Skip to content

BMJ: Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - Stand 24.06.2024

Das BMJ hat erneut einen aktualisierten Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) - Stand 24.06.2024 vorgelegt.

BMJ: Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - Stand 07.05.2024

Das BMJ hat den Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) vorgelegt.

Aus dem Entwurf:
A. Problem und Ziel

Die moderne Wirtschaft Deutschlands ist für ihr Funktionieren, die Generierung von Wohlstand und Wachstum und auch für ihre Adaptionsfähigkeit auf geänderte wirtschaftspolitische und geopolitische Rahmenbedingungen angewiesen auf funktionierende und resiliente Infrastrukturen, sowohl im physischen als auch im digitalen Bereich. Diese Faktoren haben in den vergangenen Jahren erheblich an Bedeutung gewonnen. Unternehmen sehen sich nicht nur in ihrem wirtschaftlichen Tun, sondern auch in dessen praktischer Absicherung vor einer Vielzahl von Herausforderungen. Europaweit und global vernetzte Prozesse führen ebenso wie die zunehmende Digitalisierung aller Lebens- und somit auch Wirtschaftsbereiche zu einer höheren Anfälligkeit durch externe, vielfach nicht steuerbare Faktoren. Informationstechnik in kritischen Anlagen sowie in bestimmten Unternehmen spielt dabei eine zentrale Rolle. Ihre Sicherheit und Resilienz bilden auch die Grundlage für die Versorgungssicherheit, von der Versorgung mit Strom und Wasser bis hin zu Siedlungsabfällen. Gleiches gilt für das Funktionieren der Marktwirtschaft in Deutschland und dem Binnenmarkt der Europäischen Union. Die Vernetzung und enge Verzahnung der Wirtschaft innerhalb Deutschlands und der Europäischen Union resultieren in Interdependenzen bei der Cybersicherheit. Die vor diesem Hintergrund erforderlichen Cybersicherheitsanforderungen an juristische und natürliche Personen, die wesentliche Dienste erbringen oder Tätigkeiten ausüben, werden mit der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (ABl. L 333 vom 27. Dezember 2022, S. 80, im Folgenden NIS-2-Richtlinie) in der gesamten Europäischen Union weiter angeglichen.

In Folge des völkerrechtswidrigen russischen Angriffskriegs auf die Ukraine hat sich nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) im Bericht zur Lage der IT-Sicherheit in Deutschland 2022 die IT-Sicherheitslage insgesamt zugespitzt. Im Bereich der Wirtschaft zählen hierbei Ransomware-Angriffe, Ausnutzung von Schwachstellen, offene oder falsch konfigurierte Online-Server sowie Abhängigkeiten von der IT-Lieferkette und in diesem Zusammenhang auch insbesondere Cyberangriffe über die Lieferkette (sogenannte Supply-Chain-Angriffe) zu den größten Bedrohungen. Zusätzlich zu den bereits bekannten Bedrohungen entstanden in Folge des russischen Angriffskriegs auf die Ukraine und der damit einhergehenden „Zeitenwende“ auch neue Bedrohungen oder die Einschätzungen zu bereits bekannten Bedrohungen mussten aufgrund veränderter Rahmenbedingungen geändert werden. Beispiele hierfür bestehen im Bereich Hacktivismus, insbesondere mittels Distributed-Denial-of-Service (DDoS)-Angriffen oder auch durch in Deutschland erfolgte Kollateralschäden in Folge von Cyber-Sabotage-Angriffen im Rahmen des Krieges. Zudem haben auch Störungen und Angriffe im Bereich der Lieferketten sowohl aus den Bereichen Cybercrime als auch im Rahmen des Krieges zuletzt zugenommen. Diese Phänomene treten nicht mehr nur vereinzelt auf, sondern sind insgesamt Teil des unternehmerischen Alltags. Eine Erhöhung der Resilienz der Wirtschaft gegenüber den Gefahren der digitalen Welt ist daher eine zentrale Aufgabe für die beteiligten Akteure in Staat, Wirtschaft und Gesellschaft, um den Wirtschaftsstandort Deutschland robust und leistungsfähig zu halten

Für das Informationssicherheitsmanagement in der Bundesverwaltung haben sich die bisherigen Steuerungsinstrumente auf überwiegend untergesetzlicher Basis als nicht ausreichend effektiv erwiesen, um eine flächendeckende wirksame Steigerung des Sicherheitsniveaus zu erreichen. Dies haben insbesondere Sachstandserhebungen zum Umsetzungsplan Bund sowie Prüfungen des Bundesrechnungshofs (BRH) bestätigt. Vor dem Hintergrund der durch aktuelle geopolitische Entwicklungen („Zeitenwende“) abermals verschärften Bedrohungslage hat sich das Risiko für staatliche Einrichtungen zudem weiter erhöht, durch Gefährdungen aus dem Cyberraum in ihrer Handlungsfähigkeit eingeschränkt zu werden.

Dieser Entwurf steht im Kontext der gefährdeten rechtzeitigen Erreichung der Ziele der Resolution der Generalversammlung der Vereinten Nationen vom 25. September 2015 „Transformation unserer Welt: die UN-Agenda 2030 für nachhaltige Entwicklung“. Der Entwurf soll insbesondere zur Erreichung des Nachhaltigkeitsziels 9 der UN-Agenda 2030 beitragen, eine hochwertige, verlässliche und widerstandsfähige Infrastruktur aufzubauen.

B. Lösung, Nutzen

Entsprechend der unionsrechtlichen Vorgaben wird der mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17. Juli 2015 (BGBl. I 2015 S. 1324) und dem Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) vom 18. Mai 2021 (BGBl. I 2021, S. 1122) geschaffene Ordnungsrahmen durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz für den Bereich bestimmter Unternehmen erweitert, zusätzlich werden entsprechende Vorgaben für die Bundesverwaltung eingeführt. Schwerpunktmäßig werden folgende Änderungen vorgenommen:

– Einführung der durch die NIS-2-Richtlinie vorgegebenen Einrichtungskategorien, die mit einer signifikanten Ausweitung des bisher auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkten Anwendungsbereichs einhergeht.

– Der Katalog der Mindestsicherheitsanforderungen des Artikels 21 Absatz 2 NIS-2- Richtlinie wird in das BSI-Gesetz übernommen, wobei in der Intensität der jeweiligen Maßnahme aus Gründen der Verhältnismäßigkeit zwischen den Kategorien ausdifferenziert wird.

– Die bislang einstufige Meldepflicht bei Vorfällen wird durch das dreistufige Melderegime der NIS-2-Richtlinie ersetzt. Dabei soll der bürokratische Aufwand für die Einrichtungen im Rahmen des bestehenden mitgliedstaatlichen Umsetzungsspielraums minimiert werden.

– Ausweitung des Instrumentariums des Bundesamts für Sicherheit in der Informationstechnik (BSI) im Hinblick auf von der NIS-2-Richtlinie vorgegebene Aufsichtsmaßnahmen.

– Gesetzliche Verankerung wesentlicher nationaler Anforderungen an das Informationssicherheitsmanagement des Bundes und Abbildung der zugehörigen Rollen und Verantwortlichkeiten

– Harmonisierung der Anforderungen an Einrichtungen der Bundesverwaltung aus nationalen und unionsrechtlichen Vorgaben, um ein insgesamt kohärentes und handhabbares Regelungsregime zu gewährleisten.

– Etablierung eines CISO Bund als zentralem Koordinator für Maßnahmen zur Informationssicherheit in Einrichtungen der Bundesverwaltung und zur Unterstützung der Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement.

Ziel der NIS-2-Richtlinie ist die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, mit denen in der gesamten Europäischen Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden soll. Wichtige und besonders wichtige Einrichtungen sollen vor Schäden durch Cyberangriffe geschützt und das Funktionieren des europäischen Binnenmarktes verbessert werden. Die Konsequenzen eines Cyberangriffes sind sehr vielfältig und können nicht vollständig quantifiziert werden. So können durch Ransomware-Angriffe Server medizinischer Einrichtungen verschlüsselt werden, was die Aufnahme neuer Notfälle und die ambulante Patientenversorgung tagelang verhindert. Dies etwa sind Risiken und Gefahren für Leib und Leben der Bevölkerung, die nicht in monetären Größen ausgedrückt werden können. Bezogen auf die unmittelbar durch Cyberangriffe verursachten und bezifferbaren Schäden für Unternehmen in Deutschland schätzt der Branchenverband der deutschen Informations- und Telekommunikationsunternehmen (Bitkom e. V.) ein jährliches Gesamtschadensvolumen von rund 223,5 Milliarden Euro für das Jahr 2021. Im Jahr 2022 lag das Gesamtschadensvolumen bei 202,7 Milliarden Euro und im Jahr 2023 voraussichtlich bei 205,9 Milliarden Euro. Im Schnitt verursachen Cyberangriffe für Unternehmen in Deutschland einen jährlichen Gesamtschaden von rund 210,7 Milliarden Euro in den letzten drei Jahren. Dabei hat Bitkom deutsche Unternehmen mit mindestens 10 Beschäftigten und einem Jahresumsatz von mindestens einer Millionen Euro befragt. Im Unternehmensregister des Statistischen Bundesamts waren im Berichtsjahr 2021 insgesamt rund 3,4 Millionen rechtliche Einheiten registriert, davon beschäftigten 444 055 rechtliche Einheiten mindestens 10 Beschäftigten. Unter der Annahme einer Gleichverteilung des Gesamtschadensvolumens auf die Unternehmen mit mindestens 10 Beschäftigten ergibt sich ein Schadensvolumen pro Unternehmen von rund 500 000 Euro (=210,7 Milliarden Euro / 444 055 Unternehmen). Es ist anzunehmen, dass selbst bei einer vollständigen Umsetzung der von der NIS-2-Richtlinie vorgegebenen Sicherheitsstandards nicht alle Schäden durch Cyberangriffe abgewehrt werden können. Nimmt man jedoch an, dass durch die Umsetzung der vorliegenden Vorgaben die Hälfte des jährlich verursachten Schadens in den zur Umsetzung der NIS-2-Richtlinie verpflichteten Unternehmen abgewehrt werden kann, so ergibt sich pro Unternehmen ein abgewehrter Schaden von rund 250 000 Euro. Hochgerechnet auf die voraussichtlich geschätzte Anzahl betroffener Unternehmen bedeutet dies einen abgewehrten Gesamtschaden in Höhe von ca. 3,6 Milliarden Euro (= 250 000 Euro * 14 500 Unternehmen) für die deutsche Wirtschaft. Zusätzlich zu dem hier geschätzten abgewehrten Schaden in Höhe von ca. 3,6 Milliarden bei den Unternehmen muss ebenfalls ein mangels verfügbarer Daten nicht bezifferbarer abgewehrter Schaden in der öffentlichen Verwaltung sowie weitere Schäden mitberücksichtigt werden.

Den vollständigen Entwurf finden Sie hier:


KG Berlin: Auch gegen juristische Person kann unmittelbar DSGVO-Bußgeld verhängt werden - Deutsche Wohnen

KG Berlin
Beschluss vom 22.01.2024
3 Ws 250/21, 161 AR 84/21, 3 Ws 250/21 - 161 AR 84/21


Das KG Berlin hat entschieden, dass auch unittelbar gegen juristische Person ein DSGVO-Bußgeld verhängt werden kann.

Aus den Entscheidungsgründen:
Mit Bußgeldbescheid vom 30. Oktober 2019 hat die Berliner Beauftragte für den Datenschutz (im Folgenden: BlnBDI) gegen das betroffene Unternehmen (im Folgenden: Betroffene) Geldbußen festgesetzt. Mit dem Bußgeldbescheid ist der Betroffenen vorgeworfen worden, es zwischen dem 25. Mai 2018 und dem 5. März 2019 vorsätzlich unterlassen zu haben, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Weiter hat der Bußgeldbescheid den Vorwurf enthalten, personenbezogene Daten von mindestens 15 näher bezeichneten Mietern fortgesetzt gespeichert zu haben, obwohl bekannt gewesen sei, dass dies nicht oder nicht mehr erforderlich war. Wegen des vorsätzlichen Verstoßes gegen Art. 25 Abs. 1, Art. 5 Abs. 1 a), c) und e) DS-GVO hat die Geldbuße 14.385.000 Euro betragen. Wegen Verstößen gegen Art. 6 Abs. 1 DS-GVO sind 15 weitere Geldbußen mit Beträge zwischen 3.000 und 17.000 Euro festgesetzt worden.

