Das AG Bonn hat die Bußgeldbescheide des BfJ in Höhe von 5,125 Mio EURO gegen die Telegram FZ-LLC wegen Verstößen durch den Messengerdienst Telegram mangels Nachweis der Passivlegitimation aufgehoben.
Die Pressemitteilung des AG Bonn: Amtsgericht Bonn entscheidet über Millionen-Bußgelder gegen Telegram: Bußgeldbescheide aufgehoben mangels Nachweises der Anbieterstellung.
Das Amtsgericht Bonn hat die Bußgeldverfahren gegen die Telegram FZ-LLC im schriftlichen Verfahren abgeschlossen und die vom Bundesamt für Justiz (BfJ) erlassenen Bußgeldbescheide aufgehoben. Maßgeblich war, dass der Betroffenen nicht nachgewiesen werden konnte, den Dienst „Telegram“ im relevanten Zeitraum betrieben zu haben.
Die in Rede stehenden Bußgeldtatbestände richten sich ausschließlich gegen den Anbieter eines sozialen Netzwerks. Anbieter ist nach der Feststellung des Gerichts nur, wer die tatsächliche oder rechtliche Kontrolle („Funktionsherrschaft“) über den Dienst ausübt.
Eine solche Kontrolle konnte der Telegram FZ-LLC nicht nachgewiesen werden. Zwar tritt sie in gängigen App-Stores als Entwicklerin der App auf, ist jedoch nach den gerichtlichen Feststellungen nicht für den Betrieb des Dienstes verantwortlich. Dieser wird nach den gewonnenen Erkenntnissen vielmehr mit überwiegender Wahrscheinlichkeit durch die Telegram Messenger Inc. erbracht, die den Dienst über die App bereitstellt, Nutzer authentifiziert, die technische Infrastruktur unterhält und den Dienst administriert. Hierauf wurde auch in der Datenschutzerklärung von Telegram ausdrücklich hingewiesen, die nach den Nutzungsbedingungen mit der Registrierung anerkannt wird.
Hintergrund und Gegenstand der Verfahren
Den Verfahren lagen zwei Bußgeldbescheide des BfJ aus dem Herbst 2022 zugrunde, mit denen Geldbußen in einer Gesamthöhe von 5,125 Millionen Euro festgesetzt worden waren. Das Gericht befasste sich im Rahmen der Einsprüche mit folgenden Sachverhalten:
Dem Unternehmen wurde vorgeworfen, im Zeitraum von Februar 2021 bis Juni 2022 gegen das Netzwerkdurchsetzungsgesetz (NetzDG) verstoßen zu haben. Konkret wurde gerügt, dass den Nutzern kein leicht erkennbares und ständig verfügbares Verfahren zur Übermittlung von Beschwerden über rechtswidrige Inhalte zur Verfügung gestellt wurde. Hierfür war eine Geldbuße von 4,25 Millionen Euro festgesetzt worden.
In einem zweiten Verfahren wurde ein Bußgeld von 875.000 Euro verhängt. Der Vorwurf lautete hier, dass das Unternehmen im selben Zeitraum entgegen der gesetzlichen Pflicht keinen inländischen Zustellungsbevollmächtigten mit einer ladungsfähigen Anschrift in Deutschland benannt hatte. Dies ist notwendig, damit deutsche Behörden und Gerichte Schriftstücke rechtsverbindlich zustellen können.
Zentrale rechtliche Streitpunkte
Neben der Frage der richtigen Adressatin standen weitere grundlegende tatsächliche und rechtliche Fragen im Zentrum der Auseinandersetzung:
Verfassungs- und Europarechtsfragen:
Die Betroffene machte geltend, dass das NetzDG – sowohl in der alten als auch in der neuen Fassung – gegen Verfassungsrecht und Unionsrecht verstoße, unter anderem wegen fehlender Gesetzgebungskompetenz, möglicher Überregulierung, Diskriminierung ausländischer Anbieter, Verstoßes gegen das „Herkunftslandprinzip“, Unvereinbarkeit mit der E-Commerce-RL und wegen Überschneidungen mit dem Digital Services Act der EU.
Neuregelung durch das Digitale-Dienste-Gesetz:
Der Vorwurf eines unzureichenden Beschwerdeverfahrens sei nach der gesetzlichen Neuregelung durch das Digitale-Dienste-Gesetz nicht mehr bußgeldbewehrt. Die neue Regelung finde auf Auslandstaten – der Begehungsort liege hier nicht in Deutschland – keine Anwendung. Aufgrund des Meistbegünstigungsgrundsatzes scheide damit auch eine Ahndung von Altfällen aus.
Soziales Netzwerk:
Nach Auffassung der Betroffenen wurde der Dienst rechtlich unzutreffend eingeordnet. Telegram sei kein soziales Netzwerk, sondern ein auf Individualkommunikation ausgerichteter Messenger-Dienst und falle daher nicht in den Anwendungsbereich des NetzDG. Selbst bei Annahme eines Mischdienstes mit Elementen eines sozialen Netzwerks komme es auf den Schwerpunkt der Nutzung an, der im maßgeblichen Zeitraum in der Individualkommunikation gelegen habe. Zudem sei Telegram weder als Telemediendienst noch als „Plattform“ im rechtlichen Sinne einzuordnen.
Nutzerzahlen:
Ferner wurde geltend gemacht, dass die gesetzliche Bagatellgrenze von zwei Millionen Nutzern nicht überschritten sei, da für die Nutzerzahl nicht auf sämtliche deutschen Telegram-Nutzer abzustellen sei, sondern lediglich auf diejenigen, die die – aus Sicht der Betroffenen unzutreffend als soziales Netzwerk eingeordneten – Funktionen tatsächlich nutzen.
Gewinnerzielungsabsicht:
Die Betroffene argumentierte weiter, das NetzDG sei nicht anwendbar, da der Dienst aus ideellen Gründen betrieben werde und ausschließlich im Ausland erzielte Einnahmen nur der Kostendeckung dienten, nicht der Gewinnerzielung.
Zustellungsbevollmächtigter/Meldeweg:
Nach Auffassung der Betroffenen seien auch die gesetzlichen Vorgaben zur Benennung eines Zustellungsbevollmächtigten und zur Einrichtung eines Beschwerdeverfahrens erfüllt gewesen. Für die Benennung eines Zustellungsbevollmächtigten hätten die eingerichteten Kontaktmöglichkeiten per E-Mail ausgereicht; eine ladungsfähige Anschrift sei nicht zwingend erforderlich. Der Bußgeldtatbestand erfasse zudem nur das vollständige Fehlen eines Zustellungsbevollmächtigten, nicht bloße Form- oder Transparenzmängel. Hinsichtlich des Beschwerdeverfahrens habe es im maßgeblichen Zeitraum drei ausreichende Meldewege für rechtswidrige Inhalte gegeben: per E-Mail, über das Drei-Punkte-Menü sowie unmittelbar am jeweiligen Beitrag.
