DSGVO-Geldbußen in Konzernstrukturen: Was das aktuelle EuGH-Urteil bedeutet
In einem wegweisenden Urteil vom 13. Februar 2025 hat der Europäische Gerichtshof (EuGH) die Berechnung von Geldbußen unter der Datenschutz-Grundverordnung (DSGVO) in Bezug auf Unternehmen innerhalb eines Konzerns neu definiert. Schwerpunkt der Entscheidung war der Umfang, in dem der Umsatz eines gesamten Konzerns bei der Berechnung von Geldbußen herangezogen werden darf.
Präzedenzfall: Der Fall ILVA A/S
Im Mittelpunkt des Falls stand das dänische Unternehmen ILVA A/S, ein Mitglied der Lars Larsen Group. Aufgrund von DSGVO-Verstößen beantragte die dänische Staatsanwaltschaft eine Geldbuße in Höhe von 1,5 Millionen Dänischen Kronen (ca. 201.000 Euro). Bemerkenswert war, dass diese Berechnung den Umsatz des gesamten Konzerns und nicht nur den von ILVA A/S berücksichtigte. Das dänische Gericht entschied jedoch, die Strafe auf 100.000 Dänische Kronen zu reduzieren, da die Verstöße nur ILVA A/S allein betrafen.
Klärung durch den EuGH
Der EuGH stellte klar, dass der Begriff „Unternehmen“ in der DSGVO analog zu den Bestimmungen im Wettbewerbsrecht der EU auszulegen ist. Dies bedeutet, dass auch bei Datenschutz-Geldbußen die wirtschaftliche Einheit eines gesamten Konzerns berücksichtigt werden kann. Der Höchstbetrag einer Geldbuße bemisst sich somit nach dem Gesamtumsatz aller verbundenen Unternehmen.
Diese Auslegung unterstützt eine umfassendere Betrachtung der wirtschaftlichen Verhältnisse eines Unternehmenskonglomerats, was sicherstellt, dass Geldbußen nicht nur angemessen, sondern auch abschreckend sind. Dies garantiert, dass der wirtschaftliche Einfluss eines Verstoßes die gesamte Gruppe betrifft und nicht nur das einzelne Unternehmen.
Auswirkungen für Unternehmensgruppen
Das Urteil ermahnt Unternehmensgruppen eindringlich, darauf zu achten, dass alle Mitglieder der Gruppe die DSGVO-Vorgaben erfüllen. Verstöße eines einzelnen Unternehmens können die gesamte Gruppe finanziell belasten, da Strafen auf Grundlage des Gesamtumsatzes bemessen werden. Dies verlangt eine kohärente Datenschutzstrategie, die gruppenweit angewandt wird.
Im Falle einer Geldbuße bietet die Entscheidung klare Leitlinien, um sicherzustellen, dass die Höhe der auferlegten Strafe verhältnismäßig ist. Die Unternehmen sollten daher genau prüfen, ob die Bemessung der Geldbuße den Grundsätzen der Wirksamkeit, Verhältnismäßigkeit und Abschreckung entspricht.
Dieses Urteil stärkt das Bewusstsein für Datenschutz-Compliance als integralen Bestandteil der Unternehmensführung, insbesondere in komplexen Konzernstrukturen, und fordert strengere Überwachungsmaßnahmen zur Gewährleistung der Einhaltung der Datenschutzbestimmungen.
