Am 13. Februar 2025 hat der Europäische Gerichtshof (EuGH) in der Rechtssache C‑383/23 ein Urteil zur Berechnung von Geldbußen bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) gefällt. Im Mittelpunkt stand die Frage, ob bei der Bemessung der Geldbuße der Gesamtumsatz des gesamten Konzerns berücksichtigt werden muss, dem die verstoßende Tochtergesellschaft angehört.
Hintergrund des Urteils
Die ILVA A/S, eine Tochtergesellschaft eines größeren Konzerns, wurde beschuldigt, gegen die DSGVO verstoßen zu haben. Die dänische Staatsanwaltschaft leitete daraufhin ein Strafverfahren ein. Im Zuge des Verfahrens stellte sich die Frage, ob für die Berechnung der Geldbuße gemäß Art. 83 DSGVO der Umsatz der ILVA A/S allein oder der des gesamten Konzerns maßgeblich sei.
Kernaussagen des EuGH
Der EuGH stellte klar, dass der Begriff „Unternehmen“ im Sinne der DSGVO entsprechend den Art. 101 und 102 AEUV auszulegen ist. Demnach kann ein „Unternehmen“ sowohl aus einer einzelnen Einheit als auch aus einer wirtschaftlichen Einheit bestehen, die sich aus mehreren rechtlichen Einheiten zusammensetzt. Bei Verstößen einer Tochtergesellschaft gegen die DSGVO kann daher der Gesamtumsatz des Mutterkonzerns für die Bemessung der Geldbuße herangezogen werden.
Auswirkungen für Unternehmen
Dieses Urteil hat weitreichende Konsequenzen für Unternehmensgruppen:
-
Erhöhtes Bußgeldrisiko: Verstöße einzelner Tochtergesellschaften können zu höheren Geldbußen führen, da der Gesamtumsatz des Konzerns als Bemessungsgrundlage dient.
-
Konzernweite Compliance: Es wird unerlässlich, dass nicht nur einzelne Tochtergesellschaften, sondern der gesamte Konzern strikte Datenschutzrichtlinien implementiert und überwacht.
-
Interne Kontrollmechanismen: Unternehmen sollten ihre internen Kontrollsysteme überprüfen und sicherstellen, dass alle Einheiten die DSGVO-Vorgaben einhalten, um potenzielle Verstöße und daraus resultierende hohe Geldbußen zu vermeiden.
Insgesamt verdeutlicht das Urteil die Bedeutung einer umfassenden und konzernweiten Datenschutz-Compliance. Unternehmen sind angehalten, ihre Datenschutzstrategien entsprechend anzupassen, um rechtliche und finanzielle Risiken zu minimieren.
Fragen Sie sich, ob Sie als Unternehmen oder Behörde bei Datenschutz und Datensicherheit richtig aufgestellt sind?
Unverbindlich mit einem Datenschutzbeauftragten sprechen.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks