Aufsatz : Wie geht es weiter mit DS‑GVO-Bußgeldern? : aus der RDV 4/2023 Seite 229 bis 235
Analyse der Schlussanträge in der EuGH-Rechtssache C-807/21*
Datenschutzbehörden fordern bei DS-GVO-Verstößen eine verschuldensunabhängige Haftung von Unternehmen („strict liability“). Mittlerweile ist diese Frage der Unternehmenshaftung nach Art. 83 DS-GVO Gegenstand zweier Verfahren. In diesen Verfahren haben die zuständigen Generalanwälte beim EuGH bereits ihre Schlussanträge gestellt. Beide Generalanwälte sprechen sich klar gegen die von den Behörden angenommene „strict liability“ aus. Der vorliegende Überblick fasst die für Bußgeldverfahren wesentlichen Aussagen der Schlussanträge in der Rechtssache C-807/21 zusammen und bewertet sie aus Sicht der Verteidigung, für die der Verfasser das Plädoyer in der mündlichen Verhandlung vor dem EuGH gehalten hat. Zudem greift er einige wesentliche Aussagen aus dem Parallelverfahren C-683/21 auf, soweit diese die Verhängung von Bußgeldern wegen Datenschutzverstößen betreffen. Abschließend fasst der vorliegende Beitrag die möglichen Folgen der Schlussanträge für das laufende EuGH-Verfahren C-807/21 und die weitere DS-GVO-Bußgeldpraxis zusammen.
I. Bußgelder gegen Unternehmen wegen Verstößen gegen die DS-GVO
Die von den europäischen Datenschutzbehörden verhängten Geldbußen haben mittlerweile die Milliardengrenze überschritten.[1] Zudem haben die Behörden bereits eine ganze Reihe von Bußgeldern in dreistelliger Millionenhöhe verhängt. Auch in Deutschland gab es bereits mehrere Geldbußen nach Art. 83 DS-GVO im zweistelligen Millionenbereich.[2] Gerade bei hohen Geldbußen stehen Unternehmen und nicht einzelne natürliche Personen im Fokus. Dabei ist umstritten, nach welchen Regeln Behörden Unternehmen wegen DS-GVO-Verstößen sanktionieren können.[3] Insbesondere muss der EuGH bei der Beantwortung der in der Rechtssache C 807/21 vom Kammergericht gestellten Vorlagefragen entscheiden, ob der Nachweis eines schuldhaften Handelns nötig ist und nach welchen Kriterien Verstöße Unternehmen zugerechnet werden.
1. Verfahrensautonomie der Mitgliedstaaten
Die DS-GVO enthält kein prozessuales Bußgeldrecht.[4] Für die prozessuale Umsetzung der materiellrechtlichen Vorgaben der DS-GVO gilt wegen der Verfahrensautonomie der Mitgliedstaaten grundsätzlich nationales Recht.[5] Dabei dürfen die nationalen Regelungen die Umsetzung des Unionsrechts nicht übermäßig erschweren (Effektivitätsgrundsatz).[6] Zudem dürfen die nationalen Verfahrensregeln nicht ungünstiger sein, als die, die gleichartige Sachverhalte innerstaatlicher Art regeln (Äquivalenzgrundsatz).[7] Auch Art. 83 Abs. 8 DS-GVO verweist bekanntlich auf die Verfahrensgarantien der Union und der Mitgliedstaaten.[8] Dies sind insbesondere die Justizgrundrechte in Art. 47 ff. der GRCh und als mitgliedstaatliche Regelungen in Deutschland die Vorschriften des BDSG und des OWiG.[9]
2. Forderungen der Datenschutzbehörden nach Erleichterungen bei der Verhängung von Bußgeldern
Die Datenschutzbehörden[10] und Teile der Fachliteratur argumentieren, dass das deutsche Ordnungswidrigkeitenrecht nicht hinreichend wirksam sei, um die Vorgaben der DS-GVO gegenüber Unternehmen umzusetzen.[11] Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 18.01.2023 eine Stellungnahme zu dem Verfahren C-807/21 veröffentlicht.[12] Darin fordert sie eine „Erleichterung für die Datenschutzaufsichtsbehörden“ bei der Verhängung von Geldbußen.[13] Die Anwendung des deutschen Rechts würde die Durchsetzung der DS-GVO erheblich erschweren.[14] Die Behörden gehen dabei davon aus, dass „im Grundsatz bereits ein dem Unternehmen zuzuordnender objektiver Pflichtenverstoß ausreicht (‚strict liability‘).“[15]
Im Kern argumentiert die DSK, dass die Anwendung des deutschen Bußgeldrechts bei der Umsetzung von Art. 83 DS-GVO gegen den Wirksamkeitsgrundsatz verstoße, weil die Ermittlung der Verantwortlichkeit im Unternehmen zu aufwendig sei: „Schlimmstenfalls entstehen Sanktionslücken, weil trotz enormem Ermittlungsaufwands eine Leitungsperson, der ein Vorwurf zu machen ist, nicht ermittelt werden kann, obschon ein Verstoß des Unternehmens anhand der übrigen Beweise ansonsten zweifelsfrei feststeht.“[16] Dabei lässt die Stellungnahme klar erkennen, dass es den Behörden nicht allein um Fragen der Zurechnung geht, sondern um den Nachweis eines Verstoßes: „Der Nachweis ist regelmäßig mit einem erheblichen Aufwand verbunden.“[17]
Die DSK fordert somit Erleichterungen bei der Feststellung und der Zurechnung von Verstößen gegen die DS-GVO. Diese Forderung begründen die Behörden damit, dass das deutsche Recht eine wirksame Sanktionierung von Unternehmen nicht ermögliche.[18] Vor diesem Hintergrund wird die Wirkung des deutschen Bußgeldrechts bei der Sanktionierung von Unternehmen in den folgenden Abschnitten genauer untersucht.
III. Sanktionierung von Unternehmen nach deutschem Recht
Das deutsche Recht fordert für die Sanktionierung von Unternehmen eine schuldhafte (beziehungsweise vorwerfbare) Pflichtverletzung einer Leitungsperson.[19] Diese Pflichtverletzung kann in einer Verletzung der Aufsichtspflichten der Unternehmensleitung nach § 130 OWiG liegen. In der Praxis ist die Verletzung von Aufsichtspflichten sogar der häufigste Fall der Sanktionierung von Unternehmen. Der wohl führende Kommentar zum deutschen Ordnungswidrigkeitenrecht formuliert dies klar: „Die Aufsichtspflichtverletzung nach § 130 ist die in der Praxis bedeutsamste Anknüpfungstat des § 30.“[20] Die Vorschrift des § 130 OWiG dient dabei gerade der Schließung möglicher Zurechnungslücken.[21] Eine vorherige oder parallele Sanktionierung der Unternehmensleitung ist hingegen keine Voraussetzung für die Verhängung einer sogenannten Verbandsgeldbuße gegen das Unternehmen. Vielmehr kann die Geldbuße gegen das Unternehmen selbstständig nach § 30 Abs. 4 OWiG festgesetzt werden.
