juris Nachrichten

  • Die wichtigsten Entscheidungen
  • Gesetzesentwicklungen und -vorhaben
  • Tagesaktuelle Auswahl der juris Redaktion

Die juris Nachrichten App jetzt gratis herunterladen

Login
Anmerkung zu:LG Berlin 26. Große Strafkammer, Beschluss vom 18.02.2021 - (526 Owi LG) 212 Js-OWi 1/20 (1/20)
Autor:Dr. Eren Basar, RA und FA für Strafrecht, Certified Information Privacy Professional Europe (CIPP/E)
Erscheinungsdatum:10.03.2021
Quelle:juris Logo
Normen:§ 206a StPO, § 46 OWiG 1968, § 71 OWiG 1968, Art 103 GG, § 41 BDSG 2018, § 30 OWiG 1968, § 130 OWiG 1968, 12016P049, EUV 2016/679, 12016E267
Fundstelle:jurisPR-StrafR 5/2021 Anm. 1
Herausgeber:Dr. Mayeul Hiéramente, RA und FA für Strafrecht
Zitiervorschlag:Basar, jurisPR-StrafR 5/2021 Anm. 1 Zitiervorschlag

Voraussetzungen für den Erlass von Bußgeldern nach der DSGVO



Orientierungssätze zur Anmerkung

1. Eine juristische Person kann nicht Betroffene in einem Bußgeldverfahren, auch nicht in einem solchen nach Art. 83 der Verordnung (EU) 2016/679 (DSGVO) sein.
2. Eine Ordnungswidrigkeit kann nur eine natürliche Person vorwerfbar begehen. Der juristischen Person kann lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten (der natürlichen Person) zugerechnet werden.



A.
Problemstellung
Im Zentrum der durch die DSGVO eingeführten Neuregelungen standen von Anfang an die Verschärfungen im Bußgeldrecht. Die Erweiterung der Bußgeldtatbestände auf nahezu alle in der DSGVO verankerten Pflichten sowie der in § 83 Abs. 4 und Abs. 5 DSGVO vorgesehene Bußgeldrahmen werden als die Grundsteine des neuen „Datenschutzbußgeldrechts“ (Bülte, StV 2017, 460) oder gar des „Datenschutzstrafrechts“ (Basar, StraFo 2019, 222) bezeichnet. Schon vor Geltung der DSGVO im Mai 2018 wurde darauf hingewiesen, dass die Neuregelungen eine Harmonisierung der Bußgeldvorschriften zum nationalen Recht – und hier insbesondere der §§ 30, 130 OWiG – vermissen lassen und damit ungeklärt bleibe, wer als Sanktionsadressat der DSGVO heranzuziehen ist (einführend Nolde, PinG 2017, 114, 117). Seither nimmt eine Ansicht in der Literatur an, dass die DSGVO eine unmittelbare Haftung von Unternehmen vorsieht, sodass bußgeldrechtlich die rechtswidrige Handlung einer Person im Unternehmen ausreichend sein soll (sog. Funktionsträgerprinzip). Dem wird entgegengehalten, dass die DSGVO hierzu keine explizite Regelung vorhält, mit der Konsequenz, dass das deutsche Haftungsregime nach den §§ 30, 130 OWiG Anwendung findet (sog. Rechtsträgerprinzip). In der Praxis würde die letztere Ansicht dazu führen, dass ein Bußgeld nur dann verhängt werden kann, wenn eine Leitungsperson im Sinne des § 30Abs. 1 OWiG einen Verstoß gegen die DSGVO zu verantworten hätte (zum ganzen Meinungsstreit: Holländer in: BeckOK DatenschutzR, 34. Ed. 01.08.2020, DSGVO Art. 83 Rn. 8 f.). Eine erste Entscheidung traf das LG Bonn am 11.11.2020 (29 OWi 1/20). Dieses hatte über ein Bußgeld i.H.v. 9.55 Millionen Euro wegen eines Verstoßes nach Art. 32 DSGVO zu befinden und musste sich im Rahmen dessen mit der Frage der bußgeldrechtlichen Haftung auseinandersetzen. In seiner Entscheidung führte es hierzu aus, dass Gegenstand der Sanktionierung der Datenverstoß als solcher sei und nicht die dafür ursächlichen Handlungen bestimmter natürlicher Personen. Damit erteilte das LG Bonn der Vorschrift des § 30 Abs. 1 OWiG für die DSGVO eine Absage (erste Zusammenfassung bei www.unternehmensstrafrecht.de/lg-bonn-erteilt-bussgeldkonzept-der-datenschutzbehoerden-deutliche-absage/ zuletzt geprüft 08.03.2020, vgl. auch Stürzl, jurisPR-StrafR 1/2021 Anm. 1, sowie ausführlich Venn/Wybitul, NStZ 2021, im Erscheinen). Nun hat auch das LG Berlin als zweites Gericht hierzu Stellung bezogen (beziehen müssen).


