Der Europäische Gerichtshof hat mit seinem Urteil in der Rechtssache C-291/24 einen weiteren grundlegenden Schritt hin zu einem eigenständigen europäischen Unternehmenssanktionsrecht vollzogen. Ausgangspunkt war ein österreichisches Verfahren zu Geldwäschepflichtverstößen von Kreditinstituten, in dem die nationale Rechtslage eine Sanktionierung juristischer Personen davon abhängig machte, dass zuvor eine natürliche Person als „schuldige“ Verantwortliche festgestellt und im Spruch benannt wird.
Der EuGH hat dieses Modell klar verworfen – mit Konsequenzen weit über das österreichische Geldwäscherecht hinaus auch auf das europäische Datenschutz- und Sicherheitsrecht. Mit aufgeworfenen Fragen zum Bestand der bisherigen Handhabung des Bußgeldrechts in Deutschland.
Was konkret entschieden wurde
Im Kern ging es um die Frage, ob Art. 58 ff. und Art. 59 der Geldwäscherichtlinie (EU) 2015/849 es zulassen, dass eine juristische Person nur dann mit einer Geldbuße belegt werden darf, wenn ein Organwalter oder sonstiger Mitarbeiter zuvor individuell als Täter oder Verantwortlicher identifiziert, strafrechtlich adressiert und im Sanktionsbescheid namentlich ausgewiesen wird. Der EuGH knüpft dabei explizit an seine Linie aus „Deutsche Wohnen“ (C‑807/21) an, in der er schon für die DSGVO entschieden hatte, dass das Unionsrecht eine funktionale Verantwortlichkeit von Unternehmen kennt, die nicht an der klassischen deutschen Figur der „Tat einer Leitungsperson“ hängt.
Für die Geldwäscherichtlinie stellt der EuGH klar: Die Mitgliedstaaten müssen wirksame, verhältnismäßige und abschreckende Sanktionen gegen juristische Personen sicherstellen. Dieses Ziel würde unterlaufen, wenn die Sanktionierung eines Unternehmens davon abhinge, dass die Behörden zunächst eine konkret handelnde natürliche Person identifizieren, ihr formell die Stellung eines Beschuldigten zuweisen und sie anschließend im Spruch der Entscheidung als „schuldige Person“ benennen. Es genügt, dass ein Verstoß gegen einschlägige Organisations- und Sorgfaltspflichten vorliegt, der der juristischen Person zurechenbar ist – etwa weil er im Rahmen ihrer Geschäftstätigkeit und zu ihren Gunsten erfolgt ist.
Zugleich bestätigt der EuGH, dass die Mitgliedstaaten zwar Verfahrensregeln und Verjährungsfristen ausgestalten dürfen, diese aber die praktische Wirksamkeit der Unionsvorgaben nicht aushöhlen dürfen (effet utile). Verjährungsfristen von drei Jahren für die Verfolgung und fünf Jahren für die Vollstreckung hält der Gerichtshof im konkreten Fall für vereinbar, solange sie bei typischen Konstellationen nicht systematisch zur Sanktionsvereitelung führen.
Anknüpfung an „Deutsche Wohnen“
In der „Deutsche Wohnen“-Entscheidung hatte der EuGH bereits ausgeführt, dass Art. 58 Abs. 2 lit. i und Art. 83 DSGVO einem nationalen Recht entgegenstehen, das eine Geldbuße gegen eine juristische Person nur zulässt, wenn zuvor eine natürliche Person als Täter identifiziert und ihr Verhalten der juristischen Person zugerechnet wurde. Zugleich betonte der Gerichtshof, dass zwar Verschulden (Vorsatz oder Fahrlässigkeit) des Verantwortlichen erforderlich ist, dieses Verschulden aber dem Unternehmen als Verantwortlichem zugerechnet werden kann, ohne eine konkrete natürliche Person im Bußgeldbescheid zu benennen.
Wir sehen in der Entscheidung jetzt, wie dieses Konzept ausdrücklich auf das Geldwäscherecht übertragen wird: Auch hier tritt das Unternehmen als eigenständiger Normadressat auf, dessen Verantwortlichkeit nicht als bloße Reflexfigur der Individualstrafbarkeit von Organwaltern zu begreifen ist. Der EuGH knüpft damit faktisch an das aus dem Kartellrecht bekannte Modell der wirtschaftlichen Einheit an, das Dannecker schon früh (in NZWiSt 2022, 85) treffend als „Unternehmensbußgeldrecht“ beschrieben hat. Adressat der Sanktion ist die wirtschaftliche Einheit, die eine bestimmte regulierte Tätigkeit – hier: Finanzdienstleistungen – ausübt; auf die zivilrechtliche Konstruktion oder die interne Zuständigkeitsverteilung kommt es im Kern nur insoweit an, als sie die Zurechnung ermöglicht.
