juris PraxisReporte

Leitsätze

1. Nach der Rechtsprechung des EuGH (Urt. v. 05.12.2023 - C-807/21) können die in Art. 83 DSG-VO vorgesehenen Geldbußen unmittelbar gegen juristische Personen verhängt werden, wenn diese als für die Datenverarbeitung Verantwortliche einzustufen sind.
2. Hiernach erfordert eine Verbandshaftung weder das Verschulden eines Repräsentanten (§ 30 OWiG) noch eine Aufsichtspflichtverletzung (§ 130 OWiG). Vielmehr sind Unternehmen im Deliktsbereich der DSG-VO per se schuldfähig.
3. Die vom EuGH für den Bereich der DSG-VO entwickelten sachlich-rechtlichen Grundzüge der Verbandsgeldbuße überformen, prägen und gestalten auch das diesbezügliche nationale Verfahrensrecht (hier § 66 OWiG).
4. Der Bußgeldbescheid muss die natürliche Person, der eine Pflichtverletzung ggf. zur Last fällt, nicht bezeichnen.

A.

Problemstellung

Das KG hatte über eine sofortige Beschwerde der Staatsanwaltschaft gegen die Einstellung eines Bußgeldbescheides durch das LG Berlin zu entscheiden.

Mit dem Bußgeldbescheid hatte die Berliner Beauftragte für den Datenschutz unmittelbar gegen das betroffene Unternehmen, eine Immobiliengesellschaft, Geldbußen wegen diverser Datenschutzverstöße festgesetzt. Als Rechtsgrundlage diente Art. 83 Abs. 4-6 DSGVO. Das betroffene Unternehmen habe es vorsätzlich unterlassen, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise benötigter Daten von Mietern zu treffen. Zudem habe das Unternehmen vorsätzlich personenbezogene Daten von mindestens 15 näher bezeichneten Mietern fortgesetzt gespeichert, obwohl bekannt gewesen sei, dass dies nicht oder nicht mehr erforderlich sei.

Die hiergegen eingelegte Beschwerde des betroffenen Unternehmens hatte zunächst Erfolg: Dem Landgericht zufolge habe der Bußgeldbescheid unter so gravierenden Mängeln gelitten, dass er aufzuheben war. Eine juristische Person könne nicht Betroffene eines Bußgeldbescheids sein. Die Verhängung einer Geldbuße gegen eine juristische Person sei in § 30 OWiG abschließend geregelt. Über § 41 Abs. 1 BDSG finde § 30 OWiG auch für Verstöße nach Art. 83 Abs. 4-6 DSGVO Anwendung. Die in Art. 83 DSGVO kodifizierte unmittelbare Unternehmenshaftung verstoße gegen das im deutschen Recht verankerte Schuldprinzip und könne daher nicht angewendet werden.

Auf die sofortige Beschwerde der Staatsanwaltschaft legte das KG die Sache dem EuGH vor. Dieser hat mit Urteil vom 05.12.2023 entschieden, dass Art. 58 Abs. 2 Buchst. i und Art. 83 Abs. 1-6 DSGVO so auszulegen seien, dass sie einer nationalen Regelung entgegenstünden, wonach eine Geldbuße wegen eines in Art. 83 Abs. 4-6 DSGVO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde. Zudem stellte der EuGH klar, dass eine Geldbuße nur dann verhängt werden dürfe, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person ist, einen in Art. 83 Abs. 4-6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat.

B.