B.
Inhalt und Gegenstand der Entscheidung
Die Entscheidung betraf ein Bußgeld der Berliner Beauftragten für den Datenschutz („BInBDI“), das gegen ein börsennotiertes Immobilienunternehmen mit Sitz in Berlin verhängt wurde. Das Unternehmen hielt über gesellschaftsrechtliche Beteiligungen mittelbar über 162.000 Wohneinheiten in ihrem Eigentum und verarbeitete zusammen mit entsprechenden Gesellschaften personenbezogene Daten von Mieterinnen und Mietern. Die BlnBDI hatte 2019 einen Bußgeldbescheid in Höhe von 14.549.503,15 Euro erlassen, in dem sie dem Unternehmen zur Last legte, es im Zeitraum zwischen Mai 2018 und März 2019 unterlassen zu haben, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Datenschutzrechtlich wurde dies vom BlnBDI als Verstoß gegen Art. 25 Abs. 1 (Datenschutz durch Technikgestaltung und durch datenschutzrechtliche Voreinstellung), Art. 5 Abs. 1 Buchst. a und c (Grundsatz der Transparenz/Datenminimierung) sowie gegen Art. 6 Abs. 1 DSGVO (Rechtmäßigkeit der Verarbeitung) bewertet. Den Bußgeldbescheid hat die BlnBDI gegen das Unternehmen erlassen, welches es auch als Betroffene im Sinne des Gesetzes über Ordnungswidrigkeiten behandelt hat. Entsprechend enthielt der Bußgeldbescheid keine weiteren Angaben zu den konkreten Handlungen etwaiger Verantwortlicher oder ihren potentiellen Unterlassungen.
Aus diesem Grund hat sich das LG Berlin nicht mehr mit dem datenschutzrechtlichen Verstoß in der Sache befasst, sondern das Verfahren nach § 206a StPO i.V.m. den §§ 46, 71 OWiG durch Beschluss eingestellt. Da der Bescheid keinen konkreten Vorwurf gegen ein Organ der juristischen Person enthalte, leide er unter derart gravierenden Mängeln, dass ein Verfahrenshindernis bestehe.
Eine juristische Person könne aus Sicht des Gerichts nicht Betroffene in einem Bußgeldverfahren sein, und zwar auch dann nicht, wenn es sich um ein Verfahren nach Art. 83 der DSGVO handele. Eine Ordnungswidrigkeit könne immer nur eine natürliche Person vorwerfbar begehen; der juristischen Person könne lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten zugerechnet werden. Dies regele § 30 OWiG, der über § 41 Abs. 1 BDSG auch für Verstöße nach Art. 83 Abs. 4-6 der DSGVO Anwendung finden würde. Zwar sehe § 30 Abs. 4 OWiG ein selbständiges Verfahren gegen Unternehmen vor, aber auch hier müssten vorwerfbare Ordnungswidrigkeiten eines Organmitglieds der juristischen Person festgestellt werden. Das LG Berlin setzt sich nach dieser Feststellung mit den entgegengesetzten Ansichten der rechtswissenschaftlichen Literatur und der Entscheidung des LG Bonn auseinander und verwirft diese. Ausgangspunkt für das LG Berlin ist, dass die DSGVO keine Bestimmungen zur strafrechtlichen Verantwortung juristischer Person enthält. Stattdessen sieht die DSGVO in Art. 83 Abs. 8 vor, dass die Mitgliedstaaten für die Ausübung der Befugnisse gemäß Art. 83 DSGVO angemessene Verfahrensgarantien einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren vorzusehen haben. Insofern zieht das LG Berlin § 41 Abs. 1 BDSG heran, der das OWiG für die Verstöße nach Art. 83 Abs. 4-6 DSGVO für anwendbar erklärt. § 41 Abs. 1 BDSG schließe zwar bestimmte Vorschriften des OWiG von der Anwendung für das Verfahrensrecht aus, doch dies betreffe nur Regelungen, für die die DSGVO abschließende Regelungen vorhält. § 30 OWiG sei ausdrücklich nicht ausgeschlossen. In diesem Kontext betont das LG Berlin, dass die Zurechnung der durch natürliche Personen begangenen Verstöße erforderlich ist, da – dieser Gedanke determiniert das Haftungsprinzip im deutschen Ordnungswidrigkeitenrecht aufgrund des Schuldprinzips grundsätzlich – die juristische Person selbst nicht handeln kann.
Aus dem Umstand, dass § 41 Abs. 1 Satz 1 BDSG „nur“ eine „sinngemäße“ Anwendung des Ordnungswidrigkeitenrechts anordnet, folgt für das LG Berlin – anders als zuvor für das LG Bonn – nicht, dass das deutsche Ordnungswidrigkeitenrecht mit Einschränkungen anzuwenden wäre. Hier befasst sich das LG Berlin intensiv mit der Technik der Verweisung, die § 41 Abs. 1 Satz 1 BDSG vorsieht, und erkennt darin eine „gängige Inbezugnahme des außerhalb des Ausgangstextes liegender Vorschriften“. Diese Verweisungstechnik enthalte keine inhaltlichen Einschränkungen, sondern ordne vielmehr an, dass der Bezugstext Bestandteil der verweisenden Regelung werde. Daran ändere auch der Zusatz in § 41 Abs. 1 Satz 1 BDSG nichts, in dem es heißt „soweit dieses Gesetz nichts anderes bestimmt“. Damit sei, so das LG Berlin nicht die DSGVO, sondern das BDSG gemeint.
