Aufsatz : Bußgeldzumessung im Datenschutzrecht : aus der RDV 2/2021, Seite 71 bis 77
Aktuelle Fragestellungen und Problemkreise (zugleich Besprechung von LG Bonn, Urteil vom 11.11.2020 – 29 OWi 1/20 = RDV 2021, 48)
Die Datenschutz-Grundverordnung (im Folgenden: DS-GVO) hat auch und gerade infolge des im Vergleich zur vormaligen Rechtslage deutlich erhöhten Bußgeldrahmens an Praxisrelevanz gewonnen. Auf die veränderten rechtlichen Rahmenbedingungen haben die deutschen Datenschutzbehörden reagiert und ihre Sanktionspraxis angepasst. So ergingen in den vergangenen Monaten hohe datenschutzrechtliche Bußgelder unter anderem gegen den Modekonzern H&M in Höhe von € 35,3 Mio.,[1] gegen die Immobiliengesellschaft Deutsche Wohnen SE in Höhe von € 14,5 Mio.[2] und gegen den Telekommunikationsdienstleister 1&1 Telecom GmbH in Höhe von € 9,55 Mio.[3] Im letztgenannten Fall liegt nun erstmals ein Gerichtsurteil[4] zur aktualisierten Bußgeldpraxis der deutschen Datenschutzbehörden vor. Mit Beschluss vom 18.02.2021 hat zudem unlängst das LG Berlin im Bußgeldverfahren gegen die Deutsche Wohnen SE entschieden.
I. Urteil des LG Bonn
Die 9. Kammer für Bußgeldsachen des Landgerichts (im Folgenden: LG) Bonn stimmt in ihrem Urteil vom 11.11.2020 (Az. 29 OWi 1/20) zwar in vielen Punkten überein mit der Beurteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (im Folgenden: BfDI), der im Dezember 2019 das Bußgeld gegen die 1&1 Telecom GmbH erlassen hatte. In einem zentralen Aspekt weicht das Urteil aber wesentlich von dem Bußgeldbescheid ab: Es wird der Betrag der verhängten Geldbuße drastisch reduziert, wobei sich das Gericht auch mit dem neuen Bußgeldkonzept[5] der deutschen Datenschutzkonferenz (im Folgenden: DSK), eines Zusammenschlusses der Datenschutzbehörden des Bundes und der Länder, aus dem Jahr 2019 auseinandersetzt.
1. Zugrundeliegender Sachverhalt
Anlass für die Verhängung des Bußgelds gaben die nach Auffassung des BfDI unzureichenden Anforderungen an die Authentifizierung der Kunden des Telekommunikationsdienstleisters 1&1 bei der Nutzung einer Telefon-Hotline. So konnten Unberechtigte bereits durch die Angabe von Namen und Geburtsdatum einer Person weitreichende Informationen zu deren Vertrag mit 1&1 erhalten.
Zwar wurde im Fall eines Anrufs bei dem Callcenter der 1&1 Telecom GmbH auf erster Stufe im Rahmen einer Identifizierung des Kunden danach unterschieden, ob der Anruf von einer Telefonnummer getätigt wurde, die der Telekommunikationsdienstleister selbst vergeben hatte oder ob es sich um eine „externe“ Telefonnummer handelte. Zur anschließenden Authentifizierung genügte aber bereits die Angabe des Geburtsdatums des Kunden auch dann, wenn es sich bei dem Anrufer erkennbar nicht um den Kunden selbst, sondern um einen Dritten handelte. Für diese – dem Urteil des LG Bonn zugrundeliegende – Konstellation existierten insoweit keine weiteren sichernden Vorgaben. Vielmehr wurden für den Kunden handelnde, diesem nahestehende Personen im Regelfall auch ohne ausdrückliche Legitimation durch den Kunden als (vertretungs-)berechtigt angesehen. In Anbetracht dessen bestand ein substantielles Risiko für die Rechte und Freiheiten der Kunden der 1&1 Telecom GmbH, das sich insbesondere in einer unerwünschten Kontaktaufnahme bis hin zum „Stalking“ manifestieren konnte und aus dem materielle wie immaterielle Schäden zu erwachsen drohten.
Im konkret gerügten Fall ging es um die ehemalige Lebensgefährtin eines Kunden, die durch einen Anruf bei der Hotline unter anderem dessen neue Rufnummer erhalten hatte. Nach alledem sah der BfDI einen Verstoß gegen die Pflicht zur Implementierung hinreichender technischer und organisatorischer Maßnahmen aus Art. 32 Abs. 1 DS-GVO als gegeben an und verhängte daher ein Bußgeld in Höhe von € 9,55 Mio. gegen die 1&1 Telecom GmbH.[6] Gegen diesen Bußgeldbescheid wandte sich das Unternehmen vor dem LG Bonn. In Ermangelung eines hinreichend sicheren Authentifizierungsverfahrens hat das Gericht das Vorliegen eines Datenschutzverstoßes seitens des Unternehmens – in Übereinstimmung mit dem BfDI – bejaht: Es wird festgehalten, dass die 1&1 Telecom GmbH gegen Art. 83 Abs. 4 Buchst. a) i.V.m. Art. 32 Abs. 1 DS-GVO verstoßen habe, da es jedenfalls grob fahrlässig unterlassen worden sei, Prozesse zur hinreichenden Authentifizierung von Anrufern zu gewährleisten.[7] Den als Sanktion für diesen Verstoß festgesetzten Betrag hat das Gericht aber im Ergebnis als unangemessen hoch angesehen.
2. Gegenstand und Ziele des Beitrags
Vor dem Hintergrund der aktualisierten Bußgeldpraxis der deutschen Aufsichtsbehörden, die auf dem neuen Berechnungsmodell der DSK basiert, der allgemeinen Kritik am DSK-Konzept und der besonderen Problemlagen im Fall der 1&1 Telecom GmbH ist das Urteil des LG Bonn mit Spannung erwartet worden. Zunächst wirft die erstmalige Auseinandersetzung eines Gerichts mit einem nach dem neuen DSK-Konzept verhängten Bußgeld die Frage auf, welche Position das LG Bonn zu dem Bußgeldkonzept einnimmt. Zudem waren durch das Gericht grundsätzliche dogmatische Fragen zur DS-GVO und zu deren Zusammenspiel mit dem nationalen (Bußgeld-)Recht – so insbesondere betreffend die Erforderlichkeit des Vorliegens eines Verstoßes einer Leitungsperson und das Schuldprinzip – zu behandeln. Der vorliegende Beitrag befasst sich mit den hierdurch aufgeworfenen datenschutzrechtlichen Problemkreisen im Kontext der Bußgeldzumessung nach der DS-GVO, bezieht hierzu Stellung und geht auf Praxisfolgen ein.
