Unternehmensgeldbußen aufgrund von DSGVO-Verstößen - das EuGH-Urteil zu „Deutsche Wohnen“ und viele (neue) FragenTenor 1. Art. 58 Abs. 2 Buchst. i und Art. 83 Abs. 1 bis 6 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass sie einer nationalen Regelung entgegenstehen, wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde.
2. Art. 83 der Verordnung 2016/679 ist dahin auszulegen, dass nach dieser Bestimmung eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat. - A.
Problemstellung Seit Inkrafttreten der DSGVO sind sich deutsche Datenschützer und auch Gerichte uneins über die Frage, welches Zurechnungsmodell für die Verhängung von datenschutzrechtlichen Bußgeldern gegen Unternehmen gilt: Haften Unternehmen nach einem unionsrechtlichen Modell, dem Vorbild des supranationalen Kartellsanktionsrechts folgend, für Verstöße unmittelbar, oder bleibt es bei dem deutschen Haftungsmodell und somit bei einer Zurechnung von Verstößen über den „Umweg“ nach den §§ 30, 130, 9 OWiG? Der EuGH hat diese Frage im vorliegenden Urteil zumindest in Teilen beantwortet. Entscheidende Fragen zur praktischen Umsetzung bleiben – auch nach der Entscheidung des Kammergerichts in dieser Sache (KG, Beschl. v. 22.01.2024 - 3 Ws 250/21) – hingegen weiterhin offen. Zum Hintergrund: In Deutschland gibt es – trotz mehrfacher Anläufe verschiedener politischer Konstellationen – bislang kein Unternehmensstrafrecht. Die (isolierte) Bebußung von Unternehmen ist zwar gemäß § 30 OWiG möglich, die Norm setzt jedoch eine schuldhafte Tatbegehung durch eine Leitungsperson voraus (sog. Rechtsträgerprinzip). Nach deutschem Rechtsverständnis ist es für eine juristische Person nicht möglich, selbstständig und vor allem schuldhaft zu handeln. Es bedarf stets der Zurechnung des Handelns einer natürlichen Person. Das Unternehmen – als sog. Nebenbeteiligte – muss somit erst auf der Rechtsfolgenseite für das Fehlverhalten der Leitungsperson einstehen. Nach § 41 Abs. 1 BDSG sind die Vorschriften des deutschen Ordnungswidrigkeitenrechts sinngemäß auch auf Verstöße gegen Art. 83 Abs. 4 bis 6 DSGVO anzuwenden. Die für eine DSGVO-Geldbuße demnach erforderliche Anknüpfungstat einer Leitungsperson kann folglich entweder der schuldhafte DSGVO-Verstoß selbst oder aber die schuldhafte Verletzung einer Aufsichtspflicht sein. Letztere ist nach § 130 OWiG sanktioniert. § 130 OWiG stellt einen Auffangtatbestand zum Schließen von Haftungslücken dar, die durch ein Auseinanderfallen von „Betriebsinhaberschaft“ und der tatsächlichen Ausführung von Zuwiderhandlungen entstehen (Beck in: BeckOK OWiG, 41. Ed. 01.01.2024, OWiG § 130). Während sich systematische DSGVO-Verstöße in der Praxis oft auf Entscheidungen von Leitungspersonen zurückführen lassen, wird der Auffangtatbestand des § 130 OWiG regelmäßig im Rahmen von fahrlässigen Verstößen durch Personen unterhalb der Leitungsebene relevant, z.B. im Falle eines Cyberangriffes. Vereinfacht dargestellt, erfordert(e) die Verhängung eines DSGVO-Bußgeldes gegen ein Unternehmen in der Praxis in solchen Fällen den folgenden Dreischritt: 1. Der DSGVO-Verstoß ist von einer natürlichen Person im Unternehmen begangen worden. Eine Identifizierung der Person ist nicht erforderlich. 