VLR — Vestre Landsret
AM2025.09.02V
OL-2025-V-00048
AM2025.09.02V Retten i Aarhus’
DOM
Dato: 12. februar 2021 Rettens sagsnr.: 13-3662/2020 Politiets sagsnr.: 4200-84266-00004-19 Anklagemyndigheden mod Tiltalte A/S , cvr-nummer … Der har medvirket domsmænd ved behandlingen af denne sag. Anklageskrift er modtaget den 1. april 2020.
Tiltalte A/S er tiltalt for overtrædelse af Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) artikel 83, stk. 2 og stk. 5, jf. stk. 9, jf. artikel 5, stk. 1, litra e og stk. 2, jf. artikel 4, stk. 1 og artikel 6, jf. lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af behandling af personoplysninger og om fri udveksling af sådanne oplysninger § 41, stk. 1, nr. 4, jf. stk. 3, jf. stk. 6, ved i perioden fra den 25. maj 2018 og indtil den 18. januar 2019, at have undladt at opfylde virksomhedens forpligtelse som dataansvarlig for behandling af personoplysninger i systemet AX 2.5 til at sikre, at personoplysningerne ikke blev opbevaret på en sådan måde, at det var muligt at identificere de registrerede i et længere tidsrum end det, der var nødvendigt til de formål, hvortil personoplysningerne behandledes, og til at kunne påvise dette, idet virksomheden opbevarede oplysninger om et betydeligt antal og ikke under 350.000 tidligere kunders navne, adresser, telefonnumre, e-mails og købshistorik, som hver især er informationer om en identificerbar fysisk person, uagtet personoplysningerne var indsamlet før 1. januar 2013, og at opbevaring ikke længere var nødvendig, ligesom virksomheden ikke på tilsynsbesøget den 8. oktober 2018 kunne påvise, at de havde fastsat slettefrister eller udarbejdet retningslinjer for sletning i AX 2.5.
Påstande
Anklagemyndigheden har nedlagt påstand om en bøde på 1,5 mio. kr. Tiltalte har nægtet sig skyldig.
Sagsfremstilling
Af årsrapporten for 2016/2017 (bilag C-3-2-3-1) for tiltalte Tiltalte A/S (tidligere Selskab1) fremgår under ledelsesberetningen om virksomhedens hovedaktivitet følgende: [ÅRSRAPPORT UDELADT] Det er under sagen oplyst, at Selskab2 og Tiltalte A/S er slået sammen under navnet Tiltalte A/S, men at der fortsat eksisterer tre Selskab2, der drives på selvstændig franchisebasis.
Det er under sagen endvidere oplyst, at tiltalte er en del af Selskab3, at det ultimative moderselskab er anpartsselskabet af 19. december 2014, og at koncernens samlede omsætning i regnskabsåret 2016/2017 udgjorde 6.57 mia. kr. Heraf udgjorde tiltaltes omsætning knap 1,8 mia. kr.
Den 15. august 2018 varslede Datatilsynet tiltalte om et tilsynsbesøg hos tiltalte den 8. oktober 2018 med henblik på at gennemgå virksomhedens procedurer for efterlevelse af databeskyttelsesforordningen, herunder de tekniske og organisatoriske foranstaltninger for opfyldelse af reglerne om sletning i tiltaltes datasystemer (bilas B-1-1).
Tiltalte gjorde ved mail af 30. august 2018 Datatilsynet opmærksom på, at der i virksomheden i alt var 57 datasystemer og fremsendte en liste herover (bilag B-2-1 og bilag B-2-1-1). Den fremsendte liste indeholdt en kort beskrivelse af virksomhedens 57 datasystemer, herunder økonomi/ERP-systemet AX 2012 og det ældre ERP-system AX 2.5.
Beskrivelsen af disse to systemer lyder: "… IT Microsoft Dynamics AX inkl.: AX2012 AXPOS Biztalk AX2012: Økonomi/ERP system som driver alle vores centrale forretningsprocesser og indeholder alt stamdata inkl. kundedata. AX POS: Systemet bruges som vores kasseapparatssystem i vores Selskab2 og Tiltalte A/S butikker. Biztalk: Systemet bruges til elektronisk afsendeIse af indkøbsordre til vores leverandører.
Indeholder i langt de fleste ikke persondata, da de fleste e mailadresser som der er linket op til er ordre@xxx.dk, men vi kan ikke udelukke at den i enkelte tilfælde er personnavn@xxx.dk, hvorfor den er medtaget Det er alene almindelige oplysninger, der behandles. IT Microsoft Dynamics AX inkl.: AX2012 AXPOS Biztalk X2.5 er Selskab2’s gamle ERP system.
Selskab2 har tre samhandlende butikker, som stadig køre på samme vis, som da hele kæden var frivillig drevet og på franchisebasis. De tre samhandlende butikker bruger systemet som kundedatabase. De tre butikker er selvstændige dataansvarlige, og Selskab1 er databehandlere.
Af Selskab1 bruges systemet nu alene iht. persondata som opslagsværk af vores Kundeservice på kundesager i forbindelse med reklamationssager eller tidligere udstedte garantier samt af vores Bogholderi i forbindelse med omkostningsfakturaer Det er alene almindelige oplysninger, der behandles. …” Datatilsynet udtog ved mail af 3. september 2018 syv systemer til nærmere kontrol (bilag B-3-1).
Disse var CompanYoung, Timeplan, Thomas International, DanCount, AX 2012, Dropbox samt Microsoft Exchange Server, og Datatilsynet anmodede samtidig hermed virksomheden om at besvare et medsendt spørgeskema om bl.a. procedurerne for sletning af personoplysningerne i de syv systemer.
Efter tilsynsbesøget den 8. oktober 2018 anmodede Datatilsynet tiltalte om af besvare en række yderligere spørgsmål med tilknytning til flere af de syv systemer, der havde været genstand for kontrol. Datatilsynet fremsendte herefter en mail vedhæftet udkast til rapportskema med orientering om tilsynsbesøget, hvori var fremsat en række bemærkninger til de syv systemer (bilag C-2-1 og bilag C-2-2).
AX 2.5 var således ikke særskilt omtalt, men under Datatilsynets bemærkninger til AX 2012-systemet anføres under pkt. 5.8 bl.a. følgende: "… 5.8 Gennemgang af systemet Ved gennemgangen af systemet oplyste Selskab1, at der ikke ligger oplysninger i AX2012 længere tilbage end år 2015. Dette skyldes, at Selskab1 før 2015 brugte systemet AX 2.5, som indeholder de samme typer personoplysninger, som findes i AX2012.