Fehlende Schuld und überhöhte Bußgeldhöhe:
Schließlich sei dem Unternehmen angesichts der bestehenden rechtlichen Unklarheiten kein schuldhaftes Verhalten vorzuwerfen; zudem sei die Bußgeldhöhe aufgrund einer fehlerhaften Anwendung der Bußgeldleitlinien überhöht.
Nach den Feststellungen des Gerichts hatten die gegen die Telegram FZ-LLC verhängten Bußgelder bereits mangels Nachweises der Passivlegitimation keinen Bestand. Vor diesem Hintergrund bestand keine Veranlassung, die weiteren aufgeworfenen tatsächlichen und rechtlichen Fragen, einschließlich verfassungs- und unionsrechtlicher Aspekte, abschließend zu entscheiden.
Leitsätze des Gerichts:
1. Zur Einholung einer Einwilligung nach § 25 Abs. 1 Satz 1 TTDSG verpflichtet ist jede natürliche oder juristische Person, die kausal die Ausführung des Quelltexts veranlasst, der die Informationen speichert oder ausliest, und der deshalb die Realisierung der Distanzgefahr durch den Fernzugriff, vor dem der Endnutzer geschützt werden soll, zuzurechnen ist. Hierfür ist ein hinreichend enger Wirkungs- und Ursachenzusammenhang zwischen der Durchführung des Fernzugriffs und dem Verhalten der Person zu verlangen.
2. Die gemeinsame datenschutzrechtliche Verantwortlichkeit gemäß Art. 4 Nr. 7 Halbs. 1, Art. 26 Abs. 1 Satz 1 DSGVO setzt eine gemeinsame Festlegung von sowohl Zwecken als auch Mitteln der konkreten Datenverarbeitung voraus.
3. Ob die Mittel der Datenverarbeitung gemeinsam festgelegt werden, ist auf Grundlage einer Gesamtwürdigung der Umstände des Einzelfalls zu beurteilen. Die bloße Mitursächlichkeit des Verhaltens einer Person für eine Verarbeitung personenbezogener Daten genügt für die Annahme einer gemeinsamen Mittelfestlegung nicht.
4. Tauglicher Adressat einer Verwarnung auf Grundlage des Art. 58 Abs. 2 Buchst. b DSGVO ist der für den vollendeten Datenschutzverstoß Verantwortliche oder der Auftragsverarbeiter nur dann, wenn er im Zeitpunkt des Erlasses des Verwarnungsbescheides im Hinblick auf die als datenschutzwidrig monierte Datenverarbeitung noch Verantwortlicher oder Auftragsverarbeiter ist
Das VG Köln hat entschieden, dass das Bundespresseamt eine "Facebook-Fanpage" zur Öffentlichkeitsarbeit für die Bundesregierung betreiben darf und entschieden, dass die Untersagungsverfügung der BfDI rechtswidrig ist.
Die Pressemitteilung des Gerichts: VG Köln: Bundesregierung darf „Facebook-Fanpage“ zur Öffentlichkeitsarbeit weiterbetreiben
Das Presse- und Informationsamt der Bundesregierung darf seine „Facebook-Fanpage“ weiterbetreiben. Dies hat das Verwaltungsgericht Köln aufgrund der mündlichen Verhandlung vom 17. Juli 2025 entschieden und damit den gegen die Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) gerichteten Klagen des Bundes und von „Meta“ (vormals „Facebook“) stattgegeben.
Das Bundespresseamt betreibt eine „Fanpage“ in dem sozialen Netzwerk „Facebook“. Dort informiert es über aktuelle politische Tätigkeiten der Bundesregierung. Bei dem Besuch der „Fanpage“ können auf den Endgeräten der Nutzenden sogenannte „Cookies“ platziert werden.
Die BfDI untersagte dem Bundespresseamt 2023 den Betrieb seiner „Facebook“-Seite („Fanpage“) wegen Gesetzesverstößen, unter anderem gegen die Datenschutzgrundverordnung (DSGVO). Die BfDI vertrat die Auffassung, wegen der nicht datenschutzkonformen Ausgestaltung des von „Meta“ genutzten „Cookie-Banners“ liege keine wirksame Einwilligung für die Speicherung und das Auslesen bestimmter „Cookies“ vor. Nicht nur „Meta“, sondern auch das Bundespresseamt als Betreiber der „Fanpage“ sei gesetzlich verpflichtet, eine Einwilligung des jeweiligen Benutzers einzuholen. Außerdem sei das Bundespresseamt gemeinsam mit „Meta“ verantwortlich, dafür Sorge zu tragen, dass die Datenverarbeitungen auf einer ausreichenden Rechtsgrundlage wie einer Einwilligung beruhten.
Gegen den an das Bundespresseamt gerichteten Bescheid haben sich sowohl die Bundesregierung als auch „Meta“ mit ihren Klagen gewandt, denen das Gericht nunmehr überwiegend stattgegeben hat. Zur Begründung führt das Gericht im Wesentlichen aus:
Nicht das Bundespresseamt, sondern allein „Meta“ ist zur Einholung einer Einwilligung der Endnutzenden für die Platzierung von „Cookies“ verpflichtet. Es besteht kein ausreichender Ursachen- und Wirkungszusammenhang zwischen dem Betrieb der „Fanpage“ durch das Bundespresseamt und dem mit der Speicherung und dem Auslesen der „Cookies“ verbundenen Fernzugriff auf die Endgeräte der Nutzer. Die „Cookies“ können zwar bei Gelegenheit des Besuches einer „Fanpage“, ebenso jedoch bei dem Besuch einer jeden anderen „Facebook-Seite“ platziert werden.
Auch nach der DSGVO sind „Meta“ und das Bundespresseamt nicht gemeinsam für die beanstandeten Datenverarbeitungen verantwortlich. Der Beitrag des Bundespresseamtes zur Speicherung und zum Auslesen der „Cookies“ erschöpft sich in dem Betrieb der „Fanpage“. Insbesondere kann das Bundespresseamt keine Parameter für die Platzierung der „Cookies“ und die Auswertung der erhobenen Daten vorgeben. Die bloße Ermöglichung einer Datenverarbeitung begründet nach Auffassung der Kammer indessen nicht die notwendige gemeinsame Festlegung der Mittel der Datenverarbeitung.
Das Gericht hat die Berufung zugelassen, über die das Oberverwaltungsgericht für das Land Nordrhein-Westfalen mit Sitz in Münster entscheiden würde, wenn die Beteiligten Berufung einlegen.
Der BGH hat dem EuGH die Frage zur Vorabentscheidung vorgelegt, ob Art. 101 AEUV Regressansprüchen eines Unternehmens gegen ihre Geschäftsführer wegen Kartellbußgeldern entgegensteht.
Leitsatz des BGH:
Dem Gerichtshof der Europäischen Union wird zur Auslegung von Art. 101 AEUV folgende Frage zur Vorabentscheidung vorgelegt:
Steht Art. 101 AEUV einer Regelung im nationalen Recht entgegen, nach der eine juristische Person, gegen die eine nationale Wettbewerbsbehörde ein Bußgeld wegen eines durch ihr Leitungsorgan begangenen Verstoßes gegen Art. 101 AEUV verhängt hat, den ihr dadurch entstandenen Schaden von dem Leitungsorgan ersetzt verlangen kann?
