Das OLG Hamburg hat enstchieden, dass der für eine Markenrechtsverletzung in Deutschland hinreichende Inlandsbezug einer .com-Domain vorliegt, wenn sich die Website auch an deutsche Unternehmen richtet.
Aus den Entscheidungsgründen: II. Die gemäß §§ 567, 569 ZPO zulässige sofortige Beschwerde der Antragstellerin ist begründet. Die zuletzt gestellten Verfügungsanträge sind zulässig und begründet.
1. Der Antragstellerin stehen gegen die Antragsgegnerin die geltend gemachten Unterlassungsansprüche nach § 5 Abs. 1 und 2, § 15 Abs. 2 und 4 Satz 1 MarkenG wegen einer Verletzung des Unternehmenskennzeichens "T." überwiegend wahrscheinlich zu.
a) Die Antragstellerin ist Inhaberin eines Unternehmenskennzeichenrechts an dem Zeichen "T.", da sie es seit vielen Jahren unternehmenskennzeichenmäßig in der Branche der Produktverpackungsindustrie benutzt.
b) Die Antragsgegnerin hat das Zeichen "t." kennzeichenmäßig für die Organisation und Veranstaltung von Kongressen, Seminaren und Workshops für die Tabakverpackungsindustrie benutzt, und zwar auf der unter der URL https://t.-summit.com abrufbaren Internetseite (Verfügungsantrag zu 1. a)) sowie im Rahmen des Domainnamens t.-summit.com, als dieser zum Betrieb der aus der Anlage ASt 9 ersichtlichen Internetseite benutzt wurde (Verfügungsantrag zu 1. b)). Das Zeichen "t." wurde kennzeichenmäßig und nicht nur titelmäßig benutzt, wobei davon auszugehen ist, dass ein Unternehmenskennzeichen nicht nur durch ein anderes Unternehmenskennzeichen, sondern auch durch eine markenmäßige Verwendung verletzt werden kann (BGH, GRUR 2018, 935 Rn. 47 - goFit).
c) Die von der Antragstellerin beanstandete Zeichenbenutzung weist den erforderlichen wirtschaftlich relevanten Inlandsbezug auf.
aa) Nach der ständigen Rechtsprechung des Bundesgerichtshofs beschränkt sich der Schutzbereich eines inländischen Unternehmenskennzeichens aufgrund des im Immaterialgüterrecht maßgeblichen Territorialitätsprinzips auf das Gebiet der Bundesrepublik Deutschland. Ein Unterlassungsanspruch setzt deshalb eine das Kennzeichenrecht verletzende Benutzungshandlung im Inland voraus. Allerdings löst nicht jedes im Inland abrufbare Internetangebot für Dienstleistungen oder Waren aus dem Ausland bei Identität oder Verwechslungsgefahr mit einem inländischen Kennzeichen kennzeichenrechtliche Ansprüche aus. Erforderlich ist vielmehr, dass das Angebot einen hinreichenden wirtschaftlich relevanten Inlandsbezug ("commercial effect") aufweist (BGH, GRUR 2025, 488 Rn. 21 - Produktfotografien, m.w.N.).
bb) Ein solcher Inlandsbezug besteht im vorliegenden Fall, denn die streitgegenständliche Internetseite sprach auch deutsche Unternehmen an, da diese zu dem beworbenen Kongress Teilnehmer entsenden sollten. Der Umstand, dass diese Teilnehmer in Bezug auf die Tabakverpackungsindustrie auf der Angebots- und nicht der Nachfrageseite stehen, ist nicht entscheidend. Denn der Zweck der Konferenz bestand gerade darin, die - auch deutsche - Angebots- und die asiatische Nachfrageseite zusammenzubringen bzw. asiatische Kunden zu aktivieren", die mit den lokalen/regionalen Gesellschaften der - auch deutschen - Partner der "T."-Allianz in Kontakt gebracht werden sollten. Die Internetseite diente der Förderung dieses Zwecks und sprach damit auch deutsche Fachkreise an. Dass der "T. Summit" und damit auch die darauf bezogene Internetseite auch für die deutschen Fachkreise von Interesse waren und die Antragsgegnerin daher zielgerichtet von der inländischen Erreichbarkeit der Internetseite profitiert hat, wird auch dadurch belegt, dass das an dem "Summit" beteiligte deutsche Unternehmen S. seine Beteiligung auf seiner deutschsprachigen Internetseite verkündet (Anlage ASt 28) und die Fachpresse darüber auf Deutsch berichtet hat (Anlagen ASt 29 und ASt 30).
d) Es besteht auch Verwechslungsgefahr, da bei mindestens durchschnittlicher Kennzeichnungskraft Zeichenidentität oder jedenfalls hochgradige Zeichenähnlichkeit und eine ausreichende Branchennähe in Bezug auf die Verpackungsindustrie besteht.
e) Es besteht auch Wiederholungsgefahr. Die tatsächliche Vermutung für das Vorliegen einer Wiederholungsgefahr entfällt nicht etwa durch Zeitablauf, sondern grundsätzlich nur dann, wenn der Schuldner eine strafbewehrte Unterlassungserklärung abgibt, ein rechtskräftiger Unterlassungstitel in der Hauptsache ergangen ist oder nach Erlass eines Verbotstitels im Verfahren des einstweiligen Rechtsschutzes eine Abschlusserklärung abgegeben wird. Insbesondere wird die Wiederholungsgefahr nicht schon durch die Aufgabe der beanstandeten Tätigkeit beseitigt (zum Wettbewerbsrecht BGH, GRUR 2024, 1449 Rn. 107 - nikotinhaltige Liquids).