- Analyse der Positionen der DSK
Die oben zitierte Aussage der DSK, es drohten Sanktionslücken, weil eine Leitungsperson, der ein Vorwurf zu machen ist, nicht ermittelt werden könnte, obwohl ein Verstoß des Unternehmens anhand der übrigen Beweise ansonsten zweifelsfrei feststehe,[22] ist nachweislich falsch. Denn es ist überhaupt nicht nötig, eine einzelne Person zu ermitteln.[23] Vielmehr wäre die von der DSK beschriebene Fallkonstellation geradezu ein Beispielsfall für ein selbstständiges Verfahren gegen das Unternehmen nach § 30 Abs. 4 OWiG. Ein selbstständiges Verfahren gegen das Unternehmen ist typischerweise gerade dann einzuleiten, „wenn die Ermittlung des Täters einer als Ordnungswidrigkeit einzustufenden Zuwiderhandlung voraussichtlich nicht oder nur mit unverhältnismäßigem Aufklärungsaufwand möglich sein wird.“[24] Die genannte Aussage der DSK steht auch in klarem Widerspruch zur Rechtsprechung des BGH: „Die Verhängung einer Geldbuße gegen eine juristische Person oder Personenvereinigung hängt deshalb auch nicht davon ab, dass festgestellt wird, welcher von mehreren in Frage kommenden Verantwortlichen die Aufsichtspflicht nicht erfüllt hat. Notwendig ist allein die Feststellung, dass ein i.S.v. § 30 OWiG Verantwortlicher die Zuwiderhandlung vorwerfbar begangen hat.“[25]
Zudem werden die Behauptungen der mangelnden Wirksamkeit in der DSK-Stellungnahme weder empirisch noch statistisch belegt.[26] In der Praxis ist die Verhängung von Geldbußen gegen Unternehmen nach §§ 30, 130 OWiG keineswegs an hohe Anforderungen geknüpft. Vielmehr verhängen deutsche Behörden auf dieser Basis regelmäßig und ohne erkennbare Schwierigkeiten – teilweise auch sehr hohe – Geldbußen gegen Unternehmen.[27] Auch der BGH hat in seiner Rechtsprechung bislang keinerlei Zweifel an der hinreichenden Wirksamkeit der geltenden Fassung des § 130 OWiG erkennen lassen.[28]
Auch ein Vergleich mit der Bußgeldpraxis des Bundeskartellamts spricht gegen einen Wirksamkeitsmangel der Bußgeldverhängung nach §§ 30, 130 OWiG.[29] Die im Vorjahr der COVID-19 Pandemie durch das Bundeskartellamt festgesetzten Bußgelder erreichten insgesamt etwa 847,4 Mio. Euro. Davon wurden Bußgelder mit einem Volumen von 846,8 Mio. Euro auf der Grundlage von §§ 30, 130 OWiG gegen juristische Personen verhängt.[30] Der Vollständigkeit halber sei erwähnt, dass bei einer Sanktionierung eines Unternehmens nach §§ 30, 130 OWiG auch der konkrete Täter der für die Aufsichtspflichtverletzung nötigen Anknüpfungstat nicht ermittelt werden muss.[31] Diese ist lediglich eine objektive Bedingung der Ahndbarkeit nach § 130 OWiG.[32]
Im Ausgangsverfahren hatte auch das LG Berlin sehr klar festgestellt, dass entsprechende Feststellungen der zuständigen Behörde ohne übermäßigen Aufwand möglich gewesen wären: „Insoweit wären Ausführungen dazu möglich und notwendig gewesen, aus welchen Umständen die Behörde eine Verantwortlichkeit der Betroffenen herleiten möchte.“[33]
Dementsprechend hatte sich auch die Bundesrepublik Deutschland in ihrer Stellungnahme in der Rechtssache C-807/21 zur Wirksamkeit des deutschen Bußgeldrechts bei der Sanktionierung von Unternehmen sehr deutlich positioniert. Danach „ermöglicht das deutsche Recht die Verhängung wirksamer, verhältnismäßiger und abschreckender Geldbußen gegen juristische Personen oder Personenvereinigungen bei Verstößen gegen die DS-GVO.“[34]
II. Positionen und Wertungen des Generalanwalts in der Rechtssache C-807/21
Der Generalanwalt beim EuGH Campos Sánchez-Bordona hat am 27.04.2023 seine Schlussanträge[35] in diesem Verfahren gestellt. Die Schlussanträge sind für den Gerichtshof nicht verbindlich.[36] In der ganz überwiegenden Anzahl der Fälle folgen die Richter aber den Entscheidungsvorlagen der Generalanwälte.[37] Der folgende Überblick fasst die für die Praxis wichtigsten Aussagen und Wertungen der Schlussanträge zusammen.[38]
1. Unternehmen können Täter und Sanktionsadressaten des Art. 83 DS‑GVO sein
Der Generalanwalt argumentiert, dass im Unionsrecht nichts dagegen spricht, ein Unternehmen „als Täterin und als Schuldnerin der verhängten Sanktion anzusehen.“[39] Bereits an dieser Stelle macht der Generalanwalt deutlich, dass er eine Zurechnung von festgestellten Verstößen gegenüber einem Unternehmen für möglich, für eine Sanktionierung aber auch für nötig hält.[40] Aus dem Wortlaut der Artt. 4, 58 und 83 DS-GVO ergebe sich „ohne Auslegungsschwierigkeiten“, dass Sanktionen wegen Verstößen gegen die DS-GVO unmittelbar gegen eine juristische Person als Täterin verhängt werden können.[41] Aus dem Zusammenspiel dieser Bestimmungen ergebe sich ganz selbstverständlich, dass nach der DS-GVO eine juristische Person unmittelbare Adressatin der Geldbußen wegen eines Verstoßes gegen diese Verordnung sein kann.[42]
Der Generalanwalt differenziert in seinen Schlussanträgen anders als das deutsche Recht nicht zwischen Tätern und Sanktionsadressaten. Er stellt lediglich klar, dass Sanktionen nach Art. 83 DS-GVO unmittelbar gegen Unternehmen und andere juristische Personen verhängt werden können.[43] Dies sieht aber auch das deutsche Recht vor. Auch hier kann wegen der Verletzung der DS-GVO oder sonstiger Pflichten einer juristischen Person „gegen diese eine Geldbuße festgesetzt werden.“[44]Die für das Ausgangsverfahren maßgebliche Frage, ob ein Unternehmen nicht als „Nebenbeteiligte“ i.S.d. Art. 88 DS-GVO, sondern als „Betroffene“ und damit als unmittelbare Beschuldigte eines DS-GVO-Verstoßes behandelt werden kann, lässt der Generalanwalt im Ergebnis offen. Zwar spricht er in der deutschen Sprachfassung vom Unternehmen als Täterin. Gleichzeitig macht er aber deutlich, dass dem Unternehmen die Handlungen natürlicher Personen zugerechnet werden müssen,[45] was eher gegen eine Einordnung als Täter im Sinne einer ordnungswidrigkeitsrechtlich Betroffenen spricht. Es steht zu hoffen, dass der EuGH hier in seinem Urteil mehr Klarheit schafft.
