EuGH klärt Bussgeldbemessung bei DSGVO-Verstössen von Konzernunternehmen

Als verantwortungsbewusster Unternehmer, der sowohl in der Schweiz als auch in der EU tätig ist, hast Du zahlreiche Regelwerke zu beachten. Eins davon heisst: Datenschutz-Grundverordnung. Besser bekannt unter der schwerfälligen Abkürzung DSGVO. Ein wegweisendes Urteil des Europäischen Gerichtshofes (EuGH) hat sich vor kurzem zur Thematik der Bussgeldbemessung bei Verstössen gegen die DSGVO von Konzerngesellschaften geäussert. Was das für Dich als Unternehmer heisst und wie Du der Gefahr von einschneidenden Geldbussen gegen Tochter- oder Muttergesellschaften entgegenwirken kannst, erfährst Du in unserem Blogbeitrag.

Einführung

Die DSGVO kann unter Umständen auch für Schweizer Unternehmen Geltung erlangen, wenn bestimmte Voraussetzungen erfüllt sind (vgl. dazu: Wann findet die DSGVO auf Schweizer Unternehmen Anwendung?). Bei Verstössen gegen die Pflichten der DSGVO drohen Unternehmen drastische Geldbussen. Diese können je nach Schwere des Verstosses bis zu zwei Prozent des weltweit erzielten Jahresumsatzes betragen (Art. 83 Abs. 4 DSGVO) und bei gravierenden Verstössen kann dieser Prozentsatz auf bis zu vier Prozent nach Art. 83 Abs. 5 DSGVO ansteigen. Als konkrete Bemessungsgrundlage dient regelmässig die wirtschaftliche Leistungsfähigkeit des Unternehmens. Bei Konzernstrukturen wurde bislang diskutiert, ob sich diese Bemessung lediglich auf die juristisch eigenständige Gesellschaft (Tochtergesellschaft) oder auf den Umsatz des gesamten Konzerns (Muttergesellschaft) bezieht. Der EuGH hat mit Urteil vom 13. Februar 2025 (Az. C 383/23) nunmehr für Klarheit gesorgt.

Hintergrund und Vorlagefrage

Ausgangspunkt des Verfahrens war ein Vorabentscheidungsersuchen eines dänischen Berufungsgerichts in Strafsachen an den EuGH. Streitgegenständlich war die Frage, ob bei der Bemessung eines DSGVO-Bussgeldes gegen eine Tochtergesellschaft allein deren Umsatz massgeblich ist oder ob der Gesamtumsatz der wirtschaftlichen Einheit, also des gesamten Konzerns (Muttergesellschaft), heranzuziehen ist.

Die nationalen Instanzen waren sich darüber uneins. Das erstinstanzliche Gericht stellte nur auf den Umsatz der direkt betroffenen Tochterfirma ab und verurteilte diese aufgrund dieser Grundlage. Ganz anderer Ansicht war die Staatsanwaltschaft: Ihrer Meinung nach muss der Begriff „Unternehmen“ in der DSGVO so verstanden werden wie im Wettbewerbsrecht der EU. Demnach umfasse der Begriff nicht nur die einzelne juristische Person, sondern jede wirtschaftliche Einheit, die eine einheitliche wirtschaftliche Tätigkeit ausübt - einschliesslich konzernverbundener Gesellschaften.

Mit dieser Begründung legte die Staatsanwaltschaft Berufung gegen das erstinstanzliche Urteil ein. Das Berufungsgericht setzte das Verfahren daraufhin aus und bat den Europäischen Gerichtshof (EuGH), die Frage zur Auslegung des Begriffs „Unternehmen“ zu klären.

Entscheidung des EuGH

Der EuGH urteilte für eine weite Auslegung des Begriffs «Unternehmen» und stellte klar, dass der Unternehmensbegriff der DSGVO im Sinne der Art. 101 und 102 AEUV zu verstehen ist. Diese unionsrechtliche Definition bezieht sich auf jede wirtschaftliche Einheit, «auch wenn diese aus rechtlicher Sicht aus mehreren natürlichen oder juristischen Personen besteht». Massgeblich ist allein das Vorliegen einer einheitlichen wirtschaftlichen Tätigkeit.

Für die Bussgeldbemessung bedeutet dies, dass der Umsatz der gesamten wirtschaftlichen Einheit, also des Konzerns (Muttergesellschaft), heranzuziehen ist. Zudem ist dieser Unternehmensbegriff bei der Berechnung der konkreten Geldbusse gegen die jeweilige Tochtergesellschaft, die konzerniert ist, zu berücksichtigen. Besondere Relevanz hat in diesem Zusammenhang Art. 83 Abs. 1 DSGVO, wonach Geldbussen in jedem Einzelfall wirksam, verhältnismässig und abschreckend sein müssen. Würde eine Geldbusse ohne Berücksichtigung der konkreten Umstände gegen eine Tochtergesellschaft oder gegen eine Muttergesellschaft verhängt werden, so wäre die Verhältnismässigkeit nicht mehr gewahrt.

Bedeutung und Ausblick

Mit dem Urteil des EuGH ist nunmehr geklärt, dass bei der Verhängung von Geldbussen nach der DSGVO gegen Tochtergesellschaften nicht allein der Umsatz der konkret betroffenen juristischen Person, sondern der Umsatz der gesamten wirtschaftlichen Einheit, d. h. des Konzerns (Muttergesellschaft), massgeblich ist.

Diese Klarstellung hat erhebliche praktische Konsequenzen: Bussgelder können in Konzernstrukturen künftig deutlich höhere Beträge erreichen, als es bei isolierter Betrachtung einzelner Gesellschaften der Fall wäre. Unternehmen sind daher gut beraten, Datenschutz-Compliance nicht auf Ebene einzelner Tochtergesellschaften zu begrenzen, sondern konzernweit sicherzustellen.

Fazit

Die Entscheidung des EuGH führt zu einer signifikanten Ausweitung des bussgeldrelevanten Bezugsrahmens bei Konzernunternehmen. Verstösse gegen die DSGVO können künftig nicht nur auf Ebene einzelner Gesellschaften, sondern unter Berücksichtigung der wirtschaftlichen Leistungsfähigkeit des gesamten Konzerns sanktioniert werden. Diese Entwicklung unterstreicht die zunehmende Bedeutung eines integrativen, rechtsgebietsübergreifenden Compliance-Managements, das Unternehmensgruppen als wirtschaftliche Einheit in den Fokus nimmt.

Du fragst Dich, ob Deine Datenschutzerklärung DSGVO-konform ist? Dann lass uns ins Gespräch kommen. Gerne steht Dir unser Datenrechtsschutzteam bei Fragen zu solchen Angelegenheiten zur Verfügung.