II. Verbandshaftung/Handlungszurechnung
Nach vorangegangener Feststellung des Vorliegens eines Datenschutzverstoßes lässt das LG Bonn für die Sanktionierung der 1&1 Telecom GmbH genügen, dass dieser Verstoß seitens irgendeines Mitarbeiters des Unternehmens begangen wurde.[8] Das Gericht lehnt die Anwendung der nationalen Zurechnungsvorschrift des § 30 OWiG ab und hält somit die Feststellung des Verstoßes einer natürlichen (Leitungs-)Person des Unternehmens gegen die datenschutzrechtlichen Bestimmungen für nicht erforderlich.[9] Damit positioniert sich das Gericht bereits in diesem Kontext jedenfalls mittelbar zu der kontrovers diskutierten Frage betreffend die Verwendung eines sogenannten „funktionalen Unternehmensbegriffs“ nach unionskartellrechtlichem Vorbild im Datenschutzbußgeldrecht, als deren Konsequenz sich eine unmittelbare Verbandshaftung ergibt.[10]
1. Anwendbarkeit des mitgliedstaatlichen Sanktionenrechts
Das deutsche Recht geht hinsichtlich der Haftung von Unternehmen für Straftaten oder Ordnungswidrigkeiten vom sogenannten Rechtsträgerprinzip aus. Danach ist eine direkte Sanktionierung juristischer Personen oder Personenvereinigungen nur über die Zurechnungsvorschrift des § 30 OWiG für den Fall möglich, dass eine im Katalog des § 30 Abs. 1 OWiG genannte natürliche Leitungsperson die jeweilige Straftat oder Ordnungswidrigkeit begangen hat. Ganz grundlegend stellt sich insoweit die Frage – mit der sich letztlich auch das LG Bonn beschäftigt –, ob und inwieweit (materielle) mitgliedstaatliche Vorschriften im Wege einer „Lückenschließung“ hier überhaupt herangezogen werden können. Die Anwendbarkeit des § 30 OWiG im Rahmen von nach Art. 83 Abs. 4 bis 6 DS-GVO zu sanktionierenden Datenschutzverstößen legt der umfassende Verweis des § 41 Abs. 1 S. 1 DS-GVO auf das OWiG – und auch der Umstand, dass § 41 Abs. 1 S. 2 DS-GVO keine entsprechende Ausnahme von der Verweisung vorsieht – nahe.[11] Die Verordnung selbst trifft hingegen keine (ausdrückliche) Festlegung hinsichtlich einer § 30 OWiG vergleichbaren Zurechnung von Datenschutzverstößen.
Eines der zentralen Ziele der DS-GVO ist – auch und gerade mit Blick auf die vorherige Rechtslage unter Geltung der Datenschutz-Richtlinie (im Folgenden: DS-RL) – die Vereinheitlichung der Befugnisse und Sanktionen innerhalb der Mitgliedstaaten.[12] Der Erreichung dieses Ziels wäre es abträglich, wenn die Mitgliedstaaten letztlich weiterhin ihre nationalen Vorschriften zur Anwendung bringen könnten. So steht auch der in Art. 4 Abs. 3 EUV verankerte unionsrechtliche Effektivitätsgrundsatz (effet utile) einer Schwächung der Durchsetzung unionsrechtlicher Regelungen durch die Anwendung nationaler Regelungen entgegen.
2. Unmittelbare Verbandshaftung
Vor diesem Hintergrund fordert Erwägungsgrund 150 S. 3 DS-GVO die Anknüpfung an den unionskartellrechtlichen Unternehmensbegriff bei der Verhängung von Geldbußen gegenüber Unternehmen. Hiernach soll der Begriff „Unternehmen“ im Sinne der Art. 101, 102 AEUV und damit unionskartellrechtlich verstanden werden. Neben weiteren Implikationen[13] ist eine Konsequenz der Verwendung dieses „funktionalen Unternehmensbegriffs“[14] die unmittelbare Verbandshaftung im Sinne eines Funktionsträgerprinzips. In diesem Sinne haftet das Unternehmen als funktionale Einheit unmittelbar für den Verstoß (irgend-)eines Mitarbeiters, der nicht einmal bestimmbar sein muss.[15] Der einzelne Rechtsträger bleibt zwar formal betrachtet Adressat des Bußgeldbescheides.[16] In die Haftung genommen wird aber (gesamtschuldnerisch) letztlich der gesamte Konzern.[17]
3. Ausführungendes LG Bonn
Die beschriebene Problematik greift zu Recht auch das LG Bonn auf. Das Gericht führt in diesem Kontext aus, die uneingeschränkte Anwendbarkeit mitgliedstaatlicher Regelungen habe nicht nur eine uneinheitliche Sanktionspraxis innerhalb der Union zur Folge, sondern betreffe auch die Effektivität der Durchsetzung.[18] Konkret würde dies in Bezug auf die Anwendbarkeit der nationalen Vorschrift des § 30 OWiG bedeuten, dass eine umfangreiche Sachverhaltsaufklärung erforderlich wäre, um den intern für den Datenschutzverstoß Verantwortlichen zu ermitteln. Nach zutreffender Auffassung des Gerichts würde dies zu einer „erheblichen Einschränkung der Bußgeldverhängung gegen Unternehmen führen“.[19] Bekräftigt wird dieses Argument durch den [20] Befund, dass Art. 83 Abs. 8 DS-GVO eine Öffnung für mitgliedsstaatliche Regelungen lediglich hinsichtlich verfahrensrechtlicher Vorschriften vorsehe, während § 30 OWiG einen darüber hinausgehenden Regelungsgehalt aufweise.[21] Nach Auffassung des LG Bonn verbietet sich also im Ergebnis ein Abstellen auf nationale Zurechnungsregelungen. Das Gericht fordert damit keine nähere Bestimmung des für den datenschutzrechtlichen Verstoß verantwortlichen Mitarbeiters. Vielmehr wird es als ausreichend erachtet, dass im Bußgeldbescheid lediglich der Verstoß näher dargestellt wird.
