Die ungeklärte Rechtsnatur des Datenschutzbußgeldes – der EuGH muss entscheiden

In der jüngsten Vergangenheit haben die Datenschutzbehörden vermehrt von der Möglichkeit Gebrauch gemacht, teils hohe Geldbußen zu verhängen. Über die Hintergründe hatten wir bereits in verschiedenen Beiträgen berichtet. Jetzt muss der EuGH über die Rechtsnatur datenschutzrechtlicher Ordnungswidrigkeiten entscheiden und damit die Frage klären, wer für einen Datenschutzverstoß verantwortlich sein kann. 

Hintergrund 

Einige der von einem Bußgeldbescheid betroffenen Unternehmen hatten gegen die Verhängung der Geldbußen Einspruch bei der Behörde eingelegt, sodass die Sache gerichtlich entschieden werden musste. Hierbei richteten sich die Unternehmen nicht unmittelbar gegen den vorgeworfenen Datenschutzverstoß, d.h. gegen das Verständnis materieller Vorschriften der DSGVO, sondern vielmehr gegen die formellen und prinzipiellen Voraussetzungen einer Unternehmensgeldbuße. Im Zentrum stand dabei die Frage, ob datenschutzrechtliche Ordnungswidrigkeiten unmittelbar durch das Unternehmen (die juristische Person) selbst begangen werden können oder ob hierfür gemäß dem im deutschen Recht üblichen Haftungsregime zunächst eine eigenständige Tat einer Führungsperson (z.B. des Geschäftsführers als natürliche Person) vorliegen muss, die dann gem. §§ 30, 130 Ordnungswidrigkeitengesetz (OWiG) einer juristischen Person zugerechnet werden kann.  

Die erste Ansicht wurde vom LG Bonn in einer Entscheidung vom 11.11.2020 vertreten. Die zweite Ansicht teilte zuletzt das LG Berlin im Beschluss vom 18.02.2021. Infolgedessen verfügte das Kammergericht Berlin mit Beschluss vom 06.12.2021, die Sache im Rahmen eines Vorabentscheidungsverfahrens gem. Art. 267 Abs. 3 Vertrag über die Arbeitsweisen der Europäischen Union (AEUV) dem EuGH vorzulegen, der nun mit der Sache befasst ist. 

Die Frage nach dem richtigen Haftungsregime 

Der nachfolgende Abschnitt zeigt kurz das deutsche Haftungsregime auf. Sodann werden die wesentlichen Argumente, die Gerichte und Schrifttum zu dieser Ansicht vertreten kurz gegenübergestellt, um in einem anschließenden Fazit in Form einer spekulativen Prognose Stellung zu nehmen.  

Das deutsche Haftungsregime im Ordnungswidrigkeitenrecht in Kürze 

Grundsätzlich unterscheidet das deutsche Recht zwischen Straftaten, die mit einer Kriminalstrafe und Ordnungswidrigkeiten, die mit einer Geldbuße sanktioniert werden. Während eine Kriminalstrafe die Handlungs- und Schuldfähigkeit des Täters voraussetzt, die nach ganz herrschender Ansicht nur natürlichen Personen zukommt, können Geldbußen auch gegen ein Unternehmen oder eine andere juristische Person verhängt werden. Die Voraussetzungen hierfür nennt § 30 OWiG. Voraussetzung hierfür ist die sog. Bezugstat einer natürlichen Person, die eine eigene Straftat oder Ordnungswidrigkeit in der Funktion einer Leitungsperson (Vorstand, Geschäftsführer, Prokurist in leitender Stellung) rechtswidrig und schuldhaft begangen hat. Diese Tat muss gleichzeitig einen Pflichtverstoß des Unternehmens begründen oder den Zweck gehabt haben, das Unternehmen zu bereichern.  

Bereits aus den Voraussetzungen wird klar, dass hiernach nicht das Unternehmen selbst eine Ordnungswidrigkeit begeht (fehlende Handlungsfähigkeit), sondern sich lediglich das Verhalten eines seiner Vertreter zurechnen lassen muss, wenn es dadurch einen Rechtsverstoß begeht oder bereichert werden soll. Grundsätzlich müssen demnach für jedes unmittelbar gegen ein Unternehmen verhängte Bußgeld die Voraussetzungen von § 30 OWiG nachgewiesen werden.  

Das gilt nach Ansicht des LG Berlin auch für Ordnungswidrigkeiten im Zusammenhang mit der DSGVO, während das LG Bonn die Meinung vertritt, die DSGVO begründe ein eigenständiges, dem deutschen Recht vorrangiges Haftungsregime, wonach das Unternehmen unmittelbar Täter einer Ordnungswidrigkeit sein kann.  