BGH, Beschluss vom 11. Februar 2025 - KZR 74/23 - OLG Düsseldorf - LG Düsseldorf
Die BfDI hat Geldbußen in Höhe von insgesamt 45 Millionen EURO gegen Vodafone verhängt. Es ging um Verstöße gegen Art. 28 und Art. 32 DGSVO.
Die Pressemitteilung der BfDI: BfDI verhängt Geldbußen gegen Vodafone
Die BfDI, Prof. Dr. Louisa Specht-Riemenschneider, hat der Vodafone GmbH zwei Geldbußen in einer Gesamthöhe von 45 Millionen Euro auferlegt. Durch böswillig handelnde Mitarbeitende in Partneragenturen, die im Auftrag von Vodafone Verträge an Kunden vermitteln, war es unter anderem zu Betrugsfällen durch fingierte Verträge oder Vertragsänderungen zulasten von Kunden gekommen.
Eine Geldbuße in Höhe von 15 Millionen Euro erging, weil die Vodafone GmbH für sie tätige Partneragenturen nicht im ausreichenden Umfang datenschutzrechtlich überprüft und überwacht hatte (Art. 28 Abs. 1 S. 1 DSGVO).
Darüber hinaus hat die BfDI Vodafone aufgrund eines Verstoßes gegen Art. 32 Abs. 1 DSGVO wegen festgestellter Schwachstellen in bestimmten Vertriebssystemen verwarnt.
Eine weitere Geldbuße in Höhe von 30 Millionen Euro wurde wegen Sicherheitsmängeln beim Authentifizierungsprozess bei der kombinierten Nutzung des Onlineportals „MeinVodafone“ mit der Vodafone Hotline verhangen. Die aufgedeckten Schwachstellen der Authentifizierung ermöglichten unter anderem den Abruf von eSIM-Profilen durch unbefugte Dritte.
Die Vodafone GmbH hat ihre Prozesse und Systeme inzwischen verbessert und teilweise sogar vollständig ersetzt, um solche Gefahren künftig auszuschließen. Außerdem hat sie die Prozesse zur Auswahl und Auditierung von Partneragenturen überarbeitet und sich von Partnern getrennt, bei denen Betrugsfälle festgestellt wurden. Die BfDI wird die praktische Wirksamkeit der von Vodafone ergriffenen Maßnahmen in einer Folgekontrolle überprüfen.
Ich möchte hervorherben, dass Vodafone während der Dauer des gesamten Verfahrens ununterbrochen und uneingeschränkt mit mir kooperiert und auch Umstände offengelegt hat, durch die sich das Unternehmen selbst belastet hat, betont Specht-Riemenschneider. Die Geldbußen wurden akzeptiert und schon vollständig an die Bundeskasse gezahlt.
Die Erfahrungen der Datenschutzbehörden zeigen, dass bei Unternehmen in vielen Branchen ein Investitionsstau bei der Modernisierung und Konsolidierung von IT-Systemen besteht. Bei der Sicherheit wird daher teilweise gespart. Auch der Einsatz von Auftragsverarbeitern wird in der Praxis häufig nicht ausreichend kontrolliert. Neue technische Möglichkeiten und komplexere Bedrohungsszenarien führen zu erhöhten Risiken für Kunden, denen durch fehlenden Datenschutz Schäden entstehen können.
Im Falle der Vodafone GmbH hat das Unternehmen umgesteuert und Projekte der IT-Konsolidierung sowie -Modernisierung priorisiert, die Bereiche Compliance und Datenschutz wurden gestärkt. So hat sich Vodafone zu einem starken Datenschutz und digitalen Grundrechten bekannt und sieht sie als Grundlage für das Vertrauen der Kunden. Als Bekenntnis zur Bedeutung des Datenschutzes hat die Vodafone GmbH zudem eine Gesamtsumme in Höhe von mehreren Millionen Euro an unterschiedliche Organisationen gespendet, die sich für die Förderung des Datenschutzes, der Medienkompetenz und Digital Literacy sowie die Bekämpfung von Cybermobbing einsetzen.
Specht-Riemenschneider abschließend: Wo Datenschutzverstöße stattfinden, muss sanktioniert werden. Ich möchte mit meiner Arbeit aber auch erreichen, dass es gar nicht erst zu Datenschutzverstößen kommt. Unternehmen, die das Datenschutzrecht einhalten wollen, müssen dazu befähigt werden. Datenschutz ist Vertrauensfaktor für Nutzerinnen und Nutzer digitaler Angebote und kann daher zum Wettbewerbsvorteil werden. Das verstehen auch mehr und mehr Unternehmen.
Die Irische Datenschutzbehörde (IDPC) hat ein Bußgeld in Höhe von 530 Millionen EURO gegen TikTok / Bytedance wegen Übermittlung personenbezogener Daten der Nutzer nach China verhängt.
Die Pressemitteilung der IDPC: Irish Data Protection Commission fines TikTok €530 million and orders corrective measures following Inquiry into transfers of EEA User Data to China
The Irish Data Protection Commission has today announced its final decision following an Inquiry into TikTok Technology Limited (“TikTok”). This Inquiry was launched by the DPC, in its role as the Lead Supervisory Authority for TikTok, to examine the lawfulness of TikTok’s transfers of personal data [1] of users of the TikTok platform in the EEA to the People’s Republic of China (“China”). In addition, the Inquiry examined whether the provision of information to users in relation to such transfers met TikTok’s transparency requirements as required by the GDPR.
The decision, which was made by the Commissioners for Data Protection, Dr Des Hogan and Mr Dale Sunderland, and has been notified to TikTok, finds that TikTok infringed the GDPR regarding its transfers of EEA User Data to China [2] and its transparency requirements [3]. The decision includes administrative fines totalling €530 million and an order requiring TikTok to bring its processing into compliance within 6 months. The decision also includes an order suspending TikTok’s transfers to China if processing is not brought into compliance within this timeframe.
DPC Deputy Commissioner Graham Doyle commented:
“The GDPR requires that the high level of protection provided within the European Union continues where personal data is transferred to other countries.
TikTok’s personal data transfers to China infringed the GDPR because TikTok failed to verify, guarantee and demonstrate that the personal data of EEA users, remotely accessed by staff in China, was afforded a level of protection essentially equivalent to that guaranteed within the EU.
As a result of TikTok’s failure to undertake the necessary assessments, TikTok did not address potential access by Chinese authorities to EEA personal data under Chinese anti-terrorism, counter-espionage and other laws identified by TikTok as materially diverging from EU standards.”
The DPC submitted a draft decision to the GDPR cooperation mechanism on 21 February 2025, as required under Article 60 of the GDPR. No objections to the DPC’s draft decision were raised. The DPC is grateful for the cooperation and assistance of its peer EU/EEA supervisory authorities in this case.