Auf den Einspruch der Betroffenen hat das Landgericht Berlin das Verfahren nach § 46 Abs. 1 OWiG i. V. m. § 206a StPO durch den angefochtenen Beschluss eingestellt. Das Landgericht hat die Auffassung vertreten, der Bußgeldbescheid habe unter so gravierenden Mängeln gelitten, dass er nicht Grundlage des Verfahrens sein könne. Namentlich ist das Landgericht der Auffassung gewesen, eine juristische Person könne nicht Betroffene eines Bußgeldverfahrens sein, auch nicht in einem solchen nach Art. 83 DS-GVO. Da einer juristischen Person lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten zugerechnet werden könne, könne diese in einem Bußgeldverfahren nur als Nebenbeteiligte fungieren. Die Verhängung einer Geldbuße gegen eine juristische Person sei in § 30 OWiG abschließend geregelt, der über § 41 Abs. 1 BDSG auch für Verstöße nach Art. 83 Abs. 4 bis 6 DS-GVO Anwendung finde. Die in § 83 DS-GVO kodifizierte unmittelbare Unternehmenshaftung verstoße gegen das im deutschen Recht verankerte Schuldprinzip und könne daher nicht angewendet werden.

Hiergegen hat die Staatsanwaltschaft Berlin sofortige Beschwerde eingelegt. Der Senat hat das Verfahren durch Beschluss vom 6. Dezember 2021 ausgesetzt und nach Art. 267 Abs. 3 AEUV eine Vorabentscheidung des Gerichtshofs der Europäischen Union u.a. zu der Frage eingeholt, ob Art. 83 Abs. 4-6 DS-GVO dahin auszulegen sei, „dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf“. Der EuGH hat durch Urteil vom 5. Dezember 2023 (C-807/21 – [juris]) wie folgt entschieden: „Art. 58 Abs. 2 Buchst. i und Art. 83 Abs. 1 bis 6 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass sie einer nationalen Regelung entgegenstehen, wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DSG-VO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde“. In einem weiteren Ausspruch desselben Urteils heißt es, dass „eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat“.

Mit Beschluss vom Folgetag hat der Senat angeordnet, dass das Verfahren fortgesetzt wird.

Die sofortige Beschwerde der Staatsanwaltschaft hat Erfolg. Nach Maßgabe des in dieser Sache ergangenen Urteils des Europäischen Gerichtshofs ist die Betroffene unbeschadet ihrer Eigenschaft als juristische Person taugliche Adressatin eines Bußgeldbescheids (1.). Das durch das Landgericht angenommene Verfahrenshindernis eines unwirksamen Bußgeldbescheids besteht nicht (2.).

1. Dass die Betroffene als juristische Person taugliche Adressatin eines Bußgeldbescheids sein kann und als solche zudem unmittelbar und nicht nur als Verfahrens- oder Nebenbeteiligte bebußt werden kann, ergibt sich aus dem in diesem Verfahren ergangenen Urteil des EuGH (Urteil vom 5. Dezember 2023 – C-807/21 – [juris]). Der Gerichtshof führt aus, es sei möglich, „die in Art. 83 DSG-VO für solche Verstöße vorgesehenen Geldbußen unmittelbar gegen juristische Personen zu verhängen, wenn diese als für die betreffende Verarbeitung Verantwortliche eingestuft werden können“ (Rn. 44). Dies folgt, so der EuGH weiter, daraus, dass Unternehmen „nicht nur für Verstöße haften, die von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch für Verstöße, die von jeder anderen Person begangen wurden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Personen handelt“ (Rn. 44). Die hierdurch – und zwar unabhängig von einem individualisierbaren Organisationsdefizit oder einer Aufsichtspflichtverletzung – möglich gewordene unmittelbare Bebußung von juristischen Personen wird auch durch die Verteidigung, soweit aus ihrem Schriftsatz vom 15. Januar 2024 ersichtlich, nicht mehr in Frage gestellt.

2. Der Bußgeldbescheid der BlnBDI erfüllt die Wirksamkeitsvoraussetzungen des § 66 Abs. 1 OWiG und stellt eine ausreichende Verfahrensgrundlage dar. Ein Verfahrenshindernis besteht insoweit nicht.

a) Nach § 66 OWiG muss der Bußgeldbescheid „die Bezeichnung der Tat, die dem Betroffenen zur Last gelegt wird, Zeit und Ort ihrer Begehung, die gesetzlichen Merkmale der Ordnungswidrigkeit und die angewendeten Bußgeldvorschriften“ enthalten. Der Bußgeldbescheid muss den Tatvorwurf nach gefestigtem Verständnis formal und sachlich umgrenzen (Umgrenzungsfunktion) und den Betroffenen ausreichend über den Tatvorwurf unterrichten (Informationsfunktion) (vgl. BGHSt 23, 336; Senat Verkehrsrecht aktuell 2019, 123 [Volltext bei juris]; OLG Celle ZfSch 2015, 649).

b) Hier ist rechtstechnisch zusätzlich zu beachten, dass die in § 66 OWiG niedergelegten verfahrensbezogenen Anforderungen an die Gestaltung des Bußgeldbescheids den durch den EuGH formulierten Grundsätzen des materiellen Rechts folgen. Die vom EuGH entwickelten sachlich-rechtlichen Grundzüge der Verbandsgeldbuße überformen, prägen und gestalten das diesbezügliche nationale Verfahrensrecht. Formuliert der EuGH etwa, die Bebußung erfordere nicht, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“ (Rn. 46), so folgt daraus zwingend, dass sich die Bezeichnung einer solchen natürlichen Person auch nicht aus dem nationalen Verfahrensrecht, hier § 66 OWiG, ergeben muss.

Der Auffassung der Verteidigung, die Wirksamkeit des Bußgeldbescheids als Verfahrensvoraussetzung bemesse sich nach § 66 OWiG, trifft damit allgemein zu, denn eine Suspendierung der gesamten Vorschrift steht auch angesichts des nun anzuwendenden europarechtskonformen Verantwortungs- und Haftungsregimes nicht in Rede. Vielmehr sieht Art. 83 Abs. 8 DSG-VO vor, dass die „Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde“ unionsrechtskompatiblen Verfahrensgarantien „einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren“ unterliegt. Daher verweist § 41 BDSG auf Verfahrensvorschriften des OWiG und der StPO, und auch § 66 OWiG ist als grundlegendes nationales Verfahrensrecht anwendbar. Seine Auslegung allerdings richtet sich hier nach den sachlich-rechtlichen Vorgaben des übergeordneten Europarechts in der durch den EuGH nun gegebenen Ausprägung.

c) Unter Zugrundelegung der Maßgaben aus der Vorabentscheidung des EuGH und ihrer Weiterungen auf das nationale Verfahrensrecht erfüllt der Bußgeldbescheid der BlnBDI die Voraussetzungen des § 66 OWiG. Ohne Weiteres grenzt der Bußgeldbescheid den Gegenstand des Verfahrens in persönlicher, sachlicher und rechtlicher Hinsicht ab, und die Betroffene kann mühelos erkennen, welcher konkrete Vorwurf gegen sie erhoben wird. Namentlich die durch § 66 Abs. 1 Nr. 3 OWiG erforderten Essentialia, nämlich die „Bezeichnung der Tat, die dem Betroffenen zur Last gelegt wird“ sowie „Zeit und Ort ihrer Begehung“, sind bei der gebotenen funktional-normativen Betrachtung eingehalten.

Der Bußgeldbescheid wirft der Betroffenen vor, es zwischen dem 25. Mai 2018 und dem 5. März 2019 vorsätzlich unterlassen zu haben, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Weiter wird ihr vorgeworfen, personenbezogene Daten von mindestens 15 näher bezeichneten Mietern fortgesetzt gespeichert zu haben, obgleich bekannt gewesen sei, dass dies nicht oder nicht mehr erforderlich war.

Diese – hier nur kursorisch zusammengefassten – Vorwürfe sind im Bußgeldbescheid ausgesprochen konkret und ausführlich dargestellt. Der Bußgeldbescheid bezeichnet die insgesamt 16 Tathandlungen auf mehr als 17 Seiten in einer ausdifferenzierten und nachgerade ziselierten Weise. Die Ausführungen vermitteln der Betroffenen präzise, was ihr vorgeworfen wird, und sie ermöglichen es ihr, sich hiergegen zu verteidigen. Dabei ist auch zu beachten, dass es sich bei den vorgeworfenen Handlungen (oder Unterlassungen) ersichtlich um keine Individualexzesse in einem Dunkelbereich des Unternehmens handelt. Gegenstand des Bußgeldverfahrens bildet die Speicherung bzw. Archivierung (oder Nichtlöschung) von Kundendaten. Es geht um einfach gelagerte und verständliche Sachverhalte und im Letzten um gewöhnliche Vorgänge in einem operativen Unternehmensbereich.

d) Nicht folgen kann der Senat der Überlegung der Betroffenen, der Bußgeldbescheid müsse konkretisieren, „welches Organ durch welche Handlung die Voraussetzungen des § 30 OWiG erfüllt hat“. Abgesehen davon, dass der Bußgeldbescheid die Rechtsverstöße auch in ihrer Entstehung („Handlung“) durchaus nachvollziehbar darstellt und umreißt, deduziert sich ein solches Erfordernis aus der überkommenen Vorstellung, eine Verbandshaftung erfordere das Verschulden eines Repräsentanten (§ 30 OWiG) oder eine Aufsichtspflichtverletzung (§ 130 OWiG). Sie lässt die europarechtlichen Einflüsse auf das Verbandsanktionenrecht außen vor und missachtet die Rechtsprechung des EuGH im hiesigen Vorabentscheidungsverfahren. Wenn der EuGH ausdrücklich formuliert, die Bebußung erfordere nicht, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“ (Rn. 46), so stellt er klar, dass juristische Personen dafür verantwortlich sind, dass Daten im Rahmen ihrer unternehmerischen Tätigkeit rechtmäßig verarbeitet werden (Rn. 44). Sanktioniert wird hiernach nicht (nur) eine fehlerhafte Organisation, sondern gerade die Pflichtverletzung des Verbands bzw. im Verband, als „genuine Verbandstat“ (vgl. als Kritik an der überkommenen nationalen Rechtslage: HK-OWiG/Schmitt-Leonardy, 2. Aufl., § 30 Rn. 13). Nach der Vorabentscheidung des EuGH ist auch eine juristische Person schuldfähig, so dass es zu einem Gleichlauf von Verantwortlichkeit und Haftbarkeit kommt (vgl. Grages/Strassemeyer, CR 2024, 10). Damit fallen alle Personen, die im Rahmen der unternehmerischen Tätigkeit handeln, in den abstrakten Verantwortungskreis der juristischen Person, und selbst eine normentsprechende Organisation führt – jedenfalls in aller Regel – nicht zur Exkulpation. Dies entspricht dem Effektivitätsgrundsatz des europäischen Rechts.

