Europäischer Gerichtshof, Urteil vom 13.02.2025 – C 383/23
Hintergrund
Bei der Angeklagten handelt es sich um eine Möbelhauskette, die zu einem dänischen Konzern mit einem Gesamtumsatz von etwa 6,5 Mrd. dänischen Kronen (rund 881 Mio. Euro) im Geschäftsjahr 2016/2017 gehört. Die angeklagte Möbelhauskette erwirtschaftete in dem gleichen Zeitraum etwa 1,8 Mrd. dänische Kronen (rund 241 Mio. Euro).
Die Angeklagte wurde vor den dänischen Gerichten angeklagt, im Zeitraum von Mai 2018 bis Januar 2019 im Rahmen der Speicherung von Daten von mindestens 350.000 ehemaligen Kunden gegen Vorschriften der DSGVO verstoßen und ihre Pflichten als Verantwortliche für personenbezogene Daten verletzt zu haben.
Die Staatsanwaltschaft beantragte ein Bußgeld in Höhe von 1,5 Mio. dänischen Kronen (etwa 201.000 €) und berief sich dabei auf eine Empfehlung von Datatilsyn, der nationalen dänischen Datenschutzbehörde. Der Berechnung wurde nur der Umsatz der Möbelhauskette, nicht der Gesamtumsatz des Konzerns zugrunde gelegt.
Das zuständige Gericht in Aarhus befand die Möbelhauskette mit Urteil vom 12.02.2021 für schuldig und verurteilte sie zu einer Zahlung von 100.000 dänischen Kronen (rund 13.400 Euro). Das Gericht ging dabei entgegen der Ansicht der Staatsanwaltschaft von einem lediglich fahrlässigen Handeln der Möbelhauskette aus. Außerdem stellte das Gericht nicht auf den Konzernumsatz des Gesamtkonzerns ab, sondern nur auf den der beklagten Möbelhauskette, da lediglich diese angeklagt gewesen sei und die Kette außerdem eine selbständige Einzelhandelstätigkeit ausübe und nicht lediglich zu dem Zwecke der Verarbeitung von personenbezogenen Daten von der Muttergesellschaft des Konzerns gegründet worden sei.
Die Staatsanwaltschaft legte gegen dieses Urteil Berufung beim Landgericht für Westdänemark ein und machte geltend, dass der Begriff „Unternehmen“ im Sinne des Art. 83 Abs. 4 bis 6 der Datenschutzgrundverordnung (DGSVO) dahingehend auszulegen sei, dass bei einem DSGVO-Verstoß einer Gesellschaft auf den Gesamtumsatz des Konzerns, dem die Gesellschaft angehöre, abzustellen sei. Der Unternehmensbegriff sei nämlich ähnlich dem kartellrechtlichen Unternehmensbegriff der Art. 101 und 102 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) zu verstehen. Die angeklagte Möbelhauskette vertritt eine andere Ansicht.
Das Landgericht für Westdänemark setzte das Verfahren aus und legte dem Gerichtshof der Europäischen Union die entsprechenden Fragen zu Vorabentscheidung vor. Zum einen hatte der Gerichtshof daher zu klären, wie der Unternehmensbegriff in Art. 83 Abs. 4 bis 6 DSGVO zu verstehen ist. Zum anderen stellte sich die Frage, ob bei der Verhängung eines Bußgelds auf den Umsatz des Unternehmens selbst oder des Gesamtumsatzes des Konzerns, dem es angehört, abzustellen ist.
Gründe
Die DSGVO sieht in Art. 83 Abs. 4 bis 6 vor, dass Geldbußen gegenüber dem Unternehmen, welches für den Datenverarbeitungsverstoß verantwortlich ist, zu verhängen und dabei die Geldbußen anhand des Jahresumsatzes des vorangegangenen Geschäftsjahres zu bemessen sind. Der Europäische Gerichtshof stellte zunächst fest, dass die Bestimmung des Höchstbetrags einer Geldbuße von der Berechnung des Betrags der Geldbuße zu unterscheiden ist.
Für die Berechnung des Betrags ist auf das einzelne Unternehmen, welches gehandelt hat, abzustellen. Dabei sind die Art, die Schwere und die Dauer des Verstoßes, die Anzahl der betroffenen Personen und das Ausmaß des erlittenen Schadens zu berücksichtigen. All diese Kriterien bemessen sich am Verhalten des Verantwortlichen, also an den relevanten individuellen Umständen, sodass auf das konkrete Unternehmen abzustellen ist. Bei der Berechnung ist außerdem die tatsächliche oder materielle Leistungsfähigkeit des verantwortlichen Unternehmens in Betracht zu ziehen, da die Geldbuße zwar wirksam und abschreckend, jedoch gleichzeitig auch verhältnismäßig sein soll.
Bei der Bestimmung des Höchstbetrags eines Bußgelds kann jedoch der Gesamtumsatz des Konzerns, dem das Unternehmen angehört, berücksichtigt werden, so der Europäische Gerichtshof. Der Höchstbetrag wird also auf Grundlage eines Prozentanteils des gesamten weltweit erzielten Jahresumsatzes des gesamten Unternehmens im vergangenen Geschäftsjahr berechnet.
Bewertung
Gemäß Art. 82 Abs. 1 DSGVO kann einer Person, der aufgrund eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, ein Anspruch auf Schadensersatz gegen den Verantwortlichen zustehen. Bei Verletzung der DSGVO kann die zuständige Aufsichtsbehörde außerdem Geldbußen gegen die verantwortlichen Unternehmen verhängen.
Der Europäische Gerichtshof hat mit diesem Urteil praxisrelevante Fragen der Bußgeldverhängung gegenüber Unternehmen geklärt und insofern für Transparenz und Klarheit gesorgt. Auch der Europäische Gerichtshof zog dabei den kartellrechtlichen Unternehmensbegriff der Art. 101, 102 AEUV heran, unterschied jedoch zwischen der Berechnung des konkreten Bußgeldes und der Bestimmung eines Höchstbetrags. Nur für die Berechnung des letzteren Wertes darf auf den Umsatz des gesamten Konzerns abgestellt werden.
Hagen Albus
Anwalt für Datenschutzrecht
Lesen Sie mehr zu den Schwerpunkten unserer Kanzlei unter www.rnsp.de.