2. Eine Leitungsperson im Unternehmen hat schuldhaft diejenigen Aufsichtsmaßnahmen unterlassen, die den DSGVO-Verstoß hätten verhindern oder wesentlich erschweren können, § 130 OWiG. 3. Die schuldhaft begangene Aufsichtspflichtverletzung der Leitungsperson wird dem Unternehmen nach § 30 OWiG zugerechnet. Es wird eine Geldbuße gegen das Unternehmen als Nebenbeteiligte verhängt. Die Anknüpfungstat für die Geldbuße ist somit nicht der direkte Verstoß gegen die DSGVO, sondern vielmehr die schuldhafte Verletzung der Aufsichtspflicht durch eine Leitungsperson nach § 130 OWiG. Die Anwendung des deutschen Haftungsmodells hat damit praktisch zur Folge, dass allein das Vorliegen eines schuldhaften Datenschutzverstoßes „durch“ das Unternehmen keine ausreichende Rechtsgrundlage für den Erlass eines Bußgeldbescheides darstellt. Diese mittelbare Unternehmenshaftung für individuelles Fehlverhalten ist damit gegenüber einer unmittelbaren Haftung von Unternehmen für Verstöße – wie im supranationalen Kartellsanktionsrecht – eingeschränkt. Der EuGH hat sich im Rahmen des Vorabentscheidungsverfahrens sowohl zur direkten Haftung nach der DSGVO positioniert als auch zur Frage, ob der Grundsatz der sog. Strict Liabilty diesbezüglich Anwendung findet. Wäre Letzteres der Fall, würde für die Haftung nach der DSGVO die alleinige Feststellung eines objektiven Verstoßes ausreichen – auf ein Verschulden käme es nicht an.
- B.
Inhalt und Gegenstand der Entscheidung Der EuGH beantwortet in seiner Entscheidung zwei Vorlagefragen des Kammergerichts (Beschl. v. 06.12.2021 - 3 Ws 250/21) zu dem Verfahren „Deutsche Wohnen“. Dem Verfahren liegt ein Bußgeldbescheid des Berliner Beauftragten für den Datenschutz (BlnBDI) aus dem Jahr 2020 wegen (angeblich) rechtswidriger Speicherung von Mieterdaten zugrunde, welcher sich direkt und allein gegen die juristische Person Deutsche Wohnen SE als Betroffene richtete. Die Vorinstanz, das LG Berlin, vertrat die Ansicht, der dem Verfahren zugrunde liegende datenschutzrechtliche Bußgeldbescheid leide daher an einem so gravierenden Mangel, dass das Verfahren einzustellen sei. Die Staatsanwaltschaft Berlin legte gegen die Entscheidung sofortige Beschwerde beim Kammergericht ein. Das Kammergericht setzte das Beschwerdeverfahren aus und legte dem EuGH die zwei folgenden Fragen vor: Mit der ersten Vorlagefrage bat das Kammergericht den EuGH zu entscheiden, ob Art. 58 Abs. 2 DSGVO und Art. 83 Abs. 1 bis 6 DSGVO dahin gehend auszulegen seien, dass sie einer nationalen Regelung entgegenstehen, wonach eine Geldbuße wegen eines Datenschutzverstoßes nach Art. 83 Abs. 4 bis 6 DSGVO gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde. Im Kern geht es damit darum, ob und inwiefern die materiellen Voraussetzungen des § 30 OWiG für datenschutzrechtliche Bußgelder gelten. Es ist an dieser Stelle darauf hinzuweisen, dass der EuGH bei Beantwortung der Frage an die Ausführungen des Kammergerichts gebunden war. Dieses hat – trotz Nachfrage des EuGH – nur § 30 OWiG zum Gegenstand der Vorlagefrage gemacht, da aus Sicht des Kammergerichts § 130 OWiG keinen Einfluss auf die Vorlagefrage habe. Der EuGH entschied, Art. 58 Abs. 2 Buchst. i DSGVO und Art. 83 Abs. 1 bis 6 DSGVO würden einer nationalen Regelung entgegenstehen, die die Verhängung einer Geldbuße gegen ein Unternehmen von der Zurechnung des Verstoßes zu einer identifizierten natürlichen Person abhängig mache. Bußgelder müssten