Selskab1 oplyste desuden, at der ikke er fastsat slettefrister i AX 2.5, hvorfor personoplysninger i det gamle system ikke er blevet slettet. Det blev derfor besluttet, at det ikke var nødvendigt at foretage en søgning på en kunde i det gamle system, da Selskab1 oplyste, at kunden stadig ville være at finde i systemet.
Endelig oplyste Selskab1, at AX 2.5. er under udfasning. …” Den 8. november 2018 fremsendte Vidne1 tiltaltes bemærkninger til ovennævnte udkast til rapport (bilag C-2-4), og det hedder sig heri bl.a.: "… I forhold til det eventuelle strafbare forhold vedrørende opbevaring af ansøgninger på baggrund af stillingsannoncer i 2 år henviser vi først og fremmest til yderligere bemærkninger indskrevet direkte i rapportskemaet.
Vi formoder derudover, at der ikke i de resterende dele af tilsynet og rapportskemaet anses andre forhold, der kan få nogen konsekvens af denne karakter, i og med at det alene er dette forhold, der bemærkes i rapportskemaet. Vedrørende slettefristerne i AX2012 vil vi gerne gentage og også fremhæve, at vi har opstillet de forskellige slettefrister for at dataminimere.
Herunder den sondring der er foretaget mellem kundedata og faktura. Vi ved, at vi naturligvis også har en pligt til dette, jf. databeskyttelsesforordningens art. 5, stk. 1, litra e. Men vi følte ikke, at vi helt kom ud med dette budskab under tilsynsbesøget, hvilket også afspejles i rapportskemaet.
Overordnet er der slettefristen for fakturaer ifølge Bogføringsloven, men vi har altså begrænset det yderligere ved at slette kundedata efter 2 ½ år iht. vores reklamationsret, som går et halvt år længere end Købelovens reklamationsret. …” Den 4. december 2018 fremsendte Datatilsynet et brev til tiltalte (bilag C-31), hvori Datatilsynet gjorde opmærksom på, at tilsynet havde en konkret mistanke om, at der i AX 2.5-systemet blev behandlet personoplysninger i strid med databeskyttelsesforordningens art. 5, stk. 1, litra e.
Datatilsynet anmodede herunder tiltalte om at oplyse bl.a., "hvor mange kunder behandles der personoplysninger om i AX 2.5?". Tiltalte blev i deh forbindelse gjort opmærksom på, at virksomheden ikke var forpligtet til at afgive oplysninger i sagen, jf. herved retssikkerhedslovens § 10.
Den 12. december 2018 svarede Vidne1 på Datatilsynets brev (bilag C-3-2-3) og anførte herunder følgende: ”… Besvarelse af yderligere spørgsmål 1. Er Selskab1 dataansvarlig for den behandling af personoplysninger, der finder sted i AX2.5, herunder f.eks. når der foretages opslag til brug for kundesager mv.?
Ja, Selskab1 er dataansvarlige for den behandling af personoplysninger, der finder sted i AX2.5 i forbindelse med opslag i fakturaer udstedt til Selskab1s kunder i relation til kundesager/ reklamationer samt i tilfælde af evt. spørgsmål fra SKAT. Hvis Selskab1 mener, at virksomheden er dataansvarlig for behandlingen af personoplysninger, bedes det oplyst: 2.
Hvor mange kunder behandles der personoplysninger om i AX2.5? Selskab1 har i AX2.5 registreret 823.178 kundeid'er. Opgørelsen er behæftet med nogen usikkerhed og det reelle tal vil formentlig være noget lavere, idet den enkelte kundens telefonnummer anvendes som kundeid, og mange kunder fra tid til anden skifter telefonnummer.
Der vil med andre ord være redundans som følge af, at den enkelte kunde figurerer flere gange. Antallet af kundeid'er er derfor højere end antallet af datasubjekter. Selskab1 har gennemgået oplysningerne i AX2.5 nærmere ud fra de hjemmelsgrundlag, der kan ligges til grund for opbevaring.
Ud af de i alt 823.178 kundeid'er opbevares der oplysninger om 430.100 kundeid'er allerede som følge af Selskab1s retslige forpligtelse i henhold til bogføringslovens § 10. 3. Hvor gamle er de ældste personoplysninger, der opbevares i AX2.5? De ældste personoplysninger, der opbevares i AX2.5, er fra d 1. april 2010. 4. Hvad er baggrunden for, at Selskab1 ikke har foretaget sletning i AX2.S?
Baggrunden for, at der ikke er foretaget sletning i AX2.5 er, at Selskab1 i 2015 påbegyndte implementering af et nyt ERP system (AX2012) som erstatning for AX2.5. I AX2012 er der, som det er Datatilsynet bekendt, defineret og implementeret automatiske slettefrister, som også nærmere gennemgået i den fremsendte besvarelse af spørgeskemaet forud for tilsynet, samt under gennemgangen på selve tilsynsbesøget.
Som en følge af den fokus, der har været på det fortsættende ERP system, herunder også implementering af passende tekniske og organiske sikkerhedsforanstaltninger, der letter overholdelse af kravene i databeskyttelsesforordningen, har der muligvis ikke været den fornødne fokus på oprydningen i AX2.5, der er under udfasning.
På baggrund af Datatilsynets seneste henvendelse af d. 4. december 2018 (hvor det blev påpeget, at Datatilsynet havde en mistanke om overtrædelse af opbevaringsbegrænsningen) har vi derfor igangsat en nærmere undersøgelse for at afdække behovet for eventuelle system og/eller procesændringer, der kan være nødvendige for at sikre efterlevelse af opbevaringsbegrænsningen frem til den endelige udfasning af AX2.5. 5.
Er Selskab1 en del af en koncern? (beskriv efterforholdene samt i hvilket omfang der udøves kontrol mellem enhederne) Ja, Selskab1 er en del af en koncern. Som det fremgår af årsrapporten er Selskab1 ultimative moderselskab Anpartsselskabet af 19. december 2014.
Selskab1 drives dog af en selvstændig direktion, hvorfor det ultimative moderselskab ikke udøver indflydelse på Selskab1s aktiviteter og daglige drift, foruden de emner der specifik bringes op på selskabets bestyrelsesmøder, som typisk vedrører selskabets overordnede strategiske forretningsdrift. 6.
Hvor stor var Selskab1’s samlede omsætning 2017? (vedlæg dokumentation i form af årsregnskab) Selskab1 samlede omsætning for 2017 er opgjort til t.DKK 1.705.369 for regnskabsåret, der løber fra d. 1. september 2016 til d. 31. august 2017. Årsregnskabet er vedlagt. 7.
Hvis relevant hvor stor var koncernens samlede omsætning i 2017? (vedlæg dokumentation i form af koncernregnskab og individuelle regnskaber) Selskab1 A/S indgår, som før nævnt, i koncernrapporten for moderselskabet; Anpartsselskabet af 19. december 2014.
