KG Berlin, Beschluss vom 06.12.2021, Az. 3 Ws 250/21
Art. 83 DSGVO, Art. 26 Abs. 1 AEUV, Art. 81 AEUV, Art. 82 AEUV, Art. 101 AEUV, Art. 102 AEUV
Das KG Berlin hat dem EuGH die datenschutzrechtliche Frage vorgelegt, ob ein Bußgeldbescheid (Art. 83 DSGVO) nur gegen eine natürliche Person oder aber auch eine juristische Person (hier: Deutsche Wohnen) gerichtet werden kann. Zum Volltext der Entscheidung:
Unterstützung bei datenschutzrechtlichen Problemstellungen
Benötigen Sie Hilfe bei einer datenschutzrechtlichen Frage? Sie erreichen mich unter: 04321 / 9639953 oder 040 / 35716-904. Schicken Sie Ihre Unterlagen gern per E-Mail (info@damm-legal.de) oder per Fax (Kontakt). Ich bin als Fachanwalt für IT-Recht und zertifizierter Datenschutzbeauftragter (TÜV Rheinland) mit dem Datenschutzrecht umfassend vertraut und helfe Ihnen gerne dabei, eine Lösung für Ihr Problem zu finden.
Kammergericht
Beschluss
…
I. Dem Gerichtshof der Europäischen Union werden zur Auslegung von Art. 83 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) folgende Fragen zur Vorabentscheidung vorgelegt:
1. Ist Art. 83 Abs. 4-6 DS-GVO dahin auszulegen, dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf?
2. Wenn die Frage zu 1. bejaht werden sollte: Ist Art. 83 Abs. 4 – 6 DS-GVO dahin auszulegen, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss (vgl. Art. 23 der Verordnung (EG) Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung der in den Art. 81 und 82 des Vertrags niedergelegten Wettbewerbsregeln), oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus („strict liability“)?
II. Das Beschwerdeverfahren wird bis zur Beantwortung der Vorlagefragen durch den Gerichtshof der Europäischen Union ausgesetzt.
Gründe
I. Das betroffene Unternehmen ist ein börsennotiertes Immobilienunternehmen mit Sitz in Berlin. Es hält über gesellschaftsrechtliche Beteiligungen mittelbar rund 163.000 Wohneinheiten und 3.000 Gewerbeeinheiten. Eigentümer dieser Einheiten sind Tochtergesellschaften, sogenannte Besitzgesellschaften, die das operative Geschäft führen und die mit dem betroffenen Unternehmen einen Konzern bilden. Die Geschäftstätigkeit des betroffenen Unternehmens konzentriert sich auf die übergeordnete Leitung, wie die Geschäftsführung, das Personalwesen und das Finanz- und Rechnungswesen. Die Besitzgesellschaften vermieten die Wohn- und Gewerbeeinheiten, die Verwaltung der Einheiten erfolgt ebenfalls durch Konzerngesellschaften („Servicegesellschaften“).
Im Rahmen ihrer Geschäftstätigkeit verarbeiten das betroffene Unternehmen und die Konzerngesellschaften auch personenbezogene Daten von Mieterinnen und Mietern der Wohn- und Gewerbeeinheiten. Dies geschieht im Rahmen der Neuvermietung eines Objektes, der laufenden Verwaltung eines bestehenden Mietverhältnisses, dem Erwerb von bereits vermieteten Immobilien und der Übernahme der hier bestehenden Mietverhältnisse. Bei diesen Daten handelt es sich z. B. um Identitätsnachweise (z. B. Personalausweiskopien), Bonitätsbelege (z. B. Kontoauszüge), Gehaltsbescheinigungen, Arbeitsnachweise, Steuer-, Sozial- und Krankenversicherungsdaten sowie Angaben zu Vormietverhältnissen.
Am 23. Juni 2017 hat die Berliner Beauftragte für den Datenschutz (im Folgenden: „Behörde“) im Rahmen einer Vor-Ort-Kontrolle das betroffene Unternehmen darauf hingewiesen, dass ihre Konzerngesellschaften personenbezogene Daten von Mietern in einem elektronischen Archivsystem speicherten, bei dem nicht nachvollzogen werden könne, ob die Speicherung erforderlich und gewährleistet sei, dass nicht mehr erforderliche Daten gelöscht würden. Die Behörde hat das betroffene Unternehmen in der Folge aufgefordert, bis zum Jahresende 2017 Dokumente aus dem elektronischen Archivsystem zu löschen. Hierauf hat das betroffene Unternehmen erwidert, die Löschung sei aus technischen und rechtlichen Gründen nicht möglich. Eine Löschung der Dokumente erfordere insbesondere zunächst die Überführung der alten Archivdaten in ein neues Archivsystem, das wiederum mit den gesetzlichen handels- und steuerrechtlichen Aufbewahrungspflichten konform sein müsse. Zu diesen Einwänden hat auf Wunsch des betroffenen Unternehmens ein Gespräch mit Vertretern der Behörde stattgefunden, in dem diese die Auffassung vertreten hat, dass es durchaus technische Lösungen für die erforderte Löschung gebe. Nachdem das betroffene Unternehmen nochmals schriftlich dargelegt hatte, dass es nicht innerhalb der gesetzten Frist löschen könne, ist es mit Schreiben vom 20. Dezember 2017 dazu aufgefordert worden, die der Löschung entgegenstehenden Gründe, insbesondere einen etwaigen unverhältnismäßigen Aufwand, schriftlich darzulegen. Die Betroffene hat in der Folge über den vorgesehenen Aufbau eines neuen Speichersystems berichtet, mit dem das bisher beanstandete System ersetzt werden solle.
