Kartellrechtliche Aspekte der DSGVO-Bußgeldbemessung
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Orth Kluth Newsletter IP-/IT-/Kartellrecht
Kartellrechtliche Aspekte der
DSGVO-Bußgeldbemessung
Die Datenschutz-Grundverordnung bisher insbesondere die besonders hohen
(DSGVO) sieht unterschiedliche Sanktio- Bußgelder im Fokus, u.a. gegen Google (50
nen vor, die Verantwortliche treffen kön- Mio. EUR), British Airways (22 Mio. EUR),
nen, wenn sie gegen Datenschutzvor- die Hotelkette Marriott (20 Mio. EUR) oder
schriften verstoßen. Neben individuellen zuletzt den Modekonzern H&M (35 Mio.
materiellen und immateriellen Schadens- EUR).
ersatzansprüchen der betroffenen Perso-
nen, können Datenschutzaufsichtsbehör- In einem aktuellen DSGVO-Bußgeldverfah-
den Bußgelder in Höhe von bis zu 20 Mio. ren vor dem LG Bonn zog das Gericht im
EUR oder 4% des gesamten weltweit er- Rahmen seiner Entscheidung Parallelen
zielten Jahresumsatzes des vorangegange- zwischen kartellrechtlichen Erwägungen
nen Geschäftsjahrs verhängen. und der Verhängung von Bußgeldern nach
Art. 83 DSGVO gegen Unternehmen. Die
Sowohl die deutschen Datenschutzauf- möglichen Parallelen zwischen Daten-
sichtsbehörden als auch Behörden in an- schutzrecht und Kartellrecht sollen nach-
deren EU-Mitgliedstaaten haben seit An- folgend genauer dargestellt und erläutert
wendbarkeit der DSGVO bereits diverse werden. Das Prinzip der umsatzbezogenen
Bußgelder verhängt, wobei die Intensität Geldbuße aus dem Kartellrecht wird dane-
der Verfolgung von DSGVO-Verstößen in ben auch in weiteren Rechtsbereichen, wie
den verschiedenen EU-Mitgliedstaaten un- der Ombinus-Richtlinie zugrundegelegt.
terschiedlich ausfällt. Medial standen
Orth Kluth Newsletter IP-/IT-/Kartellrecht | Kartellrechtliche Aspekte der DSGVO-Bußgeldbemessung
Ein Angriffspunkt der Verteidigung von
1&1 war die Höhe des verhängten Bußgel-
des (9,55 Mio. EUR) und das von der Kon-
ferenz der unabhängigen deutschen Da-
tenschutzaufsichtsbehörden des Bundes
und der Länder (DSK) im Jahr 2019 veröf-
fentlichte „Bußgeldmodell“. Mit diesem
Bußgeldmodell beabsichtigte die DSK, ein
einheitliches Konzept zu den Grundsätzen
der Festsetzung von datenschutzrechtli-
chen Geldbußen in Deutschland aufzustel-
len, um für ein kohärentes Vorgehen der
deutschen Datenschutzaufsichtsbehörden
zu sorgen und ungerechtfertigte Divergen-
zen zwischen den verschiedenen Stellen
zu vermeiden.
Bußgeldverfahren gegen Unter Datenschützern wurde kurz nach
Veröffentlichung des Bußgeldmodells Kri-
1&1
tik daran laut. Insbesondere wurde kriti-
Große Aufmerksamkeit erhielt das Buß- siert, dass sich das Bußgeldmodell zu stark
geld in Höhe von ursprünglich 9,55 Mio. am Umsatz der zu sanktionierenden Un-
EUR, das der Bundesbeauftragte für den ternehmen orientiere und somit zu höhe-
Datenschutz und die Informationsfreiheit ren Bußgeldern führe. Diese Kritik wurde
(BfDI) im November 2019 gegen das Tele- nun in dem 1&1-Verfahren durch das LG
kommunikationsunternehmen 1&1 Tele- Bonn teilweise bestätigt. Insbesondere hat
com GmbH („1&1“) wegen eines Verstoßes das LG Bonn gewisse Parallelen zu Kartell-
gegen Art. 32 DSGVO („Sicherheit der Ver- bußgeldverfahren gezogen und das ur-
arbeitung“) verhängt hatte. Der BfDI warf sprüngliche Bußgeld um rund 90% auf
1&1 vor, nur mangelhafte technische und 900.000 EUR gekürzt. Aktuell liegt noch
organisatorische Maßnahmen bezüglich keine ausführliche Begründung des Urteils
der Sicherheit der Verarbeitung personen- vor, jedoch hat das Gericht eine Pressemit-
bezogener Daten getroffen zu haben (Pres- teilung veröffentlicht.
