Stellungnahme der DSK zur Sanktionierung von Unternehmen

Ein Zwischenruf aus Verteidigersicht

ZD 2023, 187   Am 17.1.2023 verhandelte die Große Kammer des EuGH in der Rs. C-807/21 über die Voraussetzungen von Geldbußen nach Art. 83 DS-GVO gegen Unternehmen. Einen Tag nach der Verhandlung veröffentlichte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) eine „Stellungnahme zu Grundsatzfragen zur Sanktionierung von Datenschutzverstößen von Unternehmen - EuGH-Rs. C-807/21“. In ihrer Stellungnahme stellt die DSK auf 22 Seiten ihre Auffassung zur Bebußung von Unternehmen wegen Datenschutzverstößen dar. Der vorliegende Zwischenruf bewertet die Positionen der DSK aus Sicht der Verteidigung. Er gibt zudem einen Überblick über das weitere Verfahren und seine möglichen Folgen.

Geldbußen gegen Unternehmen ohne Schuld?

In dem Verfahren vor dem EuGH geht es um wesentliche Fragen der Verhängung von Geldbußen gegen Unternehmen. Im Ausgangsverfahren hatte eine Datenschutzbehörde ein hohes Bußgeld gegen Unternehmen verhängt, ohne Tatsachenfeststellungen zu einem möglichen Verschulden zu treffen. Die DSK hält dieses Vorgehen für zulässig. Sie vertritt die Auffassung, dass für die Bebußung von Unternehmen nach Art. 83 DS-GVO „im Grundsatz bereits ein dem Unternehmen zuzuordnender objektiver Pflichtenverstoß ausreicht (,strict liability`).“ Die DSK sieht dies als eine „vom europäischen Gesetzgeber gewollte Erleichterung für die Datenschutzaufsichtsbehörden“.

Im deutschen Recht gilt dagegen das Schuldprinzip - „nulla poena sine culpa“. Das BVerfG formuliert hierzu wie folgt: „Aus dem Zusammenspiel von Art. 1, 2 Abs. 1 GG und dem Rechtsstaatsprinzip folgert das BVerfG eine verfassungsrechtliche Verankerung des Schuldprinzips: Jede Strafe, nicht nur die Strafe für kriminelles Unrecht, sondern auch die strafähnliche Sanktion für sonstiges Unrecht, setzt Schuld voraus“ (Beschl. v. 19.2.2003 - 2 BvR 1413/01). Demensprechend fordert das deutsche Bußgeldrecht für eine Sanktionierung von Unternehmen nach § 30 OWiG ein vorwerfbares bzw. schuldhaftes Verhalten einer Leitungsperson des Unternehmens. Allerdings reicht hierfür bereits eine Verletzung der Aufsichtspflicht auf der Leitungsebene aus, etwa in Form eines Organisationsmangels. Auf dieser rechtlichen Grundlage verhängen deutsche Behörden in anderen Rechtsgebieten in der Praxis teilweise dreistellige Millionen- oder sogar Milliardenbußgelder. Dennoch betrachtet die DSK die den Behörden nach dem deutschen Recht zugewiesenen Kompetenzen für die Verhängung von Geldbußen aus den nachstehend genannten Gründen als unzureichend.

Auslegung von Art. 83 DS-GVO und Erwägungsgrund 150 S. 3 DS-GVO

Die DSK vertritt die Auffassung, bei der Verhängung von Geldbußen gegen Unternehmen nach Art. 83 DS-GVO gelte ein Funktionsträgerprinzip. Dies zeige der in Erwägungsgrund 150 S. 3 DS-GVO zum Ausdruck gekommene Wille des europäischen Gesetzgebers. Der von der DSK zitierte Passus des Erwägungsgrunds lautet: „Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff ,Unternehmen` iSd Art. 101 und 102 AEUV verstanden werden.“ Der EuGH bestimmt den in den dort genannten Art. 101 und 102 AEUV vorausgesetzten Begriff des Unternehmens anhand des Kriteriums einer funktionalen Einheit. Danach ist ein Unternehmen „jede eine wirtschaftliche Tätigkeit ausübende Einheit, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung“ (stRspr seit EuGH Urt. 23.4.1991 - C-41/90 Rn. 21 - Höfner und Elser). Diese Rechtsprechung ermöglicht es u.a., Konzerne unabhängig von ihrer Rechtsform gesamtheitlich zu sanktionieren. Man könnte Erwägungsgrund 150 S. 3 DS-GVO somit auch wie folgt formulieren: „Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff Unternehmen als funktionale Einheit iSd Rechtsprechung des Gerichtshofs verstanden werden.“

