Nachdem der EuGH zuletzt den kartellrechtlichen Unternehmensbegriff für die Bemessung von Bußgeldern als Grundlage gewertet hat (wir berichteten), wendet er sich nun in seiner Entscheidung vom 13.02.2025 (C-383/23) von der starren Anwendung ab. Das Bußgeldkonzept des Europäischen Datenschutzausschusses (EDSA) wird durch diese Entscheidung in Teilen in Frage gestellt.
Vorlagefragen
Der zugrundeliegende Rechtsstreit betraf ein dänisches Unternehmen als Bestandteil eines Konzerns, das wegen eines Verstoßes gegen das europäische Datenschutzrecht zu einer Geldbuße von 100.000 DKK (etwa 13.400 Euro) verurteilt wurde. Im Rahmen der Berufung durch die Staatsanwaltschaft legte das zuständige Landgericht dem EuGH zwei Fragen vor:
- „Ist der Begriff „Unternehmen“ in Art. 83 Abs. 4 bis 6 Datenschutz-Grundverordnung als ein Unternehmen im Sinne der Art. 101 und 102 AEUV in Verbindung mit dem 150. Erwägungsgrund der Datenschutz-Grundverordnung und der Rechtsprechung des Gerichtshofs der Europäischen Union im Bereich des Wettbewerbsrechts der Union zu verstehen, so dass der Begriff „Unternehmen“ jede Einheit erfasst, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von der Rechtsstellung dieser Einheit und der Art und Weise, in der sie finanziert wird?“
- „Falls die erste Frage zu bejahen ist: Ist Art. 83 Abs. 4 bis 6 der Datenschutz-Grundverordnung dahin auszulegen, dass bei der Verhängung einer Geldbuße gegen ein Unternehmen der gesamte weltweit erzielte Jahresumsatz der wirtschaftlichen Einheit, zu der das Unternehmen gehört, zu berücksichtigen ist oder nur der gesamte weltweit erzielte Jahresumsatz des Unternehmens selbst?“
Wertung des EuGH
Der EuGH bestätigte grundsätzlich seine Rechtsauslegung in der Rechtssache „Deutsche Wohnen“ (C-807/21, wir berichteten), in der unter Berücksichtigung des Erwägungsgrunds 150 der DSGVO der Unternehmensbegriff dem der Art. 101, 102 AEUV gleich kommt. Ein Unternehmen wird als wirtschaftliche Einheit betrachtet, auch wenn mehrere juristische Personen deren Bestandteil sind. Maßgeblich für die Bußgeldbemessung in Bezug auf die maximale Höhe ist demnach der weltweit erzielte Jahresumsatz des beteiligten Konzerns.
Wichtig ist in der hiesigen Rechtssache vor allem die ergänzende Wertung des EuGH. Die Bemessung der Höchstgrenze des Bußgelds sei von der konkreten Festlegung der Geldbuße zu trennen. Für letztere sei die Regelung des Art. 83 DSGVO ausschlaggebend, sodass mitunter Art und Schwere sowie die Dauer des Verstoßes berücksichtigt werden können und müssen. Darüber hinaus müssen die individuellen Leistungsmöglichkeiten des Adressaten des Bußgelds, welcher das gegen die DSGVO verstoßende Unternehmen bleibt, berücksichtigt werden. Der EuGH betont, dass die Geldbuße neben einer wirksamen und abschreckenden Zielrichtung, gleichzeitig verhältnismäßig sein müsse.
Diese Wertung kann insofern eine Abkehr von dem Bußgeldmodell des EDSA darstellen, als das dieser zunächst den Umsatz der wirtschaftlichen Einheit (häufig Konzernumsatz) in den Fokus nimmt für die Bußgeldberechnung und erst darauf aufbauend weitere Faktoren in Erwägung zieht.
Fazit
Der EuGH betont nunmehr die Relevanz einer einzelfallbezogenen Bewertung der Tat des Verantwortlichen in einem ersten Schritt der Bußgeldbestimmung sowie die Berücksichtigung einer verhältnismäßigen Berechnung. Die finanziellen Verhältnisse der wirtschaftlichen Einheit werden, wenn erforderlich, erst in einem letzten Schritt und zur Korrektur einer etwaigen Unverhältnismäßigkeit relevant.
Wie sich der veränderte Fokus bei der Bußgeldbestimmung durch die Gerichte auswirken wird, bleibt abzuwarten. Es steht jedoch zu vermuten, dass die Umsetzung wirksamer und nachweisbarer Maßnahmen, zum Beispiel im Bereich Datenschutz-Compliance, Unternehmen zugutekommen wird, wenn es darum geht die individuelle Schwere der Schuld zu widerlegen.