Volltext LG Berlin: 14,5 Millionen EURO DSGVO-Bußgeld gegen Deutsche Wohnen SE aufgehoben - § 30 OWiG gilt über § 41 Absatz 1 BDSG auch für DSGVO-Verstöße
LG Berlin
Beschluss vom 18.02.2021
(526 OWi LG) 212 Js-OWi 1/20 (1/20), 526 OWiG LG 1/20
Das LG Berlin hat das 14,5 Millionen EURO DSGVO-Bußgeld gegen die Deutsche Wohnen SE (siehe dazu Berliner Datenschutzbeauftragter: Bußgeld von 14,5 Millionen EURO gegen Deutsche Wohnen SE wegen DSGVO-Verstößen) aufgehoben. Das Gericht führt u.a. aus, dass § 30 OWiG über § 41 Absatz 1 BDSG auch für DSGVO-Verstöße gilt.
Die Entscheidungsgründe:
I. Die Betroffene ist ein börsennotiertes Immobilienunternehmen mit Sitz in Berlin. Sie hält über gesellschaftsrechtliche Beteiligungen mittelbar 162.700 Wohneinheiten und 3.000 Gewerbeeinheiten. Eigentümer dieser Einheiten sind Tochtergesellschaften der Betroffenen, sogenannte Besitzgesellschaften, die das operative Geschäft führen und die mit der Betroffenen einen Konzern bilden. Die Geschäftstätigkeit der Betroffenen konzentriert sich auf die übergeordnete Leitung, wie die Geschäftsführung, das Personalwesen oder das Finanz- und Rechnungswesen. Die Besitzgesellschaften vermieten die Wohn- und Gewerbeeinheiten, die Verwaltung der Einheiten erfolgt ebenfalls durch Konzerngesellschaften, die sogenannten Servicegesellschaften.
Im Rahmen ihrer Geschäftstätigkeit verarbeiten die Betroffene und die genannten Konzerngesellschaften unter anderem auch personenbezogene Daten von Mieterinnen und Mietern der Wohn- und Gewerbeeinheiten. Dies geschieht im Rahmen der Neuvermietung eines Objektes, der laufenden Verwaltung eines bestehenden Mietverhältnisses oder auch beim Erwerb von bereits vermieteten Immobilien und der Übernahme der mit diesen verbundenen Mietverhältnissen. Bei diesen Daten handelt es sich unter anderem um Identitätsnachweise (etwa Personalausweiskopien), Bonitätsnachweise (etwa Kontoauszüge), Gehaltsbescheinigungen, Arbeitsnachweise, Steuer-, Sozial- und Krankenversicherungsdaten sowie Angaben zu Vormietverhältnissen
Am 23. Juni 2017 wies die Berliner Beauftragte für den Datenschutz („BlnBDI“ oder „Behörde“) im Rahmen einer sogenannten Vor-Ort-Kontrolle nach § 38 Absatz 4 Bundesdatenschutzgesetz a.F. die Betroffene darauf hin, dass ihrer Auffassung nach Konzerngesellschaften der Betroffenen personenbezogene Daten von Mieterinnen und Mietern in einem elektronischen Archivsystem speicherten, bei dem nicht überprüft werden könne, ob eine erfolgte Speicherung zulässig oder erforderlich ist und bei dem nicht mehr erforderliche Daten nicht gelöscht werden könnten, obgleich dies nach den geltenden datenschutzrechtlichen Bestimmungen zu erfolgen habe. Im Hinblick auf diesen Umstand forderte die Behörde die Betroffene mit Schreiben vom 8. September 2017 auf, eine Vielzahl beanstandeter Dokumente aus dem elektronischen Archivsystem bis Jahresende 2017 zu löschen. Die Betroffene teilte daraufhin mit Schreiben vom 22. September 2017 mit, dass ihr die verlangte Löschung der beanstandeten Dokumente aus technischen und rechtlichen Gründen nicht möglich sei. Eine Löschung der Dokumente erfordere insbesondere zunächst die Überführung der alten Archivdaten in ein neues Archivsystem, welches wiederum Konformität mit den gesetzlichen handels- und steuerrechtlichen Aufbewahrungspflichten aufweisen müsse. Zu diesen Einwänden fand auf Wunsch der Betroffenen sodann am 1. November 2017 ein Gespräch zwischen Vertretern der Behörde und der Betroffenen statt, indem die Behörde insbesondere die Auffassung vertrat, dass es am Markt technische Lösungen gebe, die eine Umsetzung der begehrten Löschungen erlaube. Nachdem die Betroffene unter dem 30. November 2017 noch einmal schriftlich dargelegt hatte, dass die Löschungen innerhalb der gesetzten Frist nicht erfolgen könnten, forderte die Behörde die Betroffene mit Schreiben vom 20. Dezember 2017 dazu auf, die der Löschung entgegenstehenden Gründe, insbesondere einen etwaigen unverhältnismäßigen Aufwand schriftlich darzulegen. Die Betroffene beantwortete diese Aufforderung mit einer E-Mail vom 3. Januar 2018 und einem Schreiben vom 26. Januar 2018 und berichtete über den vorgesehenen Aufbau eines neuen Speichersystems, mit dem das bisherige beanstandete System ersetzt werden sollte.
Am 5. März 2020 nahm die BlnBDI sodann eine Prüfung in der Konzernzentrale der Betroffenen vor, bei der insgesamt 16 Stichproben im Datenbestand der Betroffenen entnommen wurden und die Betroffene die Behörde unterrichtete, dass das beanstandete Archivsystem zum 13. Februar 2020 außer Betrieb gesetzt worden sei und die Migration der Daten auf das neue System unmittelbar bevorstehe. An diesen Termin schloss sich weiterer Briefwechsel zwischen der Betroffenen und der Behörde an, insbesondere hat die Behörde die Betroffene um zahlreiche Auskünfte ersucht, die die Betroffene in mehreren Schreiben bedient hat.
Mit Schreiben vom 30. August 2020, zugestellt am 2. September 2020, hörte die Behörde die ... als Betroffene wegen einer Ordnungswidrigkeit an und teilte ihr mit, gegen sie ein Ordnungswidrigkeitsverfahren eingeleitet zu haben. Mit der Anhörung verlangte die Behörde Auskunft über die vertretungsberechtigten Leitungspersonen der Betroffenen, die die Betroffene mit Schreiben vom 12. September 2020 beantwortet hat. Nach Stellungnahme der Betroffenen mit Schreiben vom 30. September 2020 erließ die BlnBDI am 30. Oktober 2020 sodann den verfahrensgegenständlichen Bußgeldbescheid gegen die Betroffene, der dieser am 31. Oktober 2020 zugestellt worden ist. Die Behörde verhängte mit dem Bußgeldbescheid vom 30. Oktober 2020 gegen die Betroffene wegen „vorsätzlicher“ Verstöße gegen Artikel 25 Absatz 1, Artikel 5 Absatz 1 lit. a), c) und e) sowie gegen Artikel 6 Absatz 1 DS-GVO ein Bußgeld in Höhe von EUR 14.549.503,50. Die ... als Betroffene habe es danach zumindest im Tatzeitraum zwischen dem 25. Mai 2018 und dem 5. März 2019 unterlassen, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Die ... habe ferner personenbezogene Daten von mindestens fünfzehn näher bezeichneten Mietern fortgesetzt gespeichert, obgleich ihr bekannt gewesen sei, dass die Speicherung nicht oder nicht mehr erforderlich war und sie habe damit bewusst in Kauf genommen, Datenschutzgrundsätze zu verletzen. Hinsichtlich der Tatvorwürfe habe die ... vorsätzlich gehandelt.
Mit Schreiben ihrer Prozessbevollmächtigten vom 7. November 2020 legte die Betroffene gegen den Bußgeldbescheid Einspruch ein, der der Behörde noch am selben Tage durch Faxschreiben zuging und den die Betroffene mit Schriftsatz ihrer Prozessbevollmächtigten vom 14. August 2020 begründete. Sie führt neben Einwänden zu den tatbestandlichen Voraussetzungen und Rechtsfolgen der vermeintlich verletzten Bußgeldvorschriften insbesondere aus, dass bereits ein Verfahrenshindernis bestehe, da der Bußgeldbescheid die ... als Betroffene führe, was im Ordnungswidrigkeitenrecht nicht vorgesehen sei.
Wegen des weiteren Sachstandes wird auf den Akteninhalt verwiesen.
II. Das Verfahren war nach § 206a StPO in Verbindung mit §§ 46, 71 OWiG durch Beschluss einzustellen, da ein Verfahrenshindernis besteht.
1. Der Bußgeldbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 30. Oktober 2019 leidet unter derart gravierenden Mängeln, dass er nicht Grundlage des Verfahrens sein kann.
a) Der Bußgeldbescheid wurde gegen die ... erlassen, mithin gegen eine Europäische Gesellschaft, eine juristische Person des Privatrechts mit eigener Rechtspersönlichkeit i.S.v. § 1 Absatz 1 AktG in Verbindung mit §§ 1 ff. SEAG in Verbindung mit Artikel 1 Absatz 3 der Verordnung (EG) Nr. 2157/2001 des Rates vom 8. Oktober 2001 über das Statut der Europäischen Gesellschaft. Die ... wurde von der BlnBDI als Betroffene im Sinne des Gesetzes über Ordnungswidrigkeiten behandelt. Ihr wurde im Bußgeldbescheid an zahlreichen Stellen die vorsätzliche Verwirklichung von Ordnungswidrigkeitstatbeständen vorgeworfen. In der Stellungnahme der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 28. Oktober 2020 zur Einspruchsbegründung der Betroffenen hat die Behörde bekräftigt, der Bescheid richte sich allein gegen die ..., vertreten durch ihre Geschäftsführung.
