Dom
D O M
afsagt den 2. september 2025 af Vestre Landsrets 11. afdeling (dommerne Thomas Raa-berg-Møller, Henrik Bjørnager Nielsen og Thomas Faust Ryborg (kst.) med domsmænd) i ankesag
V.L. S – 0364 – 21
Anklagemyndigheden
mod
Tiltalte A/S
(advokat Poul Gade og advokat Dan Bjerg Geary, Aarhus)
Retten i Aarhus har den 12. februar 2021 afsagt dom i 1. instans (rettens nr. 13-3662/2020).
Påstande
Anklagemyndigheden har påstået domfældelse i overensstemmelse med byrettens bevisre-sultat, dog således at forholdet anses for begået med forsæt. Anklagemyndigheden har endvidere påstået skærpelse.
Tiltalte A/S, har påstået formildelse.
Supplerende oplysninger
I relation til en eventuel bødefastsættelse har landsretten ved kendelse af 3. maj 2023 truf-fet afgørelse om præjudiciel forelæggelse for EU-Domstolen. Det hedder i kendelsens konklusion:
”…
- 2 -
Landsretten har på den baggrund besluttet at udsætte behandlingen af ankestraffesagen med henblik på præjudiciel forelæggelse for EU-Domstolen i medfør af artikel 267 TEUF.
T h i b e s t e m m e s:
Vestre Landsret anmoder EU-Domstolen om at besvare følgende spørgsmål:
1. Skal begrebet ”virksomhed” i artikel 83, stk. 4 -6, i databeskyttelsesforordningen for-stås som en virksomhed som omhandlet i artikel 101 og 102 i TEUF, jf. præambelbe-tragtning 150 i databeskyttelsesforordningen, og EU-Domstolens retspraksis inden for EU-konkurrencerettens område, således at begrebet ”virksomhed” omfatter enhver enhed, som udøver økonomisk virksomhed, uanset denne enheds retlige status og dens finansie-ringsmåde?
2. Såfremt det første spørgsmål besvares bekræftende: Skal artikel 83, stk. 4-6, i databe-skyttelsesforordningen fortolkes således, at der ved udmåling af en bøde til en virksom-hed skal lægges vægt på den samlede globale årlige omsætning i den økonomiske enhed, som virksomheden måtte indgå i, eller alene på den samlede globale årlige omsætning i virksomheden selv?
…”
EU-Domstolen har den 13. februar 2025 afsagt dom i sag C-383/23. I dommen præmisser og i dommens konklusion hedder det:
”…
17. Den forelæggende ret ønsker med sine spørgsmål, som skal behandles samlet, nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 83, stk. 4-6, sammenholdt med 150. betragtning til denne forordning, skal fortolkes således, at begrebet »virksomhed«, der er indeholdt i disse bestemmelser, svarer til begrebet »virksomhed« som omhandlet i artikel 101 TEUF og 102 TEUF, således at når en dataansvarlig for personoplysninger, der er en virksomhed eller en del af en virksomhed, pålægges en bøde for overtrædelse af databeskyttelsesforordningen, skal bødens størrelse fastsættes på grundlag af en procentdel af den samlede globale årlige omsætning i det foregående regnskabsår for virksomheden som omhandlet i denne artikel 101 og denne artikel 102.
- 3 -
18. Indledningsvis skal det bemærkes, at Domstolen allerede har haft anledning til at fremkomme med besvarelser af visse spørgsmål angående fortolkningen af databeskyttelsesforordningens artikel 83 i dom af 5. december 2023, Deutsche Wohnen (C-807/21, EU:C:2023:950, præmis 53-59), som blev afsagt efter afslutningen af den skriftlige forhandling i den foreliggende sag.
19. Domstolen fastslog, at begrebet »virksomhed« som omhandlet i artikel 101 TEUF og 102 TEUF ikke har betydning for spørgsmålet om, hvorvidt og på hvilke betingelser en administrativ bøde kan pålægges en dataansvarlig, der er en juridisk person, i henhold til databeskyttelsesforordningens artikel 83, idet dette spørgsmål er udtømmende reguleret i denne forordnings artikel 58, stk. 2, og artikel 83, stk. 1-6 (dom af 5.12.2023, Deutsche Wohnen, C-807/21, EU:C:2023:950, præmis 53).
20. Dette begreb er nemlig kun relevant ved fastsættelsen af størrelsen af den administrative bøde, der pålægges en dataansvarlig i henhold til databeskyttelsesforord-ningens artikel 83, stk. 4-6 (dom af 5.12.2023, Deutsche Wohnen, C-807/21, EU:C:2023:950, præmis 54).