2. Keine Prüfung der Zurechnung in Konzernstrukturen
Im Zusammenhang mit der Einordnung von Unternehmen als Sanktionsadressaten des Art. 83 DS-GVO führt der Generalanwalt überraschenderweise auch aus, dass er das am Verfahren beteiligte Unternehmen selbst und nicht deren Konzerngesellschaften als Verantwortliche i.S.v. Art. 4 Nr. 7 DS-GVO bewerte.[46] Fragen nach einer möglichen Zurechnung im Konzern prüft der Generalanwalt daher trotz entgegenstehenden Aussagen des vorlegenden Kammergerichts nicht.[47] Das Kammergericht hatte dies dagegen wie folgt formuliert: „Am 23. Juni 2017 hat die Berliner Beauftragte für den Datenschutz (im Folgenden: „Behörde“) im Rahmen einer Vor-Ort-Kontrolle das betroffene Unternehmen darauf hingewiesen, dass ihre Konzerngesellschaften personenbezogene Daten von Mietern in einem elektronischen Archivsystem speicherten, bei dem nicht nachvollzogen werden könne, ob die Speicherung erforderlich und gewährleistet sei, dass nicht mehr erforderliche Daten gelöscht würden.“[48] Auch die Voraussetzungen einer möglichen gemeinsamen Verantwortlichkeit haben weder das Kammgericht noch der Generalanwalt geprüft.
3. Keine verschuldensunabhängige Unternehmenshaftung
Die Frage einer möglichen „strict liability“ hält der Generalanwalt für die vorliegende Entscheidung (noch) nicht für maßgeblich. Vielmehr könne sie erst im Falle einer Zurückverweisung der Sache an das erstinstanzliche Gericht für dessen zukünftige Entscheidung maßgeblich werden.[49] Unabhängig von dieser Frage spricht sich der Generalanwalt klar gegen die Möglichkeit einer objektiven Unternehmenshaftung ohne Feststellung eines schuldhaften Verstoßes aus.[50] Auch in diesem Kontext spricht der Generalanwalt ein „Überwachungsund Auswahlverschulden“ als mögliche Zurechnungsgrundlage an.[51] Die Beurteilung der Frage, ob die Vorgaben der DS-GVO eingehalten wurden, setze „einen komplexen Bewertungs- und Beurteilungsprozess voraus, der über die bloße Feststellung eines formalen Verstoßes hinausgeht.“[52]
Gegen die von den Datenschutzbehörden geforderte verschuldensunabhängige Unternehmenshaftung sprächen der Grundsatz der Verhältnismäßigkeit und der Grundsatz der Gesetzmäßigkeit der Strafen nach Art. 49 Abs. 1 GRCh und die Regelungen in Art. 83 Abs. 2 lit. b) sowie Abs. 3 DS-GVO, die Fahrlässigkeit und Vorsatz ansprechen, aber keine andere Tatbestandsverwirklichung in Form eines rein objektiven Verstoßes.[53] Im Interesse einer einheitlichen Geltung der DS-GVO in der EU könne einzelnen Mitgliedstaaten auch nicht gestattet werden, ein System zu regeln, das auch eine rein objektive Verantwortlichkeit umfasse.[54]
Im Ergebnis erteilt der Generalanwalt der Forderung der DSK nach einer verschuldensunabhängigen „strict liability“ damit eine deutliche Absage. Mit ganz ähnlichen Argumenten spricht sich auch Generalanwalt Nicholas Emiliou in der Rechtssache C-683/21 gegen eine unmittelbare Unternehmenshaftung im Rahmen von Art. 83 DS-GVO aus.[55] Der Wortlaut von Art. 83 Abs. 2 lit. b) und lit. k) DS-GVO lege gerade nicht nahe, dass eine Geldbuße auch beim Fehlen eines Verschuldens verhängt werden könnte.[56] Auch Art. 83 Abs. 3 DS-GVO setze voraus, dass ein Verstoß vorsätzlich oder fahrlässig begangen sein muss.[57] Zudem gelte für Geldbußen nach Art. 83 DS-GVO der Grundsatz der Gesetzmäßigkeit der Strafen nach Art. 49 Abs. 1 GRCh.[58] Gegen diesen Grundsatz, aber auch gegen die in Art. 83 Abs. 1 DS-GVO geforderte Verhältnismäßigkeit, würde die Annahme einer unmittelbaren Unternehmenshaftung verstoßen.[59] Es wäre unverhältnismäßig, Geldbußen in Fällen zu verhängen, in denen nicht zumindest Fahrlässigkeit nachgewiesen sei.[60] Sollte der EuGH den Generalanwälten folgen, bleibt die von den Behörden propagierte „Erleichterung“[61] bei der Verhängung von Geldbußen nach Art. 83 DS-GVO wohl aus.
4. Erwägungsgrund 150 S. 3 DS‑GVO betrifft nur die Festlegung des Bußgeldrahmens
Die Datenschutzbehörden und Teile der Fachliteratur bewerten Erwägungsgrund 150 S. 3 DS-GVO als umfassenden Verweis auf die Rechtsprechung des EuGH zum Wettbewerbsrecht der Union.[62] Er lautet: „Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff ‚Unternehmen‘ im Sinne der Artt. 101 und 102 AEUV verstanden werden.“ Aus dem Verweis auf die genannten Vorschriften des EU-Wettbewerbsrecht folge nach dieser Ansicht eine weitgehende Anwendung der Kasuistik des EuGH zu Verstößen nach Art. 23 der VO 1/2003 (Kartellverfahrensverordnung).