Eine juristische Person kann indes nicht Betroffene in einem Bußgeldverfahren, auch nicht in einem solchen nach Artikel 83 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung oder DS-GVO), sein. Denn eine Ordnungswidrigkeit kann nur eine natürliche Person vorwerfbar begehen. Der juristischen Person kann lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten (der natürlichen Personen) zugerechnet werden. Sie kann deshalb im Bußgeldverfahren nur Nebenbeteiligte sein. Die Verhängung einer Geldbuße gegen sie ist in § 30 OWiG geregelt, der über § 41 Absatz 1 BDSG auch für Verstöße nach Artikel 83 Absatz 4 bis 6 DS-GVO Anwendung findet. Danach kann entweder in einem einheitlichen Verfahren gegen die juristische Person eine Geldbuße festgesetzt werden, wenn wegen der Tat des Organmitgliedes oder Repräsentanten, also der natürlichen Person, gegen diese ein Bußgeldverfahren durchgeführt wird, oder aber nach § 30 Absatz 4 OWiG in einem selbständigen Verfahren. Voraussetzung ist dann freilich, dass wegen der Tat des Organmitgliedes oder Repräsentanten der juristischen Person ein Verfahren nicht eingeleitet oder ein solches Verfahren eingestellt wird. Allerdings muss, da die juristische Person selbst eine Ordnungswidrigkeit nicht begehen kann, auch in diesem sogenannten selbständigen Verfahren eine vorwerfbare Ordnungswidrigkeit eines Organmitgliedes der juristischen Person festgestellt werden.
Der verfahrensgegenständliche Bußgeldbescheid vom 30. Oktober 2019 wurde offensichtlich nicht als selbständiger Bescheid gemäß § 30 Absatz 4 OWiG erlassen. Die BlnBDI war sich der dargestellten Rechtslage nicht bewusst und vertritt die Auffassung, eine juristische Person könne im Ordnungswidrigkeitenrecht wie eine natürliche Person behandelt werden. Der Bußgeldbescheid erging daher in einem Verfahren, das im Gesetz über Ordnungswidrigkeiten nicht vorgesehen und daher nicht zulässig ist. Der Bescheid ist deshalb unwirksam (vgl. OLG Stuttgart, Beschluss vom 1. Februar 1993 – 4 Ss 573/92, MDR 1993, 572).
aa) Dabei übersieht die Kammer nicht, dass in der rechtswissenschaftlichen Literatur und vom Landgericht Bonn (Urteil vom 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663) vertreten wird, Artikel 83 DS-GVO allein sei hinreichende Rechtsgrundlage für eine sogenannte unmittelbare Verbandshaftung juristischer Personen (vgl. etwa: BeckOK DatenschutzR/Holländer DS-GVO Art. 83 Rn. 9; Kühling/Buchner/Bergt, DS-GVO BDSG, DSGVO Art. 83 Rn. 20; BeckOK DatenschutzR/Brodowski/Nowak, § 41 BDSG Rn. 11). Nach dieser Auffassung besteht für die Datenschutz-Grundverordnung ein Anwendungsvorrang vor nationalen Vorschriften, da es andernfalls zu ungewünschten Wettbewerbsverzerrungen in den Mitgliedsstaaten der Europäischen Union im Hinblick auf die Durchsetzungen der europarechtlichen Datenschutzregeln kommen könne. Nationale Vorschriften wie § 41 Absatz 1 BDSG in Verbindung mit §§ 30, 130 OWiG, seien wegen des Grundsatzes der praktischen Wirksamkeit (effet utile) so auszulegen, dass ihre Anwendung nicht zu Vollzugsdefiziten führen könne – und wo dies nicht gelänge, seien sie gar nicht anzuwenden. Schließlich gäben die Erwägungsgründe der Datenschutz-Grundverordnung Hinweis darauf, dass der europäische Verordnungsgesetzgeber das Sanktionsregime des europäischen Kartellrechtes habe nachbilden wollen, dem eine unmittelbare Verbandshaftung zugrunde liege. Danach bedarf es gerade nicht der Feststellung einer Tathandlung durch eine natürliche Person, die dem Verband zugerechnet werden müsste (sogenannte Anknüpfungstat). Vielmehr sei die juristische Person selbst Täter und nach dem insoweit unmittelbar anwendbaren Unionsrecht auch schuldfähig.
bb) Dieser Auffassung vermag sich die Kammer indes nicht anzuschließen.
Nach Artikel 83 DS-GVO in Verbindung mit Artikel 4 Nr. 7 und 8 DS-GVO sind Geldbußen für Verstöße gegen die DS-GVO gemäß Artikel 83 Absätze 4 bis 6 DS-GVO nicht nur gegen natürliche Personen, sondern auch gegen juristische Personen als „Verantwortlicher“ im Sinne des Artikel 4 Nr. 7 DS-GVO oder „Auftragsverarbeiter“ im Sinne des Artikel 4 Nr. 8 DS-GVO zu verhängen. Nähere Bestimmungen zur strafrechtlichen Verantwortlichkeit juristischer Personen für von ihnen zurechenbaren natürlichen Personen begangene Verstöße gegen die Datenschutz-Grundverordnung enthält die Verordnung indes nicht.
Auf das von der BlnBDI geführte Ordnungswidrigkeitsverfahren für die Verhängung einer Geldbuße nach Artikel 83 Absatz 4-6 DS-GVO findet nach § 41 BDSG aber das Gesetz über Ordnungswidrigkeiten Anwendung. Die Norm dient – neben der allgemeinen Umsetzungsverpflichtung europäischen Rechts aus Artikel 197 Absatz 3 Satz 1, 291 Absatz 1 des Vertrags über die Europäische Union und des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) – der Umsetzung des spezifischen Regelungsauftrages aus Artikel 83 Absatz 8 DS-GVO. Danach haben die Mitgliedstaaten für die Ausübung der Befugnisse gemäß Artikel 83 DS-GVO durch die zuständige Aufsichtsbehörde angemessene Verfahrensgarantien einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren vorzusehen. § 41 Absatz 1 BDSG erklärt daher die Anwendung des Gesetzes über Ordnungswidrigkeiten für die Verstöße nach Artikel 83 Absatz 4 bis 6 DS-GVO und damit für das „ob“ einer Tatbestandsverwirklichung unter Ausnahme der §§ 17, 35, 36 OWiG, für anwendbar. § 41 Absatz 2 BDSG regelt sinngleiches für das Verfahren wegen eines Verstoßes gegen Artikel 83 Absatz 4 bis 6 DS-GVO. Die Regelung ist erforderlich, da das Gesetz über Ordnungswidrigkeiten nach dessen § 2 Absatz 2 Satz 2 nur für Bundes- und Landesrecht gilt. Der Nichtanwendungsbefehl für die §§ 17, 35, 36 OWiG folgt dabei daraus, dass in der diesen Normen zugrundeliegenden Regelungsmaterie, namentlich der Bußgeldhöhe und der Zuständigkeit der Aufsichtsbehörde, die Datenschutz-Grundverordnung abschließende Regelungen getroffen hat (vgl. BT-Drs. 18/11325, S. 108 zu § 41). Für den Bereich der Zurechnung schuldhaften Verhaltens ist dies freilich nicht der Fall, weshalb die §§ 30, 130 OWiG auch im Rahmen von Verstößen nach Artikel 83 Absatz 4 bis 6 DS-GVO anwendbar bleiben (vgl. Gola, Datenschutzgrundverordnung, Art. 83, Rn. 11; Sydow/Popp DS-GVO Art. 83 Rn. 5, Art. 84 Rn. 3; Piltz, BDSG Praxiskommentar für die Wirtschaft, § 41 Rn. 7 ff.; Schantz/Wolff, Das neue Datenschutzrecht, Rn. 1128, 1132-1135; zur vergleichbaren Rechtslage in Österreich: ÖVwGH, Erkenntnis vom 12.5.2020 – Ro 2019/04/0229, ZD 2020, 463; BVwG, Spruch vom 19. August 2019 – W211 2217629-1/10E Rn. 29 ff.; Spruch vom 23. Oktober 2019 – W258 2227269-1/114E, sub. 3.11).
Die Regelung der Zurechnung der durch natürliche Personen begangenen Verstöße ist erforderlich, da die juristische Person selbst nicht handelt, ihre Organe und Vertreter tun dies für sie. Eine Ordnungswidrigkeit aber ist eine rechtswidrige und vorwerfbare Handlung, die den Tatbestand eines Gesetzes verwirklicht, welches die Ahndung mit einer Geldbuße zulässt (vgl. § 1 Absatz 1 OWiG). Insoweit ist die Feststellung eines vorwerfbaren Verhaltens einer natürlichen Person die notwendige Grundvoraussetzung für die Begründung einer Verantwortlichkeit des möglicherweise pflichtigen Rechtsträgers.
Der Wortlaut des § 41 Absatz 1 Satz 1 BDSG, der für Verstöße nach Artikel 83 Absatz 4 bis 6 der DS-GVO die „sinngemäße“ Anwendung der Vorschriften des Gesetzes über Ordnungswidrigkeiten vorsieht, liefert – entgegen der Auffassung der Behörde – keinen Hinweis darauf, dass die Normen des Gesetzes über Ordnungswidrigkeiten „eingeschränkt“ oder gar selektiv überhaupt nicht anzuwenden wären. Es handelt sich bei diesem Verweis vielmehr um eine gängige Inbezugnahme außerhalb des Ausgangstextes liegender Vorschriften. Hierzu stehen dem Gesetzgeber verschiedene Formen des Verweises zur Verfügung. Einer von ihnen ist die sogenannte Analogieverweisung, die rechtsförmlich zutreffend mit dem Wort „sinngemäß“ oder „entsprechend“ verbunden wird. Damit soll bestimmt werden, dass der Bezugstext – hier das Gesetz über Ordnungswidrigkeiten – nicht wörtlich, sondern nur sinngemäß angewandt wird, was immer dann angezeigt ist, wenn der Bezugstext nicht wörtlich passt. Eine inhaltliche Einschränkung dahingehend, dass bestimmte Normen des Bezugstextes gar nicht gelten, ist davon indes nicht erfasst. Grundsätzlich wird vielmehr der Bezugstext Bestandteil der verweisenden Regelung (zum Ganzen: Handbuch der Rechtsförmlichkeit, BAnz. Nr. 160a vom 22. September 2008, Rn. 218 ff., 232 ff.). Dementsprechend lässt sich aus dem Analogieverweis auf die Normen des Gesetzes über Ordnungswidrigkeiten auch keinesfalls ableiten, dass die §§ 30, 130 OWiG nicht oder einschränkt auf den hiesigen Sachverhalt anwendbar wäre.
