EuGH: DSGVO-Geldbußen dürfen sich auf den Konzernumsatz beziehen

Publiziert am 21. Februar 2025 von SWinkler

Am 13. Februar 2025 entschied der Europäische Gerichtshof (EuGH, Az. C-383/23), dass bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) die Berechnung der Geldbuße nicht nur den Umsatz des betroffenen Unternehmens, sondern auch den des gesamten Konzerns einbeziehen kann.

Dieses Urteil bestätigt, dass Muttergesellschaften für Datenschutzverstöße ihrer Tochterunternehmen mitverantwortlich gemacht werden können – ein bedeutender Schritt für die Durchsetzung der DSGVO und ein klares Signal an international tätige Unternehmen.

Hintergrund des Falls: Datenschutzverstöße bei ILVA A/S

Das Verfahren begann mit einem Rechtsstreit in Dänemark, in dem die Möbelhauskette ILVA A/S wegen Datenschutzverstößen belangt wurde.

  • ILVA hatte zwischen Mai 2018 und Januar 2019 Daten von über 350.000 ehemaligen Kunden unrechtmäßig gespeichert.

  • Die dänische Datenschutzbehörde empfahl eine Geldbuße von 1,5 Mio. DKK (ca. 201.000 Euro), basierend auf dem Gesamtumsatz der Lars Larsen Group, zu der ILVA gehört.

  • ILVA argumentierte, dass nur ihr eigener Umsatz (241 Mio. Euro) für die Berechnung der Geldbuße herangezogen werden dürfe, nicht aber der Umsatz des gesamten Konzerns (881 Mio. Euro).

Nachdem das Gericht in Aarhus die Geldstrafe auf nur 100.000 DKK reduzierte, ging der Fall in die nächste Instanz – und schließlich zum Europäischen Gerichtshof.

Gerichtliche Entscheidung: Konzernumsatz als Berechnungsgrundlage

Der EuGH entschied, dass:

  • Der Begriff „Unternehmen“ nach DSGVO im Sinne des Wettbewerbsrechts (Art. 101, 102 AEUV) auszulegen ist.
  • Geldbußen nach Art. 83 DSGVO können auf Basis des weltweiten Konzernumsatzes berechnet werden.
  • Eine hohe Geldstrafe soll sicherstellen, dass Datenschutzverstöße nicht durch finanzielle Vorteile auf Konzernebene relativiert werden.

Warum ist dieses Urteil wichtig?

  • Konzerne können nicht mehr Tochtergesellschaften nutzen, um DSGVO-Strafen zu minimieren.

  • Muttergesellschaften haften für Datenschutzverstöße ihrer Tochterunternehmen.

  • Hohe Strafen sollen abschreckend wirken und die Einhaltung der DSGVO verbessern.

Auswirkungen für Unternehmen in der EU

Dieses Urteil hat tiefgreifende Konsequenzen für Unternehmen und Konzerne, die in der EU tätig sind.

🔹 Für internationale Konzerne

  • DSGVO-Geldbußen können nun auf Basis des globalen Konzernumsatzes berechnet werden.
  • Datenschutzverletzungen einer Tochtergesellschaft können massive Strafen für die gesamte Gruppe nach sich ziehen.
  • Datenschutzrisiken müssen konzernweit überwacht und minimiert werden.

🔹 Für Datenschutzbehörden

  • Behörden haben mehr Spielraum bei der Berechnung von Geldbußen.
  • Die Durchsetzung der DSGVO wird durch abschreckendere Strafen gestärkt.
  • Die Höchstgrenze der Geldbußen (bis zu 4 % des Jahresumsatzes) kann jetzt realistische Summen erreichen.

🔹 Für Unternehmen, die personenbezogene Daten verarbeiten

  • Unternehmen müssen sicherstellen, dass auch Tochtergesellschaften DSGVO-konform handeln.
  • Compliance-Strategien müssen auf gesamte Unternehmensgruppen ausgeweitet werden.
  • Datenschutz-Folgenabschätzungen sollten konzernweit erfolgen, um Risiken frühzeitig zu erkennen.

Fazit: Höheres Risiko für Konzerne – strengere Datenschutz-Compliance nötig

Das EuGH-Urteil setzt neue Maßstäbe für DSGVO-Geldbußen: Strafen können jetzt auf Basis des gesamten Konzernumsatzes berechnet werden. Unternehmen müssen sicherstellen, dass ihre Tochtergesellschaften DSGVO-konform arbeiten, da sonst hohe Bußgelder drohen.

Falls Unternehmen oder Datenschutzbeauftragte Unterstützung bei der rechtssicheren Umsetzung der DSGVO oder der Compliance-Überprüfung von Tochtergesellschaften benötigen, stehen wir gern beratend zur Seite.

Dieser Beitrag wurde unter Uncategorized abgelegt und mit , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.