Tim Wybitul ist Rechtanwalt und Partner bei Latham & Watkins in Frankfurt/M. sowie Mitherausgeber der ZD. Der Autor war als Parteivertreter am vorliegenden Verfahren beteiligt.
ZD-Aktuell 2023, 01466 Der EuGH hat am 5.12.2023 – C-807/21 (ZD wird die Entscheidung demnächst veröffentlichen) eine für die Praxis wichtige Entscheidung darüber getroffen, unter welchen Voraussetzungen Datenschutzbehörden Geldbußen bei Nichtbefolgung der DS-GVO verhängen können. Die Behörden forderten Erleichterungen bei der Verhängung von Bußgeldern wegen Datenschutzverstößen gegen Unternehmen. Sie wollten die Anforderungen des nationalen Prozessrechts an die Sanktionierung von juristischen Personen nicht erfüllen. Stattdessen leiteten sie aus einer Analogie zum Wettbewerbsrecht der EU aus Art. 83 DS-GVO ein „supranationales Sanktionsregime“ ab. Diese Analogie sollte eine verschuldensunabhängige Unternehmenshaftung begründen und den Datenschutzbehörden so erhebliche Aufwände bei der Feststellung von Tatnachweisen ersparen. Der vorliegende Überblick zeigt die Forderungen der Datenschutzbehörden, die vom EuGH entschiedenen Fragen und beschreibt die konkreten Auswirkungen der Entscheidung für die Praxis.
I. Ausgangslage: Bisheriges Verfahren bis zum Urteil des EuGH
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hatte vor gut drei Jahren am 30.10.2019 als Abschluss eines seit 2017 laufenden Verfahrens einen Bußgeldbescheid über etwa 14,5 Mio. EUR gegen ein Berliner Immobilienunternehmen verhängt (s. PM der BlnBDI).
1. Bußgeldbescheid der Datenschutzbehörde wegen zu spätem Löschen von Daten
Nach Ansicht der BlnBDI habe das Unternehmen archivierte Daten von Mietern zu spät gelöscht. Art. 17 DS-GVO sieht im Wesentlichen vor, dass personenbezogene Daten dann zu löschen sind, wenn sie für die Zwecke nicht mehr notwendig sind, für die sie verarbeitet werden. Die BlnBDI beanstandete etwa die Speicherung von Angaben zur Bonität von Mietern, zum Bestehen eines Arbeitsverhältnisses, zu Vormietverhältnissen oder Identifikationsnachweise. Nach Ansicht der Behörde entfalteten solche Daten bereits unmittelbar nach Abschluss des Mietverhältnisses keine Aussagekraft mehr, die noch zur Durchführung des Mietverhältnisses beitragen könnten. Daher seien sie unverzüglich zu löschen.
Zudem sei eine Festlegung von generellen Speicherfristen für Mieterakten unzulässig. Vielmehr müsse jeder einzelne Informationstyp individuell kategorisiert und in einem eigens eingerichteten Speichersystem mit einer spezifischen Löschfrist versehen werden.
Das Unternehmen hatte zwar umfassende Maßnahmen ergriffen, um die Rechtsauffassung der BlnBDI möglichst umzusetzen. Die Behörde selbst stellte in einer Pressemeldung fest, dass das Unternehmen gut mit der Aufsichtsbehörde zusammengearbeitet habe. Es gab auch keine missbräuchlichen Zugriffe auf die in Frage stehenden Daten. Zudem räumte die BlnBDI selbst ein, dass das betroffene Unternehmen bereits im Jahr 2018 2 Mio. EUR für die von der Behörde geforderte Kategorisierung aufgewendet hatte, diesen Betrag erachtete die BlnBDI jedoch als zu gering. Daher sei die Verhängung eines hohen Bußgelds unerlässlich.