semitteilung des BfDI vom 09.12.2019).
Nachfolgend soll genauer auf die kartell-
1&1 legte gegen das Bußgeld Einspruch rechtlichen Aspekte eingegangen werden,
ein, der nun vor dem LG Bonn verhandelt die das LG Bonn in seiner Entscheidung
wurde (Urteil vom 11.11.2020, Az. 29 OWi thematisiert hat.
1/20 LG). Dieses Verfahren stellt das erste
große „DSGVO-Bußgeldverfahren“ in
Deutschland seit Anwendbarkeit der
DSGVO im Jahr 2018 dar, sodass sich im
Rahmen des Verfahrens einige bisher un-
geklärte Aspekte zeigten.
orthkluth.com
Orth Kluth Newsletter IP-/IT-/Kartellrecht | Kartellrechtliche Aspekte der DSGVO-Bußgeldbemessung
Kartellrechtliches Funkti- Auch das LG Bonn referenzierte in dem
Verfahren nun auf Erwägungsgrund 150
onsträgerprinzip DSGVO: „Werden Geldbußen Unternehmen
Das LG Bonn ging in seinem Urteil davon auferlegt, sollte zu diesem Zweck der Begriff
aus, dass es unter Geltung der DSGVO zu- „Unternehmen“ im Sinne der Artikel 101
lässig sei, Bußgelder unmittelbar gegen und 102 AEUV verstanden werden.“ Daraus
1&1 als Unternehmen zu verhängen, auch leitete das Gericht ab, dass im Rahmen der
ohne an das Verhalten einer „Leitungsper- Verhängung von datenschutzrechtlichen
son“ anzuknüpfen. Damit entschied sich Geldbußen nicht § 30 OWiG und § 130 O-
das Gericht im Rahmen der aktuell noch WiG, sondern das kartellrechtliche Funkti-
umstrittenen Frage, ob § 30 OWiG sowie § onsträgerprinzip gelte. Danach haften Un-
130 OWiG (durch die Verweisung in § 41 ternehmen grundsätzlich für das Verhal-
BDSG) auf datenschutzrechtliche Geldbu- ten sämtlicher Beschäftigten, die für das
ßen Anwendung finden, gegen das dort Unternehmen und in dessen Interesse
normierte Rechtsträgerprinzip. Dieses handeln. Eine Kenntnis der Geschäftsfüh-
Prinzip knüpft die Verhängung von Buß- rung von einem Verstoß oder die Verlet-
gelder gegenüber Unternehmen (Juristi- zung einer Aufsichtspflicht sind grund-
schen Personen) grundsätzlich an Ver- sätzlich nicht erforderlich (vgl. auch Ent-
stöße durch Personen, die der „Leitungs- schließung der DSK, 03.04.2019).
ebene“ eines Unternehmens zuzuordnen
Ausgangspunkt des im europäischen
sind. Verstöße von anderen Personen un-
Recht geltenden kartellrechtlichen Funkti-
terhalb der „Leitungsebene“ können ei-
onsträgerprinzips ist die Betrachtung des
nem Unternehmen gemäß § 30 OWiG
Unternehmens als „wirtschaftliche Ein-
grundsätzlich nicht zugerechnet werden.