Erroneous information submitted to Inquiry
Throughout the Inquiry, TikTok informed the DPC that it did not store EEA User Data on servers located in China. However, in April 2025, TikTok informed the DPC of an issue that it had discovered in February 2025 where limited EEA User Data had in fact been stored on servers in China, contrary to TikTok’s evidence to the Inquiry. TikTok informed the DPC that this discovery meant that TikTok had provided inaccurate information to the Inquiry.
Deputy Commissioner Doyle added that
“The DPC is taking these recent developments regarding the storage of EEA User Data on servers in China very seriously. Whilst TikTok has informed the DPC that the data has now been deleted, we are considering what further regulatory action may be warranted, in consultation with our peer EU Data Protection Authorities.”
The DPC will publish the full decision and further related information in due course.
[1] The Law on Data Transfers outside the EU
The GDPR provides a high level of protection of personal data throughout the EEA and provides data protection rights to individuals. When personal data is transferred outside of the EEA this can impede the ability of individuals to exercise rights and can circumvent that high level of protection. Therefore, it is crucial that the level of protection ensured by the GDPR should not be undermined in the case of such transfers. Accordingly, transfers of personal data can take place only if the conditions laid down in Chapter V of the GDPR are complied with. This ensures that the high level of protection provided within the European Union continues where personal data is transferred to a third country.
Article 45(1) GDPR provides that a transfer of personal data to a third country may be authorised by a decision of the European Commission to the effect that the third country, a territory or one or more specified sectors within that third country, ensures an adequate level of protection (“Adequacy Decision”).
To-date, the European Commission has made Adequacy Decisions in respect of Andorra, Argentina, Canada, Faroe Islands, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Republic of Korea, Switzerland, the United Kingdom, USA and Uruguay.
Under the GDPR where an organisation (“Data Controller”) intends to transfer personal data outside the EU/ EEA to a third country and where no Adequacy Decision exists between the EU and that third country, such transfers can only occur if other applicable provisions of the GDPR (Chapter V) are met such as Standard Contractual Clauses. These provisions place the responsibility on the organisation to verify, guarantee and demonstrate that the law and practices of that country guarantees a level of protection essentially equivalent to that guaranteed within EU.
[2] The DPC’s Findings regarding the lawfulness of the Transfers
In this Inquiry TikTok Ireland was required to assess if Chinese law guaranteed an essentially equivalent level of protection to EU law. The Decision finds that TikTok’s transfers to China infringed Article 46(1) GDPR because it failed to verify, guarantee and demonstrate that the supplementary measures and the Standard Contractual Clauses (“SCCs”) were effective to ensure that the personal data of EEA users transferred via remote access were afforded a level of protection essentially equivalent to that guaranteed within the EU. While TikTok maintains that transfers via remote access are not subject to the laws and practices in question, TikTok’s own assessment of Chinese law provided to the DPC during the Inquiry set out how aspects of the Chinese legal framework preclude a finding of essential equivalence to EU law. The DPC had regard to this assessment and to the Chinese laws identified by TikTok which materially diverge from EU standards such as the Anti-Terrorism Law, the Counter-Espionage Law, the Cybersecurity Law and the National Intelligence Law. In particular, the DPC found that TikTok’s failure to adequately assess the level of protection provided by Chinese law and practices to the personal data of EEA users the subject of transfers, which said personal data is processed in China, not only directly impacted TikTok’s ability to select appropriate safeguards and supplementary measures, but also prevented TikTok from verifying and guaranteeing an essentially equivalent level of protection.
In exercising corrective powers, the DPC also considered ongoing changes brought about by TikTok under “Project Clover”. Notwithstanding these changes, the DPC found that it is appropriate, necessary and proportionate to order the suspension of the Data Transfers and to order TikTok to bring its processing operations into compliance with Chapter V of the GDPR following a period of 6 months from the period allowed for an appeal against the DPC’s final Decision. The DPC considers 6 months to being a reasonable period to provide TikTok to put an end to the transfers in the circumstances.
[3] The DPC’s Findings regarding Transparency
Article 13(1)(f) GDPR requires data controllers to provide data subjects with information on that controller’s transfers of personal data to a third country. The DPC considered TikTok’s October 2021 EEA Privacy Policy and found that this policy was inadequate in two key respects for the purposes of Article 13(1)(f) GDPR.
First, TikTok’s 2021 Privacy Policy did not name the third countries, including China, to which personal data was transferred. Second, the 2021 Privacy Policy did not explain the nature of the processing operations that constitute the transfer. Specifically, the 2021 Privacy Policy failed to specify that the processing included remote access to personal data stored in Singapore and the United States by personnel based in China.
TikTok updated its Privacy Policy during the course of the Inquiry and provided its December 2022 EEA Privacy Policy to the DPC. That Privacy Policy did identify the third countries to which EEA user data was transferred. That Privacy Policy also informed EEA Users that personal data was stored on servers in the United States and Singapore, and was the subject of remote access by entities in TikTok’s corporate group located in Brazil, China, Malaysia, Philippines, Singapore, and the United States.
The DPC assessed TikTok’s December 2022 EEA Privacy Policy as compliant with the requirements of Article 13(1)(f) GDPR in terms of the Data Transfers subject to the material scope of the Decision. Therefore, the duration of the infringement of Article 13(1)(f) GDPR in the Decision relates to the period from 29 July 2020 to 1 December 2022.
The DPC imposes administrative fines totalling €530 million in this Decision, consisting of a fine of €45 million for its infringement of Article 13(1)(f) GDPR, and a fine of €485 million for its infringement of Article 46(1) GDPR.
Die Irische Datenschutzbehörde hate eine Bußgeld in Höhe von 251 Millionen EURO gegen Meta wegen Datenschutzverstößen im Zusammenhang mit einem Facebook-Datenleck verhängt.
Die Pressmeitteilung der Irischen Datenschutzbehörde: Irish Data Protection Commission fines Meta €251 Million
The Irish Data Protection Commission (DPC) has today announced its final decisions following two inquiries into Meta Platforms Ireland Limited (‘MPIL’). These own-volition inquiries were launched by the DPC following a personal data breach, which was reported by MPIL in September 2018.
This data breach impacted approximately 29 million Facebook accounts globally, of which approximately 3 million were based in the EU/EEA. The categories of personal data affected included: user’s full name; email address; phone number; location; place of work; date of birth; religion; gender; posts on timelines; groups of which a user was a member; and children’s personal data. The breach arose from the exploitation by unauthorised third parties of user tokens[1] on the Facebook platform. The breach was remedied by MPIL and its US parent company shortly after its discovery.
The decisions, which were made by the Commissioners for Data Protection, Dr. Des Hogan and Dale Sunderland, included a number of reprimands and an order to pay administrative fines totalling €251 million.
The DPC submitted a draft decision to the GDPR cooperation mechanism in Sept 2024, as required under Article 60 of the GDPR[2]. No objections to the DPC’s draft decision were raised. The DPC is grateful for the cooperation and assistance of its peer EU/EEA supervisory authorities in this case.
The DPC’s final decisions record the following findings of infringement of the GDPR:
Decision 1
Article 33(3) GDPR - By not including in its breach notification all the information required by that provision that it could and should have included. The DPC reprimanded MPIL for failures in regards to this provision and ordered it to pay administrative fines of €8 million.
Article 33(5) GDPR - By failing to document the facts relating to each breach, the steps taken to remedy them, and to do so in a way that allows the Supervisory Authority to verify compliance. The DPC reprimanded MPIL for failures in regards to this provision and ordered it to pay administrative fines of €3 million.
Decision 2
Article 25(1) GDPR - By failing to ensure that data protection principles were protected in the design of processing systems. The DPC found that MPIL had infringed this provision, reprimanded MPIL, and ordered it to pay administrative fines of €130 million.
Article 25(2) - By failing in their obligations as controllers to ensure that, by default, only personal data that are necessary for specific purposes are processed. The DPC found that MPIL had infringed these provisions, reprimanded MPIL, and ordered it to pay administrative fines of €110 million.
DPC Deputy Commissioner Graham Doyle commented:
“This enforcement action highlights how the failure to build in data protection requirements throughout the design and development cycle can expose individuals to very serious risks and harms, including a risk to the fundamental rights and freedoms of individuals. Facebook profiles can, and often do, contain information about matters such as religious or political beliefs, sexual life or orientation, and similar matters that a user may wish to disclose only in particular circumstances. By allowing unauthorised exposure of profile information, the vulnerabilities behind this breach caused a grave risk of misuse of these types of data.”
The DPC will publish the full decision and further related information in due course.
Das BKartA hat ein Bußgeld von fast 16 Millionen EURO gegen den Fritzbox-Hersteller AVM wegen unzulässiger vertikaler Preisbindung mit sechs Elektronikfachhändlern verhängt.
Die Pressemitteilung des Bundeskartellamtes: Bundeskartellamt verhängt Bußgeld gegen den Hersteller von Fritz!-Produkten AVM
2. Juli 2024: Das Bundeskartellamt hat gegen die AVM Computersysteme Vertriebs GmbH mit Sitz in Berlin sowie einen ihrer verantwortlich handelnden Mitarbeitenden Geldbußen in Höhe von insgesamt knapp 16 Mio. Euro wegen vertikaler Preisbindung mit sechs Elektronikfachhändlern verhängt. AVM ist ein deutscher Hersteller von Produkten aus dem Bereich der Telekommunikation und Netzwerktechnik. Unter der Marke „FRITZ!“ werden insbesondere Router und Repeater, aber auch Telefone und Smart-Home-Produkte vertrieben. AVM ist in Deutschland und Europa nach eigener Aussage einer der führenden Hersteller von Produkten für den Breitbandanschluss und das digitale Zuhause.
Eingeleitet wurde das Verfahren nach einer anonymen Eingabe im Hinweisgebersystem (BKMS) des Bundeskartellamtes und weiteren Hinweisen aus dem Markt mit einer Durchsuchung im Februar 2022.
Andreas Mundt, Präsident des Bundeskartellamtes: „Wir werfen AVM vor, über Jahre hinweg die freie Preisbildung beim Vertrieb seiner Produkte an Endverbraucherinnen und -verbraucher eingeschränkt zu haben. Durch Abstimmungen mit Elektronikfachhändlern über Anhebungen von Endverbraucherpreisen wurde darauf hingewirkt, den Preiswettbewerb gegenüber den Endverbraucherinnen und -verbrauchern einzuschränken. Das Bundeskartellamt sendet mit den verhängten Bußgeldern ein klares Signal, dass Verstöße gegen das Verbot der Preisbindung nicht toleriert werden.“
Mitarbeitende von AVM haben neben den üblichen Verhandlungen über Einkaufspreise mit den beteiligten Elektronikfachhändlern Abstimmungen über Endverbraucherpreise für AVM-Produkte getroffen. Diese Abstimmungen bezogen sich grundsätzlich auf eine Anhebung dieser Preise, teilweise wurden auch bestimmte Mindestverkaufspreise (sog. Zielpreise) gefordert, welche zwischen der unverbindlichen Preisempfehlung und dem Einkaufspreis der Händler lagen. Die Endverbraucherpreise der Händler wurden von AVM-Mitarbeitenden fortlaufend beobachtet, wobei neben Recherchen im stationären Handel und Preisvergleichsdiensten im Internet mindestens seit Mitte 2019 eine spezielle Software verwendet wurde. Die Abstimmungsmaßnahmen erfolgten in unterschiedlicher Intensität insbesondere dann, wenn Endverbraucherpreise in hohem Maße unter den sog. Zielpreisen lagen oder nach entsprechenden Beschwerden von Händlern über nicht auskömmliche Endverbraucherpreise. In vielen Fällen sagten die Händler nach Interventionen von AVM eine Erhöhung der von AVM beanstandeten Endverbraucherpreise zu bzw. passten ihre Endverbraucherpreise nach oben an.
Bei der Bußgeldfestsetzung wurde berücksichtigt, dass das Verfahren im Wege der einvernehmlichen Verfahrensbeendigung (sog. Settlement) abgeschlossen werden konnte. Die Bußgeldbescheide sind rechtskräftig. Gegen die beteiligten Händler sind keine Bußgeldbescheide ergangen.
Ein Fallbericht mit den Inhalten des § 53 Abs. 5 GWB wird auf der Internetseite des Bundeskartellamtes in Kürze veröffentlicht.
Das AG Gelnhausen hat entschieden, dass ein Unterlassungsanspruch gegen Nachbarn bereits wegen möglicher Videoüberwachung durch eine schwenkbare Kamera besteht.
Aus den Entscheidungsgründen: Der Verfügungskläger hat gegen die Verfügungsbeklagte einen Anspruch auf die im Tenor bezeichneten Maßnahmen aus §§ 1004, 823 Abs. 1 BGB.
Unerheblich ist, ob in dem Haus des Verfügungsklägers tatsächlich bereits Mieter wohnen. Unstreitig steht dieses im Eigentum des Verfügungsklägers, so dass der Anspruchsgrund bereits in seiner Person selbst liegt. Unabhängig davon ist das Gericht aufgrund der vorgelegten eidesstattlichen Versicherungen der Mieter des Verfügungsklägers davon überzeugt, dass jedenfalls seit Mitte Dezember 2023 Mieter in dem Objekt wohnen.
Der Anspruch des Verfügungsklägers ist in einer nicht gerechtfertigten Verletzung seines allgemeinen Persönlichkeitsrechts begründet, das über §§ 1004 Abs. 1, 823 BGB zu dem im Tenor bezeichneten Anspruch führt.
Soweit zwischen den Parteien streitig ist, ob die Kamera das Grundstück des Klägers erfassen kann oder nicht, kommt es hierauf entscheidungserheblich nicht an.