Zu keinem anderen Ergebnis führt es, dass § 41 Absatz 1 Satz 1 BDSG die einschränkende Wendung „soweit dieses Gesetz nichts anderes bestimmt“ enthält. Anders als die Behörde meint, ist mit der Bezeichnung „dieses Gesetz“ nicht etwa die DS-GVO gemeint. Nicht nur wäre die DS-GVO als „Gesetz“ rechtsförmlich unzutreffend bezeichnet worden. Das verweisende Gesetz – hier das Bundesdatenschutzgesetz – wird stets als „dieses Gesetz“ bezeichnet (vgl. Handbuch der Rechtsförmlichkeit, BAnz. Nr. 160a vom 22. September 2008, Rn. 275 f., 310).
Der historische Gesetzgeber des Bundesdatenschutzgesetzes ist denn auch augenscheinlich von der Anwendbarkeit der §§ 30, 130 OWiG im Falle eines Verstoßes gegen die DS-GVO ausgegangen. Denn während der erste Referentenentwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und –Umsetzungsgesetz EU) in § 39 Absatz 1 Satz 2 BDSG-RefE noch die ausdrückliche Nichtanwendung der §§ 30, 130 OWiG vorsah, ist dieser Normbefehl in der Gesetz gewordenen bedeutungs- und im Übrigen wortlautgleichen Vorschrift des § 41 Absatz 1 Satz 2 BDSG gestrichen worden und auch nicht durch die letzte Novelle des Bundesdatenschutzgesetzes, durch das zweite Gesetz zur Anpassung des Datenschutzrechts vom 20. November 2019, geändert worden. Dabei war sich der Gesetzgeber mindestens durch die Entschließung der 97. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 3. April 2019, mit dem für eine „klarstellende“ Ergänzung des § 41 Absatz 1 Satz 2 BDSG und die Nichtanwendung der §§ 30, 130 OWiG geworben wird, der Folgen seiner Entscheidung bewusst.
Die insoweit unzweideutige Entscheidung des Gesetzgebers findet einen guten Grund in den Grenzen der verfassungsmäßigen Ordnung. Denn Hintergrund des Erfordernisses der Anknüpfung an die Handlung einer natürlichen Person ist das aus dem Rechtsstaatsprinzip des Artikel 20 Absatz 3 Grundgesetz (GG), aus Artikel 103 Absatz 2 GG, der allgemeinen Handlungsfreiheit des Artikel 2 Absatz 1 GG sowie der Menschenwürde in Artikel 1 Absatz 1 GG folgende Schuldprinzip. Ohne eine Anknüpfung an eine schuldhafte Handlung ist ein staatlicher Strafausspruch nicht möglich. Wobei jede Strafe, nicht nur die Strafe für kriminelles, sondern auch die strafähnliche Sanktion für sonstiges Unrecht, die Elemente von Repression und Vergeltung beinhaltet, die ein Übel wegen eines rechtswidrigen Verhaltens verhängt, dem Schuldprinzip unterliegt (BVerfG, Beschluss vom 25. Oktober 1966 – 2 BvR 506/63, NJW 1967, 195; Urteil vom 30. Juni 1976 - 2 BvR 435/76, NJW 1976, 1883; Beschluss vom 14. Juli 1981 – 1 BvR 575/80). Dieses gilt daher auch im Ordnungswidrigkeitenrecht. Die schuldhafte Handlung des Einzelnen setzt aber dessen eigene Verantwortung und die Willensfreiheit voraus, sich für Recht oder Unrecht entscheiden zu können. Diese Entscheidung vermag die juristische Person nicht zu treffen, weshalb es insoweit immer der Anknüpfung an die Handlung einer natürlichen Person bedarf. Auf dieser Linie liegt es, wenn auch das aktuelle Gesetzgebungsverfahren zu einem Verbandssanktionengesetz in der Entwurfsfassung des § 3 VerSanG-E (vgl. BT-Drcks. Drucksache 19/23568, S. 11) auf die Begehung einer Straftat durch eine Leitungsperson oder die Verletzung einer Aufsichtspflicht abstellt und insoweit am bestehenden Konzept der Notwendigkeit der Verantwortlichkeit einer natürlichen Person festhält.
Der Hinweis darauf, der europäische Verordnungsgesetzgeber habe mit der Datenschutzgrundverordnung das Sanktionsregime des europäischen Kartellrechts nachbilden wollen, weshalb – wie dort – eine unmittelbare Verbandsverantwortlichkeit in Betracht komme, überzeugt ebenfalls nicht.
Zunächst ist das europäische Kartellrecht davon geprägt, dass es nach Artikel 4 der Verordnung (EG) Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung der in den Artikeln 81 und 82 des Vertrags niedergelegten Wettbewerbsregeln (KartellVO) grundsätzlich von der europäischen Kommission kraft eigener Kompetenz umgesetzt wird, wohingegen die DS-GVO durch nationale Aufsichtsbehörden exekutiert werden soll. Mag auch Artikel 5 KartellVO eine Zuständigkeit der nationalen Wettbewerbsbehörden zur Anwendung des EU-Wettbewerbsrechts begründen, so ist doch für die Reichweite dieser behördlichen Befugnisse weiterhin das innerstaatliche Recht maßgeblich. Die nationalen Behörden können dementsprechend Verstöße gegen europäisches Recht nur verfolgen, soweit es nationale Bestimmungen zulassen. Dies gilt im Besonderen auch für die bußgeldrechtliche Haftung eines Unternehmens im Sinne des weiten Unternehmensbegriffs nach europäischer Rechtsprechung (zu diesem: EuGH, Urteil vom 10. September 2009 – C-97/08 – EuZW 2009, 816, 821 [Akzo Nobel u. a./Kommission], Rn. 54 ff.; EuG, Urteil vom 14. Dezember 2006 – T-259/02, BeckRS 2006, 140069, Rn. 21). Denn für das deutsche Recht hat der nationale Gesetzgeber sich für das Rechtsträgerprinzip entschieden, wie es etwa in § 30 OWiG zum Ausdruck kommt. Die Verhängung einer allgemeine Unternehmensgeldbuße durch deutsche Kartellbehörden ohne Anknüpfung an die Tat eines Repräsentanten kommt danach nicht in Betracht (vgl. BGH, Beschluss vom 16. Dezember 2014 − KRB 47/13, NZKart 2015, 272, 275 f. [Silostellgebühren III]; Beschluss vom 10. August 2011 – KRB 55/10, NJW 2012,164, 165 [Versicherungsfusion]; OLG Düsseldorf, Urteil vom 17. Dezember 2012 − V-1 Kart 7/12 (OWi)- NZKart 2013, 166, 167 ff. [Silostellgebühren II]). Das nationale Kartellbußgeldrecht enthält auch nach der jüngsten Novelle des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) keine Ausnahme von diesem Rechtsgrundsatz. Nach den §§ 81 ff. GWB setzt die Bebußung eines Unternehmens voraus, dass die Tat durch eine Leitungsperson selbst oder zwar durch eine andere Person begangen wurde, aber die Leitungsperson sich einer vorsätzlichen oder fahrlässigen Aufsichtspflichtverletzung (§ 130 OWiG) schuldig gemacht hat. Dies gilt insbesondere auch mit Blick auf die Vorschriften der §§ 81a bis 81c GWB. Soweit danach eine gegen ein Unternehmen oder eine Unternehmensvereinigung zu verhängende Geldbuße in Rede steht, geht es dabei – wie bereits in der Vorgängernorm des § 81 Absatz 4 Satz 2 GWB – insbesondere um die Bußgeldbemessung, ohne dass damit die in § 30 OWiG vorgesehene Begrenzung der Ahndung einer Organtat gegenüber derjenigen juristischen Person, deren Organ die Tat begangen hat, aufgehoben wäre (vgl. BGH, Beschluss vom 10. August 2011 – KRB 55/10, NJW 2012, 164, 166 [Versicherungsfusion]).
Insoweit vermag auch der Hinweis auf Erwägungsgrund 150 zur DS-GVO nicht die Annahme rechtfertigen, der europäische Verordnungsgesetzgeber der DS-GVO habe die Übernahme des gesamten supranationalen kartellrechtlichen Sanktionsregimes gewollt. Denn Erwägungsgrund 150 (Satz 3) zur DS-GVO betrifft die Bemessung einer möglichen Bußgeldhöhe allein. Er verhält sich damit zur Rechtsfolge eines Verstoßes und keinesfalls – wie etwa der die europäische Kommission ermächtigende Artikel 23 KartellVO – auch zu dessen Voraussetzungen. Satz 3 des Erwägungsgrundes lautet: „Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV verstanden werden.“ Die Formulierung setzt zunächst voraus, dass überhaupt eine Buße gegen ein „Unternehmen“ verhängt wird. Zur Frage der Bemessung der Höhe dieser Buße nimmt Erwägungsgrund 150 erkennbar Bezug auf Artikel 83 Absatz 4 bis 6 DS-GVO und möchte damit erreichen, dass im Falle der Verhängung einer Buße gegen ein „Unternehmen“ eben nicht allein der erzielte Jahresumsatz des (unmittelbar) betroffenen Rechtsträgers zur Bemessungsgrundlage gemacht wird, sondern vielmehr – i.S.v. Artikel 101 f. AEUV und des kartellrechtlichen, weiten Unternehmensbegriffs – der Umsatz der handelnden wirtschaftlichen Einheit (vgl. Immenga/Mestmäcker/Zimmer, Wettbewerbsrecht, Art. 101 Abs. 1 AEUV, Rn. 9 ff.). Diese Ausdeutung wird in systematischer Hinsicht durch Satz 4 des Erwägungsgrundes gestützt, der sich mit der Bemessung der Bußgeldhöhe – und dieser allein – bei natürlichen Personen befasst.
