Das Landgericht (LG) Berlin hat mit Beschluss vom 18. Februar 2021 das Bußgeldverfahren in Höhe von rund 14,5 Millionen Euro gegen das Immobilienunternehmen Deutsche Wohnen eingestellt (LG Berlin, Beschluss der 26. Großen Strafkammer vom 18. Februar 2021, (526 OWi LG) 212 Js-OWi 1/20 (1/20), 526 OWiG LG 1/20). Damit hat sich die Deutsche Wohnen vorerst erfolgreich gegen das bis dato höchste von einer Datenschutzbehörde für ein deutsches Unternehmen verhängte Bußgeld zur Wehr gesetzt. Auf den Einspruch des Unternehmens gegen den Bußgelbescheid der Berliner Beauftragte für den Datenschutz und Informationsfreiheit (BlnBDI) hat das LG Berlin den Bußgeldbescheid wegen „gravierender Mängel“ für unwirksam erklärt und das Verfahren eingestellt. Die Staatsanwaltschaft Berlin hat gegen den Gerichtsbeschluss Beschwerde eingelegt. Die vollständigen Entscheidungsgründe zum Beschluss des LG Berlin wurden nunmehr veröffentlicht. Sie machen deutlich, dass die Argumentation deutlich von der Entscheidung des LG Bonn im Bußgeldverfahren gegen 1&1 abweicht (Az. 29 OWi 1/20).
Worum ging es?
Bei einer Vor-Ort-Prüfung hatte die BlnBDI im Juni 2017 festgestellt, dass das Unternehmen personenbezogene Daten von Mieterinnen und Mietern in einem elektronischen Archivsystem speicherte, welches keine Möglichkeit vorsah zu prüfen, ob die Speicherung der Daten erforderlich und zulässig ist bzw. nicht mehr erforderliche Daten zu löschen. Zu diesen Daten gehörten u.a. Identitätsnachweise, Bonitätsnachweise, Gehaltsbescheinigungen, Arbeitsnachweise, Steuer-, Sozial- und Krankenversicherungsdaten sowie Angaben zu Vormietverhältnissen.
Die BlnBDI sah darin einen Verstoß gegen Art. 25 Abs. 1, Art. 5 Abs. 1 lit. a), c) und e) sowie Art. 6 Abs.1 DSGVO und verhängte mit Bußgeldbescheid vom 30. Oktober 2020 gegen das Unternehmen ein Bußgeld in Höhe von rund 14,5 Millionen Euro. Die Deutsche Wohnen habe es danach u.a. unterlassen, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mieterinnen und Mietern zu treffen.
Die Deutsche Wohnen legte gegen den Bußgeldbescheid Einspruch ein. Den Einspruch begründete das Unternehmen neben Einwänden zu tatbestandlichen Voraussetzungen und Rechtsfolgen insbesondere damit, dass bereits ein Verfahrenshindernis bestehe, da der Bußgeldbescheid die Deutsche Wohnen als Betroffene führe, was im Ordnungswidrigkeitenrecht so jedoch nicht vorgesehen sei.
Die Entscheidungsgründe des LG Berlin im Einzelnen
Das LG Berlin stellte das Verfahren mit der Begründung ein, dass § 30 OWiG nur dann den Erlass von Bußgeldbescheiden gegen eine juristische Person ermögliche, wenn bei den in § 30 Abs. 1 OWiG genannten natürlichen Personen eine schuldhafte Handlung feststellbar sei. Nach Auffassung des LG Berlin seien nach Art. 83 DSGVO i.V.m. Art. 4 Nr. 7 und 8 DSGVO Geldbußen für Verstöße gegen die DSGVO gemäß Art. 83 Abs. 3 bis 6 DSGVO nicht nur gegen natürliche Personen, sondern auch gegen juristische Personen als „Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO oder „Auftragsverarbeiter“ im Sinne des Art. 4 Nr. 8 DSGVO zu verhängen. Nähere Bestimmungen zur strafrechtlichen Verantwortlichkeit juristischer Personen für von ihnen zurechenbaren natürlichen Personen begangene Verstöße gegen die DSGVO enthalte die DSGVO jedoch nicht.