Des Weiteren spreche auch der Wille des historischen Gesetzgebers des BDSG für die Anwendung des Rechtsträgerprinzips. Hier verweist das LG Berlin darauf, dass im ersten Referentenentwurf zur Anpassung der DSGVO noch die ausdrückliche Nichtanwendung der §§ 30 und 130 OWiG vorgesehen war. Dies sei dann gestrichen und auch bei der letzten Novelle des Bundesdatenschutzgesetzes nicht geändert worden. Das LG Berlin hebt hervor, dass zum Zeitpunkt der zweiten Novelle bereits die Entschließung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 03.04.2019 vorlag, in dem die Datenschutzbehörden für eine klarstellende Ergänzung des § 41 BDSG und die Nichtanwendung der §§ 30 , 130 OWiG geworben hatten.
Das LG Berlin betont des Weiteren, dass die aus der Entscheidung des Gesetzgebers herrührende Rechtslage der Verfassung entspricht. Hintergrund des Erfordernisses der Anknüpfung an die Handlung einer natürlichen Person sei hier nämlich das aus den Grundrechten folgende Schuldprinzip, das nicht nur die klassische Strafe, sondern auch die strafähnliche Sanktion für sonstiges Unrecht einschließe. Hier betont das LG Berlin, dass Schuld immer die eigene Verantwortung und die Willensfreiheit, sich für Recht oder Unrecht entscheiden zu können, voraussetzt, weswegen immer die Anknüpfung an die Handlung einer natürlichen Person erforderlich sei. Eine juristische Person könne eine solche Entscheidung eben nicht treffen. Zur Untermauerung zitiert das LG Berlin die aktuelle Entwurfsfassung des § 3 Verbandssanktionengesetzes (VerSanG-E), das dieser Rechtstradition folgend ebenfalls das Rechtsträgerprinzip konstituiert.
Abschließend befasst sich das LG Berlin intensiv mit dem europäischen Kartellrecht. Hier führt es an, dass der Vergleich zur DSGVO nicht überzeugen kann. Ausgang für diese Erwägung ist der Umstand, dass das europäische Kartellrecht von einer europäischen Behörde, der Europäischen Kommission, kraft eigener Kompetenz umgesetzt werde, während die Umsetzung der DSGVO den nationalen Behörden übertragen wurde. Für das Kartellrecht gelte darüber hinaus im deutschen Recht, dass die Verhängung einer allgemeinen Unternehmensgeldbuße ohne Anknüpfung an die Tat eines Repräsentanten ebenfalls nicht in Betracht komme. Insofern würde auch der Hinweis auf Erwägungsgrund 150 der DSGVO – den das LG Bonn auch vorgenommen hatte – nicht zum Tragen kommen. Dieser Erwägungsgrund betrifft die Bemessung einer möglichen Bußgeldhöhe allein und enthalte keine Regelung zu den Voraussetzungen einer Geldbuße. Die Erwägungsgründe der DSGVO würden darüber hinaus keine Grundlage für die Konstituierung der Verantwortlichkeit einer juristischen Person darstellen können. Dies verbiete das in Art. 103 Abs. 2 GG enthaltene Gesetzlichkeitsprinzip. Das Effektivitätsgebot des europäischen Rechts könne für sich genommen auch nicht als Grundlage für die Einführung der Verantwortlichkeit eine juristische Person herangezogen werden. Die Pflicht zur unionsrechtskonformen Auslegung habe Grenzen, die insbesondere auf dem Gebiet des Straf- oder Ordnungswidrigkeitenrechts zu beachten seien. Hier komme dem (auch in der Charta der Grundrechte der Europäischen Union in Art. 49) verankerten Gesetzlichkeitsprinzip eine besondere Bedeutung zu.
Abschließend weist das LG Berlin darauf hin, dass die Einstellung des Verfahrens auch deswegen notwendig ist, weil eine Umdeutung des Bescheids mangels tatsächlicher Feststellungen nicht möglich ist. Es fehle die Angabe von Tatzeit und -ort sowie des Organmitglieds, das schuldhaft und der Betroffenen zu Recht zurechenbar die Einrichtung eines den datenschutzrechtlichen Anforderungen genügenden EDV-Systems unterlassen oder aber eine rechtzeitige Löschung relevanter Daten nicht veranlasst habe. Das Landgericht merkt noch an, dass verwunderlich sei, dass im Laufe der Ermittlungen durch die Aufsichtsbehörde keinerlei Fragen der unternehmensinternen Verantwortlichkeit gestellt worden seien, obwohl die Betroffene Auskünfte (zu den technischen Details der Datenverarbeitung) sehr wohl erteilt hätten. Das Gericht gelangt hier zur Einschätzung, dass in diesem Falle naheliege, dass bereits eine Offenlegung der Organisationsstrukturen Unternehmen der Betroffenen zu einer Ermittlung der verantwortlichen Person geführt hätte und so möglicherweise etwa eine Aufsichtspflichtverletzung hätte dargelegt werden können.