unmittelbar gegen Unternehmen verhängt werden können, sofern diese als Verantwortliche i.S.d. DSGVO für die betreffende Verarbeitung anzusehen seien. Denn Verantwortliche seien nach der Legaldefinition des Art. 4 Nr. 7 DSGVO ausdrücklich auch juristische Personen. Sofern eine (natürliche oder juristische) Person daher Verantwortliche im Sinne der DSGVO sei, hafte diese für jeden in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß, der von ihr selbst oder in ihrem Namen begangen wurde. Aus Sicht des EuGH haften juristische Personen als Verantwortliche folglich nicht nur für Verstöße von ihren Vertretern, Leitern oder Geschäftsführern, sondern auch für Verstöße jeder anderen Person, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Person handelt. Eine Identifizierung der natürlichen Person, welche den Verstoß begangen hat, sei nach den Vorgaben der DSGVO indes nicht erforderlich. Der EuGH zieht zudem klare Grenzen mit Blick auf den gesetzgeberischen Ermessensspielraum der Mitgliedstaaten: Art. 83 Abs. 1 bis 6 DSGVO würde die materiellen Voraussetzungen für die Verhängung einer Geldbuße genau und abschließend aufführen. Ein gesetzgeberischer Ermessensspielraum für die Mitgliedstaaten bestehe diesbezüglich nicht. Dieser komme den Mitgliedstaaten lediglich in Bezug auf Verfahrensvoraussetzungen zu. Der Anwendbarkeit des funktionalen Unternehmensbegriffs aus Art. 101, 102 AEUV auf Tatbestandsseite erteilt der EuGH hingegen eine Absage. Dieser sei nur auf Rechtsfolgenseite für die Bestimmung des Höchstbetrages der Geldbuße nach Art. 83 Abs. 4 bis 6 DSGVO relevant. Wenn der Adressat der Geldbuße ein Unternehmen i.S.d. Art. 101 und 102 AEUV sei oder einem solchen angehöre, sei der Höchstbetrag auf der Grundlage eines Prozentsatzes des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres des betreffenden Unternehmens zu berechnen. Maßgeblich sei der Umsatz der wirtschaftlichen Einheit, auch wenn diese aus rechtlicher Sicht aus mehreren natürlichen oder juristischen Personen bestehe. Kurz gesagt: Zur Bemessung des Höchstbetrages der Geldbuße muss aus Sicht des EuGH der Konzernumsatz herangezogen werden. Die zweite Vorlagefrage stellte das Kammergericht für den Fall, dass die erste Frage – wie vorliegend geschehen – bejaht wird, d.h. Unternehmen unmittelbar für DSGVO-Verstöße haften. Das Kammergericht bat den EuGH zu entscheiden, ob in diesem Falle ein objektiver Verstoß gegen die DSGVO ausreiche (sog. Strict Liability) oder ob der Verstoß vorsätzlich oder fahrlässig begangen worden sein müsse (Rn. 61). Der EuGH positionierte sich auch hier eindeutig: Aus der Zusammenschau von Art. 83 Abs. 2 und 3 DSGVO ergebe sich, dass ein schuldhafter Verstoß Voraussetzung für eine Geldbuße nach Art. 83 DSGVO sei. Es stehe den Mitgliedstaaten aufgrund des abschließenden Charakters des Art. 83 DSGVO auch nicht zu, eine Regelung über eine verschuldensunabhängige Haftung zu erlassen. Eine Geldbuße könne daher nicht verhängt werden, ohne dass der Nachweis der schuldhaften Begehung geführt worden sei. Ausreichend sei indes, dass der Verantwortliche „sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte“. Handle es sich bei dem betroffenen Verantwortlichen um eine juristische Person, setze Art. 83 DSGVO zudem weder eine Handlung noch Kenntnis eines Leitungsorgans voraus.
- C.