Nach Auffassung der Kammer erlaubt es zudem das Gesetzlichkeitsprinzip des Artikel 103 Absatz 2 GG nicht, die Frage der Verantwortlichkeit einer juristischen Person im Rahmen einer staatlichen Sanktionsanordnung durch die eine europäische Verordnung begleitenden Erwägungsgründe zu manifestieren, die zudem erkennbar nicht Bestandteil der Verordnung selbst sind.
Schließlich ist für die Kammer auch nicht erkennbar, dass sich aus dem unionsrechtlichen Effektivitätsgebot (Art. 197 AEUV) eine Pflicht zur Übernahme des unionsrechtlichen Modells der Verbandsverantwortlichkeit ergeben sollte. Denn dieses belässt den Mitgliedstaaten bei der Ausgestaltung des Sanktionsregimes einen Ermessensspielraum, der verfassungskonform, hier insbesondere unter Beachtung des Schuldgrundsatzes auszufüllen ist (vgl. zum Kartellrecht: Böse, ZStW 126 (2014), 132, 155).
Zwar wird wohl zutreffend darauf hingewiesen, dass es zur effektiven Durchsetzung der Regelungsziele der Datenschutzgrundverordnung erforderlich ist, dass das nationale Recht wirksame und hinreichend abschreckende Sanktionen zulässt, womit die Pflicht der nationalen Gerichte einhergehen dürfte, das einzelstaatliche Recht möglichst so auszulegen, dass bei einer Zuwiderhandlung gegen die DS-GVO effektive Sanktionen verhängt werden können. Die Pflicht zur unionsrechtskonformen Auslegung findet aber in den allgemeinen Rechtsgrundsätzen, insbesondere im Grundsatz der Rechtssicherheit, insofern ihre Schranken, als sie nicht als Grundlage für eine Auslegung des nationalen Rechts contra legem, also entgegen den nach nationalem Recht zulässigen Methoden richterlicher Rechtsfindung, dienen darf (vgl. EuGH, Urteil vom 16.Juli 2009 - C 12/08, BeckRS 2009, 70805, Rn. 61 [Mono Car Styling]; BGH, Urteil vom 26. November 2008 - VIII ZR 200/0, BGHZ 179, 27 Rn. 19 ff. mwN). Besondere Geltung beanspruchen diese Grundsätze für Vorschriften auf dem Gebiet des Straf- oder Ordnungswidrigkeitenrechts (EuGH, Urteil vom 16. Juni 2005 - C-105/03, NJW 2005, 2839 Rn. 47 [M. Pupino]; KK-OWiG/Rogall, § 3 Rn. 83 m.w.N.), bei deren Auslegung dem im deutschen und auch europäischen Verfassungsrecht verankerten Gesetzlichkeitsprinzip (Artikel 103 Absatz 2 GG, Artikel 49 der Charta der Grundrechte der Europäischen Union [2007/C 303/01]; Artikel 7 der Konvention zum Schutz der Menschenrechte und Grundfreiheiten) und somit auch der Wortsinngrenze besondere Bedeutung zukommt. Eine gesetzlich nicht vorgesehene strafrechtliche Verantwortlichkeit kann danach auf eine unionsrechtskonforme Auslegung selbst dann nicht gestützt werden, wenn die in Rede stehende nationale Regelung sich andernfalls als unionsrechtswidrig erweisen könnte (EuGH, Urteil vom 28. Juni 2012 – C-7/11, BeckRS 2012, 81321 [Caronna]; BGH, Beschluss vom 16. Dezember 2014 − KRB 47/13 – Silostellgebühren III, NZKart 2015, 272, 274).
Die hier anzuwendenden Bestimmungen in §§ 30, 130 OWiG i.V.m. § 41 BDSG schließen die bußgeldrechtliche Inanspruchnahme der Betroffenen auf der Grundlage des verfahrensgegenständlichen Bescheides aus. Denn nach ihrem Wortlaut ist für die Verantwortlichkeit der juristischen Person eine schuldhafte Handlung eines ihrer Repräsentanten erforderlich. Dieses Erfordernis kann nicht im Wege der Auslegung der Norm oder durch die Annahme einer Verbandsverantwortlichkeit „sui generis“ entfallen, ohne die Wortlautgrenze zu überschreiten und damit einen Verstoß gegen das Analogieverbot des Artikel 103 Absatz 2 GG zu begründen (vgl. dazu BVerfG, Urteil vom 11. November 1986 – 1 BvR 713/83, BeckRS 1986, 50, Rn. 65).
Es ist überdies lediglich pauschal dargetan worden, dass der Nachweis der Begehung einer Ordnungswidrigkeit durch das Erfordernis des Nachweises einer pflichtwidrigen Organhandlung i.S.v. §§ 30, 130 OWiG erschwert sei. Nicht dargetan ist indessen, dass sie den handelnden Aufsichtsbehörden dadurch nicht möglich wäre. Es ist im hiesigen Falle im Besonderen verwunderlich, dass die verfahrensgegenständlichen Verstöße gegen Datenschutzgesetze durch die Behörde bereits im Jahre 2017 – und damit vor Inkrafttreten der DS-GVO – festgestellt worden sind, verschiedene Vor-Ort Termine stattgefunden haben, Auskünfte, etwa über technische Details der Datenverarbeitung verlangt worden sind, und die Betroffene auch entsprechende Auskünfte erteilt hat, dass jedoch von der Behörde keine hinreichenden Ermittlungen zu den unternehmensinternen Verantwortlichkeiten für die beanstandeten Verstöße erfolgt sind. In diesem Falle dürfte es naheliegen, dass bereits eine Offenlegung der Organisationsstruktur im Unternehmen der Betroffenen zu einer Ermittlung von für die Datenverarbeitungsvorgänge verantwortlichen Personen geführt hätte und so möglicherweise etwa eine Aufsichtspflichtverletzung hätte dargelegt werden können. Vor diesem Hintergrund ist nicht ersichtlich, dass unter Beachtung der §§ 30, 130 OWiG keine wirksamen und abschreckenden Sanktionen verhängt werden können.
b) Auch bei einer Umdeutung des Bescheids in einen selbständigen Bußgeldbescheid gemäß § 30 Absatz 4 OWiG genügte dieser nicht den Anforderungen, die an einen solchen als Verfahrensgrundlage zu stellen wären.
Der Bußgeldbescheid, der im gerichtlichen Verfahren anstelle des Anklagesatzes tritt, begrenzt nach Person und Sache den Prozessgegenstand. Aus ihm muss sich die tatsächlich und rechtlich näher bezeichnete Beschuldigung ergeben (vgl. § 66 OWiG). Voraussetzung für die Festsetzung einer Geldbuße gegen eine juristische Person im selbständigen Verfahren gemäß § 30 Absatz 4 OWiG ist, wie bereits dargelegt, zudem, dass eines ihrer Organe eine Ordnungswidrigkeit begangen hat, die der juristischen Person zuzurechnen ist.
Der Bußgeldbescheid vom 30. Oktober 2019 erfüllt diese Abgrenzungsfunktion nicht. Der Tatvorwurf ist nicht bestimmt. Es fehlt etwa die Angabe von Tatzeit und -ort sowie des Organmitgliedes, das schuldhaft und der Betroffenen zurechenbar die Einrichtung eines den datenschutzrechtlichen Anforderungen genügenden EDV-Systems unterlassen oder aber eine rechtzeitige Löschung relevanter Daten nicht veranlasst haben soll. Der Bescheid enthält – mit Blick auf die Rechtsauffassung der Behörde konsequent – auch sonst keine Angaben zur konkreten Tathandlung selbst oder ihrer Unterlassung. Ihm lässt sich nicht entnehmen, worauf ein Vorwurf, die datenschutzrechtlichen Anforderungen seien nicht eingehalten worden, gestützt wird. Dies wäre aber umso mehr erforderlich, als, wie aus der Akte ersichtlich ist, die Behörde zu den Vorwürfen bei der Betroffenen Ermittlungen geführt hat und über einen längeren Zeitraum mit dieser über die gegenständlichen Vorwürfe in Kontakt stand, sich etwa schriftlich und in persönlichen Gesprächen Fragen von Mitarbeitern des Unternehmens beantworten ließ. Insoweit wären Ausführungen dazu möglich und notwendig gewesen, aus welchen Umständen die Behörde eine Verantwortlichkeit der Betroffenen herleiten möchte. Der Bußgeldbescheid enthält gleichwohl keinen konkreten Tatvorwurf gegen ein Organ der juristischen Person. Dieser Mangel kann auch nicht mehr gemäß §§ 71 Absatz 1 OWiG, 265 StPO durch einen Hinweis des Gerichts behoben werden. Auch bei Umdeutung des Bußgeldbescheides in einen selbständigen Bescheid nach § 30 Absatz 4 OWiG müsste deshalb das Verfahren wegen eines Verfahrenshindernisses eingestellt werden.
2. Die Kostenentscheidung beruht auf §§ 71 OWiG, 467 Absatz 1, Absatz 3 StPO. Es erscheint nicht unbillig, der Staatskasse die notwendigen Auslagen der ... aufzuerlegen, da das Verfahrenshindernis von Anfang an bestand.
