Gilt bei einem DSGVO-Bußgeld der Umsatz des einzelnen Unternehmens oder der Unternehmensgruppe als Referenzrahmen? Zu dieser Frage hat der Europäische Gerichtshof (EuGH) eine wichtige Entscheidung getroffen. Wir erklären die Konsequenzen für Konzerne und Unternehmensgruppen (Urteil vom 13. Februar 2025, Az.: C-383/23).
Sachverhalt des zugrundeliegenden Falls
Der Hintergrund der EuGH-Entscheidung war ein dänisches Strafverfahren gegen die ILVA A/S (gehört zum Konzern Lars Larsen Group). Die dänische Staatsanwaltschaft beantragte auf Empfehlung der dänischen Datenschutzbehörde gegen die Gesellschaft als Verantwortliche im Sinne der Datenschutz-Grundverordnung (DSGVO) eine Geldbuße von 1.5 Mio. DKK (umgerechnet rund 201.000 Euro) wegen des Vorwurfs von Verstößen gegen die DSGVO. Bei der Berechnung legte die Staatsanwaltschaft den konzernweiten Umsatz der Lars Larsen Group zugrunde.
Das zuständige Gericht reduzierte daraufhin die Sanktion auf 100.000 DKK (umgerechnet rund 13.400 Euro) mit der Begründung, dass nur die ILVA A/S angeklagt sei, die Gesellschaft einer selbständigen Einzelhandelstätigkeit nachginge und daher nicht allein zu dem Zweck errichtet worden sei, konzernweit personenbezogene Daten zu verarbeiten.
Im Anschluss daran legte die Staatsanwaltschaft Berufung beim Landgericht ein. Bei der Bemessung des Bußgeldes im Falle eines DSGVO-Verstoßes sei auf den Umsatz des gesamten Konzerns abzustellen. Diese Auffassung lehnte ILVA/AS ab, da die Anklage nur gegen diese Gesellschaft als solche erhoben wurde und eben nicht auch gegen die Muttergesellschaft. Das Berufungsgericht setzte das Verfahren aus und legte dem EuGH folgende Fragen zu Vorabentscheidung vor.
Zum einen wollte das Gericht wissen, ob der Begriff „Unternehmen“ in Art. 83 Abs. 4 bis 6 DSGVO als ein Unternehmen mit dem in Art. 101 und 102 AEUV verwendenden Unternehmensbegriff gleichzusetzen ist, so dass er jede Einheit umfasst, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsstellung.
Zum anderen war zu klären, falls die obige Frage bejaht werden sollte, welcher Umsatz bei der DSGVO-Bußgeldbemessung zugrunde zu legen ist: der jährliche Gesamtumsatz der wirtschaftlichen Einheit oder nur der Jahresumsatz der konkret betroffenen Gesellschaft?
Aktuelle Urteile zur DSGVO
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Entscheidung des EuGHs
Der EuGH bestätigt die erste Frage. Der Begriff „Unternehmen“ in Art. 83 DSGVO ist im Sinne der Art. 101 und 102 AEUV auszulegen. Damit ist unter dem Begriff „Unternehmen“ eine wirtschaftliche Einheit zu verstehen, die – selbst, wenn sie rechtlich aus mehreren natürlichen oder juristischen Personen besteht, – dauerhaft über gemeinsame personelle, materielle und immaterielle Mittel verfügt, um einen einheitlichen wirtschaftlichen Zweck zu erreichen.
Aus diesem Grund ist – so die Antwort auf die zweite Frage – für die Bemessung des Höchstbetrags einer DSGVO-Geldbuße auf den Gesamtumsatz des vorausgegangenen Geschäftsjahrs der gesamten wirtschaftlichen Einheit abzustellen.