Nach ständiger Rechtsprechung ist es erforderlich, für einen Unterlassungsanspruch aber auch ausreichend, dass ein sog. Überwachungsdruck erzeugt wird (vgl. hierzu LG Hamburg ZD 2018, 491; OLG Köln NJW 2017, 835; LG Bonn, NJW-RR 2005, 1067; LG Darmstadt, NZM 2000, 360; AG Winsen/Luhe, Urt. v. 30.12.2005 – 16 C 1642/05, BeckRS 2010, 11190; vgl. weiter für das Nachbarrecht AG Brandenburg, ZD 2016, 380; für das Mietrecht LG Berlin, ZD 2016, 189; für das Wohnungseigentumsrecht AG Bergisch Gladbach, NJW 2015, 3729). Maßstab ist, dass dritte Personen eine Überwachung durch die Kamera ernsthaft objektiv befürchten müssen. Dies ist immer bereits dann erfüllt, wenn die Befürchtung einer Überwachung durch vorhandene Kameras aufgrund konkreter Umstände nachvollziehbar und verständlich erscheint. Dafür ist bereits ausreichend, dass ein angespanntes Nachbarschaftsverhältnis besteht und die Kamera eines mittels nach außen nicht wahrnehmbaren elektronischen Steuerungsmechanismus auf das Grundstück des Nachbarn ausgerichtet werden kann. Es kommt dabei lediglich darauf an, dass die Kamera eine solche Funktion besitzt. Ob sie angewendet wird, ist unerheblich. Ein Überwachungsdruck kann nur dann ausscheiden, wenn der Winkel der Kamera nur mit erheblichem und sichtbarem manuellen Aufwand, also eben nicht durch einen elektronischen Steuerungsmechanismus, auf das Nachbargrundstück gerichtet werden kann (BGH NJW 2010, 1533). Dass die Kamera einen elektronischen Steuerungsmechanismus hat, ist zwischen den Parteien allerdings unstreitig. Im Übrigen konnte der Verfügungskläger durch die zur Akte gereichten Lichtbilder auch hinreichend glaubhaft machen, dass die Kamera sich selbstständig drehen kann und das Grundstück des Verfügungsklägers erfassen kann. So zeigt das Lichtbild Anlage AS 7 eindeutig die Balkonbrüstung des benachbarten Hauses, zudem aber ebenso eindeutig die vollständige Kamera.
Ein überwiegendes Interesse der Verfügungsbeklagten an solchen Videoaufnahmen ist nicht erkennbar. Dass die Verfügungsbeklagte ihr Eigentum schützen will, stellt zwar durchaus ein legitimes Interesse dar. Vorliegend geht dieser Zweck aber mit einer unverhältnismäßigen Beeinträchtigung des allgemeinen Persönlichkeitsrechts des Verfügungsklägers einher. In Anbetracht des ohnehin schon deutlich angespannten Nachbarschaftsverhältnisses muss ein Anlass für eine weitere Eskalation verhindert werden. Die Verfügungsbeklagte hat die Möglichkeit, eine Videoaufzeichnung ihres Eigentums anhand der Grundsätze des zitierten Urteils des BGH durchzuführen. Sofern die Videoaufzeichnung aber erfolgt wie in diesem Fall, ist dies unzulässig.
Die Androhung von Zwangsgeld hat ihre Grundlage in § 890 Abs. 2 ZPO. Der Antrag ist auch in der gestellten Form begründet. Der Verfügungsbeklagten kann nicht aufgegeben werden, jegliche Kameraüberwachung ihres Grundstücks in aller Zukunft zu unterlassen, allerdings solche, die geeignet ist, das Grundstück des Verfügungsklägers zu erfassen.
Das KG Berlin hat entschieden, dass auch unittelbar gegen juristische Person ein DSGVO-Bußgeld verhängt werden kann.
Aus den Entscheidungsgründen: Mit Bußgeldbescheid vom 30. Oktober 2019 hat die Berliner Beauftragte für den Datenschutz (im Folgenden: BlnBDI) gegen das betroffene Unternehmen (im Folgenden: Betroffene) Geldbußen festgesetzt. Mit dem Bußgeldbescheid ist der Betroffenen vorgeworfen worden, es zwischen dem 25. Mai 2018 und dem 5. März 2019 vorsätzlich unterlassen zu haben, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Weiter hat der Bußgeldbescheid den Vorwurf enthalten, personenbezogene Daten von mindestens 15 näher bezeichneten Mietern fortgesetzt gespeichert zu haben, obwohl bekannt gewesen sei, dass dies nicht oder nicht mehr erforderlich war. Wegen des vorsätzlichen Verstoßes gegen Art. 25 Abs. 1, Art. 5 Abs. 1 a), c) und e) DS-GVO hat die Geldbuße 14.385.000 Euro betragen. Wegen Verstößen gegen Art. 6 Abs. 1 DS-GVO sind 15 weitere Geldbußen mit Beträge zwischen 3.000 und 17.000 Euro festgesetzt worden.
Auf den Einspruch der Betroffenen hat das Landgericht Berlin das Verfahren nach § 46 Abs. 1 OWiG i. V. m. § 206a StPO durch den angefochtenen Beschluss eingestellt. Das Landgericht hat die Auffassung vertreten, der Bußgeldbescheid habe unter so gravierenden Mängeln gelitten, dass er nicht Grundlage des Verfahrens sein könne. Namentlich ist das Landgericht der Auffassung gewesen, eine juristische Person könne nicht Betroffene eines Bußgeldverfahrens sein, auch nicht in einem solchen nach Art. 83 DS-GVO. Da einer juristischen Person lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten zugerechnet werden könne, könne diese in einem Bußgeldverfahren nur als Nebenbeteiligte fungieren. Die Verhängung einer Geldbuße gegen eine juristische Person sei in § 30 OWiG abschließend geregelt, der über § 41 Abs. 1 BDSG auch für Verstöße nach Art. 83 Abs. 4 bis 6 DS-GVO Anwendung finde. Die in § 83 DS-GVO kodifizierte unmittelbare Unternehmenshaftung verstoße gegen das im deutschen Recht verankerte Schuldprinzip und könne daher nicht angewendet werden.
Hiergegen hat die Staatsanwaltschaft Berlin sofortige Beschwerde eingelegt. Der Senat hat das Verfahren durch Beschluss vom 6. Dezember 2021 ausgesetzt und nach Art. 267 Abs. 3 AEUV eine Vorabentscheidung des Gerichtshofs der Europäischen Union u.a. zu der Frage eingeholt, ob Art. 83 Abs. 4-6 DS-GVO dahin auszulegen sei, „dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf“. Der EuGH hat durch Urteil vom 5. Dezember 2023 (C-807/21 – [juris]) wie folgt entschieden: „Art. 58 Abs. 2 Buchst. i und Art. 83 Abs. 1 bis 6 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass sie einer nationalen Regelung entgegenstehen, wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DSG-VO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde“. In einem weiteren Ausspruch desselben Urteils heißt es, dass „eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat“.
Mit Beschluss vom Folgetag hat der Senat angeordnet, dass das Verfahren fortgesetzt wird.
Die sofortige Beschwerde der Staatsanwaltschaft hat Erfolg. Nach Maßgabe des in dieser Sache ergangenen Urteils des Europäischen Gerichtshofs ist die Betroffene unbeschadet ihrer Eigenschaft als juristische Person taugliche Adressatin eines Bußgeldbescheids (1.). Das durch das Landgericht angenommene Verfahrenshindernis eines unwirksamen Bußgeldbescheids besteht nicht (2.).