Anwendbarkeit von § 30 OWiG über § 41 Abs. 1 BDSG
Nach Auffassung des LG Berlin seien diese aber in § 30 OWiG enthalten, der über § 41 BDSG für Verstöße nach Art. 83 Abs. 4 bis 6 DSGVO anwendbar sei. Danach könne entweder in einem einheitlichen Verfahren gegen die juristische Person eine Geldbuße festgesetzt werden, wenn wegen der Tat des Organmitglieds oder Repräsentanten, gegen diese ein Bußgeldverfahren durchgeführt wird, oder aber nach § 30 Abs. 4 OWiG in einem selbständigen Verfahren. Voraussetzung sei dann jedoch, dass wegen der Tat der natürlichen Person ein Verfahren nicht eingeleitet oder ein solches Verfahren eingestellt wird. Allerdings müsse auch dann, da die juristische Person selbst keine Ordnungswidrigkeit begehen könne, eine vorwerfbare Ordnungswidrigkeit eines Organmitgliedes der juristischen Person festgestellt werden.
Wortlaut und historische Auslegung
Eine Einschränkung der Anwendbarkeit des § 30 OWiG schließt das LG Berlin aus. Entgegen der Auffassung der BlnBDI liefere weder der Wortlaut noch eine historische Auslegung des § 41 Abs. 1 S. 1 BDSG, der für Verstöße nach Art. 83 Abs. 4 bis 6 DSGVO die „sinngemäße“ Anwendung der Vorschriften des Gesetzes über Ordnungswidrigkeiten vorsieht, einen Hinweis darauf, dass die Normen des Gesetzes über Ordnungswidrigkeiten „eingeschränkt“ oder gar selektiv überhaupt nicht anzuwenden wären.
Schuldprinzip – Anknüpfung an eine schuldhafte Handlung einer natürlichen Person erforderlich
Nach Auffassung des LG Berlin folge dies auch aus dem aus dem Rechtsstaatsprinzip des Art. 20 Abs. 3 GG, aus Art. 103 Abs. 2 GG, Art. 2 Abs. 1 GG sowie Art. 1 Abs. 1 GG folgenden Schuldprinzip. Ohne eine Anknüpfung an eine schuldhafte Handlung sei ein staatlicher Strafausspruch nicht möglich. Die Haftung einer juristischen Person ohne Anknüpfung an eine schuldhafte Handlung einer natürlichen Person würde gegen das Schuldprinzip verstoßen und wäre demnach verfassungswidrig.
Keine unionsrechtskonforme Auslegung von § 30 OWiG und keine Verbandsverantwortlichkeit „sui generis“
Bemerkenswert ist zudem, dass das LG Berlin die Meinung vertritt, dass eine unmittelbare Verbandsverantwortlichkeit, wie sie im Sanktionsregime des europäischen Kartellrechts vorgesehen ist, nicht für die DSGVO gelte. Nach der Auffassung des LG Berlin habe der europäische Gesetzgeber mit der DSGVO nicht das supranationale kartellrechtliche Sanktionsregime nachbilden wollen. Damit vertritt das LG Berlin die genau gegenteilige Auffassung wie das LG Bonn sie im Bußgeldverfahren gegen 1&1 vertreten hatte. Als Begründung führt das LG Berlin an, dass schon im Gegensatz zum europäischen Kartellrecht, welches grundsätzlich von der Europäischen Kommission kraft eigener Kompetenz umgesetzt werde, die DSGVO durch nationale Aufsichtsbehörden durchgesetzt werde. Aber auch dort, wo eine Zuständigkeit der nationalen Wettbewerbsbehörden begründet werde, enthalte das nationale Kartellbußgeldrecht keine Ausnahme von dem Grundsatz, dass die Verhängung einer allgemeinen Unternehmensgeldbuße durch deutsche Kartellbehörden ohne Anknüpfung an die Tat eines Repräsentanten nicht in Betracht komme. Nach Auffassung des LG Berlin spreche zudem Erwägungsgrund (150) zur DSGVO nicht dafür, dass der europäische Gesetzgeber der DSGVO die Übernahme des gesamten supranationalen kartellrechtlichen Sanktionsregimes gewollt habe. Denn Erwägungsgrund (150) betreffe allein die Bemessung der möglichen Bußgeldhöhe und somit die Rechtsfolgen, nicht aber die Voraussetzungen eines Verstoßes. Nach Auffassung der Kammer erlaube es zudem das Gesetzlichkeitsprinzip des Art. 103 Abs. 2 GG nicht, die Frage der Verantwortlichkeit einer juristischen Person im Rahmen einer staatlichen Sanktionsanordnung durch eine europäische Verordnung begleitenden Erwägungsgründe zu manifestieren, die zudem erkennbar nicht Bestandteil der Verordnung selbst sind.
