Nach Klarstellung des EuGH: Bußgelder für DSGVO-Verstöße sind anhand des Umsatzes von Unternehmensgruppen zu bemessen

Bei Verstößen gegen die Verpflichtungen aus der Datenschutz-Grundverordnung (DSGVO) können teils empfindliche Bußgelder drohen. Verstoßen Konzernunternehmen gegen diese Verpflichtungen, bemisst sich der Bußgeldrahmen am Umfang des weltweit erzielten Konzernjahresumsatzes. Die bisher unklare Definition des Unternehmensbegriffs bezogen auf Konzernverstöße hat der Europäische Gerichtshof (EuGH) nunmehr klargestellt.

Einleitung

Bei Verstößen gegen die Verpflichtungen aus der DSGVO können, je nach Art und Umfang des Verstoßes, teils empfindliche Bußgelder drohen. Dieser Umstand zeigt sich nicht nur in den Ergebnissen jüngerer Bußgeldverfahren der zuständigen Aufsichtsbehörden, sondern ergibt sich zudem unmittelbar aus dem Verordnungstext: Art. 83 Abs. 4 DSGVO sieht im Falle von Verstößen durch Unternehmen Geldbußen mit einem Umfang von bis zu 2 Prozent des weltweit erzielten Jahresumsatzes vor – bei gravierenderen Verstößen steigt dieser Rahmen auf bis zu 4 Prozent an, Art. 83 Abs. 5 DSGVO.

Die genaue Definition ebendieses Unternehmensbegriffs ist Gegenstand eines aktuellen Urteils des EuGH (Urteil vom 13.02.2025, Az.: C-383/23). Anlass dazu gab ein Vorabentscheidungsersuchen aus Dänemark. Das nationale Gericht bat um Klarstellung bezüglich der Frage, ob unter dem Unternehmensbegriff jede wirtschaftliche Einheit zu verstehen ist, unabhängig von ihrer individuellen rechtlichen Ausgestaltung, und falls ja, ob sich das Bußgeld nach dem Umsatz der gesamten wirtschaftlichen Einheit oder aber nach dem Umsatz der jeweiligen rechtlich eigenständigen zu sanktionierenden Konzerngesellschaft bemesse.

Der Ausgangsfall

Der konkrete Fall betraf eine dänische Gesellschaft, die Teil eines weltweit agierenden Konzerns ist. Zur Berechnung eines wegen Verstößen gegen die Pflichten als Verantwortlicher zu verhängenden Bußgelds zog die nationale Eingangsinstanz 2021 – in Dänemark werden DSGVO-Bußgelder nach Empfehlung der Aufsichtsbehörde im Rahmen eines gerichtlichen Strafverfahrens verhängt – den Umsatz der dänischen Konzerngesellschaft als maßgebliche Berechnungsgrundlage heran. Angeklagt war lediglich die betreffende Gesellschaft, alle weiteren Konzerngesellschaften waren nicht Prozesspartei. In der zweiten Instanz begründete die Staatsanwaltschaft eine Revision mit ebendieser Berechnungsgrundlage und dem damit verbundenen anzuwendenden Unternehmensbegriff. Dieser sei abweichend von der Auffassung der ersten Instanz im Sinne der Art. 101 und 102 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) zu verstehen. Ebendieser Unternehmensbegriff stelle weniger auf die individuelle Rechtspersönlichkeit des Unternehmens als rechtlich eigenständige juristische Person ab, sondern berücksichtige vielmehr eine „wirtschaftliche Einheit“. Daher sei der gesamte Konzern als Unternehmen zu definieren und nicht lediglich die rechtlich eigenständige Konzerngesellschaft.

Das dänische Gericht hatte in der zweiten Instanz u. a. die Frage hinsichtlich der anwendbaren Definition des Unternehmensbegriffs dem EuGH zur Vorabentscheidung vorgelegt.

Die Entscheidung des EuGH

Die Vorlagefrage hat der EuGH vergleichsweise eindeutig entschieden und ist der Argumentation der dänischen Revisionsbegründung gefolgt.

Der anzuwendende Unternehmensbegriff werde im Erwägungsgrund Nr. 150 zur DSGVO eindeutig dahin gehend definiert, dass er im Sinne des Art. 101 bzw. 102 AEUV auszulegen sei. Dieser betrachte ein Unternehmen als „jede eine wirtschaftliche Tätigkeit ausübende Einheit, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung“. Als Unternehmen bezeichnet wird folglich „eine wirtschaftliche Einheit, auch wenn diese aus rechtlicher Sicht aus mehreren natürlichen oder juristischen Personen besteht“. So hat der EuGH entschieden, dass der Umsatz des gesamten Konzerns maßgeblich für die Berechnung etwaiger Bußgelder sei.

Der EuGH hat diese Ansicht nicht lediglich terminologisch über die Definition eines Unternehmens begründet, sondern er hat insbesondere auch Bezug auf den Gesetzestext genommen. In Art. 83 Abs. 1 DSGVO werde an ein zu verhängendes Bußgeld die Anforderung gestellt, dass dieses in jedem Einzelfall wirksam, verhältnismäßig und abschreckend zu sein habe. Eine Berücksichtigung der wirtschaftlichen und materiellen Leistungsfähigkeit des Adressaten im Rahmen der zuvor genannten Anforderungstrias hatte der EuGH bereits in seinem Urteil gegen die Deutsche Wohnen SE vom 05.12.2023 (Az.: C-807/21) erkennen lassen – entsprechend hat er auch in der vorliegenden Entscheidung auf ebendieses Urteil Bezug genommen. Insbesondere im Rahmen der Verhältnismäßigkeit müsse ein „angemessener Ausgleich zwischen den Anforderungen des allgemeinen Interesses am Schutz personenbezogener Daten und den Erfordernissen des Schutzes der Rechte des Verantwortlichen für solche Daten“ gefunden werden. Gehöre der Adressat der Geldbuße zu einem Konzern, sei bei der Berechnung der Geldbuße auf den Umsatz des Konzerns abzustellen.