Am 5. März 2020 hat die Behörde eine Prüfung in der Konzernzentrale des Unternehmens vorgenommen, bei der insgesamt 16 Stichproben im Datenbestand entnommen worden sind. Zugleich ist der Behörde mitgeteilt worden, dass das beanstandete Archivsystem bereits außer Betrieb gesetzt worden sei und die Migration der Daten auf das neue System unmittelbar bevorstehe. Mit dem am 30. Oktober 2020 erlassenen Bußgeldbescheid wird dem betroffenen Unternehmen vorgeworfen, es zwischen dem 25. Mai 2018 und dem 5. März 2019 vorsätzlich unterlassen zu haben, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Weiter wird ihm vorgeworfen, personenbezogene Daten von mindestens 15 näher bezeichneten Mietern fortgesetzt gespeichert zu haben, obgleich bekannt gewesen sei, dass dies nicht oder nicht mehr erforderlich war. Wegen des vorsätzlichen Verstoßes gegen Art. 25 Abs. 1, Art. 5 Abs. 1 a), c) und e) DS-GVO hat die Behörde eine Geldbuße in Höhe von 14.385.000 Euro und wegen Verstößen gegen Art. 6 Abs. 1 DS-GVO hat sie 15 weitere Geldbußen festgesetzt, die jeweils zwischen 3.000 und 17.000 Euro betragen.
Auf den Einspruch des betroffenen Unternehmens hat das Landgericht Berlin das Verfahren nach § 46 Abs. 1 OWiG i. V. m. § 206a StPO eingestellt. Das Landgericht vertritt die Auffassung, der Bußgeldbescheid leide unter so gravierenden Mängeln, dass er nicht Grundlage des Verfahrens sein könne. Namentlich könne eine juristische Person nicht Betroffene eines Bußgeldverfahrens sein, auch nicht in einem solchen nach Art. 83 DS-GVO. Eine Ordnungswidrigkeit könne nur eine natürliche Person vorwerfbar begehen. Der juristischen Person könne lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten zugerechnet werden. In einem Bußgeldverfahren könne eine juristische Person daher nur Nebenbeteiligte sein. Die Verhängung einer Geldbuße gegen eine juristische Person sei in § 30 OWiG abschließend geregelt, der über § 41 Abs. 1 BDSG auch für Verstöße nach Art. 83 Abs. 4 bis 6 DS-GVO Anwendung finde. Danach könne entweder in einem einheitlichen Verfahren gegen die juristische Person eine Geldbuße festgesetzt werden, wenn gegen das Organmitglied oder den Repräsentanten, also die natürliche Person, ein Bußgeldverfahren durchgeführt werde oder aber nach § 30 Abs. 4 OWiG in einem selbstständigen Verfahren. Voraussetzung sei in Fall des § 30 Abs. 4 OWiG aber, dass gegen das Organmitglied oder den Repräsentanten der juristischen Person ein Verfahren gar nicht eingeleitet oder ein eingeleitetes Verfahren eingestellt werde. Allerdings müsse, weil die juristische Person eine Ordnungswidrigkeit nicht begehen könne, auch im selbstständigen Verfahren eine vorwerfbare Ordnungswidrigkeit eines Organmitgliedes der juristischen Person festgestellt werden. Die in Art. 83 DS-GVO kodifizierte unmittelbare Unternehmenshaftung verstoße gegen das im deutschen Recht verankerte Schuldprinzip und könne daher nicht angewendet werden.
II. Hiergegen richtet sich die sofortige Beschwerde der Staatsanwaltschaft Berlin. Vor einer (letztinstanzlichen) Entscheidung über dieses Rechtsmittel ist es erforderlich, das Verfahren auszusetzen und gemäß Art. 267 Abs. 3 AEUV eine Vorabentscheidung des Gerichtshofs der Europäischen Union zu den in der Entscheidungsformel gestellten Fragen, welche die Auslegung von im Fall anzuwendendem Sekundärrecht der Union betreffen, einzuholen. Eine gefestigte Rechtsprechung besteht insoweit nicht. Die Sachentscheidung hängt unmittelbar davon ab, ob die Vorlagefrage 1 bejaht wird. Ist dies der Fall, ist die Vorlagefrage 2 von entscheidender Bedeutung für das weitere Bußgeldverfahren. Der Wortlaut der maßgeblichen nationalen Vorschriften – §§ 9, 30 OWiG, 41 BDSG – ist dem Anhang dieses Beschlusses zu entnehmen.
