EuGH-Entscheidung zur Bußgeldbemessung 

Der Europäische Gerichtshof (EuGH) hat am 13. Februar 2025 in der Rechtssache C-383/23 eine Entscheidung zur Bemessung der Bußgeldobergrenze bei Datenschutzverletzungen getroffen. Diese Entscheidung ist insoweit wichtig, da sie die zukünftige Bußgeldbemessung beeinflussen wird. 

Sachverhalt 

Im vorliegenden Fall wurde das dänisches Unternehmen ILVA, das Teil eines größeren Konzerns ist, wegen Datenschutzverstößen zu einem Bußgeld von 100.000 DKK (ca. 13.400 Euro) verurteilt. Das Gericht stellt bei der Bemessung der Bußgeldhöhe auf den Umsatz von ILVA ab. Die Staatsanwaltschaft legte daraufhin Berufung ein, woraufhin das zuständige Landgericht dem EuGH zwei Fragen zur Entscheidung vorlegte: 
 

1. „Kann der Begriff „Unternehmen“ in Artikel 83 Absatz 4 bis 6 der Datenschutz-Grundverordnung als ein Unternehmen im Sinne der Artikel 101 und 102 des AEUV interpretiert werden, in Verbindung mit dem 150. Erwägungsgrund der Datenschutz-Grundverordnung sowie der Rechtsprechung des Europäischen Gerichtshofs im Bereich des Wettbewerbsrechts der Union? Bedeutet dies, dass der Begriff „Unternehmen“ jede Einheit umfasst, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung?“ 

    

2. „Wenn die erste Frage bejaht wird: Ist Artikel 83 Absatz 4 bis 6 der Datenschutz-Grundverordnung so auszulegen, dass bei der Verhängung einer Geldbuße gegen ein Unternehmen der gesamte weltweit erzielte Jahresumsatz der wirtschaftlichen Einheit, zu der das Unternehmen gehört, berücksichtigt werden muss, oder lediglich der gesamte weltweit erzielte Jahresumsatz des Unternehmens selbst?“ 
    

Rechtliche Grundlage  

Nach dem Wortlaut des Art. 83 DSGVO wird die Höhe des Bußgeldes anhand des „weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs eines Unternehmens“ bemessen. Die entscheidende Frage ist: Welche Unternehmensteile sind in diese Berechnung einzubeziehen? 

Erwägungsgrund 150 der DSGVO verweist auf den Unternehmensbegriff aus Art. 101 und 102 AEUV, wonach unter „Unternehmen“ jede wirtschaftliche Einheit zu verstehen ist, unabhängig von ihrer Rechtsform. Daraus lässt sich ableiten, dass auch Konzerne, Mutter- und Tochtergesellschaften oder Unternehmensgruppen als wirtschaftliche Einheit angesehen werden können. 

Bis zu dieser aktuellen Entscheidung des EuGH wussten wir, dass der Gesamtumsatz eines Konzerns zur Festlegung der Bußgeldmaximalhöhe herangezogen werden darf.  

Entscheidungsgründe 

Der EuGH hat erneut seine frühere Entscheidung bekräftigt, dass der Begriff „Unternehmen“ im Kontext der DSGVO dem im Wettbewerbsrecht entspricht. Für die Festlegung der maximalen Bußgeldhöhe ist demnach der weltweite Jahresumsatz des gesamten Konzerns entscheidend. Der EuGH stellte jedoch klar, dass die konkrete Festlegung der Geldbuße von der Bestimmung der Höchstgrenze getrennt betrachtet, werden muss. Bei der Festsetzung des Bußgeldes sind verschiedene Faktoren zu berücksichtigen, wie die Art, Schwere und Dauer des Verstoßes sowie die finanziellen Verhältnisse des verantwortlichen Unternehmens. Dies soll sicherstellen, dass die Sanktion sowohl verhältnismäßig als auch abschreckend ist. Der EuGH hebt hervor, dass in einem ersten Schritt der Bußgeldbestimmung eine individuelle Bewertung des Verhaltens des Verantwortlichen erfolgen sollte, gefolgt von einer angemessenen Berechnung. Die finanziellen Verhältnisse der wirtschaftlichen Einheit werden nur dann relevant, wenn es notwendig ist, um eine mögliche Unverhältnismäßigkeit zu korrigieren. 

Fazit 

Die Entscheidung des EuGH betont nunmehr die Notwendigkeit einer einzelfallbezogenen Bewertung von Datenschutzverletzungen und der damit einhergehenden Festsetzung der Bußgeldhöhe.  Wie sich die Entscheidung auf die deutschen Gerichte und Aufsichtsbehörden auswirken wird, werden wir noch abwarten müssen. Jedoch wird es für die Unternehmen einfacher werden, auf die Höhe des Bußgeldes Einfluss zu nehmen, da „tat- und täterbezogene“ Umstände bei der Bemessung auch berücksichtigt werden sollen. Eine gute Datenschutz-Compliance kann daher nur von Vorteil sein. 

Gerne unterstützen wir Sie dabei die datenschutzrechtlichen Vorgaben zu erfüllen und Ihrer Rechenschaftspflicht als Verantwortliche nachzukommen.