EuGH-Vorlage: Kann ein Unternehmen unmittelbar Betroffener im Bußgeldverfahren wegen eines Verstoßes gegen Art. 83 DS-GVO sein?

Dem EuGH werden zur Auslegung von Art. 83 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) Fragen zur Vorabentscheidung vorgelegt.

Der Sachverhalt:
Die Betroffene ist ein börsennotiertes Immobilienunternehmen mit Sitz in Berlin. Es hält über gesellschaftsrechtliche Beteiligungen mittelbar rund 163.000 Wohneinheiten und 3.000 Gewerbeeinheiten. Die zum Konzern gehörenden Besitzgesellschaften vermieten die Wohn- und Gewerbeeinheiten, die Verwaltung der Einheiten erfolgt ebenfalls durch Konzerngesellschaften („Servicegesellschaften“). Im Rahmen ihrer Geschäftstätigkeit verarbeiten das Unternehmen und die Konzerngesellschaften auch personenbezogene Daten von Mieterinnen und Mietern. Dabei handelt es sich etwa um Identitätsnachweise (z.B. Personalausweiskopien), Bonitätsbelege (z. B. Kontoauszüge), Gehaltsbescheinigungen, Arbeitsnachweise, Steuer-, Sozial- und Krankenversicherungsdaten sowie Angaben zu Vormietverhältnissen.

Am 23.6.2017 hat die Berliner Beauftragte für den Datenschutz im Rahmen einer Vor-Ort-Kontrolle die Betroffene darauf hingewiesen, dass ihre Konzerngesellschaften personenbezogene Daten von Mietern in einem elektronischen Archivsystem speicherten, bei dem nicht nachvollzogen werden könne, ob die Speicherung erforderlich und gewährleistet sei, dass nicht mehr erforderliche Daten gelöscht würden. Die Behörde hat das Unternehmen in der Folge aufgefordert, bis zum Jahresende 2017 Dokumente aus dem elektronischen Archivsystem zu löschen.

Hierauf hat die Betroffene erwidert, die Löschung sei aus technischen und rechtlichen Gründen nicht möglich. Am 5.3.2020 hat die Behörde eine Prüfung in der Konzernzentrale des Unternehmens vorgenommen. Mit dem am 30.10.2020 erlassenen Bußgeldbescheid wird dem betroffenen Unternehmen u.a. vorgeworfen, es zwischen dem 25.5.2018 und dem 5.3.2019 vorsätzlich unterlassen zu haben, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen.

Auf den Einspruch des Unternehmens hat das LG das Verfahren nach § 46 Abs. 1 OWiG i. V. m. § 206a StPO eingestellt. Es vertritt die Auffassung, eine juristische Person könne nicht Betroffene eines Bußgeldverfahrens sein, auch nicht in einem solchen nach Art. 83 DS-GVO. Auf die hiergegen gerichtete sofortige Beschwerde der Staatsanwaltschaft hat das KG das Verfahren ausgesetzt und dem EuGH Fragen zur Auslegung von Art. 83 DS-GVO zur Vorabentscheidung vorgelegt.

Die Gründe:
Die sofortige Beschwerde der Staatsanwaltschaft hätte Erfolg, wenn ein Verfahrenshindernis nicht bestünde. Dies wäre vor dem Hintergrund des § 66 Abs. 1 OWiG der Fall, wenn der Bußgeldbescheid eine ausreichende Grundlage für das Bußgeldverfahren bildete. Nach dieser Vorschrift muss der Bußgeldbescheid „die Bezeichnung der Tat, die dem Betroffenen zur Last gelegt wird, Zeit und Ort ihrer Begehung, die gesetzlichen Merkmale der Ordnungswidrigkeit und die angewendeten Bußgeldvorschriften" enthalten. Der Bußgeldbescheid muss den Tatvorwurf nach gefestigtem Verständnis formal und sachlich umgrenzen (Umgrenzungsfunktion) und den Betroffenen ausreichend über den Tatvorwurf unterrichten (Informationsfunktion).

Diese Voraussetzungen könnte der Bußgeldbescheid verfehlen, wenn unter Geltung des § 30 OWiG ein Bußgeldverfahren gar nicht unmittelbar gegen ein Unternehmen geführt werden könnte und die Verhängung einer Geldbuße gegen ein nur „verfahrens-“ oder „nebenbeteiligtes“ Unternehmen nach § 30 Abs. 1 OWiG davon abhinge, dass eine natürliche Person als so genannter Repräsentant die – im Bußgeldbescheid gegebenenfalls konkret zu bezeichnende – „Anlasstat“ zurechenbar deliktisch begangen hätte. Infolgedessen werden dem EuGH folgende Fragen zur Vorabentscheidung vorgelegt:

1. Ist Art. 83 Abs. 4 bis 6 DS-GVO dahin auszulegen, dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf?

2. Wenn die Frage zu 1. bejaht werden sollte: Ist Art. 83 Abs. 4 bis 6 DS-GVO dahin auszulegen, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss (vgl. Art. 23 der Verordnung (EG) Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung der in den Art. 81 und 82 des Vertrags niedergelegten Wettbewerbsregeln), oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus („strict liability“)?

Mehr zum Thema:

Beratermodul IT-Recht
Die perfekte Online-Ausstattung für das IT-Recht (DSGVO/BDSG). Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge.

Ihr Vorteil: Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT!