Tim Wybitul /Ass. iur. Johannes Zhou
ZD 2024, 301 Das Zusammenspiel von Europarecht und nationalem Recht ist komplex. Das zeigt sich besonders deutlich an einigen bislang zu Art. 83 DS-GVO ergangenen Entscheidungen des EuGH sowie nationaler Gerichte. Hinzu kommt nun ein Vorschlag des Bundesrats, der die Vorgaben der Rechtsprechung durch eine Ergänzung des § 41 BDSG gesetzlich umsetzen möchte, „um Missverständnisse zu vermeiden“ (BR-Drs. 72/24 (B), 13). Bei genauerer Betrachtung zeigt sich aber, dass der Bundesrat hierbei selbst einem Missverständnis unterliegt.
1. Verhängung von Geldbußen wegen Verstößen gegen die DS-GVO
Zentrale Vorschrift für die Verhängung von Geldbußen wegen Datenschutzverstößen durch die Datenschutzbehörden der EU-Mitgliedstaaten ist Art. 83 DS-GVO. Dessen Absatz 5 sieht einen maximalen Bußgeldrahmen von bis zu 20 Mio. EUR bzw. 4% des weltweit erzielten Jahresumsatzes vor. Daneben spielt § 41 BDSG eine wichtige Rolle, der Art. 83 DS-GVO auf nationaler Ebene ergänzt und für Bußgeldverfahren nach der DS-GVO im Wesentlichen auf die nationalen Vorschriften des OWiG verweist. Dies ergibt sich aus dem Grundsatz der Verfahrensautonomie der Mitgliedstaaten. Hierzu verweist Art. 83 Abs. 8 DS-GVO auf angemessene Verfahrensgarantien nach dem Unionsrecht sowie dem Recht der Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren. Umstritten ist in diesem Zusammenhang, ob bei der Verhängung von DS-GVO-Geldbußen gegen Unternehmen § 30 OWiG („Geldbuße gegen juristische Personen und Personenvereinigungen“) sowie § 130 OWiG („Verletzung der Aufsichtspflicht in Betrieben und Unternehmen“) Anwendung finden. § 41 BDSG nimmt die beiden Vorschriften in seiner seit 2018 geltenden Fassung nicht aus.
2. Bisherige Rechtsprechung
Das vom Bundesrat in seinem Gesetzesvorschlag zugrunde gelegte Verfahren begann damit, dass die Berliner Datenschutzbehörde im Jahr 2019 eine Geldbuße von rd. 14,5 Mio. EUR gegen ein Unternehmen verhängte. Die Behörde warf dem Unternehmen vor, personenbezogene Daten zu lange gespeichert zu haben.
a) Aufhebung des Bußgeldbescheids durch das LG Berlin
Nachdem das Unternehmen Einspruch gegen den Bußgeldbescheid eingelegt hatte, stellte das LG Berlin das Verfahren zunächst ein. Der Bescheid leide „unter derart gravierenden Mängeln, dass er nicht Grundlage des Verfahrens sein kann“ (LG Berlin ZD 2021, 270 Rn. 8 mAnm v. d. Bussche). Insbesondere habe es in Bezug auf die dem Unternehmen oder seinen Leitungspersonen zur Last gelegte Tat an den erforderlichen Tatsachenfeststellungen gefehlt (s. Wybitul ZD-Aktuell 2023, 01466).
b) Vorlage des KG und Forderung der DSK
Im weiteren Verfahren legte das KG dem EuGH im Wege eines Vorabentscheidungsersuchens grundsätzliche Fragen zu den Voraussetzungen der Verhängung von DS-GVO-Geldbußen gegen juristische Personen vor. Hierbei gab jedoch das KG das nationale Recht nur unzureichend wieder, indem es § 130 OWiG iRd Vorlage unterschlug (hierzu Brink NJW 2023, 2548 (2550)). Kurz nach der Vorlage des KG veröffentlichte die DSK am 5.1.2023 eine Stellungnahme, in der sie in Bezug auf Geldbußen nach Art. 83 DS-GVO eine „strict liability“ forderte. Danach solle bereits ein dem Unternehmen zuzuordnender objektiver Pflichtenverstoß für die Bebußung genügen (hierzu Wybitul ZD 2023, 187).
c) Vorgaben des EuGH
Der EuGH erteilte mit seiner Entscheidung v. 5.12.2023 - C-807/21 (ZD 2024, 203 mAnm v. d. Bussche) der von der DSK geforderten „strict liability“ eine klare Absage. Geldbußen könnten nur dann gegen juristische Personen verhängt werden, „wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4-6 DS-GVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat.“ Darüber hinaus stellte der EuGH fest, dass für die Verhängung einer Geldbuße die Identifizierung einer natürlichen Person nicht erforderlich sei (EuGH ZD 2024, 203 Rn. 60, 78 mAnm v. d. Bussche).
Nicht mehr und nicht weniger hat der EuGH entschieden (s.a. zu den vom EuGH gesetzten Rahmenbedingungen Wybitul/Brink ZD 2024, 137; aA Roßnagel/Rost ZD 2024, 183).
IÜ sah sich der EuGH hinsichtlich § 130 OWiG dazu veranlasst, anzumerken, dass er an die Darstellung des nationalen Rechts durch das vorlegende Gericht gebunden sei. Im Verfahren wies etwa auch die Bundesrepublik Deutschland darauf hin, dass das nationale Recht entgegen der Darstellung des KG nach den §§ 130, 30 OWiG sehr wohl die Möglichkeit vorsehe, „anonyme“ Geldbußen gegen Unternehmen festzusetzen, ohne dass eine natürliche Person als Täter des fraglichen Verstoßes identifiziert werden müsse (EuGH BeckRS 2023, 34616 Rn. 33 ff. = ZD 2024, 203 (gekürzt) mAnm v. d. Bussche).
d) Anwendung der Vorgaben auf das nationale Recht
Mit Beschluss v. 22.1.2024 wandte das KG die Vorgaben des EuGH auf das nationale Recht an. Das KG ist der Ansicht, Unternehmen seien iRd DS-GVO per se schuldfähig. Für eine Verbandshaftung seien „weder das Verschulden eines Repräsentanten (§ 30 OWiG) noch eine Aufsichtspflichtverletzung (§ 130 OWiG)“ erforderlich (KG Beschl. v. 22.1.2024 - 3 Ws 250/21 - 161 AR 84/21).
Diese Anwendung der Vorgaben des EuGH durch das KG auf das nationale Recht überrascht gerade deshalb, weil der EuGH klargestellt hat, dass Vorsatz oder Fahrlässigkeit, dh Verschulden, nachgewiesen werden muss. Darüber hinaus verkennt das KG, dass die §§ 130, 30, 9 OWiG bereits nach geltender Rechtslage keine Identifizierung einer natürlichen Person erfordern. § 130 OWiG knüpft an die Aufsichtspflichtverletzung von Leitungspersonen eines Unternehmens an. Verstößt die Unternehmensleitung gegen die ihr obliegenden Aufsichtspflichten, wird dem Unternehmen der Aufsichtspflichtverstoß nach § 30 Abs. 1 OWiG zugerechnet. Das letzte Puzzlestück bildet § 30 Abs. 4 OWiG, der die Verhängung selbstständiger Verbandssanktionen gegen Unternehmen ermöglicht. Hierfür muss eine Behörde weder den konkret handelnden Mitarbeitern noch eine bestimmte Leitungsperson identifizieren (hierzu Wybitul/Brink ZD 2024, 137 (140 f.); aA Roßnagel/Rost ZD 2024, 183).
Darüber hinaus vertritt das KG die Ansicht, dass „selbst eine normentsprechende Organisation ... - jedenfalls in aller Regel - nicht zur Exkulpation [führt].“ (KG Beschl. v. 22.1.2024 - 3 Ws 250/21 - 161 AR 84/21 Rn. 14). Dies folge aus dem Effektivitätsgrundsatz. Eine Aussage, die erstaunt. Denn nach der Aufgabenverteilung zwischen EuGH und nationalen Gerichten kann ein nationales Gericht das nationale Prozessrecht zwar unangewendet lassen, wenn dessen Anwendung gegen den Effektivitäts- oder Äquivalenzgrundsatz verstoßen würde. Das nationale Gericht muss dann aber die Frage der ggf. fehlenden Wirksamkeit des nationalen Rechts prüfen und angemessen (empirisch und rechtlich!) begründen. Eine bloß floskelhafte Bezugnahme auf den Effektivitätsgrundsatz erfüllt diese Vorgabe jedoch nicht. Das KG unterstellt lediglich die fehlende Effektivität und lässt jede Begründung oder anderweitigen Nachweis vermissen. Diese Vorgehensweise ist auch deshalb sehr überraschend, weil der BGH bislang keinerlei Zweifel an einer hinreichenden Wirksamkeit der §§ 30, 130 OWiG zu erkennen gegeben hat.
