EuGH entschei­det über Buß­geld­ober­grenze bei Daten­schutz­verstößen

Der EuGH hat mit Urteil vom 13. Februar 2025 in der Rechtssache C-383/23 auf ein Vorlageersuchen des Landgerichts für Westdänemark zu der Bestimmung der Bußgeldobergrenze bei Datenschutzverstößen durch Unternehmen entschieden.

Im zugrunde liegenden Fall wurde das dänische Unternehmen ILVA, das zum Konzern Larsen Group gehört, wegen eines Datenschutzverstoßes zur Zahlung einer Geldbuße von DKK 100.000 verurteilt. Dabei stellte das Gericht für die Bestimmung der Bußgeldobergrenze auf den Umsatz von ILVA ab. Auf die Berufung der Staatsanwaltschaft hin setzte das Landgericht für Westdänemark das Verfahren aus und legte dem EuGH zwei Fragen zur Vorabentscheidung vor, nämlich ob der Begriff des Unternehmens in Art. 83 Abs. 4-6 DSGVO im Sinne des Kartellrechts zu verstehen sei und jede wirtschaftliche Einheit umfasse und ob bejahendenfalls bei Bestimmung der Bußgeldhöhe der weltweit erzielte Jahresumsatz der wirtschaftlichen Einheit maßgebend sei, der das Unternehmen angehört.

Beide Vorlagefragen bejahte der EuGH. Er wiederholte seine Erwägungen in der Rechtssache Deutsche Wohnen ( Rechtssache C-807/21), dass unter Verweis auf Erwägungsgrund 150 der Unternehmensbegriff der DSGVO nicht eine juristische Person bezeichnet, sondern dem des Art. 101, 102 AEUV entspricht und damit eine wirtschaftliche Einheit bezeichnet, auch wenn diese aus mehreren juristischen Personen besteht. Maßgeblich für die Bußgeldobergrenze sei demnach der gesamte weltweit erzielte Jahresumsatz des vorangegangenen Geschäftsjahres des jeweiligen Konzerns.

Bußgeldadressat ist aber weiterhin dasjenige Unternehmen, das den Verstoß begangen hat. In seinem Urteil betont der EuGH insoweit,

• dass die Bestimmung des Höchstbetrages von der eigentlichen Berechnung der Geldbuße zu unterscheiden sei;
• für die konkrete Bestimmung der Geldbuße die in Art. 83 Abs. 2 DSGVO genannten Kriterien maßgeblich (insbesondere etwa Art, Schwere und Dauer des Verstoßes etc.) seien;
• jede zu verhängende Geldbuße dabei aber auch die „tatsächliche und materielle“ Leistungsfähigkeit des eigentlichen Bußgeldadressaten berücksichtigen müsse;
• die zu verhängende Geldbuße wirksam und abschreckend, aber auch verhältnismäßig sein müsse.

Für die Praxis der Bußgeldbemessung bedeutet dies, dass die maximal mögliche Geldbuße bis zu 2 bzw. 4 Prozent des gesamten weltweiten Konzernjahresumsatzes betragen könne, die konkret zu verhängende Geldbuße aber eben doch (auch) die wirtschaftliche Leistungsfähigkeit des sanktionierten Unternehmens berücksichtigen muss. Was genau unter Unverhältnismäßigkeit zu verstehen ist, bleibt allerdings offen, da der EuGH bemerkt, dass bei der Beurteilung der Bußgeldzumessungskriterien auch die Zugehörigkeit des Bußgeldadressaten zu einer wirtschaftlichen Einheit zu berücksichtigen sein könne. Anderseits dürften Geldbußen, die eine erdrosselnde Wirkung besitzen oder das Unternehmen in Insolvenzgefahr bringen können, gegebenenfalls unverhältnismäßig sein. Daher ist es nicht ausgeschlossen, dass eine konkrete Geldbuße höher ausfällt als 2 oder 4 % des Umsatzes des konkret verantwortlichen Unternehmens.

Diese Entscheidung hat Bedeutung über den Bereich des Datenschutzes hinaus. Auch der AI Act, der Digital Markets Act und der Digital Services Act enthalten ähnliche Bußgeldbestimmungen. Aber auch eine Vielzahl anderer auf europäische Rechtsakte zurückgehende nationale Bußgeldvorschriften haben einen ähnlichen Wirkmechanismus, z.B. im Geldwäscherecht § 56 Abs. 4 Satz 2 GwG, so dass die Grundsätze dieses Urteils auch auf das nationale Recht ausstrahlen werden.

Diese potentiell weiterhin hohen Sanktionsdrohung sollten Unternehmen daher veranlassen, für robuste Compliance Prozesse zu sorgen, wozu insbesondere auch die Überwachung der Einhaltung dieser Prozesse und deren Fortentwicklung gehören.