Die Argumente im Einzelnen 

Ausgangspunkt der umstrittenen Frage, ob die DSGVO ein eigenes Haftungsregime begründet, ist Art. 83 DSGVO. Dabei geht die bejahende Ansicht wie sie u.a. vom LG Bonn vertreten wird davon aus, dass „Gegenstand der Sanktionierung der Datenschutzverstoß als Erfolg und nicht die dafür ursächliche Handlungen bestimmter natürlicher Personen“ sei. Die Begründung stützt sich auf die Annahme, dass das datenschutzrechtliche Ordnungswidrigkeitenrecht analog zu den Grundsätzen des supranationalen Kartellrechts verstanden werden müsse. Aus diesem ergibt sich bereits zu diesem Zeitpunkt eine unmittelbare Haftung des Unternehmens für Ordnungswidrigkeiten. EG 150 der DSGVO unterstützte diese Auffassung, indem er den Begriff des Unternehmens an den unionskartellrechtlichen Unternehmensbegriff anlehnt.  

Darüber hinaus würde das deutsche Modell eine übermäßige Beschränkung der Haftung für den Verantwortlichen im datenschutzrechtlichen Sinne bedeuten und somit dem Grundsatz einer unionseinheitlichen Sanktionspraxis widersprechen. Zudem sei die effektive Sanktionierung von Datenschutzverstößen ein Grundanliegen der DSGVO gewesen, was sich nach Ansicht des LG Bonn in den Erwägungsgründen 9, 10, 11, 13, 129 und 148 zeige. Schließlich ergebe sich die Notwendigkeit eines unmittelbar aus EU-Recht abgeleiteten Haftungsregimes aus dem europarechtlichen Effektivitätsgebot („effet utile“), wonach Unionsrecht so auszulegen ist, dass es sich effektiv in den einzelnen Mitgliedsstaaten durchsetzen kann. 

Das LG Berlin hingegen vertritt die Auffassung, dass für die Haftungsbegründung allein das deutsche Ordnungswidrigkeitenrecht in Frage kommen kann. Dies habe der europäische Gesetzgeber in Art. 83 Abs. 8 DSGVO vorgesehen, wenn er für die Ausformulierung eines angemessenen Verfahrens zur Verhängung des Bußgeldes auf die Mitgliedstaaten verweist. Dieser Aufforderung ist der deutsche Gesetzgeber mit der Neufassung des Bundesdatenschutzgesetzes nachgekommen, indem er in § 41 BDSG die Vorschriften über das Bußgeld und Strafverfahren nach dem Gesetz über Ordnungswidrigkeiten für sinngemäß anwendbar erklärt. Zwar werden einige Paragrafen ausdrücklich von dieser Möglichkeit ausgenommen. Nicht jedoch § 30 OWiG als zentrale Zurechnungsnorm für die Verhängung eines Bußgeldes gegenüber einer juristischen Person.  

Auch die Analogie zum europäischen Kartellrecht sieht das LG Berlin kritisch. Zum einen sei der Verweis in Erwägungsgrund 150 darauf gerichtet die Bemessung und nicht das „Ob“ des Bußgeldes näher zu bestimmen. Zum anderen seien die Kompetenzen zur Durchsetzung einer Geldbuße anders verteilt. Während kartellrechtliche Verstöße unmittelbar von der Kommission behandelt werden, sollen Datenschutzverstöße ausdrücklich von nationalen Aufsichtsbehörden sanktioniert werden. Dies lege nahe, auch das nationalstaatlichen Haftungsregime anzuwenden. 

Hinsichtlich der Frage nach einer einheitlichen Sanktionspraxis bzw. effektiven Durchsetzung des Unionsrechts weist das Gericht darauf hin, dass das Effektivitätsgebot methodisch seine Grenzen im Wortlaut der auszulegenden Vorschrift findet. Dies gelte insbesondere für strafrechtliche Normen, für die das Gesetzlichkeitsprinzip gemäß Art. 103 Abs. 2 Grundgesetz (GG) besonders enge Grenzen setzt.  

Insgesamt könne daher nicht davon ausgegangen werden, dass das nationale Haftungsregime, ohne eine ausdrückliche Grundlage im Wortlaut zu finden so grundsätzlich umstrukturiert werden sollte.  Folglich müssten auch für die Verhängung einer datenschutzrechtlichen Geldbuße die Voraussetzungen von § 30 OWiG vorliegen. 

Fazit 

Das Kammergericht Berlin hat die Frage nun im Wege der Vorabentscheidung nach Art. 267 AEUV an den EuGH verwiesen. Dieser muss die Grenzen von Art. 83 DSGVO bestimmen und die Frage nach der Anwendbarkeit nationalen Rechts entscheiden. Zwar ist das Ergebnis nur schwer zu prognostizieren. In der Sache angemessen wäre es jedoch der Ansicht des LG Berlin zu folgen. Dies nicht nur, weil die dogmatischen Grundlagen des Strafrechts traditionell einen Kernbestand mitgliedstaatlicher Selbstbestimmung ausmachen, sondern auch weil Art. 83 DSGVO selbst kein eigenständiges Haftungsregime ausformuliert und stattdessen – wie das Landgericht Bonn zutreffend formuliert hat – nur als Zufallshaftung verstanden werden kann. Diese Ansicht verkennt grundsätzlich das auch eine echte Unternehmensstrafe ohne Zurechnungssystem dem Grundsatz rationalen Strafens nicht gerecht werden kann.