ThinkTank_Logo_black
Das Warten hat ein Ende
Ailance™ ThinkTank ist da!
Mehr erfahren

Was ist ein Unternehmen laut DSGVO? EuGH verschärft Berechnung von Geldbußen

Was ist ein Unternehmen laut DSGVO?
Kategorien:
, ,

Der Europäische Gerichtshof (EuGH) hat am 13. Februar 2025 in der Rechtssache C-383/23 eine Entscheidung gefällt, die weitreichende Konsequenzen für die Berechnung von Geldbußen nach der Datenschutz-Grundverordnung (DSGVO) haben könnte. Im Zentrum der Entscheidung stand die Frage, ob der Begriff “Unternehmen” in Art. 83 Abs. 4 bis 6 DSGVO im Sinne des Wettbewerbsrechts der EU auszulegen ist. Dann könnte bei der Bemessung einer Geldbuße der Gesamtumsatz eines Konzerns berücksichtigt werden, wenn eine Tochtergesellschaft gegen die DSGVO verstößt.

Hintergrund des Falls

Der Fall betrifft die dänische Möbelhauskette ILVA A/S, eine Tochtergesellschaft der Lars Larsen Group. ILVA wurde von der dänischen Staatsanwaltschaft wegen eines Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO) angeklagt. Das Unternehmen soll personenbezogene Daten von mindestens 350.000 ehemaligen Kunden über einen unangemessen langen Zeitraum gespeichert haben. Dies soll ohne rechtmäßige Grundlage und entgegen den Anforderungen der DSGVO bezüglich der Datensparsamkeit und Speicherbegrenzung geschehen sein.

Die dänische Datenschutzbehörde Datatilsyn kam nach einer Untersuchung zu dem Schluss, dass der Verstoß als gravierend einzustufen sei. Sie empfahl eine Geldbuße in Höhe von 1,5 Millionen DKK (ca. 201.000 Euro). Die Berechnung dieser Geldbuße beruhte nicht nur auf dem Umsatz von ILVA, sondern bezog den Gesamtumsatz des Mutterkonzerns Lars Larsen Group mit ein. Die Behörde argumentierte, dass die wirtschaftliche Einheit entscheidend für die Bußgeldhöhe sei. Eine Abschreckungswirkung könne nur dann gewährleistet werden, wenn sich die Strafe nach dem gesamten Konzernumsatz richte.

Das erstinstanzliche Gericht, das Ret i Aarhus (Gericht Aarhus, Dänemark), reduzierte die Strafe jedoch erheblich auf 100.000 DKK (ca. 13.400 Euro). Es begründete diese Entscheidung damit, dass ausschließlich ILVA als juristische Person Gegenstand des Verfahrens sei und nicht der gesamte Konzern. Zudem nahm das Gericht an, dass ILVA in diesem Fall fahrlässig, jedoch nicht vorsätzlich gehandelt habe.

Die dänische Staatsanwaltschaft legte gegen dieses Urteil Berufung beim Vestre Landsret (Landgericht für Westdänemark) ein. Sie machte geltend, dass der Begriff „Unternehmen” in Art. 83 Abs. 4 bis 6 DSGVO in Übereinstimmung mit dem unionsrechtlichen Unternehmensbegriff auszulegen sei. Demnach müsse bei der Bemessung der Geldbuße der Gesamtumsatz der wirtschaftlichen Einheit, also des Konzerns, berücksichtigt werden. Dies führte schließlich zur Vorlage des Falls beim EuGH, um eine verbindliche Klärung dieser Rechtsfrage zu erhalten.

Diese Rechtsfragen kamen vor den EuGH

Das Vestre Landsret legte dem EuGH zwei zentrale Fragen zur Vorabentscheidung vor:

  1. Ist der Begriff “Unternehmen” in Art. 83 Abs. 4 bis 6 DSGVO in Übereinstimmung mit dem Wettbewerbsrecht der EU zu verstehen, d. h., umfasst er jede wirtschaftliche Einheit unabhängig von der Rechtsform?
  2. Falls ja, muss bei der Berechnung der Geldbuße der gesamte Jahresumsatz der wirtschaftlichen Einheit berücksichtigt werden oder nur der Umsatz der spezifischen Tochtergesellschaft?

Lese-Tipp: EuGH-Urteil zu DSGVO-Bußgelder – welches Ermessen hat eine Datenschutzbehörde

EuGH: Unternehmen nach Wettberwerbsrecht auszulegen

Der EuGH entschied, dass der Begriff “Unternehmen” in Art. 83 Abs. 4 bis 6 DSGVO entsprechend dem Wettbewerbsrecht auszulegen ist. Damit folgt der Gerichtshof seiner bisherigen Rechtsprechung zur wettbewerbsrechtlichen Unternehmenshaftung nach Art. 101 und 102 AEUV.