Den Volltext der Entscheidung finden Sie hier:
Beschluss vom 18.02.2021
(526 OWi LG) 212 Js-OWi 1/20 (1/20), 526 OWiG LG 1/20
Das LG Berlin hat das 14,5 Millionen EURO DSGVO-Bußgeld gegen die Deutsche Wohnen SE (siehe dazu Berliner Datenschutzbeauftragter: Bußgeld von 14,5 Millionen EURO gegen Deutsche Wohnen SE wegen DSGVO-Verstößen) aufgehoben. Das Gericht führt u.a. aus, dass § 30 OWiG über § 41 Absatz 1 BDSG auch für DSGVO-Verstöße gilt.
Die Entscheidungsgründe:
I. Die Betroffene ist ein börsennotiertes Immobilienunternehmen mit Sitz in Berlin. Sie hält über gesellschaftsrechtliche Beteiligungen mittelbar 162.700 Wohneinheiten und 3.000 Gewerbeeinheiten. Eigentümer dieser Einheiten sind Tochtergesellschaften der Betroffenen, sogenannte Besitzgesellschaften, die das operative Geschäft führen und die mit der Betroffenen einen Konzern bilden. Die Geschäftstätigkeit der Betroffenen konzentriert sich auf die übergeordnete Leitung, wie die Geschäftsführung, das Personalwesen oder das Finanz- und Rechnungswesen. Die Besitzgesellschaften vermieten die Wohn- und Gewerbeeinheiten, die Verwaltung der Einheiten erfolgt ebenfalls durch Konzerngesellschaften, die sogenannten Servicegesellschaften.
Im Rahmen ihrer Geschäftstätigkeit verarbeiten die Betroffene und die genannten Konzerngesellschaften unter anderem auch personenbezogene Daten von Mieterinnen und Mietern der Wohn- und Gewerbeeinheiten. Dies geschieht im Rahmen der Neuvermietung eines Objektes, der laufenden Verwaltung eines bestehenden Mietverhältnisses oder auch beim Erwerb von bereits vermieteten Immobilien und der Übernahme der mit diesen verbundenen Mietverhältnissen. Bei diesen Daten handelt es sich unter anderem um Identitätsnachweise (etwa Personalausweiskopien), Bonitätsnachweise (etwa Kontoauszüge), Gehaltsbescheinigungen, Arbeitsnachweise, Steuer-, Sozial- und Krankenversicherungsdaten sowie Angaben zu Vormietverhältnissen
Am 23. Juni 2017 wies die Berliner Beauftragte für den Datenschutz („BlnBDI“ oder „Behörde“) im Rahmen einer sogenannten Vor-Ort-Kontrolle nach § 38 Absatz 4 Bundesdatenschutzgesetz a.F. die Betroffene darauf hin, dass ihrer Auffassung nach Konzerngesellschaften der Betroffenen personenbezogene Daten von Mieterinnen und Mietern in einem elektronischen Archivsystem speicherten, bei dem nicht überprüft werden könne, ob eine erfolgte Speicherung zulässig oder erforderlich ist und bei dem nicht mehr erforderliche Daten nicht gelöscht werden könnten, obgleich dies nach den geltenden datenschutzrechtlichen Bestimmungen zu erfolgen habe. Im Hinblick auf diesen Umstand forderte die Behörde die Betroffene mit Schreiben vom 8. September 2017 auf, eine Vielzahl beanstandeter Dokumente aus dem elektronischen Archivsystem bis Jahresende 2017 zu löschen. Die Betroffene teilte daraufhin mit Schreiben vom 22. September 2017 mit, dass ihr die verlangte Löschung der beanstandeten Dokumente aus technischen und rechtlichen Gründen nicht möglich sei. Eine Löschung der Dokumente erfordere insbesondere zunächst die Überführung der alten Archivdaten in ein neues Archivsystem, welches wiederum Konformität mit den gesetzlichen handels- und steuerrechtlichen Aufbewahrungspflichten aufweisen müsse. Zu diesen Einwänden fand auf Wunsch der Betroffenen sodann am 1. November 2017 ein Gespräch zwischen Vertretern der Behörde und der Betroffenen statt, indem die Behörde insbesondere die Auffassung vertrat, dass es am Markt technische Lösungen gebe, die eine Umsetzung der begehrten Löschungen erlaube. Nachdem die Betroffene unter dem 30. November 2017 noch einmal schriftlich dargelegt hatte, dass die Löschungen innerhalb der gesetzten Frist nicht erfolgen könnten, forderte die Behörde die Betroffene mit Schreiben vom 20. Dezember 2017 dazu auf, die der Löschung entgegenstehenden Gründe, insbesondere einen etwaigen unverhältnismäßigen Aufwand schriftlich darzulegen. Die Betroffene beantwortete diese Aufforderung mit einer E-Mail vom 3. Januar 2018 und einem Schreiben vom 26. Januar 2018 und berichtete über den vorgesehenen Aufbau eines neuen Speichersystems, mit dem das bisherige beanstandete System ersetzt werden sollte.
Am 5. März 2020 nahm die BlnBDI sodann eine Prüfung in der Konzernzentrale der Betroffenen vor, bei der insgesamt 16 Stichproben im Datenbestand der Betroffenen entnommen wurden und die Betroffene die Behörde unterrichtete, dass das beanstandete Archivsystem zum 13. Februar 2020 außer Betrieb gesetzt worden sei und die Migration der Daten auf das neue System unmittelbar bevorstehe. An diesen Termin schloss sich weiterer Briefwechsel zwischen der Betroffenen und der Behörde an, insbesondere hat die Behörde die Betroffene um zahlreiche Auskünfte ersucht, die die Betroffene in mehreren Schreiben bedient hat.
Mit Schreiben vom 30. August 2020, zugestellt am 2. September 2020, hörte die Behörde die ... als Betroffene wegen einer Ordnungswidrigkeit an und teilte ihr mit, gegen sie ein Ordnungswidrigkeitsverfahren eingeleitet zu haben. Mit der Anhörung verlangte die Behörde Auskunft über die vertretungsberechtigten Leitungspersonen der Betroffenen, die die Betroffene mit Schreiben vom 12. September 2020 beantwortet hat. Nach Stellungnahme der Betroffenen mit Schreiben vom 30. September 2020 erließ die BlnBDI am 30. Oktober 2020 sodann den verfahrensgegenständlichen Bußgeldbescheid gegen die Betroffene, der dieser am 31. Oktober 2020 zugestellt worden ist. Die Behörde verhängte mit dem Bußgeldbescheid vom 30. Oktober 2020 gegen die Betroffene wegen „vorsätzlicher“ Verstöße gegen Artikel 25 Absatz 1, Artikel 5 Absatz 1 lit. a), c) und e) sowie gegen Artikel 6 Absatz 1 DS-GVO ein Bußgeld in Höhe von EUR 14.549.503,50. Die ... als Betroffene habe es danach zumindest im Tatzeitraum zwischen dem 25. Mai 2018 und dem 5. März 2019 unterlassen, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Die ... habe ferner personenbezogene Daten von mindestens fünfzehn näher bezeichneten Mietern fortgesetzt gespeichert, obgleich ihr bekannt gewesen sei, dass die Speicherung nicht oder nicht mehr erforderlich war und sie habe damit bewusst in Kauf genommen, Datenschutzgrundsätze zu verletzen. Hinsichtlich der Tatvorwürfe habe die ... vorsätzlich gehandelt.
Mit Schreiben ihrer Prozessbevollmächtigten vom 7. November 2020 legte die Betroffene gegen den Bußgeldbescheid Einspruch ein, der der Behörde noch am selben Tage durch Faxschreiben zuging und den die Betroffene mit Schriftsatz ihrer Prozessbevollmächtigten vom 14. August 2020 begründete. Sie führt neben Einwänden zu den tatbestandlichen Voraussetzungen und Rechtsfolgen der vermeintlich verletzten Bußgeldvorschriften insbesondere aus, dass bereits ein Verfahrenshindernis bestehe, da der Bußgeldbescheid die ... als Betroffene führe, was im Ordnungswidrigkeitenrecht nicht vorgesehen sei.
Wegen des weiteren Sachstandes wird auf den Akteninhalt verwiesen.
II. Das Verfahren war nach § 206a StPO in Verbindung mit §§ 46, 71 OWiG durch Beschluss einzustellen, da ein Verfahrenshindernis besteht.
1. Der Bußgeldbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 30. Oktober 2019 leidet unter derart gravierenden Mängeln, dass er nicht Grundlage des Verfahrens sein kann.
a) Der Bußgeldbescheid wurde gegen die ... erlassen, mithin gegen eine Europäische Gesellschaft, eine juristische Person des Privatrechts mit eigener Rechtspersönlichkeit i.S.v. § 1 Absatz 1 AktG in Verbindung mit §§ 1 ff. SEAG in Verbindung mit Artikel 1 Absatz 3 der Verordnung (EG) Nr. 2157/2001 des Rates vom 8. Oktober 2001 über das Statut der Europäischen Gesellschaft. Die ... wurde von der BlnBDI als Betroffene im Sinne des Gesetzes über Ordnungswidrigkeiten behandelt. Ihr wurde im Bußgeldbescheid an zahlreichen Stellen die vorsätzliche Verwirklichung von Ordnungswidrigkeitstatbeständen vorgeworfen. In der Stellungnahme der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 28. Oktober 2020 zur Einspruchsbegründung der Betroffenen hat die Behörde bekräftigt, der Bescheid richte sich allein gegen die ..., vertreten durch ihre Geschäftsführung.