1. Dass die Betroffene als juristische Person taugliche Adressatin eines Bußgeldbescheids sein kann und als solche zudem unmittelbar und nicht nur als Verfahrens- oder Nebenbeteiligte bebußt werden kann, ergibt sich aus dem in diesem Verfahren ergangenen Urteil des EuGH (Urteil vom 5. Dezember 2023 – C-807/21 – [juris]). Der Gerichtshof führt aus, es sei möglich, „die in Art. 83 DSG-VO für solche Verstöße vorgesehenen Geldbußen unmittelbar gegen juristische Personen zu verhängen, wenn diese als für die betreffende Verarbeitung Verantwortliche eingestuft werden können“ (Rn. 44). Dies folgt, so der EuGH weiter, daraus, dass Unternehmen „nicht nur für Verstöße haften, die von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch für Verstöße, die von jeder anderen Person begangen wurden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Personen handelt“ (Rn. 44). Die hierdurch – und zwar unabhängig von einem individualisierbaren Organisationsdefizit oder einer Aufsichtspflichtverletzung – möglich gewordene unmittelbare Bebußung von juristischen Personen wird auch durch die Verteidigung, soweit aus ihrem Schriftsatz vom 15. Januar 2024 ersichtlich, nicht mehr in Frage gestellt.
2. Der Bußgeldbescheid der BlnBDI erfüllt die Wirksamkeitsvoraussetzungen des § 66 Abs. 1 OWiG und stellt eine ausreichende Verfahrensgrundlage dar. Ein Verfahrenshindernis besteht insoweit nicht.
a) Nach § 66 OWiG muss der Bußgeldbescheid „die Bezeichnung der Tat, die dem Betroffenen zur Last gelegt wird, Zeit und Ort ihrer Begehung, die gesetzlichen Merkmale der Ordnungswidrigkeit und die angewendeten Bußgeldvorschriften“ enthalten. Der Bußgeldbescheid muss den Tatvorwurf nach gefestigtem Verständnis formal und sachlich umgrenzen (Umgrenzungsfunktion) und den Betroffenen ausreichend über den Tatvorwurf unterrichten (Informationsfunktion) (vgl. BGHSt 23, 336; Senat Verkehrsrecht aktuell 2019, 123 [Volltext bei juris]; OLG Celle ZfSch 2015, 649).
b) Hier ist rechtstechnisch zusätzlich zu beachten, dass die in § 66 OWiG niedergelegten verfahrensbezogenen Anforderungen an die Gestaltung des Bußgeldbescheids den durch den EuGH formulierten Grundsätzen des materiellen Rechts folgen. Die vom EuGH entwickelten sachlich-rechtlichen Grundzüge der Verbandsgeldbuße überformen, prägen und gestalten das diesbezügliche nationale Verfahrensrecht. Formuliert der EuGH etwa, die Bebußung erfordere nicht, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“ (Rn. 46), so folgt daraus zwingend, dass sich die Bezeichnung einer solchen natürlichen Person auch nicht aus dem nationalen Verfahrensrecht, hier § 66 OWiG, ergeben muss.
Der Auffassung der Verteidigung, die Wirksamkeit des Bußgeldbescheids als Verfahrensvoraussetzung bemesse sich nach § 66 OWiG, trifft damit allgemein zu, denn eine Suspendierung der gesamten Vorschrift steht auch angesichts des nun anzuwendenden europarechtskonformen Verantwortungs- und Haftungsregimes nicht in Rede. Vielmehr sieht Art. 83 Abs. 8 DSG-VO vor, dass die „Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde“ unionsrechtskompatiblen Verfahrensgarantien „einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren“ unterliegt. Daher verweist § 41 BDSG auf Verfahrensvorschriften des OWiG und der StPO, und auch § 66 OWiG ist als grundlegendes nationales Verfahrensrecht anwendbar. Seine Auslegung allerdings richtet sich hier nach den sachlich-rechtlichen Vorgaben des übergeordneten Europarechts in der durch den EuGH nun gegebenen Ausprägung.
c) Unter Zugrundelegung der Maßgaben aus der Vorabentscheidung des EuGH und ihrer Weiterungen auf das nationale Verfahrensrecht erfüllt der Bußgeldbescheid der BlnBDI die Voraussetzungen des § 66 OWiG. Ohne Weiteres grenzt der Bußgeldbescheid den Gegenstand des Verfahrens in persönlicher, sachlicher und rechtlicher Hinsicht ab, und die Betroffene kann mühelos erkennen, welcher konkrete Vorwurf gegen sie erhoben wird. Namentlich die durch § 66 Abs. 1 Nr. 3 OWiG erforderten Essentialia, nämlich die „Bezeichnung der Tat, die dem Betroffenen zur Last gelegt wird“ sowie „Zeit und Ort ihrer Begehung“, sind bei der gebotenen funktional-normativen Betrachtung eingehalten.
Der Bußgeldbescheid wirft der Betroffenen vor, es zwischen dem 25. Mai 2018 und dem 5. März 2019 vorsätzlich unterlassen zu haben, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Weiter wird ihr vorgeworfen, personenbezogene Daten von mindestens 15 näher bezeichneten Mietern fortgesetzt gespeichert zu haben, obgleich bekannt gewesen sei, dass dies nicht oder nicht mehr erforderlich war.
Diese – hier nur kursorisch zusammengefassten – Vorwürfe sind im Bußgeldbescheid ausgesprochen konkret und ausführlich dargestellt. Der Bußgeldbescheid bezeichnet die insgesamt 16 Tathandlungen auf mehr als 17 Seiten in einer ausdifferenzierten und nachgerade ziselierten Weise. Die Ausführungen vermitteln der Betroffenen präzise, was ihr vorgeworfen wird, und sie ermöglichen es ihr, sich hiergegen zu verteidigen. Dabei ist auch zu beachten, dass es sich bei den vorgeworfenen Handlungen (oder Unterlassungen) ersichtlich um keine Individualexzesse in einem Dunkelbereich des Unternehmens handelt. Gegenstand des Bußgeldverfahrens bildet die Speicherung bzw. Archivierung (oder Nichtlöschung) von Kundendaten. Es geht um einfach gelagerte und verständliche Sachverhalte und im Letzten um gewöhnliche Vorgänge in einem operativen Unternehmensbereich.