In seiner detaillierten Urteilsbegründung betonte der EuGH, dass die DSGVO nicht isoliert betrachtet werden darf. Sie ist im Kontext der unionsrechtlichen Wirtschaftsvorschriften zu verstehen. Dies bedeutet, dass der Begriff “Unternehmen” nicht allein auf einzelne juristische Personen beschränkt ist, sondern die gesamte wirtschaftliche Einheit umfasst, zu der auch Mutter- und Tochtergesellschaften gehören können.

Der EuGH stellte darüber hinaus klar, dass eine Geldbuße wegen eines DSGVO-Verstoßes nicht nur auf Basis des Umsatzes der direkt verantwortlichen Tochtergesellschaft berechnet werden kann. Vielmehr sei der Gesamtumsatz des Konzerns relevant, sofern die betroffene Gesellschaft integraler Bestandteil der wirtschaftlichen Einheit ist und der Mutterkonzern Einfluss auf deren Geschäftsentscheidungen nimmt.

Ein zentraler Aspekt des Urteils war die Frage, ob und inwieweit die wirtschaftliche Realität die rechtliche Betrachtung überlagert. Der Gerichtshof bekräftigte, dass das Prinzip der “wirtschaftlichen Einheit” bereits im Wettbewerbsrecht der EU verankert sei und für die Anwendung der DSGVO gleichermaßen gelte. Dadurch wird verhindert, dass Unternehmen durch komplexe interne Strukturierungen niedrigere Bußgelder umgehen können.

Schließlich befasste sich der EuGH mit den Auswirkungen auf die abschreckende Wirkung von Geldbußen nach der DSGVO. Eine Geldbuße, die lediglich den Umsatz einer Tochtergesellschaft berücksichtigt, könnte für große Konzerne eine verhältnismäßig geringe Sanktion darstellen und somit nicht die gewünschte abschreckende Wirkung entfalten. Daher sei eine konzernweite Betrachtung notwendig, um sicherzustellen, dass Bußgelder verhältnismäßig und wirksam sind.

EuGH zeigt sich in Begründung pragmatisch

Der EuGH verfolgt mit seinem Urteil einen pragmatischen Ansatz, der eine effektive Umsetzung der DSGVO sicherstellen soll, ohne dabei die Rechte der betroffenen Unternehmen zu vernachlässigen.

Die Begründung des EuGH beruht auf folgenden Argumenten:

  1. Harmonisierungszweck der DSGVO: Die DSGVO verfolgt das Ziel einer einheitlichen Anwendung des Datenschutzrechts in der gesamten Europäischen Union. Um dies sicherzustellen, müssen Geldbußen nicht nur effektiv und verhältnismäßig sein, sondern auch eine abschreckende Wirkung entfalten. Der EuGH betonte, dass es verhindert werden muss, dass große Konzerne durch eine geschickte Unternehmensstrukturierung die Anwendung der Bußgeldvorschriften umgehen und dadurch niedrigere Strafen erhalten.
  2. Wettbewerbsrechtliche Parallelen: Der EuGH stützte seine Entscheidung auf den unionsrechtlichen Unternehmensbegriff gemäß Art. 101 und 102 AEUV. Nach diesem Verständnis wird eine wirtschaftliche Einheit als eine Gesamtheit betrachtet, unabhängig davon, aus wie vielen juristischen Personen sie besteht. Dies bedeutet, dass die wirtschaftliche Realität über die formale juristische Struktur gestellt wird. Damit soll verhindert werden, dass Unternehmen sich durch interne Aufteilung der Verantwortung der Haftung entziehen.
  3. Abschreckende Wirkung der Sanktionen: Der Gerichtshof hob hervor, dass eine Geldbuße, die sich lediglich nach dem Umsatz der direkt betroffenen Tochtergesellschaft richtet, für große multinationale Unternehmen oft eine vernachlässigbare wirtschaftliche Belastung darstellt. Um eine ausreichende abschreckende Wirkung zu gewährleisten, müsse daher auf den Umsatz der gesamten wirtschaftlichen Einheit abgestellt werden. Dadurch werde auch verhindert, dass Konzerne durch die Schaffung zahlreicher kleiner Tochtergesellschaften die DSGVO-Sanktionsmechanismen unterlaufen.
  4. Grundsatz der Verhältnismäßigkeit: Gleichzeitig stellte der EuGH klar, dass bei der konkreten Bemessung der Geldbuße stets der Grundsatz der Verhältnismäßigkeit gewahrt bleiben muss. Das bedeutet, dass nicht automatisch der höchste Bußgeldrahmen angewendet wird, sondern dass sämtliche individuellen Umstände des Einzelfalls berücksichtigt werden müssen, etwa die Art, Schwere und Dauer des Verstoßes sowie die Kooperationsbereitschaft des Unternehmens mit den Aufsichtsbehörden.