2. Entscheidung des LG Berlin
Das Unternehmen legte gegen den Bescheid der BlnBDI Einspruch ein, um die Rechtsauffassung der BlnBDI gerichtlich überprüfen zu lassen. Das LG Berlin stellte das Bußgeldverfahren wegen schwerwiegender Verfahrensmängel als Verfahrenshindernis am 18.10.2021 ein, § 206a StPO iVm §§ 46, 71 OWiG. Das LG stellte in seinem Beschluss fest, der Bußgeldbescheid der BlnBDI v. 30.10.2019 leide „unter derart gravierenden Mängeln, dass er nicht Grundlage des Verfahrens sein kann“ (LG Berlin ZD 2021, 270 mAnm von dem Bussche).
Das LG Berlin beanstandete gleich eine Reihe rechtlicher Schwachpunkte des von der BlnBDI verhängten Bußgeldbescheids. Die Behörde hatte die Geldbuße direkt gegen das Unternehmen verhängt, ohne hinreichende Feststellungen zu der dem Unternehmen oder seinen Leitungspersonen zur Last gelegten Tat zu treffen: „Der Bußgeldbescheid erging daher in einem Verfahren, das im Gesetz über Ordnungswidrigkeiten nicht vorgesehen und daher nicht zulässig ist. Der Bescheid ist deshalb unwirksam“ (LG Berlin ZD 2021, 270 mAnm von dem Bussche).
Zwar ermöglicht das deutsche Bußgeldrecht eine unmittelbare Sanktionierung von Unternehmen als Nebenbeteiligte nach § 30 Abs. 4 OWiG. Dies setzt aber ein vorwerfbares Handeln eines Mitglieds der Unternehmensleitung voraus, etwa in Form einer Aufsichtspflichtverletzung, vgl. §§ 30, 130, 9 OWiG. Zudem muss die dem Unternehmen zuzurechnende Tat die zur Last gelegte Tathandlung zumindest in Grundzügen umreißen, § 66 OWiG. Das LG Berlin hielt die Regelung der Zurechnung von durch natürliche Personen begangenen Verstößen auch bei der Art. 83 DS-GVO für erforderlich, da die juristische Person selbst nicht handele, ihre Organe und Vertreter täten dies für sie, vgl. §§ 30, 130, 9 OWiG. Der fragliche Bußgeldbescheid erfüllte diese rechtstaatlichen Anforderungen nicht: „Voraussetzung für die Festsetzung einer Geldbuße gegen eine juristische Person im selbstständigen Verfahren gem. § 30 Absatz 4 OWiG ist, … dass eines ihrer Organe eine Ordnungswidrigkeit begangen hat, die der juristischen Person zuzurechnen ist. Der Bußgeldbescheid, der im gerichtlichen Verfahren anstelle des Anklagesatzes tritt, begrenzt nach Person und Sache den Prozessgegenstand. Aus ihm muss sich die tatsächlich und rechtlich näher bezeichnete Beschuldigung ergeben (vgl. § 66 OWiG). Der Bußgeldbescheid v. 30.10.2019 erfüllt diese Abgrenzungsfunktion nicht. Der Tatvorwurf ist nicht bestimmt. Es fehlt etwa die Angabe von Tatzeit und -ort sowie des Organmitgliedes, das schuldhaft und der Betroffenen zurechenbar die Einrichtung eines den datenschutzrechtlichen Anforderungen genügenden EDV-Systems unterlassen oder aber eine rechtzeitige Löschung relevanter Daten nicht veranlasst haben soll. Der Bescheid enthält … auch sonst keine Angaben zur konkreten Tathandlung selbst oder ihrer Unterlassung. Ihm lässt sich nicht entnehmen, worauf ein Vorwurf, die datenschutzrechtlichen Anforderungen seien nicht eingehalten worden, gestützt wird“ (LG Berlin ZD 2021, 270 Rn. 31 f. mAnm von dem Bussche).
Eine Hauptverhandlung, eine Beweisaufnahme oder eine gerichtliche Bewertung der Rechtsansichten der BlnBDI über mögliche Löschfristen fanden iRd Einstellung auf Grund der festgestellten gravierenden Verfahrensmängel nicht statt.
3. KG legt dem EuGH europarechtliche Fragen vor
Die StA Berlin hat gegen den Beschluss des LG Berlin im Einvernehmen mit der BlnBDI sofortige Beschwerde zum KG eingelegt. Daraufhin musste das KG die Einstellung des Verfahrens durch das LG überprüfen. Wenn eine Entscheidung von der Auslegung von Unionsrecht abhängt, muss ein in letzter Instanz tätiges nationales Gericht diese entscheidungserheblichen Auslegungsfragen nach Art. 267 AEUV grundsätzlich dem EuGH vorlegen. Da es in dem Verfahren um die Auslegung von Art. 83 DS-GVO und anderen unionsrechtlichen Vorschriften ging, legte das KG dem EuGH folgende Fragen zur Vorabentscheidung vor:
„1. Ist Art. 83 Abs. 4 bis Abs. 6 DS-GVO dahin auszulegen, dass er den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zu Grunde liegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf?
2. Wenn die Frage zu 1. bejaht werden sollte: Ist Art. 83 Abs. 4 bis Abs. 6 DS-GVO dahin auszulegen, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss (vgl. Art. 23 VO (EG) Nr. 1/2003 des Rates v. 16.12.2002 zur Durchführung der in den Art. 81 und 82 des Vertrags niedergelegten Wettbewerbsregeln), oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus (‚strict liability‘)?“ (KG ZD 2022, 156 mAnm Petri)
Leider hat das KG seine Fragen an den EuGH in einer recht komplizierten Weise verfasst. Daher werden die Vorlagefragen des KG nachstehend im Kontext des deutschen und des europäischen Rechts eingeordnet.
Die erste Vorlagefrage des KG lässt sich in zwei Teilfragen aufgliedern. Zunächst fragen die Berliner Richter den EuGH sinngemäß, ob bei Bußgeldern nach Art. 83 DS-GVO das deutsche Prozessrecht gelten soll oder stattdessen eine Analogie zur Rspr. des EuGH zu Art. 101 und 102 AEUV und der daraus abgeleiteten kartellrechtlichen Funktionsträgerhaftung von Unternehmen in Betracht kommt. Im Anschluss wirft das KG die Frage auf, welche Tatfeststellungen und entsprechenden Tatnachweise im Rahmen einer solchen Analogie nötig wären.
Sollte der EuGH die Forderung der Datenschutzbehörden nach einer solchen strafbegründenden Analogie und nach umfassenden Absenkungen der notwendigen Tatfeststellungen bzw. Tatnachweise ablehnen, müsste das KG die Entscheidung des LG Berlin bestätigen. Es bliebe dann bei der bereits entschiedenen Einstellung des vorliegenden Bußgeldverfahrens.
Die zweite Vorlagefrage geht noch einen Schritt weiter. Für den Fall, dass der EuGH eine solche Analogie bejahen sollte, fragt das KG, ob Unternehmen ausschließlich von Mitarbeitern schuldhaft begangene Verstöße zugerechnet werden können oder ob für eine Geldbuße bereits ein dem Unternehmen zuzuordnender objektiver Pflichtverstoß ausreichen soll. Die deutschen Datenschutzbehörden fordern eine solche verschuldensunabhängige Unternehmenshaftung für Bußgelder in Form einer sog. strict liability.
Sollte der EuGH der Forderung der Datenschutzbehörden nach einer verschuldensunabhängigen Bußgeldhaftung für Unternehmen und den daraus resultierenden geringeren Anforderungen an die Bestimmung der Tat nicht nachkommen, bliebe es ebenfalls dabei, dass das KG die Entscheidung des LG, das Verfahren einzustellen, bestätigen müsste. Denn ohne eine solche „strict liability“ blieben die vorstehend bereits angesprochenen Kritikpunkte des LG an der fehlenden Bestimmtheit des Tatvorwurfs unausgeräumt. „Der Tatvorwurf ist nicht bestimmt. Es fehlt etwa die Angabe von Tatzeit und -ort sowie des Organmitgliedes, das schuldhaft und der Betroffenen zurechenbar die Einrichtung eines den datenschutzrechtlichen Anforderungen genügenden EDV-Systems unterlassen oder aber eine rechtzeitige Löschung relevanter Daten nicht veranlasst haben soll“ (LG Berlin ZD 2021, 270 Rn. 32 mAnm von dem Bussche). Es bliebe damit bei einer Verfahrenseinstellung wegen des oben näher beschriebenen Verstoßes gegen § 66 OWiG.