d) Nicht folgen kann der Senat der Überlegung der Betroffenen, der Bußgeldbescheid müsse konkretisieren, „welches Organ durch welche Handlung die Voraussetzungen des § 30 OWiG erfüllt hat“. Abgesehen davon, dass der Bußgeldbescheid die Rechtsverstöße auch in ihrer Entstehung („Handlung“) durchaus nachvollziehbar darstellt und umreißt, deduziert sich ein solches Erfordernis aus der überkommenen Vorstellung, eine Verbandshaftung erfordere das Verschulden eines Repräsentanten (§ 30 OWiG) oder eine Aufsichtspflichtverletzung (§ 130 OWiG). Sie lässt die europarechtlichen Einflüsse auf das Verbandsanktionenrecht außen vor und missachtet die Rechtsprechung des EuGH im hiesigen Vorabentscheidungsverfahren. Wenn der EuGH ausdrücklich formuliert, die Bebußung erfordere nicht, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“ (Rn. 46), so stellt er klar, dass juristische Personen dafür verantwortlich sind, dass Daten im Rahmen ihrer unternehmerischen Tätigkeit rechtmäßig verarbeitet werden (Rn. 44). Sanktioniert wird hiernach nicht (nur) eine fehlerhafte Organisation, sondern gerade die Pflichtverletzung des Verbands bzw. im Verband, als „genuine Verbandstat“ (vgl. als Kritik an der überkommenen nationalen Rechtslage: HK-OWiG/Schmitt-Leonardy, 2. Aufl., § 30 Rn. 13). Nach der Vorabentscheidung des EuGH ist auch eine juristische Person schuldfähig, so dass es zu einem Gleichlauf von Verantwortlichkeit und Haftbarkeit kommt (vgl. Grages/Strassemeyer, CR 2024, 10). Damit fallen alle Personen, die im Rahmen der unternehmerischen Tätigkeit handeln, in den abstrakten Verantwortungskreis der juristischen Person, und selbst eine normentsprechende Organisation führt – jedenfalls in aller Regel – nicht zur Exkulpation. Dies entspricht dem Effektivitätsgrundsatz des europäischen Rechts.
Dass der Verband (materiell-rechtlich) allein datenschutzrechtlich Verantwortlicher ist (vgl. Wünschelbaum, DSB 2024, 15), wirkt sich damit unmittelbar auf die verfahrensrechtlich gebotene Darstellungsdichte im Bußgeldbescheid aus. Insbesondere muss dieser gerade nicht bezeichnen, welchem Repräsentanten oder welchem „Organ“ welche konkrete Handlung oder welches konkrete Unterlassen zur Last fällt. Im Übrigen bleibt es aber auch insoweit dabei, dass der hier zu beurteilende Bußgeldbescheid die Tathandlungen bemerkenswert und – gemessen an den vom EuGH formulierten materiell-rechtlichen Haftungsvoraussetzungen ersichtlich – überobligatorisch konkret darstellt.
e) Auch kann sich der Senat der noch weitergehenden Überlegung der Verteidigung nicht anschließen, es sei sogar „unverzichtbar, dass ein Bußgeldbescheid die verfahrensmaßgeblichen Handlungen der natürlichen Person beschreibt“, um einen Vorwurf gegen den Verband „erkennen, abgrenzen, bewerten und sich gegen ihn verteidigen zu können“. Auch diese Auffassung verstößt eklatant gegen das im hiesigen Verfahren ergangene Urteil des EuGH. Das durch die Verteidigung erkannte Erfordernis geht darüber hinweg, dass eine Sanktionierung gerade nicht erfordert, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“ (Rn. 46). Dieses klare EuGH-Diktum ist mit der Forderung der Verteidigung, der Bußgeldbescheid müsse die „Handlung der natürlichen Person beschreiben“, ersichtlich unvereinbar. Allerdings gilt auch insoweit: Der Bußgeldbescheid beschreibt die vorgeworfenen Handlungen – zum großen Teil in der Form des Unterlassens der Löschung, teilweise als unterlassene Kennzeichnung von Daten – nachvollziehbar und deutlich. Der Betroffenen ist es möglich und unbenommen, im Bußgeldverfahren darzustellen, dass die Daten nicht gespeichert oder rechtmäßig gespeichert und ggf. rechtzeitig gelöscht wurden. Jedenfalls unter Zugrundelegung der vom EuGH umrissenen Grundzüge einer umfassenden Unternehmensverantwortung ist nicht ersichtlich, dass eine noch ausführlichere und noch „konkretere“ Darstellung der Tatvorwürfe im Bußgeldbescheid die Verteidigungsmöglichkeiten der Betroffenen substantiell erweitern könnte. Durch das EuGH-Judikat verringerte Exkulpationsmöglichkeiten sind nicht Folge eines unkonkret bleibenden Bußgeldbescheids, sondern einer dem Effektivitätsgrundsatz geschuldeten europarechtskonform erweiterten Verbandsverantwortung.
f) Folgerichtig ist der Verteidigung schließlich auch darin zu widersprechen, die Bezeichnung der dem Organ vorwerfbaren Tat sei unerlässliche Voraussetzung des Bußgeldbescheids. Dieses ehedem bestehende Erfordernis, das dem limitierten Haftungsregime des nationalen Rechts folgte, ist durch die im hiesigen Verfahren ergangene Vorabentscheidung des EuGH zu einer umfassenden Verbandsverantwortung nach kartellrechtlichem Vorbild obsolet. In dieser heißt es, „dass die Anwendung von Art. 83 DSG-VO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans“ voraussetzt (Rn. 77).
3. Da kein Verfahrenshindernis besteht, war der angefochtene Beschluss aufzuheben, und die Sache ist an das Landgericht zurückzuverweisen. Funktional zuständig ist nicht die große Strafkammer (Wirtschaftskammer), sondern die Kammer für Bußgeldsachen (§ 47 Abs. 7 OWiG). Der Senat kann nachvollziehen, dass die Kammer entgegen einer analogen Anwendung des § 68 Abs. 1 Satz 2 OWiG nicht durch Einzelrichter entschieden hat, sondern – wohl entsprechend §§ 46 Abs. 1 OWiG, 76 Abs. 1 GVG – zuletzt eine Besetzung gewählt hat, die der einer großen Strafkammer entspricht (vgl. zur funktionalen Zuständigkeit und zur Besetzungsfrage Brodowski/Nowak in BeckOK Datenschutzrecht, 46. Edition, § 41 BDSG Rn. 16). Hierfür spricht, dass sich die sachliche Zuständigkeit des Landgerichts (§ 41 Abs. 1 Satz 3 BDSG) aus dem Streben nach einer verbesserten Kontrolle ableiten dürfte, die sich jedenfalls im Leitbild aus der Beteiligung mehrerer (Berufs-) Richter ergibt.
4. Eine Kostenentscheidung ist in Bezug auf das Rechtsmittel nicht veranlasst (ex arg. BGH WuW 2020, 615). Über die Kosten des Vorabentscheidungsverfahrens hat an sich das vorlegende Gericht zu entscheiden (Art. 102 EuGHVerfO). Das Vorabentscheidungsverfahren erweist sich aber lediglich als Zwischenverfahren des gleichfalls unselbständigen Beschwerdeverfahrens, durch dessen Entscheidung das Bußgeldverfahren nicht abgeschlossen wird. Da das Bußgeldverfahren beim Landgericht Berlin fortgesetzt und durch dieses entschieden wird, ist es angemessen, dass die Kammer für Bußgeldsachen in der abschließenden Kostengrundentscheidung über die Kosten des Vorabentscheidungsverfahrens mitentscheidet (vgl. bei ähnlicher Konstellation BGH WM 1996, 1889 unter Bezug auf EuGH GRUR Int. 1996, 147).
