Dr. Anja Stürzl LL.M.

Bisher kein Unternehmensstrafrecht im deutschen Recht

Derzeit sieht das deutsche Rechtssystem keine unmittelbare Bebußung von Unternehmen vor, da diese – anders als natürliche Personen – nicht schuldhaft (leichtfertig oder vorsätzlich) handeln können. Eine Bebußung von juristischen Personen ist nach derzeitiger Rechtslage lediglich gemäß § 30 OWiG möglich. Hierfür muss eine Anknüpfungstat einer natürlichen Person vorliegen, die dem Unternehmen zugerechnet werden kann. Eine solche liegt nur vor, wenn eine Leitungsperson selbst eine Tat begangen hat oder aber der Leitungsperson im Hinblick auf eine Tat einer Nicht-Leitungsperson ein Organisationsverschulden vorgeworfen werden kann. Das Handeln der Leitungsperson muss dabei in subjektiver Hinsicht vorwerfbar sein – also fahrlässig oder vorsätzlich sein.

Anwendbarkeit des § 30 OWiG im Rahmen von Bußgeldern gemäß Art. 83 Abs. 4-6 DSGVO umstritten

Über den Verweis in § 41 BDSG findet zwar grundsätzlich bei der Verhängung von DSGVO-Bußgeldern das deutsche Verfahrensrecht Anwendung, wozu auch § 30 OWiG gehört. Dennoch ist die Frage, ob § 30 OWiG bei der Verhängung von DSGVO-Bußgeldern tatsächlich anwendbar ist, höchst umstritten und war zuletzt auch Gegenstand zweier gerichtlicher Entscheidungen. Kernpunkt der Diskussion ist die Frage, ob § 30 OWiG von Art. 83 Abs. 4-6 DSGVO verdrängt wird (Anwendungsvorrang des Unionsrechts), da andernfalls eine divergierende Sanktionspraxis in den Mitgliedsstaaten entstehen würde.

LG Bonn: § 30 OWiG findet im Datenschutzrecht keine Anwendung

Nach Auffassung des LG Bonn (Urteil v. 11. November 2020 – 29 OWi 1/20) – und dieser haben sich einige Stimmen in der Literatur angeschlossen – ist § 30 OWiG nicht anzuwenden, Art. 83 DSGVO allein sei hinreichende Rechtsgrundlage für eine unmittelbare Haftung juristischer Personen. Nach Wortlaut, Sinn und Zweck sowie Gesetzgebungsgeschichte sei dieser dahingehend auszulegen, dass bei der Bebußung das kartellrechtliche Funktionsträgerprinzip Anwendung findet. Ein Bußgeld könne also unmittelbar gegen ein Unternehmen verhängt werden, ohne dass es einer vorwerfbaren Handlung auf Leitungsebene bedürfe. Art. 83 DSGVO regele abschließend für alle Mitgliedstaaten die Voraussetzungen, unter denen ein Bußgeld wegen eines datenschutzrechtlichen Verstoßes verhängt werden kann.

 

Widersprüchlich erscheint das Urteil vor allem in Bezug auf die Tatsache, dass auch das LG nicht gänzlich auf das Vorliegen eines vorwerfbaren Verhaltens verzichtet, sondern ausführt, dass die Betroffene „schuldhaft gegen Art. 32 Abs. 1 DSGVO verstoßen“ habe und das Unternehmen „[i]m Sinne einer Tatsachenkenntnis […] vorsätzlich“ gehandelt habe. Dabei wird jedoch offengelassen, an wessen Verhalten dies angeknüpft oder ob letztlich nicht doch vielmehr nur eine objektiv feststellbare Pflichtwidrigkeit gemeint ist. Für einen schuldhaften Verstoß bedürfte es nämlich jedenfalls der Feststellung eines Verhaltens einer natürlichen Person, sei es in Bezug auf eigene Taten oder auch Organisations-/Aufsichtspflichten.

LG Berlin: Rechtsträgerprinzip des § 30 OWiG gilt unabhängig von Art. 83 Abs. 4-6 DSGVO

Das LG Berlin (Beschluss v. 18. Februar 2021 – (526 OWi LG) 212 Js-OWi 1/20 (1/20)) hat sich dieser Entscheidung ausdrücklich entgegengestellt. Es bestehe keine „Pflicht zur Übernahme des unionsrechtlichen Modells“, vielmehr verbleibe „den Mitgliedstaaten bei der Ausgestaltung des Sanktionsregimes ein(en) Ermessensspielraum“. Da der deutsche Gesetzgeber mit dem Verweis in § 41 BDSG auf die Geltung des Rechtsträgerprinzips (§ 30 OWiG) seinen Spielraum genutzt habe, komme eine Sanktionierung gegen datenschutzrechtliche Verstöße durch Unternehmen allein unter den Voraussetzungen des § 30 OWiG in Betracht. Hierfür spreche insbesondere auch, dass die ursprünglich im Gesetzgebungsverfahren vorgeschlagene ausdrückliche Nicht-Anwendung des § 30 OWiG im heutigen § 41 BDSG gerade nicht umgesetzt wurde.

 

Darüber hinaus stünde die Bebußung von Unternehmen ohne ein Verschulden auf Leitungsebene im Widerspruch zum deutschen Haftungskonzept sowie dem Schuldprinzip. Hiernach setzt jeder staatliche Strafausspruch – sowie jede Sanktionierung im Ordnungswidrigkeitenverfahren – zwingend eine schuldhafte Handlung voraus. Da juristische Personen nicht selbst schuldhaft handeln können, bedarf es insoweit immer der Anknüpfung an die Handlung einer natürlichen Person.

Vorlage des KG Berlin (nachfolgend zur Entscheidung des LG Berlin)

Da insoweit Zweifel über die Auslegung von Art 83 DSGVO  bestehen, hat das KG Berlin (Beschluss v. 6.12.2021 – 3 Ws 250/21) dem EuGH die Rechtsfrage, ob § 30 OWiG im datenschutzrechtlichen Bußgeldverfahren anzuwenden ist, zur Klärung vorgelegt. Geklärt werden soll zunächst die Frage, ob ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person begangenen Ordnungswidrigkeit bedarf. Sofern der EuGH die Frage bejahen sollte, soll ferner geklärt werden, ob für eine Bebußung des Unternehmens ein Verschulden vorliegen muss oder im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß ausreicht.

Ausblick:

Sollte der EuGH zu der Auffassung kommen, dass § 30 OWiG nicht anzuwenden ist, könnte jeder Verstoß eines Mitarbeiters gegen einzelne Datenschutz-Vorgaben zu einer Geldbuße gegen das Unternehmen führen. Die bloße Tatsache, dass es objektiv zu einem Verstoß gekommen ist, reicht bereits aus. Dies hätte zur Folge, dass selbst bei vorbildlichen Compliance-Strukturen eines Unternehmens Geldbußen drohen könnten. Ein effektives Compliance-System ist aber dennoch keineswegs überflüssig, da es jedenfalls im Rahmen der Bemessung der Bußgeldhöhe Berücksichtigung findet. Sollte man bei der Durchsetzung der DSGVO von der Geltung des Opportunitätsprinzips ausgehen, könnten die Behörden zudem gänzlich von einem Bußgeld absehen.