Die sofortige Beschwerde der Staatsanwaltschaft Berlin hätte Erfolg, wenn ein Verfahrenshindernis nicht bestünde. Dies wäre vor dem Hintergrund des § 66 Abs. 1 OWiG der Fall, wenn der Bußgeldbescheid eine ausreichende Grundlage für das Bußgeldverfahren bildete. Nach dieser Vorschrift muss der Bußgeldbescheid „die Bezeichnung der Tat, die dem Betroffenen zur Last gelegt wird, Zeit und Ort ihrer Begehung, die gesetzlichen Merkmale der Ordnungswidrigkeit und die angewendeten Bußgeldvorschriften“ enthalten. Der Bußgeldbescheid muss den Tatvorwurf nach gefestigtem Verständnis formal und sachlich umgrenzen (Umgrenzungsfunktion) und den Betroffenen ausreichend über den Tatvorwurf unterrichten (Informationsfunktion) (vgl. BGHSt 23, 336; Senat Verkehrsrecht aktuell 2019, 123 [Volltext bei juris]; OLG Celle ZfSch 2015, 649). Diese Voraussetzungen könnte der Bußgeldbescheid verfehlen, wenn unter Geltung des § 30 OWiG ein Bußgeldverfahren gar nicht unmittelbar gegen ein Unternehmen geführt werden könnte und die Verhängung einer Geldbuße gegen ein nur „verfahrens-“ oder „nebenbeteiligtes“ Unternehmen nach § 30 Abs. 1 OWiG davon abhinge, dass eine natürliche Person als so genannter Repräsentant die – im Bußgeldbescheid gegebenenfalls konkret zu bezeichnende – „Anlasstat“ zurechenbar deliktisch begangen hätte.
1. Nach überkommenem innerstaatlichen Recht können wegen Ordnungswidrigkeiten Verbandsgeldbußen ausschließlich nach § 30 OWiG festgesetzt werden. Nach dieser Vorschrift können Verbänden bestimmte Ordnungswidrigkeiten (nur) ihrer Leitungspersonen (Repräsentanten) zugerechnet werden. Demzufolge erfordert § 30 OWiG eine durch eine (natürliche) Person begangene Anknüpfungstat. Es liegt nahe, dass die Anlass-Tathandlung zur Erfüllung der Informations- und Umgrenzungsfunktion im Bußgeldbescheid bezeichnet werden muss. Die nachfolgende Verhängung einer Verbandsgeldbuße kommt unter der Geltung des § 30 OWiG nur in Betracht, wenn festgestellt werden kann, dass die Leitungsperson eine bußgeldbewehrte Norm tatbestandlich, rechtswidrig und schuldhaft verletzt hat. Ist dies der Fall, kann die Verbandsgeldbuße nach § 30 Abs. 1 OWiG im gegen die Leitungsperson geführten einheitlichen Verfahren oder nach Anordnung der Verfahrensbeteiligung des Verbands im mit diesem als Verfahrens- oder Nebenbeteiligtem geführten selbstständigen Verfahren festgesetzt werden (§ 30 Abs. 4 OWiG). Die Möglichkeit, über § 30 OWiG den hinter der Leitungsperson stehenden Verband zu sanktionieren, erscheint als akzessorischer Annex oder Reflex des volldeliktischen Handelns der natürlichen Person. Ihre Tat wird dem Unternehmen zugerechnet.
2. Dieses limitierte Haftungsregime des innerstaatlichen Rechts widerspricht der in der nationalen Rechtsprechung (vgl. LG Bonn K & R 2021, 133 <ECLI:DE:LGBN:2020:1111.29OWI1.20.00>) vertretenen Auffassung, Art. 83 DS-GVO überforme als vorrangig geltendes Unionsrecht mit einem Regularium der unmittelbaren Verbandshaftung das tradierte innerstaatliche Regime der lediglich rechtsfolgenbezogenen Zurechnung des Handelns von Leitungspersonen (§ 30 OWiG). Die Auffassung des LG Bonn wird auch mehrheitlich in der Rechtsliteratur geteilt (vgl. Bergt, DuD 2017, 555 [556, 558]; Boms, ZD 2019, 536 [537]; Brodowski/Nowak in BeckOK DatenschutzR 37. Ed., § 41 BDSG Rn. 11.3; von dem Bussche, ZD 2021, 154 [160]; Cornelius in Forgó/Helfrich/Schneider, Betrieblicher Datenschutz 3. Aufl., Teil XIV Rn. 88; Gassner in Gassner/Seith, OWiG 2. Aufl., Einl. Rn. 69; Go-la/Heckmann/Ehmann, BDSG 13. Aufl., § 41 Rn. 19-21; Grözinger in Müller/Schlothauer/Knauer, Anwaltshandb. StV 3. Aufl., § 50 Rn. 139; Kühling/Buchner/Bergt, DS-GVO 3. Aufl., Art. 83 Rn. 20; Qasim, ZD-Aktuell 2021, 05102; Zelger, EuR 2021, 478; Zitzelberger in Esser/Tsambikakis, PandemisstrafR, § 15 Rn. 49 u. v. m.), allerdings auch durch einzelne Stimmen, überwiegend rechtsberatende Autoren und namentlich Wirtschaftsanwälte, abgelehnt (vgl. Konrad, CR 2021, 389 [Anm. zu LG Bonn]; Kremer, NZWiSt 2021, 314; Moos, MMR-Beilage 08, 27; ders. DSRITP 2021, 161; Nolte/di Fabio, juris-PR-Compl 2/2021 Anm. 2; Wybitul/Venn, ZD 2021, 343; Venn/Wybitul, NStZ 2021, 204 [Anm. zu LG Bonn]; Wybitul, ZD 2021, 177; Piltz, § 41 Rn. 7 ff.; vgl. jedoch auch BMI, Evaluierung des Gesetzes zur Anpassung des Datenschutzrechts [Stand Oktober 2021] S. 61).