Auswirkungen auf deutsches Recht
§§ 30, 130 OWiG unter Druck
Für das deutsche Ordnungswidrigkeitenrecht ist dieses Urteil Sprengstoff. Bereits die EuGH-Entscheidung in „Deutsche Wohnen“ hat deutlich gemacht, dass § 30 OWiG in Verbindung mit § 41 BDSG für DSGVO-Verstöße nicht „sinngemäß“ in dem bisher verstandenen Sinn angewendet werden darf, weil das Erfordernis einer identifizierten Leitungsperson unionsrechtlich gesprengt wird.
Die Entscheidung jetzt wiederholt diese Botschaft im Kontext der Geldwäscherichtlinie: Eine nationale Rechtslage, die Unternehmenssanktionen an die zwingende Identifikation eines individuellen Täters koppelt, verstößt gegen Unionsrecht. Damit geraten zwei Grundpfeiler des deutschen Verbandssanktionsrechts in den Fokus:
- Erstens das Rechtsträgerprinzip des § 30 OWiG, das an eine Zuwiderhandlung einer Leitungsperson anknüpft. Dieses Modell steht im strukturellen Gegensatz zur unionsrechtlichen Vorstellung eines eigenständigen Unternehmensadressaten, der für Organisations- und Systemversagen haftet, ohne dass immer ein „Täter in Person“ ausgemacht werden muss.
- Zweitens die Struktur des § 130 OWiG, der an das Aufsichtsverschulden einer Leitungsperson anknüpft und ebenso personenzentriert gedacht ist. Wenn unionsrechtliche Vorgaben – im Datenschutz-, Kartell-, Banken- und Geldwäscherecht – ein funktionsbezogenes Unternehmensverschulden genügen lassen, stellt sich die Frage, ob der deutsche Gesetzgeber auf Dauer an einer Konstruktion festhalten kann, die jede Verbandssanktion über das individuelle Fehlverhalten einer Führungsperson vermittelt.
Beides zusammen hat in einer perspektivischen Betrachtung Auswirkungen auf „moderne Bußgelder“ gegen Unternehmen nach DSGVO und NIS2.
De facto zeichnet sich für mich damit eine Erosion des deutschen Modells ab. Schon heute gilt: In Bereichen, in denen Unionsrecht eine unmittelbare Unternehmensadressierung vorsieht (Art. 83 DSGVO, Art. 23 VO 1/2003, Art. 59 Geldwäscherichtlinie), muss das nationale Recht so angewendet oder – notfalls richterlich korrigiert – ausgelegt werden, dass die unionsrechtlich geforderte Effektivität gewährleistet ist. Dies läuft auf eine partielle Durchbrechung des klassischen Rechtsträger- und Leitungspersonenmodells hinaus.
Auswirkungen auf DSGVO-Bußgelder
Für die Praxis der Datenschutzaufsichtsbehörden bestätigt diese Entscheidung eine bereits eingeschlagene Richtung. Die Entscheidunge „Deutsche Wohnen“ hatte ja schon klargestellt, dass Unternehmen unmittelbar als Verantwortliche im Sinne der DSGVO adressiert werden können und es für die Verhängung von Geldbußen genügt, wenn nachgewiesen ist, dass der Verantwortliche – also das Unternehmen – den Verstoß vorsätzlich oder fahrlässig begangen hat. Eine individualisierende Zurechnung zu einer namentlich benannten Leitungsperson ist nicht erforderlich.
Man sieht hier nun, wie dieses Verständnis nicht auf die DSGVO beschränkt bleibt, sondern ein unionsweit einheitliches Konzept von Unternehmensverantwortlichkeit widerspiegelt, das sich durch verschiedene Regulierungsbereiche zieht: Datenschutz, Kartellrecht, Finanzmarktaufsicht, Geldwäscheprävention – und absehbar auch in weiteren Bereichen, etwa bei Nachhaltigkeits- und Menschenrechts-Compliance. Für Unternehmen bedeutet das: Diskussionen darüber, ob eine konkrete Führungskraft bereits identifiziert, vernommen oder förmlich beschuldigt wurde, verlieren an Relevanz für die Sanktionsfähigkeit des Unternehmens selbst. Maßgeblich sind Strukturen, Prozesse und Systeme – und deren nachweisbare Defizite.