4. Stellungnahme / Rechtsvergleichende Perspektive
Obwohl die Übertragung des funktionalen Unternehmensbegriffs auf das Datenschutzbußgeldrecht als solche durchaus kritisch zu hinterfragen ist, ist das von dem LG Bonn gefundene Ergebnis hinsichtlich der Nichtanwendung des § 30 OWiG und die damit zusammenhängende Ablehnung des Erfordernisses eines Verstoßes durch eine Leitungsperson somit insgesamt als folgerichtig zu bewerten.[22] Die Handlungszurechnung erfolgt einzig auf der Grundlage und am Maßstab des Unionsrechts.
Die Brisanz dieser Zurechnungsfragen zeigt sich auch anhand eines Vergleichs mit der jüngeren Sanktionierungspraxis und der hierzu ergangenen Judikatur in Österreich. In einem vergleichbaren Fall, der dem Bundesverwaltungsgericht der Republik Österreich vorlag, hatte das Gericht die § 30 OWiG entsprechende Zurechnungsvorschrift, i.e. § 30 öDSG, für weiterhin anwendbar befunden und den Anwendungsvorrang der Art. 83 Abs. 4 bis 6 DS-GVO verneint.[23] Während in Deutschland eine Sanktionierung stattfinden könnte, ohne dass der verantwortliche Mitarbeiter zu ermitteln und zu benennen sein muss, soll auf dieser Grundlage in Österreich kein Bußgeld verhängt werden können. Kann also der Mitarbeiter des österreichischen Unternehmens, durch den der Datenschutzverstoß begangenen worden war, nicht (mehr) identifiziert werden, entfiele eine Sanktionierung des Unternehmens gänzlich. Eine solch uneinheitliche Rechtspraxis innerhalb der Mitgliedstaaten dürfte nicht als vom Verordnungsgeber intendiert angesehen werden können.
III. Verschulden des Verantwortlichen
Das LG Bonn streift weiter die Frage nach dem Bestehen eines Verschuldenserfordernisses im Rahmen des Datenschutzverstoßes. Eine verschuldensunabhängige Sanktionierung wäre mit deutschem Verfassungsrecht nicht vereinbar. Denn das deutsche Rechtssystem baut auf dem Gedanken auf, dass Strafe stets Schuld voraussetzt („nulla poena sine culpa“). Dieses sogenannte Schuldprinzip wird vom Bundesverfassungsgericht als integrationsfester Verfassungsgrundsatz eingeordnet[24] und gilt hiernach nicht nur für das Strafrecht, sondern kann auch im Ordnungswidrigkeitenrecht Geltung beanspruchen.[25]
1. Abstraktes Schulderfordernis
Durch die Verordnung selbst wird ausdrücklich kein Verschuldenserfordernis aufgestellt. Lediglich im Rahmen der Bußgeldzumessung sollen Vorsatz oder Fahrlässigkeit Berücksichtigung finden (vgl. Art. 83 Abs. 2 S. 2 Buchst. b) DS-GVO). Daneben adressiert die Konkurrenzregel des Art. 83 Abs. 3 DS-GVO die Vorsätzlichkeit oder Fahrlässigkeit des Datenschutzverstoßes. Mit Blick hierauf und auf Erwägungsgrund 148 S. 3 DS-GVO, der nur die Vorsätzlichkeit, nicht aber die Fahrlässigkeit als Zumessungskriterium nennt, kann vertreten werden, dass Grundvoraussetzung der fahrlässige Datenschutzverstoß ist.[26] Zudem wird auch auf europäischer Ebene teilweise von der Geltung des Schuldprinzips ausgegangen,[27] das einen vorsätzlich oder fahrlässig begangenen Datenschutzverstoß voraussetzt.[28] Demgegenüber lässt sich für die Ahndung – auch – schuldlos begangener Verstöße anführen, dass die DS-GVO ein Verschuldenserfordernis nicht kodifiziert, obwohl Kommission und Rat dies in den Entwurfsfassungen vorgesehen hatten.[29] Will man von einem Verschuldenserfordernis vorliegend nach dem Maßstab der DS-GVO abweichen, so droht eine Kollision mit dem vorbenannten Schuldprinzip, die allerdings in der Anwendungspraxis durch das regelmäßige Vorliegen von – zumindest – Organisationsverschulden entschärft werden dürfte.[30]
2. Ausführungen des LG Bonn
Nähere Ausführungen des LG Bonn zu einem Verschuldenserfordernis erfolgen nicht. Das Gericht stellt aber jedenfalls fest, dass die Betroffene als Datenverantwortliche den Verstoß schuldhaft begangen hat.[31] Auf diese Weise gibt das LG Bonn zu erkennen, dass es einen verschuldeten Datenschutzverstoß für erforderlich hält.