Auswirkungen auf die Unternehmens-Praxis

Die Entscheidung des EuGH hat weitreichende Auswirkungen auf die Berechnung und Verhängung von Geldbußen im Rahmen der DSGVO. Sie bringt insbesondere für international agierende Unternehmen und Konzerne erhebliche Änderungen mit sich. Die wesentlichen Konsequenzen lassen sich in mehrere zentrale Aspekte unterteilen:

  1. Erweiterte Haftung für Konzerne: Durch die Bestätigung des wirtschaftlichen Einheitsprinzips werden Muttergesellschaften potenziell stärker in die Haftung für Datenschutzverstöße ihrer Tochtergesellschaften einbezogen. Dies bedeutet, dass Verstöße nicht nur auf Unternehmensebene, sondern auch auf Konzernebene betrachtet werden, wodurch sich die Risikoexposition für Unternehmensgruppen erheblich erhöht.
  2. Erhöhte Geldbußen: Da der Gesamtumsatz der wirtschaftlichen Einheit als Berechnungsgrundlage für Bußgelder herangezogen werden kann, könnten Strafen in der Praxis deutlich höher ausfallen als bisher. Dies kann besonders für große multinationale Unternehmen mit hohen Gesamtumsätzen erhebliche finanzielle Folgen haben.
  3. Neue Compliance-Strategien: Unternehmen müssen verstärkt darauf achten, dass alle Tochtergesellschaften strikte Datenschutzrichtlinien einhalten. Dies führt dazu, dass Datenschutzmanagement systematisch auf gesamte Unternehmensgruppen ausgedehnt werden muss. Interne Prüfmechanismen und Kontrollstrukturen werden an Bedeutung gewinnen, um konzernweite Verstöße zu verhindern.
  4. Verstärkter Druck auf Unternehmensstrukturen: Unternehmensgruppen müssen ihre internen Verantwortlichkeiten klarer definieren und sicherstellen, dass die DSGVO-Compliance nicht nur auf eine einzelne juristische Person beschränkt bleibt. Die Rechtsprechung könnte dazu führen, dass Unternehmen ihre Konzernstruktur überdenken, um Risiken besser zu steuern.
  5. Harmonisierung der Sanktionen innerhalb der EU: Durch die Bezugnahme auf das Wettbewerbsrecht schafft der EuGH eine stärkere Angleichung der Sanktionen für DSGVO-Verstöße in der gesamten Europäischen Union. Dies sorgt für eine einheitlichere Anwendung der Vorschriften und verhindert, dass einzelne Mitgliedstaaten durch unterschiedliche Auslegungen eine mildere Sanktionierung ermöglichen.
  6. Stärkere Abschreckung für Unternehmen: Die Entscheidung sorgt dafür, dass Datenschutzverstöße nicht mehr mit vergleichsweise geringen Strafen abgegolten werden können. Unternehmen müssen nun sicherstellen, dass die Datenschutz-Compliance ein zentrales Element der Unternehmensführung bleibt, um hohe finanzielle Sanktionen zu vermeiden.

Fazit

Das EuGH-Urteil in der Rechtssache C-383/23 stellt einen bedeutenden Meilenstein in der Durchsetzung der DSGVO dar und stärkt die Wirksamkeit der Datenschutzvorschriften in der Europäischen Union erheblich. Die Entscheidung zeigt, dass die Prinzipien des Wettbewerbsrechts auch auf datenschutzrechtliche Sanktionen Anwendung finden können, um eine effektive und gerechte Ahndung von Verstößen zu gewährleisten.

Durch die Einbeziehung des Konzernumsatzes als Berechnungsgrundlage für Geldbußen wird sichergestellt, dass auch große Unternehmensgruppen für Datenschutzverstöße angemessen zur Verantwortung gezogen werden. Dies verhindert, dass Konzerne durch geschickte interne Strukturierungen Strafen umgehen oder minimieren können. Die Entscheidung trägt somit dazu bei, eine einheitliche und gerechte Anwendung der DSGVO in der gesamten EU zu etablieren.

Darüber hinaus setzt das Urteil ein deutliches Signal an Unternehmen, dass Datenschutzverstöße ernsthafte finanzielle Konsequenzen nach sich ziehen können. Die abschreckende Wirkung dieser Regelung wird Unternehmen dazu motivieren, Datenschutz-Compliance noch stärker in ihre Geschäftsstrategien zu integrieren und sicherzustellen, dass sämtliche Tochtergesellschaften den Vorgaben der DSGVO entsprechen.

Insgesamt trägt das Urteil dazu bei, die Durchsetzung der DSGVO zu stärken, indem es klare Maßstäbe für die Bußgeldbemessung setzt und Unternehmen dazu anhält, Datenschutz als eine zentrale rechtliche und ethische Verpflichtung zu betrachten. Diese Entscheidung wird zweifellos langfristige Auswirkungen auf die Gestaltung von Datenschutzrichtlinien und Unternehmensstrukturen haben.

Quelle: EuGH-Urteil vom 13. Februar 2025 (C‑383/23)

Kontakt aufnehmen
Tags:
,
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge

de_DEGerman
en_USEnglish it_ITItalian fr_FRFrench de_DEGerman