Seit dem Vorlagebeschluss des Berliner Kammergerichts vom 6.12.2021 (3 Ws 250/21 – 161 AR 84/21) wartet die deutsche Datenschutzgemeinde gespannt auf eine Entscheidung des EuGH. Bescheide deutscher Datenschutzbehörden über Bußgelder in Millionenhöhe sind seit 2021 Mangelware. Denn wenn es sich so verhält, dass – wie das LG Berlin meint – die §§ 30 und 130 OWiG zu beachten sind (LG Berlin vom 18.2.2021, 526 OWi LG Js-OWi 1/20), kommt auf die Behörden eine bislang ungewohnte Ermittlungsarbeit zu. Denn man wird kein Bußgeld gegen ein Unternehmen mehr verhängen können, ohne ein schuldhaftes Handeln einer Führungskraft (§ 30 OWiG) oder eine fahrlässige Unterlassung von Aufsichtsmaßnahmen nachweisen zu können.
Liest man die Schlussanträge des EuGH-Generalanwalts vom 27.4.2023 (C-807/21), ahnt man, dass nach dem alsbald zu erwartenden EuGH-Urteil so manche Frage offenbleiben könnte. Denn die beiden Vorlagefragen des Kammergerichts waren zwar sehr umständlich, im Kern jedoch zumindest ungeschickt formuliert. So ungeschickt, dass eine der beiden Fragen unzulässig sein und die andere Frage allenfalls zu § 30 OWiG, nicht jedoch auch zu § 130 OWiG Klarheit schaffen könnte.
Fangen wir mit der zweiten Vorlagefrage des Kammergerichts an. Sie lautete:
„Ist Art. 83 Abs. 4 bis 6 DSGVO dahin auszulegen, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss [vgl. Art. 23 der Verordnung (EG) Nr. 1/2003](4), oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus („strict liability“)“
Bei dieser Frage irritiert bereits die Bezugnahme auf eine kartellrechtliche Norm, die ohne jegliche Relevanz für Art. 83 DSGVO ist. Zudem ist nicht recht ersichtlich, weshalb sich die Frage in dem Fall „Deutsche Wohnen“ überhaupt stellt. Denn die Berliner Datenschutzbehörde hatte in ihrem Bußgeldbescheid ein vorsätzliches Handeln des Unternehmens bejaht (ohne allerdings Feststellungen gemäß § 30 oder § 130 OWiG) zu treffen. Der Generalanwalt hält daher die gesamte Vorlagefrage für unzulässig, da sie „hypothetischer Natur ist“.
Nur hilfsweise hat sich der Generalanwalt sodann mit der Frage befasst, ob ein Bußgeld schon dann verhängt werden darf, wenn eine datenschutzrechtliche Pflicht (objektiv) verletzt wurde, oder ob es darüber hinaus des Nachweises schuldhaften Handelns bedarf. Im Ergebnis meint der Generalanwalt, dass eine objektive Pflichtverletzung nicht ausreicht und stützt sich dabei maßgeblich auf Art. 83 Abs. 3 DSGVO, der vorsieht, dass in Fällen, in denen ein Verantwortlicher oder Auftragsverarbeiter „vorsätzlich oder fahrlässig“ gegen mehrere Bestimmungen der DSGVO verstößt (Zusammentreffen mehrerer Verstöße), die Höhe der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß übersteigt. Daraus ergebe sich, dass rein objektive Verstöße für die Sanktion insoweit ohne Bedeutung sind, als sie nicht kumulativ zu vorsätzlichen oder fahrlässigen Verstößen berücksichtigt werden.
Die erste Vorlagefrage des Kammergerichts lautete:
„Ist Art. 83 Abs. 4 bis 6 DSGVO dahin auszulegen, dass er den den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf?“
Mit dem Begriff des „Funktionsträgerprinzips“ konnte der Generalanwalt ebenso wenig anfangen wie mit der Relevanz der Art. 101 und 102 AEUV. Auf Art. 101 und 102 AEUV wird zwar in Erwägungsgrund 150 DSGVO Bezug genommen, dort geht es jedoch nicht um das „Ob“ eines Bußgelds, sondern um dessen Höhe. Und der „funktionale Unternehmensbegriff“ der Art. 101 und 102 AEUV hat nichts und überhaupt nichts damit zu tun, welche Schuldnachweise geführt werden müssen, um ein Bußgeld gegen ein Unternehmen zu verhängen.
Zu § 30 OWiG äußert sich der Generalanwalt nur sehr zurückhaltend und meint (in Rn. 57):
„Eine juristische Person, die als für die Verarbeitung personenbezogener Daten Verantwortliche oder als Auftragsverarbeiterin eingestuft werden kann, muss die Folgen – in Gestalt von Sanktionen – von Verstößen gegen die DSGVO nicht nur tragen, wenn diese von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch, wenn die Verstöße von natürlichen Personen (Mitarbeitern im weiteren Sinne) begangen wurden, die im Rahmen der unternehmerischen Tätigkeit des Unternehmens und unter der Aufsicht der zuerst genannten Personen handeln.“
Wäre somit das deutsche Bußgeldrecht so zu verstehen, dass ein Bußgeld nur verhängt werden darf, wenn einer Führungskraft Vorsatz oder Fahrlässigkeit vorgeworfen werden kann, so wäre dies nach Auffassung des Generalanwalts DSGVO-widrig. Der Generalanwalt lässt allerdings offen, ob sich bei Heranziehung der §§ 9 und 130 OWiG nicht ein anderes Bild ergibt. Dies zu beurteilen sei nicht Sache des EuGH, sondern Sache der nationalen Gerichte.
Es bleibt abzuwarten, ob der EuGH den Fall mit der gleichen Zurückhaltung behandeln wird wie der Generalanwalt, dem es jedenfalls gelungen ist, die eklatanten Schwächen der Vorlagefragen des Kammergerichts deutlich zu machen.