2. Es liegt auch ein Verfügungsgrund vor. Die Antragsgegnerin hat die Dringlichkeitsvermutung gemäß § 140 Abs. 3 MarkenG nicht widerlegt. Die Antragsgegnerin hat nicht dargelegt und glaubhaft gemacht, dass die Antragstellerin vor dem 24.06.2025 Kenntnis von der Internetseite t.-summit.com erlangt hat. Vermeintlichen Widersprüche und Unklarheiten, die die Antragsgegnerin in dem Vorbringen der Antragstellerin zu erkennen meint, entbinden die Antragsgegnerin angesichts der eidesstattlichen Versicherung des Herrn Dr. K. nicht davon, Tatsachen vorzutragen und glaubhaft zu machen, die den Schluss auf eine frühere Kenntnis der Antragstellerin zulassen. Herr Dr. K. nimmt auch nicht auf einen Newsletter der Antragsgegnerin Bezug, sondern erwähnt lediglich, "über einen Newsletter über die t.-Initiative" Kenntnis erlangt zu haben.
Der Umstand, dass der auf der Internetseite beworbene Kongress in der Vergangenheit liegt, steht der Dringlichkeit nicht entgegen, da mangels Abgabe einer strafbewehrten Unterlassungsverpflichtungserklärung mit einer kerngleichen Zeichennutzung zur Bewerbung zukünftiger Kongresse zu rechnen ist. Die bloße Umstellung auf die Nutzung des Zeichens "[…]" widerlegt die Vermutung des Verfügungsgrunds im Streitfall nicht. Unabhängig davon, ob der von der Antragsgegnerseite zitierten Entscheidung OLG Köln, MMR 2021, 990 zum dort maßgeblichen Urheberrecht zu folgen ist, lässt sie sich nicht auf das Markenrecht übertragen, da das Urheberrechtsgesetz keine § 140 Abs. 3 MarkenG entsprechende Regelung enthält.
3. Eine Aufbrauchfrist ist der Antragsgegnerin nicht zu gewähren. Dem Schuldner eines Unterlassungsanspruchs kann nach § 242 BGB eine Aufbrauchfrist gewährt werden, wenn ihm durch ein sofort mit der Zustellung des Titels uneingeschränkt zu beachtendes Verbot unverhältnismäßige Nachteile entstehen und die Belange sowohl des Gläubigers als auch der Allgemeinheit durch eine befristete Fortsetzung des Wettbewerbsverstoßes nicht unzumutbar beeinträchtigt werden (BGH, GRUR 2022, 930 Rn. 57 f. - Knuspermüsli II). Die Antragsgegnerin hat nicht dargelegt, dass diese Voraussetzungen hier erfüllt sind.
Das VG Berlin hat entschieden, dass keine gemeinsame Verantwortlichkeit nach Art 4 Nr 7, Art 26 Abs 1 S 1 DSGVO von Adresshändler und beworbenem Unternehmen bei Werbung per Lettershop-Verfahren besteht.
Aus den Entscheidungsgründen: 3. Der Bescheid erweist sich als materiell rechtswidrig. Zwar liegt eine Verarbeitung personenbezogener Daten vor (nachfolgend a)). Es kann jedoch offenbleiben, ob diese Verarbeitung nach Art. 6 Abs. 1 DSGVO rechtmäßig war. Denn die Klägerin ist nicht taugliche Adressatin der Verwarnung, weil sie nicht als gemeinsam mit der Adresshändlerin Verantwortliche im Sinne von Art. 4 Nr. 7, Art. 26 Abs. 1 Satz 1 DSGVO anzusehen ist (unten b)).
a) Eine Verarbeitung personenbezogener Daten liegt im Auslesen und Verwenden der relevanten Adressdaten für das Erstellen des Werbeschreibens. Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten in allen Informationen zu erblicken, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wobei als identifizierbar eine natürliche Person angesehen wird, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einer Kennnummer identifiziert werden kann. Eine Verarbeitung liegt gemäß Art. 4 Nr. 2 DSGVO in jedem mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder in jeder solchen Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wobei die Verordnung beispielhaft etwa das Auslesen, Abfragen und Verwenden der Daten als Verarbeitungsvorgänge nennt.
Nach diesen Maßstäben liegt im Auslesen und Verwenden der Adressdaten für das Werbeschreiben eine der Datenschutzgrundverordnung unterfallende Verarbeitung personenbezogener Daten. Dafür kann offenbleiben, ob die Zuschreibung eines statistischen Merkmals – etwa hinsichtlich der Kaufkraft – auf Ebene der Mikrozellen und die anschließende Auswahl unter den Mikrozellen anhand eines solchen Merkmals schon für sich genommen Verarbeitungen personenbezogener Daten darstellen. Denn jedenfalls die Adressdaten – Vor- und Familienname sowie postalische Anschrift – sind personenbezogene Daten, die verarbeitet, nämlich aus dem Adressdatenbestand der Adresshändlerin ausgelesen und für den Versand des Werbeschreibens genutzt werden. Auch hebt die Zuordnung der Adressdaten zu den Mikrozellen ihren Personenbezug nicht auf. Dafür kommt es wiederum nicht darauf an, inwiefern die im Hinblick auf die Mikrozellen verarbeiteten Daten personenbezogen sind, weil der Adressdatenbestand, der für das Versenden der Werbeschreiben genutzt wird, durch die bloße Zuordnung der Adressen zu den Mikrozellen unverändert bleibt. Zugleich ist vorliegend unerheblich, dass der Adressdatenbestand der Adresshändlerin schon unabhängig vom Auftrag der Klägerin bestand, die Erhebung der personenbezogenen Daten also schon abgeschlossen war. Denn im späteren Auslesen und Verwenden der Adressdaten liegt eine eigenständig zu betrachtende Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO.
b) Die Klägerin war für diese Verarbeitung personenbezogener Daten jedoch nicht im Sinne von Art. 4 Nr. 7, Art. 26 Abs. 1 Satz 1 DSGVO gemeinsam mit der Adresshändlerin verantwortlich.