Den samlede omsætning for 2017 for Anpartsselskabet af 19. december 2014 er opgjort til t.DKK 6.570.364 for regnskabsåret, der løber fra d. 1. september 2016 ti1 d. 31. august 2017. Årsregnskabet er vedlagt. Hvis Selskab1 ikke mener, at virksomheden er dataansvarlig for behandlingen af personoplysninger i AX2.S, bedes det oplyst: 8. Med hvilken begrundelse er Selskab1 nået frem til denne konklusion?
Selskab1 henviser til besvarelsen af spørgsmål 1, samt det tidligere oplyste vedrørende brug af AX2.5. Selskab1 bedes desuden oplyse: 9. Hvornår i 2015 blev systemet AX2.S erstattet af AX2012? AX2.5 blev trinvist erstattet af AX2012, da implementeringen skete over en periode i Selskab1’s butikker, Selskab2 og Tiltalte A/S.
Implementeringen og dermed erstatningen skete fra d. 21. marts 2015 og frem til d. 9. juli 2015, hvorfor AX2.5 nu er under udfasning. …” Den 17. januar 2019 anmodede Datatilsynet på ny under henvisning til retssikkerhedslovens § 10 tiltalte om yderligere oplysninger, herunder om antallet af registrerede i AX 2.5 samt oplysning om hvilke typer af personoplysninger, der blev opbevaret i systemet (bilai C-3-3-1).
Vidne1 svarede på vegne af tiltalte ved mail af 31. januar 2019 med vedhæftet bilag (bilai C-3-3-3 og bilag C-3-3-4). Af sidstnævnte bilag fremgår bl.a. følgende: "… 1. Hvis Selskab1 har mulighed for det, bedes det oplyst hvad det korrekte antal registrerede er, når dubletter fjernes fra systemet, jf. ovennævnte.
Som oplyst ved seneste besvarelse af d. 12. december igangsatte Selskab1 en nærmere undersøgelse for i første omgang at afdække behovet for eventuelle system og/eller procesændringer for at sikre efterlevelse opbevaringsbegrænsningen frem til den endelige udfasning af AX2.5. Denne proces er Selskab1 nået en del videre med, og har i den forbindelse også allerede foretaget sletninger i systemet.
Vi kan derfor kun udtale os om, hvor mange dubletter der er i de data, som fortsat findes i systemet. I seneste besvarelse oplyste vi, at Selskab1 opbevarer 430.100 kundeid'er i systemet, allerede som følge af den retlige forpligtelse i henhold til bogføringslovens § 10. I tillæg hertil har vi 448 kundeid'er, som fortsat har et mellemværende med Selskab1. Resten, dvs. 392.630 kundeid'er, er blevet slettet.
Af de 430.548 kundeid'er, som fortsat opbevares i systemet, er 1,48 % dubletter, hvilket betyder, at der nu er 424.192 registrerede. Fordi hyppigheden på telefonnummerskift, efter vores erfaring, var højere før 2013, end den har været i de senere år, så har antallet af dubletter formentlig været højere tidligere.
Anses ovenstående procentsats som en 'minimumssats' kan det konstateres, at der højst var data om 811.026 registrerede inden de foretagne sletninger. …" Den 3. juni 2019 anmeldte Datatilsynet tiltalte til Østjyllands Politi for overtrædelse af databeskyttelsesforordningens art. 5, stk. 1, litra e (bilag A-1-2) ved at have behandlet ca. 385.000 personoplysninger i AX 2.5 længere end nødvendigt.
Anmeldelsen var bilagt Datatilsynets forslag til en sigtelse af tiltalte, der således alene på daværende tidspunkt angik databeskyttelsesforordningens art. 5, stk. 1, litra e.
Samme dag orienterede Datatilsynet tiltalte herom (bilag A-1-3) og fremsatte over for tiltalte endvidere "alvorlig kritik" af, at tiltalte ikke havde efterlevet databeskyttelsesforordningen på tre andre punkter, herunder påpegede tilsynet, at virksomheden heller ikke havde overholdt forordningens art. 5, stk. 2, i AX 2.5-systemet, idet der ikke havde været fastlagt og dokumenteret frister for sletning af personoplysninger heri. [FORKLARINGER UDELADT]
Rettens begrundelse
og afgørelse Ad skyldsspørgsmålet Efter forklaringen fra vidnet Vidne1, der er tiltaltes tidligere chefjurist, lægges det til grund, at der i efteråret 2017 blev nedsat en styringsgruppe i virksomheden, der ud over Vidne1 bestod af blandt andre økonomichef Vidne2 og IT-chef Vidne3.
Styringsgruppen havde til formål at sikre, at tiltaltes datasystemer overholdt reglerne i Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 (databeskyttelsesforordningen), der skulle træde i kraft den 25. maj 2018, og hvorom det var almindelig kendt, at sanktionerne for overtrædelse af databeskyttelsesreglerne ville blive skærpet betydeligt.
Det bemærkes, at databeskyttelsesforordningens ikrafttrædelsesdato udgør starttidspunktet for den i tiltalen anførte gerningsperiode.
Styringsgruppen identificerede i alt 57 datasystemer i virksomheden, og der blev herunder kortlagt 15 spor med hver sin sporansvarlige, der skulle bidrage til at sikre, at såvel kundens som medarbejdernes "rejse" gennem virksomhedens datasystemer foregik i overensstemmelse med databeskyttelsesforordningen.
Ud af virksomhedens 57 datasystemer udtog Datatilsynet ved mail af 3. september 2018 kundedatasystemet AX 2012 til nærmere kontrol sammen med seks andre datasystemer og anmodede samtidig tiltalte om at besvare en række spørgsmål om procedurerne for sletning af personoplysninger i de syv udvalgte systemer, der ville være genstand for nærmere kontrol under et på forhånd varslet tilsynsbesøg den 8. oktober 2018.
Det kan efter oplysningerne i sagen lægges til grund, at AX 2012 i 2015 havde afløst det tidligere kundedatasystem det i sagen omhandlede AX 2.5 og at AX 2012 herefter har været det system, der driver virksomhedens centrale forretningsprocesser, og som indeholder alle stamdata inklusive kundeoplysninger.
Det kan efter forklaringerne i sagen lægges til grund, at Datatilsynets repræsentanter vidnerne Vidne4 og Vidne5 under tilsynsbesøget anmodede om, at et konkret ældre køb blev kørt igennem AX 2012-systemet med henblik på at kontrollere, om personoplysningerne knyttet til det pågældende køb var blevet behørigt slettet.