Dass der Verband (materiell-rechtlich) allein datenschutzrechtlich Verantwortlicher ist (vgl. Wünschelbaum, DSB 2024, 15), wirkt sich damit unmittelbar auf die verfahrensrechtlich gebotene Darstellungsdichte im Bußgeldbescheid aus. Insbesondere muss dieser gerade nicht bezeichnen, welchem Repräsentanten oder welchem „Organ“ welche konkrete Handlung oder welches konkrete Unterlassen zur Last fällt. Im Übrigen bleibt es aber auch insoweit dabei, dass der hier zu beurteilende Bußgeldbescheid die Tathandlungen bemerkenswert und – gemessen an den vom EuGH formulierten materiell-rechtlichen Haftungsvoraussetzungen ersichtlich – überobligatorisch konkret darstellt.

e) Auch kann sich der Senat der noch weitergehenden Überlegung der Verteidigung nicht anschließen, es sei sogar „unverzichtbar, dass ein Bußgeldbescheid die verfahrensmaßgeblichen Handlungen der natürlichen Person beschreibt“, um einen Vorwurf gegen den Verband „erkennen, abgrenzen, bewerten und sich gegen ihn verteidigen zu können“. Auch diese Auffassung verstößt eklatant gegen das im hiesigen Verfahren ergangene Urteil des EuGH. Das durch die Verteidigung erkannte Erfordernis geht darüber hinweg, dass eine Sanktionierung gerade nicht erfordert, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“ (Rn. 46). Dieses klare EuGH-Diktum ist mit der Forderung der Verteidigung, der Bußgeldbescheid müsse die „Handlung der natürlichen Person beschreiben“, ersichtlich unvereinbar. Allerdings gilt auch insoweit: Der Bußgeldbescheid beschreibt die vorgeworfenen Handlungen – zum großen Teil in der Form des Unterlassens der Löschung, teilweise als unterlassene Kennzeichnung von Daten – nachvollziehbar und deutlich. Der Betroffenen ist es möglich und unbenommen, im Bußgeldverfahren darzustellen, dass die Daten nicht gespeichert oder rechtmäßig gespeichert und ggf. rechtzeitig gelöscht wurden. Jedenfalls unter Zugrundelegung der vom EuGH umrissenen Grundzüge einer umfassenden Unternehmensverantwortung ist nicht ersichtlich, dass eine noch ausführlichere und noch „konkretere“ Darstellung der Tatvorwürfe im Bußgeldbescheid die Verteidigungsmöglichkeiten der Betroffenen substantiell erweitern könnte. Durch das EuGH-Judikat verringerte Exkulpationsmöglichkeiten sind nicht Folge eines unkonkret bleibenden Bußgeldbescheids, sondern einer dem Effektivitätsgrundsatz geschuldeten europarechtskonform erweiterten Verbandsverantwortung.

f) Folgerichtig ist der Verteidigung schließlich auch darin zu widersprechen, die Bezeichnung der dem Organ vorwerfbaren Tat sei unerlässliche Voraussetzung des Bußgeldbescheids. Dieses ehedem bestehende Erfordernis, das dem limitierten Haftungsregime des nationalen Rechts folgte, ist durch die im hiesigen Verfahren ergangene Vorabentscheidung des EuGH zu einer umfassenden Verbandsverantwortung nach kartellrechtlichem Vorbild obsolet. In dieser heißt es, „dass die Anwendung von Art. 83 DSG-VO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans“ voraussetzt (Rn. 77).

3. Da kein Verfahrenshindernis besteht, war der angefochtene Beschluss aufzuheben, und die Sache ist an das Landgericht zurückzuverweisen. Funktional zuständig ist nicht die große Strafkammer (Wirtschaftskammer), sondern die Kammer für Bußgeldsachen (§ 47 Abs. 7 OWiG). Der Senat kann nachvollziehen, dass die Kammer entgegen einer analogen Anwendung des § 68 Abs. 1 Satz 2 OWiG nicht durch Einzelrichter entschieden hat, sondern – wohl entsprechend §§ 46 Abs. 1 OWiG, 76 Abs. 1 GVG – zuletzt eine Besetzung gewählt hat, die der einer großen Strafkammer entspricht (vgl. zur funktionalen Zuständigkeit und zur Besetzungsfrage Brodowski/Nowak in BeckOK Datenschutzrecht, 46. Edition, § 41 BDSG Rn. 16). Hierfür spricht, dass sich die sachliche Zuständigkeit des Landgerichts (§ 41 Abs. 1 Satz 3 BDSG) aus dem Streben nach einer verbesserten Kontrolle ableiten dürfte, die sich jedenfalls im Leitbild aus der Beteiligung mehrerer (Berufs-) Richter ergibt.

4. Eine Kostenentscheidung ist in Bezug auf das Rechtsmittel nicht veranlasst (ex arg. BGH WuW 2020, 615). Über die Kosten des Vorabentscheidungsverfahrens hat an sich das vorlegende Gericht zu entscheiden (Art. 102 EuGHVerfO). Das Vorabentscheidungsverfahren erweist sich aber lediglich als Zwischenverfahren des gleichfalls unselbständigen Beschwerdeverfahrens, durch dessen Entscheidung das Bußgeldverfahren nicht abgeschlossen wird. Da das Bußgeldverfahren beim Landgericht Berlin fortgesetzt und durch dieses entschieden wird, ist es angemessen, dass die Kammer für Bußgeldsachen in der abschließenden Kostengrundentscheidung über die Kosten des Vorabentscheidungsverfahrens mitentscheidet (vgl. bei ähnlicher Konstellation BGH WM 1996, 1889 unter Bezug auf EuGH GRUR Int. 1996, 147).


Den Volltext der Entscheidung finden Sie hier:


EuGH: DSGVO-Geldbuße gegen Unternehmen durch Datenschutzbehörde setzt schuldhaften Verstoß voraus - Höhe richtet sich nach dem Jahresumsatz des Konzerns

EuGH
Urteil vom 05.12.2023, C-683/21 (Nacionalinis visuomenės sveikatos centras)
Urteil vom 05.12.2023, C-807/21 (Deutsche Wohnen)


Der EuGH hat entschieden, dass eine Geldbuße gegen ein Unternehmen durch die Datenschutzbehörde wegen eines DSGVO-Verstoßes einen schuldhaften Verstoß voraussetzt. Die Höhe richtet sich bei Unternehmen, die einem Konzern angehören, nach dem Jahresumsatz des Konzerns.

Die Pressemitteilung des Gerichts:
Nur ein schuldhafter Verstoß gegen die Datenschutz-Grundverordnung kann zur Verhängung einer Geldbuße führen

Gehört der Adressat der Geldbuße zu einem Konzern, bemisst sich die Geldbuße nach dem Jahresumsatz des Konzerns

Der Gerichtshof präzisiert die Voraussetzungen, unter denen die nationalen Aufsichtsbehörden eine Geldbuße gegen einen oder mehrere für die Datenverarbeitung Verantwortliche wegen Verstoßes gegen die DatenschutzGrundverordnung (DSGVO) verhängen können. Insbesondere stellt er fest, dass die Verhängung einer solchen Geldbuße ein schuldhaftes Verhalten voraussetzt, der Verstoß also vorsätzlich oder fahrlässig begangen worden sein muss. Gehört der Adressat der Geldbuße zu einem Konzern, ist bei der Berechnung der Geldbuße auf den Umsatz des Konzerns abzustellen

Ein litauisches und ein deutsches Gericht haben den Gerichtshof ersucht, die Datenschutz- Grundverordnung (DSGVO)1 auszulegen, und zwar im Hinblick auf die Möglichkeit nationaler Aufsichtsbehörden, Verstöße gegen diese Verordnung durch Verhängung einer Geldbuße gegen den für die Datenverarbeitung Verantwortlichen zu ahnden.

Im litauischen Fall wendet sich das Nationale Zentrum für öffentliche Gesundheit beim Gesundheitsministerium gegen eine Geldbuße in Höhe von 12 000 Euro, die ihm im Zusammenhang mit der Entwicklung (mit Unterstützung durch ein privates Unternehmen) einer mobilen Anwendung auferlegt wurde, die der Erfassung und Überwachung der Daten der dem Covid-19-Virus ausgesetzten Personen dienen sollte.

Im deutschen Fall wendet sich das Immobilienunternehmen Deutsche Wohnen, das mittelbar rund 163 000 Wohneinheiten und 3 000 Gewerbeeinheiten hält, u. a. gegen eine Geldbuße von über 14 Mio. Euro, die ihm auferlegt wurde, weil es personenbezogene Daten von Mietern länger als erforderlich speicherte.

Der Gerichtshof entscheidet, dass gegen einen für die Datenverarbeitung Verantwortlichen nur dann eine Geldbuße wegen Verstoßes gegen die DSGVO verhängt werden kann, wenn dieser Verstoß schuldhaft – also vorsätzlich oder fahrlässig – begangen wurde. Dies ist dann der Fall, wenn sich der Verantwortliche über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Bestimmungen der DSGVO verstößt.

Handelt es sich bei dem Verantwortlichen um eine juristische Person, ist es nicht erforderlich, dass der Verstoß von ihrem Leitungsorgan begangen wurde oder dieses Organ Kenntnis davon hatte. Vielmehr haftet eine juristische Person sowohl für Verstöße, die von ihren Vertretern, Leitungspersonen oder Geschäftsführern begangen werden, als auch für Verstöße, die von jeder sonstigen Person begangen werden, die im Rahmen ihrer unternehmerischen Tätigkeit in ihrem Namen handelt. Die Verhängung einer Geldbuße gegen eine juristische Person als Verantwortliche darf nicht der Voraussetzung unterliegen, dass zuvor festgestellt wurde, dass der Verstoß von einer identifizierten natürlichen Person begangen wurde.

Außerdem kann gegen einen Verantwortlichen eine Geldbuße auch für Verarbeitungsvorgänge verhängt werden, die von einem Auftragsverarbeiter durchgeführt wurden, sofern diese Vorgänge dem Verantwortlichen zugerechnet werden können.

Zur gemeinsamen Verantwortlichkeit von zwei oder mehr Einrichtungen führt der Gerichtshof aus, dass diese sich allein daraus ergibt, dass die Einrichtungen an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitgewirkt haben. Die Einstufung als „gemeinsam Verantwortliche“ setzt keine förmliche Vereinbarung zwischen den betreffenden Einrichtungen voraus. Eine gemeinsame Entscheidung oder übereinstimmende Entscheidungen reichen aus. Handelt es sich jedoch tatsächlich um gemeinsam Verantwortliche, müssen diese in einer Vereinbarung ihre jeweiligen Pflichten festlegen.

Schließlich muss sich die Aufsichtsbehörde bei der Bemessung der Geldbuße, wenn der Adressat ein Unternehmen ist oder zu einem Unternehmen gehört, auf den wettbewerbsrechtlichen Begriff „Unternehmen“ stützen. Der Höchstbetrag der Geldbuße ist daher auf der Grundlage eines Prozentsatzes des gesamten Jahresumsatzes zu berechnen, den das betreffende Unternehmen als Ganzes im vorangegangenen Geschäftsjahr weltweit erzielt hat.


Den Volltext der Entscheidung finden Sie hier:
EuGH, Urteil vom 05.12.2023, C-683/12 (Nacionalinis visuomenės sveikatos centras)
EuGH, Urteil vom 05.12.2023, C-807/21 (Deutsche Wohnen)


BlnBD: 215.000 EURO Bußgeld gegen Unternehmen u.a. wegen datenschutzwidriger Speicherung von Gesundheitsdaten von Beschäftigten in Probezeit

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat ein Bußgeld in Höhe von 215.000 EURO gegen ein Unternehmen u.a. wegen datenschutzwidriger Speicherung von Gesundheitsdaten und Interesse an Betriebsratsgründung von Beschäftigten in der Probezeit verhängt.

Die Pressemitteilung des der BlnBDI:
Eine Liste mit Informationen über Beschäftigte in der Probezeit

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen ein Unternehmen Bußgelder in Höhe von insgesamt 215.000 Euro verhängt. Das Unternehmen hatte u. a. unzulässigerweise sensible Informationen über den Gesundheitszustand einzelner Beschäftigter oder deren Interesse an einer Betriebsratsgründung dokumentiert. Der Bußgeldbescheid ist noch nicht rechtskräftig.

Um mögliche Kündigungen zum Ende der Probezeit vorzubereiten, führte eine Vorgesetzte auf Weisung der Geschäftsführung des Unternehmens von März bis Juli 2021 eine tabellarische Übersicht aller Beschäftigten in der Probezeit. Die Berliner Datenschutzbeauftragte erfuhr durch Medienberichte und eine persönliche Beschwerde eines Betroffenen von dem Vorfall und leitete eine Prüfung ein.