Kontext der Entscheidung Die Entscheidung des EuGH bildet den (bisherigen) Höhepunkt der rechtlichen Auseinandersetzung zwischen den Landgerichten Bonn und Berlin um die Voraussetzungen von DSGVO-Bußgeldern gegen Unternehmen. Die Landgerichte hatten konträr zueinander entschieden und damit erhebliche Diskussionen in Literatur und Praxis ausgelöst. Das LG Bonn (Urt. v. 11.11.2020 - 29 OWi 1/20) vertrat die Auffassung, im europäischen Datenschutzrecht würden die Grundsätze des supranationalen Kartellsanktionsrechts gelten. Bei Geldbußen gegen Unternehmen gelte daher bereits auf Tatbestandsseite der funktionale Unternehmensbegriff aus Art. 101, 102 AEUV und das Funktionsträgerprinzip. Ein Unternehmen hafte unmittelbar und ohne, dass es auf ein schuldhaftes Verhalten einer natürlichen Person ankomme. Auf Rechtsfolgenseite sei – aus Sicht des LG Bonn konsequenterweise – ebenfalls der funktionale Unternehmensbegriff entscheidend und müsse für die Bemessung der Bußgeldhöchstgrenze herangezogen werden. Das LG Berlin (Beschl. v. 18.02.2021 - (526 OWi LG) 212 Js-OWi 1/20 (1/20)) vertrat kurz darauf die entgegengesetzte Auffassung: Das deutsche Haftungssystem gelte auch in Bezug auf datenschutzrechtliche Bußgelder. Die §§ 30, 130, 9 OWiG und damit das Rechtsträgerprinzip seien anzuwenden. Nur natürliche Personen könnten nach dem im Grundgesetz verankerten Schuldprinzip schuldhaft handeln. Die Zurechnung des schuldhaften Handelns einer natürlichen Person sei notwendige Voraussetzung für die bußgeldrechtliche Haftung eines Unternehmens. Eine direkte Bebußung von Unternehmen nach kartellrechtlichem Vorbild ohne Anknüpfung an die Tat einer Leitungsperson komme daher nicht in Betracht. Der Unternehmensbegriff aus Art. 101, 102 AEUV sei allein auf Rechtsfolgenseite für die Bemessung des Höchstbetrages des Bußgeldes heranzuziehen. Der EuGH hat sich weder der Ansicht des LG Berlin noch der Ansicht des LG Bonn vollumfassend angeschlossen. In Übereinstimmung mit dem LG Bonn entschied der EuGH, Unternehmen würden unmittelbar aufgrund ihrer Eigenschaft als Verantwortliche für DSGVO-Verstöße sämtlicher Personen haften, die im Rahmen der unternehmerischen Tätigkeit und im Namen des Unternehmens handeln. Verstößt etwa ein einfacher Angestellter gegen die DSGVO, braucht es daher grundsätzlich nicht – wie sonst nach deutschem Haftungsmodell – eine zusätzliche schuldhafte Aufsichtspflichtverletzung einer Leitungsperson nach § 130 OWiG, damit diese sodann über § 30 OWiG dem Unternehmen zugerechnet werden kann. Dem LG Berlin gibt der EuGH hingegen dahin gehend Recht, dass der funktionale Unternehmensbegriff aus den Art. 101, 102 AEUV auf Tatbestandsseite keine Anwendung findet. Dieser sei lediglich für die Bemessung der Höchstgrenze des Bußgeldes von Relevanz. Eine deutliche Absage erteilte der EuGH hingegen der Forderung der deutschen Datenschutzbehörden nach der Anwendung einer verschuldensunabhängigen Haftung für Datenschutzverstöße (DSK, Stellungnahme v. 05.01.2023 zu Grundsatzfragen zur Sanktionierung von Datenschutzverstößen von Unternehmen - EuGH-Rechtssache C-807/21). Die DSGVO gestatte es gerade nicht, eine Geldbuße wegen eines in Art. 83 Abs. 4 bis Abs. 6 DSGVO genannten Verstoßes zu verhängen, ohne dass nachgewiesen sei, dass dieser Verstoß vorsätzlich oder fahrlässig begangen wurde.
- D.