Eine juristische Person kann indes nicht Betroffene in einem Bußgeldverfahren, auch nicht in einem solchen nach Artikel 83 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung oder DS-GVO), sein. Denn eine Ordnungswidrigkeit kann nur eine natürliche Person vorwerfbar begehen. Der juristischen Person kann lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten (der natürlichen Personen) zugerechnet werden. Sie kann deshalb im Bußgeldverfahren nur Nebenbeteiligte sein. Die Verhängung einer Geldbuße gegen sie ist in § 30 OWiG geregelt, der über § 41 Absatz 1 BDSG auch für Verstöße nach Artikel 83 Absatz 4 bis 6 DS-GVO Anwendung findet. Danach kann entweder in einem einheitlichen Verfahren gegen die juristische Person eine Geldbuße festgesetzt werden, wenn wegen der Tat des Organmitgliedes oder Repräsentanten, also der natürlichen Person, gegen diese ein Bußgeldverfahren durchgeführt wird, oder aber nach § 30 Absatz 4 OWiG in einem selbständigen Verfahren. Voraussetzung ist dann freilich, dass wegen der Tat des Organmitgliedes oder Repräsentanten der juristischen Person ein Verfahren nicht eingeleitet oder ein solches Verfahren eingestellt wird. Allerdings muss, da die juristische Person selbst eine Ordnungswidrigkeit nicht begehen kann, auch in diesem sogenannten selbständigen Verfahren eine vorwerfbare Ordnungswidrigkeit eines Organmitgliedes der juristischen Person festgestellt werden.
Der verfahrensgegenständliche Bußgeldbescheid vom 30. Oktober 2019 wurde offensichtlich nicht als selbständiger Bescheid gemäß § 30 Absatz 4 OWiG erlassen. Die BlnBDI war sich der dargestellten Rechtslage nicht bewusst und vertritt die Auffassung, eine juristische Person könne im Ordnungswidrigkeitenrecht wie eine natürliche Person behandelt werden. Der Bußgeldbescheid erging daher in einem Verfahren, das im Gesetz über Ordnungswidrigkeiten nicht vorgesehen und daher nicht zulässig ist. Der Bescheid ist deshalb unwirksam (vgl. OLG Stuttgart, Beschluss vom 1. Februar 1993 – 4 Ss 573/92, MDR 1993, 572).
aa) Dabei übersieht die Kammer nicht, dass in der rechtswissenschaftlichen Literatur und vom Landgericht Bonn (Urteil vom 11. November 2020 – 29 OWi 1/20, BeckRS 2020, 35663) vertreten wird, Artikel 83 DS-GVO allein sei hinreichende Rechtsgrundlage für eine sogenannte unmittelbare Verbandshaftung juristischer Personen (vgl. etwa: BeckOK DatenschutzR/Holländer DS-GVO Art. 83 Rn. 9; Kühling/Buchner/Bergt, DS-GVO BDSG, DSGVO Art. 83 Rn. 20; BeckOK DatenschutzR/Brodowski/Nowak, § 41 BDSG Rn. 11). Nach dieser Auffassung besteht für die Datenschutz-Grundverordnung ein Anwendungsvorrang vor nationalen Vorschriften, da es andernfalls zu ungewünschten Wettbewerbsverzerrungen in den Mitgliedsstaaten der Europäischen Union im Hinblick auf die Durchsetzungen der europarechtlichen Datenschutzregeln kommen könne. Nationale Vorschriften wie § 41 Absatz 1 BDSG in Verbindung mit §§ 30, 130 OWiG, seien wegen des Grundsatzes der praktischen Wirksamkeit (effet utile) so auszulegen, dass ihre Anwendung nicht zu Vollzugsdefiziten führen könne – und wo dies nicht gelänge, seien sie gar nicht anzuwenden. Schließlich gäben die Erwägungsgründe der Datenschutz-Grundverordnung Hinweis darauf, dass der europäische Verordnungsgesetzgeber das Sanktionsregime des europäischen Kartellrechtes habe nachbilden wollen, dem eine unmittelbare Verbandshaftung zugrunde liege. Danach bedarf es gerade nicht der Feststellung einer Tathandlung durch eine natürliche Person, die dem Verband zugerechnet werden müsste (sogenannte Anknüpfungstat). Vielmehr sei die juristische Person selbst Täter und nach dem insoweit unmittelbar anwendbaren Unionsrecht auch schuldfähig.
bb) Dieser Auffassung vermag sich die Kammer indes nicht anzuschließen.
Nach Artikel 83 DS-GVO in Verbindung mit Artikel 4 Nr. 7 und 8 DS-GVO sind Geldbußen für Verstöße gegen die DS-GVO gemäß Artikel 83 Absätze 4 bis 6 DS-GVO nicht nur gegen natürliche Personen, sondern auch gegen juristische Personen als „Verantwortlicher“ im Sinne des Artikel 4 Nr. 7 DS-GVO oder „Auftragsverarbeiter“ im Sinne des Artikel 4 Nr. 8 DS-GVO zu verhängen. Nähere Bestimmungen zur strafrechtlichen Verantwortlichkeit juristischer Personen für von ihnen zurechenbaren natürlichen Personen begangene Verstöße gegen die Datenschutz-Grundverordnung enthält die Verordnung indes nicht.
Auf das von der BlnBDI geführte Ordnungswidrigkeitsverfahren für die Verhängung einer Geldbuße nach Artikel 83 Absatz 4-6 DS-GVO findet nach § 41 BDSG aber das Gesetz über Ordnungswidrigkeiten Anwendung. Die Norm dient – neben der allgemeinen Umsetzungsverpflichtung europäischen Rechts aus Artikel 197 Absatz 3 Satz 1, 291 Absatz 1 des Vertrags über die Europäische Union und des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) – der Umsetzung des spezifischen Regelungsauftrages aus Artikel 83 Absatz 8 DS-GVO. Danach haben die Mitgliedstaaten für die Ausübung der Befugnisse gemäß Artikel 83 DS-GVO durch die zuständige Aufsichtsbehörde angemessene Verfahrensgarantien einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren vorzusehen. § 41 Absatz 1 BDSG erklärt daher die Anwendung des Gesetzes über Ordnungswidrigkeiten für die Verstöße nach Artikel 83 Absatz 4 bis 6 DS-GVO und damit für das „ob“ einer Tatbestandsverwirklichung unter Ausnahme der §§ 17, 35, 36 OWiG, für anwendbar. § 41 Absatz 2 BDSG regelt sinngleiches für das Verfahren wegen eines Verstoßes gegen Artikel 83 Absatz 4 bis 6 DS-GVO. Die Regelung ist erforderlich, da das Gesetz über Ordnungswidrigkeiten nach dessen § 2 Absatz 2 Satz 2 nur für Bundes- und Landesrecht gilt. Der Nichtanwendungsbefehl für die §§ 17, 35, 36 OWiG folgt dabei daraus, dass in der diesen Normen zugrundeliegenden Regelungsmaterie, namentlich der Bußgeldhöhe und der Zuständigkeit der Aufsichtsbehörde, die Datenschutz-Grundverordnung abschließende Regelungen getroffen hat (vgl. BT-Drs. 18/11325, S. 108 zu § 41). Für den Bereich der Zurechnung schuldhaften Verhaltens ist dies freilich nicht der Fall, weshalb die §§ 30, 130 OWiG auch im Rahmen von Verstößen nach Artikel 83 Absatz 4 bis 6 DS-GVO anwendbar bleiben (vgl. Gola, Datenschutzgrundverordnung, Art. 83, Rn. 11; Sydow/Popp DS-GVO Art. 83 Rn. 5, Art. 84 Rn. 3; Piltz, BDSG Praxiskommentar für die Wirtschaft, § 41 Rn. 7 ff.; Schantz/Wolff, Das neue Datenschutzrecht, Rn. 1128, 1132-1135; zur vergleichbaren Rechtslage in Österreich: ÖVwGH, Erkenntnis vom 12.5.2020 – Ro 2019/04/0229, ZD 2020, 463; BVwG, Spruch vom 19. August 2019 – W211 2217629-1/10E Rn. 29 ff.; Spruch vom 23. Oktober 2019 – W258 2227269-1/114E, sub. 3.11).
Die Regelung der Zurechnung der durch natürliche Personen begangenen Verstöße ist erforderlich, da die juristische Person selbst nicht handelt, ihre Organe und Vertreter tun dies für sie. Eine Ordnungswidrigkeit aber ist eine rechtswidrige und vorwerfbare Handlung, die den Tatbestand eines Gesetzes verwirklicht, welches die Ahndung mit einer Geldbuße zulässt (vgl. § 1 Absatz 1 OWiG). Insoweit ist die Feststellung eines vorwerfbaren Verhaltens einer natürlichen Person die notwendige Grundvoraussetzung für die Begründung einer Verantwortlichkeit des möglicherweise pflichtigen Rechtsträgers.
Der Wortlaut des § 41 Absatz 1 Satz 1 BDSG, der für Verstöße nach Artikel 83 Absatz 4 bis 6 der DS-GVO die „sinngemäße“ Anwendung der Vorschriften des Gesetzes über Ordnungswidrigkeiten vorsieht, liefert – entgegen der Auffassung der Behörde – keinen Hinweis darauf, dass die Normen des Gesetzes über Ordnungswidrigkeiten „eingeschränkt“ oder gar selektiv überhaupt nicht anzuwenden wären. Es handelt sich bei diesem Verweis vielmehr um eine gängige Inbezugnahme außerhalb des Ausgangstextes liegender Vorschriften. Hierzu stehen dem Gesetzgeber verschiedene Formen des Verweises zur Verfügung. Einer von ihnen ist die sogenannte Analogieverweisung, die rechtsförmlich zutreffend mit dem Wort „sinngemäß“ oder „entsprechend“ verbunden wird. Damit soll bestimmt werden, dass der Bezugstext – hier das Gesetz über Ordnungswidrigkeiten – nicht wörtlich, sondern nur sinngemäß angewandt wird, was immer dann angezeigt ist, wenn der Bezugstext nicht wörtlich passt. Eine inhaltliche Einschränkung dahingehend, dass bestimmte Normen des Bezugstextes gar nicht gelten, ist davon indes nicht erfasst. Grundsätzlich wird vielmehr der Bezugstext Bestandteil der verweisenden Regelung (zum Ganzen: Handbuch der Rechtsförmlichkeit, BAnz. Nr. 160a vom 22. September 2008, Rn. 218 ff., 232 ff.). Dementsprechend lässt sich aus dem Analogieverweis auf die Normen des Gesetzes über Ordnungswidrigkeiten auch keinesfalls ableiten, dass die §§ 30, 130 OWiG nicht oder einschränkt auf den hiesigen Sachverhalt anwendbar wäre.