In der Übersicht listete die Vorgesetzte alle Mitarbeitenden in der Probezeit auf und bewertete die weitere Beschäftigung von elf Personen als „kritisch“ oder „sehr kritisch“. Diese Einstufung wurde in einer Tabellenspalte mit der Überschrift „Begründung“ näher erläutert. Hier fanden sich Angaben zu persönlichen Äußerungen sowie gesundheitlichen und außerbetrieblichen Gründen, die einer flexiblen Schichteinteilung entgegenstehen würden. Auch ein mögliches Interesse an der Gründung eines Betriebsrates und die regelmäßige Teilnahme an einer Psychotherapie wurden hier genannt. In vielen Fällen hatten die Beschäftigten die aufgeführten Informationen selbst für die Dienstplanung mitgeteilt. Die Weiterverarbeitung in der Liste war ihnen nicht bekannt.

Die Berliner Datenschutzbeauftragte kam bei ihrer Prüfung zu dem Ergebnis, dass die Verarbeitung der erhobenen Daten in den beanstandeten Fällen nicht rechtmäßig war. Zusätzlich zur Ahndung dieses strukturellen Verstoßes verhängte die BlnBDI gegen das Unternehmen drei weitere Bußgelder in Höhe von insgesamt rund 40.000 Euro wegen fehlender Beteiligung der betrieblichen Datenschutzbeauftragten bei der Erstellung der Liste, verspäteter Meldung einer Datenpanne und fehlender Erwähnung der Liste im Verarbeitungsverzeichnis.

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Die Erhebung, Speicherung und Verwendung von Beschäftigtendaten müssen stets im zulässigen Zusammenhang mit dem Beschäftigungsverhältnis erfolgen. Das war in diesem Fall nicht gegeben. Insbesondere Gesundheitsdaten sind besonders sensitive Informationen, die nur in engen Grenzen verarbeitet werden dürfen.“

Grundsätzlich dürfen Arbeitgeber:innen Überlegungen anstellen, inwiefern Beschäftigte weiterbeschäftigt werden sollen und insofern auch personenbezogene Daten verarbeiten. Die verarbeiteten Daten müssen jedoch für diesen Zweck geeignet und erforderlich sein. Sie dürfen nur Rückschlüsse auf Leistung oder Verhalten zulassen, die in unmittelbarem Zusammenhang mit dem Beschäftigungsverhältnis stehen. Arbeitgeber:innen dürfen auch von Beschäftigten selbst mitgeteilte Informationen nicht einfach weiterverarbeiten, sondern müssen prüfen, ob die Verarbeitung erforderlich und angemessen ist.

Bei der Bemessung der Bußgelder berücksichtigte die BlnBDI den Umsatz des Unternehmens und die Anzahl der betroffenen Beschäftigten. Außerdem wurde berücksichtigt, dass insbesondere die Verarbeitung von Gesundheitsdaten ohne Rechtsgrundlage einen besonders schwerwiegenden Verstoß darstellt. Bußgeldmindernd wurde u. a. berücksichtigt, dass das Unternehmen umfassend mit der BlnBDI kooperiert hat und den Verstoß nach öffentlichem Bekanntwerden bereits ohne Aufforderung von sich aus abgestellt hat.



BlnBDI: 300.000 EURO Bußgeld gegen Bank wegen mangelnder Transparenz bei automatisierter Ablehnung eines Kreditantrags

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat ein Bußgeld in Höhe von 300.000 EURO gegen eine Bank wegen mangelnder Transparenz bei der automatisierter Ablehnung eines Kreditantrags verhängt.

Die Pressemitteilung der BlnBDI:
300.000 Euro Bußgeld gegen Bank nach mangelnder Transparenz über automatisierte Ablehnung eines Kreditkartenantrags - Computer sagt Nein

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen eine Bank ein Bußgeld in Höhe von 300.000 Euro wegen mangelnder Transparenz über eine automatisierte Einzelentscheidung verhängt. Die Bank hatte sich geweigert, einem Kunden nachvollziehbare Auskünfte über die Gründe der automatisierten Ablehnung eines Kreditkartenantrags zu erteilen. Das Unternehmen hat umfassend mit der BlnBDI kooperiert und den Bußgeldbescheid akzeptiert.

Eine automatisierte Entscheidung ist eine Entscheidung, die ein IT-System ausschließlich auf Grundlage von Algorithmen und ohne menschliches Eingreifen trifft. Für diesen Fall sieht die Datenschutz-Grundverordnung (DSGVO) spezielle Transparenzpflichten vor. So müssen personenbezogenen Daten in einer für die betroffenen Personen nachvollziehbaren Weise verarbeitet werden. Betroffene Personen haben einen Anspruch auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung. Beantragen betroffene Personen bei den Verantwortlichen eine Auskunft, müssen diese aussagekräftige Informationen über die involvierte Logik hinter der automatisierten Entscheidung erteilen.

In diesem Fall beherzigte die Bank dies jedoch bei ihrem digitalen Antrag für eine Kreditkarte nicht. Über ein Online-Formular fragte die Bank verschiedene Daten über Einkommen, Beruf und Personalien des Antragstellers ab. Anhand der abgefragten Informationen und zusätzlicher Daten aus externen Quellen lehnte der Bank-Algorithmus den Antrag des Kunden ohne besondere Begründung ab. Der Algorithmus basiert auf zuvor von der Bank definierten Kriterien und Regeln.

Da der Kunde einen guten Schufa-Score und ein regelmäßiges hohes Einkommen hatte, bezweifelte er die automatisierte Ablehnung. Die Bank machte auch auf Nachfrage lediglich pauschale und vom Einzelfall gelöste Angaben zum Scoring-Verfahren. Sie weigerte sich jedoch, ihm mitzuteilen, warum sie in seinem Fall von einer schlechten Bonität ausging. Der Beschwerdeführer konnte somit nicht nachvollziehen, welche Datenbasis und Faktoren der Ablehnung zugrunde lagen und anhand welcher Kriterien sein Kreditkartenantrag dementsprechend abgelehnt worden ist. Ohne diese Einzelfallbegründung war es ihm aber auch nicht möglich, die automatisierte Einzelentscheidung sinnvoll anzufechten. Daraufhin beschwerte er sich bei der Datenschutzbeauftragten.

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Wenn Unternehmen automatisiert Entscheidungen treffen, sind sie verpflichtet, diese stichhaltig und nachvollziehbar zu begründen. Die Betroffenen müssen in der Lage sein, die automatisierte Entscheidung nachzuvollziehen. Dass die Bank in diesem Fall auch auf Anfrage nicht transparent und nachvollziehbar über die automatisierte Ablehnung informiert hat, hat ein Bußgeld zur Folge. Eine Bank ist verpflichtet, die Kund:innen bei der automatisierten Entscheidung über einen Kreditkartenantrag über die tragenden Gründe einer Ablehnung zu unterrichten. Hierzu zählen konkrete Informationen zur Datenbasis und den Entscheidungsfaktoren sowie die Kriterien für die Ablehnung im Einzelfall.“

Die Datenschutzbeauftragte hat festgestellt, dass die Bank in dem konkreten Fall gegen Art. 22 Abs. 3, Art. 5 Abs. 1 lit. a und Art. 15 Abs. 1 lit. h DSGVO verstoßen hat. Bei der Bußgeldzumessung berücksichtigte die BlnBDI insbesondere den hohen Umsatz der Bank sowie die vorsätzliche Ausgestaltung des Antragsprozesses und der Auskunft. Als bußgeldmindernd wurde u. a. eingestuft, dass das Unternehmen den Verstoß eingeräumt sowie Änderungen an den Prozessen bereits umgesetzt und weitere Verbesserungen angekündigt hat.



BMJ: Entwurf - Justizstandort-Stärkungsgesetz - Einführung von Commercial Courts und der Gerichtssprache Englisch in der Zivilgerichtsbarkeit

Das BMJ hat den Entwurf eines Gesetzes zur Stärkung des Justizstandortes Deutschland durch Einführung von Commercial Courts und der Gerichtssprache Englisch in der Zivilgerichtsbarkeit (Justizstandort-Stärkungsgesetz) vorgelegt.

Aus dem Entwurf:
A. Problem und Ziel
Deutschland ist ein bedeutender Wirtschaftsstandort in Europa und in der Welt. Die Geschäftsbeziehungen der in Deutschland tätigen Unternehmen sind vielfältig und international. Das führt zwangsläufig zu Wirtschaftsstreitigkeiten, die in Zeiten globaler Lieferketten und internationalen Warenverkehrs häufig auch Rechtsstreitigkeiten zwischen Unternehmen verschiedener Staaten betreffen. Für große Wirtschaftsstreitigkeiten bietet die ordentliche Gerichtsbarkeit in Deutschland insgesamt nur eingeschränkt zeitgemäße Verfahrensmöglichkeiten an. In der Folge werden solche Streitigkeiten vermehrt in anderen Rechtsordnungen oder innerhalb der privaten Schiedsgerichtsbarkeit geführt. Vor diesem Hintergrund bedarf es einer Stärkung des Justiz- und Wirtschaftsstandorts Deutschland. Parteien von privatrechtlichen Wirtschaftsstreitigkeiten sollen Verfahren künftig vollständig in englischer Sprache führen können. Außerdem soll den Parteien von großen privatrechtlichen Wirtschaftsstreitigkeiten ein attraktives Gesamtpaket für das Verfahren angeboten werden, damit sich Deutschland dem Wettbewerb mit anerkannten ausländischen Handelsgerichten und Schiedsgerichten stellen kann. Insbesondere Unternehmen mit starker Exportorientierung werden davon profitieren. Insgesamt wird ein an den Bedürfnissen der Wirtschaft orientiertes, schnelles, effizientes und attraktives Gerichtsverfahren angeboten werden. Zugleich soll der Gerichtsstandort Deutschland dadurch auch international an Anerkennung und Sichtbarkeit gewinnen und die notwendige Rechtsfortbildung im Bereich des Wirtschaftszivilrechts soll gestärkt werden.

B. Lösung
Um bessere Rahmenbedingungen für einen attraktiven Justizstandort Deutschland zu gewährleisten, sind folgende Änderungen angezeigt:

Zunächst ist den Ländern die Möglichkeit zu eröffnen, die landgerichtlichen Zivilverfahren im Bereich der Wirtschaftszivilsachen für die Gerichtssprache Englisch zu öffnen.

Ferner wird den Ländern die Befugnis eingeräumt, einen Commercial Court an einem Oberlandesgericht (OLG) oder einem Obersten Landesgericht einzurichten. Dabei handelt es sich um einen oder mehrere Zivilsenate, vor dem bzw. denen Wirtschaftszivilsachen ab einem Streitwert von einer Million Euro erstinstanzlich geführt werden können, sofern sich die Parteien auf die erstinstanzliche Anrufung des Commercial Courts verständigt haben. Die Commercial Courts werden das Verfahren – je nach Vereinbarung der Parteien – entweder in deutscher oder in englischer Sprache führen. Für die genannten Verfahren wird zudem die bereits aus der Schiedsgerichtsbarkeit bekannte Möglichkeit der Erstellung eines Wortprotokolls eröffnet.

Gegen erstinstanzliche Entscheidungen der Commercial Courts wird die Revision zum Bundesgerichtshof (BGH) eröffnet sein. Eine umfassende Verfahrensführung in der englischen Sprache soll – im Einvernehmen mit dem zuständigen Senat des BGH – auch in der Revision möglich sein.

Überdies sollen von der Möglichkeit, bei der Verhandlung über Geschäftsgeheimnisse die Öffentlichkeit auszuschließen und den Verfahrensgegner verstärkt zur Diskretion über die erlangten Erkenntnisse zu verpflichten, künftig sämtliche Parteien in der Zivilgerichtsbarkeit profitieren.

Durch diese Maßnahmen wird der UN-Agenda 2030 für nachhaltige Entwicklung entsprochen, die insbesondere in Ziel 16 verlangt: „Friedliche und inklusive Gesellschaften für eine nachhaltige Entwicklung (zu) fördern, allen Menschen Zugang zur Justiz (zu) ermöglichen und leistungsfähige, rechenschaftspflichtige und inklusive Institutionen auf allen Ebenen auf(zu)bauen".



EuGH-Generalanwalt: Unmittelbare Verhängung einer Geldbuße gegen juristische Person nach Art. 83 Abs. 4-6 DSGVO möglich - § 30 OWiG gilt nicht

EuGH-Generalanwalt
Schlussanträge vom
C-807/21


Der EuGH-Generalanwalt kommt in seinen Schlussanträge zu dem Ergebnis, dass die unmittelbare Verhängung einer Geldbuße gegen juristische Person nach Art. 83 Abs. 4-6 DSGVO möglich ist. § 30 OWiG greift insoweit nicht.

Das Ergebnis der Schlussanträge:
Nach alledem schlage ich dem Gerichtshof vor, dem Kammergericht Berlin (Deutschland) wie folgt zu antworten:

Art. 58 Abs. 2 Buchst. i der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) in Verbindung mit Art. 4 Nr. 7 und Art. 83 dieser Verordnung

ist dahin auszulegen, dass

die Verhängung einer Geldbuße gegen eine juristische Person, die für die Verarbeitung personenbezogener Daten verantwortlich ist, nicht von der vorherigen Feststellung eines Verstoßes durch eine oder mehrere individualisierte natürliche Person(en), die im Dienst dieser juristischen Person stehen, abhängt.

Die Verwaltungsgeldbußen, die gemäß der Verordnung 2016/679 verhängt werden können, setzen voraus, dass festgestellt wird, dass das den geahndeten Verstoß begründende Verhalten vorsätzlich oder fahrlässig war.


Die vollständigen Schlussanträge finden Sie hier:

OLG Frankfurt: Werbung mit Logo "Klimaneutral" wettbewerbswidrig wenn Unternehmen nicht über die grundlegenden Umstände der behaupteten Klimaneutralität aufklärt

OLG Frankfurt
Urteil vom 10.11.2022
6 U 104/22


Das OLG Frankfurt hat im Rahmen eines einstweiligen Verfügungsverfahrens entschieden, dass die Werbung mit einem Logo "Klimaneutral" wettbewerbswidrig ist, wenn das Unternehmen nicht über die grundlegenden Umstände der behaupteten Klimaneutralität aufklärt.

Die Pressemitteilung des Gerichts:
Werbung mit dem Logo „Klimaneutral“ ohne Aufklärung irreführend

Die Werbung mit dem Logo „Klimaneutral“ kann erheblichen Einfluss auf die Kaufentscheidung der Verbraucher haben.

Die Werbung mit dem Logo „Klimaneutral“ kann erheblichen Einfluss auf die Kaufentscheidung der Verbraucher haben. Über grundlegende Umstände der von dem Unternehmen beanspruchten Klimaneutralität ist deshalb aufzuklären. Das Oberlandesgericht Frankfurt am Main (OLG) hat gestern der Antragsgegnerin untersagt, ihre Produkte mit dem Logo „Klimaneutral“ zu bewerben, da diese Aufklärung fehlt.

Beide Parteien stellen ökologische Wasch-, Putz- und Reinigungsmittel her. Die Antragsgegnerin bewirbt ihre Produkte auf ihrer Internetseite u.a. mit dem Logo „Klimaneutral“. Die Antragstellerin wendet sich u.a. gegen die Werbung mit diesem Begriff. Sie hält den Begriff „klimaneutral“ für erläuterungsbedürftig und die Werbung deshalb für intransparent und irreführend.

Das Landgericht hatte den auf Unterlassen gerichteten Eilantrag abgewiesen. Auf die Berufung hin hat das OLG die Antragsgegnerin verurteilt, die Verwendung des Logos „Klimaneutral“ zu unterlassen. Die Werbung sei irreführend. Die Bewerbung eines Unternehmens oder seiner Produkte mit einer vermeintlichen Klimaneutralität könne erheblichen Einfluss auf die Kaufentscheidung haben. Es bestehe daher eine Verpflichtung zur Aufklärung über grundlegende Umstände der von dem Unternehmen beanspruchten Klimaneutralität. Der Verbraucher gehe bei dem streitgegenständlichen „klimaneutral“-Logo davon aus, dass grundsätzlich alle wesentlichen Emissionen des Unternehmens vermieden oder kompensiert würden. Eine Ausklammerung bestimmter Emissionsarten - wie von der Antragsgegnerin vorgenommen - nehme er nicht ohne Weiteres an.

Die im Eilverfahren ergangene Entscheidung ist nicht anfechtbar.

Oberlandesgericht Frankfurt am Main, Urteil vom 10.11.2022, Az. 6 U 104/22
(vorausgehend Landgericht Frankfurt am Main, Urteil vom 20.5.2022, Az. 3-12 O 15/22)


BGH: E-Mail ist im unternehmerischen Geschäftsverkehr zugegangen wenn sie innerhalb der üblichen Geschäftszeiten auf dem Mailserver des Empfängers abrufbereit zur Verfügung steht

BGH
Urteil vom 06.10.2022
VII ZR 895/21
BGB §§ 779, 147 Abs. 2, § 130; ZPO § 540 Abs. 1 Satz 1 Nr. 1


Der BGH hat entschieden, dass eine E-Mail im unternehmerischen Geschäftsverkehr zugegangen ist, wenn sie innerhalb der üblichen Geschäftszeiten auf dem Mailserver des Empfängers abrufbereit zur Verfügung steht. Auf eine tatsächliche Kenntnisnahme kommt es nicht an.

Leitsatz des BGH:
Wird eine E-Mail im unternehmerischen Geschäftsverkehr innerhalb der üblichen Geschäftszeiten auf dem Mailserver des Empfängers abrufbereit zur Verfügung gestellt, ist sie dem Empfänger grundsätzlich in diesem Zeitpunkt zugegangen. Dass die E-Mail tatsächlich abgerufen und zur Kenntnis genommen wird, ist für den Zugang nicht erforderlich.

BGH, Urteil vom 6. Oktober 2022 - VII ZR 895/21 - KG Berlin - LG Berlin
Den Volltext der Entscheidung finden Sie hier:


BlnBDI: 525.000 EURO Bußgeld gegen Berliner E-Commerce-Konzern nach vorheriger Verwarnung wegen Verstoßes gegen DSGVO durch Interessenkonflikt des betrieblichen Datenschutzbeauftragten

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat ein Bußgeld in Höhe von 525.000 EURO gegen einen Berliner E-Commerce-Konzern wegen Verstoßes gegen die Vorgaben der DSGVO durch einen Interessenkonflikt des betrieblichen Datenschutzbeauftragten verhängt. Die Datenschutzbehörde hatte vor Verhängung des Bußgelds fruchtlos eine Verwarnung ausgesprochen.

Die Pressemitteilung der BlnBDI:
Interessenkonflikt des betrieblichen Datenschutzbeauftragten: 525.000 Euro Bußgeld gegen die Tochtergesellschaft eines Berliner E-Commerce-Konzerns

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen die Tochtergesellschaft eines Berliner Handelskonzerns ein Bußgeld in Höhe von 525.000 Euro wegen eines Interessenkonflikts des betrieblichen Datenschutzbeauftragten verhängt. Das Unternehmen hatte einen Datenschutzbeauftragten benannt, der Entscheidungen unabhängig kontrollieren sollte, die er selbst in einer anderen Funktion getroffen hatte. Das Bußgeld ist noch nicht rechtskräftig. Betriebliche Datenschutzbeauftragte haben eine wichtige Aufgabe: Sie beraten das Unternehmen hinsichtlich der datenschutzrechtlichen Pflichten und kontrollieren die Einhaltung der Datenschutzvorschriften. Diese Funktion dürfen gemäß Art. 38 Abs. 6 Satz 2 Datenschutz-Grundverordnung (DS-GVO) ausschließlich Personen ausüben, die keinen Interessenkonflikten durch andere Aufgaben unterliegen. Das wäre zum Beispiel bei Personen mit leitenden Funktionen im Unternehmen der Fall, die selber maßgebliche Entscheidungen über die Verarbeitung von personenbezogenen Daten im Unternehmen treffen. Die Aufgabe darf demnach nicht von Personen wahrgenommen werden, die sich dadurch selbst überwachen würden.

So ein Interessenkonflikt lag nach Auffassung der BlnBDI im Falle eines Datenschutzbeauftragten einer Tochtergesellschaft eines Berliner E-Commerce-Konzerns vor. Die Person war gleichzeitig Geschäftsführer von zwei Dienstleistungsgesellschaften, die im Auftrag genau jenes Unternehmens personenbezogene Daten verarbeiteten, für die er als Datenschutzbeauftragter tätig war. Diese Dienstleistungsgesellschaften sind ebenfalls Teil des Konzerns; stellen den Kund:innenservice und führen Bestellungen aus.

Der Datenschutzbeauftragte musste somit die Einhaltung des Datenschutzrechts durch die im Rahmen der Auftragsverarbeitung tätigen Dienstleistungsgesellschaften überwachen, die von ihm selbst als Geschäftsführer geleitet wurden. Die BlnBDI sah in diesem Fall einen Interessenkonflikt und damit einen Verstoß gegen die Datenschutz-Grundverordnung. Die Aufsichtsbehörde erteilte daher im Jahr 2021 zunächst eine Verwarnung gegen das Unternehmen.

Nachdem eine erneute Überprüfung in diesem Jahr ergab, dass der Verstoß trotz der Verwarnung weiterbestand, verhängte die BlnBDI das Bußgeld, das noch nicht rechtskräftig ist.

Volker Brozio, kommissarischer Dienststellenleiter der BlnBDI: „Dieses Bußgeld unterstreicht die bedeutende Rolle der Datenschutzbeauftragten in Unternehmen. Ein Datenschutzbeauftragter kann nicht einerseits die Einhaltung des Datenschutzrechts überwachen und andererseits darüber mitentscheiden. Eine solche Selbstkontrolle widerspricht der Funktion eines Datenschutzbeauftragten, der gerade eine unabhängige Instanz sein soll, die im Unternehmen auf die Einhaltung des Datenschutzes hinwirkt.“

Bei der Bußgeldzumessung berücksichtigte die BlnBDI den dreistelligen Millionenumsatz des ECommerce-Konzerns im vorangegangen Geschäftsjahr und die bedeutende Rolle des Datenschutzbeauftragten als Ansprechpartner für die hohe Zahl an Beschäftigten und Kund:innen. Berücksichtigung fand auch die vorsätzliche Weiterbenennung des Datenschutzbeauftragten über fast ein Jahr trotz der bereits erteilten Verwarnung. Als bußgeldmindernd wurde u. a. eingestuft, dass das Unternehmen umfangreich mit der BlnBDI zusammengearbeitet und den Verstoß während des laufenden Bußgeldverfahrens abgestellt hat.

„Zur Vermeidung von Datenschutzverstößen sollten Unternehmen etwaige Doppelrollen der betrieblichen Datenschutzbeauftragten in Konzernstrukturen auf Interessenkonflikte hin prüfen“, sagt Brozio. „Das gilt insbesondere dann, wenn Auftragsverarbeitungen oder gemeinsame Verantwortlichkeiten zwischen den Konzerngesellschaften bestehen.“

LG München: Verletzung des Unternehmenspersönlichkeitsrechts durch unzutreffende Nennung eines Unternehmens in der Kundenreferenzliste

LG München
Urteil vom 15.02.2022
33 O 4811/21


Das LG München hat entschieden, dass eine Verletzung des Unternehmenspersönlichkeitsrechts durch unzutreffende Nennung eines Unternehmens in der Kundenreferenzliste vorliegt und dies einen Unterlassungsanspruch auslöst.