Der Begriff „Unternehmen“ wird in Art. 83 Abs. 4 bis Abs. 6 DS-GVO im Zusammenhang mit der Festlegung des maximalen Bußgeldrahmens verwendet. Soweit als Höchstbetrag für Sanktionen ein Prozentsatz des Vorjahresumsatzes festgelegt sei, gelte als Bezugsgröße für dessen Festsetzung nicht der Umsatz der juristischen Person, sondern der der „wirtschaftlichen Einheit“ im Sinne des EU-Wettbewerbsrechts.[63] Nach Art. 83 Abs. 1 DS-GVO müssten Geldbußen „wirksam, verhältnismäßig und abschreckend“ sein.[64] Diese Anforderungen erfüllten nach Auffassung des Generalanwalts nur Geldbußen, deren Höhe anhand der tatsächlichen oder materiellen Leistungsfähigkeit des Sanktionsadressaten festgesetzt würden.[65] Daher könnten bei der Berechnung der Sanktion materielle oder wirtschaftliche Kriterien anstelle eines rein formellen Unternehmensbegriffs zugrunde gelegt werden.[66] Dabei stellt der Generalanwalt unmissverständlich klar, dass sich der in Erwägungsgrund 150 S. 3 DS-GVO genannte Unternehmensbegriff ausschließlich auf die Festlegung des maximalen Bußgeldrahmens bezieht: „Die tatsächliche oder materielle Definition von „Unternehmen“, die für das Wettbewerbsrecht kennzeichnend ist, wird somit vom europäischen Gesetzgeber für die Festsetzung der Höhe der Geldbußen wegen eines Verstoßes gegen die DS-GVO herangezogen. Ich möchte jedoch wiederholen, dass die DS-GVO auf diesen Begriff nur zu diesem Zweck Bezug nimmt.“[67]
Der Generalanwalt setzt sich in seinen Schlussanträgen nicht mit der Frage auseinander, ob eine derart weitreichende Erweiterung des Bußgeldrahmens, wie er sie in seiner Auslegung vorschlägt, überhaupt in einem Erwägungsgrund geregelt werden kann.[68] Auch die Frage, ob eine solche Auslegung von Art. 83 DS-GVO nicht gegen den Grundsatz der Gesetzmäßigkeit der Strafen nach Art. 49 Abs. 1 GRCh verstößt, lässt er offen.[69] Jedenfalls ist zu begrüßen, mit welcher Deutlichkeit der Generalanwalt klarstellt, dass sich Erwägungsgrund 150 S. 3 DS-GVO allein auf die Festlegung des Bußgeldrahmens bezieht.
5. Analoge Anwendung des EU-Kartellrechts möglich
Bei unionsrechtlichen Strafen oder strafähnlichen Sanktionen gelten der Bestimmtheitsgrundsatz und das daraus folgende Analogieverbot.[70] Auch in der Rechtsprechung des EuGH nimmt der Bestimmtheitsgrundsatz eine zentrale Rolle ein: „Aus dem in Art. 49 I der Charta verankerten Grundsatz der Gesetzmäßigkeit im Zusammenhang mit Straftaten und Strafen, der nach der Rechtsprechung des EuGH eine besondere Ausprägung des allgemeinen Grundsatzes der Rechtssicherheit darstellt, folgt unter anderem, dass das Gesetz die Straftaten und die für sie angedrohten Strafen klar definieren muss (vgl. i.d.S. EuZW 2017, 529 Rn. 162 m.w.N. – Rosneft).“[71]
Dennoch hält der Generalanwalt ohne nähere Begründung oder Befassung mit Art. 49 Abs. 1 GRCh bei Sanktionen nach Art. 83 DS-GVO eine Analogie zur Rechtsprechung des EuGH zum EU-Wettbewerbsrecht für möglich: „Dies schließt nicht aus, dementsprechend die allgemeinen Grundsätze, die für Sanktionen im Wettbewerbsrecht gelten (das vom Gerichtshof bereits umfassend ausgelegt worden ist), im Bereich der Verantwortlichkeit juristischer Personen für Verstöße gegen Vorschriften zum Schutz personenbezogener Daten analog anzuwenden.“[72]
Diese Aussage ist zum einen deshalb überraschend, weil eine Analogie zu „den allgemeinen Grundsätzen“ einer (teilweise durchaus unklaren) Rechtsprechung zu einem anderen Rechtsgebiet im Widerspruch zu Art. 49 Abs. 1 GRCh stehen dürfte.[73] Zum anderen ist erstaunlich, dass der Generalanwalt diese Aussage trifft, ohne überhaupt auf den Grundsatz der Gesetzmäßigkeit der Strafen einzugehen – der inhaltlich einer der absoluten Schwerpunkte der mündlichen Verhandlung war.[74] Dies erstaunt auch vor dem Hintergrund, dass in der Literatur bereits ohne die Annahme einer solchen möglichen Analogie teilweise erhebliche Zweifel an der Vereinbarkeit von Art. 83 DS-GVO mit dem Bestimmtheitsgrundsatz geäußert werden.[75] Denn bereits die materiellen Rechtmäßigkeitsvorschriften an die Art. 83 DS-GVO anknüpft, sind teilweise sehr vage.[76] Dieser Mangel an Bestimmtheit würde durch eine solche Analogie noch massiv verstärkt. Dies hatte etwa auch die Bundesrepublik Deutschland in ihrer Stellungnahme zu dem Verfahren ausgeführt: „Überdies wäre eine anderweitige Auslegung auch nicht mit der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta der Grundrechte) vereinbar. Nach Art. 49 Abs. 1 S. 1 der Charta der Grundrechte darf niemand wegen einer Handlung oder Unterlassung verurteilt werden, die zur Zeit ihrer Begehung nach innerstaatlichem oder internationalem Recht nicht strafbar war. Dieser Grundsatz erfordert nach der Rechtsprechung des Europäischen Gerichtshofs, dass eine Unionsregelung Straftaten und die für sie angedrohten Sanktionen klar definieren muss. (…). Dieser Grundsatz gilt auch für die Bußgeldtatbestände. Art. 83 DS-GVO genügt diesem Maßstab nicht.“[77]
Insofern steht zu erwarten, dass der Gerichtshof in seinem anstehenden Urteil hier eine gründlichere Prüfung vornimmt und dann auch eine entsprechende – und hoffentlich ausführlichere – Begründung vorgibt.
6.Keine Prüfung der Wirksamkeit des deutschen Rechts
Selbst wenn man eine Anwendung der allgemeinen Grundsätze der Rechtsprechung zum Wettbewerbsrecht der Union anders als der Generalanwalt[78] nicht als (strafbegründende?) Analogie sondern nur als „Rückgriff“[79] auf diese Rechtsprechung im Wege einer Auslegung bezeichnen wollte, käme dies nur dann in Betracht, wenn das deutsche Recht keine hinreichend wirksame Anwendung von Art. 83 DS-GVO gewährleisten würde. Dementsprechend befasst sich der Generalanwalt auch recht ausführlich mit dieser Frage.[80] Er selbst prüft die Wirksamkeit des deutschen Bußgeldrechts bei der Sanktionierung von Unternehmen nicht. In seinen Schlussanträgen weist er zunächst darauf hin, dass das Kammergericht ausgeführt hat, dass allein ein Verstoß einer Leitungsperson einem Unternehmen zugerechnet werden könnte.[81] Wie bereits gezeigt, ist das falsch.[82]
Verstöße von Mitarbeitern unterhalb der Leitungsebene können Unternehmen ohne Weiteres nach §§ 30, 130 OWiG wegen Aufsichtspflichtverletzungen ihrer Leitungspersonen zugerechnet werden.[83] Dieser Widerspruch bleibt dem Generalanwalt nicht verborgen. Er weist in seinen Schlussanträgen ausdrücklich darauf hin, dass das beschuldigte Unternehmen „und die deutsche Regierung dieser Auffassung entgegen“ treten.[84] „Ihrer Ansicht nach ist § 30 OWiG in Verbindung mit den §§ 9 und 130 OWiG auszulegen, mit denen er ein kohärentes Sanktionssystem bilde. Nach diesem System könnten Verwaltungssanktionen gegen ein Unternehmen verhängt werden, ohne dass ein Verfahren gegen die natürliche Person eingeleitet werden müsse, die für das Unternehmen gehandelt habe.“[85]
Erstaunlicherweise hatte das Kammergericht es in seinem Vorlagebeschluss nicht einmal für nötig gehalten, § 130 OWiG auch nur in der Aufzählung der maßgeblichen Vorschriften des nationalen Rechts zu nennen.[86] Der EuGH hatte das Kammergericht daher um eine entsprechende Klarstellung zum Einfluss von § 130 OWiG gebeten.[87] Hierauf hatte das vorlegende Kammergericht geantwortet, dass diese Vorschrift vorliegend nicht erheblich sei.[88] „Zwar ermögliche diese Bestimmung neben §§ 9, 30 OWiG die Verhängung von Bußgeldern gegen Unternehmen, aber der durch § 130 OWiG erreichbare Schutz von Rechtsgütern sei gegenüber dem aus Art. 101 und 102 AEUV abgeleiteten Haftungsregime deutlich eingeschränkt.“[89] Worauf das Kammergericht diese rechtsvergleichende Wertung stützt, bleibt leider offen.
