Author Rechtsanwalt Dr. Tobias Beltle

Aktuelle EuGH-Rechtsprechung zur Bußgeldbemessung bei Datenschutzverstößen: Entscheidung in der Rechtssache C-383/23

Veröffentlicht am Categories Blog

Urteil vom 13. Februar: EuGH zur Bußgeldbemessung bei Datenschutzverstößen in der Rechtssache C-383/23

Am 13. Februar 2025 fällte der Europäische Gerichtshof (EuGH) in der Rechtssache C-383/23 ein wegweisendes Urteil zur Bemessung von Bußgeldern bei Datenschutzverstößen. Diese Entscheidung präzisiert den Begriff des „Unternehmens“ im Kontext der Datenschutz-Grundverordnung (DSGVO) und hat erhebliche Auswirkungen auf die Bußgeldpraxis innerhalb der Europäischen Union (EU). Sie konkretisiert somit auch den zugrunde liegenden Unternehmensbegriff, wie er künftig unionsweit ausgelegt werden soll.

Hintergrund des Falls

Im zugrunde liegenden Fall wurde die dänische Möbelhauskette ILVA A/S, eine Tochtergesellschaft der Lars Larsen Group, von der dänischen Staatsanwaltschaft wegen Verstößen gegen die DSGVO angeklagt. ILVA hatte personenbezogene Daten von mindestens 350.000 ehemaligen Kunden über einen unangemessen langen Zeitraum gespeichert, ohne eine rechtmäßige Grundlage hierfür zu haben. Die dänische Datenschutzbehörde empfahl daraufhin eine Geldbuße von 1,5 Millionen DKK (ca. 201.000 Euro). Das erstinstanzliche Gericht reduzierte jedoch die Strafe auf 100.000 DKK (ca. 13.400 Euro) und berücksichtigte dabei lediglich den Umsatz von ILVA selbst, nicht aber den des Mutterkonzerns.

Vorlagefragen an den EuGH

Das Landgericht für Westdänemark legte dem Gerichtshof zwei zentrale Fragen zur Vorabentscheidung vor:

  1. Ist der Begriff „Unternehmen“ in Art. 83 Abs. 4 bis 6 DSGVO im Sinne der Art. 101 und 102 AEUV zu verstehen, sodass er jede Einheit umfasst, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform?
  2. Falls ja, ist bei der Verhängung einer Geldbuße der gesamte weltweit erzielte Jahresumsatz der wirtschaftlichen Einheit zu berücksichtigen, zu der das Unternehmen gehört, oder nur der Umsatz des Unternehmens selbst?

Entscheidung des EuGH

Der Gerichtshof bestätigte, dass der Begriff „Unternehmen“ in der DSGVO entsprechend dem Wettbewerbsrecht der EU auszulegen ist. Demnach umfasst er jede wirtschaftliche Einheit, unabhängig von ihrer Rechtsform, sodass auch Konzerne als solche Einheiten gelten. Für die Bestimmung der Bußgeldobergrenze ist daher der gesamte weltweit erzielte Jahresumsatz (Konzernumsatz) des vorangegangenen Geschäftsjahres des jeweiligen Konzerns maßgeblich.

Gleichzeitig betonte der EuGH, dass die Bestimmung des Höchstbetrages von der eigentlichen Berechnung der Geldbuße zu unterscheiden sei. Bei der konkreten Festlegung der Geldbuße (Bußgeldbemessung) sind die in Art. 83 Abs. 2 DSGVO genannten Kriterien maßgeblich, insbesondere Art, Schwere, Dauer und Wiederholung der Datenschutzverstöße. Zudem müsse die „tatsächliche und materielle“ Leistungsfähigkeit des eigentlichen Bußgeldadressaten berücksichtigt werden, um sicherzustellen, dass die Geldbuße wirksam, abschreckend und verhältnismäßig ist.

Auswirkungen auf die Praxis

Diese Entscheidung hat weitreichende Konsequenzen für die Bußgeldbemessung bei Datenschutzverstößen:

  • Erweiterte Haftung für Konzerne: Durch die Bestätigung des wirtschaftlichen Einheitsprinzips können Muttergesellschaften stärker für Datenschutzverstöße ihrer Tochtergesellschaften haftbar gemacht werden. Dies erhöht die Risikoexposition für Unternehmensgruppen erheblich.
  • Erhöhte Bußgelder: Da der Gesamtumsatz der wirtschaftlichen Einheit (Konzernumsatz) als Berechnungsgrundlage für Bußgelder herangezogen werden kann, könnten Strafen in der Praxis deutlich höher ausfallen als bisher. Dies kann besonders für große multinationale Unternehmen mit hohen Gesamtumsätzen erhebliche finanzielle Folgen haben.
  • Notwendigkeit robuster Compliance-Prozesse: Unternehmen sollten umfassende Datenschutz-Compliance-Prozesse entwickeln und regelmäßig aktualisieren. Dazu gehören klare Zuständigkeiten, interne Kontrollen sowie ein effektives Risikomanagement bei der Verarbeitung personenbezogener Daten.

Übertragbarkeit der Entscheidung auf AI Act, DMA und DSA

Die Entscheidung des Gerichtshofs könnte weit über die DSGVO hinaus Auswirkungen haben. Insbesondere im Zusammenhang mit dem AI Act, dem Digital Markets Act (DMA) und dem Digital Services Act (DSA) dürften vergleichbare Maßstäbe für die Bußgeldbemessung gelten.

AI Act: Strengere Haftung für KI-Anwendungen

Der AI Act, der 2025 in Kraft treten soll, enthält Bestimmungen über Geldbußen bei Verstößen gegen regulatorische Vorgaben. Besonders bei Hochrisiko-KI-Systemen müssen Unternehmen Transparenz- und Sicherheitsanforderungen einhalten. Nach der neuen EuGH-Rechtsprechung ist denkbar, dass sich Bußgelder auch hier am Konzernumsatz orientieren.

Beispiel: Ein international tätiger KI-Anbieter mit Tochtergesellschaften in der EU setzt ein nicht konformes Gesichtserkennungssystem ein. Die Datenschutzbehörde könnte ein Bußgeld verhängen, das sich an der wirtschaftlichen Leistungsfähigkeit des gesamten Konzerns bemisst.

Digital Markets Act: Sanktionen für Gatekeeper-Plattformen

Der DMA reguliert große Gatekeeper-Plattformen mit hohen Umsätzen. Verstöße wie diskriminierende Selbstbevorzugung oder Einschränkung des Wettbewerbs können zu Geldbußen von bis zu 10 % des weltweiten Jahresumsatzes führen. Auch hier spielt das Konzept der wirtschaftlichen Einheit eine zentrale Rolle.

Digital Services Act: Haftung und Durchsetzung

Der DSA verpflichtet Anbieter digitaler Dienste zur aktiven Bekämpfung illegaler Inhalte und zur Einhaltung von Werberegeln. Auch Verstöße gegen Transparenzpflichten können geahndet werden. Die Bußgeldhöhe richtet sich laut DSA nach dem Jahresumsatz des Unternehmens, was nach dem Urteil des Gerichtshofs die Einbeziehung des Konzernumsatzes bedeutet.

Fazit: Einheitliche Sanktionierung in der Digitalregulierung

Die Entscheidung des Gerichtshofs in der Rechtssache C-383/23 verstärkt die Anwendung des wirtschaftlichen Einheitsbegriffs in der europäischen Digital- und Datenschutzregulierung. Die DSGVO, aber auch der AEUV, AI Act, DMA und DSA werden künftig einheitlicher ausgelegt, was die Bußgeldpraxis deutlich verschärft.

Für Unternehmen bedeutet dies:

  • Stärkere Haftung über Tochtergesellschaften hinaus
  • Höhere Bußgelder durch Einbeziehung des Konzernumsatzes
  • Erhöhter Fokus auf Compliance, insbesondere im Bereich Datenschutz und digitale Verantwortung

Insbesondere Unternehmen wie ILVA und vergleichbare Organisationen müssen ihre Strukturen, Prozesse und Verantwortlichkeiten prüfen, um der gestiegenen rechtlichen Verantwortung gerecht zu werden. Die Rolle der Datenschutzbehörde gewinnt hierbei nochmals an Bedeutung.

Insgesamt liefert das Urteil ein klares Ergebnis: Die europäische Rechtsprechung verfolgt einen umfassenden und effektiven Sanktionsansatz. Unternehmen sollten sich auf eine konsequente Durchsetzung dieser Vorgaben durch den Gerichtshof und die Aufsichtsbehörden einstellen.

Haben Sie Fragen oder benötigen Sie weitere Informationen?
Rechtsanwalt Dr. Tobias Beltle berät Sie gerne.

Rechtsanwalt Dr. Tobias Beltle ist Fachanwalt für gewerblichen Rechtsschutz, Fachanwalt für Informationstechnologierecht (IT-Recht) und Mediator. Er ist in seiner anwaltlichen Tätigkeit spezialisiert in den Bereichen des gewerblichen Rechtsschutzes und des IT-Rechts.

Alle Beiträge von Rechtsanwalt Dr. Tobias Beltle anzeigen