Die Art.-29-Datenschutzgruppe hat den Entwurf eines Leitfadens zu Bussen nach der DSGVO veröffentlicht (“Guidelines on the application and setting of administrative fines for the purposes of the Regulation 2016/679”). Der Entwurf ist er auf den 3. Oktober 2017 datiert; interessierte Kreise können bis am 27. November 2017 Stellung nehmen.
Der Entwurf erläutert die Kriterien, die bei der Bemessung von Sanktionen zu berücksichtigen sind, hält dabei aber auch fest, dass der Begriff des “Unternehmens”, dessen Umsatz bei der Festlegung der maximale Höhe einer Busse von Bedeutung ist, nach dem Verständnis des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) auszulegen ist, also dem kartellrechtlichen Unternehmensbegriff entspricht. Die Obergrenze von Bussen wäre deshalb nach dem Umsatz nicht der betreffenden juristischen Person zu bemessen, sondern nach jenem der “wirtschaftlich tätigen Einheit”. Das hat nicht nur zur Folge, dass Mütter für Verstösse ihrer Töchter einzustehen haben, sondern dass auch ein Konzern als einziges Unternehmen behandelt wird, sofern eine wirtschaftliche Einheit besteht, d.h. soweit eine übergeordnete Gesellschaft auf untergeordnete Gesellschaften einen bestimmenden Einfluss ausüben kann. In diesem Falle ist der gesamte Konzernumsatz für die Bestimmung der Obergrenze einer Busse (2% oder 4% des weltweit erzielten Jahresumsatzes) massgeblich.
Dies entspricht Erwägungsgrund 150. Es widerspricht aber der Legaldefinition des “Unternehmens” von Art. 4 Nr. 15. Allerdings deckt sich der Begriff des “Unternehmens” in Art. 4 Nr. 15 und Erwägungsgrund 150 nur in der deutschen Fassung der DSGVO. Im englischen Wortlaut spricht Art. 4 Nr. 15 von “enterprise”, während Erwägungsgrund 150 den Ausdruck “undertaking” verwendet.Insofern ist das Auslegungsergebnis der Art.-29-Gruppe nicht überraschend.