Efter forklaringen fra IT-chef Vidne3, lægges det i den forbindelse til grund, at han over for tilsynet uopfordret oplyste, at det ikke ville være muligt at udfinde oplysningerne i AX 2012, da der var tale om en købstransaktion dateret før 2015, men at oplysningerne derimod med sikkerhed fortsat ville kunne findes i det ældre AX 2.5.system, da der ikke heri var blevet implementeret nogen sletteprocedurer.
Det er ubestridt, at kundeoplysningerne i AX 2.5-systemet i form af kundens telefonnummer, navn, adresse, mailadresse og købshistorik er personoplysninger i databeskyttelsesforordningens forstand, jf. herved art. 4, nr. 1, men at oplysningerne ikke er af en sådan personfølsom karakter, at de er omfattet af forordningens art. 9 og I0.
Det er endvidere ubestridt, at tiltalte efterfølgende tog initiativ til at få implementeret en sletteprocedure i AX 2.5-systemet, og at personoplysninger ældre end bogføringslovens 5-års frist de facto var slettet pr. 18. januar 2019 ved, at oplysningerne var blevet erstattet og anonymiseret af et løbenummer.
Det er herunder ubestridt, at anonymiseringen lever op til kravene i databeskyttelsesforordningen, idet registreringerne i systemet ikke længere er identificerbare. Det bemærkes, at nævnte dato samtidig udgør det i tiltalen anførte sluttidspunkt for gerningsperioden.
Retten finder, at der i lighed med AX 2012-systemet allerede pr. 25. maj 2018 burde have været implementeret slette- eller anonymiseringsprocedurer for kundeoplysningerne i AX 2.5-systemet, og at denne frist tilsvarende burde have været fastsat efter bogføringslovens § 10 til 5 år fra udgangen af det regnskabsår, materialet vedrører.
Identificerbare kundeoplysninger i AX 2.5systemet af ældre dato end denne frist har dermed været opbevaret i et længere tidsrum end det, der var nødvendigt til de formål, hvortil de pågældende personoplysninger blev behandlet, og de burde derfor have været slettet eller anonymiseret.
Der forelå derfor objektivt en overtrædelse af databeskyttelsesforordningens art. 5, stk. 1, litra e, som anført i tiltalen frem til den 18. januar 2019.
Det bemærkes hertil, at retten ikke finder, at de lovlige hensyn for databehandling, der er angivet i databeskyttelsesforordningens art. 6, var opfyldt efter dette tidspunkt, hvorved bemærkes, at en eventuel længerevarende garantiforpligtelse på enkelte af virksomhedens produkter ikke i sig selv nødvendiggør en længere opbevaringsfrist, da det i første række er op til kunden selv at dokumentere sin ret.
For så vidt angår omfanget af personoplysninger, der blev opbevaret for længe i AX 2.5-systemet, bemærkes, at tiltalte oprindeligt selv oplyste over for Datatilsynet, at der var tale om i alt 392.630 kunde-id'er.
Tiltalte har imidlertid efterfølgende gjort gældende, at der reelt forelå flere dobbeltregistreringer end først antaget samt en lang række af yderligere fejlkilder, og at antallet af registreringer således er højere end det faktiske antal identificerbare kunder i systemet.
Da oplysningerne er slettet, har det ikke under sagen været muligt at få fastlagt det præcise omfang, men anklagemyndigheden har oplyst, at der skønsmæssigt er fratrukket ca. 10 procent, hvilket er baggrunden for det i tiltalen anførte tal på "ikke under 350.000" tidligere kunder.
Retten bemærker hertil, at det efter bevisførelsen ikke kan udelukkes, at antallet af kunder var noget lavere end oprindeligt anslået af tiltalte selv, og at denne usikkerhed må komme tiltalte til gode.
Retten finder imidlertid, at denne usikkerhed er tilgodeset ved det af anklagemyndigheden foretagne forsigtige skøn, og finder det således på baggrund af bevisførelsen ubetænkeligt at lægge til grund, at der blev opbevaret et meget betydeligt antal og af en størrelsesorden på ca. 350.000 kundeoplysninger i AX 2.5-systemet, der burde have været anonymiseret eller slettet senest pr. 25. maj 2018.
Retten finder det endvidere bevist, at tiltalte var databehandler og ikke dataansvarlig for de tre Selskab2, der blev drevet på selvstændig franchisebasis, og hvis kundedata tillige blev behandlet i AX 2.5-systemet.
Det bemærkes hertil, at det efter forklaringen fra økonomichef Vidne2 kan lægges til grund, at alle ældre registreringer i AX 2.5-systemet efter tilsynsbesøget blev slettet uden at inddrage de anførte tre butikker i beslutningen herom, ligesom der først ultimo januar 2019 blev indgået særskilte databehandlingsaftaler med disse butikker.
På den baggrund har tiltalte i hvert fald frem til indgåelsen af databehandlingsaftalerne været dataansvarlig i databeskyttelsesforordningens forstand, jf. herved art. 4, nr. 7, og der kan herefter ikke indrømmes tiltalte noget yderligere "fradrag" for de kundeoplysninger i AX 2.5-systemet, der har hidrørt fra køb i disse tre selvstændige Selskab2.
Efter forklaringen fra erhvervsjuridisk fagchef i Dansk Erhverv Vidne6 lægges det til grund, at IT-chef Person3s oplysning om AX 2.5 under tilsynsbesøget umiddelbart kom som en overraskelse for de øvrige tilstedeværende deltagere.
Denne observation underbygges af, at det efter forklaringen fra økonomichef Vidne2 og chefjurist Vidne1 kan lægges til grund, at de efterfølgende rettede henvendelse til et eksternt advokatfirma med henblik på at få afklaret det databeskyttelsesretlige grundlag for udfasede datasystemer, og at de herunder blev gjort bekendt med, at eventuelle ældre registreringer heri ligeledes skulle slettes.
Efter rettens vurdering bærer dette reaktionsmønster tydeligt præg af, at de manglende sletninger i AX 2.5-systemet navnlig havde karakter af en forglemmelse som følge af en for ensidig fokusering på de aktive datasystemer under det omfattende compliancearbejde med virksomhedens datasystemer hen over efteråret 2017 og foråret 2018.
Retten finder, at tiltalte burde have tilrettelagt compliancearbejdet på en måde, der tog højde for at implementere sletteprocedurer i samtlige relevante datasystemer, hvori der blev opbevaret personoplysninger, uanset om disse var i aktiv brug eller ej, og at denne undladelse kan tilregnes tiltalte som uagtsom.
Det er derimod ikke bevist, at tiltalte forsætligt undlod at implementere de nødvendige sletteprocedurer i AX 2.5-systemet. Der er herunder ikke holdepunkter for som påstået af anklagemyndigheden at statuere forsæt ud fra betragtninger om dolus eventualis.
Tiltalte er derfor alene skyldig i uagtsomt at have forset sig som beskrevet i tiltalen vedrørende overtrædelse af databeskyttelsesforordningens art. 5, stk. 1, litra e.
Særligt for så vidt angår databeskyttelsesforordningens art. 5, stk. 2, hvorefter "[d]en dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«)" bemærkes, at det i en straffesag efter almindelige straffeprocessuelle principper uanset bestemmelsens ordlyd er anklagemyndigheden, der har bevisbyrden for, at bestemmelsen er overtrådt, jf. herved også EU's Charter om grundlæggende rettigheder art. 48, stk. 1.
Det ligger imidlertid fast, at tiltalte på datoen for tilsynsbesøget den 8. oktober 2018 ikke havde fastsat slettefrister eller udarbejdet retningslinjer for sletning i AX 2.5-systemet, ligesom retten, som anført ovenfor, har fundet tiltalte skyldig i at have overtrådt databeskyttelsesforordningens art. 5, stk. 1, litra e.
Herved er tiltalte eo ipso ansvarlig for ikke at have overholdt databeskyttelsesforordningens art. 5, stk. 2. Efter omstændighederne i sagen, og således som tiltalen er rejst hvorefter der er tidsmæssigt sammenfald mellem begge de påtalte overtrædelser har bestemmelsen imidlertid ingen selvstændig retlig betydning og er alene et formelt citeringsmæssigt anliggende.
Ad bødefastsættelsen Anklagemyndigheden har efter indstilling fra Datatilsynet nedlagt påstand om en bøde på 1,5 mio. kr. Efter oplysningerne fra anklagemyndigheden og Datatilsynet er den omsætningsmæssige ramme bag skønnet over bødens størrelse baseret på ikke blot tiltaltes omsætning, men den samlede omsætning for hele Selskab3-koncernen.
Der er i sagen alene rejst tiltale mod tiltalte, der er et datterselskab, og anklagemyndigheden har under sagen oplyst, at der ikke tillige er rejst tiltale imod moderselskabet, da der ikke var noget grundlag herfor. Det følger af anklageprincippet i retsplejelovens § 883, stk. 3, at retten ikke kan domfælde for noget forhold, der ikke omfattes af tiltalen.
Det vil stride mod princippet i denne bestemmelse at tillægge omstændigheder, der er knyttet til et andet retssubjekt, imod hvilket tiltale er undladt, betydning ved strafudmålingen i en skærpende retning.
Det gælder navnlig i en situation som den foreliggende, hvor tiltalte driver selvstændig detailvirksomhed, og hvor der således ikke er tale om, at moderselskabet har oprettet et datterselskab med det ene formål at henføre koncernens databehandling hertil.
Herefter og under hensyntagen til, at ordlyden i strafhjemlen i databeskyttelsesforordningens art. 83, stk. 5, henviser til "en virksomhed" findes der, uanset betragtning nr. 150 til forordningen, ikke grundlag for at basere bødeberegningen på koncernens samlede omsætning. Det fremgår af sagen, at tiltaltes omsætning var ca. en fjerdedel af koncernens samlede omsætning i regnskabsåret 2016/2017.
På denne baggrund, og da tiltalte som anført ovenfor alene er fundet skyldig i uagtsomt at have overtrådt databeskyttelsesforordningen, skal bødens størrelse være væsentligt lavere end anklagemyndighedens påstand.
Retten finder endvidere ikke, at anklagemyndigheden og Datatilsynet i formildende retning har taget behørigt hensyn til de formildende omstændigheder, der følger af databeskyttelsesforordningens art. 83, stk. 2, herunder at der er tale om en førstegangsovertrædelse af databeskyttelsesforordningen, at de omhandlede oplysninger var af en almindelig og ikke personfølsom karakter, at de befandt sig i et ældre og til dels udfaset system, der kun blev tilgået lejlighedsvist, at ingen registrerede har lidt nogen skade, og at overtrædelsen også efter Datatilsynets egen opfattelse alene var af formel karakter.
Herudover skal det endvidere med betydelig vægt indgå i vurderingen, at det er godtgjort, at tiltalte havde udfoldet ganske betydelige bestræbelser på at sikre, at virksomhedens mange datasystemer både IT-teknisk og juridisk var i overensstemmelse med databeskyttelsesforordningens ikke ukomplicerede regelsæt.
Retten har på den baggrund overvejet, hvorvidt overtrædelsen overstiger tærsklen mellem udtalelse af kritik der i retligt regi ville have karakter af en advarsel efter retsplejelovens § 900 eller om det efter omstændighederne er påkrævet at idømme tiltalte en bøde.
I lyset af databeskyttelsesforordningens overordnede strafudmålingsprincip om, at det skal sikres, at overtrædelser af forordningen imødegås med sanktioner, der er effektive, proportionale, og som har en afskrækkende virkning, finder retten imidlertid navnlig under hensyntagen til den betydelige datamængde, som tiltalte ikke havde fået anonymiseret eller slettet, og dermed det betydelige antal registrerede, overtrædelsen angår at tiltalte er hjemfalden til bødestraf.
Der er i forarbejderne til databeskyttelsesloven (lovforslag nr. 68 af 25. oktober 2017, pkt. 2.8.3.7) lagt op til en "væsentlig forøgelse" af bødeniveauet for overtrædelser af databeskyttelsesforordningens bestemmelser sammenlignet med hidtidig praksis, der i nævnte forarbejder (pkt. 2.8.1.4) angives til et niveau på mellem 2.000 og 25.000 kr., afhængigt af overtrædelsens karakter.
På den baggrund, og efter en samlet vurdering af alle de ovenfor anførte formildende omstændigheder, finder retten, at tiltalte skal idømmes en bøde på 100.000 kr., jf. herved databeskyttelsesforordningens artikel 83, stk. 2 og stk. 5, jf. stk. 9, jf. artikel 5, stk. 1, litra e, og stk. 2, jf. artikel 4, nr. 1 og artikel 6, jf. lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af behandling af personoplysninger og om fri udveksling af sådanne oplysninger § 41, stk. 1, nr. 4, jf. stk. 3, jf. stk. 6.
Thi kendes for ret
: Tiltalte, Tiltalte A/S, skal betale en bøde på 100.000 kr. Tiltalte skal betale sagens omkostninger. ::::::::::::::::::::::::::::::: Vestre Landsrets 11. afdelings
DOM
(dommerne Thomas Raaberg-Møller, Henrik Bjørnager Nielsen og Thomas Faust Ryborg (kst.) med domsmænd) Dato: 2. september 2025 Rettens sagsnr.: S–0364–21 Anklagemyndigheden mod Tiltalte A/S, (advokat Poul Gade og advokat Dan Bjerg Geary, Aarhus) Retten i Aarhus har den 12. februar 2021 afsagt dom i 1. instans (rettens nr. 133662/2020).
