GDPR-boetes met een schuimkraag

In een arrest van 13 februari 2025 oordeelde het Hof van Justitie dat de maximale administratieve geldboetes voor inbreuken op de Algemene Verordening Gegevensbescherming (GDPR) berekend mogen worden op basis van de wereldwijde omzet van de volledige groep. Aanleiding was een geschil tussen twee Griekse brouwerijen, waarbij één van die brouwerijen deel uitmaakte van de groep Heineken.

Het Hof oordeelde dat voor de berekening van de GDPR-boetes het begrip “onderneming” op dezelfde manier als in het mededingingsrecht moet worden toegepast. Dat betekent dat niet enkel de individuele rechtspersoon (hier: de Griekse brouwerij) in aanmerking komt, maar de volledige economische eenheid, met inbegrip van moeder- en dochtervennootschappen (hier: de volledige Heineken-groep).

Toezichthouders mogen dus bij het opleggen van boetes de totale jaaromzet van de groep als referentie nemen, ook wanneer slechts één vennootschap binnen die groep de inbreuk pleegde. Dat scheelt uiteraard een hele slok op de borrel.