II. Verfahren vor dem EuGH
Am 17.1.2023 fand die mündliche Verhandlung vor der Großen Kammer des EuGH statt, am 27.4.2023 stellte der GA seine Schlussanträge, das Urteil wurde am 5.12.2023 verkündet.
1. Generalanwalt hält eine Analogie für möglich, lehnt „strict liability“ aber ab
Der EuGH ist an die Schlussanträge seiner Generalanwälte (GA) nicht gebunden. In der ganz überwiegenden Anzahl folgt er aber deren Entscheidungsvorschlägen. Häufig nehmen die Entscheidungen der Richter dann auch Bezug auf die Schlussanträge. Daher haben die Schlussanträge der Generalanwälte oft erhebliche Bedeutung.
Nach Ansicht des für das vorliegende Verfahren zuständigen GA Manuel Campos Sanchez-Bordona können Unternehmen taugliche Täter oder jedenfalls Sanktionsadressaten eines Verstoßes nach Art. 83 DS-GVO sein. Eine Analogie zum EU-Wettbewerbsrecht bei der Zurechnung von Verstößen gegen die DS-GVO hält er grundsätzlich für möglich, sofern und soweit deutsche Gerichte zu dem Ergebnis gelangen sollten, dass das deutsche Prozessrecht nicht ausreichend sei, um die DS-GVO wirksam umzusetzen. Unternehmen könnten dann nach Ansicht des GA auch durch Mitarbeiter unterhalb der Leitungsebene begangene Verstöße gegen die DS-GVO zugerechnet werden, sofern diese Verstöße auf einem Auswahl- oder Überwachungsverschulden der Unternehmensleitung beruhten.
In jedem Fall müsse ein Verstoß gegen Datenschutzvorschriften die darauf bezogene Aufsichtspflichtverletzung schuldhaft begangen werden, also fahrlässig oder vorsätzlich. Der Vorwurf einer rein objektiven Pflichtverletzung reiche – entgegen der Auffassung der Datenschutzbehörden – nicht aus. Nach der Ansicht des GA ist eine verschuldensunabhängigen Haftung in Form einer „strict liability“ demnach unzulässig.
Diese Ansicht wird auch in der Rs. C-683/21 von dem dort zuständigen GA Nicholas Emiliou zu Vorlagefragen des litauischen Verwaltungsgerichts vertreten (vgl. umfassend zu den Schlussanträgen in beiden Verfahren Wybitul/Klaas ZD 2023, 498.).
2. Urteil des EuGH
Der EuGH hat die Vorlagefragen des KG nun beantwortet. In den wesentlichen Fragen folgt der EuGH dem GA. Der EuGH erteilt der Forderung der Datenschutzbehörden nach einer verschuldensunabhängigen Haftung und nach einem „supranationalen Sanktionsregime“ eine klare Absage. Auch in Bezug auf die Annahme, dass deutsche Prozessrecht erlaube keine hinreichend wirksame Sanktionierung von Unternehmen, äußert sich der EuGH zurückhaltend.
IRd Darstellung des Ausgangsverfahrens stellt der EuGH zunächst klar, die deutsche Regierung erhebliche Zweifel an der Auslegung des deutschen Rechts durch das vorlegende KG geäußert hatte. Die Vertreter der Bundesrepublik hatten darauf hingewiesen, dass § 130 OWiG sehr wohl erlaube, auch über die in § 30 OWiG erfassten Fälle Geldbußen gegen juristische Personen zu verhängen. Entgegen der Ausführungen des KG sei es nach diesen Bestimmungen sehr wohl möglich, eine sog. „anonyme“ Geldbußen einem Verfahren gegen Unternehmen festzusetzen, ohne dass eine natürliche Person als Täter des fraglichen Verstoßes identifiziert werden müsse (Rn. 33).