C.
Kontext der Entscheidung
Mit dem Beschluss hat sich das LG Berlin im Meinungsstreit um den Sanktionsadressaten der DSGVO dem Rechtsträgerprinzip angeschlossen. Auffällig ist, dass das Landgericht sich sehr tiefgehend mit der Sichtweise der Literatur und der Entscheidung des LG Bonn auseinandersetzt. Das LG Bonn hatte im Wesentlichen den Erwägungsgrund 150 der DSGVO zum Ausgang seiner Erwägungen genommen und vor allem darauf hingewiesen, dass § 41 Abs. 1 BDSG die Anwendung des OWiG in materiell rechtlicher Sicht nur „sinngemäß“ anordne. Genau hier setzt das LG Berlin mit einer erstaunlichen Präzision an. Anders als das LG Bonn beschäftigt es sich intensiv mit der Verweisungstechnik. Hierzu zieht es auch das vom Bundesministerium der Justiz herausgegebene Handbuch der Rechtsförmlichkeit heran und stellt auf diese Weise eindrucksvoll klar, dass der Bundesgesetzgeber mit diesem Wort das Ordnungswidrigkeitenrecht die Anwendung der §§ 30 , 130 OWiG im Blick hatte. Dies belegt das LG Berlin mit weiteren Hinweisen zur Gesetzesgeschichte und „schlägt“ damit das LG Bonn an einem Punkt, an dem es eine Positionierung offengelassen hat. Das LG Bonn hatte hinsichtlich des Umstands, dass der Gesetzgeber in einem Referentenentwurf zur Anpassung des Bundesdatenschutzgesetzes die §§ 30, 130 OWiG ursprünglich von der Verweisung ausnehmen wollte, nur festgehalten, dass eine Begründung für diese Änderung des Referentenentwurfs fehlen würde. Auch hier geht das LG Berlin einen Schritt weiter und führt weitere Belege zum gesetzgeberischen Willen an, die das LG Bonn nicht erwähnt hatte. Weitere Ausführungen stützen sich auf die Qualität der Erwägungsgründe im Spannungsfeld zum durch das Grundgesetz verbürgten Bestimmtheitsgrundsatz und dem der Verfassungsidentität unterliegenden Schuldprinzip. Die verbleibenden Ausführungen zum Vergleich der DSGVO zum europäischen Kartellrecht stellen klar, dass auch hier eine wesentliche Differenz zum europäischen Kartellrecht besteht.
Unabhängig von der rechtlichen Bewertung des Ergebnisses des Beschlusses wird die Entscheidung des LG Berlin sicherlich als zukünftige Blaupause herangezogen werden. Es handelt nahezu alle Themen der Sanktionsadressierung, die in der Literatur und vom LG Bonn aufgeworfen worden sind, ab und führt es zu einem Ergebnis, das im Einklang mit den tragenden Säulen des deutschen Sanktionsregimes steht. Auch für die Aufsichtsbehörden zeigt das LG Berlin einen Weg auf, in Zukunft ihre Ermittlungsergebnisse vor dem Hintergrund des Rechtsträgerprinzips „abzusichern“.
Während sich der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) als die das Verfahren betreibende Aufsichtsbehörde vor dem LG Bonn trotz der massiven Reduzierung der Geldbuße durch das Gericht um rund 90% nach eigener Einschätzung in den meisten Punkten durchsetzen konnte (vgl. die Stellungnahme des BfDI https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2020/28_Urteil-1und1.html, zuletzt geprüft am 08.03.2020), gilt für das Verfahren vor dem LG Berlin im Ergebnis das genaue Gegenteil. Hier konnte sich die Verteidigung mit ihrem Einwand, die von der BlnBDI angenommene pauschale Unternehmenshaftung jenseits von § 30 OWiG begründe ein Verfahrenshindernis, durchsetzen (vgl. dazu weiterführend Venn/Wybitul, NStZ 2021, im Erscheinen).