In der herrschenden Rechtsliteratur wird darauf abgestellt, aus dem Anwendungsvorrang des Unionsrechts ergebe sich, dass die durch Art. 83 DS-GVO gewollten und vorgegebenen supranationalen Grundsätze der Unternehmenssanktionierung normativ leiteten. Schließlich sei die DS-GVO eine im ordentlichen Gesetzgebungsverfahren erlassene Verordnung der Europäischen Union. Als Sekundärrecht der Union habe sie allgemeine Geltung; sie sei in allen ihren Teilen verbindlich und gelte unmittelbar in jedem Mitgliedstaat (Art. 288 AEUV). Bereits dieses Primat streite dafür, dass sich die Zurechnung von Verstößen zu Verbänden nach den anerkannten unionsrechtlichen Maßstäben und nicht nach überkommenen nationalen Zurechnungsgrundsätzen (hier: § 30 OWiG) richte (vgl. Brodowski/Nowak in BeckOK DatenschutzR 37. Ed., § 41 BDSG Rn. 11; Bergt in Kühling/Buchner, DS-GVO BDSG 3. Auflage 2020, § 41 BDSG Rn. 7).
Den Mitgliedstaaten sei es demzufolge grundsätzlich nicht erlaubt, den von der Verordnung festgeschriebenen Datenschutz durch nationale Regelungen abzuschwächen. Das Europarecht weise, historisch gewachsen durch Anliegen eines unverfälschten Wettbewerbs und eines funktionierenden Binnenmarkts nach Art. 26 Abs.1 AEUV (vgl. Faust/Spittka/Wybitul ZD 2016, 120) und begründet im EU-Bankenrecht (Art. 132 und VO [EG] Nr. 25532/98) sowie im EU- Kartellrecht (Art. 101, 102 AEUV und VO [EG] 1/2003), gegenüber dem deutschen Recht gänzlich andere Strukturen der Ahndung von Verstößen auf (vgl. Holländer in BeckOK DatenschutzR 37. Ed., Art. 83 DS-GVO Rn. 8.1). Der Begriff des Unternehmens i.S.d. Art. 101 und 102 AEUV sei nach der ständigen Rechtsprechung des EuGH ein funktionaler (vgl. nur EuGH NJW 1991, 289; NZBau 2007, 190; Emmerich in: Immenga/Mestmäcker, EU-WettbewerbsR 5. Aufl., Art. 101 AEUV Rn. 8). Entscheidend sei hierbei nicht, wer unmittelbar tätig werde, maßgeblich sei vielmehr die konkrete aktive Teilnahme einer Wirtschaftseinheit am Wirtschaftsleben durch das Anbieten (oder Nachfragen) von Gütern oder Dienstleistungen auf einem bestimmten Markt (vgl. EuGH EuZW 1999, 93). Zur Sicherung dieses Ziels sei es zweckmäßig, für die Regulierung nicht an der Rechtsform oder dem einzelnen Rechtssubjekt anzuknüpfen, sondern an der wirtschaftlichen Einheit, in der das unerwünschte, z. B. wettbewerbswidrige, Marktverhalten entstanden sei. Mit diesem funktionalen Unternehmensbegriff gehe das Funktionsträgerprinzip einher, das im Widerspruch zum deutschen Rechtsträgerprinzip (§§ 9, 30 OWiG) stehe (vgl. Holländer, a.a.O. Rn. 9; Monopolkommission BT-Drs. 18/7508, 11 m. w. N.). Wesen des Funktionsträgerprinzips sei es, dass dem Unternehmen (als nach praktischen Bedürfnissen weit verstandener wirtschaftlicher Einheit) die „materielle Haftung für Sanktionen“ zugewiesen werde, so dass die Handlungen aller berechtigt für ein Unternehmen handelnder Bediensteter dem Unternehmen auch bußgeldrechtlich zuzurechnen seien. Nicht einmal erforderlich sei es, den Mitarbeiter und seine konkrete taterfolgauslösende Handlung zu bezeichnen (vgl. EuGH GRUR Int 2004, 45; Bergt, DuD 2017, 555 ([556]); Holländer, a.a.O. Rn. 11). Dieses Konzept bringe es mit sich, dass es auf die nationalen Haftungsregeln nicht ankomme (vgl. Holländer, a.a.O. Rn. 10), diese vielmehr verdrängt würden. Daher sei auch § 30 OWiG mit seinem Modell der Akzessorietät zur volldeliktischen Handlung einer Leitungsperson nicht anwendbar.
Für das Verständnis der Übernahme des europäischen Sanktionsregimes werden durch das LG Bonn und die herrschende Literaturmeinung unterschiedliche Argumente angeführt. Im Einzelnen:
a) Für die Überformung des § 30 OWiG durch das europäische Kartellsanktionsrecht streite bereits der Wortlaut des Art. 83 DS-GVO. In den Absätzen 4 bis 6 werde bestimmt, dass sich die Geldbuße „im Fall eines Unternehmens“ nach dessen Jahresumsatz bemisst. In den Bußgeldtatbeständen würden als Adressaten nur Verantwortliche und Auftragsverarbeiter (Art. 4 Nr. 7 und 8 DS-GVO) sowie die Zertifizierungsstelle im Fall des Art. 83 Abs. 4b DS-GVO und die Überwachungsstelle im Fall des Art. 83 Abs. 4c DS-GVO genannt, wobei durch den EuGH bereits geklärt sei, dass ein Unternehmen wie ‚Facebook Irland‘ Verantwortlicher i.S.v. Art. 4 Nr. 7 DS-GVO sei. Die Entscheidung des EuGH sei zwar zu Art. 2 lit d RL 95/46/EG (Begriffsbestimmung ‚Verantwortlicher‘) ergangen, sei aber für die Auslegung des fast inhaltgleichen Art. 4 Nr. 7 DS-GVO heranzuziehen (EuGH, Urteil vom 29. Juli 2019 – C – 40/17, juris – FashionId <ECLI:EU:C:2019:629>). Die Verhängung einer Geldbuße knüpfe damit gerade nicht an eine schuldhafte Handlung der Organe oder Leitungspersonen juristischer Personen oder Personenvereinigungen an (vgl. LG Bonn K & R 2021, 133<ECLI:DE:LGBN:2020:1111.29OWI1.20.00>).
Gegen diese Deutung wird eingewandt, Art. 83 Abs. 4 bis 6 DS-GVO regele nur die Höhe des Bußgelds, könne aber nicht die „Gruppe möglicher Bußgeldadressaten ausdehnen“ (vgl. Moos, MMR-Beilage 08, 27 [30]).
b) Dass die DS-GVO das EU-Kartellrecht rezipiere, leiten das LG Bonn und die (unabhängige) Rechtsliteratur nicht nur aus dem Wortlaut der Norm, sondern auch aus dem Erwägungsgrund 150 zur DS-GVO ab. In diesem heißt es: „Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff ‚Unternehmen‘ im Sinne der Art. 101 und 102 AEUV verstanden werden.“ Die benannten Normen der AEUV verwenden den EU-kartellrechtlichen Unternehmensbegriff („Undertaking“). In der englischen Fassung der Verordnung erschließt sich dieses Verständnis bereits durch die Verwendung desselben Begriffs („Undertaking“ gegenüber „Enterprise“), wodurch zum Ausdruck komme, dass das Funktionsträgerprinzip als europäisches Sanktionsmodell zur Anwendung kommen soll, sich das Tatbestandsmerkmal „Unternehmen“ in Art. 83 DS-GVO also nicht auf das Rechtssubjekt, sondern funktional auf die wirtschaftliche Einheit beziehe (vgl. ausf. Zelger, EuR 2021, 478 (481 ff.); Holländer, a.a.O. Rn. 13.3).
c) Auch weitere Erwägungsgründe zu DS-GVO belegten den Willen des europäischen Gesetzgebers, das europäische Kartellsanktionenrecht zu den Zwecken der Harmonisierung und der Ertüchtigung/Effektivierung des Datenschutzrechts zu implementieren. Aus dem Erwägungsgrund 9 (Unterschiedliche Schutzstandards durch die RL 95/46/EG) etwa ergebe sich das Ziel, die „Unterschiede bei der Umsetzung und Anwendung der Richtlinie“, das „unterschiedliche Schutzniveau“ und die „Rechtsunsicherheit“ des bisherigen Datenschutzrechts zu beenden. Dieser Erwägungsgrund formuliere die mit der DS-GVO erstrebten Ziele der Harmonisierung und der Ertüchtigung des europäischen Datenschutzrechts. Auch der Erwägungsgrund 10 (Gleichwertiges Schutzniveau trotz nationaler Spielräume) betreffe die Ziele der Harmonisierung und die Ertüchtigung des Datenschutzrechts. Mit besonderer Deutlichkeit streite der Erwägungsgrund 11 (Gleiche Befugnisse und Sanktionen) dafür, dass der europäische Gesetzgeber auch ein gleichförmiges Rechtsfolgenregime erstrebe. Denn er formuliere u.a. das Ziel „gleicher Sanktionen“ im Falle der „Verletzung“ der DS-GVO-Vorschriften. Auch in Erwägungsgrund 13 (Berücksichtigung von Kleinstunternehmen …) werde das Ziel „gleichwertige[r] Sanktionen in allen Mitgliedstaaten“ formuliert. In Erwägungsgrund 129 (Aufgaben und Befugnisse der Aufsichtsbehörden zur Verordnung) werde das Erfordernis einer „einheitliche[n] Überwachung und Durchsetzung der Verordnung“ betont. Schließlich zeige auch der Erwägungsgrund 148 (Sanktionen) den Wunsch des Verordnungsgebers, „im Interesse einer konsequenteren Durchsetzung der Vorschriften der Verordnung“ bei Verstößen „Sanktionen zu verhängen“. In Bezug auf das Verfahren verweise der Text auf „die allgemeinen Grundsätze des Unionsrechts …“ (vgl. im Einzelnen LG Bonn K & R 2021, 133 <ECLI:DE:LGBN:2020:1111.29OWI1.20.00>).