Nach der Definition in Art. 4 Nr. 7 DSGVO ist Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemäß Art. 26 Abs. 1 Satz 1 DSGVO gemeinsam Verantwortliche.
aa) Der Europäische Gerichtshof (EuGH) hat die Anforderungen, die sich aus diesen Bestimmungen für eine gemeinsame Verantwortlichkeit ergeben, in seiner Rechtsprechung weiter konkretisiert. Danach muss jeder der im Sinne von Art. 26 Abs. 1 Satz 1 gemeinsam Verantwortlichen die Definition des „Verantwortlichen“ in Art. 4 Nr. 7 DSGVO erfüllen, wobei die Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein können (EuGH, Urteil vom 5. Juni 2018 – C-210/16 – Wirtschaftsakademie Schleswig-Holstein, Rn. 43; Urteil vom 29. Juli 2019 – C-40/17 – Fashion ID, Rn. 70; Urteil vom 7. März 2024 – C-604/22 – IAB Europe, Rn. 58). Andererseits setzt die gemeinsame Verantwortlichkeit mehrerer Akteure für dieselbe Verarbeitung nach ständiger Rechtsprechung des EuGH nicht voraus, dass jeder von ihnen Zugang zu den betreffenden personenbezogenen Daten hat (EuGH, Urteil vom 5. Juni 2018 – C-210/16 – Wirtschaftsakademie Schleswig-Holstein, Rn. 38; Urteil vom 10. Juli 2018 – C-25/17 – Jehovan todistajat, Rn. 69; Urteil vom 29. Juli 2019 – C-40/17 – Fashion ID, Rn. 69, 82; Urteil vom 11. Januar 2024 – C-231/22 – Données traitées par un journal officiel, Rn. 48; Urteil vom 7. März 2024 – C-604/22 – IAB Europe, Rn. 58).
Nach einer in der Rechtsprechung wiederkehrenden Formulierung geht der EuGH zudem davon aus, dass eine Person, die „aus Eigeninteresse“ beziehungsweise „zu ihren eigenen Zwecken“ auf die Verarbeitung personenbezogener Daten „Einfluss nimmt“ und damit „an der Entscheidung über die Zwecke und Mittel“ der Verarbeitung „mitwirkt“ beziehungsweise „beteiligt ist“, als für die Verarbeitung Verantwortliche angesehen werden kann (EuGH, Urteil vom 10. Juli 2018 – C-25/17 – Jehovan todistajat, Rn. 68; Urteil vom 29. Juli 2019 – C-40/17 – Fashion ID, Rn. 68; Urteil vom 11. Januar 2024 – C-231/22 – Données traitées par un journal officiel, Rn. 48; Urteil vom 7. März 2024 – C-604/22 – IAB Europe, Rn. 57). Dieses Abstellen auf die „Einflussnahme“ aus „Eigeninteresse“, aus der eine Entscheidung über Zwecke und Mittel der Verarbeitung resultieren soll, scheint sehr weit zu reichen. Es ist jedoch zu berücksichtigen, dass dieses Kriterium nach der Formulierung des EuGH („kann“) noch keine hinreichende Bedingung für die gemeinsame Verantwortlichkeit darstellt und außerdem zunächst auf die Rechtslage vor Inkrafttreten der Datenschutzgrundverordnung bezogen war, als der Begriff der gemeinsamen Verantwortlichkeit noch nicht gesetzlich fixiert war. In seiner jüngeren – unter der Geltung der Datenschutzgrundverordnung ergangenen – Rechtsprechung prüft der EuGH alle drei Voraussetzungen kumulativ, das heißt, für die gemeinsame Verantwortlichkeit muss eine Stelle „tatsächlich im Eigeninteresse auf die Entscheidung über die Zwecke und Mittel der Verarbeitung“ Einfluss nehmen (EuGH, Urteil vom 5. Dezember 2023 – C-683/21 – Nacionalinis visuomenės sveikatos centras, Rn. 31; ähnlich auch Urteil vom 7. März 2024 – C-604/22 – IAB Europe, Rn. 61; siehe zur erforderlichen kumulativen Prüfung von Entscheidungen über Zwecke und Mittel auch: European Data Protection Board – EDPB, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, Version 2.0, 7. Juli 2021, Rn. 53; Der Bayerische Landesbeauftragte für den Datenschutz, Gemeinsame Verantwortlichkeit – Orientierungshilfe, Stand: 1. Juni 2024, Rn. 44, 70).
bb) Nach diesen Maßstäben erfüllte die Klägerin in Bezug auf die von der Adresshändlerin vorgenommenen Datenverarbeitungsvorgänge nicht die Voraussetzungen einer gemeinsamen Verantwortlichkeit nach Art. 26 Abs. 1 Satz 1 DSGVO.
Zwar hat die Klägerin im Eigeninteresse Einfluss auf die Zwecke der Datenverarbeitung durch die Adresshändlerin genommen. Denn unabhängig davon, ob man den Zweck der Verarbeitung im Versand des Werbeschreibens oder – allgemeiner – in der Beförderung ihrer Geschäftstätigkeit durch die Anwerbung von Neukunden erblickt, hat sie diesen Zweck der Datenverarbeitung gegenüber der Adresshändlerin festgesetzt. Er entspricht auch ihrem Eigeninteresse, nämlich ihrem wirtschaftlichen Gewinnstreben. Dafür spricht auch der Empfängerhorizont, also die Perspektive eines objektiven Beobachters, der das Werbeschreiben erhält. Für diesen stellt es sich äußerlich als eine ausschließliche Maßnahme der Klägerin dar, weil es mit ihrem Briefkopf bzw. Corporate Design auftritt und allein für einen Besuch der von ihr angebotenen Show wirbt, ohne dass die Beteiligung der Adresshändlerin an der Datenverarbeitung jenseits der Datenschutzhinweise ersichtlich würde (vgl. zur Maßgeblichkeit des nach außen hin vermittelten Eindrucks: Der Bayerische Landesbeauftragte für den Datenschutz, a. a. O., Rn. 36).