Wie die nachstehend dargelegten Ausführungen des Generalanwalts zur Zurechnung zeigen,[90] könnte auch er bei der Abfassung seiner Schlussanträge die Aussagen des Kammergerichts durchaus bezweifelt haben. Zu einer Überprüfung der Wertungen zum nationalen Recht sei dennoch allein das vorlegende Gericht des Mitgliedstaats befugt. „Der Gerichtshof hat sich an den vom vorlegenden Gericht beschriebenen nationalen rechtlichen Rahmen zu halten, denn dieses Gericht ist das zur Auslegung seines innerstaatlichen Rechts befugte Organ. Die Fragen des nationalen Gerichts zur Auslegung des Unionsrechts sind in dem rechtlichen und sachlichen Rahmen zu beantworten, den es in eigener Verantwortung festlegt und dessen Richtigkeit der Gerichtshof nicht zu prüfen hat.“[91]
Hierfür verweist der Generalanwalt auf die Rechtsprechung des Gerichtshofs.[92] Dort heißt es: „Es ist jedoch darauf hinzuweisen, dass in einem Verfahren nach Art. 267 AEUV, das auf einer klaren Aufgabentrennung zwischen den nationalen Gerichten und dem Gerichtshof beruht, allein das nationale Gericht für die Feststellung und Beurteilung des Sachverhalts des Ausgangsrechtsstreits sowie die Auslegung und Anwendung des nationalen Rechts zuständig ist […]“.[93] Ob das deutsche Ordnungswidrigkeitenrecht den unionsrechtlichen Effektivitätsgrundsatz wahrt, ist jedoch keine Frage der Auslegung des nationalen Rechts. Auch für den hier angesprochenen Vergleich der §§ 9, 30, 130 OWiG mit Artt. 101, 102 AEUV ist nicht das nationale Recht, sondern das Unionsrecht maßgeblich.[94] Die hierzu getroffenen Wertungen der Schlussanträge überzeugen vor diesem Hintergrund nicht.
7. Vorgaben zur Zurechnung von Verschulden
Falls der EuGH dem Generalanwalt in Bezug auf eine mögliche Analogie folgt, muss das Kammergericht im weiteren Verfahren die Wirksamkeit von Verbandsgeldbußen nach §§ 130, 30, 9 OWiG mit derjenigen der Rechtsprechung des EuGH zu Art. 101, 102 AEUV vergleichen. Der Generalanwalt macht hierzu in seinen Schlussanträgen Vorgaben für diesen Rechtsvergleich. Er geht davon aus, dass eine „juristische Person, die als für die Verarbeitung personenbezogener Daten Verantwortliche […] eingestuft werden kann, […] die Folgen – in Gestalt von Sanktionen – von Verstößen gegen die DS-GVO nicht nur tragen [muss], wenn diese von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden […]“.[95] Dies gelte vielmehr „auch, wenn die Verstöße von natürlichen Personen (Mitarbeitern im weiteren Sinne) begangen wurden, die im Rahmen der unternehmerischen Tätigkeit des Unternehmens und unter der Aufsicht der zuerst genannten Personen handeln.“[96] Der Generalanwalt setzt für die Zurechnung folgerichtig eine Aufsichtspflichtverletzung der Leitungsebene voraus. Das belegen auch seine weiteren Ausführungen. Demnach erfolgt eine Zurechenbarkeit zu der juristischen Person, „soweit der Verstoß des Mitarbeiters, der unter der Aufsicht ihrer Leitungsorgane handelt, auf einen Mangel des Kontroll- und Überwachungssystems zurückgeht, für den die Leitungsorgane unmittelbar verantwortlich sind“.[97]
III. Weiteres Verfahren
Der EuGH wird vermutlich noch in diesem Jahr sein Urteil fällen. Das Kammergericht wird dann im Anschluss auf der Basis der Entscheidung des EuGH über die sofortige Beschwerde der Staatsanwaltschaft Berlin entscheiden. Wenn der Gerichtshof dem Generalanwalt folgt und eine „strict liability“ ablehnt, spricht dies dafür, die Entscheidung des Landgerichts Berlin zu bestätigen.