Inhalt und Gegenstand der Entscheidung

Auf der Grundlage dieser Entscheidung hat das KG angeordnet, dass das vom Landgericht eingestellte Bußgeldverfahren fortgesetzt werde. Der Bußgeldbescheide leide nicht an den vom Landgericht angenommenen gravierenden Mängeln, die Beschwerde der Staatsanwaltschaft hatte mithin Erfolg. Aus dem Urteil des EuGH folge, dass die Betroffene als juristische Person taugliche Adressatin eines Bußgeldbescheides und nicht lediglich als Nebenbeteiligte zu behandeln gewesen sei. Die in Art. 83 DSGVO vorgesehenen Geldbußen könnten unmittelbar gegen juristische Personen verhängt werden, wenn das jeweilige Unternehmen als für die Datenverarbeitung Verantwortliche eingestuft werden könne. Unternehmen hafteten insoweit nicht nur für Verstöße, die von Leitungspersonen begangen wurden, sondern auch für Verstöße, die von jeder anderen Person begangen wurden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Person handelt. Dies gelte unabhängig davon, ob ein individualisierbares Organisationsdefizit oder eine Aufsichtspflichtverletzung festgestellt werde. Vor diesem Hintergrund erfülle der Bußgeldbescheid auch die Wirksamkeitsvoraussetzungen des § 66 OWiG. Die Anforderungen an die Gestaltung des Bußgeldbescheides (insbesondere an die Umgrenzungs- und Informationsfunktion) folge den durch den EuGH formulierten Grundsätzen des materiellen Rechts. Daraus folge, dass, wenn der EuGH einen Verstoß durch eine identifizierte natürliche Person nicht verlange, sich eine solche Voraussetzung auch nicht aus dem nationalen Verfahrensrecht, hier § 66 OWiG, ergeben müsse. Die Verfahrensanforderungen des § 66 OWiG würden hierdurch nicht suspendiert, sondern seien im Lichte der DSGVO europarechtskonform auszulegen. Der angegriffene Bußgeldbescheid erfülle diese Anforderungen. Er bezeichne die insgesamt 16 Tathandlungen ausdifferenziert und geradezu ziseliert und vermittelte der Betroffenen hinreichend, was ihr vorgeworfen werde. Dabei sei zu beachten, dass es sich bei den vorgeworfenen Handlungen und Unterlassungen ersichtlich um keine Individualexzesse in einem Dunkelbereich des Unternehmens handele. Schließlich habe der EuGH klargestellt, dass auch eine juristische Person schuldfähig sei, weshalb alle Personen, die im Rahmen der unternehmerischen Tätigkeit handeln, in den "abstrakten Verantwortungskreis" der juristischen Person fielen. Selbst eine normentsprechende Organisation führe "in aller Regel" nicht zur Exkulpation. Dies entspreche dem Effektivitätsgrundsatz des europäischen Rechts. Aus diesem Grunde habe der Bußgeldbescheid auch nicht ausweisen müssen, welchem Repräsentanten oder welchem "Organ" welche konkrete Handlung oder welches konkrete Unterlassen zur Last fällt.

C.

Kontext der Entscheidung

Das Unternehmensbußgeldrecht der DSGVO i.S.d. Auslegung von EuGH und ihm folgend KG weicht nunmehr von den allgemeinen Vorschriften über die Sanktionierung von Unternehmen im deutschen Recht ab. Nach den Vorstellungen des Verbandsbußgeldrechts des § 30 OWiG hängt die Sanktionierung einer juristischen Person oder Personenvereinigung davon ab, ob eine Leitungsperson des Verbandes eine Straftat oder Ordnungswidrigkeit begangen hat, durch die Pflichten des Verbandes verletzt wurden, der Verband bereichert wurde oder der Verband bereichert werden sollte. Die h. M. verlangt insoweit, dass der Bußgeldbescheid in dem konkret zu schildernden Lebenssachverhalt die Angabe, welche natürliche Person in welcher Funktion welche Handlung oder Unterlassung begangen hat, enthalten muss (OLG Karlsruhe, Beschl. v. 08.10.2015 - 2 (7) SsBs 467/15 - AK 146/15 ; OLG Rostock, Beschl. v. 14.01.2013 - 2 Ss (OWi) 254/12; OLG Jena, Beschl. v. 02.11.2005 - 1 Ss 242/05 - NStZ 2006, 533; OLG Hamburg, Beschl. v. 15.04.1998 - II - 35/98 - 3 Ss 7/98 OWi, II - 35/98, 3 Ss 7/98 OWi - NStZ-RR 1998, 370; Karlsruher Komm. Rogall, OWiG, § 30 Rn. 88; Göhler/Gürtler, OWiG, § 30 Rn. 8). Insoweit seien auch die tatsächlichen Grundlagen für die Feststellung von Vorsatz oder Fahrlässigeit anzugeben (OLG Karlsruhe, Beschl. v. 08.10.2015 - 2 (7) SsBs 467/15 - AK 146/15).

Die Entscheidung des KG steht dieser Ansicht jedenfalls in Bezug auf Art. 83 DSGVO diametral entgegen. Das Zurechnungsmodell in § 30 OWiG widerspricht dem Bußgeldsystem der DSGVO und findet, so der EuGH und nunmehr das KG, auf Art. 83 Abs. 4-6 DSGVO keine Anwendung.