Zu keinem anderen Ergebnis führt es, dass § 41 Absatz 1 Satz 1 BDSG die einschränkende Wendung „soweit dieses Gesetz nichts anderes bestimmt“ enthält. Anders als die Behörde meint, ist mit der Bezeichnung „dieses Gesetz“ nicht etwa die DS-GVO gemeint. Nicht nur wäre die DS-GVO als „Gesetz“ rechtsförmlich unzutreffend bezeichnet worden. Das verweisende Gesetz – hier das Bundesdatenschutzgesetz – wird stets als „dieses Gesetz“ bezeichnet (vgl. Handbuch der Rechtsförmlichkeit, BAnz. Nr. 160a vom 22. September 2008, Rn. 275 f., 310).
Der historische Gesetzgeber des Bundesdatenschutzgesetzes ist denn auch augenscheinlich von der Anwendbarkeit der §§ 30, 130 OWiG im Falle eines Verstoßes gegen die DS-GVO ausgegangen. Denn während der erste Referentenentwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und –Umsetzungsgesetz EU) in § 39 Absatz 1 Satz 2 BDSG-RefE noch die ausdrückliche Nichtanwendung der §§ 30, 130 OWiG vorsah, ist dieser Normbefehl in der Gesetz gewordenen bedeutungs- und im Übrigen wortlautgleichen Vorschrift des § 41 Absatz 1 Satz 2 BDSG gestrichen worden und auch nicht durch die letzte Novelle des Bundesdatenschutzgesetzes, durch das zweite Gesetz zur Anpassung des Datenschutzrechts vom 20. November 2019, geändert worden. Dabei war sich der Gesetzgeber mindestens durch die Entschließung der 97. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 3. April 2019, mit dem für eine „klarstellende“ Ergänzung des § 41 Absatz 1 Satz 2 BDSG und die Nichtanwendung der §§ 30, 130 OWiG geworben wird, der Folgen seiner Entscheidung bewusst.
Die insoweit unzweideutige Entscheidung des Gesetzgebers findet einen guten Grund in den Grenzen der verfassungsmäßigen Ordnung. Denn Hintergrund des Erfordernisses der Anknüpfung an die Handlung einer natürlichen Person ist das aus dem Rechtsstaatsprinzip des Artikel 20 Absatz 3 Grundgesetz (GG), aus Artikel 103 Absatz 2 GG, der allgemeinen Handlungsfreiheit des Artikel 2 Absatz 1 GG sowie der Menschenwürde in Artikel 1 Absatz 1 GG folgende Schuldprinzip. Ohne eine Anknüpfung an eine schuldhafte Handlung ist ein staatlicher Strafausspruch nicht möglich. Wobei jede Strafe, nicht nur die Strafe für kriminelles, sondern auch die strafähnliche Sanktion für sonstiges Unrecht, die Elemente von Repression und Vergeltung beinhaltet, die ein Übel wegen eines rechtswidrigen Verhaltens verhängt, dem Schuldprinzip unterliegt (BVerfG, Beschluss vom 25. Oktober 1966 – 2 BvR 506/63, NJW 1967, 195; Urteil vom 30. Juni 1976 - 2 BvR 435/76, NJW 1976, 1883; Beschluss vom 14. Juli 1981 – 1 BvR 575/80). Dieses gilt daher auch im Ordnungswidrigkeitenrecht. Die schuldhafte Handlung des Einzelnen setzt aber dessen eigene Verantwortung und die Willensfreiheit voraus, sich für Recht oder Unrecht entscheiden zu können. Diese Entscheidung vermag die juristische Person nicht zu treffen, weshalb es insoweit immer der Anknüpfung an die Handlung einer natürlichen Person bedarf. Auf dieser Linie liegt es, wenn auch das aktuelle Gesetzgebungsverfahren zu einem Verbandssanktionengesetz in der Entwurfsfassung des § 3 VerSanG-E (vgl. BT-Drcks. Drucksache 19/23568, S. 11) auf die Begehung einer Straftat durch eine Leitungsperson oder die Verletzung einer Aufsichtspflicht abstellt und insoweit am bestehenden Konzept der Notwendigkeit der Verantwortlichkeit einer natürlichen Person festhält.
Der Hinweis darauf, der europäische Verordnungsgesetzgeber habe mit der Datenschutzgrundverordnung das Sanktionsregime des europäischen Kartellrechts nachbilden wollen, weshalb – wie dort – eine unmittelbare Verbandsverantwortlichkeit in Betracht komme, überzeugt ebenfalls nicht.
Zunächst ist das europäische Kartellrecht davon geprägt, dass es nach Artikel 4 der Verordnung (EG) Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung der in den Artikeln 81 und 82 des Vertrags niedergelegten Wettbewerbsregeln (KartellVO) grundsätzlich von der europäischen Kommission kraft eigener Kompetenz umgesetzt wird, wohingegen die DS-GVO durch nationale Aufsichtsbehörden exekutiert werden soll. Mag auch Artikel 5 KartellVO eine Zuständigkeit der nationalen Wettbewerbsbehörden zur Anwendung des EU-Wettbewerbsrechts begründen, so ist doch für die Reichweite dieser behördlichen Befugnisse weiterhin das innerstaatliche Recht maßgeblich. Die nationalen Behörden können dementsprechend Verstöße gegen europäisches Recht nur verfolgen, soweit es nationale Bestimmungen zulassen. Dies gilt im Besonderen auch für die bußgeldrechtliche Haftung eines Unternehmens im Sinne des weiten Unternehmensbegriffs nach europäischer Rechtsprechung (zu diesem: EuGH, Urteil vom 10. September 2009 – C-97/08 – EuZW 2009, 816, 821 [Akzo Nobel u. a./Kommission], Rn. 54 ff.; EuG, Urteil vom 14. Dezember 2006 – T-259/02, BeckRS 2006, 140069, Rn. 21). Denn für das deutsche Recht hat der nationale Gesetzgeber sich für das Rechtsträgerprinzip entschieden, wie es etwa in § 30 OWiG zum Ausdruck kommt. Die Verhängung einer allgemeine Unternehmensgeldbuße durch deutsche Kartellbehörden ohne Anknüpfung an die Tat eines Repräsentanten kommt danach nicht in Betracht (vgl. BGH, Beschluss vom 16. Dezember 2014 − KRB 47/13, NZKart 2015, 272, 275 f. [Silostellgebühren III]; Beschluss vom 10. August 2011 – KRB 55/10, NJW 2012,164, 165 [Versicherungsfusion]; OLG Düsseldorf, Urteil vom 17. Dezember 2012 − V-1 Kart 7/12 (OWi)- NZKart 2013, 166, 167 ff. [Silostellgebühren II]). Das nationale Kartellbußgeldrecht enthält auch nach der jüngsten Novelle des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) keine Ausnahme von diesem Rechtsgrundsatz. Nach den §§ 81 ff. GWB setzt die Bebußung eines Unternehmens voraus, dass die Tat durch eine Leitungsperson selbst oder zwar durch eine andere Person begangen wurde, aber die Leitungsperson sich einer vorsätzlichen oder fahrlässigen Aufsichtspflichtverletzung (§ 130 OWiG) schuldig gemacht hat. Dies gilt insbesondere auch mit Blick auf die Vorschriften der §§ 81a bis 81c GWB. Soweit danach eine gegen ein Unternehmen oder eine Unternehmensvereinigung zu verhängende Geldbuße in Rede steht, geht es dabei – wie bereits in der Vorgängernorm des § 81 Absatz 4 Satz 2 GWB – insbesondere um die Bußgeldbemessung, ohne dass damit die in § 30 OWiG vorgesehene Begrenzung der Ahndung einer Organtat gegenüber derjenigen juristischen Person, deren Organ die Tat begangen hat, aufgehoben wäre (vgl. BGH, Beschluss vom 10. August 2011 – KRB 55/10, NJW 2012, 164, 166 [Versicherungsfusion]).
Insoweit vermag auch der Hinweis auf Erwägungsgrund 150 zur DS-GVO nicht die Annahme rechtfertigen, der europäische Verordnungsgesetzgeber der DS-GVO habe die Übernahme des gesamten supranationalen kartellrechtlichen Sanktionsregimes gewollt. Denn Erwägungsgrund 150 (Satz 3) zur DS-GVO betrifft die Bemessung einer möglichen Bußgeldhöhe allein. Er verhält sich damit zur Rechtsfolge eines Verstoßes und keinesfalls – wie etwa der die europäische Kommission ermächtigende Artikel 23 KartellVO – auch zu dessen Voraussetzungen. Satz 3 des Erwägungsgrundes lautet: „Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV verstanden werden.“ Die Formulierung setzt zunächst voraus, dass überhaupt eine Buße gegen ein „Unternehmen“ verhängt wird. Zur Frage der Bemessung der Höhe dieser Buße nimmt Erwägungsgrund 150 erkennbar Bezug auf Artikel 83 Absatz 4 bis 6 DS-GVO und möchte damit erreichen, dass im Falle der Verhängung einer Buße gegen ein „Unternehmen“ eben nicht allein der erzielte Jahresumsatz des (unmittelbar) betroffenen Rechtsträgers zur Bemessungsgrundlage gemacht wird, sondern vielmehr – i.S.v. Artikel 101 f. AEUV und des kartellrechtlichen, weiten Unternehmensbegriffs – der Umsatz der handelnden wirtschaftlichen Einheit (vgl. Immenga/Mestmäcker/Zimmer, Wettbewerbsrecht, Art. 101 Abs. 1 AEUV, Rn. 9 ff.). Diese Ausdeutung wird in systematischer Hinsicht durch Satz 4 des Erwägungsgrundes gestützt, der sich mit der Bemessung der Bußgeldhöhe – und dieser allein – bei natürlichen Personen befasst.