Nach Ansicht der DSK mache der europäische Gesetzgeber mit Erwägungsgrund 150 S. 3 DS-GVO deutlich, „dass nicht lediglich auf der Rechtsfolgenseite, sondern im gesamten Bußgeldverfahren, der Unternehmensbegriff nach dem europäischen Kartellrecht maßgeblich ist“. Für eine Bewertung dieser Auffassung ist somit maßgeblich, in welchem Kontext der europäische Gesetzgeber den Begriff des Unternehmens tatsächlich gebraucht. Art. 83 DS-GVO verwendet den in Erwägungsgrund 150 S. 3 DS-GVO genannten Begriff des Unternehmens genau dreimal - in Absatz 4, Absatz 5 und Absatz 6. Dort regelt der europäische Gesetzgeber Folgendes: „Bei Verstößen ... werden ... Geldbußen von bis zu [10 oder 20 Mio. EUR] oder im Fall eines Unternehmens von bis zu [2% oder 4%] seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist“.

Wollte man Art. 83 Abs. 4, Abs. 5 und Abs. 6 DS-GVO anhand des funktionalen Unternehmensbegriffs bestimmen, wären die o.g. Vorschriften wie folgt zu lesen: „Bei Verstößen ... werden ... Geldbußen von bis zu [10 oder 20 Mio. EUR] oder im Fall eines Unternehmens von bis zu [2% oder 4%] des gesamten weltweit erzielten Jahresumsatzes der funktionalen Einheit des Unternehmens im vorangegangenen Geschäftsjahr verhängt, je nachdem, welcher der Beträge höher ist“. Selbst wenn ein Erwägungsgrund hier einen Verweis auf die kartellrechtliche Rechtsprechung des EuGH in wirksamer Weise anordnen könnte, bezöge sich die davon betroffene Regelung allein auf die Höhe der zu verhängenden Geldbuße. Der Wortlaut von Art. 83 DS-GVO und Erwägungsgrund 150 S. 3 DS-GVO gibt keinen Anlass dazu, von einem umfassenden Verweis auf kartellrechtliche Vorgaben auszugehen.

Vielmehr hat der europäische Gesetzgeber sehr wohl eine klare Regelung dazu getroffen, nach welchem Rechtssystem die Aufsichtsbehörden Geldbußen nach Art. 83 DS-GVO gegen Unternehmen verhängen müssen. Nach Art. 83 Abs. 8 DS-GVO muss die Verhängung von Geldbußen „angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren, unterliegen.“ Noch deutlicher kann man die Geltung der mitgliedstaatlichen Verfahrensordnungen kaum anordnen.

Verstoß gegen Effektivitätsgebot?

Die DSK vertritt die Auffassung, die nach dem deutschen Recht gebotene Notwendigkeit der Feststellung eines Leitungsverschuldens verletze das europarechtliche Effektivitätsgebot. Deshalb sei die Vorschrift des § 30 OWiG zur Verhängung von Geldbußen gegen juristische Personen und Personenvereinigungen bei Bußgeldern nach Art. 83 DS-GVO nicht anwendbar. Nach dem Wirksamkeitsgrundsatz (sog. effet utile) muss das nationale Recht eine hinreichend wirksame Umsetzung europarechtlicher Vorgaben gewährleisten. Gegen diesen Vorwurf der fehlenden Wirksamkeit spricht bereits die Bußgeldpraxis des BKartA bei Kartellverstößen und der Staatsanwaltschaften wegen Korruption oder Abgasangaben. Nach der Ansicht der DSK gewährleiste das deutsche Recht dennoch keine wirksame Umsetzung des Unionsrechts. Vielmehr würde es „zu einer erheblichen Einschränkung der Bußgeldverhängung gegen juristische Personen führen, wenn trotz Feststehens eines Datenschutzverstoßes die internen Verantwortlichkeiten von den Datenschutzaufsichtsbehörden aufzuklären wären. ... Hierdurch entstehen auf Seiten der deutschen Verwaltung und Ermittlungsbehörden ... enormer Aufwand und enorme Kosten“.