D.
Auswirkungen für die Praxis
Seit Inkrafttreten der DSGVO besteht eine Diskussion um den Sanktionsadressaten. Nun bezieht das zweite Gericht Stellung. Nachdem das LG Bonn die Anwendung der §§ 30 , 130 OWiG für die Verhängung von Bußgelder nach der DSGVO verneint, bejaht das LG Berlin diese Frage nun. Anders als in Bonn wird es hier zu einer Überprüfung kommen. Nach einer Presseerklärung der Berliner Aufsichtsbehörde hat die Staatsanwaltschaft Berlin (sofortige) Beschwerde gegen den Beschluss des LG Berlins eingelegt. Das Beschwerdegericht könnte sich wiederum gezwungen sehen, seine Fragen dem EuGH im Vorabentscheidungsverfahren nach Art. 267 AEUV vorzulegen. Allerdings wäre die Frage des Sanktionsadressaten auch nach einer Entscheidung des EuGH nicht notwendigerweise verbindlich entschieden. Das LG Berlin hat seine Herleitung sehr deutlich auf das deutsche Schuldprinzip, das wiederum aus dem Rechtsstaatsprinzip und der Menschenwürde resultiert, gestützt. Das Schuldprinzip gehört zur unverfügbaren Verfassungsidentität des Grundgesetzes und ist vor Eingriffen durch die supranational ausgeübte öffentliche Gewalt gestützt (Venn/Wybitul, NStZ 2021, im Erscheinen). Es ist nicht ausgeschlossen, dass das Bundesverfassungsgericht sich veranlasst sehen würde, den Anwendungsvorrang des Unionsrechts vor diesem Hintergrund zu begrenzen, wenn der EuGH die DSGVO so auslegte, dass das Funktionsträgerprinzip gölte. Gleichwohl übt sich das Verfassungsgericht bei dieser Form der Intervention in Zurückhaltung (zuletzt BVerfG, Beschl. v. 01.12.2020 - 2 BvR 2100/18).
Mit der zu erwartenden Zunahme der Verhängung weiterer Geldbußen durch die Aufsichtsbehörden und dagegen gerichteter Einsprüche der Betroffenen ist bis zur endgültigen Klärung dieser Rechtsfrage davon auszugehen, dass es zu einem Meinungsstreit der Landgerichte und Oberlandesgerichte kommen wird. Sowohl die Aufsichtsbehörden und die Verteidigungen müssen sich darauf einstellen. Für die Aufsichtsbehörden gilt, dass sie den Fehler der Berliner Aufsichtsbehörde nicht wiederholen sollten. Dieses hat versäumt, die Ermittlungen so zu führen, dass auch im Fall der Bejahung des Rechtsträgerprinzips tragfähige Grundlagen für eine Hauptverhandlung vorhanden waren. Der parallele Blick in Wirtschaftsstrafverfahren zeigt, dass Ermittlungen in diesem Bereich regelmäßig ohne zu großen Aufwand möglich sind.
Für die Verteidigungsteams gilt wiederum, dass sie – ebenfalls analog zu Wirtschaftsstrafverfahren – mit der Verteidigung möglichst früh beginnen müssen. Dies schließt die Einbeziehung von Auskunftsverweigerungsrechten ein, sowie eine (frühzeitige) Verteidigung in Hinblick auf die materiellen Vorschriften im Datenschutzrecht. Hier steht vieles – unverändert – noch am Anfang.




Zur Nachrichten-Übersichtsseite