Dieses hatte in seinem Beschluss zur Einstellung des Bußgeldverfahrens klar ausgeführt, dass der dem Verfahren zugrunde liegende Bußgeldbescheid gegen die Vorgaben von § 66 OWiG verstoße. Nach dieser Vorschrift muss die Behörde die dem Betroffenen zur Last gelegte Tat hinreichend konkretisieren. Daran fehlte es: „Der Bußgeldbescheid vom 30. Oktober 2019 erfüllt diese Abgrenzungsfunktion nicht. Der Tatvorwurf ist nicht bestimmt. Es fehlt etwa die Angabe von Tatzeit und -ort sowie des Organmitgliedes, das schuldhaft und der Betroffenen zurechenbar die Einrichtung eines den datenschutzrechtlichen Anforderungen genügenden EDVSystems unterlassen oder aber eine rechtzeitige Löschung relevanter Daten nicht veranlasst haben soll. Der Bescheid enthält – mit Blick auf die Rechtsauffassung der Behörde konsequent – auch sonst keine Angaben zur konkreten Tathandlung selbst oder ihrer Unterlassung. Ihm lässt sich nicht entnehmen, worauf ein Vorwurf, die datenschutzrechtlichen Anforderungen seien nicht eingehalten worden, gestützt wird.“[98] Die Frage nach der Vereinbarkeit des § 66 OWiG hatte das Kammergericht dem EuGH nicht vorgelegt, sondern sich auf die Frage nach der „strict liability“ beschränkt. Ohne diese geforderte „Erleichterung“[99] in Form einer unmittelbaren Unternehmenshaftung leidet ein Bescheid, der weder konkrete Tathandlungen noch Feststellungen zu einer möglichen Aufsichtspflichtverletzung enthält, auch im Rahmen einer Analogie zum Wettbewerbsrecht der Union – in den Worten des Landgerichts Berlin –[100] „unter derart gravierenden Mangeln, dass er nicht Grundlage des Verfahrens sein kann.“
Wenn das Kammergericht dies anders sehen sollte, muss es die Frage der hinreichenden Wirksamkeit des deutschen Rechts als Voraussetzung für eine mögliche Analogie unter Berücksichtigung der Positionen des Generalanwalts beziehungsweise des EuGH prüfen. Dabei geht es nicht um einen bloßen Vergleich der jeweiligen Wirksamkeit. Vielmehr wäre zu prüfen, ob die Anwendung von §§ 130, 30, 9 OWiG „die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren.“[101]
IV. Fazit
Auch mehr als fünf Jahre nach Geltung der Verordnung bleiben wesentliche Fragen der Verhängung von Bußgeldern nach Art. 83 DS-GVO ungeklärt. Der EuGH sollte die vorliegende Rechtssache C-807/21 zum Anlass nehmen, viele offene Fragen zu klären. Es wäre wünschenswert, dass er der Praxis deutlich klarere Vorgaben als bislang gibt.
Tim Wybitul ist Rechtsanwalt und Partner der Sozietät Latham & Watkins LLP in Frankfurt a.M. und berät umfassend im Datenschutzrecht. Insbesondere verteidigt er Unternehmen auch in Bußgeldverfahren und sonstigen behördlichen oder gerichtlichen Verfahren im Datenschutz.
* Hinweis: Der Verfasser verteidigt das in dem hier besprochenen Verfahren vor dem EuGH beschuldigte Unternehmen. Die hier vertretenen Auffassungen und Aussagen sind allein die des Verfassers und nicht des von ihm vertretenen Unternehmens.
[1] Die irische Datenschutzbehörde DPC hat im Mai 2023 eine Geldbuße in Höhe von 1,2 Millarden Euro verhängt, vgl. Binding Decision 1/2023 on the dispute submitted by the Irish SA on data transfers by Meta Platforms Ireland Limited for its Facebook service (Art. 65 GDPR), abrufbar unter: https://edpb.europa.eu/our-work-tools/consistency-findings/register-decisions/2023/decisiondata-protection-commission_en (zuletzt abgerufen am 24.05.2023).
[2] Einen Überblick über entsprechende Geldbußen gibt etwa Ihwas CCZ 2023, 23.
[3] Vgl. hierzu nachstehend, Abschnitt I; vgl. Wybitul/König ZD 2022, 591.
[4] Venn/Wybitul NStZ 2021, 204 (206); Pentzien/Haak CB 2022, 105 (107); Schwartmann/Burckhard RDV 2022, 237 (240).
[5] Vgl. Art. 4 EUV sowie EuGH Urt. v. 21.01.2016, Rs. C-74/14, ECLI:EU:C:2016:42, Rn. 32 – E-turas u.a.; vgl. Nietsch/Osmanovic BB 2021, 1858 (1862).
[6] Vgl. EuGH Urt. v. 21.01.2016, Rs. C-74/14, ECLI:EU:C:2016:42, Rn. 32 – Eturas u.a.
[7] Vgl. EuGH Urt. v. 21.01.2016, Rs. C-74/14, ECLI:EU:C:2016:42, Rn. 32 – Eturas u.a; vgl. auch Nietsch/Osmanovic BB 2021, 1858 (1862) mwN.
[8] Art. 83 Abs. 8 DS-GVO: „Die Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde gemäß diesem Artikel muss angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren, unterliegen.“
[9] Vgl. etwa BeckOK DatenschutzR/Holländer, 43. Ed. 01.11.2021, DS-GVO Art. 83 Rn. 82, Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 83 Rn. 29; Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DS-GVO Art. 83 Rn. 56; Taeger/Gabel/Moos/Schefzig, 4. Aufl. 2022, DS-GVO Art. 83 Rn. 159 ff.
[10] Vgl. zu den Positionen der Datenschutzbehörden nachstehend Fußnote 14
[11] Vgl. BeckOK Datenschutzrecht/Holländer, 40. Ed. 01.11.2021, DS-GVO Art. 83 Rn. 14.1; LG Bonn ZD 2021, 154 Rn. 32 f. mAnm von dem Bussche
[12] „Stellungnahme zu Grundsatzfragen zur Sanktionierung von Datenschutzverstößen von Unternehmen – EuGH-Rechtssache C-807/21“, nachstehend bezeichnet als „DSK-Stellungnahme“, abrufbar unter https://www.datenschutzkonferenz-online.de/media/st/20230118_DSK_Stellungnahme_Datenschutzverstoesse_von_Unternehmen.pdf (zuletzt abgerufen am 21.05.2023).
[13] DSK-Stellungnahme, 1.
[14] DSK-Stellungnahme, 1: „Die Notwendigkeit der Feststellung eines Leitungsverschuldens würde unter Verletzung des Effektivitätsgebots („effet utile“) den Vollzug des Art. 83 DS-GVO in Deutschland ansonsten erheblich erschweren.
[15] DSK-Stellungnahme, 1.
[16] DSK-Stellungnahme, 15.
[17] DSK-Stellungnahme, 15 f.
[18] DSK-Stellungnahme, 15
[19] In § 130 Abs. 1 S.1 OWiG heißt es: „Wer als Inhaber eines […] Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterlässt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist, handelt ordnungswidrig […].“ (Auslassungen durch den Verfasser).
[20] KK-OWiG/Rogall, 5. Aufl. 2018, OWiG § 30 Rn. 92.
[21] KK-OWiG/Rogall, 5. Aufl. 2018, OWiG § 130 Rn. 4.
[22] Vgl. DSK-Stellungnahme, 15.
[23] Vgl. Krenberger/Krumm, 7. Aufl. 2022, OWiG § 30 Rn. 10 m.w.N.
[24] KK-OWiG/Rogall, 5. Aufl. 2018, OWiG § 30 Rn. 166.
[25] BGH, Beschluss vom 08.02.1994 – KRB 25/93 NStZ 1994, 346, vgl. auch Krenberger/Krumm, 7. Aufl. 2022, OWiG § 30 Rn. 10: „Die Bezugstat muss weder geahndet werden noch geahndet worden sein (Abs. 4). Auch wird die Feststellung des konkreten Täters nicht für erforderlich angesehen, sofern nur feststeht, dass die Ahndungsvoraussetzungen des § 30 für JP oder PV sämtlich vorliegen.“ So etwa auch OLG Düsseldorf GewArch 2000, 341; OLG Hamm NJW 1979, 1312; wistra 2000, 393; OLG Köln GewArch 1974, 141, 143; BayObLG NJW 1972, 1771f.; Göhler/ Gürtler Rn. 40; RRH/Förster Rn. 52; Müller, S. 89f.; Eidam wistra 2003, 454.
