Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 13. Februar 2025 (Rs. C-383/23) eine entschieden, dass DSGVO-Bußgelder auf Grundlage des weltweiten Umsatzes einer gesamten Unternehmensgruppe berechnet werden dürfen. Der Begriff „Unternehmen“ nach Art. 83 Abs. 4 bis 6 DSGVO ist weit auszulegen.
Im zugrunde liegenden Fall klagte ein Kunde gegen das dänische Unternehmen ILVA, das Teil eines größeren Konzerns, der Larsen Group war. Das Gericht ging entgegen dem Antrag der Staatsanwaltschaft zum einen von Fahrlässigkeit seitens des Unternehmens aus. Zudem war es der Auffassung, dass für die Bemessung der Geldbuße nicht auf den Konzernumsatz der Lars Larsen Group abzustellen sei, da nur ILVA angeklagt gewesen sei.
Auf die darauf von der Staatsanwaltschaft eingelegte Berufung hin setzte das zuständige Gericht das weitere Verfahren aus und legte dem EuGH zwei Fragen zur Vorabentscheidung vor:
Ist der Begriff des Unternehmens nach Art. 83 Abs. 4, 5 und 6 DSGVO im Sinne des Kartellrechts zu verstehen?
Ist dann bei Bestimmung der Bußgeldhöhe der weltweit erzielte Jahresumsatz des Konzerns als wirtschaftliche Einheit Grundlage?
Der EuGH bestätigte beide Fragen. Der EuGH stellt klar, dass bei der Berechnung eines DSGVO-Bußgeldes nicht nur die betroffene Tochtergesellschaft, sondern auch der Konzern als solcher einbezogen wird. Der weltweite Jahresumsatz des gesamten Konzerns wird als Bemessungsgrundlage herangezogen – nicht nur der Umsatz der einzelnen Gesellschaft, die gegen die DSGVO verstoßen hat.
Damit bestimmt der weltweite Umsatz des Konzerns das maximal mögliche Geldbuße. Die tatsächliche Bußgeldhöhe orientiert sich an Art, Schwere und Dauer des Verstoßes (Art. 83 Abs. 2 DSGVO). Die Geldbuße hat abschreckend, aber verhältnismäßig zu sein.
Konkret heißt das: Unternehmen müssen sich auf deutlich höhere Bußgelder einstellen, wenn sie Teil einer (internationalen) Konzernstruktur sind.
Die Bedeutung der Entscheidung ist aber potenziell noch weitreichender! Die durch den EuGH bestätigte Berechnungspraxis könnte auch für andere europäische Digitalgesetze wie den AI Act, den Digital Markets Act (DMA) und den Digital Services Act (DAS) anwendbar sein. Mehr denn je muss die Einhaltung der DSGVO und anderer Digitalgesetze in jedem Teil eines Konzerns sichergestellt werden.