Im Kontext der Schuld des Verantwortlichen thematisiert das LG Bonn zudem einen möglichen Verbotsirrtum (vgl. § 17 StGB).[32] Das Gericht geht insoweit davon aus, dass die 1&1 Telecom GmbH sich des begangenen datenschutzrechtlichen Verstoßes nicht als solchem bewusst war. Dabei wird darauf verwiesen, dass die in Rede stehende Authentifizierungspraxis der 1&1 Telecom GmbH von Behördenseite in der Vergangenheit nicht bemängelt worden war.[33] Darüber hinaus habe es hinsichtlich der Anforderungen an die Identifizierung und Authentifizierung von Kunden in Callcentern keine einheitlichen Vorgaben und kaum einschlägige Literatur gegeben.[34] Zwar geht das Gericht von einer Vermeidbarkeit des Verbotsirrtums und damit dessen Irrelevanz im Rahmen der Schuld aus, berücksichtigt den Irrtum aber sodann bei der Strafzumessung (so auch § 17 S. 2 StGB).[35] Die Vermeidbarkeit des Verbotsirrtums begründet das Gericht maßgeblich damit, dass die 1&1 Telecom GmbH ihre Datenschutzpraxis regelmäßig, insbesondere aber jedenfalls in Ansehung der Einführung der DS-GVO, einer – auch rechtlichen – Überprüfung hätte unterziehen müssen, wie sich auch aus Art. 32 Abs. 1 Buchst. d) DS-GVO ergebe.[36]
3. Auswahl milderer Sanktionsmittel Verhältnismäßigkeitsgrundsatz
In diesem Zusammenhang ist ferner die Frage aufgeworfen, ob und inwieweit die DS-GVO im Fall eines Datenschutzverstoßes zur Verhängung eines Bußgeldes verpflichtet. Nach der nationalen Vorschrift des § 47 Abs. 1 S. 1 OWiG, auf die § 41 Abs. 1 S. 1 BDSG verweist, steht die Bußgeldverhängung im pflichtgemäßen (Entschließungs-)Ermessen der Behörden. Danach könnte die entsprechende Behörde also im Rahmen des ihr zustehenden Ermessens selbst entscheiden, ob eine Geldbuße verhängt oder auf die Bußgeldverhängung nach Art. 58 Abs. 2 Buchst. i) DS-GVO i.V.m. Art. 83 DS-GVO verzichtet und sich beispielsweise mit einer Verwarnung gemäß Art. 58 Abs. 2 Buchst. b) DS-GVO begnügt wird. Die indikativische Wortwahl in Art. 83 Abs. 2 S. 1 DS-GVO und Art. 83 Abs. 4 bis 6 DS-GVO sowie Art. 58 Abs. 2 Buchst. i) DS-GVO und Erwägungsgrund 148 S. 1 DS-GVO, die die Bußgelder jeweils zusätzlich oder anstelle von anderen Maßnahmen verhängt wissen wollen, sprechen jedoch gegen die Geltung eines solchen Opportunitätsprinzips[37] und legen vielmehr die Etablierung eines Legalitätsprinzips im Rahmen der DS-GVO nahe.[38]
Vorrangig Berücksichtigung zu finden hat in diesem Kontext zudem der Verhältnismäßigkeitsgrundsatz, der primärrechtlich in Art. 49 Abs. 3, 52 Abs. 1 S. 2 GRCh verankert ist und dessen Geltung bereits Art. 83 Abs. 1 DS-GVO betont. Um diesen Verhältnismäßigkeitsgrundsatz zu wahren, wird die Behörde im Einzelfall von der Bußgeldverhängung absehen können, wenn und soweit andere Mittel zur Gewährung eines hohen Datenschutzniveaus eingesetzt werden können.[39] Dies impliziert auch Erwägungsgrund 148 S. 2 DSGVO, der eine Verwarnung im Fall eines geringfügigen Verstoßes oder einer unverhältnismäßigen Belastung einer natürlichen Person als milderes Mittel benennt. Beschränkt wird das Ermessen der Behörde schließlich wiederum durch den effet utile-Grundsatz, der ein Absehen von der Bußgeldverhängung nur im Ausnahmefall zulässt.
Das LG Bonn verhält sich zu dieser Problematik zwar nicht ausdrücklich. Aus den fehlenden Ausführungen wird aber keineswegs geschlossen werden können, dass das Gericht von der Geltung des Legalitätsprinzips im Rahmen des Datenschutzbußgeldrechts ausgeht. Vielmehr ist anzunehmen, dass aufgrund der Erheblichkeit des Verstoßes ein Absehen von der Bußgeldverhängung im entscheidungserheblichen Fall von vornherein nicht in Betracht kommen konnte.
IV. Bußgeldzumessung/Maßgebliche Kriterien
Besondere Aufmerksamkeit erfährt das Urteil des LG Bonn mit guten Gründen im Hinblick auf die Bestimmung der Bußgeldhöhe. Während der BfDI noch ein Bußgeld in Höhe von € 9,55 Mio. verhängt hatte,[40] hat das LG Bonn die Sanktion sodann im Ergebnis um rund 90% auf – immer noch durchaus beachtliche – € 900.000 reduziert.
Hintergrund und Maßstab der Bußgeldzumessung durch den BfDI im Falle der 1&1 Telecom GmbH war neben den rechtlichen Rahmenvorgaben der DS-GVO insbesondere das neue Bußgeldkonzept[41] der DSK aus dem Jahr 2019. Dieses Bußgeldkonzept soll eine einheitliche und transparente, für die betroffenen Unternehmen vorhersehbare Bußgeldpraxis schaffen, hat infolge seiner konkreten Ausgestaltung aber auch Kritik erfahren.[42]
1. Ausgangspunkt: Art. 83 DS-GVO
Normativer Ausgangspunkt der Bußgeldzumessung ist Art. 83 Abs. 1 DS-GVO, wonach das durch die zuständige Aufsichtsbehörde verhängte Bußgeld in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein soll. Neben diesen generell(er)en und im konkreten Einzelfall auslegungsbedürftigen Faktoren[43] werden in Art. 83 Abs. 2 S. 2 DS-GVO eine Reihe von speziellen Kriterien aufgeführt, die bei der Bemessung der Bußgeldhöhe zu berücksichtigen sind. So sollen sowohl tatbezogene (i.e. Art. 83 Abs. 2 S. 2 Buchst. a), b), e), g) DS-GVO) als auch täterbezogene Umstände wie getroffene Präventivmaßnahmen (vgl. Art. 83 Abs. 2 S. 2 Buchst. d), i), j) DS-GVO) und das Nachtatverhalten (vgl. Art. 83 Abs. 2 S. 2 Buchst. c), f), h) DS-GVO) des Bußgeldadressaten eine Rolle spielen.[44] Die in Art. 83 Abs. 2 S. 2 DS-GVO benannten Zumessungskriterien sind dabei nicht als abschließend zu verstehen, wie sich – unter anderem – aus der Auffangklausel des Art. 83 Abs. 2 S. 2 Buchst. k) DS-GVO ergibt, wonach jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall von Relevanz sein sollen. Zudem wird in Art. 83 Abs. 4 bis 6 DSGVO im Sinne einer Höchstgrenze festgelegt, dass das Bußgeld insgesamt bis zu € 10 Mio. respektive € 20 Mio. oder – soweit dieser Betrag höher ist – 2 % bzw. 4 % des Jahresumsatzes des betroffenen Unternehmens betragen darf.