3. Vorschlag des Bundesrats zur Änderung des § 41 BDSG
Die Rechtsprechung zu Art. 83 DS-GVO hat nun auch den Gesetzgeber erreicht. IRe Stellungnahme zum Regierungsentwurf hinsichtlich einer BDSG-Novelle machte der Bundesrat einen Vorschlag, wonach § 41 BDSG um zwei Sätze ergänzt werden soll (BR-Drs. 72/24 (B), 13). Die vorgeschlagenen Ergänzungen lauten wie folgt:
„§ 41 wird wie folgt geändert:
a) In Absatz 1 wird nach Satz 2 folgender Satz eingefügt: ,Ein Bußgeld kann in den Fällen des § 30 des Gesetzes über Ordnungswidrigkeiten auch ohne Feststellung des Verschuldens eines Repräsentanten und in den Fällen von § 130 des Gesetzes über Ordnungswidrigkeiten ohne Feststellung einer Aufsichtspflichtverletzung festgesetzt werden.`
b) In Absatz 2 wird nach Satz 2 folgender Satz eingefügt: ,In den Fällen der §§ 30 und 130 des Gesetzes über Ordnungswidrigkeiten enthält der Bußgeldbescheid abweichend von § 66 des Gesetzes über Ordnungswidrigkeiten nicht die Bezeichnung der natürlichen Person, welcher eine Pflichtverletzung zur Last fällt.`“
Dabei soll es sich nach Auffassung des Bundesrats um „eine Klarstellung ohne Änderung der bestehenden Rechtslage [handeln]. Die europarechtlichen Vorgaben sollten im Gesetz nachgezogen werden, um Missverständnisse zu vermeiden.“
Gut gemeint, aber schlecht gemacht. Denn erstens setzt eine Geldbuße nach der DS-GVO nach den klaren Worten des EuGH den Nachweis eines vorsätzlichen oder fahrlässigen Verstoßes voraus. Zweitens konnte sich der EuGH gar nicht zu § 130 OWiG äußern, da er ja an den Vorlagebeschluss gebunden war. Entscheidend ist aber, dass die §§ 130, 30, 9 OWiG bereits nach geltender Rechtslage keine Identifizierung einer natürlichen Person erfordern.
Eine Änderung des § 41 BDSG ist daher nicht angezeigt, zumal das Verfahren noch nicht beendet ist. Denn das KG hat die Sache mit seinem Beschluss zur erneuten Entscheidung an das LG Berlin zurückverwiesen. Der Vorschlag des Bundesrats schafft somit mehr Missverständnisse als er zu beseitigen versucht. Das gilt aus den o.g. Gründen auch für den Vorschlag der DSK in ihrer Stellungnahme v. 12.4.2024, § 30 Abs. 1 OWiG ausdrücklich in § 41 BDSG auszunehmen.
4. Fazit und Ausblick
Das Beispiel der Verhängung von Geldbußen gegen Unternehmen wegen Datenschutzverstößen zeigt, wie komplex das Verhältnis von Europarecht und nationalem Recht ist. Der EuGH (ZD 2024, 203 mAnm v. d. Bussche) hat erstmals Stellung zu den Voraussetzungen der Verhängung von Geldbußen gegen Unternehmen wegen Datenschutzverstößen bezogen. Welche Auswirkungen die Vorgaben auf das nationale Recht haben, wird jedoch sehr unterschiedlich beurteilt. Fest steht aber, dass eine Geldbuße nur dann verhängt werden kann, wenn nachgewiesen ist, dass der Verstoß vorsätzlich oder fahrlässig begangen wurde. Welche Anforderungen an den Nachweis zu stellen sind, wird die Praxis zeigen.
Die vom KG getroffene Aussage, dass selbst eine normentsprechende Organisation in aller Regel nicht zur Exkulpation führe, ist auch aus verfassungsrechtlicher Sicht sehr bedenklich. Mit einem solch eng angelegten Maßstab wäre man faktisch bei einer „strict liability“, die eine Verteidigung nahezu unmöglich macht. Nach dem Willen des EuGH sollen DS-GVO-Geldbußen aber gerade nicht verschuldensunabhängig verhängt werden.
Die vom Bundesrat vorgeschlagene Änderung des § 41 BDSG schafft mehr Missverständnisse als sie zu beseitigen versucht. Die Bundesregierung hat dem Vorschlag des Bundesrats dementsprechend auch nicht zugestimmt (BT-Drs. 20/10859, 40). Sie prüft das Urteil des EuGH aber und ist sich bewusst, dass sich zukünftig gesetzgeberischer Handlungsbedarf ergeben könnte. Es bleibt also weiterhin sehr lebhaft und spannend in Sachen DS-GVO-Geldbußen.
Tim Wybitul verteidigt das in dem hier besprochenen Verfahren beschuldigte Unternehmen.
Tim Wybitul ist Fachanwalt für Arbeitsrecht und Partner der Sozietät Latham & Watkins LLP in Frankfurt/M. sowie Mitherausgeber der ZD.
Ass. iur. Johannes Zhou ist Wissenschaftlicher Mitarbeiter am Institut für Arbeitsrecht und Recht der Sozialen Sicherheit an der Rheinischen Friedrich-Wilhelms-Universität Bonn.