Die Klägerin hatte aber keinerlei Einfluss auf die Mittel der Datenverarbeitung. Die Adresshändlerin führte den gesamten Datenverarbeitungsprozess nach dem von ihr konzipierten „Lettershop“-Verfahren beziehungsweise Mikrozellen-Modell durch, ohne dass die Klägerin die Möglichkeit gehabt hätte, auf die strukturelle beziehungsweise organisatorische Ausgestaltung dieses Prozesses in irgendeiner Form einzuwirken. Auch insoweit kommt es nicht darauf an, ob man nur das Auslesen und Verwenden der Adressen im zweiten Schritt oder darüber hinaus auch die Selektion der Mikrozellen anhand bestimmter Merkmale im ersten Schritt als Verarbeitung personenbezogener Daten ansieht. Denn die bloße Vorgabe einer Zielgruppe (Haushalte in Berlin und Brandenburg mit zumindest überdurchschnittlicher Kaufkraft) führte auch dann nicht dazu, dass die Klägerin auf die „Mittel“ der Datenverarbeitung Einfluss genommen hätte, wenn man die Mikrozellenselektion als Verarbeitung personenbezogener Daten versteht. Die Festlegung der Zielgruppe ist vielmehr wegen ihrer eindeutigen wirtschaftlichen Motivation untrennbar mit der Zwecksetzung für die Datenverarbeitung verbunden und stellt sich demgegenüber nicht als Entscheidung über ihre Mittel dar.
Für eine Einflussnahme auf die Mittel der Datenverarbeitung müsste es irgendeine über die Auftragserteilung hinausgehende organisatorisch-konzeptionelle Mitwirkung der Klägerin an der Datenverarbeitung gegeben haben, die hier aber nicht ersichtlich ist. Sie hat lediglich eine Leistung eingekauft, deren prozedurale Ausgestaltung – von der grundlegenden Konzeption über die datenschutzrechtlich relevanten Organisationsmaßnahmen bis hin zur technischen Umsetzung – allein in den Händen der Adresshändlerin verblieb. Es ist nicht ersichtlich, dass die Klägerin irgendwelche Entscheidungen in Bezug darauf hätte treffen können, wie die Mikrozellen gebildet, wie ihnen Merkmale zugeschrieben werden, wie der Selektionsprozess anhand ihrer Vorgaben ausgestaltet ist und wie letztlich die Adressauswahl technisch hin zum Versand des Werbeschreibens umgesetzt wird. Auch die bloße Entscheidung, ein Werbeschreiben an potenzielle Neukunden zu versenden, kann nicht als Einflussnahme auf die Mittel der Datenverarbeitung gewertet werden. Denn das Leistungsangebot der Adresshändlerin besteht gerade darin, ihren Kunden das Versenden von Werbeschreiben zu ermöglichen. Andere Modalitäten des Verwendens personenbezogener Daten ohne Zugriff des Kunden auf die Daten bietet sie in diesem Bereich ihrer Geschäftstätigkeit nicht an.
cc) Für das Ergebnis spricht schließlich auch ein Vergleich mit denjenigen Fällen, in denen der EuGH bisher eine gemeinsame Verantwortlichkeit im Sinne von Art. 26 Abs. 1 Satz 1 DSGVO angenommen beziehungsweise auf Grundlage der entsprechenden Vorlagebeschlüsse der nationalen Gerichte für möglich gehalten hat. Bei diesen Sachverhalten gab es anders als hier stets ein Ineinandergreifen der Entscheidungen beider Verantwortlicher gerade auch in Bezug auf die Mittel der Datenverarbeitung.
Am ehesten ist der vorliegende Fall mit den Konstellationen vergleichbar, über die der EuGH in der sogenannten Fanpage- sowie in der Fashion-ID-Entscheidung befunden hat. Hier ging es um die gemeinsame Verantwortlichkeit von Website-Betreiberinnen, die ihre Website auf einer sozialen Plattform einrichten beziehungsweise ein Plugin einer sozialen Plattform in ihre Website einbinden mit der Folge, dass beim Aufrufen der Website personenbezogene Daten der Nutzer automatisch an die soziale Plattform übermittelt und von dieser weiterverarbeitet werden. Der EuGH hat die Einbindung der sozialen Plattform jeweils für die gemeinsame Verantwortlichkeit der Website-Anbieterinnen genügen lassen (EuGH, Urteil vom 5. Juni 2018 – C-210/16 – Wirtschaftsakademie Schleswig-Holstein; Urteil vom 29. Juli 2019 – C-40/17 – Fashion ID). Das wäre ein starkes Argument für die gemeinsame Verantwortlichkeit auch der Klägerin im vorliegenden Fall, wenn für den EuGH die bloße Kausalität der Website-Anbieterinnen für die Datenverarbeitung durch die Plattform ausgereicht hätte.
Zu beachten ist jedoch, dass der EuGH in den genannten Entscheidungen zwischen dem Erheben und dem weiteren Verarbeiten der Nutzerdaten durch die Plattform unterscheidet (insbesondere EuGH, Urteil vom 29. Juli 2019 – C-40/17 – Fashion ID, Rn. 76). Ein zentrales Argument des EuGH für die Verantwortlichkeit der Website-Betreiberinnen in Bezug auf das Erheben der Daten lag in beiden Entscheidungen darin, dass es das Einrichten der Website beziehungsweise das Einbinden des Plugins der sozialen Plattform erst ermöglicht hatte, die personenbezogenen Daten zu erheben (EuGH, Urteil vom 5. Juni 2018 – C-210/16 – Wirtschaftsakademie Schleswig-Holstein, Rn. 35; Urteil vom 29. Juli 2019 – C-40/17 – Fashion ID, Rn. 75). Das Verhalten der Website-Anbieterinnen stellte sich für die soziale Plattform so gleichsam als „Schlüssel“ zu den Nutzerdaten dar. Einen solch beherrschenden Einfluss auf die Datenverarbeitung durch die Adresshändlerin hatte die Klägerin vorliegend nicht. Zwar wirkte sich auch ihre Entscheidung im Sinne einfacher Kausalität dahingehend aus, dass es ohne ihren Auftrag den konkreten Datenverarbeitungsvorgang durch die Adresshändlerin nicht gegeben hätte. Sie hat ihr die Datenverarbeitung aber nicht erst ermöglicht, ihr nicht erst die Tür zu den Daten geöffnet. Die Adresshändlerin verfügte unabhängig vom Verhalten der Klägerin über ihren Adressdatenbestand. Ihre tatsächlichen Zugriffsmöglichkeiten auf diese Daten bestanden vollkommen unabhängig davon, ob die Klägerin ihr einen Auftrag, der mit einer (weiteren) Datenverarbeitung einherging, erteilte.