Auswirkungen für die Praxis Auf den ersten Blick scheint das Urteil des EuGH den Aufsichtsbehörden die Verhängung von Bußgeldern in der Praxis zu erleichtern (so die Einschätzung Spittka/Zirnstein, GRUR-Prax 2024, 17). Auf ein schuldhaftes Handeln einer Leitungsperson, das dem Unternehmen zugerechnet werden kann, kommt es für eine datenschutzrechtliche Unternehmensgeldbuße anders als nach § 30 Abs. 1 OWiG nicht mehr an. Vielmehr, so die Interpretation des EuGH-Urteils durch das Kammergericht, welches den ursprünglichen Beschluss des LG Berlin aufhob und an selbiges zurückverwies (KG, Beschl. v. 22.01.2024 - 3 Ws 250/21), sind Unternehmen im Deliktsbereich der DSGVO per se schuldfähig. Insofern stellt das Kammergericht einen Gleichlauf von Verantwortlichkeit und Haftbarkeit fest. Eine juristische Person könne damit unmittelbar und nicht nur als Verfahrens- oder Nebenbeteiligte bebußt werden. Der Bußgeldbescheid kann folglich zu etwaigem schuldhaften Handeln von Leitungspersonen schweigen (Spittka/Zirnstein, GRUR-Prax 2024, 17). Die Auswirkungen des EuGH-Urteils auf die Darstellungsdichte des Bußgeldbescheids gehen, so das Kammergericht, jedoch noch weiter. Der EuGH hielt in seinem Urteil bereits fest, dass ein individualisierbarer Datenschutzverstoß irgendeines nicht näher zu identifizierenden Mitarbeiters, der im Rahmen der unternehmerischen Tätigkeit und im Namen der juristischen Person handelt, als Grundlage für den datenschutzrechtlichen Bußgeldbescheid genüge. Der Bußgeldbescheid muss demnach keine Angabe dazu enthalten, welche natürliche Person den Verstoß begangen haben soll. Etwas anderes könne sich, so die Interpretation des EuGH-Urteils durch das Kammergericht, auch nicht aus § 66 OWiG ergeben, da das nationale Verfahrensrecht insofern von den sachlich-rechtlichen Grundsätzen des EuGH überformt und determiniert werde. Die nach Ansicht des Kammergerichts mit dem EuGH-Urteil einhergehenden verringerten Exkulpationsmöglichkeiten für Unternehmen seien indes nicht Folge eines unkonkret bleibenden Bußgeldbescheids, sondern einer dem Effektivitätsgrundsatz geschuldeten europarechtskonform erweiterten Verbandsverantwortung. Es führen damit theoretisch mehr Verstöße zur Haftung des Unternehmens. Ein Blick in die Praxis zeigt indes, dass auch bereits zuvor – im Ergebnis – Datenschutzverstöße irgendeines Mitarbeiters als ausreichende Grundlage für eine Haftung betrachtet wurden. § 130 OWiG enthält zwar zusätzliche materielle Anforderungen, doch die Hürden sind in der Praxis denkbar gering. Die zusätzlichen Anforderungen des § 130 OWiG haben Datenschutzbehörden auch bisher nicht davon abgehalten, (rechtssichere) Bußgeldbescheide zu erlassen. Zudem bietet § 30 Abs. 4 OWiG bereits die Möglichkeit einer „anonymen“ Geldbuße: Weder muss der Mitarbeiter, der den Datenschutzverstoß begangen hat, identifiziert noch muss die Leitungsperson namentlich benannt werden. Aufgrund der eindeutigen Position des EuGH zum gesetzgeberischen Ermessensspielraum der Mitgliedstaaten sind zwar die gegenüber Art. 83 DSGVO bestehenden zusätzlichen materiellen Voraussetzungen des § 130 OWiG nicht mehr erforderlich für den Erlass eines Bußgeldbescheides. Dennoch dürfte es insgesamt für die Datenschutzbehörden tatsächlich und rechtlich nicht leichter werden, Unternehmen wegen DSGVO-Verstößen zu bebußen. Denn auch wenn die deutschen Datenschutzbehörden versuchen, das Urteil des EuGH als großen Gewinn zu verbuchen (vgl. etwa BlnBDI, Pressemitteilung v. 05.12.2023), so zeigen doch insbesondere die – zur DSK-Stellungnahme konträren – Ausführungen des EuGH zum Thema „Strict Liability“ auf, dass dieser Jubel zu kurz gedacht ist. Es dürfte für Datenschutzbehörden im Falle einer direkten Bebußung des