–

Deutsche Wohnen SE ved Rechtsanwälte O. Geiss, K. Mertens, N. Venn og T. Wybitul,

–

den tyske regering ved J. Möller og P.-L. Krüger, som befuldmægtigede,

–

den estiske regering ved M. Kriisa, som befuldmægtiget,

–

den nederlandske regering ved C.S. Schillemans, som befuldmægtiget,

–

den norske regering ved L.-M. Moen Jünge, M. Munthe-Kaas og T. Westhagen Edell, som befuldmægtigede,

–

Europa-Parlamentet ved G.C. Bartram og P. López-Carceller, som befuldmægtigede,

–

Rådet for Den Europæiske Union ved J. Bauerschmidt og K. Pleśniak, som befuldmægtigede,

–

Europa-Kommissionen ved A. Bouchagiar, F. Erlbacher, H. Kranenborg og G. Meessen, som befuldmægtigede,

1

Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 83, stk. 4-6, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, herefter »databeskyttelsesforordningen«).

2

Anmodningen er blevet indgivet i forbindelse med en tvist mellem Deutsche Wohnen SE (herefter »DW«) og Staatsanwaltschaft Berlin (anklagemyndigheden i Berlin, Tyskland) vedrørende en administrativ bøde, som DW er blevet pålagt i henhold til databeskyttelsesforordningens artikel 83 for overtrædelse af denne forordnings artikel 5, stk. 1, litra a), c) og e), artikel 6 og artikel 25, stk. 1.

3

Følgende fremgår af 9., 10., 11., 13., 74., 129. og 150. betragtning til databeskyttelsesforordningen:

[…]

[…]

[…]

[…]

4

Denne forordnings artikel 4 har følgende ordlyd:

»I denne forordning forstås ved:

[…]

[…]

[…]«

5

Forordningens artikel 58 med overskriften »Beføjelser« fastsætter følgende i stk. 2 og 4:

»2.   Hver tilsynsmyndighed har alle af følgende korrigerende beføjelser:

[…]

[…]

[…]

[…]

4.   Udøvelse af de beføjelser, der tillægges tilsynsmyndigheden i medfør af denne artikel, er underlagt de fornødne garantier, herunder effektive retsmidler og retfærdig procedure, der er fastsat i EU-retten eller medlemsstaternes nationale ret i overensstemmelse med [Den Europæiske Unions charter om grundlæggende rettigheder].«

6

Samme forordnings artikel 83 med overskriften »Generelle betingelser for pålæggelse af administrative bøder« har følgende ordlyd:

»1.   Hver tilsynsmyndighed sikrer, at pålæggelse af administrative bøder i henhold til denne artikel for overtrædelse af denne forordning som omhandlet i stk. 4, 5 og 6 i hver enkelt sag er effektiv, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning.

2.   Afhængigt af omstændighederne i hver enkelt sag pålægges administrative bøder i tillæg til eller i stedet for foranstaltninger som omhandlet i artikel 58, stk. 2, litra a)-h) og j). Når der træffes afgørelse om, hvorvidt der skal pålægges en administrativ bøde, og om den administrative bødes størrelse i hver enkelt sag, tages der behørigt hensyn til følgende:

3.   Hvis en dataansvarlig eller en databehandler forsætligt eller uagtsomt i forbindelse med de samme eller forbundne behandlingsaktiviteter overtræder flere bestemmelser i denne forordning, må den administrative bødes samlede størrelse ikke overstige beløbet for den alvorligste overtrædelse.

4.   Overtrædelse af følgende bestemmelser straffes i overensstemmelse med stk. 2 med administrative bøder på op til 10000000 EUR eller, hvis det drejer sig om en virksomhed, med op til 2% af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere:

[…]

5.   Overtrædelse af følgende bestemmelser straffes i overensstemmelse med stk. 2 med administrative bøder på op til 20000000 EUR eller, hvis det drejer sig om en virksomhed, med op til 4% af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere:

6.   Manglende overholdelse af et påbud fra tilsynsmyndigheden som omhandlet i artikel 58, stk. 2, straffes i overensstemmelse med nærværende artikels stk. 2 med administrative bøder på op til 20000000 EUR eller, hvis det drejer sig om en virksomhed, med op til 4% af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere.

7.   Uden at det berører tilsynsmyndighedernes korrigerende beføjelser i henhold til artikel 58, stk. 2, kan hver medlemsstat fastsætte regler om, hvorvidt og i hvilket omfang administrative bøder må pålægges offentlige myndigheder og organer, der er etableret i den pågældende medlemsstat.

8.   Tilsynsmyndighedens udøvelse af beføjelser i henhold til denne artikel skal være underlagt fornødne proceduremæssige garantier i overensstemmelse med EU-retten og medlemsstaternes nationale ret, bl.a. effektive retsmidler og retfærdig procedure.

