Loading

EuGH zur DSGVO-Geldbußenberechnung: Konzernunternehmen im Fokus

I. Sachverhalt
In einem aktuellen Urteil (Az. C-383/23) hat der Europäische Gerichtshof (EuGH) klargestellt, wie Geldbußen nach der Datenschutz-Grundverordnung (DSGVO) bei Konzernunternehmen zu bemessen sind. Der Fall betraf eine dänische Möbelhauskette.​

Die dänische Staatsanwaltschaft warf dem Unternehmen Verstöße gegen die DSGVO vor und beantragte auf Empfehlung der Datenschutzbehörde Dänemark eine Geldbuße von 1,5 Millionen Dänischen Kronen (ca. 201.000 Euro). Bei der Berechnung dieser Geldbuße wurde nicht nur der Umsatz des Unternehmens berücksichtigt, sondern auch der Gesamtumsatz der Konzerngruppe, zu der dieses gehört. ​Das Gericht verurteilte das Unternehmen jedoch nur zu einer Geldbuße von 100.000 Dänischen Kronen (ca. 13.400 Euro). Es argumentierte, dass bei der Bemessung der Geldbuße nicht der Gesamtumsatz des Konzerns herangezogen werden dürfe, da nur das einzelne Unternehmen angeklagt gewesen sei. ​

Die Staatsanwaltschaft legte gegen dieses Urteil Rechtsmittel ein, woraufhin das Gericht dem EuGH Fragen zur Auslegung des Begriffs “Unternehmen” im Sinne der DSGVO vorlegte. Konkret ging es darum, ob bei der Verhängung einer Geldbuße gegen ein Unternehmen der gesamte weltweit erzielte Jahresumsatz der wirtschaftlichen Einheit, zu der das Unternehmen gehört, oder nur der Umsatz des Unternehmens selbst zu berücksichtigen ist.

II. Entscheidung des EuGH
Der EuGH entschied: Die Bemessung einer DSGVO-Geldbuße kann sich auf den Gesamtumsatz des Konzerns erstrecken, nicht nur auf das einzelne Tochterunternehmen. Der Begriff “Unternehmen” im Sinne von Art. 83 Abs. 4 bis 6 DSGVO entspricht dem in den Art. 101 und 102 AEUV. Demnach umfasst er jede Einheit, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung. Dies bedeutet, dass bei der Festsetzung des Höchstbetrags einer Geldbuße der gesamte weltweit erzielte Jahresumsatz der wirtschaftlichen Einheit, also des gesamten Konzerns, zu berücksichtigen ist.

➡️ Einheitlicher Verantwortungsbegriff: Der EuGH stützt sich auf das Konzept des „Unternehmens“ im Sinne des Wettbewerbsrechts. Wenn eine Tochtergesellschaft datenschutzrechtlich haftet, kann die wirtschaftliche Gesamtstärke des Konzerns herangezogen werden.

➡️ Abschreckende Wirkung erforderlich: Ziel der DSGVO-Bußgelder ist nicht nur die Sanktionierung von Datenschutzverstößen, sondern auch eine präventive Abschreckung. Eine Bemessung allein am Umsatz des betroffenen Tochterunternehmens könnte zu niedrigen Geldbußen führen und die abschreckende Wirkung unterlaufen.

➡️ Keine reine Formalbetrachtung: Konzernstrukturen dürfen nicht dazu führen, dass Datenschutzverstöße durch künstlich kleine Tochtergesellschaften wirtschaftlich folgenlos bleiben.

III. Auswirkungen für Unternehmen
Wesentliche Compliance-Erwägungen aus der Entscheidung:

Höheres Bußgeldrisiko: Datenschutzverstöße eines Tochterunternehmens können zu Geldbußen führen, die sich an der wirtschaftlichen Leistungsfähigkeit des gesamten Konzerns orientieren. Damit steigt das finanzielle Risiko.

Konzernweite Compliance notwendig: Unternehmen müssen sicherstellen, dass alle Konzerngesellschaften DSGVO-konform handeln. Datenschutzvergehen in einer Tochtergesellschaft können die gesamte Unternehmensgruppe treffen.

Der EuGH setzt mit dieser Entscheidung ein deutliches Signal: Datenschutzverstöße lassen sich nicht durch geschickte Konzernstrukturen vermeiden. Unternehmen müssen Datenschutz-Compliance nicht nur auf Tochtergesellschaftsebene, sondern konzernweit sicherstellen. Andernfalls drohen empfindliche Geldbußen – bemessen am gesamten Konzernumsatz.

IHWAS DATENSCHUTZ CONSULTING
Siesmayerstr. 58
60323 Frankfurt am Main
+49 151 - 61 56 02 81
datenschutz@ihwas-datenschutz.eu
ihwas-datenschutz.eu