Påstande
Anklagemyndigheden har påstået domfældelse i overensstemmelse med byrettens bevisresultat, dog således at forholdet anses for begået med forsæt. Anklagemyndigheden har endvidere påstået skærpelse. Tiltalte, Tiltalte A/S, har påstået formildelse.
Supplerende oplysninger I relation til en eventuel bødefastsættelse har landsretten ved kendelse af 3. maj 2023 truffet afgørelse om præjudiciel forelæggelse for EU-Domstolen. Det hedder i kendelsens konklusion: ”… Landsretten har på den baggrund besluttet at udsætte behandlingen af ankestraffesagen med henblik på præjudiciel forelæggelse for EU-Domstolen i medfør af artikel 267 TEUF.
T h i b e s t e m m e s: Vestre Landsret anmoder EU-Domstolen om at besvare følgende spørgsmål: 1.
Skal begrebet ”virksomhed” i artikel 83, stk. 4-6, i databeskyttelsesforordningen forstås som en virksomhed som omhandlet i artikel 101 og 102 i TEUF, jf. præambelbetragtning 150 i databeskyttelsesforordningen, og EU-Domstolens retspraksis inden for EU-konkurrencerettens område, således at begrebet ”virksomhed” omfatter enhver enhed, som udøver økonomisk virksomhed, uanset denne enheds retlige status og dens finansieringsmåde? 2.
Såfremt det første spørgsmål besvares bekræftende: Skal artikel 83, stk. 4-6, i databeskyttelsesforordningen fortolkes således, at der ved udmåling af en bøde til en virksomhed skal lægges vægt på den samlede globale årlige omsætning i den økonomiske enhed, som virksomheden måtte indgå i, eller alene på den samlede globale årlige omsætning i virksomheden selv? …” EU-Domstolen har den 13. februar 2025 afsagt dom i sag C-383/23.
I dommen præmisser og i dommens konklusion hedder det: ”… 17.
Den forelæggende ret ønsker med sine spørgsmål, som skal behandles samlet, nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 83, stk. 4-6, sammenholdt med 150. betragtning til denne forordning, skal fortolkes således, at begrebet »virksomhed«, der er indeholdt i disse bestemmelser, svarer til begrebet »virksomhed« som omhandlet i artikel 101 TEUF og 102 TEUF, således at når en dataansvarlig for personoplysninger, der er en virksomhed eller en del af en virksomhed, pålægges en bøde for overtrædelse af databeskyttelsesforordningen, skal bødens størrelse fastsættes på grundlag af en procentdel af den samlede globale årlige omsætning i det foregående regnskabsår for virksomheden som omhandlet i denne artikel 101 og denne artikel 102. 18.
Indledningsvis skal det bemærkes, at Domstolen allerede har haft anledning til at fremkomme med besvarelser af visse spørgsmål angående fortolkningen af databeskyttelsesforordningens artikel 83 i dom af 5. december 2023, Deutsche Wohnen (C-807/21, EU:C:2023:950, præmis 53-59), som blev afsagt efter afslutningen af den skriftlige forhandling i den foreliggende sag. 19.
Domstolen fastslog, at begrebet »virksomhed« som omhandlet i artikel 101 TEUF og 102 TEUF ikke har betydning for spørgsmålet om, hvorvidt og på hvilke betingelser en administrativ bøde kan pålægges en dataansvarlig, der er en juridisk person, i henhold til databeskyttelsesforordningens artikel 83, idet dette spørgsmål er udtømmende reguleret i denne forordnings artikel 58, stk. 2, og artikel 83, stk. 1-6 (dom af 5.12.2023, Deutsche Wohnen, C-807/21, EU:C:2023:950, præmis 53). 20.
Dette begreb er nemlig kun relevant ved fastsættelsen af størrelsen af den administrative bøde, der pålægges en dataansvarlig i henhold til databeskyttelsesforordningens artikel 83, stk. 4-6 (dom af 5.12.2023, Deutsche Wohnen, C-807/21, EU:C:2023:950, præmis 54). 21.
Det er i denne specifikke sammenhæng vedrørende beregningen af de administrative bøder, der pålægges for overtrædelser som omhandlet i databeskyttelsesforordningens artikel 83, stk. 4-6, at henvisningen i 150. betragtning til denne forordning til begrebet »virksomhed« som omhandlet i artikel 101 TEUF og 102 TEUF skal forstås (dom af 5.12.2023, Deutsche Wohnen, C807/21, EU:C:2023:950, præmis 55). 22.
Det skal i denne forbindelse fremhæves, at dette begreb med henblik på anvendelsen af konkurrencereglerne i artikel 101 TEUF og 102 TEUF omfatter enhver enhed, som udøver økonomisk virksomhed, uanset denne enheds retlige status og dens finansieringsmåde. Det betegner således en økonomisk enhed, også når denne økonomiske enhed juridisk set udgøres af flere fysiske eller juridiske personer.
Denne økonomiske enhed består af menneskelige, materielle og immaterielle ressourcer, der forfølger et økonomisk mål på lang sigt (dom af 5.12.2023, Deutsche Wohnen, C-807/21, EU:C:2023:950, præmis 56 og den deri nævnte retspraksis). 23.
Det fremgår således af databeskyttelsesforordningens artikel 83, stk. 4-6, der omhandler beregningen af administrative bøder for de overtrædelser, der er anført i disse stykker, at såfremt modtageren af den administrative bøde er en virksomhed eller en del af en virksomhed som omhandlet i artikel 101 TEUF og 102 TEUF, beregnes den administrative bødes maksimumsbeløb på grundlag af en procentdel af den pågældende virksomheds samlede globale årlige omsætning i det foregående regnskabsår (dom af 5.12.2023, Deutsche Wohnen, C-807/21, EU:C:2023:950, præmis 57). 24.
Der skal imidlertid sondres mellem fastsættelsen af dette maksimumsbeløb og selve beregningen af størrelsen af en bøde, som den kompetente tilsynsmyndighed skal pålægge for den eller de specifikke overtrædelser af databeskyttelsesforordningen, som denne bøde sanktionerer. 25.
Det følger således af databeskyttelsesforordningens artikel 83, stk. 1, at hver tilsynsmyndighed sikrer, at pålæggelse af administrative bøder i henhold til denne artikel 83 for overtrædelse af databeskyttelsesforordningen som omhandlet i artiklens stk. 4-6 i hver enkelt sag er effektiv, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning. 26.