Aus diesem Grund ist auch das Argument der Parametrierung, welches der EuGH in der Fanpage-Entscheidung für eine gemeinsame Verantwortlichkeit der Website-Betreiberin auch im Hinblick auf die Weiterverarbeitung der Nutzerdaten durch die soziale Plattform anführte (EuGH, Urteil vom 5. Juni 2018 – C-210/16 – Wirtschaftsakademie Schleswig-Holstein, Rn. 36), nicht auf den vorliegenden Fall übertragbar. Denn es macht einen Unterschied, ob sich solche (statistischen) Selektionskriterien nur auf die Auswahl unter schon bei einem Dritten vorhandenen Daten auswirken oder auf Daten bezogen sind, die nur erhoben werden können, weil der Verantwortliche diese Datenerhebung für einen Dritten ermöglicht.
Auch in den weiteren vom EuGH entschiedenen Konstellationen war die Einflussnahme des gemeinsam Verantwortlichen auf die Mittel der Datenverarbeitung anders als im Fall der Klägerin deutlich ausgeprägt. So stellte der EuGH in der Entscheidung zu den Zeugen Jehovas neben dem erheblichen Eigeninteresse der Gemeinschaft an der Datenverarbeitung auch darauf ab, dass die Dachorganisation die Verkündigungstätigkeit der einzelnen Mitglieder durch eine Zuteilung von Tätigkeitsbezirken „organisiert und koordiniert“ hat (EuGH, Urteil vom 10. Juli 2018 – C-25/17 – Jehovan todistajat, Rn. 71, 73). In der Entscheidung zur litauischen Corona-Warn-App bezog sich der EuGH darauf, dass die Parameter der Anwendung, z. B. welche Fragen in der App gestellt wurden und wie diese formuliert waren, an den Bedarf der auftraggebenden Behörde angepasst waren und sie bei der Festlegung der Fragen eine aktive Rolle gespielt hatte (EuGH, Urteil vom 5. Dezember 2023 – C-683/21 – Nacionalinis visuomenės sveikatos centras, Rn. 32). In der Entscheidung zum belgischen Amtsblatt war ein tragendes Argument für die datenschutzrechtliche Verantwortlichkeit der herausgebenden Behörde, dass für sie bereits auf gesetzlicher Ebene die Zwecke und Mittel der Datenverarbeitung festgelegt waren (EuGH, Urteil vom 11. Januar 2024 – C-231/22 – Données traitées par un journal officiel, Rn. 34; vgl. zur Maßgeblichkeit rechtlicher Bestimmungen beim Begriff des Verantwortlichen: Art. 4 Nr. 7 Halbsatz 2 DSGVO). Schließlich rekurrierte der EuGH in der Entscheidung zu einem europäischen Werbebranchenverband darauf, dass dieser seinen Mitgliedern für die Datenverarbeitung einen verbindlichen Regelungsrahmen vorgegeben hatte, in dem auch technische Spezifikationen für den Verarbeitungsvorgang enthalten waren (EuGH, Urteil vom 7. März 2024 – C-604/22 – IAB Europe, Rn. 65 f.). Auch eine solche Form der Einflussnahme gab es hier jedoch nicht.
BGH
Urteil vom 07.10.2025 II ZR 112/24
EuGVVO (Verordnung (EU) Nr. 1215/2012) Art. 18 Abs. 1; AEUV Art. 216; Abkommen über den Austritt des Vereinigten Königreichs Großbritannien und Nordirland aus der Europäischen Union und der Europäischen Atomgemeinschaft (Brexit-Abkommen) (Abl. vom 12. November 2019/C 384 I./01) Art. 126
Der BGH hat entschieden, dass die Zuständigkeitsregel in Art. 18 Abs. 1 EuGVVO für Klagen eines Verbrauchers gegen einen Beklagten mit Sitz in Großbritannien auch nach dem Brexit anzuwenden ist.
Leitsatz des BGH:
Das Abkommen über den Austritt des Vereinigten Königreichs Großbritannien und Nordirland aus der Europäischen Union und der Europäischen Atomgemeinschaft (Abl. vom 12. November 2019/C 384 I./01) in Verbindung mit Art. 216 AEUV steht nach dem Ablauf der Übergangsfrist (Art. 126 AA) der Anwendung des Art. 18 Abs. 1 EuGVVO im Klageverfahren gegen einen Beklagten mit Sitz in Großbritannien nicht entgegen.
BGH, Urteil vom 7. Oktober 2025 - II ZR 112/24 - OLG München LG München
Die EU-Kommission hat ein Verfahren gegen SAP wegen möglicher wettbewerbswidriger Praktiken im Zusammenhang mit Wartungs- und Supportdiensten eingeleitet.
Die Pressemitteilung des EU-Kommission: Commission opens investigation into possible anticompetitive practices by SAP regarding maintenance and support services for its popular business management software
The European Commission has opened a formal investigation to assess whether SAP may have distorted competition in the aftermarket for maintenance and support services related to an on-premises type of software, licensed by SAP, used for the management of companies' business operations and called Enterprise Resource Planning (‘ERP'), in the European Economic Area (‘EEA'). In parallel to the opening of proceedings, the Commission has adopted a Preliminary Assessment summarising the main facts of the case and identifying its competition concerns. To address the Commission's concerns, SAP may now submit commitments.
SAP is a German-based multinational corporation which develops software applications for companies to manage their business operations. This includes ERP software, which supports business functions such as managing corporate finances, human resources and project management. SAP's ERP software can be provided on-premises - when the software runs on the customer's own servers - or via the cloud - when it is hosted on SAP's servers and delivered over the internet. SAP also provides maintenance and support services for its ERP software, which include regular updates and technical assistance for its business customers to keep the software operational. Other companies also provide maintenance and support services for SAP's on-premises ERP software, in competition with SAP, often against better commercial conditions, such as price.
The Commission's preliminary investigation takes issue with the following four practices implemented by SAP in the EEA aftermarket for the maintenance and support services of SAP's on-premises ERP software, on which the Commission preliminary considers that SAP holds a dominant position:
SAP requires customers to (i) seek maintenance and support services from SAP for all their SAP on-premises ERP software, and (ii) choose the same type of maintenance and support under the same pricing conditions for all their SAP on-premises ERP software. This may prevent customers from “mixing and matching” maintenance and support services from different suppliers at different price and support levels despite it being more convenient for them;
SAP prevents customers from terminating maintenance and support services for unused software licences, which may result in SAP's customers paying for unwanted services;
SAP systematically extends the duration of the initial term of on-premises ERP licences, during which termination of maintenance and support services is not possible;
SAP charges reinstatement and back-maintenance fees to customers who subscribe to SAP's maintenance and support after a period of absence. In some cases, these fees correspond to the amount customers would have paid if they had stayed with SAP all along.
The Commission is concerned that SAP may have restricted competition from third-party providers of maintenance and support services of SAP's on-premises ERP software in the EEA. The Commission is also concerned that the practices implemented by SAP constitute exploitative conduct vis-à-vis SAP's customers that may be qualified as unfair trading conditions.
The Commission will now carry out its in-depth investigation as a matter of priority. The opening of a formal investigation does not prejudge its outcome.
Background
Article 102 of the Treaty on the Functioning of the European Union prohibits the abuse of a dominant position that may affect trade within the EU and prevent or restrict competition. The implementation of this provision is defined in Regulation 1/2003.
A Preliminary Assessment summarises the main facts of the case and identifies the competition concerns of the Commission. To meet these concerns, the addressee of the Preliminary Assessment may offer commitments in line with Article 9(1) of Regulation 1/2003, which allows the Commission to conclude antitrust proceedings by accepting commitments offered by a company. Such a decision does not reach a conclusion as to whether there is an infringement of EU antitrust rules, but legally binds the company to respect the commitments submitted.
Article 11(6) of Regulation 1/2003 provides that the opening of proceedings by the Commission relieves the competition authorities of the Member States of their competence to apply EU competition rules to the practices concerned. Article 16(1) further provides that national courts must avoid adopting decisions which would conflict with a decision contemplated by the Commission in proceedings it has initiated.
There is no legal deadline for bringing an antitrust investigation to an end. The duration of an antitrust investigation depends on a number of factors, including the complexity of the case, the extent to which the companies concerned cooperate with the Commission and the parties' exercise of the rights of defense.
More information on the investigation will be available on the Commission's competition website, in the public case register under the case number AT.40823.
Die moderne Wirtschaft Deutschlands ist für ihr Funktionieren, die Generierung von Wohlstand und Wachstum und auch für ihre Adaptionsfähigkeit auf geänderte wirtschaftspolitische und geopolitische Rahmenbedingungen angewiesen auf funktionierende und resiliente Infrastruktur, sowohl im physischen als auch im digitalen Bereich. Diese Faktoren haben in den vergangenen Jahren erheblich an Bedeutung gewonnen. Unternehmen sehen sich nicht nur in ihrem wirtschaftlichen Tun, sondern auch in dessen praktischer Absicherung vor eine Vielzahl von Herausforderungen gestellt. Europaweit und global vernetzte Prozesse führen ebenso wie die zunehmende Digitalisierung aller Lebens- und somit auch Wirtschaftsbereiche zu einer höheren Anfälligkeit gegenüber externen, vielfach nicht steuerbaren Faktoren. Informationstechnik in kritischen Anlagen sowie in bestimmten Unternehmen spielt dabei eine zentrale Rolle. Ihre Sicherheit und Resilienz bilden auch die Grundlage für die Versorgungssicherheit, von der Versorgung mit Strom und Wasser bis hin zur Entsorgung von Siedlungsabfällen. Gleiches gilt für das Funktionieren der Marktwirtschaft in Deutschland und dem Binnenmarkt der Europäischen Union. Die Vernetzung und enge Verzahnung gerade der Wirtschaft innerhalb Deutschlands und der Europäischen Union resultieren in Interdependenzen bei der Cybersicherheit. Die vor diesem Hintergrund gestiegenen Cybersicherheitsanforderungen an juristische und natürliche Personen, die wesentliche Dienste erbringen oder Tätigkeiten ausüben, werden mit der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (ABl. L 333 vom 27.12.2022, S. 80, im Folgenden NIS-2-Richtlinie) in der gesamten Europäischen Union weiter angeglichen. 2024 bestätigte sich die Erfahrung der Vorjahre, dass geopolitische und zwischenstaatliche Konflikte oftmals mit einer ganzen Bandbreite an Phänomenen im Cyberraum einhergehen: Desinformation, Hacktivismus, Spionage und Sabotage waren sowohl im russischen Angriffskrieg gegen die Ukraine als auch in der Folge des Terrorangriffs der Hamas auf Israel zu beobachten. Im Bereich der Wirtschaft zählen hierbei Ransomware-Angriffe, Ausnutzung von Schwachstellen, offene oder falsch konfigurierte Online-Server sowie Abhängigkeiten von der IT-Lieferkette und in diesem Zusammenhang auch insbesondere Cyberangriffe über die Lieferkette (sogenannte Supply-Chain-Angriffe) zu den größten Bedrohungen. Zusätzlich zu den bereits bekannten Bedrohungen entstanden in Folge des russischen Angriffskriegs auf die Ukraine und der damit einhergehenden „Zeitenwende“ auch neue Bedrohungen oder die Einschätzungen zu bereits bekannten Bedrohungen mussten aufgrund veränderter Rahmenbedingungen geändert werden. Beispiele hierfür bestehen im Bereich Hacktivismus, insbesondere mittels Distributed-Denial-of-Service (DDoS)-Angriffen oder auch durch in Deutschland erfolgte Kollateralschäden in Folge von Cyber-SabotageAngriffen im Rahmen des Krieges. Zudem haben Störungen und Angriffe im Bereich der Lieferketten sowohl aus den Bereichen Cybercrime als auch in Folge der Zeitenwende zugenommen. Diese Phänomene treten nicht mehr nur vereinzelt auf, sondern sind Teil des unternehmerischen Alltags geworden. Eine Erhöhung der Resilienz der Wirtschaft gegenüber den Gefahren krimineller oder staatlicher Angriffe ist daher eine zentrale Aufgabe für die beteiligten Akteure in Staat, Wirtschaft und Gesellschaft, um den Wirtschaftsstandort Deutschland und den Binnenmarkt der Europäischen Union insgesamt robust und leistungs- und funktionsfähig zu halten.