2. Die Berechnung nach dem Bußgeldkonzept der DSK
Die Anknüpfung an den (Vor-)Jahresumsatz der betroffenen Unternehmen zur Bestimmung der Bußgeldhöchstgrenze ermöglicht den Aufsichtsbehörden die Verhängung erheblich spürbarer Bußgelder und schafft ein Bedürfnis nach Transparenz sowie Einheitlichkeit bei der Sanktionierung.[45] Diesem Bedürfnis soll im Grundsatz im Wege der Ausarbeitung entsprechender Leitlinien durch den Europäischen Datenschutz ausschuss (im Folgenden: EDSA) Rechnung getragen werden (Art. 70 Abs. 1 S. 2 Buchst. k) DS-GVO). Derartige Leitlinien des EDSA existieren aber (noch) nicht.[46] Vor diesem Hintergrund etabliert das Konzept der DSK eine von allen inländischen Datenschutzaufsichtsbehörden anzuwendende[47] Berechnungsmethode für Bußgelder gegenüber Unternehmen. Diese Berechnungsmethode sieht ein fünfstufiges Verfahren vor:[48]
In einem ersten Schritt werden Unternehmen auf Grundlage des Vorjahresumsatzes in eine von vier Größenklassen eingeordnet. Innerhalb dieser Größenklassen erfolgt zudem eine weitere Zuteilung zu einer von insgesamt zwanzig Unterkategorien zwischen „Kleinstunternehmen mit Umsatz von bis zu € 700.000“ und „Großunternehmen mit Umsatz von mehr als € 500 Mio.“ Unter „Umsatz“ versteht die DSK hier den Umsatz der gesamten Unternehmensgruppe und wendet damit den aus dem Unionskartellrecht bekannten funktionalen Unternehmensbegriff[49] an. Den ersten neunzehn dieser Untergruppen wird in einem zweiten Schritt ein mittlerer Jahresumsatz zugeordnet, der sodann durch 360 (Tage) geteilt wird, um in einem dritten Schritt einen mittleren Tagessatz (wirtschaftlicher Grundwert) zu erhalten. Lediglich in der Gruppe der Großunternehmen mit Umsatz von mehr als € 500 Mio. soll der konkrete Jahresumsatz – und nicht etwa der von der DSK festgelegte Mittelwert – als Berechnungsgrundlage für den Tagessatz dienen. Schließlich wird in einem vierten Schritt anhand des Schweregrads der Tat ein Faktor zwischen eins und zwölf bestimmt, mit dem der zuvor ermittelte Tagessatz multipliziert wird. Der entsprechend anzuwendende Faktor richtet sich zum einen danach, ob es sich um einen formellen Verstoß im Sinne von Art. 83 Abs. 4 DS-GVO oder um einen materiellen Verstoß im Sinne von Art. 83 Abs. 5, 6 DS-GVO handelt. Zum anderen finden auf dieser Ebene bei der Bestimmung des Multiplikators erstmals auch die (tatbezogenen) Zumessungskriterien des Art. 83 Abs. 2 S. 2 DS-GVO Berücksichtigung. Im abschließenden fünften Schritt besteht die Möglichkeit, den errechneten Betrag anhand aller sonstiger Umstände des Einzelfalls sowie auch und gerade unter Heranziehung der (täterbezogenen) Kriterien des Art. 83 Abs. 2 S. 2 DS-GVO anzupassen.
3. Ausführungen des LG Bonn
Zur Bestimmung der Bußgeldobergrenze bei der Sanktionierung von Unternehmen spricht sich das LG Bonn unter Verweis auf Erwägungsgrund 150 S. 3 DS-GVO zunächst ausdrücklich für die Verwendung des funktionalen Unternehmensbegriffs aus und befindet sich damit in diesem Punkt auf einer Linie mit der Positionierung der DSK.[50] Festgestellt wird dabei, dass die in Art. 4 Nr. 18 DS-GVO niedergelegte Legaldefinition einem solchen Verständnis zwar widerspreche. Sodann stützt sich das Gericht aber auf einen Vergleich mit anderen Sprachfassungen und insbesondere der englischen Sprachfassung, um die Verwendung des funktionalen Unternehmensbegriffs im Rahmen des Datenschutzbußgeldrechts zu begründen.[51] Als Berechnungsgrundlage für die Bestimmung der Bußgeldobergrenze zieht das LG Bonn nach kartellrechtlichem Vorbild den Jahresumsatz des Unternehmens im letzten abgeschlossenen Geschäftsjahr vor Erlass des Bußgeldbescheides heran.[52]
Hervorzuheben ist, dass das LG Bonn im Rahmen der Bestimmung der Bußgeldhöhe als solcher in erster Linie die einzelfallbezogenen Kriterien des Art. 83 Abs. 2 S. 2 DS-GVO zugrunde legt und diesen eine gegenüber dem Unternehmensumsatz hervorgehobene Bedeutung beimisst. Zwar betont das Gericht, dass der Umsatz als solcher bei der Bußgeldzumessung nicht unberücksichtigt bleiben darf.[53] Die – im Konzept der DSK vorgeschlagene – maßgebliche Anknüpfung an den Unternehmensumsatz und gleichzeitige Zurückdrängung der tatsächlich in Art. 83 Abs. 2 S. 2 DSGVO aufgeführten Zurechnungskriterien wird aber als problematisch eingestuft.[54] Als nicht sachgerecht erweise sich eine solche Anknüpfung an den Unternehmensumsatz insbesondere bei schweren Datenschutzverstößen umsatzschwacher Unternehmen und bei leichten Datenschutzverstößen umsatzstarker Unternehmen.[55] Würden die Zumessungskriterien des Art. 83 Abs. 2 S. 2 DS-GVO außer Acht gelassen, drohte die Sanktion nicht (mehr) dem Verhältnismäßigkeitsgrundsatz zu genügen.