[26] Wybitul DSB, 2023, 75 (77).
[27] Das Gesamtvolumen der von den Datenschutzbehörden verhängten Geldbußen betrug bspw. im Jahr 2021 knapp 1,3 Mrd. Euro, vgl.: https://de.statista.com/infografik/26629/strafen-auf-grund-von-verstoessen-gegen-die-datenschutz-grundverordnung/ (zuletzt abgerufen am 24.05.2023).
[28] Vgl. zur Rechtsprechung des BGH zu § 130 OWiG etwa KK-OWiG/Rogall, 5. Aufl. 2018, OWiG § 30 Rn. 88 ff.
[29] Wybitul DSB, 2023, 75 (77).
[30] Vgl. Bundeskartellamt, Tätigkeitsbericht 2019/2020, BT-Drs. 19/30775, 38, 41.
[31] KK-OWiG/Rogall, 5. Aufl. 2018, OWiG § 130 Rn. 110: „Die Feststellung eines bestimmten Täters, der die Zuwiderhandlung begangen hat, ist allgemeiner Ansicht nach nicht notwendig (vgl. dazu nur RRH/Förster Rn. 9; Rotberg Rn. 11; Senge OWiG Rn. 24; BeckOK OWiG/Beck Rn. 89; HK-OWiG/Ziegler Rn. 58; Bohnert/Krenberger/Krumm Rn. 27).“
[32] BeckOK OWiG/Beck, 38. Ed. 01.04.2023, OWiG § 130 Rn. 79: „Das Vorliegen einer Zuwiderhandlung i.S.d. Norm ist objektive Bedingung der Ahndbarkeit (BGH wistra 1982, 35; 1984, 187; 2003, 465; OLG Hamm VRS 92, 235; Krenberger/Krumm Rn. 24; Göhler/Gürtler/Thoma Rn. 17).“ So übrigens auch die Wertung der Bundesrepublik Deutschland in ihrer Stellungnahme in der Rechtssache C-807/21 v. 08.04.2022, Rn. 25: „Die Festsetzung der Verbandsgeldbuße setzt nicht voraus, dass gegen die für die juristische Person oder Personenvereinigung handelnde natürliche Person ein Verfahren eingeleitet und ihr Verstoß festgestellt wird. Es ist noch nicht einmal erforderlich, dass die handelnde natürliche Person identifiziert wird. Dies gilt zum einem für Verstöße von Leitungspersonen, bei denen die handelnde natürliche Person nicht identifiziert werden muss, solange feststeht, dass irgendeine Leitungsperson der juristischen Person oder Personenvereinigung den Verstoß begangen hat. In diesen Fällen ist die Festsetzung einer sogenannten „anonymen Geldbuße“ in einem Verfahren gegen das Unternehmen möglich. Dies gilt zum anderen aber auch bei Verstößen von Nicht-Leitungspersonen im Zusammenhang mit Aufsichtspflichtverletzungen: hier muss weder die Nicht-Leitungsperson, die den Verstoß begangen hat, noch die für Aufsichtspflichtverletzung verantwortliche Leitungsperson identifiziert werden. Auch in diesen Fällen kann eine „anonyme Geldbuße“ festgesetzt werden und die Identität von Leitungsperson und Nicht-Leitungsperson offenbleiben.“
[33] LG Berlin, Beschl. v. 18.02.2021 – (526 OWi LG) 212 Js-OWi 1/20 (1/20), im Volltext unter BeckRS 2021, 2985, Rn. 32.
[34] Stellungnahme der Bundesrepublik Deutschland in der Rechtssache C-807/21 v. 08.04.2022, Rn. 23.
[35] Schlussanträge des Generalanwalts Manuel Campos Sánchez-Bordona vom 27.04.2023 in der Rechtssache C-807/21, ECLI:EU:C:2023:360, (nachstehend „Schlussanträge C-807/21“).
[36] EuGH Urt. v.11.11.2010, Rs. C-229/09, ECLI:EU:C:2010:673, Rn. 26 – Hogan Lovells/ Bayer CropScience; EuGH Urt. v.17.03.2011, Rs. C-221/09, ECLI:EU:C:2010:673, Rn.45 – AJD Tuna
[37] Vgl. etwa Bergmann, Handlexikon EU, 6. Auflage 2022, Generalanwalt (EuGH).
[38] Soweit inhaltlich einschlägig, geht der Überblick dabei auch auf die Schlussanträge in dem Verfahren C 683/21 ein
[39] Schlussanträge C-807/21, Rn. 37
[40] Zum vorliegenden Fall bezieht der Generalanwalt sich auf die Angaben des KG im Vorlagebeschluss. Danach hatte die Behörde die streitgegenständliche Geldbuße gegen das Unternehmen „wegen einer Reihe von Verstößen gegen die DS-GVO verhängt, die dieser Gesellschaft als dem für die Datenverarbeitung Verantwortlichen zugerechnet wurden“, Schlussanträge C-807/21, Rn. 37 (Hervorhebung durch den Verfasser
[41] Schlussanträge C-807/21, Rn. 38.
[42] Schlussanträge C-807/21, Rn. 39.
[43] Schlussanträge C-807/21, Rn. 39.
[44] § 30 Abs. 1 a.E. OWiG
[45] Schlussanträge C-807/21, Rn. 58: „In Wirklichkeit bilden und definieren jene natürlichen Personen den Willen der juristischen Person, indem sie ihm durch individuelle und konkrete Handlungen Ausdruck verleihen. Diese individuellen Handlungen als konkreter Ausdruck jenes Willens sind letztlich der juristischen Person selbst zuzurechnen.“
[46] Schlussanträge C-807/21, Fn. 9: „Ungeachtet der in der mündlichen Verhandlung erhobenen Einwände von Deutsche Wohnen gegen ihre diesbezügliche Einstufung steht fest, dass ihr Profil der Definition des für die Verarbeitung „Verantwortlichen“ in Art. 4 DS-GVO entspricht.“
[47] Schlussanträge C-807/21, Fn. 10: „Eine andere Frage ist, inwieweit bei der Festsetzung der Höhe der betreffenden Sanktion gegebenenfalls die etwaige Integration von Deutsche Wohnen und ihrer Tochtergesellschaften in eine übergeordnete wirtschaftliche Einheit zu berücksichtigen ist. Entgegen dem Anschein bestehen die klassischen Probleme der Haftungszurechnung zwischen Mutter- und Tochtergesellschaften oder innerhalb von Konzernen als solche im vorliegenden Fall nicht.“
[48] KG Beschl. v. 06.12.2021 – 3 Ws 250/21, BeckRS 2021, 39748 Rn. 3 (Hervorhebung durch den Verfasser).