Aus den Entscheidungsgründen:

1. Es liegt eine Verletzung des Unternehmenspersönlichkeitsrechts der Klägerin vor.

a. Unschädlich ist, dass die Klägerin keine natürliche, sondern eine juristische Person ist. Am Schutz der Grundrechte, auf denen das allgemeine Persönlichkeitsrecht beruht, nehmen nicht nur natürliche Personen, sondern - soweit sie ihrem Wesen nach auf diese anwendbar sind - auch juristische Personen (Art. 19 Abs. 3 GG) und die Personengesellschaften des Handelsrechts, OHG und KG, teil. Wie der BGH wiederholt entschieden hat, haben deshalb auch sie im Rahmen ihres Wesens und der ihnen vom Gesetz zugewiesenen Funktionen Anspruch auf Persönlichkeitsschutz (BGH GRUR 1981, 846, 847 - Rennsportgemeinschaft).

b. Ein Namensmissbrauch (§§ 12 BGB, 16 UWG) kommt nicht in Betracht, wenn - wie vorliegend - ein Name eigenmächtig, also ohne Gestattung des Namensträgers, zu Werbezwecken benutzt wird (vgl. MükoBGB/Säcker, 9. Aufl. 2021, BGB § 12 Rn. 116). Denn eine Verletzung des Namensrechts ist nur dann anzunehmen, wenn durch eine Namensunterlegung der Eindruck erweckt wird, dass es sich bei der in der Werbung handelnden Person um den Namensträger handelt, dass sich der Namensträger für die Werbung verantwortlich zeichnet, oder dass die angepriesenen Leistungen oder Erzeugnisse dem Genannten irgendwie zuzurechnen sind. Dagegen wird in das Persönlichkeitsrecht eingegriffen, wenn keine Falschbezeichnung hervorgerufen wird, sondern auf das personale Substrat des hinter dem Namen stehenden Namensträgers zugegriffen werden soll, etwa indem dessen Bekanntheit oder Wertschätzung im Verkehr ausgenutzt wird (vgl. MükoBGB/Säcker, 9. Aufl. 2021, BGB § 12 Rn. 117). Letzteres ist auch vorliegend gegeben. Durch die Auflistung der „BMW Group“ unter der Überschrift „Kunden und Referenzen“ auf der Homepage der Beklagten zu 1) entsteht gerade keine Zuordnungsverwirrung. Vielmehr soll hier die Wertschätzung im Verkehr ausgenutzt werden.

c. Durch die Herausstellung der Konzernbezeichnung „BMW Group“ der Klägerin hat die Beklagte zu 1) deren persönlichkeitsrechtliche Befugnisse verletzt, zu denen bei Unternehmen, die - wie die Klägerin - mit ihrem Namen oder Firmenbestandteilen werbend an die Öffentlichkeit treten, auch die Befugnis gehört, selber über Art und Umfang des Gebrauchs des Namens oder Firmenbestandteils durch andere zu bestimmen. Diese Befugnis ist Teil des nur dem Namensträger selbst zustehenden Rechts auf geistige und wirtschaftliche Selbstbestimmung und auf freie Entfaltung der Persönlichkeit (BGH GRUR 1981, 846, 847 - Rennsportgemeinschaft). Indessen ist der Name eines anderen, den dieser im Geschäftsverkehr selber werbend herausstellt, vor unbefugter Ausnutzung für fremde Geschäftsinteressen über die der Caterina-Valente-Entscheidung (BGH GRUR 1959, 430) und der Herrenreiter-Entscheidung (BGH GRUR 1958, 408) zugrundeliegenden Fallgestaltungen hinaus auch dann zu schützen, wenn mit dem Namensgebrauch eine Minderung von Ruf und Ansehen des Berechtigten nicht verbunden ist (BGH GRUR 1981, 846, 847 - Rennsportgemeinschaft). Das allgemeine Persönlichkeitsrecht gewährt dem Berechtigten einen generellen Schutz vor den die Person als solche berührenden Eingriffen Dritter. Ihm allein ist es deshalb vorbehalten, darüber zu befinden, ob und unter welchen Voraussetzungen sein Name in der Öffentlichkeit in Erscheinung tritt. Damit würde es nicht in Einklang stehen, wenn der Berechtigte es dulden müsste, dass sein Name, den er im Geschäftsverkehr selber werbend benutzt, ungefragt oder sogar gegen seinen Willen für fremde Werbung Verwendung findet. Im Wesen des Namensrechts als eines Persönlichkeitsrechts liegt es, ihn selber entscheiden zu lassen, ob und unter welchen Voraussetzungen sein Name für Werbezwecke anderer zur Verfügung steht (BGH GRUR 1981, 846, 847 - Rennsportgemeinschaft).

Zwischen den Parteien unstreitig ist, dass die Klägerin der Benutzung von „BMW Group“ als Referenz ausdrücklich widersprochen hat. Dahinstehen kann in diesem Zusammenhang, ob durch die konkrete Handlung der Beklagten zu 1) die Gefahr besteht, dass potentielle Kunden der Klägerin bei Kaufinteresse zu einem Kfz eines anderen Unternehmens greifen würden.

2. Die Verletzung des Unternehmenspersönlichkeitsrechts erfolgte auch in rechtswidriger Weise.

Wegen der Eigenart des Persönlichkeitsrechts als Rahmenrecht hat bei der Beurteilung, ob ein Eingriff in das Persönlichkeitsrecht rechtswidrig ist, eine Abwägung der widerstreitenden grundrechtlich geschützten Belange zu erfolgen. Der Eingriff in das Persönlichkeitsrecht ist nur dann rechtswidrig, wenn das Schutzinteresse des betroffenen Unternehmens die schutzwürdigen Belange der anderen Seite überwiegt (BGH GRUR 2014, 802 Rn. 8 - Adoptivtochter von Günther J.).

Die erforderliche Interessenabwägung fällt auch unter Berücksichtigung grundrechtlicher Positionen der Beklagten zu 1) zugunsten der Klägerin aus. Das Interesse der Beklagten zu 1) an der Kommunikation ihrer Leistungen und Kompetenzen (Art. 12 GG), ihres Kundenstammes (Art. 14 GG) sowie die ihr grundsätzlich zustehende Meinungsfreiheit und ein Informationsinteresse nach Art. 5 GG treten hinter das aus Art. 2 Abs. 1 GG hergeleitete Unternehmenspersönlichkeitsrecht der Klägerin zurück. Denn die Auflistung der „BMW Group“ unter der Überschrift „Kunden und Referenzen“ ist als unzutreffende Tatsachenbehauptung rechtlich nicht geschützt.

a. Tatsachenbehauptungen sind durch die objektive Beziehung zwischen Äußerung und Wirklichkeit charakterisiert. Demgegenüber werden Werturteile und Meinungsäußerungen durch die subjektive Beziehung des sich Äußernden zum Inhalt seiner Aussage geprägt. Wesentlich für die Einstufung als Tatsachenbehauptung ist danach, ob die Aussage einer Überprüfung auf ihre Richtigkeit mit Mitteln des Beweises zugänglich ist. Dies scheidet bei Werturteilen und Meinungsäußerungen aus, weil sie durch das Element der Stellungnahme und des Dafürhaltens gekennzeichnet sind und sich deshalb nicht als wahr oder unwahr erweisen lassen. Sofern eine Äußerung, in der sich Tatsachen und Meinungen vermengen, durch die Elemente der Stellungnahme, des Dafürhaltens oder Meinens geprägt ist, wird sie als Meinung von dem Grundrecht aus Art. 5 Abs. 1 S. 1 GG geschützt. Das gilt insbesondere dann, wenn eine Trennung der wertenden und der tatsächlichen Gehalte den Sinn der Äußerung aufhöbe oder verfälschte. Demgegenüber kann sich eine Äußerung, die auf Werturteilen beruht, als Tatsachenbehauptung erweisen, wenn und soweit bei dem Adressaten zugleich die Vorstellung von konkreten, in die Wertung eingekleideten Vorgängen hervorgerufen wird, die als solche einer Überprüfung mit den Mitteln des Beweises zugänglich sind. Entscheidend ist deshalb der Zusammenhang, in welchem die Äußerung gefallen ist (BGH GRUR 2016, 104, 106 Rn. 24 - recht § billig). Bei Tatsachenbehauptungen wiederum fällt bei der Abwägung zwischen den widerstreitenden Interessen ihr Wahrheitsgehalt ins Gewicht. Denn an der Aufrechterhaltung und Weiterverbreitung herabsetzender Tatsachenbehauptungen, die unwahr sind, besteht unter dem Gesichtspunkt der Meinungsfreiheit kein schützenswertes Interesse (BGH GRUR 2016, 104, 107 Rn. 31 - recht § billig).

b. Nach diesen Maßstäben handelt es sich bei der angegriffenen Darstellung der Beklagten zu 1) auf deren Homepage um eine Tatsachenbehauptung. Diese ist auch unwahr. Denn der Nachweis, dass eine Zusammenarbeit zwischen der Klägerin und der Beklagten zu 1) stattgefunden hat, ist den Beklagten nach Überzeugung des Gerichts nicht gelungen. Die insoweit beweisbelastete Klägerin trug hierzu substantiiert vor, dass es zu keinem Zeitpunkt eine Zusammenarbeit zwischen ihr und der Beklagten zu 1) gegeben habe. Angesichts der Unternehmensgröße der Klägerin obliegt den Beklagten für eine solche Zusammenarbeit eine sekundäre Darlegungslast.

Die Beklagten trugen hierzu vor, mehrere bei der Klägerin angestellte Personen hätten im Rahmen ihrer beruflichen Stellung die Dienstleistungen der Beklagten in Anspruch genommen. So habe die Beklagte 2016 auf Veranlassung der BMW Group im Rahmen eines sog. Incentives, mithin einer unternehmerischen Maßnahme zur Stärkung der Mitarbeiterbindung, eine Schulung für Mitarbeiter der Klägerin durchgeführt. Die BMW Group habe darüber hinaus bei der Beklagten zu 2) ein Coaching für einen ihrer Mitarbeiter gebucht. Die Beklagte habe das Coaching durchgeführt und der Mitarbeiterin der Klägerin, die das Coaching gebucht hatte, Rechnung gelegt (vgl. Anlage B5). Mitarbeiter der Klägerin hätten zwischen dem 19.10.2017 und 22.3.2018 insgesamt sechs Mal und einmal am 6.1.2020 Gruppen- und Bühnenveranstaltungen gebucht, indem sie sich mit ihrer dienstlichen E-Mail-Adresse für die Veranstaltungen angemeldet hätten (vgl. Auflistung der Emailadressen, Anlage B6: ...@bmw.de, ...@bmw.de, ...@bmw.de, ...@bmw.de,...@bmw.de, ...@bmw.de,...@bmw.de). Ob darüber hinaus eine weitere Zusammenarbeit stattgefunden habe, könne aufgrund gesetzlicher Löschungspflichten nicht ausgeschlossen werden. Es könne zudem nicht ausgeschlossen werden, dass eine Eventagentur als Buchungsagentur zwischengeschaltet worden sei.

Diese Ausführungen der Beklagten belegen die im Internetauftritt der Beklagten zu 1) behauptete Zusammenarbeit mit der BMW Group nicht. Die Beklagten konnte daher schon nicht darlegen, wann sie von wem für die „BMW Group“ für welche Veranstaltung gebucht worden sein sollen und wer sie bezahlt haben soll. So wurde die als Anlage B5 eingereichte Rechnung gerade nicht an die BMW Group, sondern an Ma. M. persönlich gestellt und ausweislich des als Anlage K12 vorgelegten Kontoauszugs auch von dieser persönlich beglichen, und besagt das Vorhandensein diverser Emailadressen im Datenbestand der Beklagten für sich genommen nichts über eine tatsächlich erfolgte Auftragserteilung durch die „BMW Group“.

Folglich fällt die erforderliche Interessenabwägung auch unter Berücksichtigung grundrechtlicher Positionen der Beklagten zugunsten der Klägerin aus.
II.