Konkret würdigt das LG Bonn daher in seiner Entscheidung den als vergleichsweise gering zu bewertenden Datenschutzverstoß (vgl. Art. 83 Abs. 2 S. 2 Buchst. a) DSGVO) und die Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind (vgl. Art. 83 Abs. 2 S. 2 Buchst. g) DS-GVO): Sensible Daten hätten durch einen Anruf bei dem Callcenter des Telekommunikationsdienstleisters nicht abgefragt werden können.[56] So wurden den Callcenter-Mitarbeitern bestimmte Daten, wie beispielsweise die Kontoverbindung des Kunden nur unvollständig angezeigt.[57] Andere Daten, wie etwa Daten im Sinne des Art. 9 Abs. 1 DS-GVO, Einzelverbindungsnachweise oder sonstige Verkehrsdaten waren für die Mitarbeiter überhaupt nicht einsehbar und hätten damit auch nicht herausgegeben werden können. Ferner bestand von vornherein keine Gefahr des Massendiebstahls von Kundendaten.[58] Schließlich war es nur in einem Fall zur Schädigung eines Kunden gekommen.[59]
Zu einer Herabsetzung der im Bußgeldbescheid festgesetzten Bußgeldhöhe veranlasst sieht sich das Gericht außerdem durch den Umstand, dass der Datenschutzverstoß nicht vorsätzlich begangen worden sei (s. hierzu Art. 83 Abs. 2 S. 2 Buchst. b) DS-GVO) und dass sich der Telekommunikationsdienstleister hinsichtlich des Schutzniveaus des Authentifizierungsverfahrens in einem (vermeidbaren) Rechtsirrtum befunden habe.[60]
Die umfassende Kooperation mit der Aufsichtsbehörde und die schnelle Reaktion des Telekommunikationsdienstleisters auf die aufgezeigten Lücken im Authentifizierungsverfahren im Wege einer Anpassung des Schutzniveaus werden seitens des Gerichts positiv berücksichtigt (vgl. Art. 83 Abs. 2 S. 2 Buchst. f) DS-GVO).[61] Zudem wird der 1&1 Telecom GmbH zugutegehalten, dass es sich um einen erstmaligen Verstoß handelte (vgl. Art. 83 Abs. 2 S. 2 Buchst. e) DS-GVO).[62] Über die ausdrücklich normierten Zumessungskriterien hinaus bewertet das Gericht den Reputationsschaden, der dem Telekommunikationsdienstleister (fälschlicherweise) entstanden ist, als mildernden Umstand (vgl. Art. 83 Abs. 2 S. 2 Buchst. k) DS-GVO).[63]
4. Stellungnahme
Das Bußgeldkonzept der DSK hat im Schrifttum von verschiedener Seite pointierte Kritik erfahren. An dieser Stelle kann und soll keine detaillierte Auseinandersetzung mit diesen Kritikpunkten erfolgen.[64] Vielmehr werden nachstehend (nur) jene Gesichtspunkte aufgegriffen, die im Kontext des vom LG Bonn entschiedenen Falles relevant wurden.
Zentral ist insoweit die starke – vom LG Bonn zutreffend bemängelte – Fokussierung des Bußgeldkonzepts auf den Umsatz des betroffenen Unternehmens. Die DSK führt an, der Unternehmensumsatz stelle „eine geeignete, sachgerechte und faire Anknüpfung“ für die Bußgeldzumessung dar.[65] Während sich die aus der Objektivität und Greifbarkeit des Umsatz-Kriteriums folgenden Vorteile einer Bußgeldzumessung ohne Weiteres erschließen, wiegt gleichwohl schwer, dass sich dieses Kriterium (zu) weit von dem geschriebenen Kriterienkatalog des Art. 83 Abs. 2 S. 2 DSGVO – und somit vom Wortlaut der Norm – entfernt.[66] Denn der Unternehmensumsatz ist als Kriterium hier normativ gerade nicht genannt, sondern könnte allenfalls unter die sonstigen Milderungs- und Erschwerungsgründe aus Art. 83 Abs. 2 S. 2 Buchst. k) DS-GVO subsumiert werden. Dass eine lediglich als „Auffangkriterium“ ausgestaltete Kategorie derart in den Mittelpunkt der Bußgeldzumessung gerückt wird, wie es das Bußgeldkonzept der DSK aktuell vorsieht, ist zumindest problematisch.[67]
Die hierdurch induzierten Schwächen der Berechnungsmethode offenbaren sich auch und gerade in dem vom LG Bonn entschiedenen Fall: So ist die 1&1 Telecom GmbH Konzernangehörige der United Internet AG, deren Umsatz im Jahr 2018 bei € 5,1 Mrd. lag.[68] Ausgehend von diesem Betrag ergibt sich ein mittlerer Tagessatz von € 14,2 Mio., der für die Bußgeldzumessung zugrunde zu legen ist. Selbst bei wohlwollenden Bemühungen der Aufsichtsbehörden, strafmildernde Umstände zu berücksichtigen, lässt sich dieses Ergebnis aufgrund der maßgeblichen Orientierung am Unternehmensumsatz in der weiteren Berechnung nur geringfügig und zudem erst auf letzter Stufe korrigieren. Zutreffend zeigt das LG Bonn auf, dass das DSK-Konzept gerade dann wenig überzeugende Ergebnisse liefert, wenn es sich um schwere Datenschutzverstöße umsatzschwacher Unternehmen oder leichte Datenschutzverstöße umsatzstarker Unternehmen handelt. Die erheblich präformierende Determinierung der Bußgeldhöhe durch den Unternehmensumsatz lässt in diesen Fällen die Tatangemessenheit der Geldbuße in problematischer Weise zurücktreten.
V. Fazit und Praxisfolgen
Das Urteil des LG Bonn enthält in Abhängigkeit von der jeweiligen Betrachtungsperspektive sowohl erfreuliche als auch weniger erfreuliche Feststellungen. Auf der einen Seite nimmt das Gericht an, dass für Datenschutzverstöße unter Rekurs auf die Grundsätze des unionalen Kartellrechts die Unternehmen für Verstöße ihrer Beschäftigten haften – ohne dass es auf die Vorgaben des Mitgliedstaates zur Zurechnung (i.e. vorliegend § 30 Abs. 1 OWiG) ankommen soll. Auf der anderen Seite bestätigen die Ausführungen des LG Bonn die verschiedentlich geäußerte Kritik an der aktuellen Ausgestaltung des Bußgeldkonzepts der DSK. Hiernach sind die deutschen Datenschutzbehörden aufgefordert, kritisch zu hinterfragen, ob und inwieweit die Ausrichtung am Umsatz zielführend und belastbar ist.