Nach Auffassung der Kammer erlaubt es zudem das Gesetzlichkeitsprinzip des Artikel 103 Absatz 2 GG nicht, die Frage der Verantwortlichkeit einer juristischen Person im Rahmen einer staatlichen Sanktionsanordnung durch die eine europäische Verordnung begleitenden Erwägungsgründe zu manifestieren, die zudem erkennbar nicht Bestandteil der Verordnung selbst sind.
Schließlich ist für die Kammer auch nicht erkennbar, dass sich aus dem unionsrechtlichen Effektivitätsgebot (Art. 197 AEUV) eine Pflicht zur Übernahme des unionsrechtlichen Modells der Verbandsverantwortlichkeit ergeben sollte. Denn dieses belässt den Mitgliedstaaten bei der Ausgestaltung des Sanktionsregimes einen Ermessensspielraum, der verfassungskonform, hier insbesondere unter Beachtung des Schuldgrundsatzes auszufüllen ist (vgl. zum Kartellrecht: Böse, ZStW 126 (2014), 132, 155).
Zwar wird wohl zutreffend darauf hingewiesen, dass es zur effektiven Durchsetzung der Regelungsziele der Datenschutzgrundverordnung erforderlich ist, dass das nationale Recht wirksame und hinreichend abschreckende Sanktionen zulässt, womit die Pflicht der nationalen Gerichte einhergehen dürfte, das einzelstaatliche Recht möglichst so auszulegen, dass bei einer Zuwiderhandlung gegen die DS-GVO effektive Sanktionen verhängt werden können. Die Pflicht zur unionsrechtskonformen Auslegung findet aber in den allgemeinen Rechtsgrundsätzen, insbesondere im Grundsatz der Rechtssicherheit, insofern ihre Schranken, als sie nicht als Grundlage für eine Auslegung des nationalen Rechts contra legem, also entgegen den nach nationalem Recht zulässigen Methoden richterlicher Rechtsfindung, dienen darf (vgl. EuGH, Urteil vom 16.Juli 2009 - C 12/08, BeckRS 2009, 70805, Rn. 61 [Mono Car Styling]; BGH, Urteil vom 26. November 2008 - VIII ZR 200/0, BGHZ 179, 27 Rn. 19 ff. mwN). Besondere Geltung beanspruchen diese Grundsätze für Vorschriften auf dem Gebiet des Straf- oder Ordnungswidrigkeitenrechts (EuGH, Urteil vom 16. Juni 2005 - C-105/03, NJW 2005, 2839 Rn. 47 [M. Pupino]; KK-OWiG/Rogall, § 3 Rn. 83 m.w.N.), bei deren Auslegung dem im deutschen und auch europäischen Verfassungsrecht verankerten Gesetzlichkeitsprinzip (Artikel 103 Absatz 2 GG, Artikel 49 der Charta der Grundrechte der Europäischen Union [2007/C 303/01]; Artikel 7 der Konvention zum Schutz der Menschenrechte und Grundfreiheiten) und somit auch der Wortsinngrenze besondere Bedeutung zukommt. Eine gesetzlich nicht vorgesehene strafrechtliche Verantwortlichkeit kann danach auf eine unionsrechtskonforme Auslegung selbst dann nicht gestützt werden, wenn die in Rede stehende nationale Regelung sich andernfalls als unionsrechtswidrig erweisen könnte (EuGH, Urteil vom 28. Juni 2012 – C-7/11, BeckRS 2012, 81321 [Caronna]; BGH, Beschluss vom 16. Dezember 2014 − KRB 47/13 – Silostellgebühren III, NZKart 2015, 272, 274).
Die hier anzuwendenden Bestimmungen in §§ 30, 130 OWiG i.V.m. § 41 BDSG schließen die bußgeldrechtliche Inanspruchnahme der Betroffenen auf der Grundlage des verfahrensgegenständlichen Bescheides aus. Denn nach ihrem Wortlaut ist für die Verantwortlichkeit der juristischen Person eine schuldhafte Handlung eines ihrer Repräsentanten erforderlich. Dieses Erfordernis kann nicht im Wege der Auslegung der Norm oder durch die Annahme einer Verbandsverantwortlichkeit „sui generis“ entfallen, ohne die Wortlautgrenze zu überschreiten und damit einen Verstoß gegen das Analogieverbot des Artikel 103 Absatz 2 GG zu begründen (vgl. dazu BVerfG, Urteil vom 11. November 1986 – 1 BvR 713/83, BeckRS 1986, 50, Rn. 65).
Es ist überdies lediglich pauschal dargetan worden, dass der Nachweis der Begehung einer Ordnungswidrigkeit durch das Erfordernis des Nachweises einer pflichtwidrigen Organhandlung i.S.v. §§ 30, 130 OWiG erschwert sei. Nicht dargetan ist indessen, dass sie den handelnden Aufsichtsbehörden dadurch nicht möglich wäre. Es ist im hiesigen Falle im Besonderen verwunderlich, dass die verfahrensgegenständlichen Verstöße gegen Datenschutzgesetze durch die Behörde bereits im Jahre 2017 – und damit vor Inkrafttreten der DS-GVO – festgestellt worden sind, verschiedene Vor-Ort Termine stattgefunden haben, Auskünfte, etwa über technische Details der Datenverarbeitung verlangt worden sind, und die Betroffene auch entsprechende Auskünfte erteilt hat, dass jedoch von der Behörde keine hinreichenden Ermittlungen zu den unternehmensinternen Verantwortlichkeiten für die beanstandeten Verstöße erfolgt sind. In diesem Falle dürfte es naheliegen, dass bereits eine Offenlegung der Organisationsstruktur im Unternehmen der Betroffenen zu einer Ermittlung von für die Datenverarbeitungsvorgänge verantwortlichen Personen geführt hätte und so möglicherweise etwa eine Aufsichtspflichtverletzung hätte dargelegt werden können. Vor diesem Hintergrund ist nicht ersichtlich, dass unter Beachtung der §§ 30, 130 OWiG keine wirksamen und abschreckenden Sanktionen verhängt werden können.
b) Auch bei einer Umdeutung des Bescheids in einen selbständigen Bußgeldbescheid gemäß § 30 Absatz 4 OWiG genügte dieser nicht den Anforderungen, die an einen solchen als Verfahrensgrundlage zu stellen wären.
Der Bußgeldbescheid, der im gerichtlichen Verfahren anstelle des Anklagesatzes tritt, begrenzt nach Person und Sache den Prozessgegenstand. Aus ihm muss sich die tatsächlich und rechtlich näher bezeichnete Beschuldigung ergeben (vgl. § 66 OWiG). Voraussetzung für die Festsetzung einer Geldbuße gegen eine juristische Person im selbständigen Verfahren gemäß § 30 Absatz 4 OWiG ist, wie bereits dargelegt, zudem, dass eines ihrer Organe eine Ordnungswidrigkeit begangen hat, die der juristischen Person zuzurechnen ist.
Der Bußgeldbescheid vom 30. Oktober 2019 erfüllt diese Abgrenzungsfunktion nicht. Der Tatvorwurf ist nicht bestimmt. Es fehlt etwa die Angabe von Tatzeit und -ort sowie des Organmitgliedes, das schuldhaft und der Betroffenen zurechenbar die Einrichtung eines den datenschutzrechtlichen Anforderungen genügenden EDV-Systems unterlassen oder aber eine rechtzeitige Löschung relevanter Daten nicht veranlasst haben soll. Der Bescheid enthält – mit Blick auf die Rechtsauffassung der Behörde konsequent – auch sonst keine Angaben zur konkreten Tathandlung selbst oder ihrer Unterlassung. Ihm lässt sich nicht entnehmen, worauf ein Vorwurf, die datenschutzrechtlichen Anforderungen seien nicht eingehalten worden, gestützt wird. Dies wäre aber umso mehr erforderlich, als, wie aus der Akte ersichtlich ist, die Behörde zu den Vorwürfen bei der Betroffenen Ermittlungen geführt hat und über einen längeren Zeitraum mit dieser über die gegenständlichen Vorwürfe in Kontakt stand, sich etwa schriftlich und in persönlichen Gesprächen Fragen von Mitarbeitern des Unternehmens beantworten ließ. Insoweit wären Ausführungen dazu möglich und notwendig gewesen, aus welchen Umständen die Behörde eine Verantwortlichkeit der Betroffenen herleiten möchte. Der Bußgeldbescheid enthält gleichwohl keinen konkreten Tatvorwurf gegen ein Organ der juristischen Person. Dieser Mangel kann auch nicht mehr gemäß §§ 71 Absatz 1 OWiG, 265 StPO durch einen Hinweis des Gerichts behoben werden. Auch bei Umdeutung des Bußgeldbescheides in einen selbständigen Bescheid nach § 30 Absatz 4 OWiG müsste deshalb das Verfahren wegen eines Verfahrenshindernisses eingestellt werden.
2. Die Kostenentscheidung beruht auf §§ 71 OWiG, 467 Absatz 1, Absatz 3 StPO. Es erscheint nicht unbillig, der Staatskasse die notwendigen Auslagen der ... aufzuerlegen, da das Verfahrenshindernis von Anfang an bestand.
Den Volltext der Entscheidung finden Sie hier: