EuGH zur Berechnung von DSGVO-Geldbußen: Konzernumsatz als Maßstab

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 13. Februar 2025 (Az. C-383/23) eine richtungsweisende Entscheidung zur Berechnung von Geldbußen bei Verstößen gegen die -Grundverordnung () getroffen.

Konkret ging es um die Frage, ob bei der Festsetzung einer Geldbuße nach Art. 83 DSGVO nur der Umsatz des unmittelbar verantwortlichen Unternehmens oder auch der gesamte Umsatz des Konzerns, dem es angehört, berücksichtigt werden muss. Der EuGH entschied, dass der Begriff „Unternehmen“ im Sinne der DSGVO dem wettbewerbsrechtlichen Unternehmensbegriff nach Art. 101 und 102 AEUV entspricht. Damit können sich Geldbußen nicht allein auf das sanktionierte Unternehmen beziehen, sondern auf den gesamten Konzernumsatz erstrecken.

Sachverhalt

Auslöser des Verfahrens war ein Bußgeldverfahren gegen die dänische Möbelhauskette ILVA A/S, die zur Lars Larsen Group gehört. Die dänische Datenschutzbehörde hatte festgestellt, dass ILVA von über 350.000 ehemaligen Kunden ohne rechtliche Grundlage gespeichert hatte.

Die Staatsanwaltschaft beantragte eine Geldbuße von 1,5 Millionen dänischen Kronen (rund 201.000 Euro). Dabei orientierte sie sich nicht nur am Umsatz von ILVA selbst, sondern auch am Konzernumsatz der Lars Larsen Group.

Das erstinstanzliche Gericht in Aarhus hielt dies für unzulässig und reduzierte die Strafe auf 100.000 Kronen (rund 13.400 Euro). Es begründete dies damit, dass die Muttergesellschaft nicht direkt an dem Datenschutzverstoß beteiligt gewesen sei.

Die Staatsanwaltschaft legte Berufung ein, woraufhin das Landgericht für Westdänemark den Fall dem EuGH vorlegte, um zu klären, ob die Geldbuße sich nach dem Umsatz des gesamten Konzerns oder nur nach dem betroffenen Unternehmen richten muss.

Rechtliche Bewertung

1. Der Begriff „Unternehmen“ im DSGVO-Sanktionsrecht

Der EuGH entschied, dass der Unternehmensbegriff der DSGVO im Einklang mit dem Wettbewerbsrecht der EU auszulegen ist.

Damit umfasst der Begriff „Unternehmen“ nicht nur einzelne juristische Personen, sondern jede wirtschaftliche Einheit, die eine wirtschaftliche Tätigkeit ausübt. Dies bedeutet, dass auch Tochtergesellschaften und Muttergesellschaften als Teil eines Gesamtunternehmens betrachtet werden können, wenn sie eine einheitliche wirtschaftliche Strategie verfolgen.

Damit bestätigt der EuGH die Tendenz, Unternehmen nicht nur formaljuristisch, sondern wirtschaftlich-funktional zu betrachten.

2. Auswirkungen auf die Bußgeldbemessung nach Art. 83 DSGVO

Nach Art. 83 Abs. 4 bis 6 DSGVO können Geldbußen entweder bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Jahresumsatzes eines Unternehmens betragen – beziehungsweise bis zu 20 Millionen Euro oder 4 % des Umsatzes bei schwerwiegenderen Verstößen.

Der EuGH entschied, dass dieser Prozentsatz nicht nur auf das sanktionierte Tochterunternehmen, sondern auf den gesamten Konzernumsatz angewendet werden kann.

Damit bestätigte der EuGH die strenge Auslegung der DSGVO, nach der Geldbußen eine abschreckende Wirkung entfalten sollen. Die Entscheidung stellt sicher, dass sich Konzerne nicht durch eine Fragmentierung in kleine Tochtergesellschaften der Sanktionshöhe entziehen können.

3. Verhältnismäßigkeit und wirtschaftliche Leistungsfähigkeit

Ein weiterer Aspekt der Entscheidung betrifft die Frage, wie die Verhältnismäßigkeit der Sanktionen gewahrt bleibt.

Der EuGH stellte klar, dass neben der Konzernumsatzregel auch die tatsächliche wirtschaftliche Leistungsfähigkeit des betroffenen Unternehmens berücksichtigt werden muss. Die zuständigen Datenschutzbehörden müssen daher sicherstellen, dass die Strafe in jedem Einzelfall verhältnismäßig ist und die wirtschaftlichen Gegebenheiten des Unternehmens einbezieht.

Damit bleibt Raum für eine individuelle Abwägung: Zwar kann der Konzernumsatz zur Bestimmung der Maximalhöhe herangezogen werden, dennoch müssen die konkreten Umstände des Einzelfalls berücksichtigt werden.

4. Nationale Besonderheiten – Umsetzung in Dänemark

Eine Besonderheit des Falls bestand darin, dass in Dänemark Geldbußen nach der DSGVO nicht direkt von der Datenschutzbehörde verhängt werden dürfen. Stattdessen muss die Geldbuße über ein Strafgericht festgesetzt werden.

Der EuGH stellte klar, dass diese nationale Besonderheit nichts daran ändert, dass auch dänische Gerichte die Bußgelder nach den gleichen Grundsätzen berechnen müssen wie andere Mitgliedstaaten.

Damit stellte das Gericht sicher, dass die DSGVO-Sanktionen in allen Mitgliedstaaten einheitlich angewendet werden.

Bedeutung der Entscheidung

Die Entscheidung des EuGH hat weitreichende Auswirkungen auf die Praxis der Datenschutzbehörden und Unternehmen in der gesamten EU.

  • Die Berechnung von DSGVO-Geldbußen wird für große Konzerne erheblich verschärft.
  • Unternehmen können sich nicht mehr durch komplexe Konzernstrukturen der Haftung entziehen.
  • Datenschutzbehörden erhalten eine stärkere Handhabe, um wirksame und abschreckende Sanktionen zu verhängen.

Besonders für international agierende Unternehmen bedeutet die Entscheidung ein erhebliches Risiko: Verstöße gegen die DSGVO können nun auf Grundlage des gesamten Konzernumsatzes berechnet werden, was potenziell milliardenschwere Strafen zur Folge haben kann.

Fazit

Der EuGH hat mit diesem Urteil eine klare Botschaft gesendet: Datenschutzverstöße dürfen nicht durch konzernrechtliche Konstruktionen relativiert werden. Die Entscheidung stärkt die Effektivität der DSGVO und sorgt dafür, dass Unternehmen, unabhängig von ihrer internen Struktur, für Verstöße haftbar bleiben. Gleichzeitig betont das Gericht, dass eine Abwägung im Einzelfall erforderlich ist, um unangemessen harte Strafen zu vermeiden.

Damit setzt der EuGH einen neuen Maßstab für die Berechnung von DSGVO-Geldbußen und stellt sicher, dass Datenschutzverstöße konsequent geahndet werden – insbesondere dann, wenn große Konzerne betroffen sind.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.