heit“ („Funktionaler Unternehmensbe-
§ 41 BDSG normiert zwar, dass einige Pa- griff“). Dieses ist bußgeldrechtlicher Haf-
ragrafen des Ordnungswidrigkeitengeset- tungsadressat der Bußgeldentscheidung.
zes (OWiG) nicht anwendbar sein sollen. Dabei kann auch eine Muttergesellschaft
Die Anwendbarkeit der §§ 30, 130 OWiG für Kartellverstöße ihrer Tochtergesell-
wird jedoch nicht ausgeschlossen, sodass schaften haftbar gemacht werden. Hält die
sich der Verweis des § 41 BDSG grundsätz- Muttergesellschaft nahezu 100 % an der
lich auch auf diese Normen bezieht. Den- Tochtergesellschaft, wird nämlich wider-
noch ist deren Anwendbarkeit im Rahmen leglich vermutet, dass die Muttergesell-
datenschutzrechtlicher Bußgeldverfahren schaft einen tatsächlich bestimmenden
umstritten. Die DSK hatte sich unter Ver- Einfluss auf das Tochterunternehmen aus-
weis auf Erwägungsgrund 150 DSGVO ge- übt und unter dem Gesichtspunkt der wirt-
gen eine Anwendbarkeit der §§ 30, 130 O- schaftlichen Einheit eine Zurechnung vor-
WiG im Rahmen datenschutzrechtlicher genommen.
Bußgeldverfahren ausgesprochen (Ent-
schließung vom 03. April 2019).
orthkluth.com
Orth Kluth Newsletter IP-/IT-/Kartellrecht | Kartellrechtliche Aspekte der DSGVO-Bußgeldbemessung
Ob dieses Konzept abseits des Bußgeld- Sanktionen anzusehen seien. Diese An-
rechts auch im Kartellschadensersatzrecht sicht unterstützt auch eine Entscheidung
gilt, können Sie im jüngsten Orth Kluth des österreichischen Verwaltungsge-
Kartellrechts-Kompass nachlesen, den wir richtshofs (Entscheidung vom 12.05.2020,
Ihnen gerne auf Nachfrage bei uns zusen- Ro 2019/04/0229).
den.
Aus diesem Aspekt ergibt sich nach An-
Die kartellrechtliche Rechtsprechung des sicht der Kritiker einer entsprechenden
EuGH hat im Hinblick auf die Zurechnung Parallelwertung von Kartell- und Daten-
von Verhaltensweisen der Beschäftigten schutzrecht, dass strafrechtliche – und so-
den „Grundsatz der persönlichen Verant- mit auch datenschutzrechtliche – Sanktio-
wortung“ entwickelt. Dieser Terminus ist nen stets die Anknüpfung an ein tatbe-
weiter zu verstehen als der Begriff des standsmäßiges, rechtswidriges und insbe-
„Verschuldens“ und unterscheidet sich in- sondere schuldhaftes Handeln erfordern,
haltlich von der Verantwortlichkeit natür- wobei schuldhaftes Verhalten nur natürli-
licher Personen. Unternehmen muss dem- chen Personen möglich ist, welches so-
entsprechend grundsätzlich kein Ver- dann einer verantwortlichen juristischen
schulden im Sinne des deutschen Straf- Person zugerechnet werden kann.
rechts vorgeworfen werden, um eine Haf-
tung zu begründen. Mindestvoraussetzung Bei dem Urteil des LG Bonn handelt es sich
einer Verantwortung eines Unternehmens zwar nur um eine einzelne Entscheidung
ist danach die Erkennbarkeit und Ver- in diese Richtung. Dennoch sollten Unter-
meidbarkeit eines Verstoßes. Wird aus ei- nehmen diese Entwicklung genau be-
nem Unternehmen heraus eine Zuwider- obachten. Dem Verständnis des LG Bonn
handlung begangen, mit der Pflichten des folgend würden Unternehmen nämlich
Unternehmens verletzt werden, ist die Zu- grundsätzlich nicht lediglich für Verstöße,
widerhandlung grundsätzlich eine solche die durch Personen auf einer „Leitungs-
des Unternehmens selbst, ohne dass eine ebene“ begangen werden, haften, sondern
Anknüpfung an das Verhalten einer be- unter Umständen ebenfalls für daten-
stimmten natürlichen Person erforderlich schutzrechtliche Verstöße eines weiteren
wäre. Beschäftigtenkreises.
Im Hinblick auf eine Einbeziehung dieser Bemessung der Bußgeld-
Wertungen in das Datenschutzrecht ist zu höhe
berücksichtigen, dass kartellrechtliche
Sanktionen gemäß Art. 23 Abs. 5 der VO Hinsichtlich der Bemessung der Höhe des
1/2003 ausdrücklich keinen strafrechtli- Bußgeldes nahm das LG Bonn zwar an,
chen Charakter haben sollen. Das Kartell- dass Art. 83 Abs. 4, Abs. 5 DSGVO den ge-
recht ist – mit Ausnahme des Submissions- samten weltweit erzielten Jahresumsatz
betrugs (§ 298 StGB) – im Ausgangspunkt des vorangegangenen Geschäftsjahres als
entkriminalisiert. Insoweit wird mit Blick relevantes Bemessungskriterium vorgebe,
auf die Verhängung von Bußgeldern ge- die benannte Grenze von 2% bzw. 4% des
mäß Art. 83 DSGVO teilweise eine andere Jahresumsatzes jedoch als Höchstgrenze
Ansicht vertreten, wonach DSGVO-Bußgel- möglicher Bußgelder zu verstehen sei.
der sehr wohl als strafrechtliche
orthkluth.com
Orth Kluth Newsletter IP-/IT-/Kartellrecht | Kartellrechtliche Aspekte der DSGVO-Bußgeldbemessung
Der Umsatz eines zu sanktionierenden Un- Zusammenhang stehen („Kartellbefange-
ternehmens dürfe jedoch nicht das aus- ner Umsatz“). Bei der Anpassung des
schließliche Bemessungskriterium sein. Grundbetrages werden Schwere und
Daneben müssten auch weitere relevante Dauer der Zuwiderhandlung berücksich-
Faktoren berücksichtigt werden. Dies ist tigt. Entscheidend ist sodann die Dauer der
konsequent, da die entscheidenden Vor- Zuwiderhandlung, die – je nach Jurisdik-
schriften des Art. 83 Abs. 4, Abs. 5 DSGVO tion – als Multiplikator oder prozentualer
vorgeben, dass Geldbußen „im Einklang Aufschlag genommen wird. . Eine Rolle
mit Absatz 2“ zu verhängen sind. Art. 83 spielt u.a. die mögliche Anführerschaft im
Abs. 2 DSGVO bestimmt verschiedene Fak- Kartell, mindernd z.B. – je nach Jurisdik-
toren, die bei der Bußgeldbemessung zu tion – ob Compliance-Maßnahmen gesetzt
berücksichtigen sind, z.B. die Schwere und worden sind (im Einzelnen sehr umstrit-
Dauer des jeweiligen Verstoßes oder der ten, sog. Compliance Defense).
Grad der Verantwortung des zu sanktio-
nierenden Unternehmens. Insoweit zeigen sich an mehreren Stellen
Parallelen zum Regelungsregime des Art.
Zudem nahm das Gericht auch bezüglich 83 DSGVO, der in Abs. 2 ebenfalls Kriterien
der Bemessung der Bußgeldhöhe auf die aufstellt, die im Rahmen der Bußgeldbe-
Rechtsprechung des EuGH im Kartellrecht messung erschwerend oder mindernd zu
zu Art. 23 der VO Nr. 1/2003 Bezug. Art. 23 berücksichtigen sind. Zudem sieht Art. 83
der Verordnung ermächtigt die EU-Kom- Abs. 1 DSGVO ebenfalls vor, dass Bußgel-
mission, Geldbußen gegen Unternehmen der verhältnismäßig, jedoch auch wirksam
zu verhängen, wenn diese gegen be- und (im Sinne einer Präventionswirkung)
stimmte Wettbewerbsvorschriften versto- abschreckend sein müssen.
