Aktuelle Entwicklungen bei der Bußgeldbemessung nach DSGVO
Der Europäische Gerichtshof (EuGH) hat am 13. Februar 2025 in der Rechtssache C-383/23 eine bedeutende Entscheidung zur Bemessung von Bußgeldern nach der EU-Datenschutz-Grundverordnung (DSGVO) getroffen. Diese Entscheidung könnte das bisherige Verständnis der Bußgeldbemessung maßgeblich beeinflussen.
Hintergrund der Entscheidung
Im zugrunde liegenden Fall wurde ein dänisches Unternehmen, das Teil eines größeren Konzerns ist, wegen Verstößen gegen die DSGVO zu einer Geldbuße von 100.000 DKK (ca. 13.400 Euro) verurteilt. Die Staatsanwaltschaft legte Berufung ein, woraufhin das zuständige Landgericht dem EuGH zwei Fragen vorlegte:
- Soll der Begriff „Unternehmen“ in Art. 83 Abs. 4 bis 6 DSGVO im Sinne der Art. 101 und 102 AEUV verstanden werden, sodass er jede Einheit umfasst, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform und Finanzierungsart?
- Ist bei der Verhängung einer Geldbuße gegen ein Unternehmen der gesamte weltweit erzielte Jahresumsatz der wirtschaftlichen Einheit, zu der das Unternehmen gehört, oder nur der des Unternehmens selbst zu berücksichtigen?
Entscheidung des EuGH
Der EuGH bestätigte seine frühere Rechtsprechung, wonach der Begriff „Unternehmen“ im Sinne der DSGVO dem des Wettbewerbsrechts entspricht. Demnach ist für die Festlegung der maximalen Bußgeldhöhe der weltweite Jahresumsatz des gesamten Konzerns maßgeblich. Allerdings betonte der EuGH, dass die konkrete Festsetzung der Geldbuße von der Bestimmung der Höchstgrenze zu trennen ist. Bei der Festsetzung sind Faktoren wie Art, Schwere und Dauer des Verstoßes sowie die finanziellen Verhältnisse des verantwortlichen Unternehmens zu berücksichtigen, um eine verhältnismäßige, aber dennoch abschreckende Sanktion zu gewährleisten.
Auswirkungen auf die Praxis
Diese Entscheidung könnte eine Abkehr vom bisherigen Bußgeldmodell des Europäischen Datenschutzausschusses (EDSA) bedeuten, das primär den Umsatz der gesamten wirtschaftlichen Einheit für die Bußgeldberechnung heranzieht.
Alle verantwortlichen Stellen sollten daher ihre Datenschutz-Compliance überprüfen und sicherstellen, dass sie effektive und nachweisbare Datenschutzpraktiken implementiert haben, um im Falle eines Verstoßes mildernde Umstände geltend machen zu können.
Kemal Webersohn, Geschäftsführer
Weitere Artikel des Autoren
- EuGH verhängte Strafe in Höhe von 34 Millionen Euro gegen Deutschland
- Strengere Regeln für Cybersicherheit (NIS 2) auf der Kippe
- DS-GVO & Gesundheitsbranche
- Passwörter nicht notieren: Passwortmanager erhöhen Sicherheit
- Kundendaten nicht ausreichend geschützt: Millionenbußgeld gegen 1&1
- Transparenzpflichten im AI Act: Was die KI-Entwicklung jetzt beachten muss