Gerade diese Annahme war aber der Ausgangspunkt für die von den Datenschutzbehörden geforderte Analogie zum EU-Kartellrecht (Rn. 35). Das KG formulierte dies wie folgt: „Normadressat dieser Bestimmung sei nämlich der Inhaber eines Betriebs oder Unternehmens, der eine Aufsichtspflicht schuldhaft verletzt haben müsse. Der Nachweis einer solchen dem Unternehmensinhaber zur Last fallenden Pflichtverletzung sei jedoch überaus komplex und häufig unmöglich.“
Hierzu sollte man wissen, dass § 30 Abs. 4 OWiG eine selbstständige Sanktionierung von Unternehmen erlaubt. Zudem muss der Täter einer Anknüpfungstat nach § 130 OWiG gerade nicht ermittelt werden. Es reicht die Feststellung, dass eine solche Anknüpfungstat mit Unternehmensbezug begangen worden. Wenig überraschend hat der EuGH in seinem Urteil die den Wertungen des KG zu Grunde liegende Frage der fehlenden Wirksamkeit des deutschen Rechts nicht beantwortet. Nach Art. 267 AEUV ist es ja auch nicht Aufgabe des EuGH, zu klären, ob das deutsche Prozessrecht zur Sanktionierung von Unternehmen hinreichend wirksam ist, um Art. 83 DS-GVO auf nationaler Ebene umzusetzen. Derartige Fragen dürften allein die zuständigen nationalen Gerichte beantworten (Rn. 36): „Daher ist bei der Beantwortung der ersten Vorlagefrage die Annahme zu Grunde zu legen, dass nach dem anwendbaren nationalen Recht eine Geldbuße wegen eines Verstoßes gem. Art. 83 Abs. 4 bis 6 DS-GVO gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur unter den in § 30 OWiG bestimmten Voraussetzungen, wie sie das vorlegende Gericht dargelegt hat, verhängt werden kann.“
Damit stellen die Luxemburger Richter klar, dass die nachfolgenden Erwägungen (ab Rn. 38) allein für den Fall gelten, dass das deutsche Recht keine hinreichend wirksame Sanktionierung von Unternehmen ermöglichen würde. Dies wird auch in der Beantwortung der zweiten Vorlagefrage deutlich. Dort skizziert der EuGH gerade kein supranationales EU-weit geltendes Sanktionssystem. Vielmehr urteilt er, dass Vorschriften der DS-GVO „einer nationalen Regelung entgegenstehen, wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DS-GVO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde.“
Der EuGH macht damit Vorgaben dafür, unter welchen Voraussetzungen eine nationale Regelung keine Anwendung finden dürfte. Nicht anwendbar wäre eine Regelung, nach der die Verhängung von Bußgeldern gegen juristische Personen voraussetzt, dass dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde. Wie bereits angesprochen, sieht das deutsche OWiG eine solche Regelung nicht vor. Mit ihrer Entscheidung spielen die Luxemburger Richter den Ball zurück zum KG. Dieses muss nun entscheiden, ob es zwischen der Wirkweise des deutschen Rechts und den entsprechenden Vorgaben des EuGH tatsächlich Unterschiede gibt.
Noch wichtiger sind die Aussagen des EuGH zur Ablehnung der von den Datenschutzbehörden geforderten verschuldensunabhängigen Unternehmenshaftung bei DS-GVO-Bußgeldern („strict liability“). Die Behörde muss nachweisen, dass ein Verstoß vorsätzlich oder fahrlässig begangen wurde. Eine verschuldensunabhängige Haftung kommt nicht in Betracht, vgl. Rn. 75: „Demnach ist festzustellen, dass Art. 83 DS-GVO es nicht gestattet, eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DS-GVO genannten Verstoßes zu verhängen, ohne dass nachgewiesen ist, dass dieser Verstoß von dem Verantwortlichen vorsätzlich oder fahrlässig begangen wurde. Folglich ist Voraussetzung für die Verhängung einer solchen Geldbuße, dass der Verstoß schuldhaft begangen wurde.“
Für das vorliegende Verfahren ist diese Forderung eines Nachweises von schuldhaftem Verhalten wichtig. Wie bereits angesprochen, hatte das LG Berlin ja gerade die fehlenden Tatfeststellungen nach § 66 OWiG gerügt.
3. Wie geht es nach der Entscheidung des EuGH weiter?
Das Urteil des EuGH gibt nicht nur für das vorliegende Verfahren entscheidende Antworten. Es wird hat auch für die Bußgeldpraxis deutscher und anderer europäischer Datenschutzbehörden erhebliche Folgen haben. Hätte der EuGH zB der Forderung der deutschen Datenschutzbehörden nach einem „supranationalen Sanktionssystem“ entsprochen, hätte dies erhebliche Folgen für die Verhängung von Geldbußen nach Art. 83 DS-GVO gegen Unternehmen in der gesamten EU gehabt.
Nach der Entscheidung des EuGH bleiben nun auch deutsche Datenschutzbehörden an das Rechtstaats- und das Schuldprinzip gebunden und könnten gegen Unternehmen keine Bußgelder ohne einen Nachweis von fehlerhaftem bzw. schuldhaftem Verhalten verhängen.
III. Weiterer Ablauf des vorliegenden Verfahrens
Nachdem der EuGH die Vorlagefragen des KG beantwortet hat, ist nun wieder das KG am Zug. Der 3. Bußgeldsenat des KG muss anhand der Vorgaben des EuGH entscheiden, ob er die Entscheidung des LG Berlin bestätigt oder dessen Beschluss zur Einstellung des Bußgeldverfahrens aufhebt.
Da der EuGH die Forderung nach verschuldensunabhängigen Bußgeldern ablehnt, müsste das KG die Entscheidung des LG bestätigen. Denn die BlnBDI hatte in dem fraglichen Bußgeldbescheid unter der Annahme einer „strict liability“ gerade keine Feststellungen zu einer schuldhaft begangenen Tat gemacht. Das LG Berlin hatte dies in seinem Beschluss wie folgt ausgeführt: „Der Bescheid enthält – mit Blick auf die Rechtsauffassung der Behörde konsequent – auch sonst keine Angaben zur konkreten Tathandlung selbst oder ihrer Unterlassung. Ihm lässt sich nicht entnehmen, worauf ein Vorwurf, die datenschutzrechtlichen Anforderungen seien nicht eingehalten worden, gestützt wird. Dies wäre aber umso mehr erforderlich, als – wie aus der Akte ersichtlich ist – die Behörde zu den Vorwürfen bei der Betroffenen Ermittlungen geführt hat und über einen längeren Zeitraum mit dieser über die gegenständlichen Vorwürfe in Kontakt stand, sich etwa schriftlich und in persönlichen Gesprächen Fragen von Mitarbeitern des Unternehmens beantworten ließ. Insoweit wären Ausführungen dazu möglich und notwendig gewesen, aus welchen Umständen die Behörde eine Verantwortlichkeit der Betroffenen herleiten möchte. Der Bußgeldbescheid enthält gleichwohl keinen konkreten Tatvorwurf gegen ein Organ der juristischen Person. Dieser Mangel kann auch nicht mehr gem. §§ 71 Abs. 1 OWiG, 265 StPO durch einen Hinweis des Gerichts behoben werden. Auch bei Umdeutung des Bußgeldbescheids in einen selbstständigen Bescheid nach § 30 Abs. 4 OWiG müsste deshalb das Verfahren wegen eines Verfahrenshindernisses eingestellt werden“ (LG Berlin ZD 2021, 270 Rn. 32 mAnm von dem Bussche).
Sollte das KG den Beschluss des LG Berlin zur Einstellung des Bußgeldverfahrens dennoch aufheben, ginge das Verfahren in der ersten Instanz vor dem LG Berlin weiter. Dann müsste das LG auf der Grundlage der Vorgaben des EuGH prüfen, ob es hinreichende Tatsachenfeststellungen für konkrete Verstöße gegen Vorgaben der DS-GVO erkennt und zudem den sehr strengen Rechtsansichten der BlnBDI zu Löschpflichten und weiteren datenschutzrechtlichen Anforderungen folgt.