ßen.
Fazit
Die Höhe der nach Art. 23 VO Nr. 1/2003
zu verhängenden Bußgelder sind ebenfalls Die Entscheidung des LG Bonn und die da-
konzernumsatzorientiert und weisen in- rin enthaltenen Erwägungen sind zwar
soweit eine gewisse Parallele zu den maß- grundsätzlich nur auf die Ansicht der inso-
geblichen Bestimmungen des Art. 83 weit entscheidenden Beteiligten des LG
DSGVO auf. Zur Bemessung der Geldbußen Bonn zurückzuführen. Auch zukünftige
im kartellrechtlichen Bereich hat die EU- Verfahren sollten daher genau beobachtet
Kommission Leitlinien (abrufbar hier) werden, um festzustellen, welche Ansich-
veröffentlicht. In einem ersten Schritt wird ten Gerichte in Bezug auf die entscheiden-
ein Grundbetrag festgesetzt. In einem den Merkmale bei der Verhängung von
zweiten Schritt wird dieser Grundbetrag DSGVO-Geldbußen vertreten. Dennoch
aufgrund von erschwerenden oder er- stellt die Entscheidung des LG Bonn gleich-
leichternden Umständen nach unten oder wohl einen wichtigen Anhaltspunkt im
oben angepasst Rahmen der juristischen Diskussionen
dar.
Die Festsetzung des Grundbetrages orien-
tiert sich im Kartellrecht dabei an dem Aus Sicht von Unternehmen, die möglich-
Wert der verkauften Waren oder Dienst- erweise in den Fokus der Datenschutzauf-
leistungen, die mit dem Verstoß im sichtsbehörden kommen könnten, bietet
orthkluth.com
Orth Kluth Newsletter IP-/IT-/Kartellrecht | Kartellrechtliche Aspekte der DSGVO-Bußgeldbemessung das Urteil sowohl positive als auch nega- tive Erwägungen. Positiv ist, dass das Ge- richt bezüglich der Bemessung der Buß- geldhöhe entgegen der Ansicht des BfDI weiteren Kriterien neben dem Umsatz eine stärkere Bedeutung zugesprochen hat. Dies führte im vorliegenden Verfahren dazu, dass das ursprüngliche Bußgeld um rund 90% auf 900.000 EUR gekürzt wurde. Eher negativ ist es für Unternehmen, dass das Gericht bezüglich der grundlegenden Verantwortlichkeit von 1&1 auf das kar- tellrechtliche Funktionsträgerprinzip, und nicht auf das in § 30 OWiG und § 130 OWiG enthaltene Rechtsträgerprinzip, abgestellt hat. Damit vergrößert sich für Unterneh- men der Personenkreis, für deren Ver- stöße ein Unternehmen selbst zum Adres- saten entsprechender Bußgelder werden kann. Daraus lässt sich für Unternehmen die Empfehlung ableiten, sämtliche Be- schäftigten in Datenschutzschulungen ein- zubeziehen und für eine ausreichende „Da- tenschutz-Awareness“ zu sorgen. Disclaimer: Dieser Text ersetzt keine indivi- duelle rechtliche Beratung im Einzelfall, sondern dient lediglich der allgemeinen In- formation. orthkluth.com
Orth Kluth Newsletter IP-/IT-/Kartellrecht | Kartellrechtliche Aspekte der DSGVO-Bußgeldbemessung Kontakt Dr. Ulla Kelp, LL.M. Dr. Philipp Mels Rechtsanwältin, Partner Rechtsanwalt, Partner T +49 211 60036-176 T +49 211 60035-180 ulla.kelp@orthkluth.com philipp.mels@orthkluth.com Prof. Dr. Michael Bohne Dr. Lars Maritzen, LL.B. MLE Of Counsel Rechtsanwalt, Salary Partner T +49 211 60035-174 T +49 211 60035-292 michael.bohne@orthkluth.com lars.maritzen@orthkluth.com orthkluth.com
Sie können auch lesen