Ud over, at disse tre betingelser skal overholdes, kræver databeskyttelsesforordningens artikel 83, stk. 2, at den kompetente tilsynsmyndighed ved afgørelsen om, hvorvidt der skal pålægges en administrativ bøde, og om den administrative bødes størrelse i hver enkelt sag tager behørigt hensyn til et vist antal faktorer. 27.
Blandt disse faktorer indgår i henhold til denne sidstnævnte bestemmelse bl.a. overtrædelsens karakter, alvor og varighed, antal registrerede, der er berørt, og omfanget af den skade, som de har lidt, om overtrædelsen blev begået forsætligt eller uagtsomt, de foranstaltninger, der er truffet af den dataansvarlige for personoplysningerne eller databehandleren af disse personoplysninger for at begrænse den lidte skade, denne dataansvarliges eller denne databehandlerens grad af ansvar og de kategorier af personoplysninger, der er berørt af overtrædelsen. 28.
De nævnte faktorer kendetegner enten den adfærd, der er udvist af den dataansvarlige eller af den databehandler, som er tiltalt for overtrædelser af visse bestemmelser i databeskyttelsesforordningen, eller selve disse overtrædelser.
De tjener således til at sikre, at hver af de nævnte overtrædelser bliver bedømt på grundlag af samtlige relevante individuelle omstændigheder, og at de formål, der forfølges med den i databeskyttelsesforordningen fastsatte sanktionsordning, bliver opfyldt. 29.
Selv om disse faktorer ikke henviser til begrebet virksomhed som omhandlet i artikel 101 TEUF og 102 TEUF, har Domstolen allerede fastslået, at kun en administrativ bøde, som tager hensyn ikke blot til samtlige de faktorer, der således kendetegner de konstaterede overtrædelser af databeskyttelsesforordningen, men tillige — i påkommende tilfælde — til bødemodtagerens reelle eller faktiske økonomiske formåen, kan opfylde de tre betingelser, der er fastsat i databeskyttelsesforordningens artikel 83, stk. 1, nemlig at bøden både skal være effektiv, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.
Ved bedømmelsen af disse betingelser skal der tages hensyn til, om denne bødemodtager er en del af en virksomhed som omhandlet i artikel 101 TEUF og 102 TEUF (jf. i denne retning dom af 5.12.2023, Deutsche Wohnen, C-807/21, EU:C:2023:950, præmis 58). 30.
Den fortolkning af databeskyttelsesforordningens artikel 83, der følger af den foreliggende doms præmis 25-29, gælder ligeledes, når de konstaterede overtrædelser af databeskyttelsesforordningen ikke sanktioneres med en administrativ bøde, men med en bøde, der pålægges af de kompetente nationale retter som strafferetlig sanktion. 31.
Som angivet i 151. betragtning til databeskyttelsesforordningen giver visse nationale retssystemer, herunder Kongeriget Danmarks, ikke mulighed for at pålægge administrative bøder som fastsat i databeskyttelsesforordningen. 32.
For at regulere dette tilfælde bestemmer databeskyttelsesforordningens artikel 83, stk. 9, at hvis en medlemsstats retssystem ikke giver mulighed for at pålægge administrative bøder, kan denne artikel 83 — som i den foreliggende sag — anvendes på en sådan måde, at den kompetente tilsynsmyndighed tager skridt til bøder, og de kompetente nationale domstole pålægger dem. 33.
Det er desuden præciseret i denne artikel 83, stk. 9, ligesom i 151. betragtning til denne forordning, at det er nødvendigt, at de pågældende retsmidler er effektive, og at deres virkning svarer til virkningen af administrative bøder, som pålægges af tilsynsmyndighederne, og at bøder under alle omstændigheder skal være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. 34.
Den omstændighed, at en bøde pålægges af en straffedomstol i forbindelse med en straffesag, indebærer imidlertid, at denne domstol på ethvert tidspunkt skal overholde de gældende strafferetlige regler, herunder nærmere bestemt de processuelle rettigheder, som den tiltalte person har, og det strafferetlige proportionalitetsprincip således som sikret ved Den Europæiske Unions charter om grundlæggende rettigheder. 35.
I denne henseende kræver databeskyttelsesforordningens artikel 83, som generaladvokaten har anført i punkt 74 i forslaget til afgørelse, at de kompetente tilsynsmyndigheder uden undtagelse skal sikre, at proportionalitetsprincippet overholdes ved beregningen af det faktisk pålagte bødebeløb, idet der sikres en rimelig balance mellem de krav, der følger af den almene interesse i beskyttelsen af personoplysninger, og kravene til beskyttelse af rettighederne for den dataansvarlige for sådanne oplysninger, databehandleren af disse oplysninger eller den virksomhed, som disse er en del af.
Det følger heraf, at en anvendelse af begrebet »virksomhed« som omhandlet i artikel 101 TEUF og 102 TEUF i forbindelse med gennemførelsen af databeskyttelsesforordningens artikel 83, stk. 4-6, ikke synes at støde imod principielle forhindringer, når overtrædelser af databeskyttelsesforordningen ikke sanktioneres med administrative bøder, men med bøder, der pålægges af straffedomstole. 36.
Henset til de ovenstående betragtninger skal de forelagte spørgsmål besvares med, at databeskyttelsesforordningens artikel 83, stk. 4-6, sammenholdt med 150. betragtning til denne forordning, skal fortolkes således, at begrebet »virksomhed«, der er indeholdt i disse bestemmelser, svarer til begrebet »virksomhed« som omhandlet i artikel 101 TEUF og 102 TEUF, således at når en dataansvarlig for personoplysninger, der er en virksomhed eller en del af en virksomhed, pålægges en bøde for overtrædelse af databeskyttelsesforordningen, skal bødens maksimumsbeløb fastsættes på grundlag af en procentdel af virksomhedens samlede globale årlige omsætning i det foregående regnskabsår.
Der skal ligeledes tages hensyn til begrebet »virksomhed« for at vurdere bødemodtagerens reelle eller faktiske økonomiske formåen og for således at efterprøve, om bøden både er effektiv, står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning. … På grundlag af disse præmisser kender Domstolen (Femte Afdeling) for ret: Artikel 83, stk. 4-6, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), sammenholdt med 150. betragtning til denne forordning, skal fortolkes således, at begrebet »virksomhed«, der er indeholdt i disse bestemmelser, svarer til begrebet »virksomhed« som omhandlet i artikel 101 TEUF og 102 TEUF, således at når en dataansvarlig for personoplysninger, der er en virksomhed eller en del af en virksomhed, pålægges en bøde for overtrædelse af forordning 2016/679, skal bødens maksimumsbeløb fastsættes på grundlag af en procentdel af virksomhedens samlede globale årlige omsætning i det foregående regnskabsår.
