr dem vorlegenden nationalen Gericht zu klären, ob das OWiG eine hinreichende Gewährleistung der DS-GVO sicherstellt. In einem Vorabentscheidungsverfahren sei allein das nationale Gericht für die Feststellung und Beurteilung des Sachverhalts und die Auslegung und Anwendung des nationalen Rechts zuständig (SA Rn. 35). Die Aussagen des Vorlagegerichts (KG ZD 2022, 156 mAnm Petri) zur vermeintlichen Ineffektivität deutschen Ordnungswidrigkeitenrechts stehen dabei in klarem Widerspruch zu den schriftlichen Erklärungen der Bundesrepublik Deutschland (SA Rn. 32). Ob die vom KG gestellte Frage - ob es wirklich eine nationale und keine europarechtliche Frage ist - muss stark bezweifelt werden. Das zeigt schon der vom KG selbst gezogene Vergleich mit dem Haftungsregime des europäischen Wettbewerbsrechts (SA Rn. 33). Noch klarer formuliert es der Generalanwalt: „Zusammenfassend gibt es [KG] an, der durch diese Bestimmung [§ 130 OWiG] erreichbare Schutz von Rechtsgütern sei gegenüber dem aus Art. 101 und 102 AEUV abgeleiteten Haftungsregime deutlich eingeschränkt“ (SA Rn. 42). Ein solcher Vergleich zwischen dem deutschen und dem Unionsrecht dürfte nur schwerlich als rein nationale Frage zu bewerten sein.

Für den Fall, dass das deutsche Ordnungswidrigkeitenrecht in seiner jetzigen Form keine Anwendung mehr finden sollte, stellt der Generalanwalt jedoch klare Vorgaben auf. Zwar könnten nicht nur festgestellte Verstöße der in § 30 OWiG genannten Leitungspersonen gegen die DS-GVO dem Unternehmen zugerechnet werden. Vielmehr gelte dies auch, wenn „Verstöße von natürlichen Personen (Mitarbeitern im weiteren Sinne) begangen wurden, die im Rahmen der unternehmerischen Tätigkeit des Unternehmens und unter der Aufsicht der zuerst genannten Personen handeln“ (SA Rn. 57). Eine solche Zurechnung setze aber voraus, dass der „Verstoß des Mitarbeiters, der unter der Aufsicht ihrer Leitungsorgane handelt, auf einen Mangel des Kontroll- und Überwachungssystems zurückgeht, für den die Leitungsorgane unmittelbar verantwortlich sind“ (SA Rn. 59).

Damit ist klar: Auch ohne direkte Anwendbarkeit des OWiG im Datenschutzrecht muss die Behörde nachweisen, dass der Verstoß eines Mitarbeiters auf einer Aufsichtspflichtverletzung beruht. Eine mögliche Abkehr vom nationalen Zurechnungsrecht würde somit gerade nicht zu den von den Datenschutzbehörden geforderten Erleichterung beim Nachweis einer Pflichtverletzung der Unternehmensleitung führen.

Wie geht es weiter?

Eine Entscheidung des EuGH ist in wenigen Monaten zu erwarten. Dabei hat er nicht bloß über abstrakte rechtswissenschaftliche Fragen zu entscheiden. Es geht vielmehr um die konkrete Frage, welche Nachweise die Behörden erbringen müssen, um gegen Unternehmen bei Vorwürfen oder Verdachtsmomenten hohe Geldbußen verhängen zu können. Im Ergebnis sind die Schlussanträge des Generalanwalts ein wichtiges Signal. Es bleibt zu hoffen, dass der EuGH für mehr Klarheit bei der Verhängung von Datenschutzbußgeldern sorgt.

Frankfurt/M., im Mai 2023