In diesem Fall dürfte es erneut zu einer zweitinstanzlichen Entscheidung durch das KG kommen. Da viele der dem Bußgeldbescheid zu Grunde liegenden Rechtsfragen bislang noch nicht vom EuGH entschieden wurden, muss das KG diese Fragen nach Art. 267 AUEV erneut dem EuGH vorlegen.
Sollte sich das LG Berlin auf der Basis der weiteren Vorgaben des EuGH dann zu einem Schuldspruch entscheiden, bleibt abzuwarten, ob dieser der in dem zu erwartenden Rechtsbeschwerdeverfahren vom KG bestätigt würde. In diesem Fall spräche Vieles dafür, dass sich das BVerfG noch einmal mit dem Fall beschäftigen wird. Denn das LG Berlin hatte zu Recht festgestellt, dass die Forderungen der Datenschutzbehörden nach einer Analogie zum EU-Kartellrecht oder einer „strict liability“ nicht mit dem deutschen Verfassungsrecht vereinbar sind. Denn Hintergrund des Erfordernisses der Anknüpfung an die Handlung einer natürlichen Person ist das aus dem Rechtsstaatsprinzip des Art. 20 Abs. 3 GG, aus Art. 103 Abs. 2 GG, der allgemeinen Handlungsfreiheit des Art. 2 Abs. 1 GG sowie der Menschenwürde in Art. 1 Abs. 1 GG folgende Schuldprinzip. Ohne eine Anknüpfung an eine schuldhafte Handlung ist ein staatlicher Strafausspruch nicht möglich. Wobei jede Strafe, nicht nur die Strafe für kriminelles, sondern auch die strafähnliche Sanktion für sonstiges Unrecht, die Elemente von Repression und Vergeltung beinhaltet, die ein Übel wegen eines rechtswidrigen Verhaltens verhängt, dem Schuldprinzip unterliegt (BVerfG Beschl. v. 25.10.1966 – 2 BvR 506/63; Urt. v. 30.6.1976 – 2 BvR 435/76; Beschl. v. 14.7.1981 – 1 BvR 575/80). Dieses gilt daher auch im Ordnungswidrigkeitenrecht“ (LG Berlin ZD 2021, 270 Rn. 21 mAnm von dem Bussche).
Das vom LG Berlin zur Begründung seiner Entscheidung angeführte Rechtsstaatsprinzip zählt zu den sog. integrationsfesten Prinzipien. Es dürfte daher je nach dem weiteren Verlauf des Verfahrens spannend werden, wie das BVerfG ein supranationales Sanktionssystem beurteilt, das gegen das Schuldprinzip verstößt. Klar ist jedenfalls, dass mit der aktuellen Entscheidung des EuGH in dem vorliegenden Verfahren das letzte Wort noch lange nicht gesprochen ist.
IV. Folgen der Entscheidung für die Praxis
Die Entscheidung des EuGH wird für die Bußgeldpraxis der deutschen und europäischen Datenschutzbehörden erhebliche Folgen haben. Obwohl diese Frage im vorliegenden Verfahren nicht maßgeblich war, erhält der EuGH eine Berechnung des Bußgeldrahmens auf der Basis des Konzernumsatzes (oder präziser, des Umsatzes der wirtschaftlichen Einheit im kartellrechtlichen Sinne) für zulässig. Den Forderungen nach einem supranationalen Sanktionssystem oder einer verschuldensunabhängigen Unternehmenshaftung erteilen die Luxemburger Richter erfreulicherweise eine Absage. Damit können sich Unternehmen weiterhin gegen nicht nachgewiesene Tatvorwürfe zur Wehr setzen.
Weiterführende Links
Vgl. zu den neuesten Entwicklungen und Hintergründe aus der Bußgeldpraxis die Beilage zu ZD 8/2023: Klaas/Wybitul ZD 2023, 477-516 und Heckmann MMR 2023, 816.