Vor wenigen Tagen ist die Festschrift für meinen Doktorvater Jürgen Taeger erschienen. Sie wurde ihm persönlich nach seiner Abschiedsvorlesung übergeben, ein sehr würdevoller Moment. Ich durfte ebenso einen Beitrag leisten. Es ist einer meiner ganz seltenen Beiträge zum Datenschutzrecht, aber eigentlich doch wieder nicht. Denn es geht um den Unternehmensbegriff im Art. 83 DSGVO und seine Auslegung – und da kommt wieder das Kartellrecht ins Spiel.
Wo ist das Problem?
Der geneigte Leser im Datenschutzrecht kennt die Problemstellung bereits länger: In der DSGVO hat man sich bei der Bußgeldberechnung etwas im Kartellrecht abgeschaut. So enthält Art. 83 DSGVO drei Absätze, die jeweils die Verhängung von Bußgeldern ermöglichen. Diese können auf zwei unterschiedliche Weisen berechnet werden:
- „von bis zu“ einem bestimmten Höchstsatz
- im Fall eines Unternehmens „von bis zu“ 2 bzw. 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs
Und dieser fett hervorgehobene Wortlaut ist Gegenstand meines Beitrags. Denn welches Unternehmen muss betrachtet werden? Handelt es sich um dasselbe Unternehmen, das als Verantwortlicher die datenschutzrechtlichen Pflichten der DSGVO einhalten muss? Macht das Sinn, wenn doch die Umsätze betrachtet werden sollen? Aber was ist, wenn der eigentliche Verantwortliche doch nur eine Untereinheit in einem größeren Konzern ist, der ihn steuert. Infiziert dieser dann alles und gibt es dann eine Art „unternehmerische Sippenhaft“?
Befeuert wurde die Debatte durch eine eindeutig scheinende Aussage im 150. Erwägungsgrund zur DSGVO. Dort heißt es in Satz 3:
Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV verstanden werden.ErwG 150 S. 3 DSGVO
Eindeutig scheinend schreibe ich bewusst, denn Erwägungsgründe haben als solche keine regelnde Wirkung. Mehr als eine Auslegungshilfe kann es also nicht sein. Allerdings gibt es ähnliches auch bei deutschen Gesetzen, wenn die Regierungsbegründung Aufschluss über Sinn und Zweck oder die Historie geben will – und dabei mehr oder weniger nebulös bleibt. Dann ist es Aufgabe der Behörden und Gerichte, die jeweilige Vorschrift rechtsfehlerfrei anzuwenden.
Wenn man diese Aussage ernst nimmt, würde das Unternehmen im bußgeldrechtlichen Sinne also „kartellrechtlich“ betrachtet. Unternehmen ist danach eine funktional wirtschaftlich und selbstständig tätig werdende Einheit. Allerdings kennt die DSGVO bereits eine andere Unternehmens-Definition, nämlich in in Art. 4 Nr. 18 DSGVO, hier wörtlich zitiert:
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
„Unternehmen“ eine natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen;
Es braucht also eine Person, nicht etwa eine Einheit. Besteht ein Widerspruch zwischen gesetzlicher Definition und Erwägungsgrund? Die einen sagen ja, aber dieser wird durch die vorrangige und umfassend geltende Definition in Art. 4 Nr. 18 DSGVO aufgelöst. Die anderen sagen nein, denn es handelt sich um zwei verschiedene Unternehmensbegriffe; einen „vorne“ für den datenschutzrechtlichen Pflichtenbereich und einen „hinten“ für die Bemessung von Bußgeldern.
Was ist meine Meinung dazu?
Auch wenn diese Einschätzung bei Datenschutzberatern und Konzernjuristen nicht beliebt ist: Es spricht einiges dafür, dass der Verordnungsgeber ein unterschiedliches Verständnis von Unternehmen auf erstens der Verstoßebene und zweitens der Bußgeldebene hatte. Hier ein paar Argumente:
- Der Wortlaut ist im Englischen unterschiedlich. So spricht dort Art. 4 Nr. 18 DSGVO von „enterprise“, Art. 83 Abs. 4 – 6 DSGVO dagegen von „undertaking“. Letzterer Ausdruck wird ebenso im Kartellrecht verwendet.