Weiterhin führt die DSK aus, dass schlimmstenfalls Sanktionslücken entstünden, „weil trotz enormen Entwicklungsaufwands eine Leitungsperson, der ein Vorwurf zu machen ist, nicht ermittelt werden kann, obschon ein Verstoß des Unternehmens anhand der übrigen Beweise ansonsten zweifelsfrei feststeht.“ Nachdem sich die Stellungnahme der DSK ausdrücklich auf die verhandelte Rs. C-807/21 vor dem EuGH bezieht, gibt diese Aussage Anlass zur Klarstellung. Denn in dem Ausgangsverfahren hatte das LG Berlin (ZD 2021, 270 mAnm von dem Bussche) gerade keine Beweise erhoben oder sonstige Tatsachenfeststellungen zu den dem Unternehmen zur Last gelegten Verstößen getroffen. Jedenfalls in dem dortigen Verfahren kann keine Rede davon sein, dass ein Verstoß gerichtlich festgestellt sei oder gar zweifelsfrei feststünde.

Das LG Berlin hatte die zuständige Behörde vielmehr in der Vorinstanz des Ausgangsverfahrens für das Vorlageverfahren zum EuGH kritisiert, dass sie trotz umfangreicher Ermittlungen gerade keine Untersuchung der unternehmensinternen Verantwortlichkeiten für die beanstandeten Verstöße durchgeführt hatte. „In diesem Falle dürfte es naheliegen, dass bereits eine Offenlegung der Organisationsstruktur im Unternehmen der Betroffenen zu einer Ermittlung von für die Datenverarbeitungsvorgänge verantwortlichen Personen geführt hätte und so möglicherweise etwa eine Aufsichtspflichtverletzung hätte dargelegt werden können. Vor diesem Hintergrund ist nicht ersichtlich, dass unter Beachtung der §§ 30, 130 OWiG keine wirksamen und abschreckenden Sanktionen verhängt werden können.“ Das LG Berlin bemängelte damit u.a., dass sich die zuständige Behörde nicht die Mühe gemacht hatte, die wenigen für den Nachweis eines Organisationsmangels oder einer sonstigen Aufsichtspflichtverletzung erforderlichen Tatsachen zu ermitteln. Denn anders als es die DSK unterstellt, fordert das deutsche Recht nämlich nur die Feststellung einer Aufsichtspflichtverletzung - und gerade keine umfassende Individualisierung des Täters der Anknüpfungstat oder der aufsichtspflichtigen Person.

Bebußung von Unternehmen setzt keine Identifikation einzelner Personen voraus

Nach § 30 Abs. 4 OWiG ist es für die Verhängung einer Geldbuße gegen ein Unternehmen nicht erforderlich, einzelne handelnde Personen zu identifizieren: „Ebenso ist zB die Festsetzung einer Geldbuße gegen eine juristische Person im selbstständigen Verfahren zulässig, wenn im Fall der Aufsichtspflichtverletzung nach § 130 nicht ermittelt werden kann, welche Leitungspersonen für die Aufsichtsmaßnahmen zuständig gewesen ist, und dies auf einen Organisationsmangel innerhalb der juristischen Person beruhte; dann liegt die Verletzung der Aufsichtspflicht schon im Organisationsmangel und dafür ist grundsätzlich jedes Mitglied des Organs verantwortlich“ (Göhler, OWiG, 18. Aufl., § 30 Rn. 40). Der BGH formuliert das so: „Die Verhängung einer Geldbuße gegen eine juristische Person oder Personenvereinigung hängt deshalb auch nicht davon ab, daß festgestellt wird, welcher von mehreren in Frage kommenden Verantwortlichen die Aufsichtspflicht nicht erfüllt hat“ (BGH Beschl. v. 8.2.1994 - KRB 25/93). Die hier vertretene Bewertung der deutschen Rechtslage hatten auch die Vertreter der Bundesrepublik Deutschland in der Verhandlung vor dem EuGH v. 17.1.2023 mit deutlichen Worten bestätigt.