Die Vorstellung, eine juristische Person oder Personenvereinigung selbst könne eine Straftat oder Ordnungswidrigkeit begehen, ist dem deutschen Sanktionssystem fremd. Deshalb sah z.B. auch der Regierungsentwurf eines Verbandssanktionengesetzes, der der Abwahl der schwarz-roten-Regierungskoalition und dem Diskontinuitätsgrundsatz zum Opfer fiel und durch die derzeitige Bundesregierung nicht mehr weiterverfolgt wurde, ein dem § 30 OWiG nachgebildetes Zurechnungssystem vor. Ein weiterer Ausweis mangelnder Schuldfähigkeit von Unternehmen sind die Vorschriften über die "Überwälzung" täterschaftsbegründender persönlicher Merkmale (wie etwa die Arbeitgebereigenschaft in § 266a StGB) vom Unternehmen auf dessen Organwalter und andere Leitungspersonen (§§ 14 StGB, 9 OWiG). Diesen Vorschriften liegt der Gedanke zugrunde, dass es ohne eine solche Merkmalsüberwälzung vom Unternehmen auf eine natürliche Person zu keiner Sanktionierung kommen könne – weder der handelnden natürlichen Person noch des Unternehmens als Nebenbeteiligtem. Betriebsbezogene Straftaten und Ordnungswidrigkeiten, die zwar unterhalb der Leitungsebene begangen wurden, können zu einer Verbandssanktionierung führen, wenn diese durch mangelnde Aufsicht ermöglicht oder erleichtert wurden (§ 130 OWiG). In diesem System der Verbandssanktionierung ist also eine schuldhafte Tat einer individuellen Leitungsperson Voraussetzung für die Sanktionierung des Verbandes. Es handelt sich insgesamt um ein geschlossenes und ausdifferenziertes System, in dem Tathandlung bzw. Unterlassen, Vorsatz und Fahrlässigkeit, Rechtswidrigkeit und Schuld zunächst spezifisch allokiert und sodann zum Zwecke einer gewünschten Sanktionierung ggf. gesetzlich weiteren (natürlichen oder juristischen) Personen zugerechnet werden.

Mit der Entscheidung des KG ist nunmehr zwei parallel laufenden, inhaltlich aber unterschiedlichen Verbandsbußgeldsystemen der Weg geebnet. Die Unternehmensbebußung nach der DSGVO unterfällt anderen – weniger strengen – Anforderungen als die Bebußung von Verbänden als Nebenbeteiligte im ggf. selbstständig geführten Verfahren zur Verhängung einer Buße gemäß § 30 OWiG.

D.

Auswirkungen für die Praxis

Die Entscheidung wirft Fragen auf, die weit entfernt von einer Beantwortung sind. Nur auf den ersten Blick scheinen die Leitlinien klar, in der Praxis sind an Bußgeldbehörden und Rechtsprechung immer noch hohe Anforderungen an die Begründung datenschutzrechtlicher Bußgeldbescheide und Verurteilungen zu stellen.

Bereitet es dem deutschen Rechtsanwender schon vor dem Hintergrund des Schuldprinzips erhebliche Schwierigkeiten, sich überhaupt vorzustellen, dass eine Personenmehrheit eine Straftat oder Ordnungswidrigkeiten begehen kann, hat die Nichtanwendung des Zurechnungsmodells ganz erhebliche praktische Auswirkungen für die Verteidigung des Unternehmens und spiegelbildlich für seine Compliance-Bemühungen.

Insoweit der EuGH und im Anschluss an ihn auch das KG klarstellt, dass das Unternehmen den bußgeldbedrohten Datenschutzverstoß vorsätzlich oder fahrlässig begangen haben muss, um sanktioniert zu werden, stellt sich die Frage, anhand welcher tatsächlicher Anknüpfungspunkte dies festzustellen ist. Der EuGH verhält sich gar nicht dazu, das KG allenfalls oberflächlich. Die Entscheidung des KG darf jedenfalls nicht so verstanden werden, dass jegliche Ausführungen zu Vorsatz und Fahrlässigkeit im Bußgeldbescheid obsolet sind. Denn sowohl EuGH als auch KG machen klar, dass die Bebußung von Unternehmen gemäß Art. 83 DSGVO ein schuldhaftes Verhalten voraussetzen. Diese Feststellung wird in casu wesentliche Aufgabe des Landgerichts sein. Die Vorstellung fällt nicht leicht, Vorsatz einer juristischen Person oder Personenmehrheit im Sinne mindestens billigender Inkaufnahme und Fürmöglichhalten der tatsächlichen Voraussetzungen des Datenschutzverstoßes festzustellen. Auch Fahrlässigkeit im Sinne einer Sorgfaltspflichtverletzung bei persönlicher Vorwerfbarkeit "passt" nicht recht zu Unternehmen. Vorsatz und Fahrlässigkeit lediglich zu unterstellen, weil in objektiver Hinsicht ein materiell-rechtlicher Rechtsverstoß stattgefunden hat, griffe jedenfalls zu kurz: Es ist eine Binsenweisheit, dass objektive Rechtsverstöße auch nicht-vorsätzlich oder nicht-fahrlässig begangen werden können. Es liegt nahe, dass – weil für ein Unternehmen immer Menschen handeln – Vorsatz und Fahrlässigkeit sich in irgendeiner Weise an menschlichem Handeln festmachen lassen müssen. Gerichte werden daher jedenfalls ein irgendwie geartetes schuldhaftes Verhalten irgendeiner – wenn auch nicht namentlich zu benennender – Person, die nicht Leitungsperson oder Organ sein muss, anhand konkreter Tatsachen feststellen müssen. Dies bedarf auch weiterhin der Darlegung eines nachvollziehbaren Sachverhalts, anhand dessen Vorsatz oder Fahrlässigkeit irgendeiner handelnden Person festzustellen ist. Die bloße Umschreibung eines rechtswidrigen Zustandes (hier etwa der nicht erforderlichen Speicherung personenbezogener Daten) dürften selbst infolge der Entscheidung des EuGH nicht ausreichen.

