EuGH bestätigt: Datenschutz-Strafen können am Konzernumsatz bemessen werden
Datenschutzstrafen für angeklagte Unternehmen dürfen sich am Konzernumsatz orientieren, nicht nur am Umsatz des straffälligen Betriebs. Auch vor Strafgerichten.
(Bild: peterschreiber.media/Shutterstock.com)
Eine Grundsatzentscheidung über die Berechnung von Geldstrafen nach der Datenschutz-Grundverordnung (DSGVO) hat der Europäische Gerichtshof (EuGH) gefällt. Er bestätigt, dass die maximale Höhe der Strafe anhand eines Prozentsatzes des weltweiten Umsatzes des gesamten Konzerns bemessen werden darf, selbst wenn nur ein Teilbetrieb des Konzerns in einem EU-Staat angeklagt ist. Damit schreibt der EuGH seine aus dem Fall Deutsche Wohnen bekannte Rechtsprechung auch für Strafurteile fort.
Die aktuelle Vorlageentscheidung in der Rechtssache C-383/23 geht auf einen Fall aus Dänemark zurück. Dort können Unternehmen wegen Datenschutzvergehen strafrechtlich angeklagt werden. Die Datenschutzbehörde beschuldigte einen Möbelhändler, im Zeitraum von Mai 2018 bis Januar 2019 im Rahmen der Speicherung der Daten von mindestens 350.000 ehemaligen Kunden gegen Datenschutzrecht verstoßen zu haben. Die Behörde beantrage eine Geldbuße in Höhe von 1,5 Millionen Kronen, umgerechnet zirka 201.000 Euro.
Videos by heise
Bei der Berechnung dieses Betrags stellte die Datenschutzbehörde nicht nur auf den Umsatz des angeklagten Betriebes ab, sondern auf den weltweiten Umsatz des gesamten Konzerns zu dem der Möbelhändler gehört. Das angerufene Strafgericht sah hingegen nur Fahrlässigkeit und berechnete die Strafe bloß unter Heranziehung des Umsatzes des angeklagten Konzernteiles. Das führte zu einer Strafe von vergleichsweise bescheidenen 100.000 Kronen (13.400 Euro).
Berufung führt zu Vorlageantrag
Das von der Staatsanwaltschaft angerufene Berufungsgericht legte die Frage, welcher Umsatz Grundlage der Strafbemessung sein dürfe, dem EuGH vor. Entscheidend ist dabei die Auslegung des Begriffes "Unternehmen" in Artikel 83 Abs. 4 bis 6 DSGVO. Der EuGH bestätigt nun seine 2023 im Fall Deutsche Wohnen begründete Judikaturlinie: Der Begriff "Unternehmen" in Art 83 DSGVO entspricht demnach dem Begriff "Unternehmen" der kartellrechtlichen Artikel 101 und 102 des Vertrages über die Arbeitsweise der Europäischen Union.
Damit kann die Geldbuße für DSGVO-Verstöße "auf der Grundlage eines Prozentsatzes des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs" des Konzerns bestimmt werden, sofern es sich um eine "wirtschaftliche Einheit" handelt. Denn "dieser Unternehmensbegriff umfasst (...) jede eine wirtschaftliche Tätigkeit ausübende Einheit unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung. Er bezeichnet somit eine wirtschaftliche Einheit, auch wenn diese aus rechtlicher Sicht aus mehreren natürlichen oder juristischen Personen besteht."
Gleichzeitig betont der EuGH, dass diese Berechnung nur zur maximalen Höhe der Strafe führt. Die zuständige Behörde müsse "in jedem Einzelfall wirksam, verhältnismäßig und abschreckend" strafen. Dabei seien Kriterien wie Art, Schwere und Dauer des Verstoßes, Zahl der Betroffenen, Ausmaß des Schadens und zu dessen Minderung getroffene Maßnahmen, Vorsatz oder Fahrlässigkeit des Verstoßes, Grad der Verantwortung sowie die involvierten Kategorien personenbezogener Daten zu berücksichtigen. All dies gelte unabhängig davon, ob die Datenschutzstrafe von einer Verwaltungsbehörde (wie in Deutschland) oder einem Strafgericht (wie in Dänemark) zu verhängen ist.
(ds)