Der skal ligeledes tages hensyn til begrebet »virksomhed« for at vurdere bødemodtagerens reelle eller faktiske økonomiske formåen og for således at efterprøve, om bøden både er effektiv, står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning. …” Datatilsynet har den 11. juli 2025 afgivet en fornyet udtalelse om bødeudmålingen.
Tiltalte vedtog den 23. november 2018 et bødeforelæg på 2.000 kr. for overtrædelse af lov om godkendelse og syn af køretøjer og vedtog den 7. februar 2019 et bødeforelæg på 12.000 kr. for overtrædelse af bekendtgørelse om køre- og hviletider i vejtransport. Forklaringer Vidne1 har afgivet supplerende forklaring for landsretten. [FORKLARING UDELADT]
Landsrettens begrundelse og resultat
Skyldsspørgsmålet Tiltalte er ved byrettens dom fundet skyldig i tiltalen for så vidt angår ca. 350.000 tidligere kunder, idet byretten dog har fundet, at overtrædelsen alene kan tilregnes tiltalte som uagtsom.
Efter bevisførelsen, herunder navnlig forklaringerne fra chefjurist Vidne1 og IT-chef Vidne3, der var en del af den nedsatte styringsgruppe, lægges det til grund, at i hvert fald flere personer i styringsgruppen var bekendt med, at AX 2.5-systemet, hvor der ikke var implementeret sletteprocedurer og anonymiseringsprocedurer, fortsat eksisterede og lejlighedsvist blev benyttet.
Vidne3 har, foreholdt sin forklaring ifølge afhøringsrapport, herunder vedrørende et kontrolopslag på en kunde, som skulle have handlet i virksomheden for en del år siden, ifølge rapporten formentlig i 2010/2012, forklaret, at den pågældende kunde med sikkerhed ville være at finde i systemet, hvis kunden havde foretaget et køb i virksomheden på dette tidspunkt.
Vidne1 har blandt andet forklaret, at de i styringsgruppen godt kendte til, at det gamle AX 2.5-system fortsat var der, da systemet lejlighedsvist blev brugt til at foretage opslag i.
På denne baggrund, og da der i henseende til opbevaringens nødvendighed, jf. databeskyttelsesforordningens artikel 5, stk. 1, litra e, hverken efter underliggende lovgivning eller i øvrigt har været nogen berettiget tvivl om, at oplysningerne ikke måtte opbevares, finder landsretten, at overtrædelsen må tilregnes tiltalte som forsætlig.
Sanktionsfastsættelsen Det fremgår af forordningens præambel 150, at der med forordningen er tilsigtet en harmonisering af sanktioner, og af præambel 151 fremgår, at de kompetente nationale domstole bør tage hensyn til en anbefaling fra den tilsynsmyndighed, der har taget skridt til en bøde.
Endvidere skal de idømte bøder under alle omstændigheder være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.
Datatilsynet har i bødeindstillingen, som anklagemyndigheden har tilsluttet sig, taget udgangspunkt i hele Selskab3-koncernens nettoomsætning i 2018 på 6.942.652.000 kr. og har efter forordningen artikel 83, stk. 5, beregnet et såkaldt dynamisk bødeloft på 278 mio. kr. svarende til 4 % af koncernens nettoomsætning.
Datatilsynet har herefter under hensyn til en vurdering af alvorsgraden, jf. artikel 83, stk. 2, og hvor overtrædelsen er kategoriseret i den laveste alvorsgrad, fundet, at et grundbeløb for bøden passende kan fastsættes til 15.000.000 kr.
Datatilsynet har herefter på baggrund af en vurdering af henholdsvis skærpende og formildende omstændigheder og efter en helhedsvurdering indstillet en bøde på ikke under 1,5 mio. kr.
Datatilsynet har i forbindelse hermed anført, at Datatilsynet hele tiden har været bevidst om, at bøden set i forhold til koncernens omsætning er relativt lille, og at Datatilsynet har lagt stor vægt på oplysningernes karakter og på, at tiltalte ikke anvendte oplysningerne aktivt i den kommercielle forretning.
Under landsrettens behandling af sagen er der blevet stillet spørgsmål til EU-Domstolen om forståelsen af begrebet ”virksomhed” i databeskyttelsesforordningens artikel 83, stk. 46, og det er ved EU-Domstolens dom i sag C-383/23 fastslået, at begrebet ”virksomhed”, der er indeholdt i disse bestemmelser, skal forstås således, at når en dataansvarlig for personoplysninger, der er en virksomhed eller en del af en virksomhed, pålægges en bøde for overtrædelse af forordningen, skal bødens maksimumsbeløb fastsættes på grundlag af en procentdel af virksomhedens samlede globale årlige omsætning i det foregående regnskabsår.
Der skal ligeledes tages hensyn til begrebet ”virksomhed” for at vurdere bødemodtagerens reelle eller faktiske økonomiske formåen og for således at efterprøve, om bøden både er effektiv, står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning. Landsretten tiltræder på denne baggrund, at det forhold, at tiltalte har været en del af Selskab3-koncernen, skal indgå ved udmålingen af bøden.
Retsplejelovens § 883, stk. 3, angår tiltalen og dermed skyldspørgsmålet og ikke straffastsættelsen, og princippet i denne bestemmelse kan ikke føre til nogen anden vurdering. Landsretten finder endvidere ikke grundlag for at fastslå, at bødeindstillingen i øvrigt er i strid med EU-Domstolens dom, herunder dommens præmis 24 og 36, som er påberåbt af forsvaret.
Landsretten kan endvidere tiltræde, at bødeberegningen efter artikel 83 skal ske med udgangspunkt i nettoomsætningen for årsregnskabet for 2018, der således var det seneste offentliggjorte årsregnskab på tidspunktet for indgivelsen af politianmeldelse, og som afspejler den økonomiske situation i den periode, hvor overtrædelsen fandt sted, jf. herved også Østre Landsrets dom gengivet i U.2023.5579.
Herefter, og idet overtrædelsen er sket med forsæt, og da der i bødepåstanden er taget fornødent hensyn til de formildende omstændigheder, samt efter sagens omstændigheder i øvrigt finder landsretten, at bøden i medfør af de anførte bestemmelser, jf. tillige straffelovens § 89, passende kan fastsættes til 1,5 mio. kr.
Efter sagens forløb og under hensyn til sagens kompleksitet, herunder at sagen har været forelagt for EU-Domstolen, er der ikke grundlag for at nedsætte bøden som følge af lang sagsbehandlingstid. Med de anførte ændringer stadfæster landsretten dommen.
Thi kendes for ret
: Byrettens dom stadfæstes med den ændring, at bøden forhøjes til 1,5 mio. kr. Tiltalte skal betale sagens omkostninger for landsretten.