Fazit

Die DSK geht in ihrer Stellungnahme an vielen Stellen von unzutreffenden Annahmen aus. Insbesondere stellt sie die Funktionsweise und die nach Ansicht der Datenschutzaufsichtsbehörden unzureichende Wirksamkeit von §§ 130, 30, 9 OWiG unzutreffend dar. Die DSK hat ihre Stellungnahme direkt im Anschluss an die mündliche Verhandlung vor der Großen Kammer des EuGH veröffentlicht. Somit bleiben dem Generalanwalt und den Richtern hinreichend Zeit, diese Stellungnahme zu studieren. Es bleibt zu hoffen, dass sie dabei insbesondere die Aussagen zur Auslegung von Art. 83 DS-GVO und der vermeintlichen Unwirksamkeit des deutschen Rechts genau prüfen werden.

Ausblick

Erfahrungsgemäß ist es schwer, Entscheidungen des EuGH oder auch nur ihren Zeitpunkt vorherzusagen. Mit einem Urteil der Großen Kammer dürfte nicht vor Herbst 2023 zu rechnen sein. Derzeit ist noch nicht absehbar, wie sich der EuGH zu der Frage der Bebußung von Unternehmen nach Art. 83 DS-GVO positionieren wird.

Aber auch wenn der EuGH der derzeitigen Bußgeldpraxis der deutschen Aufsichtsbehörden eine Absage erteilen sollte, würde dies voraussichtlich keine gravierenden Auswirkungen auf laufende Verfahren nach Art. 83 DS-GVO haben. Denn anders als man es nach der Lektüre der DSK-Stellungnahme vermuten könnte, sind die deutschen Aufsichtsbehörden sehr wohl in der Lage, Bescheide und Anhörungsschreiben in Ermittlungsverfahren so zu verfassen, dass sie den Anforderungen des deutschen Bußgeldrechts entsprechen. Bereits seit geraumer Zeit treffen die Aufsichtsbehörden in ihrer Bußgeldpraxis entsprechende Ausführungen zu Aufsichtspflichtverletzungen, Organisationsverschulden und Verstößen durch Leitungspersonen.

Gerade in vielen neueren Verfahren zeigt sich, dass es für die Aufsichtsbehörden in der Praxis nicht schwierig ist, Unternehmen Aufsichtspflichtverletzungen durch Leitungspersonen vorzuwerfen. Dennoch kritisiert die DSK-Stellungnahme, dass der entsprechende Nachweis „regelmäßig mit einem erheblichen Aufwand verbunden“ sei. Selbst wenn dies zuträfe, wäre es jedoch kein Anlass, bei der Verhängung von Bußgeldern nach Art. 83 DS-GVO auf die verfassungsrechtlich gebotenen Feststellungen zur tatsächlichen Begehung einer zu ahndenden Tat zu verzichten. Insofern sind die folgenden Worte des LG Berlin aus der Vorinstanz des Vorlageverfahrens ein gutes Fazit: „Die insoweit unzweideutige Entscheidung des Gesetzgebers findet einen guten Grund in den Grenzen der verfassungsmäßigen Ordnung. Denn Hintergrund des Erfordernisses der Anknüpfung an die Handlung einer natürlichen Person ist das aus dem Rechtsstaatsprinzip des Art. 20 Abs. 3 GG, aus Art. 103 Abs. 2 GG, der allgemeinen Handlungsfreiheit des Art. 2 Abs. 1 GG sowie der Menschenwürde in Art. 1 Abs. 1 GG folgende Schuldprinzip“ (ZD 2021, 270 Rn. 19 mAnm von dem Bussche).