Der Europäische Gerichtshof (EuGH) hat entschieden, dass bei der Berechnung von Datenschutzstrafen für Unternehmen nicht nur der Umsatz des angeklagten Betriebs, sondern auch der weltweite Konzernumsatz zugrunde gelegt werden darf. Dies gilt auch dann, wenn nur ein Teilbetrieb des Konzerns in einem EU-Staat strafrechtlich verfolgt wird. Diese Entscheidung basiert auf der Datenschutz-Grundverordnung (DSGVO) und wurde in einem dänischen Fall getroffen.

In dem Fall hatte die dänische Datenschutzbehörde einem Möbelhändler vorgeworfen, im Zeitraum von Mai 2018 bis Januar 2019 gegen Datenschutzgesetze verstoßen zu haben, indem er die Daten von 350.000 ehemaligen Kunden unsachgemäß speicherte. Die Behörde beantragte eine Geldstrafe von rund 201.000 Euro, basierend auf dem Umsatz des gesamten Konzerns. Ein Strafgericht, das nur den Umsatz des angeklagten Teils des Konzerns betrachtete, setzte die Strafe jedoch auf lediglich 13.400 Euro fest.

Das Berufungsgericht legte diese Frage dem EuGH vor, der nun bestätigte, dass der Begriff „Unternehmen“ in der DSGVO auch mehrere rechtlich getrennte Einheiten eines Konzerns umfassen kann. So kann die Höhe der Strafe auf dem weltweiten Umsatz des gesamten Konzerns beruhen, wenn dieser als „wirtschaftliche Einheit“ gilt.

Der EuGH betonte jedoch, dass dies lediglich die Obergrenze der Strafe darstellt. In jedem Fall müsse die Strafe wirksam, verhältnismäßig und abschreckend sein. Es müssten Faktoren wie die Art des Verstoßes, der Schaden und die Verantwortung des Unternehmens berücksichtigt werden. Diese Vorgaben gelten sowohl für Verwaltungsbehörden als auch für Strafgerichte.