21. Det er i denne specifikke sammenhæng vedrørende beregningen af de administrative bøder, der pålægges for overtrædelser som omhandlet i databeskyttelsesforordningens artikel 83, stk. 4-6, at henvisningen i 150. betragtning til denne forordning til begrebet »virksomhed« som omhandlet i artikel 101 TEUF og 102 TEUF skal forstås (dom af 5.12.2023, Deutsche Wohnen, C-807/21, EU:C:2023:950, præmis 55).
22. Det skal i denne forbindelse fremhæves, at dette begreb med henblik på anvendelsen af konkurrencereglerne i artikel 101 TEUF og 102 TEUF omfatter enhver enhed, som udøver økonomisk virksomhed, uanset denne enheds retlige status og dens finansieringsmåde. Det betegner således en økonomisk enhed, også når denne økonomiske enhed juridisk set udgøres af flere fysiske eller juridiske personer. Denne økonomiske enhed består af menneskelige, materielle og immaterielle ressourcer, der forfølger et økonomisk mål på lang sigt (dom af 5.12.2023, Deutsche Wohnen, C-807/21, EU:C:2023:950, præmis 56 og den deri nævnte retspraksis).
23. Det fremgår således af databeskyttelsesforordningens artikel 83, stk. 4-6, der omhandler beregningen af administrative bøder for de overtrædelser, der er anført
- 4 -
i disse stykker, at såfremt modtageren af den administrative bøde er en virksomhed eller en del af en virksomhed som omhandlet i artikel 101 TEUF og 102 TEUF, beregnes den administrative bødes maksimumsbeløb på grundlag af en procentdel af den pågældende virksomheds samlede globale årlige omsætning i det foregående regnskabsår (dom af 5.12.2023, Deutsche Wohnen, C-807/21, EU:C:2023:950, præmis 57).
24. Der skal imidlertid sondres mellem fastsættelsen af dette maksimumsbeløb og selve beregningen af størrelsen af en bøde, som den kompetente tilsynsmyndighed skal pålægge for den eller de specifikke overtrædelser af databeskyttelsesforordningen, som denne bøde sanktionerer.
25. Det følger således af databeskyttelsesforordningens artikel 83, stk. 1, at hver tilsynsmyndighed sikrer, at pålæggelse af administrative bøder i henhold til denne artikel 83 for overtrædelse af databeskyttelsesforordningen som omhandlet i artiklens stk. 4-6 i hver enkelt sag er effektiv, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning.
26. Ud over, at disse tre betingelser skal overholdes, kræver databeskyttelsesforordnin-gens artikel 83, stk. 2, at den kompetente tilsynsmyndighed ved afgørelsen om, hvorvidt der skal pålægges en administrativ bøde, og om den administrative bødes størrelse i hver enkelt sag tager behørigt hensyn til et vist antal faktorer.
27. Blandt disse faktorer indgår i henhold til denne sidstnævnte bestemmelse bl.a. overtrædelsens karakter, alvor og varighed, antal registrerede, der er berørt, og omfanget af den skade, som de har lidt, om overtrædelsen blev begået forsætligt eller uagtsomt, de foranstaltninger, der er truffet af den dataansvarlige for personoplys-ningerne eller databehandleren af disse personoplysninger for at begrænse den lidte ska-de, denne dataansvarliges eller denne databehandlerens grad af ansvar og de kategorier af personoplysninger, der er berørt af overtrædelsen.
28. De nævnte faktorer kendetegner enten den adfærd, der er udvist af den dataansvarlige eller af den databehandler, som er tiltalt for overtrædelser af visse bestemmelser i databeskyttelsesforordningen, eller selve disse overtrædelser. De tjener således til at sikre, at hver af de nævnte overtrædelser bliver bedømt på grundlag af samtlige relevante individuelle omstændigheder, og at de formål, der forfølges med den i databeskyttelsesforordningen fastsatte sanktionsordning, bliver opfyldt.
- 5 -
29. Selv om disse faktorer ikke henviser til begrebet virksomhed som omhandlet i artikel 101 TEUF og 102 TEUF, har Domstolen allerede fastslået, at kun en administrativ bøde, som tager hensyn ikke blot til samtlige de faktorer, der således kendetegner de konstaterede overtrædelser af databeskyttelsesforordningen, men tillige — i påkommende tilfælde — til bødemodtagerens reelle eller faktiske økonomiske formåen, kan opfylde de tre betingelser, der er fastsat i databeskyttelsesforordningens ar-tikel 83, stk. 1, nemlig at bøden både skal være effektiv, stå i et rimeligt forhold til over-trædelsen og have afskrækkende virkning. Ved bedømmelsen af disse betingelser skal der tages hensyn til, om denne bødemodtager er en del af en virksomhed som omhandlet i ar-tikel 101 TEUF og 102 TEUF (jf. i denne retning dom af 5.12.2023, Deutsche Wohnen, C-807/21, EU:C:2023:950, præmis 58).
30. Den fortolkning af databeskyttelsesforordningens artikel 83, der følger af den foreliggende doms præmis 25-29, gælder ligeledes, når de konstaterede overtrædelser af databeskyttelsesforordningen ikke sanktioneres med en administrativ bøde, men med en bøde, der pålægges af de kompetente nationale retter som strafferetlig sanktion.
31. Som angivet i 151. betragtning til databeskyttelsesforordningen giver visse nationale retssystemer, herunder Kongeriget Danmarks, ikke mulighed for at pålægge administrati-ve bøder som fastsat i databeskyttelsesforordningen.
32. For at regulere dette tilfælde bestemmer databeskyttelsesforordningens artikel 83, stk. 9, at hvis en medlemsstats retssystem ikke giver mulighed for at pålægge administra-tive bøder, kan denne artikel 83 — som i den foreliggende sag — anvendes på en sådan måde, at den kompetente tilsynsmyndighed tager skridt til bøder, og de kompetente nati-onale domstole pålægger dem.
33. Det er desuden præciseret i denne artikel 83, stk. 9, ligesom i 151. betragtning til denne forordning, at det er nødvendigt, at de pågældende retsmidler er effektive, og at de-res virkning svarer til virkningen af administrative bøder, som pålægges af tilsynsmyn-dighederne, og at bøder under alle omstændigheder skal være effektive, stå i rimeligt for-hold til overtrædelsen og have afskrækkende virkning.
34. Den omstændighed, at en bøde pålægges af en straffedomstol i forbindelse med en straffesag, indebærer imidlertid, at denne domstol på ethvert tidspunkt skal overholde de gældende strafferetlige regler, herunder nærmere bestemt de processuelle rettigheder, som den tiltalte person har, og det strafferetlige proportionalitetsprincip således som sikret ved Den Europæiske Unions charter om grundlæggende rettigheder.
- 6 -
35. I denne henseende kræver databeskyttelsesforordningens artikel 83, som generalad-vokaten har anført i punkt 74 i forslaget til afgørelse, at de kompetente tilsynsmyndighe-der uden undtagelse skal sikre, at proportionalitetsprincippet overholdes ved beregningen af det faktisk pålagte bødebeløb, idet der sikres en rimelig balance mellem de krav, der følger af den almene interesse i beskyttelsen af personoplysninger, og kravene til beskyt-telse af rettighederne for den dataansvarlige for sådanne oplysninger, databehandleren af disse oplysninger eller den virksomhed, som disse er en del af. Det følger heraf, at en an-vendelse af begrebet »virksomhed« som omhandlet i artikel 101 TEUF og 102 TEUF i forbindelse med gennemførelsen af databeskyttelsesforordningens artikel 83, stk. 4-6, ik-ke synes at støde imod principielle forhindringer, når overtrædelser af databeskyttelses-forordningen ikke sanktioneres med administrative bøder, men med bøder, der pålægges af straffedomstole.
36. Henset til de ovenstående betragtninger skal de forelagte spørgsmål besvares med, at databeskyttelsesforordningens artikel 83, stk. 4-6, sammenholdt med 150. betragtning til denne forordning, skal fortolkes således, at begrebet »virksomhed«, der er indeholdt i disse bestemmelser, svarer til begrebet »virksomhed« som omhandlet i artikel 101 TEUF og 102 TEUF, således at når en dataansvarlig for personoplysninger, der er en virksom-hed eller en del af en virksomhed, pålægges en bøde for overtrædelse af databeskyttelses-forordningen, skal bødens maksimumsbeløb fastsættes på grundlag af en procentdel af virksomhedens samlede globale årlige omsætning i det foregående regnskabsår. Der skal ligeledes tages hensyn til begrebet »virksomhed« for at vurdere bødemodtagerens reelle eller faktiske økonomiske formåen og for således at efterprøve, om bøden både er effek-tiv, står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning.
…
På grundlag af disse præmisser kender Domstolen (Femte Afdeling) for ret:
Artikel 83, stk. 4-6, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), sammenholdt med 150. betragtning til denne forordning,
skal fortolkes således, at
begrebet »virksomhed«, der er indeholdt i disse bestemmelser, svarer til begrebet »virksomhed« som omhandlet i artikel 101 TEUF og 102 TEUF,
- 7 -
således at når en dataansvarlig for personoplysninger, der er en virksomhed eller en del af en virksomhed, pålægges en bøde for overtrædelse af forordning 2016/679, skal bødens maksimumsbeløb fastsættes på grundlag af en procentdel af virksomhedens samlede globale årlige omsætning i det foregående regnskabsår. Der skal ligeledes tages hensyn til begrebet »virksomhed« for at vurdere bødemodtagerens reelle eller faktiske økonomiske formåen og for således at efterprøve, om bøden både er effektiv, står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning.
…”
Datatilsynet har den 11. juli 2025 afgivet en fornyet udtalelse om bødeudmålingen.
Tiltalte vedtog den 23. november 2018 et bødeforelæg på 2.000 kr. for overtrædelse af lov om godkendelse og syn af køretøjer og vedtog den 7. februar 2019 et bødeforelæg på 12.000 kr. for overtrædelse af bekendtgørelse om køre- og hviletider i vejtransport.
Forklaringer
Vidne 1 har afgivet supplerende forklaring for landsretten.
Vidne 1 har forklaret, at GDPR-arbejdet, hvor styringsgruppen blev nedsat, blev iværksat i Tiltalte A/S-regi. Initiativet til igangsættelsen af arbejdet kom således ikke oppefra i koncernen, og moderselskabet blandede sig ikke i processen. Der var heller ikke i øvrigt nogen sparring med moderselskabet eller med andre selskaber i koncernen. Det var noget, Tiltalte A/S selv gik i gang med. I koncernen indgik virksomheder, som var direkte konkurrenter til Tiltalte A/S, ligesom der var ejendomsportefølje, restauranter og et legeland. Der var ingen deling af kundedata med de andre selskaber i koncernen.
I forhold til kundeoplysninger var det et fokusområde, at kundedata skulle minimeres så meget som muligt. De kendte i styringsgruppen godt til, at det gamle AX 2.5-system fort-sat var der, da systemet lejlighedsvist blev brugt til at foretage opslag i. Det gamle system var ikke rigtig noget, de havde arbejdet med i styringsgruppen. Hun har været med til at udarbejde retningslinjerne om persondatapolitik, jf. tillægsekstrakt 2, side 77. Disse ret-ningslinjer er primært henvendt til kunder.
- 8 -
Landsrettens begrundelse og resultat
Skyldsspørgsmålet
Tiltalte er ved byrettens dom fundet skyldig i tiltalen for så vidt angår ca. 350.000 tidligere kunder, idet byretten dog har fundet, at overtrædelsen alene kan tilregnes tiltalte som uagt-som.
Efter bevisførelsen, herunder navnlig forklaringerne fra Stilling 8 Vidne 1 og Stilling 3 Vidne 3, der var en del af den nedsatte styringsgruppe, lægges det til grund, at i hvert fald flere personer i styringsgruppen var bekendt med, at AX 2.5-systemet, hvor der ikke var implementeret sletteprocedurer- og anonymiseringsprocedurer, fortsat eksisterede og lejlighedsvist blev benyttet. Vidne 3 har, foreholdt sin forklaring ifølge afhørings-rapport, herunder vedrørende et kontrolopslag på en kunde, som skulle have handlet i virk-somheden for en del år siden, ifølge rapporten formentlig i 2010/2012, forklaret, at den pågældende kunde med sikkerhed ville være at finde i systemet, hvis kunden havde foreta-get et køb i virksomheden på dette tidspunkt. Vidne 1 har blandt andet forklaret, at de i styringsgruppen godt kendte til, at det gamle AX 2.5-system fortsat var der, da sy-stemet lejlighedsvist blev brugt til at foretage opslag i.
På denne baggrund, og da der i henseende til opbevaringens nødvendighed, jf. databeskyt-telsesforordningens artikel 5, stk. 1, litra e, hverken efter underliggende lovgivning eller i øvrigt har været nogen berettiget tvivl om, at oplysningerne ikke måtte opbevares, finder landsretten, at overtrædelsen må tilregnes tiltalte som forsætlig.
