Der Europäische Gerichtshof (EuGH) hat sich dazu geäußert, ob Bußgelder wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) sich am Umsatz der betroffenen Gesellschaft oder des gesamten Konzerns zu orientieren hat. Bisher war umstritten, ob nur der Umsatz des einzelnen Unternehmens, das den Verstoß begangen hat, berücksichtigt wird oder der des gesamten Konzerns.
Worum ging es in dem Fall?
Das dänische Möbelhaus ILVA wurde beschuldigt, personenbezogene Daten ehemaliger Kunden nicht DSGVO-konform verarbeitet zu haben. Die dänische Staatsanwaltschaft forderte eine Geldbuße von 1,5 Millionen Dänischen Kronen (DKK) (ca. 201.000 Euro) und bezog sich dabei auf den Gesamtumsatz des Konzerns, zu dem ILVA gehört.
Das zuständige dänische Gericht verhängte jedoch nur eine Geldbuße von 100.000 DKK (ca. 13.400 Euro), da es lediglich den Umsatz von ILVA selbst berücksichtigte und nicht den des gesamten Konzerns.
Die Staatsanwaltschaft legte Berufung ein, und das Berufungsgericht bat den EuGH um eine Vorabentscheidung.
Wie entschied der EuGH?
Der EuGH entschied mit Urteil vom 13.02.2025 (Az.: C-383/23), dass bei der Berechnung einer Geldbuße der Umsatz des gesamten Konzerns herangezogen werden kann. Das Gericht begründete seine Entscheidung wie folgt:
- Was ist ein „Unternehmen“ im Sinne der DSGVO?
Der EuGH stellte klar, dass der Begriff „Unternehmen“ in der DSGVO im Sinne des EU-Wettbewerbsrechts zu verstehen ist. Dies bedeutet, dass der gesamte Konzern als eine wirtschaftliche Einheit betrachtet wird, und zwar unabhängig von der rechtlichen Struktur der einzelnen Unternehmen. Diese Auslegung basiert auf Artikel 101 und 102 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV).
- Gesamter Konzernumsatz als Grundlage für Strafen:
Um eine Geldbuße angemessen festzulegen, kann der weltweite Jahresumsatz des gesamten Konzerns aus dem vorangegangenen Geschäftsjahr herangezogen werden. Dies soll sicherstellen, dass die Strafe wirksam und abschreckend ist. Der EuGH betonte aber, dass die tatsächliche wirtschaftliche Leistungsfähigkeit des Unternehmens berücksichtigt werden muss, um eine angemessene Sanktionierung zu gewährleisten.
- Strafe muss verhältnismäßig sein:
Die Strafe soll einerseits wirksam sein, um Datenschutzverstöße zu ahnden und abzuschrecken, andererseits aber auch verhältnismäßig bleiben – also nicht übermäßig hoch ausfallen.
Konsequenzen für die Praxis
Das Urteil hat weitreichende Auswirkungen auf Unternehmen, insbesondere auf Konzerne:
- Höhere Strafen möglich:
Unternehmen müssen damit rechnen, dass Strafen für Datenschutzverstöße in Zukunft deutlich höher ausfallen können, da nun der Umsatz des gesamten Konzerns als Berechnungsgrundlage herangezogen werden kann. Dies bedeutet insbesondere für Konzerne mit weltweiten Umsätzen erhebliche finanzielle Risiken.
- Datenschutzmanagement konzernweit implementieren:
Konzerne sollten sicherstellen, dass sie ein konzernweites Datenschutzmanagement implementieren. Verstöße einer Konzerngesellschaft können aufgrund der konzernweiten Haftung hohe Bußgelder nach sich ziehen.