- Die Zwecke der beiden Vorschriften und damit zusammenhängend die Systematik sind unterschiedlich. Denn im vorderen Pflichtenbereich geht es vor allem um die genaue Festschreibung, wer sich woran zu halten hat. Das ist bei der Geldbuße nicht mehr erforderlich, denn diese setzt einen Verstoß gegen Pflichten voraus. Hier kommt es vielmehr auf eine effektive Rechtsdurchsetzung an. Es soll zum Beispiel nicht möglich sein, dass sich innerhalb einer Konzernstruktur Unternehmen einer Bußgeldhaftung entziehen, indem sie etwa bewusst klein im direkten Umsatz gehalten werden. Und die Buße soll ein Unternehmen wirtschaftlich treffen.
- Die Historie deutet darauf hin, dass auch der positiv in Art. 4 Nr. 18 DSGVO geregelte Unternehmensbegriff in einem frühen Entwurf weit verstanden werden sollte. Erst im weiteren Gesetzgebungsverfahren wurde er enger formuliert. Man kann deshalb die Aussage in ErwG 150 S. 3 so verstehen, dass Bußgelder grundsätzlich am Maßstab des weiteren Begriffs berechnet werden sollen und es um den auf der europäischen Ebene geltenden weiten und einheitlichen Berechnungsmaßstab gehen sollte.
Aber wie geht man mit dieser Bewertung nun um? Die Lösung liegt auch wieder im kartellrechtlichen Unternehmensbegriff.
Was machen wir mit diesem Unternehmensbegriff?
Wenn man sich den kartellrechtlichen Unternehmensbegriff genauer anschaut, fällt sofort das funktionale Element auf. Das bedeutet, dass es anders als beim datenschutzrechtlichen Unternehmensbegriff des Art. 4 Nr. 18 DSGVO zunächst nicht auf ein organisatorisches Element ankommt. Das ist etwas schwer verständlich, vor allem weil ich gleich wieder etwas von Organisation schreiben werde.
Denn das funktionale Element kann auch genutzt werden, um die wirtschaftliche Tätigkeit einer Einheit oder den bestimmenden Einfluss zu widerlegen. Denn der funktionale Unternehmensbegriff sagt nicht, dass zwingend immer bei einem Konzern gleichzeitig ein einheitliches Unternehmen vorliegen muss. Denkbar wären auch Untereinheiten, die hinreichend losgelöst sind, sodass ein bestimmender Einfluss gerade nicht mehr besteht. Hier lässt sich grundsätzlich doch wieder entlang der tatsächlichen Konzernstruktur argumentieren. Sind Einheiten danach unabhängig wirtschaftlich tätig, so können sie auch nur als solche Unternehmen darstellen. Hilfreich ist hier das im Kartellrecht bereits bekannte sogenannte Selbstständigkeitspostulat, wonach die Unternehmen im Wettbewerb ihre Geschicke grundsätzlich unabhängig voneinander regeln sollen. Diese Selbstständigkeit kann grundsätzlich auch zwischen einzelnen Einheiten desselben Konzerns bestehen.
Wirtschaftliche Unabhängigkeit wird allerdings jedenfalls dann nicht anzunehmen sein, wenn eine Einheit lediglich konzerninterner Dienstleister ist und keine eigenen Umsätze erzielt. Bei solchen umsatzlos dolosen Einheiten würde wohl eine Zurechnung an die Obereinheit erfolgen. Und auch bei Schwesterunternehmen mit einem gemeinsamen wirtschaftlichen Zweck würde es ähnlich aussehen. Das kann zum Beispiel bei regionalen Untereinheiten der Fall sein, die jedoch alle demselben oberen wirtschaftlichen Zweck zuarbeiten, wie etwa nach Ländern unterschiedlich organisierte Autohandelshäuser.
Wer das noch einmal richtig gut und tiefgehend nachlesen will, dem empfehle ich den Aufsatz von Fabian Uebele, Das „Unternehmen“ im europäischen Datenschutzrecht, EuZW 2018, S. 440 – 446. Und ganz aktuell bin ich noch auf einen anderen Beitrag gestoßen, den ich wärmstens empfehlen will: Stefan Hessel und Karin Potel von Reusch.Law haben das Thema sehr tiefgründig durchdacht in der aktuellen Ausgabe der Zeitschrift Kommunikation & Recht behandelt.