Unternehmens extrem schwierig werden, den erforderlichen Verschuldensnachweis zu führen. Die Ausführungen des EuGH hierzu sind zwar im Grundsatz klar und begrüßenswert, werfen aber entscheidende Fragen mit Blick auf die praktische Umsetzung und Beweisführung auf. Der Verantwortliche muss den Verstoß fahrlässig oder vorsätzlich begangen haben. Handelt es sich bei dem Verantwortlichen um eine juristische Person, setze die Anwendung von Art. 83 DSGVO jedoch weder die Handlung eines Leitungsorgans voraus noch dessen Kenntnis. Es reiche zudem aus, dass der Verantwortliche sich „über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte“. Inwiefern diese Ausführungen einen praxistauglichen Maßstab darstellen, bleibt offen. Offen bleibt auch die Frage, wie das Verschulden eines Unternehmens festgestellt werden soll (Peukert/Rhein, Newsdienst Compliance 2023, 330044; Korte, ZD-Aktuell 2024, 01500). Das Kammergericht hat sich zu dieser Frage ebenfalls nicht geäußert. Dass das Unternehmen den Verstoß schuldhaft begangen hat, muss die Datenschutzbehörde jedoch konkret nachweisen (Spittka/Zirnstein, GRUR-Prax 2024, 17). Aus Verteidigerperspektive sind diese Unklarheiten indes nicht unbedingt als negativ zu bewerten – sie bieten das Einfallstor für die Verteidigung. Ebenso besteht mit Blick auf die Bemessung der Geldbuße weiterhin Argumentationsspielraum für Unternehmen. Der EuGH hat zwar entschieden, dass für die Bemessung des Höchstbetrags der Geldbuße der Konzernumsatz heranzuziehen sei, was den Trend von immer höheren DSGVO-Bußgeldern unweigerlich weiter befördern dürfte (in diese Richtung auch Peukert/Rhein, ZD-Aktuell 2024, 330044; Spittka/Zirnstein, GRUR-Prax 2024, 17). Jedoch handelt es sich hierbei um einen möglichen Maximalrahmen. Sowohl Art. 83 Abs. 2 DSGVO, die Leitlinien des Europäischen Datenschutzausschusses EDSA als auch die von der Europäischen Kommission und dem EuGH im Kartellrecht angewendeten Maßstäbe zur Berechnung des (Konzern-)Umsatzes (vgl. hierzu Taeger/Gabel/Moos/Schefzig, 4. Aufl. 2022, DSGVO Art. 83 Rn. 53) bieten Anhaltspunkte für die Verteidigung, um dennoch auf ein möglichst geringes Bußgeld hinzuwirken, sollte der tatbestandliche Vorwurf nicht ausgeräumt werden können. Letztlich bleibt abzuwarten, welche Auswirkungen das Urteil des EuGH tatsächlich auf die Bußgeldpraxis der Datenschutzbehörden haben wird, und ob nicht – insbesondere aufgrund der Unklarheiten zum Verschuldensmaßstab – die Voraussetzungen des § 130 OWiG stets wieder indirekt geprüft werden müssen. Fest steht indes, Unternehmen müssen von Anfang an die Verteidigung in einem möglichen Bußgeldverfahren mitdenken. Sobald intern erste stichhaltige Verdachtsmomente auf einen DSGVO-Verstoß bestehen, sollte der Sachverhalt umfassend aufgeklärt werden, um den etwaigen Verstoß schnellstmöglich zu mitigieren. Ist eine Datenschutzbehörde bereits auf den Vorfall aufmerksam geworden, so ist ein strategischer (und rechtlicher) Balanceakt zwischen der notwendigen Kooperation nach Art. 31 DSGVO (vgl. VG Bremen, Urt. v. 23.01.2024 - 4 K 1019/23) und der Wahrung der eigenen (Verteidigungs-)Rechte notwendig. Auch hier gilt, je umfassender und schneller die Aufklärung des Sachverhalts erfolgt, desto besser können etwaige Risiken abgeschätzt, die Verteidigung geplant und mit Blick auf ein etwaiges Bußgeldverfahren Maßnahmen eingeleitet werden, die entweder bereits die Eröffnung des Bußgeldverfahrens verhindern oder zumindest zu einer erheblichen Reduktion der Geldbuße führen. Zusammenfassend bringt die Entscheidung des EuGH mit Blick auf die deutsche Rechtslage (leider) keine umfassende Klarheit. Auch die Interpretation des EuGH-Urteils durch das Kammergericht hilft hier nur partiell weiter.
|
