EU-Domstolen har afklaret, at bøder efter GDPR kan udmåles på grundlag af den globale omsætning i hele koncernen, når den overtrædende enhed indgår i en økonomisk enhed. Afgørelsen i ILVA-sagen lægger en streng linje for bødeudmåling og forventes at påvirke danske sager.
Bøder efter GDPR baseret på koncernomsætning
Domstolen fortolker begrebet virksomhed i overensstemmelse med konkurrenceretten i TEUF art. 101 og 102. Dermed følger GDPR art. 83 samme økonomiske enheds-begreb, så bødemaksimum opgøres som en procentdel af den samlede koncernomsætning i det foregående regnskabsår.
Begrundelsen er at sikre, at sanktionen er effektiv, proportionel og afskrækkende. I den konkrete sag støttede Domstolen anklagemyndighedens tilgang om at lægge Lars Larsen Group’s omsætning til grund, selv om overtrædelsen var begået af et datterselskab.
Konsekvenser for danske domstole og M&A-risiko
Afgørelsen kan løfte bødeniveauet i danske retssager, hvor koncernforhold hidtil har været omstridt. Virksomheder bør opdatere complianceprogrammer, dokumentere koncernstyring og sikre ensartet efterlevelse på tværs af selskaber.
For M&A skærpes due diligence og kontraktregulering af databeskyttelsesrisici, herunder garantier, skadesløsholdelse og prisjusteringer. Dommen flugter med Domstolens restriktive linje, senest set i Lindenapotheke, hvor helbredsoplysninger blev udvidet til også at omfatte køb af håndkøbsmedicin.
