EuGH zur Berechnung von Bußgeldern nach der DSGVO

Nach Art. 83 Abs. 4 DSGVO werden bei entsprechenden Verstößen Geldbußen von bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist. Bislang war allerdings unklar, ob der Gesamtumsatz eines Konzerns zur Festlegung der Maximalhöhe auch für die eigentliche Berechnung der Geldbuße maßgeblich sein kann. Diese Unklarheit hat der EuGH nun in seinem Urteil vom 13.02.2025 (Rs. C-383/23) adressiert.

Zunächst stellt der EuGH seiner bisherigen Rechtsprechung folgend klar, dass für die Berechnung des Höchstbetrages des Bußgeldes der weltweite Konzernumsatz berücksichtigt werden kann. Denn der Begriff Unternehmen i. S. v. Art. 83 Abs. 4 bis 6 DSGVO entspreche dem wettbewerbsrechtlichen Unternehmensbegriff. Der Begriff „Unternehmen“ sei zudem auch relevant, um die tatsächliche oder materielle Leistungsfähigkeit des Adressaten der Geldbuße zu beurteilen und so zu überprüfen, ob die Geldbuße sowohl wirksam und verhältnismäßig als auch abschreckend ist. Gleichwohl betont der EuGH, dass die Bestimmung des Höchstbetrags von der eigentlichen Berechnung der Geldbuße zu unterscheiden sei. Für die konkrete Berechnung der Geldbuße seien auch die in Art. 83 Abs. 2 DSGVO genannten Kriterien (insb. etwa Art, Schwere und Dauer des Verstoßes etc.) sowie die tatsächliche oder materielle Leistungsfähigkeit des Bußgeldadressaten, d. h. des sanktionierten Unternehmens, zu berücksichtigen.

Hinweis: Für die Praxis bedeutet dies, dass die maximal mögliche Geldbuße bei DSGVO-Verstößen bis zu 2 % des Konzernjahresumsatzes betragen kann, die konkret zu verhängende Geldbuße aber eben doch auch die wirtschaftliche Leistungsfähigkeit des betroffenen Unternehmens berücksichtigen muss.