Keinesfalls aber sollte die vom LG Bonn ausgeurteilte Reduzierung des Bußgeldes von den datenschutzrechtlich Verantwortlichen als Signal zur Entspannung missverstanden werden. Vielmehr bleibt es dabei, dass Datenschutzverstöße zunehmend konsequent von den Aufsichtsbehörden verfolgt und sanktioniert werden; die private Rechtsdurchsetzung in Ansehung von auf Art. 82 DS-GVO gestützten Schadensersatzbegehren[69] tritt hinzu.
Unternehmen sind also gut beraten, ihre datenschutzrechtliche Compliance weiterhin stets auf dem neuesten Stand zu halten, worauf auch das LG Bonn in Ansehung der Datenschutzpraxis hinweist – und die weiteren Entwicklungen sorgfältig zu beobachten. Das erste prominente deutsche Gerichtsverfahren zu Bußgeldsanktionen nach der DS-GVO hat aufgezeigt, wo die Streitlinien verlaufen, und es bleibt mit Spannung abzuwarten, was die weitere Rechtsprechung und Behördenpraxis bringen werden. Mit dem aktuellen Beschluss des LG Berlin im Verfahren gegen die Deutsche Wohnen SE manifestieren sich jedenfalls erhebliche Divergenzen zwischen den Rechtsauffassungen der bislang befassten Instanzgerichte.
Prof. Dr. Boris Paal Inhaber des Lehrstuhls für Bürgerliches Recht und Daten-, Informations- und Medienrecht an der Juristenfakultät der Universität Leipzig
[1] Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit, PM vom 01.10.2020, abrufbar unter https://datenschutz-hamburg.de/pressemitteilungen/2020/10/2020-10-01-h-m-verfahren (zuletzt abgerufen am 25.02.2021).
[2] Berliner Beauftragte für Datenschutz und Informationsfreiheit, PM vom 05.11.2019, abrufbar unter https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191105-PM-Bussgeld_DW.pdf (zuletzt abgerufen am 25.02.2021).
[3] Bundesbeauftragter für Datenschutz und Informationsfreiheit, PM vom 09.12.2019, abrufbar unter https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2019/30_BfDIverh%C3%A4ngtGeldbu%C3%9Fe1u1.html (zuletzt abgerufen am 25.02.2021).
[4] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20 = RDV 2021, 48.
[5] DSK, Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen, 14.10.2019.
[6] Bundesbeauftragter für Datenschutz und Informationsfreiheit, PM vom 09.12.2019, abrufbar unter https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2019/30_BfDIverh%C3%A4ngtGeldbu%C3%9Fe1u1.html (zuletzt abgerufen am 25.02.2021).
[7] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20 = RDV 2021, 48, Rn. 63 ff.
[8] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20 = RDV 2021, 48, Rn. 43.
[9] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20 = RDV 2021, 48, Rn. 51 ff
[10] Zum Streitstand um den funktionalen Unternehmensbegriff siehe nachfolgend Abschnitt IV.3.
[11] So Gola/Gola, Datenschutz-Grundverordnung, 2. Aufl. 2018, Art. 83 DSGVO Rn. 11.
[12] Vgl. etwa die Erwägungsgründe 9, 11, 13 DS-GVO.
[13] Weitere Konsequenzen sind die Konzernhaftung und die Zugrundelegung des Konzernumsatzes im Rahmen der Bußgeldzumessung. Grundsätzlich zur Bußgeldzumessung siehe zudem nachfolgend Abschnitt IV
[14] Loewenheim/Meessen/Riesenkampf/Kersting/Meyer-Lindemann/Grave/ Nyberg, Kartellrecht, 4. Aufl. 2020, Art. 101 AEUV Rn. 97 ff.
[15] Vgl. Karlsruher Kommentar/Rogall, Ordnungswidrigkeitengesetz, 5. Aufl. 2018, § 30 OWiG Rn. 279
[16] Dazu Kokott/Dittert, WuW 2012, 670, 671 m.w.N.
[17] Hierzu Loewenheim/Meessen/Riesenkampf/Kersting/Meyer-Lindemann/ Grave/Nyberg, Kartellrecht, 4. Aufl. 2020, Art. 101 AEUV Rn. 178 ff.
[18] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20 = RDV 2021, 48, Rn. 53.
[19] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20 = RDV 2021, 48, Rn. 53.
[20] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20 = RDV 2021, 48, Rn. 62.
[21] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20 = RDV 2021, 48, Rn. 62
[22] A.A. für Österreich ÖVwGH, Erkenntnis v. 12.05.2020 – Ro 2019/04/0229 = ZD 2020, 463; die Entscheidung bestätigend ÖBVwG, Entscheidung v. 26.11.2020 – W258 2227269-1/14E; a.A. wohl auch das LG Berlin in einem – noch nicht veröffentlichten – Bechl. v. 18.02.2021: Eine juristische Person könne nicht Betroffene in einem Bußgeldverfahren sein.
[23] ÖBVwG, Entscheidung v. 26.11.2020 – W258 2227269-1/14E.
[24] BVerfG, Beschl. v. 15.12.2015 – 2 BvR 2735/14 = NJW 2016, 1149 Rn. 36
[25] HK DS-GVO/BDSG, Schwartmann/Burkhardt, DS-GVO-BDSG, 2. Aufl. 2020, Anh. zu Art. 83 DS-GVO/§ 41 BDSG Rn. 17.
[26] So auch Taeger/Gabel/Moos/Schefzig, DS-GVO – BDSG, 3. Aufl. 2019, Art. 83 DS-GVO Rn. 111.
[27] Meyer/Hölscheidt/Eser/Kubiciel, Charta der Grundrechte der Europäischen Union, 5. Aufl. 2019, Art. 48 GRCh Rn. 6.