[49] Schlussanträge C-807/21, Rn. 67.
[50] Schlussanträge C-807/21, Rn. 70 ff.
[51] Schlussanträge C-807/21, Rn. 77.
[52] Schlussanträge C-807/21, Rn. 80.
[53] Schlussanträge C-807/21, Rn. 81.
[54] Schlussanträge C-807/21, Rn. 82.
[55] Schlussanträge des Generalanwalts Nicholas Emiliou vom 04.05.2023 in der Rechtssache C-683/21, ECLI:EU:C:2023:376, (nachstehend „Schlussanträge C-683/21“), Rn. 55 ff
[56] Schlussanträge C-683/21, Rn. 66.
[57] Schlussanträge C-683/21, Rn. 71.
[58] Schlussanträge C-683/21, Rn. 74
[59] Schlussanträge C-683/21, Rn. 75.
[60] Schlussanträge C-683/21, Rn. 75
[61] Vgl. DSK-Stellungnahme, 1.
[62] Vgl. DSK-Stellungnahme, 9; Dannecker NZWiST 2022, 85 (94); LG Bonn ZD 2021, 154 Rn. 31 m. Anm. von dem Bussche, Spindler/Schuster/Eckhardt, 4. Aufl. 2019, DS-GVO Art. 83 Rn. 6.
[63] Schlussanträge C-807/21, Rn. 46.
[64] Schlussanträge C-807/21, Rn. 47.
[65] Schlussanträge C-807/21, Rn. 47.
[66] Schlussanträge C-807/21, Rn. 47 und 49
[67] Schlussanträge C-807/21, Rn. 47 (Hervorhebung durch den Verfasser).
[68] Zudem sind Erwägungsgründe nicht rechtsverbindlich, vgl. etwa EuGH Urt. v. 19.06.2014 – C-345/13 ECLI:EU:C:2014:2013, Rn. 31 – Karen Millen Fashions Ltd.; EuGH Urt. v. 24.11.2005 C-136/04 ECLI:EU:C:2005:716, Rn. 32 Deutsches MilchKontor; Wybitul/König, in: ZD 2022, 591 (593) aA Jandt/Steidle, Datenschutz im Internet/Ambrock, 2018, B.VII, Rn. 49.
[69] Vgl. Calliess/Ruffert/Blanke, 6. Aufl. 2022, EU-GRCharta Art. 49 Rn. 6: „Um einen Täter auf einer innerstaatlichen oder internationalen Rechtsgrundlage verurteilen zu können, muss ein hinreichend klar und bestimmt formuliertes Gesetz den Straftatbestand enthalten und eine Strafe androhen. Ein von einem Straftatbestand nicht erfasstes Verhalten darf nicht im Wege des Analogieschlusses als strafbar bewertet werden (Analogieverbot).“
[70] Meyer/Hölscheidt, Charta der Grundrechte der Europäischen Union, GRCh Art. 49 Rn. 25: „Unter Analogie versteht man eine Methode richterlicher Rechtsfortbildung zur Auffindung und Auffüllung von (planwidrigen und nicht schon durch Auslegung schließbaren) Regelungslücken.“
[71] Vgl. etwa auch EuGH (Große Kammer), Urt. v. 08.03.2022 – C-205/20, EuZW 2022, 606 Rn. 47: „Der Grundsatz der Gesetzmäßigkeit der Straftatbestände und der Strafen besagt, dass die Gemeinschaftsvorschriften klar die Straftaten und die für sie angedrohten Strafen definieren müssen.“
[72] Schlussanträge C-807/21, Rn. 50.
[73] Zur Diskussion zum Gesetzlichkeitsprinzip vgl. Schwartmann/Burkhardt RDV 2022, 237 (245) m.w.N.
[74] Der Verfasser dieses Beitrags hielt in der mündlichen Verhandlung das Plädoyer für die Verteidigung, ein Erfahrungsbericht findet sich unter Wybitul DSB, 2023, 75.
[75] Bergt, in: Kühling/Buchner, DS-GVO BDSG, 3. Auflage 2020, Art. 83 Rn. 45.
[76] Bergt, in: Kühling/Buchner, DS-GVO BDSG, 3. Auflage 2020, Art. 83 Rn. 45.
[77] Stellungnahme der Bundesrepublik Deutschland in der Rechtssache C-807/21 v. 08.04.2022, Rn. 21 f.
[78] Schlussanträge C-807/21, Rn. 50.
[79] Die DSK geht hingegen von einem „Rückgriff“ auf das nach der Verfahrensautonomie der Mitgliedstaaten, Art. 83 Abs. 8 DS-GVO und § 41 BDSG anwendbare deutsche Recht aus. „Es bedarf daher im Datenschutzrecht grundsätzlich keines Rückgriffs auf nationale Befugnisnormen“, DSK-Stellungnahme, 10.
[80] Vgl. Schlussanträge C-807/21, Rn. 54 ff.
[81] Schlussanträge C-807/21, Rn. 31.
[82] Siehe dazu vorstehend A.III
[83] Vgl. KK-OWiG/Rogall, 5. Aufl. 2018, OWiG § 130 Rn. 38
[84] Schlussanträge C-807/21, Rn. 32.
[85] Schlussanträge C-807/21, Rn. 32.
[86] Das KG Berlin nennt in seinem Vorlagebeschluss vom 06.12.2021 – 3 Ws 250/21, Rn. 9 lediglich §§ 9, 30 OWiG und § 41 BDSG.
[87] Vgl. Schlussanträge C-807/21, Rn. 33.
[89] Schlussanträge C-807/21, Rn. 33
[90] Schlussanträge C-807/21, Rn. 33
[91] Siehe dazu nachstehend unter B.VII
[92] Schlussanträge C-807/21, Rn. 35.
[93] Schlussanträge C-807/21, Rn. 35 i.V.m. Fn. 7
[94] EuGH, Urt. v. 26.04.2017, Rs. C-564/15, ECLI:EU:C:2017:302, Rn. 37 – Farkas m.w.N. aus der eigenen Rechtsprechung des Gerichtshofs (Auslassungen durch den Verfasser
[95] Schlussanträge C-807/21, Rn. 57 (Auslassungen durch den Verfasser).
[96] Schlussanträge C-807/21, Rn. 57 (Hervorhebung durch den Verfasser)
[97] Schlussanträge C-807/21, Rn. 59 (Hervorhebung durch den Verfasser)
[98] LG Berlin Beschl. v. 18.02.2021 – (526 OWi LG) 212 Js-OWi 1/20 (1/20), BeckRS 2021, 2985 Rn. 32.
[99] Vgl. oben Fn. 13.
[100] Vgl. LG Berlin Beschl. v. 18.02.2021 – (526 OWi LG) 212 Js-OWi 1/20 (1/20), BeckRS 2021, 2985 Rn. 9
[101] Vgl. etwa EuGH, Urt. v. 22.04.2021 – C-485/19, BKR 2021, 629 Rn. 52