Die geltend gemachten Ansprüche auf Feststellung der Schadensersatzpflicht (Klageantrag II) sowie auf Auskunft und Rechnungslegung (Klageantrag III) sind ebenfalls begründet.

1. Der Schadensersatzanspruch folgt ebenfalls aus § 823 BGB. Die Beklagte zu 1), für deren Rechtsverletzung die Beklagte zu 2) als deren alleinige Geschäftsführerin einzustehen hat, handelte jedenfalls fahrlässig und damit schuldhaft. Umstände, welche die Verschuldensvermutung entkräften könnten, haben die Beklagten nicht vorgetragen.

2. Der Anspruch auf Auskunft und Rechnungslegung ist nach § 242 i.V.m. § 823 BGB aus den oben genannten Gründen ebenfalls gegeben (vgl. hierzu auch BGH GRUR 2002, 709).
III.

Soweit die Klägerin jedoch Ansprüche auf Erstattung der Abmahnkosten in Höhe von 4.196,90 EUR geltend macht, war die Klage abzuweisen.

Ein Anspruch der Klägerin gegen die Beklagten auf Erstattung der Abmahnkosten besteht nicht, weil die Abmahnung unbegründet war.

1. Erstattungsfähig sind grundsätzlich nur die Kosten einer begründeten und berechtigten Abmahnung. Eine Abmahnung ist begründet, wenn ihr ein Unterlassungsanspruch zu Grunde liegt; sie ist berechtigt, wenn sie erforderlich ist, um dem Schuldner einen Weg zu weisen, den Gläubiger ohne Inanspruchnahme der Gerichte klaglos zu stellen (BGH GRUR 2009, 502, 503 Rn. 11 - pcb).

Die Abmahnung vom 16.11.2020 (Anlage K9) war unbegründet, weil der Klägerin der mit der Abmahnung geltend gemachte Unterlassungsanspruch gegen die Beklagten wegen Markenverletzung bzw. Wettbewerbsverstoßes nicht zustand.

2. Die Klägerin hat die Abmahnung im Schreiben vom 16.11.2020 (Anlage K9) auf eine Verletzung der deutschen Marke Nr. 30 2016 105 664 „BMW Group“ sowie der Unionsmarke Nr. 000 91 835 „BMW“ und daneben auf einen Verstoß gegen §§ 3, 5 Abs. 1 S. 2 Nr. 1 und 3 UWG gestützt. Ein Anspruch auf Unterlassung aus § 14 Abs. 2 Nr. 3 MarkenG, Art. 9 Abs. 2 lit. c UMV (dazu nachfolgend B.III.2.a) bzw. §§ 8, 3, 5 Abs. 1 S. 2 Nr. 1 und 3 UWG (dazu nachfolgend B.III.2.b) besteht jedoch - anders als die Ansprüche aus dem Unternehmenspersönlichkeitsrecht (dazu bereits oben B.I) - nicht. Es genügt aber nicht, wenn dem Abmahnenden aus in der Abmahnung nicht genannten und für den Abgemahnten daher nicht erkennbaren anderen Gründen, etwa wegen Verletzung eines anderen Schutzrechts, objektiv ein auf Unterlassung desselben Verhaltens gerichteter Anspruch zustand (BGH GRUR 2009, 502, 503 Rn. 12 - pcb). Denn in einer Abmahnung sind der Sachverhalt und der daraus abgeleitete Vorwurf eines rechtswidrigen Verhaltens so genau anzugeben, dass der Abgemahnte den Vorwurf tatsächlich und rechtlich überprüfen und die gebotenen Folgerungen daraus ziehen kann. Der Anspruchsgegner ist in die Lage zu versetzen, die Verletzungshandlung unter den in Betracht kommenden rechtlichen Gesichtspunkten zu würdigen. Die Abmahnung muss daher erkennen lassen, auf welches Schutzrecht der geltend gemachte Anspruch gestützt wird, damit der Abgemahnte die Richtigkeit des Vorwurfs überprüfen kann (BGH GRUR 2009, 502, 503 Rn. 13 - pcb).

a. Ein Anspruch auf Unterlassung der Verwendung der Bezeichnung „BMW Group“ wegen Verletzung der Marke Nr. 30 2016 105 664 „BMW Group“ aus § 14 Abs. 2 Nr. 3 MarkenG bzw. der Unionsmarke Nr. 000 91 835 „BMW“ aus Art. 9 Abs. 2 lit. c UMV steht der Klägerin jedoch nicht zu. Zwar kommt es für einen Bekanntheitsschutz nach § 14 Abs. 2 Nr. 3 MarkenG bzw. Art. 9 Abs. 2 lit. c UMV nur darauf an, ob die Benutzung des angegriffenen Zeichens eine gedankliche Verknüpfung zu der bekannten Marke nahelegt und es zu den dort näher spezifizierten Beeinträchtigungen der bekannten Marke kommt, und bedarf es daneben der gesonderten Feststellung, dass in eine der geschützten Markenfunktionen der bekannten Marke eingegriffen wird, nicht (so etwa Ströbele/Hacker/Thiering/Hacker, MarkenG, 13. Auflage, § 14 Rn. 135 mit Verweis auf BGH GRUR 2020, 401, 404 Rn. 36 - ÖKO-TEST I). Nach wie vor erforderlich bleibt aber eine Benutzung des Zeichens für Waren oder Dienstleistungen (vgl. BGH GRUR 2020, 401, 404 Rn. 32 ff. - ÖKO-TEST I; dazu nachfolgend aa.) oder aber - über den Sonderschutz der bekannten Marke - zumindest eine Benutzung des Zeichens als Unternehmenskennzeichen (dazu nachfolgend bb.).

aa. Es liegt keine Benutzung des bekannten Zeichens „BMW Group“ für eine eigene Dienstleistung der Beklagten zu 1) vor (vgl. zum Erfordernis der Benutzung für eigene Waren/Dienstleistungen des Zeichenverwenders etwa Ströbele/Hacker/Thiering/Hacker, MarkenG, 13. Auflage, § 14 Rn. 97 m.w.N.). Auch kann in der Auflistung der „BMW Group“ unter der Überschrift „Kunden und Referenzen“ auf der Homepage der Beklagten zu 1) unter www...com keine markenmäßige Benutzung des bekannten Zeichens „BMW Group“ für eine fremde Ware oder Dienstleistung im eigenen wirtschaftlichen Interesse gesehen werden (vgl. dazu etwa BGH GRUR 2015, 1201 Rn. 72 - Sparkassen-Rot/Santander-Rot und Ströbele/Hacker/Thiering/Hacker, MarkenG, 13. Auflage, § 14 Rn. 99). Denn vorliegend bewirbt die Beklagte zu 1) weder eigene noch fremde Waren oder Dienstleistungen mit der Bezeichnung „BMW Group“. Vielmehr zeigt sie nur auf, dass diese zu den „Kunden und Referenzen“ gehören würden, wobei sie ihre Dienstleistungen gerade nicht damit bewirbt, beispielsweise auf Profiling-Dienstleistungen für die „BMW Group“ spezialisiert zu sein (vgl. hierzu auch EuGH GRUR 2019, 621, 623 Rn. 32 - ÖKO-TEST Verlag/Dr. L. unter Verweis auf EuGH GRUR 2016, 375 Rn. 28 - Daimler). Weiter greift auch die von der Klägerin angeführte Parallele zur ÖKO-TEST-Rechtsprechung des EuGH (EuGH GRUR 2019, 621) nicht, mit der sie anführt, es gebe keinen Unterschied zwischen „Empfohlen von ÖKO-TEST“ einerseits und „Empfohlen von BMW Group“ andererseits. Denn die genannte Rechtsprechung greift die Besonderheit auf, dass es sich bei dem dort in Rede stehenden Testsiegel um eine bekannte Individualmarke handelt, die gerade für Dienstleistungen eingetragen ist, die in der Durchführung von Tests und der Bereitstellung von Informationen sowie der Verbraucherberatung bestehen (vgl. hierzu EuGH GRUR 2019, 621, 624 Rn. 38 - ÖKO-TEST Verlag/Dr. L.). Eine solche Besonderheit liegt hier jedoch nicht vor. Im Ergebnis handelt es sich daher im Streitfall um einen - nicht markenrechtsverletzenden - Fall einer bloßen Markennennung.

bb. Weiterhin scheiden auch Ansprüche aus dem Sonderschutz der bekannten Marke über die analoge Anwendung des § 14 Abs. 2 Nr. 3 MarkenG durch die Verwendung als reines Unternehmenskennzeichen aus. Zwar steht es nach Art. 10 Abs. 6 MarkenRL den Mitgliedstaaten grundsätzlich frei, einen Schutz der Marke gegenüber der Verwendung eines Zeichens zu anderen Zwecken als der Unterscheidung von Waren/Dienstleistungen vorzusehen, wenn dadurch die Unterscheidungskraft oder die Wertschätzung der Marke in unlauterer Weise ohne rechtfertigenden Grund ausgenutzt oder beeinträchtigt wird (Ströbele/Hacker/Thiering/Hacker, MarkenG, 13. Aufl. 2021, § 14 Rn. 425; vgl. auch BGH GRUR 2015, 1201 Rn. 76 - Sparkassen-Rot/Santander-Rot). Eine Schutzlücke gegen eine Verwendung einer bekannten Marke als Unternehmenskennzeichen kann daher grundsätzlich durch eine entsprechende Anwendung des § 14 Abs. 2 Nr. 3 MarkenG geschlossen werden. Voraussetzung hierfür ist allerdings, dass das bekannte Zeichen als Unternehmenskennzeichen benutzt wird, woran es im Streitfall fehlt. Denn die Beklagte zu 1) verwendet das Zeichen „BMW Group“ auf ihrer Homepage nicht zur Kennzeichnung eines - eigenen oder fremden - Geschäftsbetriebs (vgl. dazu EuGH GRUR 2007, 971 Rn. 21 - Céline), sondern listet die Klägerin lediglich in ihrer Kunden- und Referenzliste, worin ein Fall einer - nicht markenrechtsverletzenden - bloßen Zeichennennung liegt, die jedenfalls nach der bisherigen obergerichtlichen Rechtsprechung vom Bekanntheitsschutz nicht erfasst wird.

b. Ansprüche aus dem UWG scheiden im Streitfall schon deshalb aus, weil zwischen den Parteien kein konkretes Wettbewerbsverhältnis besteht; Klägerin und die Beklagten sind keine Mitbewerber, sondern auf gänzlich unterschiedlichen Märkten tätig.


Den Volltext der Entscheidung finden Sie hier:

OLG Frankfurt: Wettbewerbswidrige Irreführung durch "Presseschau" wenn diese aus eigenen Pressemeldungen und nicht aus Berichten unabhängiger Presseorgane besteht

OLG Frankfurt
Beschluss vom 04.04.2022
6 W 8/22


Das OLG Frankfurt hat entschieden, dass eine wettbewerbswidrige Irreführung durch Verwendung des Begriffs "Presseschau" vorliegt, wenn diese aus eigenen Pressemeldungen des Unternehmens und nicht aus Berichten unabhängiger Presseorgane besteht.

Aus den Entscheidungsgründen:
1. Gegenstand des Eilverfahrens ist die konkrete Verletzungsform, wie sie im Verfügungsantrag eingeblendet ist. Richtet sich die Klage bzw. der Antrag gegen die sog. konkrete Verletzungsform, also das konkret umschriebene (beanstandete) Verhalten, so ist darin der Lebenssachverhalt zu sehen, der den Streitgegenstand bestimmt (BGHZ 194, 314 Rn 24 - Biomineralwasser). Dass der vorgetragene Lebenssachverhalt die Voraussetzungen nicht nur einer, sondern mehrerer Verbotsnormen erfüllt, ist unerheblich. Vielmehr umfasst der Streitgegenstand in diesem Fall alle Rechtsverletzungen, die durch die konkrete Verletzungsform verwirklicht wurden (BGH GRUR 2012, 184 Rn 15 - Branchenbuch Berg; BGHZ 194, 314 Rn 24 - Biomineralwasser; BGH GRUR 2018, 203 Rn 18 - Betriebspsychologe).