d) Eine Zurückdrängung des Rechts der Mitgliedstaaten und deren haftungslimitierender Zurechnungsregeln ergibt sich nach der herrschenden Literaturmeinung auch aus dem durch die DS-GVO erstrebten Harmonisierungsgrad.
aa) Da die Sanktionierung von Ordnungsverstößen von Verbänden in der EU auf unterschiedlichen Rechtstraditionen beruhe, hätte die Verknüpfung der Art. 83 Abs. 4 bis 6 DS-GVO mit nationalen Haftungs- und Zurechnungsvorschriften zur Folge, dass auch die Sanktionierung von Unternehmen in hohem Maße uneinheitlich wäre. Dies beträfe nicht nur die materiell-rechtliche Reichweite der Bußgeldhaftung von Unternehmen, sondern auch die Effektivität der Verfahren. Die durch die DS-GVO beabsichtigte einheitliche und effektive Sanktionierung von Datenschutzverstößen sei unter der Geltung des § 30 OWiG ersichtlich nicht zu erreichen (vgl. Brodowski/Nowak in BeckOK-DatenschutzR 37. Ed., § 41 BDSG Rn. 11; Brechtel/Hansen K&R 2021, 138). Vielmehr gehe mit der Anwendung des § 30 OWiG und anderer Zurechnungsbegrenzungen der nationalen Rechtsordnungen eine erhebliche Erschwerung der Rechtsdurchsetzung einher (vgl. Nägele/Apel/Stolz/Pohl, DB 2021, 1928). Rechtstatsächlich stehe die Anwendung des § 30 OWiG der Verhängung von Unternehmensgeldbußen häufig und nicht nur im Bereich des Datenschutzes entgegen, weil in einem Unternehmen die intern handelnden Personen nicht oder nur mit unverhältnismäßigem (auch Eingriffs-) Aufwand zu ermitteln seien. Gerade diese Nachteile des Rechtsträgerprinzips im Bereich des Rechtsgüterschutzes, die zudem einer gerechtigkeitswidrigen Ungleichbehandlung der Unternehmen Vorschub leisteten, hätten dem europäischen Gesetzgeber Anlass gegeben, das gerechtere, effektivere und schlicht schlagkräftigere Modell des Funktionsträgerprinzips in der DS-GVO zu adaptieren. Das LG Bonn (K & R 2021, 133 <ECLI:DE:LGBN:2020:1111.29OWI1. 20.00>) hat hierzu prägnant ausgeführt: „Eine Einschränkung und Schwächung des unionsrechtlichen Haftungsmodells durch Vorschriften wie in § 30 Abs. 1 OWiG ist von Art. 83 Abs. 8 DS-GVO nicht gedeckt.“ In der Literatur wird, auf den europarechtlichen Effet Utile Bezug nehmend, formuliert, die Anwendung des § 30 OWiG „würde die Bußgeldvorschriften der DS-GVO letztlich zu einem Schwert ohne scharfe Klinge verkommen lassen“ (Qasim, ZD-Aktuell 2021, 05102).
bb) Möge die DS-GVO zum erstrebten Harmonisierungsgrad auch keine ausdrückliche Aussage enthalten (vgl. Nietsch/Osmanovic, BB 2021, 1858 m. w. N.), ergebe eine historisch-systematische Gesamtschau, dass nicht von einer Mindest-, sondern von einer erstrebten Voll- oder Maximalharmonisierung auszugehen sei. Bereits für die Datenschutzrichtlinie (RL 95/46/EG) und namentlich auch für ihr Sanktionsregime hätten jedenfalls der EuGH eine vollharmonisierende Wirkung angenommen (vgl. EuGH EuZW 2012, 37 [Rn. 29]). Nichts spreche dafür, dass die DS-GVO ein anderes Konzept verfolge. Im Gegenteil bestätigten ihre noch mehr ins Detail gehenden Regelungen das Bestreben des Gesetzgebers um eine weitest mögliche Harmonisierung des Datenschutzrechts und damit einhergehend um abnehmende legislative Gestaltungsspielräume der Mitgliedstaaten (vgl. Kingreen in Calliess/Ruffert, AEUV, EUV 5. Aufl., Art. 16 AEUV Rn. 4). Daher sei es schwer vorstellbar, dass solch grundlegende Haftungsvoraussetzungen wie Zurechnungsfragen in die Hände der Mitgliedstaaten gelegt werden sollten. Die praktische Folge einer solchen Kompetenzdiffusion wäre, so wird ausgeführt, „dass gleichwertige materielle Datenschutzverstöße in mehreren Mitgliedstaaten auf unterschiedliche Weise sanktioniert oder gar völlig sanktionslos blieben, obwohl die DS-GVO grenzüberschreitend das maßgebliche und unmittelbar anwendbare Regelungswerk ist“ (vgl. von dem Bussche, ZD 2021, 154).
3. In der überwiegend rechtsberatenden Literatur wird repliziert, das Verständnis des Art. 83 DS-GVO als auf das europäische Kartellsanktionsrecht verweisende Norm der unmittelbaren Unternehmenshaftung verstoße gegen bindendes nationales Recht und auch gegen supranational anerkannte Rechtsgrundsätze. Art. 83 DS-GVO adaptiere schon nicht das europäische Kartellsanktionsrecht. Aber selbst wenn dem so wäre, ergäbe sich kein Anwendungsvorrang des Unionsrechts. Dieses werde nämlich durch die in Art. 23 Abs. 1 Satz 3 i. V. m. Art. 79 Abs. 3 GG für „integrationsfest“ erklärten Grundsätze der Verfassung begrenzt (Bezug: BVerfG NStZ 2016, 546). Zu den Schutzgütern der hier niedergelegten Verfassungsidentität, die auch vor Eingriffen durch die supranational ausgeübte öffentliche Gewalt geschützt sind, gehörten die Grundsätze des Art. 1 GG, also die Verpflichtung aller staatlichen Gewalt, die Würde des Menschen zu achten und zu schützen (Art. 1 Abs. 1 Satz 2 GG), mithin auch der in Art. 1 Abs. 1 GG verankerte Schuldgrundsatz (vgl. BVerfG a. a. O.). Im Einzelnen:
a) § 41 Abs. 1 Satz 1 BDSG verbiete es, Bußgeldverfahren gegen juristische Personen zu führen. In der Vorschrift heißt es, für Verstöße nach Art. 83 Abs. 4 bis 6 DS-GVO gälten, „soweit dieses Gesetz nichts anderes bestimmt“, die Vorschriften des OWiG sinngemäß. § 41 Abs. 1 Satz 2 BDSG nimmt hiervon ausdrücklich die §§ 17, 35 und 36 OWiG aus. Für das Verfahrensrecht enthält § 41 Abs. 2 BDSG eine entsprechende Regelung, wobei die §§ 56 bis 58, 87, 88, 99 und 100 OWiG ausgenommen sind.
Hieraus schließt die rechtsberatende Literatur, dass ein nach Art. 83 DS-GVO geführtes Bußgeldverfahren die Zurechnungs- und Verfahrensgrundsätze des § 30 OWiG zwingend zu beachten habe (vgl. Kirschhöfer, BB 2021, 1043 [1044]; Konrad, CR 2021, 389 [Anm. zu LG Bonn]; Moos, MMR-Beilage 08, 27; ders. DSRITP 2021, 161; Wybitul/Venn, ZD 2021, 343; Venn/Wybitul NStZ 2021, 204 [Anm. zu LG Bonn]; Wybitul, ZD 2021, 177; Piltz, § 41 Rn. 7 ff.).
Unabhängig von dem hier zu erörternden Vorrang des Unionsrechts fällt in diesem Zusammenhang auf, dass § 30 OWiG nicht von der Verweisung in § 41 BDSG ausgenommen worden ist, wohl aber durch § 41 Abs. 2 Satz 2 BDSG die zur prozessualen Durchsetzung des § 30 OWiG erforderliche Verfahrensvorschrift des § 88 OWiG. § 41 BDSG wird daher als inkohärent, dysfunktional und insgesamt „verunglückt“ bezeichnet (vgl. Lamsfuß, NZWiSt 2021, 98; Nietsch/Osmanovic, BB 2021, 1858 [„widersprüchlich“]; ebenso Brodowski/Nowak in BeckOK-DatenschutzR, 37. Ed., § 41 BDSG Rn. 11.3). Zwar geben die Materialien keinen Aufschluss über den Grund dieser Diffusion, ein klassisches Redaktionsversehen erscheint angesichts des Verlaufs des Gesetzgebungsverfahrens indes als unwahrscheinlich (vgl. Stürzl/Lachenmann in Koreng/Lachenmann, Formularhandbuch DatenschutzR 3. Auflage, I. Anm. 19; Nietsch/Osmanovic, BB 2021, 1858 [„Folgeversehen“]; Venn/Wybitul NStZ 2021, 204). Denkbar ist aber, dass die „Herausnahme“ des § 30 OWiG als politisch (noch) nicht opportune Vorwegnahme des Verbandssanktionengesetzes bewertet worden ist (ähnlich Nietsch/Osmanovic, BB 2021, 1858: „Bestehendes Grundkonzept sollte nicht … en passant aufgegeben werden“).
b) Als gegen die Adaption einer unmittelbaren Unternehmenshaftung sprechender Gesichtspunkt wird in der Rechtsliteratur Art. 83 Abs. 8 DS-GVO ins Feld geführt. In dieser Vorschrift verweist der europäische Gesetzgeber für die Gewährleistung angemessener Verfahrensgarantien „einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren“ (auch) auf das Recht der Mitgliedstaaten.
Hiergegen wird eingewandt, diese Vorschrift betreffe das Verfahrensrecht, während es sich bei dem in Rede stehenden § 30 OWiG – jedenfalls im hier zentralen Gesichtspunkt – um eine Zurechnungsregelung und folglich um eine Norm des materiellen Rechts handele (vgl. LG Bonn K&R 2021, 133 <ECLI:DE:LGBN:2020:1111.29 OWI1.20.00>; Zelger, EuR 2021, 478).
c) Weiter wird, insbesondere auch durch den angefochtenen Einstellungsbeschluss, eingewandt, eine unmittelbare bußgeldrechtliche Unternehmensverantwortung verstoße gegen das Schuldprinzip. Das Landgericht Berlin vertritt die Ansicht, der staatliche Strafausspruch erfordere stets eine Anknüpfung an die schuldhafte Handlung einer natürlichen Person. Schuld setze die Willensfreiheit und Verantwortung des Einzelnen voraus, sich für Recht oder Unrecht zu entscheiden. Daran fehle es im Fall juristischer Personen. Vor dem Hintergrund des Schuldprinzips bedürfe auch ein nach Art. 83 DS-GVO geführtes Bußgeldverfahren einer von einem Menschen begangenen Anknüpfungstat, die dem Unternehmen (nur) nach § 30 OWiG zugerechnet werden könne (vgl. Moos, MMR-Beil. 2021 Heft 08, 27; Wybitul/Venn, ZD 2021, 343; Venn/Wybitul, NStZ 2021, 204; Wybitul, ZD 2021, 177; abgeschwächt [„durchaus kritisch zu sehen“] Stürz/Lachenmann in Koreng/Lachenmann, Formularhandbuch 3. Auflage, I. Anm. 19).
d) Weiter wenden Teile der Literatur ein, die Adaption des europäischen Kartellrechts durch die DS-GVO verstieße auch gegen andere Grundsätze des Gesetzlichkeitsprinzips, namentlich gegen das Bestimmtheitsgebot und das Analogieverbot des Art. 103 Abs. 2 GG (vgl. Nietsch/Osmanovic, BB 2021, 1858; Wybitul/Venn, ZD 2021, 343; wohl auch Lantwin, ZD 2019, 14). Diese Bedenken gründen u.a. auf der Einschätzung, das europäische Sanktionsrecht sei so „fragmentarisch“ (vgl. Moos MMR-Beilage 08, 27; ders. DSRITP 2021, 161), dass ihm kein konsistentes und allgemein zu beachtendes Modell einer Verbandsgeldbuße entnommen werden könne.
III. Sollte die Vorlagefrage zu 1 bejaht werden, ist für das weitere Verfahren von zentraler Bedeutung, nach welchen Maßstäben die „Unternehmensschuld“ zu bestimmen ist. Nach dem in Vorlagefrage 2 bezeichneten Art. 23 KartellverfahrensVO können Geldbußen („ohne strafähnlichen Charakter“) gegen „Unternehmen und Unternehmensvereinigungen“ festgesetzt werden, wenn diese bestimmte Pflichtwidrigkeiten vorsätzlich oder fahrlässig begangen haben. Allerdings wird unter Verweis auf Art. 83 Abs. 2 lit. b DS-GVO vertreten, die hier bezeichneten Schuldformen seien keine deliktischen Ahndbarkeitsvoraussetzungen, sondern beträfen reine Zumessungskriterien. Eine Ahndung bedürfe nach dem „strict-liability“-Grundsatz lediglich der Feststellung einer objektiven Pflichtwidrigkeit (vgl. Bergt, DuD 2017, 555; Boms, ZD 2019, 536; Kühling/Buchner/Bergt, DS-GVO 3. Aufl., Art. 83 Rn. 35; dies. § 41 BDSG Rn. 5; Ehmann/Selmayr/Nemitz, DS-GVO 2. Aufl., Art. 83 Rn. 17 f.). Auch der EuGH hat bereits entschieden, dass es über die objektive Tatbestandsverwirklichung hinaus eines spezifischen Verschuldens gar nicht bedarf (EuGH, Urteil vom 7. Juni 1983 – C-100/80 – [juris], <ECLI:EU:C:1983:158>: „Feststellung der Rechtsverletzung als solche“ genügt).