Am 13. Februar 2025 hat der Europäische Gerichtshof (EuGH) ein wegweisendes Urteil zur Berechnung von Geldbußen nach der Datenschutz-Grundverordnung (DSGVO) gefällt. Dieses Urteil betrifft besonders Unternehmen, die zu einem Konzern gehören.
Der EuGH entschied, dass die Datenschutzbehörden nicht nur den Umsatz des einzelnen Unternehmens, das einen DSGVO-Verstoß begangen hat, berücksichtigen dürfen. Stattdessen kann auch der Umsatz des gesamten Konzerns in die Berechnung der Geldbuße einfließen. Das bedeutet, dass Konzerne höhere Strafen für Datenschutzverstöße riskieren.
Hintergrund: Worum ging es in dem Fall?Das Urteil basiert auf einem Fall aus Dänemark. Die dänische Firma ILVA A/S, ein Möbelhändler, wurde wegen eines DSGVO-Verstoßes belangt. Die dänische Staatsanwaltschaft hatte eine Geldbuße in Höhe von 1,5 Millionen Dänischen Kronen (ca. 201.000 Euro) beantragt. Dabei wurde der Gesamtumsatz der Muttergesellschaft Lars Larsen Group berücksichtigt.
Ein dänisches Gericht entschied jedoch, dass nur der Umsatz von ILVA A/S relevant sei, da nur dieses Unternehmen gegen die DSGVO verstoßen habe. Deshalb senkte das Gericht die Strafe auf 100.000 Dänische Kronen (ca. 13.400 Euro).
Die Staatsanwaltschaft legte Berufung ein, und der Fall wurde dem EuGH zur Entscheidung vorgelegt.
Das Urteil des EuGH: Höhere Strafen für KonzerneDer EuGH urteilte, dass für die Berechnung der DSGVO-Geldbuße der weltweite Umsatz des gesamten Konzerns herangezogen werden kann. Dies soll sicherstellen, dass Strafen für Datenschutzverstöße nicht zu niedrig ausfallen und dass große Unternehmen nicht von ihrer Konzernstruktur profitieren.
Die Strafe soll „wirksam, verhältnismäßig und abschreckend" sein. Der EuGH betonte jedoch auch, dass die individuelle Situation des Unternehmens berücksichtigt werden muss. Dazu gehören:
- Die Art und Schwere des Datenschutzverstoßes
- Die Dauer des Verstoßes
- Die Verantwortung des Unternehmens innerhalb des Konzerns
Dieses Urteil hat weitreichende Folgen für Unternehmen, die zu einem Konzern gehören. Künftig können Datenschutzbehörden hohe Strafen verhängen, selbst wenn der eigentliche DSGVO-Verstoß von einer kleineren Tochtergesellschaft begangen wurde.
Ein Beispiel: Ein kleines Tochterunternehmen in Deutschland verstößt gegen die DSGVO. Durch das neue Urteil kann sich die Höhe der Geldbuße nun nach dem weltweiten Umsatz des gesamten Konzerns richten. Wenn der Konzern Milliarden umsetzt, kann die Strafe deutlich höher ausfallen.
Unternehmen sollten deshalb dringend prüfen, ob ihre Datenschutzmaßnahmen ausreichen. Andernfalls drohen hohe Bußgelder.
Handlungsempfehlungen: So können Unternehmen sich schützenUm hohe Geldbußen zu vermeiden, sollten Unternehmen folgende Maßnahmen ergreifen:
1. Datenschutz-Compliance verbessernUnternehmen sollten sicherstellen, dass sie alle Anforderungen der DSGVO erfüllen. Dazu gehören:
- Eine aktuelle Datenschutzerklärung
- Dokumentation aller Verarbeitungsprozesse personenbezogener Daten
- Klare Regeln für die Datenspeicherung und -löschung
Ein großer Teil der Datenschutzverstöße passiert durch menschliche Fehler. Regelmäßige Schulungen helfen, Risiken zu minimieren. Mitarbeitende sollten wissen, wie sie mit sensiblen Daten umgehen und welche Vorschriften gelten.
3. Datenschutzverantwortliche ernennenUnternehmen sollten einen Datenschutzbeauftragten ernennen, der alle Prozesse überwacht und auf die Einhaltung der DSGVO achtet. Dies ist für viele Unternehmen sogar gesetzlich vorgeschrieben.
4. Interne Datenschutzkontrollen durchführenRegelmäßige Audits helfen, Datenschutzrisiken frühzeitig zu erkennen und zu beheben. Unternehmen sollten ihre Datenschutzstrategie kontinuierlich verbessern.
5. Verträge mit Dienstleistern prüfenUnternehmen, die externe Dienstleister für die Datenverarbeitung nutzen, sollten sicherstellen, dass diese DSGVO-konform arbeiten. Verträge sollten klare Regelungen zur Datensicherheit enthalten.
6. Datenschutzverletzungen vermeidenFalls es doch zu einem Verstoß kommt, müssen Unternehmen diesen innerhalb von 72 Stunden an die Aufsichtsbehörde melden. Klare Prozesse zur schnellen Reaktion können helfen, Schaden zu begrenzen.
Datenschutz ist jetzt noch wichtigerDas EuGH-Urteil zeigt, dass Datenschutzverstöße ernste finanzielle Konsequenzen haben können – vor allem für Unternehmen in Konzernen.
Unternehmen sollten ihre Datenschutzpraktiken überprüfen und anpassen, um hohe Strafen zu vermeiden. Datenschutz ist nicht nur eine gesetzliche Pflicht, sondern auch eine Frage des Vertrauens gegenüber Kunden und Geschäftspartnern. Wer hier vorsorgt, kann nicht nur Geld sparen, sondern auch sein Unternehmensimage schützen.
Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!
Ihr Team von Datenschutz Prinz