Für das Informationssicherheitsmanagement in der Bundesverwaltung haben sich die bisherigen Steuerungsinstrumente auf überwiegend untergesetzlicher Basis als nicht ausreichend effektiv erwiesen, um eine flächendeckend wirksame Steigerung des Sicherheitsniveaus zu erreichen. Dies haben insbesondere Sachstandserhebungen zum Umsetzungsplan Bund sowie Prüfungen des Bundesrechnungshofs (BRH) bestätigt. Vor dem Hintergrund der durch aktuelle geopolitische Entwicklungen („Zeitenwende“) abermals verschärften Bedrohungslage hat sich das Risiko für staatliche Einrichtungen zudem weiter erhöht, durch Gefährdungen aus dem Cyberraum in ihrer Handlungsfähigkeit eingeschränkt zu werden.
Dieser Entwurf steht im Kontext der Bestrebungen der Europäischen Union und ihrer Mitgliedstaaten zur Erhöhung der Wirtschaftssicherheit und Verbesserung der Resilienz als Antwort auf neue geopolitische Rahmenbedingungen. Mit der am 20. Juni 2023 veröffentlichten Europäischen Strategie für wirtschaftliche Sicherheit identifiziert die Europäische Kommission das Risiko für die Sicherheit kritischer Infrastruktur vor physischen und Cyberangriffen als eines von vier Hauptrisiken für die europäische Volkswirtschaft.
Dieser Entwurf steht außerdem im Kontext der gefährdeten rechtzeitigen Erreichung der Ziele der Resolution der Generalversammlung der Vereinten Nationen vom 25. September 2015 „Transformation unserer Welt: die UN-Agenda 2030 für nachhaltige Entwicklung“. Der Entwurf soll insbesondere zur Erreichung des Nachhaltigkeitsziels 9 der UN-Agenda 2030 beitragen, eine hochwertige, verlässliche und widerstandsfähige Infrastruktur aufzubauen.
B. Lösung, Nutzen
Entsprechend der unionsrechtlichen Vorgaben wird der mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17. Juli 2015 (BGBl. I 2015 S. 1324) und dem Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) vom 18. Mai 2021 (BGBl. I 2021, S. 1122) geschaffene Ordnungsrahmen durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz auf den Bereich bestimmter Unternehmen erweitert, zusätzlich werden entsprechende Vorgaben für die Bundesverwaltung eingeführt. Schwerpunktmäßig werden folgende Änderungen vorgenommen:
– Einführung der durch die NIS-2-Richtlinie vorgegebenen Einrichtungskategorien, die mit einer signifikanten Ausweitung des bisher auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkten Anwendungsbereichs einhergeht.
– Der Katalog der Mindestsicherheitsanforderungen des Artikels 21 Absatz 2 NIS-2- Richtlinie wird in das BSI-Gesetz übernommen, wobei in der Intensität der jeweiligen Maßnahme aus Gründen der Verhältnismäßigkeit zwischen den Kategorien ausdifferenziert wird.
– Die bislang einstufige Meldepflicht bei Vorfällen wird durch das dreistufige Melderegime der NIS-2-Richtlinie ersetzt. Dabei soll der bürokratische Aufwand für die Einrichtungen im Rahmen des bestehenden mitgliedstaatlichen Umsetzungsspielraums minimiert werden.
– Ausweitung des Instrumentariums des Bundesamts für Sicherheit in der Informationstechnik (BSI) im Hinblick auf von der NIS-2-Richtlinie vorgegebene Aufsichtsmaßnahmen.
– Gesetzliche Verankerung wesentlicher nationaler Anforderungen an das Informationssicherheitsmanagement des Bundes und Abbildung der zugehörigen Rollen und Verantwortlichkeiten.
– Harmonisierung der Anforderungen an Einrichtungen der Bundesverwaltung aus nationalen und unionsrechtlichen Vorgaben, um ein insgesamt kohärentes und handhabbares Regelungsregime zu gewährleisten.
– Etablierung eines CISO Bund als zentralem Koordinator für Maßnahmen zur Informationssicherheit in Einrichtungen der Bundesverwaltung und zur Unterstützung der Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement.
