EuGH zur Berechnung von DSGVO-Bußgeldern
Die Kalkulation von Geldbußen unter der Datenschutzgrundverordnung (DSGVO) ist seit deren Inkrafttreten ein wiederkehrendes Streitthema. Insbesondere die Frage, ob sich die Höhe einer Sanktion ausschließlich am Umsatz der unmittelbaren juristischen Person oder am Gesamtumsatz eines Unternehmensverbundes orientieren sollte, sorgt regelmäßig für Unsicherheit. Der Europäische Gerichtshof (EuGH) hat sich nun in seinem Urteil vom 13.02.2025 (Rechtssache C-383/23) zur Berechnung von DSGVO-Bußgeldern geäußert. Darin hat er klargestellt, dass bei der Bemessung zwischen der tatsächlichen Berechnung und der Feststellung der Maximalhöhe zu unterscheiden ist. Dies soll sicherstellen, dass die Strafen effektiv, verhältnismäßig und abschreckend sind.
Bußgeld gegen Möbelhauskette
Dem Urteil lag ein Fall aus Dänemark zugrunde: Betroffen ist das Unternehmen ILVA, dass Betreiber einer Möbelhauskette und Teil der Lars Larsen Group ist. Im Jahr 2021 erhielt das Unternehmen von einem dänischen Gericht wegen Datenschutzverstößen im Zusammenhang mit mindestens 350.000 ehemaligen Kunden eine Sanktion.
Die dänische Datenschutzbehörde (Datatilsynet) schlug eine Strafe von 1,5 Mio. DKK vor, was umgerechnet etwas mehr als 200.000 Euro sind. Diese Berechnung beruhte auf dem Umsatz der gesamten Lars Larsen Group, nicht nur auf dem der unmittelbaren Tochtergesellschaft ILVA.
Das zuständige dänische Gericht sah dies jedoch anders und verhängte eine deutlich niedrigere Sanktion. Es betrachtete ILVA als unabhängiges Einzelhandelsunternehmen und hielt es nicht für erwiesen, dass die Muttergesellschaft die Tochtergesellschaft ausschließlich zur Datenverarbeitung gegründet habe. Die verhängte Geldstrafe belief sich demzufolge auf 100.000 DKK, was lediglich 13.400 Euro entspricht.
Vorgaben der DSGVO
Die DSGVO bestimmt zur Bußgeldberechnung lediglich in Art. 83 DSGVO, dass bei der Verhängung von Bußgeldern auf den gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs eines Unternehmens abzustellen ist. Fraglich ist aber, welche Unternehmensteile bezüglich des gesamten Jahresumsatzes zu beachten sind.
Nach Erwägungsgrund 150 zur DSGVO soll bei Geldbußen gegen Unternehmen auf den Begriff des Unternehmens im Sinne der Art. 101 und 102 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) abgestellt werden. Hiernach bezeichnet der Begriff „Unternehmen“ jede eine wirtschaftliche Tätigkeit ausübende Einheit, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung. Entscheidend ist also nicht die formale juristische Struktur, sondern die wirtschaftliche Funktion. Dazu können auch Konzerne, Mutter- und Tochtergesellschaften oder Unternehmensgruppen gehören, sofern sie eine wirtschaftliche Einheit bilden.
In diesem Zusammenhang war bislang lediglich geklärt, dass der gesamte Unternehmensumsatz herangezogen werden kann, um die maximale Bußgeldhöhe zu bestimmen. Abschließend war bisher jedoch noch nicht entschieden, ob diese Umsatzsumme auch durch Berechnung des Bußgelds selbst herangezogen werden kann.
Entscheidung des EuGH
Hier hat der EuGH nun Klarheit geschaffen. Er verwies ebenfalls auf Art. 101 und 102 AEUV, unterscheidet aber in seinem Urteil eindeutig zwischen der Höhenbegrenzung und der Berechnung des Bußgelds. Zwar könne man den Gesamtumsatz des Konzerns bei der Bestimmung der Höhe beachten, er könne aber nicht als Berechnungsgrundlage dienen. Darüber hinaus müsse bei der Berechnung die wirtschaftliche Leistungsfähigkeit der Organisation berücksichtigt werden, um sicherzustellen, dass die Strafe effektiv, aber auch verhältnismäßig und abschreckend bleibt.
Fazit
Mit seiner Entscheidung zur Berechnung von DSGVO-Bußgeldern hat der EuGH für mehr Klarheit gesorgt und sich für eine Differenzierung zwischen der tatsächlichen Berechnung des Bußgeldes und der Bemessung der Maximalhöhe entschieden. Bußgelder in der EU können künftig mit mehr Rechtssicherheit hinsichtlich der Berücksichtigung des Umsatzes des gesamten Unternehmensverbunds kalkuliert werden. Internationale Konzerne, sollten trotzdem ihre Datenschutz-Compliance konzernweit sicherzustellen und nicht nur auf Ebene einzelner Unterorganisationen. Eine konsolidierte Datenschutzstrategie auf Konzernebene ist daher essenziell.