[28] So Auernhammer/Golla, DS-GVO BDSG, 6. Aufl. 2018, Art. 83 DS-GVO Rn. 15.
[29] Kühling/Buchner/Bergt, DS-GVO BDSG, 3. Aufl. 2020, Art. 83 DS-GVO Rn. 35.
[30] Kühling/Buchner/Bergt, DS-GVO BDSG, 3. Aufl. 2020, Art. 83 DS-GVO Rn. 37.
[31] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20 = RDV 2021, 48. Rn. 63.
[32] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20 = RDV 2021, 48. Rn. 79.
[33] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20 = RDV 2021, 48, Rn. 79.
[34] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20 = RDV 2021, 48, Rn. 79.
[35] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20 = RDV 2021, 48, Rn. 80 ff.
[36] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20 = RDV 2021, 48, Rn. 81 f.
[37] Für die Geltung des Opportunitätsprinzips bei der Entscheidung über die Verhängung einer Geldbuße Paal/Pauly/Frenzel, DS-GVO BDSG, 3. Aufl. 2021, § 41 BDSG Rn. 7
[38] Eingehend zum Wortlautargument Kühling/Buchner/Bergt, DS-GVO BDSG, 3. Aufl. 2020, Art. 83 DS-GVO Rn. 32 ff
[39] So auch Heidelberger Kommentar/Schwartmann/Burkhardt, DS-GVO/ BDSG, 2. Aufl. 2020, Anh. zu Art. 83 DS-GVO/§ 41 BDSG Rn. 28 „gestuftes System der Abhilfebefugnisse“.
[40] Bundesbeauftragter für Datenschutz und Informationsfreiheit, PM vom 09.12.2019, abrufbar unter https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2019/30_BfDIverh%C3%A4ngtGeldbu%C3%9Fe1u1.html (zuletzt abgerufen am 25.02.2021).
[41] DSK, Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen, 14.10.2019.
[42] Die nachfolgenden Ausführungen zum Bußgeldkonzept der DSK setzen Überlegungen aus einem Beitrag des Autors zum selben Thema in RDV 2020, 57 fort.
[43] Die Art.-29-Datenschutzgruppe verweist insoweit lediglich auf eine durch die aufsichtsbehördliche Praxis und die Gerichte vorzunehmende nähere Begriffsbestimmung, vgl. Art.-29-Datenschutzgruppe, WP 253, Leitlinien für die Anwendung und Festsetzung von Geldbußen im Sinne der Verordnung (EU) 2016/679, angenommen am 3. Oktober 2017, S. 6.
[44] Zu dieser Einteilung Behr/Tannen, CCZ 2020, 120, 123 f.
[45] Vgl. Erwägungsgrund 150 S. 1 DS-GVO.
[46] Der EDSA hat sich bislang lediglich den Leitlinien der Art.-29-Datenschutzgruppe angeschlossen, die aber ihrerseits keine umfassenden Vorgaben enthalten. Siehe hierzu Art.-29-Datenschutzgruppe, WP 253, Leitlinien für die Anwendung und Festsetzung von Geldbußen im Sinne der Verordnung (EU) 2016/679, angenommen am 3. Oktober 2017, S. 4.
[47] Das Bußgeldkonzept soll in diesem Sinne nur die Ermessensausübung der deutschen Aufsichtsbehörden binden, nicht hingegen Gerichte oder ausländische Behörden. Vgl. DSK, Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen, 14.10.2019, S. 1.
[48] Ausführlich(er) zur Berechnungsmethode siehe DSK, Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen, 14.10.2019, S. 3 ff.; Paal, RDV 2020, 57, 58 f.; Timner/Radlanski/Eisenfeld, CR 2019, 782, 782 f.
[49] Dazu bereits im Rahmen der Zurechnung des Datenschutzverstoßes vorstehend unter Abschn. II.
[50] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20 = RDV 2021, 48, Rn. 85.
[51] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20 = RDV 2021, 48, Rn. 86. Zum Streitstand siehe etwa HK, DS-GVO/BDSG, Schwartmann/Burkhardt, DS-GVO/BDSG, 2. Aufl. 2020, Anh. zu Art. 83 DS-GVO/§ 41 BDSG Rn. 9 ff.; Kühling/Buchner/Bergt, DS-GVO BDSG, 3. Aufl. 2020, Art. 83 DS-GVO Rn. 39 ff.
[52] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20 = RDV 2021, 48, Rn. 88 ff.
[53] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20 = RDV 2021, 48, Rn. 93.
[54] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20 = RDV 2021, 48, Rn. 93
[55] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20 = RDV 2021, 48, Rn. 93 ff
[56] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20 = RDV 2021, 48, Rn. 98.
[57] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20 = RDV 2021, 48, Rn. 5 ff.
[58] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20 = RDV 2021, 48, Rn. 106.
[59] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20 = RDV 2021, 48, Rn. 99.
[60] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20 = RDV 2021, 48, Rn. 100 ff.
[61] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20 = RDV 2021, 48, Rn. 104.
[62] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20 = RDV 2021, 48, Rn. 105.
[63] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20 = RDV 2021, 48, Rn. 107.
[64] Ausführlich(er) hierzu siehe etwa Paal, RDV 2020, 57, 59 ff; Timner/ Radlanski/Eisenfeld, CR 2019, 782, 783 ff.
[65] DSK, Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen, 14.10.2019, S. 2.
[66] Paal, RDV 2020, 57, 59.
[67] So auch Timner/Radlanski/Eisenfeld, CR 2019, 782, 783; Heidelberger Kommentar/Schwartmann/Burkhardt, DS-GVO/BDSG, 2. Aufl. 2020, Anh. zu Art. 83 DS-GVO/§ 41 BDSG Rn. 42.
[68] Zur Konzernstruktur s. United Internet, Geschäftsbericht 2018, abrufbar unter https://www.united-internet.de/uploads/tx_unitedinternetpublication/United_Internet_Konzern_2018.pdf (zuletzt abgerufen am 25.02.2021), zum Umsatz s. United Internet, Geschäftsbericht 2018, S. 7, 53, 78.
[69] Hierzu Paal, MMR 2020, 14.