Schließlich sei für die Kammer auch nicht erkennbar, dass sich aus dem unionsrechtlichen Effektivitätsgebot (Art. 197 AEUV) eine Pflicht zur Übernahme der Verbandsverantwortlichkeit ergeben sollte. Es sei zwar zutreffend, dass zur effektiven Durchsetzung der Regelungsziele der DSGVO erforderlich sei, dass das nationale Recht wirksame und hinreichend abschreckende Sanktionen zulasse. Die Pflicht zur unionsrechtskonformen Auslegung finde aber in den allgemeinen Rechtsgrundsätzen, insbesondere im Grundsatz der Rechtssicherheit, insofern ihre Schranken, als sie nicht als Grundlage für eine Auslegung des nationalen Rechts contra legem dienen darf. Das für die Verantwortlichkeit einer juristischen Person nach §§ 30, 120 OWiG i.V.m. § 41 BDSG erforderliche schuldhafte Handeln eines ihrer Repräsentanten könne nicht im Wege der Auslegung der Norm oder durch die Annahme einer Verbandsverantwortlichkeit „sui generis“ entfallen, ohne die Wortlautgrenze zu überschreiten und damit einen Verstoß gegen das Analogieverbot des Art. 103 Abs. 2 GG zu begründen.
Konkreter Verstoß der Organmitglieder oder Repräsentanten wurde nicht dargetan
Ein konkreter Verstoß der Organmitglieder oder Repräsentanten wurde von der BlnBDI nicht dargelegt, wobei nach Auffassung des LG Berlin, die Offenlegung der Organisationsstruktur im Unternehmen zu einer Ermittlung von für die Datenverarbeitungsvorgänge verantwortlichen Personen hätte führen können und so möglicherweise etwa eine Aufsichtspflichtverletzung hätte dargelegt werden können. Vor diesem Hintergrund sei nicht ersichtlich, dass unter Beachtung der §§ 30, 130 OWiG keine wirksamen und abschreckenden Sanktionen hätten verhängt werden können.
Wie geht es weiter?
Die Frage, ob bei der Verhängung von Geldbußen nach Art. 83 Abs. 4 bis 6 DSGVO der § 30 Abs. 1 OWiG und das deutsche Rechtsträgerprinzip anzuwenden sind oder ob die Grundsätze des supranationalen Kartellsanktionsrechts zur Anwendung kommen, werden wohl weiter für Diskussionen sorgen. Das LG Berlin hat sich diesbezüglich ausdrücklich nicht der Meinung des LG Bonn im Bußgeldverfahren gegen 1&1 angeschlossen. Somit liegen nun zwei landesgerichtliche Entscheidungen zu dieser Frage vor, die in entscheidenden Punkten auseinandergehen. Es bleibt daher spannend, wie sich das KG Berlin hierzu verhalten wird.