Daneben betont der EuGH, dass bei der Festsetzung der Geldbuße zwischen dem Höchstbetrag – der sich grundsätzlich nach dem gesamten Umsatz des Konzerns richtet – und der konkreten Berechnung der tatsächlich zu verhängenden Geldbuße zu unterscheiden ist. Letztere erfolgt im Einzelfall durch die zuständige Aufsichtsbehörde.
Nach Art. 83 Abs. 1 DSGVO muss jede Aufsichtsbehörde sicherstellen, dass die Geldbuße wirksam, verhältnismäßig und abschreckend ist. Darüber hinaus verpflichtet Art. 83 Abs. 2 DSGVO die Behörden, bei der Festlegung des Bußgeldes verschiedene individuelle Faktoren zu berücksichtigen. Zu diesen gehören unter anderem die Art, Schwere und Dauer des Verstoßes, die Zahl der betroffenen Personen und das Ausmaß des erlittenen Schadens.
Der EuGH räumt ein, dass die dort genannten Kriterien nicht auf den Begriff des „Unternehmens“ im Sinne der Art. 101 und 102 AEUV ausdrücklich verweisen. Allerdings betont das Gericht, dass eine Geldbuße nur dann wirksam, verhältnismäßig und abschreckend ist, wenn für die Bemessung neben den in Art. 83 Abs. 2 DSGVO genannten Kriterien auch die tatsächliche und materielle Leistungsfähigkeit des betroffenen Unternehmens berücksichtigt wird. Das bedeutet, dass die Behörde prüfen muss, ob der Adressat einem Unternehmen im Sinne der Art. 101 und 102 AEUV angehört, um die konkrete Bußgeldhöhe zu bemessen.
Handlungsempfehlungen für Konzerne und Unternehmensgruppen
Das Urteil macht deutlich, dass Datenschutzrisiken konzernweit gedacht werden sollten. Daher lohnt es sich, präventiv und strukturiert vorzugehen, um so nicht nur DSGVO-Verstöße zu vermeiden, sondern auch im Falle eines Prozesses nachweisen zu können, alle erforderlichen Schritte eingehalten zu haben.
Richten Sie eine zentrale Governance-Struktur ein und legen Sie klare Verantwortlichkeiten fest. Unserer Erfahrung nach reduziert eine einheitliche Richtlinie mit definierten Rollen, Meldewegen und Berichtspflichten das Fehlerrisiko.
Dokumentieren Sie alle Nachweise zu technischen und organisatorischen Maßnahmen, internen Audits, Risikobewertungen sowie Reaktionsschritte bei Vorfällen. Im Prozess können diese Nachweise helfen und unter Umständen die Höhe der Sanktion beeinflussen.
Prüfen Sie konzerninterne Verträge und Haftungsregelungen. In der Praxis ist es nützlich, klare vertragliche Mechanismen für Datentransfers innerhalb der Unternehmensgruppe zu etablieren.
Prüfen Sie bei Erlass einer Sanktion die tatsächliche Leistungsfähigkeit der wirtschaftlichen Einheit. Eine gut dokumentierte Darstellung der finanziellen Verhältnisse ist ein entscheidender Faktor, wenn es darum geht, Verhältnismäßigkeit und Zumutbarkeit der Sanktion darzulegen.
Fazit
Die EuGH-Entscheidung unterstreicht erneut das hohe finanzielle Risiko für Konzerne: Ein Datenschutzverstoß einzelner Konzerngesellschaften hat in der Regel Bußgeldfolgen für die ganze Unternehmensgruppe. Zwar bleibt die Verhältnismäßigkeitsprüfung ein Schutzmechanismus, doch greift sie nur, wenn Unternehmen ihre wirtschaftliche Lage nachvollzierbar belegen können.
Entscheidend ist eine etablierte Datenschutzorganisation, die den gesamten Konzern überspannt. Wer Datenschutz strukturiert und mit klaren Zuständigkeiten umsetzt, kann im Falle eines Verfahrens die erforderlichen Maßnahmen nachweisen und damit das Bußgeldrisiko verringern.