Die Konsequenz ist ein deutlich verschobener Risikohorizont. Wer in der Vergangenheit argumentierte, eine fehlende oder unklare Individualzurechnung verhindere eine wirksame Unternehmensbebußung, wird sich künftig immer schwerer tun, diese Position zu halten. Compliance-Management-Systeme, dokumentierte Risikobewertungen, Überwachungs- und Kontrollmechanismen sowie belastbare Nachweise gelebter Compliance werden damit zur zentralen Verteidigungslinie – nicht mehr die „Unauffindbarkeit“ eines individuellen Täters.
Ausweitung des Modells auf Cyber- und IT-Sicherheit
Mit Blick auf NIS2 und die kommenden nationalen Umsetzungsgesetze im Bereich der Cybersicherheit zeichnet sich ab, dass das unionsrechtliche Unternehmensmodell weiter an Bedeutung gewinnen wird. NIS2 setzt bekanntlich auf weitreichende Pflichten der Geschäftsleitung, angemessene technische und organisatorische Sicherheitsmaßnahmen und wirksame Aufsicht – flankiert von empfindlichen Geldbußen. Parallel dazu etabliert DORA (Digital Operational Resilience Act) ein Rahmenwerk für die operationelle Resilienz von Finanzunternehmen mit klaren Verantwortlichkeiten auf Leitungsebene.
Wenn der EuGH bei Geldwäsche und Datenschutz die eigenständige Sanktionierbarkeit von Unternehmen klar bejaht und den Zwang zur Individualisierung eines Täters zurückweist, ist der Gedanke nicht überraschend dass nationale Umsetzungen von NIS2 und anderen sektorspezifischen Regulierungsvorhaben denselben Weg gehen müssen (wie auch nicht?). Mitgliedstaatliche Lösungen, die faktisch ein „Tatnachweisproblem“ bei natürlichen Personen zur Sperre für Unternehmenssanktionen machen, geraten in Konflikt mit dem Effektivitätsgebot.
Für das Management bedeutet das: IT‑ und Cybersicherheits-Compliance wird sich zunehmend in denselben sanktionsrechtlichen Koordinaten bewegen wie Datenschutz- und Geldwäsche-Compliance. Die Frage wird nicht primär sein, welcher Administrator welchen Fehler gemacht hat, sondern ob das Unternehmen als Organisation die gebotene Sorgfalt und Überwachung tatsächlich umgesetzt hat – und dies im Konfliktfall auch dokumentieren kann.
Perspektive: Unternehmenssanktionen zwischen OWiG und Verbandssanktionengesetz
Schon der gescheiterte Entwurf eines Verbandssanktionengesetzes hatte versucht, die Diskrepanz zwischen deutschem Individualisierungsmodell und europäischer Unternehmenslogik zu überbrücken, indem Unternehmen ausdrücklich zu Trägern eigener Sanktionsverantwortlichkeit gemacht werden sollten. Der Koalitionsvertrag hatte eine Reform der Unternehmenssanktionen und ein gestuftes Anreizsystem mit Blick auf Compliance und interne Untersuchungen angekündigt. Das was da gerade beim EUGH passiert erhöht massiv den Druck, diesen Reformfaden (endlich) wieder aufzunehmen.
Die inzwischen verdichtete EuGH-Rechtsprechung – Kartellrecht, DSGVO, Geldwäsche – skizziert ein kohärentes, unionsrechtlich geprägtes Unternehmenssanktionsrecht, das mit dem bisherigen, stark auf §§ 30, 130 OWiG zugeschnittenen System nur begrenzt kompatibel ist. Ob der deutsche Gesetzgeber diese Lücke mit punktuellen Korrekturen im OWiG schließen will oder ob er doch noch den Schritt zu einem eigenständigen Unternehmensstraf- bzw. Sanktionsrecht wagt, ist eine politische Entscheidung, die aber nunmehr endgültig überfällig ist. Juristisch aber ist mit dieser Entscheidung klarer denn je: Das Zeitalter der „keine Person, kein Problem“-Argumentation jedenfalls ist meines Erachtens eindeutig vorbei.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- EuGH klärt Verantwortlichkeit juristischer Personen bei Geldwäscheverstößen - 11. Februar 2026
- Studie: KI als Berater scheitert am Menschen - 10. Februar 2026
- Fehlerhafte Durchsuchung hindert Beschlagnahme nicht - 10. Februar 2026