Ziel der NIS-2-Richtlinie ist die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, mit denen in der gesamten Europäischen Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden soll. Wichtige und besonders wichtige Einrichtungen sollen vor Schäden durch Cyberangriffe geschützt und das Funktionieren des europäischen Binnenmarktes verbessert werden. Die Konsequenzen eines Cyberangriffes sind sehr vielfältig und können nicht vollständig quantifiziert werden. So können durch Ransomware-Angriffe Server medizinischer Einrichtungen verschlüsselt werden, was die Aufnahme neuer Notfälle und die ambulante Patientenversorgung tagelang verhindert. Dies etwa sind Risiken und Gefahren für Leib und Leben der Bevölkerung, die nicht in monetären Größen ausgedrückt werden können. Bezogen auf die unmittelbar durch Cyberangriffe verursachten und bezifferbaren Schäden für Unternehmen in Deutschland schätzt der Branchenverband der deutschen Informations- und Telekommunikationsunternehmen (Bitkom e. V.) ein jährliches Gesamtschadensvolumen von rund 223,5 Milliarden Euro für das Jahr 2021. Im Jahr 2022 lag das Gesamtschadensvolumen bei 202,7 Milliarden Euro, im Jahr 2023 bei 205,9 Milliarden Euro und im Jahr 2024 bei 266,6 Milliarden Euro. Im Schnitt verursachen Cyberangriffe für Unternehmen in Deutschland einen jährlichen Gesamtschaden von rund 210,7 Milliarden Euro in den letzten drei Jahren. Dabei hat Bitkom deutsche Unternehmen mit mindestens 10 Beschäftigten und einem Jahresumsatz von mindestens einer Millionen Euro befragt. Im Unternehmensregister des Statistischen Bundesamts waren im Berichtsjahr 2021 insgesamt rund 3,4 Millionen rechtliche Einheiten registriert, davon beschäftigten 444 055 rechtliche Einheiten mindestens 10 Beschäftigte. Unter der Annahme einer Gleichverteilung des Gesamtschadensvolumens auf die Unternehmen mit mindestens 10 Beschäftigten ergibt sich ein Schadensvolumen pro Unternehmen von rund 500 000 Euro (=210,7 Milliarden Euro / 444 055 Unternehmen). Es ist anzunehmen, dass selbst bei einer vollständigen Umsetzung der von der NIS-2-Richtlinie vorgegebenen Sicherheitsstandards nicht alle Schäden durch Cyberangriffe abgewehrt werden können. Nimmt man jedoch an, dass durch die Umsetzung der vorliegenden Vorgaben die Hälfte des jährlich verursachten Schadens in den zur Umsetzung der NIS-2-Richtlinie verpflichteten Unternehmen abgewehrt werden kann, so ergibt sich pro Unternehmen ein abgewehrter Schaden von rund 250 000 Euro. Hochgerechnet auf die voraussichtlich geschätzte Anzahl betroffener Unternehmen bedeutet dies einen abgewehrten Gesamtschaden in Höhe von ca. 3,6 Milliarden Euro (= 250 000 Euro * 14 500 Unternehmen) für die deutsche Wirtschaft. Zusätzlich zu dem hier geschätzten abgewehrten Schaden in Höhe von ca. 3,6 Milliarden bei den Unternehmen muss ebenfalls ein mangels verfügbarer Daten nicht bezifferbarer abgewehrter Schaden in der öffentlichen Verwaltung sowie weitere Schäden mitberücksichtigt werden.
Der BGH hat dem EuGH die Frage zur Vorabentscheidung vorgelegt, ob Art. 101 AEUV Regressansprüchen eines Unternehmens gegen ihre Geschäftsführer wegen Kartellbußgeldern entgegensteht.
Leitsatz des BGH:
Dem Gerichtshof der Europäischen Union wird zur Auslegung von Art. 101 AEUV folgende Frage zur Vorabentscheidung vorgelegt:
Steht Art. 101 AEUV einer Regelung im nationalen Recht entgegen, nach der eine juristische Person, gegen die eine nationale Wettbewerbsbehörde ein Bußgeld wegen eines durch ihr Leitungsorgan begangenen Verstoßes gegen Art. 101 AEUV verhängt hat, den ihr dadurch entstandenen Schaden von dem Leitungsorgan ersetzt verlangen kann?
BGH, Beschluss vom 11. Februar 2025 - KZR 74/23 - OLG Düsseldorf - LG Düsseldorf
Der EuGH hat entschieden, dass die Offenlegung von Namen und Kontaktdaten der Vertreter juristischer Personen in amtlichen Dokumenten eine Verarbeitung personenbezogener Daten im Sinne der DSGVO ist.
Tenor der Entscheidung:
1. Art. 4 Nrn. 1 und 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
ist dahin auszulegen, dass die Offenlegung des Vornamens, des Nachnamens, der Unterschrift und der Kontaktdaten einer natürlichen Person, die eine juristische Person vertritt, eine Verarbeitung personenbezogener Daten darstellt. Der Umstand, dass die Offenlegung allein zu dem Zweck erfolgt, die Identifizierung der natürlichen Person zu ermöglichen, die befugt ist, im Namen der juristischen Person zu handeln, ist insoweit ohne Belang.
2. Art. 6 Abs. 1 Buchst. c und e in Verbindung mit Art. 86 der Verordnung 2016/679 ist dahin auszulegen, dass er einer nationalen Rechtsprechung nicht entgegensteht, die einen Verantwortlichen, bei dem es sich um eine Behörde handelt, die das Recht der Öffentlichkeit auf Zugang zu amtlichen Dokumenten und das Recht auf den Schutz personenbezogener Daten in Einklang zu bringen hat, dazu verpflichtet, die betroffene natürliche Person vor der Offenlegung amtlicher Dokumente, die solche Daten enthalten, zu unterrichten und zu konsultieren, soweit eine solche Verpflichtung nicht unmöglich durchzuführen ist oder einen unverhältnismäßigen Aufwand erfordert und daher nicht zu einer unverhältnismäßigen Einschränkung des Rechts der Öffentlichkeit auf Zugang zu diesen Dokumenten führt.
Der EuGH hat entschieden, dass eine Geldbuße nach Art. 83 Abs. 4 bis 6 d DSGVO auf Basis des weltweiten Jahresumsatz des gesamten Konzerns bestimmt werden kann.
Tenor der Entscheidung: Art. 83 Abs. 4 bis 6 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) in Verbindung mit dem 150. Erwägungsgrund dieser Verordnung ist dahin auszulegen, dass
der Begriff „Unternehmen“ im Sinne dieser Vorschriften dem Begriff „Unternehmen“ im Sinne der Art. 101 und 102 AEUV entspricht, so dass der Höchstbetrag einer Geldbuße, die gegen einen Verantwortlichen für personenbezogene Daten, der ein Unternehmen ist oder einem Unternehmen angehört, wegen eines Verstoßes gegen die Verordnung 2016/679 verhängt wird, auf der Grundlage eines Prozentsatzes des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs des Unternehmens bestimmt wird. Der Begriff „Unternehmen“ ist auch zu berücksichtigen, um die tatsächliche oder materielle Leistungsfähigkeit des Adressaten der Geldbuße zu beurteilen und so zu überprüfen, ob die Geldbuße sowohl wirksam und verhältnismäßig als auch abschreckend ist.
