Im Dezember 2023 entschied der EuGH in der Rechtssache „Deutsche Wohnen“ (C-807/21), dass juristische Personen im Sinne der DSGVO als Verantwortliche gelten können und somit grundsätzlich Bußgelder gegen sie zulässig sind, auch ohne Identifikation der natürlichen Person, die den Verstoß begangen hat (wir berichteten). Der EuGH betonte zudem, dass Vorsatz und Fahrlässigkeit bei der Verhängung von Bußgeldern stets eine Rolle spielen.
In der gleichen Entscheidung äußerte sich der EuGH auch zu einem weiteren bis dato bestehenden Rechtsstreit: Bei der Bemessung datenschutzrechtlicher Bußgelder ist der (weite) Unternehmensbegriff im kartellrechtlichen Sinn heranzuziehen. Dies hat zur Folge, dass als Grundlage der Bußgeldbemessung der weltweite Jahresumsatz eines gesamten Konzerns herangezogen werden kann.
Hintergrund des bisherigen Streits
In der DSGVO wird in den relevanten Bußgeldvorschriften Art. 83 Abs. 4 und 5 DSGVO Folgendes festgelegt:
„Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10 000 000 EUR [bzw. 20 000 000 EUR] oder im Fall eines Unternehmens von bis zu 2 % [bzw. 4 %] seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist: […]“
Hintergrund des bisherigen Streits war die unterschiedliche Interpretation des Begriffs „Unternehmen“, also die Frage, ob bei der Verhängung von Geldbußen nach Art. 83 DSGVO der Begriff des Unternehmens aus Art. 4 Nr. 18 DSGVO oder der von den datenschutzrechtlichen Aufsichtsbehörden angewandte, deutlich weitergehende Unternehmensbegriff aus dem europäischen Kartellrecht heranzuziehen ist.
Gemäß der Legaldefinition des Art. 4 Nr. 18 DSGVO ist ein „Unternehmen“
„eine natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen.“
Nach dem Funktionsträgerprinzip aus dem EU-Kartellrecht erfasst der Begriff „Unternehmen“ jede eine wirtschaftliche Tätigkeit ausübende Einheit, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung, selbst wenn diese Einheit rechtlich aus mehreren natürlichen oder juristischen Personen besteht (u. a. EuGH, Urteil vom 10.04.2014, Rechtssache C-231/11 P – „Siemens Österreich“). Im Kartellrecht wird für die Bemessung einer Geldbuße der Gesamtumsatz der wirtschaftlichen Einheit herangezogen.
Eine wirtschaftliche Einheit ist in der Regel anzunehmen, wenn eine Tochtergesellschaft trotz eigener Rechtspersönlichkeit ihr Marktverhalten nicht selbstständig bestimmt, sondern im Wesentlichen unter dem bestimmenden Einfluss der Muttergesellschaft steht. Indizien dafür sind enge wirtschaftliche, organisatorische und rechtliche Beziehungen, die beide Gesellschaften miteinander verbinden. Nicht ausreichend ist es, sich lediglich anzusehen, wie viel Prozent des Kapitals einer Tochtergesellschaft die Muttergesellschaft hält. Im Fall, dass eine Muttergesellschaft jedoch 100 Prozent der Geschäftsanteile einer Tochtergesellschaft hält, besteht eine widerlegliche Vermutung, dass die Muttergesellschaft bestimmenden Einfluss auf ihre Tochtergesellschaft ausübt.
Den rechtlichen Ansatz, auf den kartellrechtlichen Unternehmensbegriff abzustellen, stützen die datenschutzrechtlichen Aufsichtsbehörden u. a. auf den Erwägungsgrund 150 zur DSGVO. In dessen Satz 3 soll der Begriff des Unternehmens im Sinne der Art. 101 und 102 AEUV (Vertrag über die Arbeitsweise der Europäischen Union) verstanden werden. Art. 101 und 102 AEUV nehmen auf den kartellrechtlichen Unternehmensbegriff Bezug.
Entscheidung in der Rechtssache „Deutsche Wohnen“
Bereits der Generalanwalt hat in seinen Schlussanträgen im Verfahren gegen die Deutsche Wohnen auf die wirtschaftliche Einheit (und damit die kartellrechtliche Interpretation) verwiesen, u. a.
Randnummer 45
„In diesem Zusammenhang ist der Verweis im 150. Erwägungsgrund der DSGVO auf den Begriff des Unternehmens im Sinne der Art. 101 und 102 AEUV zu verstehen. Ich möchte daran erinnern, dass der Gerichtshof festgestellt hat, dass „das Wettbewerbsrecht der Union die Tätigkeit von Unternehmen [betrifft]; der Begriff des Unternehmens umfasst jede eine wirtschaftliche Tätigkeit ausübende Einrichtung unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung“(16).