Das Gericht kann daher ein Verbot auch auf Anspruchsgrundlagen stützen, die der Kläger gar nicht vorgetragen hat (OLG Köln WRP 2013, 95). Das gilt auch für das Berufungsgericht, unabhängig davon, wie das Landgericht das Verbot begründet hat (OLG Frankfurt am Main WRP 2015, 755, 756). Im Hinblick auf die Dispositionsmaxime darf das Gericht aber ein Verbot nur auf solche Beanstandungen stützen, die der Kläger vorgetragen hat (BGH GRUR 2018, 431 Rn 16 - Tiegelgröße; OLG Frankfurt am Main WRP 2014, 1482).

Die Antragstellerin hat hier neben einer Irreführung in zweiter Instanz ihren Verfügungsantrag nunmehr (auch) darauf gestützt, es könne ein Verstoß gegen § 4 Nr. 1 oder § 4 Nr. 2 UWG vorliegen, was unter dem Aspekt des Streitgegenstandes zulässig ist.

2. Der Antragstellerin steht aus §§ 8 Abs. 1, Abs. 3 Nr. 1, 3, 5 UWG ein Unterlassungsanspruch zu, da der Antragsgegner mit der streitgegenständlichen Internetseite den irreführenden Eindruck erweckt hat, es gebe eine von ihm unabhängige Veröffentlichung in der Presse, in der "schwere Vorwürfe" gegen die Antragstellerin erhoben worden seien.

Der Vorwurf der Antragstellerin geht dahin, der Antragsgegner habe den Eindruck erweckt, die "schweren Vorwürfe" gegen die Antragstellerin seien von einem vom Antragsgegner unabhängigen Pressemedium erhoben worden, während sie tatsächlich von dem Antragsgegner - einem Mitbewerber - stammten. Dies ergebe sich daraus, dass unter der Überschrift "Presseschau" der Verkehr Berichte von Presseorganen erwarte und nicht eine eigene Pressemitteilung des Antragsgegners.

Diese Verkehrsauffassung teilt der Senat. Der Verkehr erwartet in einer "Presseschau" eine Zusammenstellung von Berichten von Presseorganen, nicht hingegen solche des Antragsgegners selbst. Diese Unterscheidung ist für den Verkehr auch erheblich, bringt er doch Presseberichterstattungen auch aufgrund der der Presse obliegenden Sorgfaltspflicht ein größeres Vertrauen entgegen als der Äußerung eines Mitbewerbers, die mutmaßlich (auch) von eigenen geschäftlichen Interessen geprägt ist. Dem steht auch nicht entgegen, dass hinter der Überschrift der Hinweis "(...)" enthalten ist. Entgegen der Auffassung des Antragsgegners ist dem Verkehr, dem auch die Mitglieder des Senats angehören, nicht bekannt, dass auf der Internetseite "(...)" nur Pressemitteilungen veröffentlicht werden und keine unabhängige Berichterstattung. Durch die Einreihung in die Reihe anderer Quellen wie "C", "D-Zeitung" "E" etc. nimmt der Verkehr vielmehr an, auch der Beitrag "Schwere Vorwürfe gegen Cannabisärzte-Startup" stamme aus einer solchen Quelle und nicht vom Antragsgegner.

Dem steht auch nicht entgegen, dass die vollständige Internetseite jenseits des von der Antragstellerin zum Antragsgegenstand gemachten Ausschnitts die Überschrift "Y-Mitteilungen vom 30. Oktober 2021" trug (Bl. 130 d.A.). Angesicht des mehrfachen Hinweises auf "Presseschau" hat der Verkehr keine Veranlassung zu der Annahme, es handele sich hier nicht um Fremd-, sondern Eigenberichte.

3. Es fehlt auch nicht an der für den Erlass einer einstweiligen Anordnung notwendigen Dringlichkeit. Die Dringlichkeitsvermutung des § 12 Abs. 1 UWG ist als nicht widerlegt anzusehen.

Insbesondere hätte die Antragstellerin ihr Rechtsschutzziel nicht bereits auf Grundlage der Fassung der Internetseite am 29.10.2021 erreichen können. Der - wie oben dargestellt - durch die Überschrift erweckte Eindruck (Eigen-, statt Fremdbericht) ist nicht bereits zum damaligen Zeitpunkt erweckt worden, so dass die Antragstellerin zum damaligen Zeitpunkt keine einstweilige Verfügung hätte erwirken können. Unstreitig war zum damaligen Zeitpunkt - wie auch jetzt noch bei den anderen Artikeln - die Überschrift nicht in Alleinstellung vorhanden, sondern unter der Überschrift folgte jeweils der entsprechende Artikel. Aus dem Text zur streitgegenständlichen Überschrift wurde jedoch für den Verkehr unmittelbar erkennbar, dass es sich um eine Pressemitteilung und nicht um einen - unabhängigen - Presseartikel handelt. Der Text leitete ein mit der Formulierung "Der Vorstand der Y e.V. (Y) erhebt schwere Vorwürfe gegen die X [...]". Dies lässt daher gar nicht erst den Eindruck entstehen, es handele sich um eine unabhängige Medienberichterstattung. Auf Grundlage der damaligen Veröffentlichung hätte der Antragsteller daher eine einstweilige Verfügung mit dem hier begehrten Inhalt nicht erwirken können.

4. Der Senat hat von der ihm nach § 938 ZPO zustehenden Möglichkeit Gebrauch gemacht und den Tenor an die geltend gemachte Rechtsverletzung angepasst. Der von der Antragstellerin formulierte Antrag, es zu unterlassen, "auf der eigenen Webseite unter dem Schlagwort "Presseschau" der Wahrheit zuwider auf eine Presseveröffentlichung zu verweisen, in welcher angeblich schwere Vorwürfe gegen die konkret genannte Unterlassungsgläubigerin erhoben werden" trifft nicht die Handlung, die der Senat der einstweiligen Verfügung zugrunde legt. Diese besteht darin, den Eindruck zu erwecken, dass schwere Vorwürfe von einem Presseorgan gegen die Antragstellerin erhoben würden, während es sich tatsächlich um eine Pressemitteilung des Antragsgegners handelte.

Den Volltext der Entscheidung finden Sie hier:

KG Berlin legt EuGH Fragen zu Art. 83 Abs. 4-6 DSGVO und dem Verhältnis zu § 30 OWiG zur Entscheidung vor - Bußgeldverfahren unmittelbar gegen Unternehmen

KG Berlin
Beschluss vom 06.12.2021
3 Ws 250/21


Das KG Berlin hat dem EuGH Fragen zu Art. 83 Abs. 4-6 DSGVO und dem Verhältnis zu § 30 OWiG zur Entscheidung vorgelegt. Insbesondere geht es um die Streitfrage, ob Bußgeldverfahren unmittelbar gegen Unternehmen geführt werden können.

Die Vorlagefragen:

Dem Gerichtshof der Europäischen Union werden zur Auslegung von Art. 83 der Verord­nung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen beider Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (Datenschutz-Grundverordnung) folgende Fragen zur Vorabentscheidung vorgelegt:

1. Ist Art. 83 Abs. 4-6 DS-GVO dahin auszulegen, dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf ?

2. Wenn die Frage zu 1. bejaht werden sollte ist Art. 83 Abs.4 - 6 DS-GVO dahin auszul­egen, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss (vgl. Art. 23 der Verordnung (EG) Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung der in den Art. 81 und 82 des Vertrags niedergelegten Wettb­werbsregeln), oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus („strict liability") ?



HmbBfDI: Bußgeld in Höhe von 901.388,84 Euro gegen Vattenfall wegen DSGVO-Verstoß - datenschutzrechtliche Transparenzpflichten aus Art. 12 und Art. 13 DSGVO

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit der Freien und Hansestadt Hamburg (HmbBfDI) hat ein Bußgeld in Höhe von 901.388,84 Euro gegen Vattenfall wegen Verstößen gegen die datenschutzrechtlichen Transparenzpflichten aus Art. 12 und Art. 13 DSGVO verhängt.

Die Pressemitteilung des HmbBfDI:

Bußgeld gegen Vattenfall Europe Sales GmbH verhängt

Die Vattenfall Europe Sales GmbH (Vattenfall) hat zwischen August 2018 und Dezember 2019 bei Vertragsanfragen für Sonderverträge, die mit besonderen Bonuszahlungen verbunden waren, routinemäßig überprüft, ob die Kundinnen und Kunden ein „wechselauffälliges Verhalten“ zeigten. Diese Überprüfung sollte verhindern, dass die Kundinnen und Kunden solche Bonus-Verträge nicht so regelmäßig abschließen, dass sich dieses Angebot zur Neukundenwerbung für das Unternehmen nicht mehr rentiert. Um dies zu überprüfen, nutzte Vattenfall Rechnungen aus früheren Vertragsbeziehungen mit diesen Kundinnen und Kunden, die nach steuer- und handelsrechtlichen Vorgaben ohnehin für bis zu zehn Jahre aufbewahrt werden müssen. Für die Kundinnen und Kunden war nicht erkennbar, dass ein solcher Datenabgleich stattfand.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) kam nach einer Prüfung des Vorgangs zu dem Ergebnis, dass Vattenfall durch dieses Vorgehen gegen die datenschutzrechtlichen Transparenzpflichten (Artt. 12, 13 DSGVO) verstieß, da die Kundinnen und Kunden über den Datenabgleich nicht ausreichend informiert wurden. Betroffen waren insgesamt rund 500.000 Personen. Der HmbBfDI hat daraufhin gegen Vattenfall ein Bußgeld von 901.388,84 Euro verhängt. Die festgestellte Rechtswidrigkeit bezieht sich nicht auf den Datenabgleich an sich, sondern ist auf die nicht ausreichend erfüllten Transparenzpflichten beschränkt. Der Bescheid ist rechtskräftig.

Das verhängte Bußgeld berührt nicht die weitergehende Frage, ob ein solcher Abgleich überhaupt zulässig ist. Dies ist in der DSGVO nicht ausdrücklich geregelt, es existieren insoweit keine eindeutigen rechtlichen Vorgaben. Der HmbBfDI hat mit Vattenfall ein Verfahren abgestimmt, das nach seiner Auffassung sowohl die Datenschutzrechte von Kundinnen und Kunden als auch die wirtschaftlichen Belange des Unternehmens berücksichtigt. Sowohl erstmalig an einem Vertragsschluss mit Vattenfall Interessierte als auch Bestandskundinnen und -kunden werden transparent und verständlich über den Datenabgleich und dessen Zweck informiert. Verbraucherinnen und Verbraucher können künftig informiert entscheiden, ob sie einen rabattierten Bonusvertrag abschließen möchten, der die interne Überprüfung ihres Status als Neukunde beinhaltet oder einen nicht rabattierten Vertrag ohne einen solchen Abgleich.

Dazu Ulrich Kühn, der amtierende HmbBfDI: „Wir halten das nun praktizierte Verfahren für einen angemessenen Ausgleich aller betroffenen Interessen. Die in der Vergangenheit erfolgten Abgleiche wurden sanktioniert, weil Transparenzpflichten verletzt wurden, indem die Kundinnen und Kunden unter Missachtung der Vorgaben von Artt. 12, 13 DSGVO über den praktizierten Datenabgleich im Unklaren gelassen wurden. Da dies rund 500.000 Fälle betraf, war die Verhängung eines Bußgelds angezeigt. Vattenfall hat in dem Verfahren umfassend mit dem HmbBfDI kooperiert und den intransparenten Datenabgleich unmittelbar nach dem ersten Tätigwerden des HmbBfDI gestoppt. Deswegen war das Bußgeld deutlich zu reduzieren. Die dennoch verhängte Höhe sollte allen Unternehmen eine Warnung sein, die gesetzlichen Transparenzpflichten nicht zu vernachlässigen. Insbesondere bei einer Vielzahl von Betroffenen sind wie in dem vorliegenden Fall hohe Bußgelder klar angezeigt.“