Die beiden Entscheidungen des Europäischen Gerichtshofs (EuGH) vom 5. Dezember 2023 (Rechtssache C-807/21) und vom 8. Februar 2025 (Rechtssache C-383/23) gehören zu den wichtigsten Urteilen zum Bußgeldrecht der Datenschutz-Grundverordnung (DSGVO). Sie betreffen eine Frage, die für Unternehmen von enormer praktischer Bedeutung ist: Wer gilt im Datenschutzrecht eigentlich als „Unternehmen“ – nur die einzelne Gesellschaft oder der gesamte Konzern – und welche Folgen hat das für Datenschutzbußgelder?
Im Urteil vom 5. Dezember 2023 ging es um ein sehr hohes Bußgeld, das die Berliner Datenschutzbehörde gegen ein großes Immobilienunternehmen verhängt hatte. Streitpunkt war weniger der zugrunde liegende Datenschutzverstoß als vielmehr die rechtliche Grundlage der Sanktion. Nach deutschem Ordnungswidrigkeitenrecht galt lange der Grundsatz, dass eine juristische Person nur dann mit einem Bußgeld belegt werden kann, wenn einer konkreten Leitungsperson ein schuldhaftes Verhalten nachgewiesen wird. Der EuGH hat dieser Sichtweise eine klare Absage erteilt. Er stellte fest, dass das Bußgeldsystem der DSGVO unionsrechtlich autonom ist und nicht von nationalen Zurechnungsregeln abhängig gemacht werden darf. Entscheidend ist vielmehr, ob ein „Unternehmen“ im Sinne des Unionsrechts einen Datenschutzverstoß begangen hat. Dieser Unternehmensbegriff ist funktional zu verstehen und stammt aus dem EU-Kartellrecht. Er erfasst jede wirtschaftliche Einheit, unabhängig davon, aus wie vielen rechtlich selbständigen Gesellschaften sie besteht. Ein Konzern kann daher als Ganzes Adressat eines Bußgeldes sein, ohne dass einer bestimmten natürlichen Person ein individuelles Verschulden nachgewiesen werden muss.
Damit war zugleich eine zweite, für die Praxis besonders relevante Frage berührt: Worauf bezieht sich der in der DSGVO vorgesehene Bußgeldrahmen von bis zu zwei oder vier Prozent des weltweiten Jahresumsatzes? Der EuGH hat klargestellt, dass sich dieser Prozentsatz auf den Umsatz des gesamten Unternehmens im funktionalen Sinn beziehen kann, also auf den Konzernumsatz. Das Urteil von 2023 hat damit die Tür für deutlich höhere Bußgelder geöffnet und das Datenschutzsanktionsrecht in die Nähe des Kartellrechts gerückt.
Das EuGH-Urteil vom 8. Februar 2025 knüpft an diese Linie an und präzisiert sie weiter. Auch hier ging es um die Auslegung des Begriffs „Unternehmen“ im Zusammenhang mit der Berechnung von DSGVO-Bußgeldern. Der EuGH hat seine Rechtsprechung vom Dezember 2023 bestätigt, dass für die Bestimmung der gesetzlichen Obergrenze maßgeblich auf die wirtschaftliche Einheit abzustellen ist. Neu ist, dass der Gerichtshof noch deutlicher herausarbeitet, dass diese Betrachtung zwingend aus der DSGVO selbst folgt, insbesondere aus ihrem Erwägungsgrund 150. Die Aufsichtsbehörden haben danach keinen Ermessensspielraum, den Bußgeldrahmen nur auf die einzelne Tochtergesellschaft zu beschränken, wenn es sich bei ihr um ein Konzernunternehmen handelt. Der funktionale Unternehmensbegriff ist verbindlicher Maßstab, nicht bloß eine Option.
Für die Praxis haben die beiden Urteile erhebliche Konsequenzen. Es ist nach der DSGVO nicht möglich, Datenschutzrisiken auf einzelne Tochtergesellschaften zu isolieren oder organisatorisch „auszulagern“. Verstöße auf operativer Ebene können finanzielle Auswirkungen haben, die den gesamten Konzern treffen. Das erhöht den Druck, konzernweite Datenschutz-Compliance-Strukturen zu etablieren, klare Verantwortlichkeiten zu definieren und einheitliche Standards durchzusetzen.
Deutsch
English (UK)