11.04.2017

Berliner Beauftragte für Datenschutz zum funktionalen Unternehmensbegriff der DSGVO (Bußgeld-relevant) - Update

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, stellte am 7.4.2017 ihren Tätigkeitsbericht für das Jahr 2016 vor, siehe auch die Pressemeldung (pdf).
Ich habe bislang nur ganz kurz reingeschmökert und finde die Ausführungen auf S 31 ff bemerkenswert (der Abschnitt ist übertitelt mit "1.2.4 Auswirkungen auf Sanktionsverfahren der Aufsichtsbehörden"):
Wenn Unternehmen Bußgelder auferlegt werden, ist zu beachten, dass der sog. funktionale Unternehmensbegriff anzuwenden ist.80 Danach ist ein Unternehmen jede wirtschaftliche Einheit, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung.81 Eine wirtschaftliche Einheit kann aus mehreren natürlichen oder juristischen Personen bestehen. Sie liegt insbesondere dann vor, wenn eine Muttergesellschaft auf eine Tochtergesellschaft einen bestimmenden Einfluss ausübt.
Davon ist regelmäßig bei einem Stimmenanteil an der Tochtergesellschaft von über 50 % auszugehen. Allerdings genügt auch die tatsächliche Möglichkeit der Kontrolle und Einflussnahme unabhängig von einer starren Beteiligungsschwelle.82
Die Anwendung dieses im Kartellrecht wurzelnden funktionalen Unternehmensbegriffs hat u. a. für die Höhe der zu verhängenden Bußgelder weitreichende Folgen, da die Basis der Bußgeldberechnung der weltweite Unternehmensumsatz ist. Begeht z. B. eine Unternehmenstochter einen durch Bußgeld zu ahndenden Verstoß und liegt eine wirtschaftliche Einheit mit der Muttergesellschaft vor, so bildet der gesamte weltweite Konzernumsatz (Mutter plus Tochter) die Berechnungsgrundlage
für die Höhe des Bußgeldes.83 [...]
--
80 Erwägungsgrund (150) mit Verweis auf Art. 101 und 102 des Vertrags über die Arbeitsweise
der Europäischen Union – AEUV
81 Ständige Rechtsprechung des EuGH; z. B. EuGH, Slg. 1991, I-2010, Rn. 21, EuGH, Slg. 2006, I-6391, Rn. 25
82 Siehe EuGH, Beschluss vom 10. Mai 2007, Rs. C-492/04 – Lasertec
83 Siehe auch § 81 Abs. 4 Satz 3 GWB

Interessant sind auch die Ausführungen zum DSGVO-Umsetzungsbedarf im Bankenbereich, "6.1 Ein Tanker versucht umzusteuern: Erste Schritte auf dem Weg zu Transparenz und systematischer Datensicherheit bei der Charité", und "6.2 Fernwartung in Krankenhäusern: Löcher
in der Brandmauer" sowie "1.4 Rechtliche Grenzen des Outsourcings von Patientendaten im Krankenhausbereich am Beispiel der Digitalisierung und Archivierung von Patientenakten".

Update 12.04.2017: Siehe ganz aktuell Golla S (2017). Is Data Protection Law Growing Teeth? The Current Lack of Sanctions in Data Protection Law and Administrative Fines under the GDPR. JIPITEC, Vol. 8, 70 (76) u.a. unter Hinweis auf die Auslegung des BayLDAThe practically relevant question is how the term “undertaking” in Article 83 is to be interpreted and if it covers corporate groups (like, for instance, Alphabet Inc.) or only single (subsidiary) companies.54 The high economical relevance of this question becomes clear when looking at the large differences between turnovers of corporate groups and single companies. [...]