Insoweit stellt das KG auch klar, dass Verstöße von Personen, die nicht im Rahmen der unternehmerischen Tätigkeit und nicht im Namen der juristischen Person gehandelt haben, nicht zum Gegenstand einer Bebußung nach Art. 83 DSGVO gemacht werden können. Auch "Individualexzesse in einem Dunkelbereich des Unternehmens" sollen dem KG zufolge nicht zu einer Bebußung führen. Zu denken ist hier insbesondere an Taten außenstehender Dritter, die personenbezogene Daten aus dem Verantwortungsbereich des Unternehmens in strafbarer Weise zu unternehmensfremden Zwecken verarbeiten. Zu denken ist aber auch an deliktische Handlungen von Beschäftigten des betroffenen Unternehmens, für die das Unternehmen nicht haften soll.

Diese Anforderungen an die Feststellung von Vorsatz und Fahrlässigkeit sowie an die Darlegung der unternehmensbezogenen Tätigkeit bilden spiegelbildlich die Anknüpfungspunkte für die Unternehmensverteidigung. Fällt der Nachweis einer ausreichenden Aufsicht als Exkulpationsmöglichkeit (mit Ausnahme des Individualexzesses im o.g. Sinne) zwar aus, verbleiben dem Unternehmen immer noch die Möglichkeiten, sich gegen die Annahme des materiell-rechtlichen Verstoßen in objektiv-tatbestandlicher Hinsicht, die Annahme von Vorsatz und Fahrlässigkeit und die Annahme der Unternehmensbezogenheit des Handelns zu wehren.

Problematisch ist für die Anwendung von Art. 83 DSGVO der Wegfall der Exkulpationsmöglichkeit durch den Nachweis angemessener Organisation und Aufsicht, wie sie im Sanktionsregime der §§ 30, 130 OWiG weiterhin besteht, im Hinblick auf die Datenschutz-Compliance eines Unternehmens. Denn Compliance richtet sich gerade darauf, durch angemessene Informations-, Kontroll- und Sanktionsprogramme Rechtsverstöße und andere Missstände zu vermeiden. Freilich verfolgen Compliance Management-Systeme vielfältige Ziele und sind nicht ausschließlich auf Haftungsvermeidung für den Verband gerichtet. Gleichwohl nehmen die Entscheidungen von EuGH und KG Unternehmen dann doch in gewisser Weise genau diesen Anreiz, sich durch Compliance Management-Systeme vor empfindlichen Geldbußen wegen Datenschutzverstößen schützen zu können.

Damit haben die Gerichte dem Datenschutzsanktionsrecht eine generalpräventive Funktion genommen, die in anderen Rechtsbereichen durchaus als erforderlich angesehen wird: Im deutschen Verbandssanktionenrecht kommt es außerhalb des Anwendungsbereichs der DSGVO nicht zu einer Unternehmenssanktionierung wegen betriebsbezogener Straftaten und Ordnungswidrigkeiten auf unterer Ebene, wenn eine Aufsichtspflichtverletzung - was nichts anderes als ein Compliance-Mangel ist - nicht nachgewiesen werden kann. Aus ausländischen Rechtsordnungen, etwa aus dem britischen Korruptionsstrafrecht, kennt man eine "Defense", mit der sich Unternehmen durch den Nachweis hinreichender Compliance-Maßnahmen exkulpieren und damit vor Haftung schützen oder diese jedenfalls erheblich abmildern können. Und selbst die europäische Rechtsordnung kennt eine solche Systematik: Gem. Art. 9 Abs. 1 der Verordnung (EU) Nr. 596/2014 über Marktmissbrauch liegt verbotener Insiderhandel einer juristischen Person nicht vor, wenn sie eine über eine hinreichende Insider-Compliance verfügt.

Es ist zu wünschen, dass die europäische und mitgliedstaatliche Rechtsprechung wie auch der europäische Verordnungsgeber diesen allgemein anerkannten und für sinnvoll erachteten Präventionsinstrumenten auch für das europäische Datenschutzrecht wieder zur Geltung verhelfen.