Randnummer 46
Soweit als Höchstbetrag für Sanktionen wegen eines Verstoßes gegen die DSGVO für die Unternehmen, die für die Datenverarbeitung Verantwortlicher oder Auftragsverarbeiter sind, ein Prozentsatz des „gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs“ festgelegt ist, muss als Bezugsgröße für die Festsetzung dieses Betrags nicht die formelle Rechtspersönlichkeit einer Gesellschaft, sondern die „wirtschaftliche Einheit“ im oben genannten Sinne dienen.
Randnummer 47
[…] Daher muss bei der Berechnung der Sanktion ein materieller oder wirtschaftlicher Unternehmensbegriff anstelle eines rein formalen Unternehmensbegriffs zugrunde gelegt werden.“
Diesen Antragsausführungen schließt sich der EuGH in seinem Urteil an, indem er festhält, dass sich die Bußgeldhöhe nach der Leistungsfähigkeit der juristischen Person als Unternehmenseinheit bemisst:
Randnummer 55
„Wie der Generalanwalt in Nr. 45 seiner Schlussanträge ausgeführt hat, ist der Verweis im 150. Erwägungsgrund der DSGVO auf den Begriff „Unternehmen“ im Sinne der Art. 101 und 102 AEUV in diesem speziellen Zusammenhang der Berechnung von Geldbußen, die für in Art. 83 Abs. 4 bis 6 DSGVO genannte Verstöße verhängt werden, zu verstehen.
Randnummer 56
Dieser Unternehmensbegriff umfasst für die Zwecke der Anwendung der in den Art. 101 und 102 AEUV niedergelegten Wettbewerbsregeln jede eine wirtschaftliche Tätigkeit ausübende Einheit unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung. Er bezeichnet somit eine wirtschaftliche Einheit, auch wenn diese aus rechtlicher Sicht aus mehreren natürlichen oder juristischen Personen besteht. Diese wirtschaftliche Einheit besteht in einer einheitlichen Organisation persönlicher, materieller und immaterieller Mittel, die dauerhaft einen bestimmten wirtschaftlichen Zweck verfolgt (Urteil vom 6. Oktober 2021, Sumal, C 882/19, EU:C:2021:800, Rn. 41 und die dort angeführte Rechtsprechung).
Randnummer 57
So ergibt sich aus Art. 83 Abs. 4 bis 6 DSGVO, der die Berechnung der Geldbußen für die in diesen Absätzen aufgeführten Verstöße betrifft, dass, wenn der Adressat der Geldbuße ein Unternehmen im Sinne der Art. 101 und 102 AEUV ist oder einem solchen angehört, der Höchstbetrag für die Geldbuße auf der Grundlage eines Prozentsatzes des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs des betreffenden Unternehmens berechnet wird.
Randnummer 58
Letztlich kann, wie der Generalanwalt in Nr. 47 seiner Schlussanträge ausgeführt hat, nur eine Geldbuße, deren Höhe anhand der tatsächlichen oder materiellen Leistungsfähigkeit des Adressaten von der Aufsichtsbehörde unter Zugrundelegung des Begriffs der wirtschaftlichen Einheit im Sinne der in Rn. 56 des vorliegenden Urteils angeführten Rechtsprechung festgesetzt wird, die drei in Art. 83 Abs. 1 DSGVO genannten Voraussetzungen erfüllen, sowohl wirksam und verhältnismäßig als auch abschreckend zu sein.
Randnummer 59
Daher ist eine Aufsichtsbehörde, wenn sie aufgrund ihrer Befugnisse nach Art. 58 Abs. 2 DSGVO beschließt, gegen einen Verantwortlichen, der ein Unternehmen im Sinne der Art. 101 und 102 AEUV ist oder einem solchen angehört, eine Geldbuße gemäß Art. 83 DSGVO zu verhängen, nach Art. 83 im Licht des 150. Erwägungsgrundes der DSGVO verpflichtet, bei der Berechnung der Geldbußen für die in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstöße den Begriff „Unternehmen“ im Sinne der Art. 101 und 102 AEUV zugrunde zu legen.“ (Hervorhebungen nicht im Original)
Folgen für die Praxis
Das Heranziehen des kartellrechtlichen Unternehmensbegriffs führt in der Folge zu einer weiten Bemessungsmöglichkeit von Bußgeldern. Aufsichtsbehörden sind nach den Ausführungen des EuGH verpflichtet, den kartellrechtlichen Unternehmensbegriff als Bemessungsgrundlage anzusetzen. Damit kann für Unternehmen konzernintern nicht (mehr) auf einzelne Gesellschaften (und deren ggf. geringen Jahresumsatz) abgestellt werden. Entscheidend sind – klargestellt durch den EuGH – vielmehr die Jahresumsätze des gesamten Konzerns bzw. der Unternehmensgruppe. Mit dieser eindeutigen Aussage des EuGH ist noch mehr als zuvor auf die konzern- bzw. gruppenweite Umsetzung datenschutzrechtlicher Vorgaben zu achten. In der Folge empfehlen wir, notwendige Maßnahmen abzuleiten, diese konzernintern abzustimmen und anschließend zu etablieren.