Sanktionsfastsættelsen
Det fremgår af forordningens præambel 150, at der med forordningen er tilsigtet en har-monisering af sanktioner, og af præambel 151 fremgår, at de kompetente nationale domsto-le bør tage hensyn til en anbefaling fra den tilsynsmyndighed, der har taget skridt til en bøde. Endvidere skal de idømte bøder under alle omstændigheder være effektive, stå i ri-meligt forhold til overtrædelsen og have afskrækkende virkning.
Datatilsynet har i bødeindstillingen, som anklagemyndigheden har tilsluttet sig, taget ud-gangspunkt i hele Koncern 1's nettoomsætning i 2018 på 6.942.652.000 kr. og har efter forordningen artikel 83, stk. 5, beregnet et såkaldt dynamisk bødeloft på 278 mio. kr. svarende til 4 % af koncernens nettoomsætning. Datatilsynet har herefter un-
- 9 -
der hensyn til en vurdering af alvorsgraden, jf. artikel 83, stk. 2, og hvor overtrædelsen er kategoriseret i den laveste alvorsgrad, fundet, at et grundbeløb for bøden passende kan fastsættes til 15.000.000 kr. Datatilsynet har herefter på baggrund af en vurdering af hen-holdsvis skærpende og formildende omstændigheder og efter en helhedsvurdering indstillet en bøde på ikke under 1,5 mio. kr. Datatilsynet har i forbindelse hermed anført, at Datatil-synet hele tiden har været bevidst om, at bøden set i forhold til koncernens omsætning er relativt lille, og at Datatilsynet har lagt stor vægt på oplysningernes karakter og på, at tiltal-te ikke anvendte oplysningerne aktivt i den kommercielle forretning.
Under landsrettens behandling af sagen er der blevet stillet spørgsmål til EU-Domstolen om forståelsen af begrebet ”virksomhed ” i databeskyttelsesforordningens artikel 83, stk. 4-6, og det er ved EU-Domstolens dom i sag C-383/23 fastslået, at begrebet ”virksomhed ”, der er indeholdt i disse bestemmelser, skal forstås således, at når en dataansvarlig for per-sonoplysninger, der er en virksomhed eller en del af en virksomhed, pålægges en bøde for overtrædelse af forordningen, skal bødens maksimumsbeløb fastsættes på grundlag af en procentdel af virksomhedens samlede globale årlige omsætning i det foregående regn-skabsår. Der skal ligeledes tages hensyn til begrebet ”virksomhed ” for at vurdere bøde-modtagerens reelle eller faktiske økonomiske formåen og for således at efterprøve, om bøden både er effektiv, står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning.
Landsretten tiltræder på denne baggrund, at det forhold, at tiltalte har været en del af Koncern 1, skal indgå ved udmålingen af bøden. Retsplejelovens § 883, stk. 3, angår tiltalen og dermed skyldspørgsmålet og ikke straffastsættelsen, og princippet i denne bestemmelse kan ikke føre til nogen anden vurdering. Landsretten finder endvidere ikke grundlag for at fastslå, at bødeindstillingen i øvrigt er i strid med EU-Domstolens dom, herunder dommens præmis 24 og 36, som er påberåbt af forsvaret.
Landsretten kan endvidere tiltræde, at bødeberegningen efter artikel 83 skal ske med ud-gangspunkt i nettoomsætningen for årsregnskabet for 2018, der således var det seneste offentliggjorte årsregnskab på tidspunktet for indgivelsen af politianmeldelse, og som af-spejler den økonomiske situation i den periode, hvor overtrædelsen fandt sted, jf. herved også Østre Landsrets dom gengivet i U.2023.5579.
- 10 -
Herefter, og idet overtrædelsen er sket med forsæt, og da der i bødepåstanden er taget for-nødent hensyn til de formildende omstændigheder, samt efter sagens omstændigheder i øvrigt finder landsretten, at bøden i medfør af de anførte bestemmelser, jf. tillige straffelo-vens § 89, passende kan fastsættes til 1,5 mio. kr.
Efter sagens forløb og under hensyn til sagens kompleksitet, herunder at sagen har været forelagt for EU-Domstolen, er der ikke grundlag for at nedsætte bøden som følge af lang sagsbehandlingstid.
Med de anførte ændringer stadfæster landsretten dommen.
T h i k e n d e s f o r r e t:
Byrettens dom stadfæstes med den ændring, at bøden forhøjes til 1,5 mio. kr.
Tiltalte skal betale sagens omkostninger for landsretten.
Thomas Raaberg-Møller Henrik Bjørnager Nielsen Thomas Faust Ryborg
(kst.)