Am 13. Februar 2025 fällte der Gerichtshof der Europäischen Union ein wegweisendes Urteil in dem Fall C-383/23, was die Auslegung des Artikels 83 der Verordnung des Europäischen Parlaments und des Rates (EU) 2016/679 vom 27. April 2016, zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (im Folgenden „GDPR“) betrifft. Dieses Urteil hat erhebliche Auswirkungen auf die Klärung der Frage bzw. Methode, wie Bußgelder für GDPR-Verstöße gegen Unternehmen verhängt werden können, die Teil einer Unternehmensgruppe sind.

Im beschriebenen Fall handelte es sich um die Gesellschaft ILVA, Betreiber eines Netzwerks von Möbelhäusern, die Teil der „Lars Larsen Group“ ist. Dem betreffenden Unternehmen wurde ein GDPR-Verstoß im Zusammenhang mit der Speicherung der Daten von mindestens 350 000 ehemaligen Kunden vorgeworfen. Auf Empfehlung der dänischen Datenschutzbehörde forderte die Staatsanwaltschaft eine Geldstrafe von 1 500 000 dänischen Kronen (ungefähr 201 000 EUR) gegen das Unternehmen. Bei der Berechnung dieses Betrages wurde nicht nur der Umsatz der Gesellschaft ILVA selbst, sondern auch der Gesamtumsatz der Lars Larsen Group berücksichtigt.

Das zuständige Bezirksgericht kam jedoch zu dem Schluss, dass es für die Bemessung der Geldbuße nicht erforderlich sei, den Umsatz der gesamten Unternehmensgruppe zu berücksichtigen, da die Anklage nur gegen die Gesellschaft ILVA erhoben werde. Das Gericht stellte weiter fest, dass die Gesellschaft ILVA eine eigenständige Einzelhandelstätigkeit ausübe und nicht von der Muttergesellschaft ausschließlich zum Zwecke der Verarbeitung von Konzerndaten gegründet worden sei.

Die Staatsanwaltschaft legte eine Berufung beim Obersten Gericht von Westdänemark ein, das beschloss, das Verfahren auszusetzen und dem Gerichtshof der Europäischen Union (nachfolgend „EuGH“) zwei Vorfragen zur Vorabentscheidung vorzulegen. Der Kern dieser Fragen betraf die Feststellung, ob Artikel 83 Abs. 4 - 6 GDPR – d.h. die Bestimmung über die Bedingungen für die Verhängung von Geldbußen bei Verstößen gegen die GDPR – im Zusammenhang mit dem Punkt 150 der GDPR-Begründung so auszulegen ist, dass der Begriff „Unternehmen“ in diesen Bestimmungen dem Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 des Abkommens über Funktionieren der Europäischen Union (nachfolgend „EUA“ genannt) entspricht, und ob sich die Verhängung einer Geldbuße gegen einen für die Verarbeitung personenbezogener Daten Verantwortlichen, bei dem es sich um ein Unternehmen oder einen Unternehmensteil handelt, auf den gesamten weltweit erzielten Jahresumsatz dieses Unternehmens beziehen sollte.

Der EuGH entschied in diesem Fall, dass sich Geldbußen für einen GDPR-Verstoß durch eine Tochtergesellschaft am Gesamtumsatz der gesamten Gruppe orientieren müssen. Der Gerichtshof stellte ausdrücklich klar, dass für die Zwecke der Verhängung von Geldbußen nach GDPR der Begriff „Unternehmen“ die gesamte wirtschaftliche Einheit umfasst, einschließlich Mutter- und Tochtergesellschaften, gemäß den Artikeln 101 und 102 des EU-Abkommens.

Der genannte Gerichtshof betonte weiter, dass gemäß Artikel 83 Abs. 1 GDPR die zuständigen Aufsichtsbehörden sicherstellen müssen, dass die bei Verstößen gegen die GDPR-Bestimmungen verhängten Bußgelder im Einzelfall wirksam, angemessen und abschreckend sind; gleichzeitig wurde betont, dass nur eine, die tatsächliche oder erhebliche Wirtschaftskraft des sanktionierten Unternehmens berücksichtigende Geldbuße wirksam, verhältnismäßig und abschreckend ist. Im Kontext des geschilderten Sachverhalts bedeutet dies, dass bei der Bußgeldbemessung auch darauf zu achten ist, ob dieses Unternehmen als Unternehmen zu einem Konzern gehört.

Im Lichte des beschriebenen Urteils des EuGH ist zu berücksichtigen, dass bei der Verhängung einer Geldbuße wegen Verstoßes gegen die GDPR (DSGVO) bei der Festsetzung ihrer Höhe u.a. auch die Tatsache berücksichtigt werden sollte, ob das sanktionierte Unternehmen Teil einer Unternehmensgruppe (eines Unternehmens) ist. Ist dies der Fall, sollte sich die Höhe der Geldbuße am gesamten weltweiten Jahresumsatz der Unternehmensgruppe im vorangegangenen Geschäftsjahr, und nicht nur am Umsatz des Unternehmens selbst, orientieren.