[…]«

7

§ 41, stk. 1, første punktum, i Bundesdatenschutzgesetz (forbundslov om databeskyttelse) af 30. juni 2017 (BGBl. 2017 I, s. 2097) bestemmer, at medmindre andet er fastsat i denne lov, finder bestemmelserne i Gesetz über Ordnungswidrigkeiten (lov om administrative forseelser) af24. maj 1968 (BGBl. 1968 I, s. 481), som affattet ved bekendtgørelse af 19. februar 1987 (BGBl. 1987 I, s. 602), og som ændret ved lov af 19. juni 2020 (BGBl. 2020 I, s. 1350, herefter »OWiG«), anvendelse på overtrædelser som omhandlet i databeskyttelsesforordningens artikel 83, stk. 4-6.

8

OWiG’s § 30 med overskriften »Bøder over for juridiske personer og sammenslutninger af personer« bestemmer følgende:

»(1)   Når en person, der handler

har begået en strafbar handling eller en administrativ forseelse, hvorved forpligtelser, der påhviler den juridiske person eller sammenslutningen af personer, er blevet tilsidesat, eller den juridiske person eller sammenslutningen af personer er blevet eller var tilsigtet at blive beriget, kan den juridiske person eller sammenslutningen af personer pålægges en bøde.

[…]

(4)   Hvis den strafbare handling eller den administrative forseelse ikke giver anledning til indledning af en straffesag eller en administrativ bødesag, eller hvis sagen henlægges, eller der gives afkald på straf, kan bøden pålægges selvstændigt. Det kan ved lov fastsættes, at bøde ligeledes kan pålægges selvstændigt i andre tilfælde. Dog kan der ikke selvstændigt pålægges den juridiske person eller sammenslutningen af personer en bøde, når den strafbare handling eller den administrative forseelse af retlige grunde ikke kan straffes […]«

9

OWiG’s § 130 fastsætter følgende:

»(1)   Den, der i sin egenskab af indehaver af en bedrift eller en virksomhed forsætligt eller uagtsomt undlader at træffe de nødvendige tilsynsforanstaltninger med henblik på at hindre manglende opfyldelse i bedriften eller virksomheden af de forpligtelser, som påhviler indehaveren, og hvis misligholdelse kan sanktioneres med straf eller bøde, begår en administrativ forseelse, såfremt den manglende opfyldelse finder sted, selv om den kunne have været undgået eller i betydelig grad vanskeliggjort ved hjælp af et passende tilsyn. De nødvendige tilsynsforanstaltninger omfatter også udpegelse og omhyggelig udvælgelse af de ansvarlige for tilsynet samt kontrol med disse.

[…]

(3)   Såfremt den manglende opfyldelse af en forpligtelse kan sanktioneres med straf, kan den administrative forseelse straffes med en bøde på op til 1 mio. EUR. § 30, stk. 2, tredje punktum, finder anvendelse. Såfremt den manglende opfyldelse af forpligtelsen kan sanktioneres med bøde, fastsættes maksimumsbeløbet for den bøde, der pålægges for tilsidesættelsen af tilsynspligten, på grundlag af det maksimale bødebeløb, der kan pålægges for denne overtrædelse. […]«

10

DW er et børsnoteret ejendomsselskab, der er stiftet som et europæisk selskab og har hjemsted i Berlin (Tyskland). Selskabet ejer indirekte gennem aktier i forskellige selskaber ca. 163000 boligenheder og 3000 erhvervsenheder.

11

Ejerne af disse enheder er datterselskaber af DW, der benævnes »ejerselskaber«, og som driver de operationelle aktiviteter, mens DW varetager den overordnede ledelse af den koncern, som selskabet udgør sammen med bl.a. disse ejerselskaber. Ejerselskaberne udlejer de erhvervs- og boligenheder, som administreres af andre af koncernens selskaber, såkaldte serviceselskaber.

12

DW og de koncernselskaber, som det leder, behandler i forbindelse med deres forretningsaktiviteter personoplysninger om lejerne i erhvervs- og boligenhederne, som f.eks. identitetsdokumentation, skatte-, social- og sygeforsikringsoplysninger samt oplysninger om tidligere lejemål.

13

Den 23. juni 2017 gjorde Berliner Beauftragte für den Datenschutz (tilsynsmyndigheden i Berlin, Tyskland, herefter »tilsynsmyndigheden«) i forbindelse med et tilsyn på stedet DW opmærksom på, at dets koncernselskaber lagrede dokumenter, der indeholdt personoplysninger om lejere, i et elektronisk arkiveringssystem, som ikke gjorde det muligt at fastslå, om lagringen var nødvendig, og sikre, at oplysninger, der ikke længere var nødvendige, blev slettet.

14

Tilsynsmyndigheden anmodede DW om at slette disse dokumenter fra sit elektroniske arkiveringssystem senest ved udgangen af 2017. Som svar på denne anmodning oplyste DW, at det af tekniske og juridiske grunde ikke var muligt at slette dokumenterne.

15

Efter drøftelser mellem DW og tilsynsmyndigheden om muligheden for at slette de omhandlede dokumenter meddelte DW myndigheden, at det havde til hensigt at indføre et nyt lagringsystem, som skulle erstatte det, der indeholdt disse dokumenter.

16

Den 5. marts 2019 gennemførte tilsynsmyndigheden et tilsyn i DW’s koncernhovedkontor. I forbindelse med dette tilsyn meddelte DW myndigheden, at det omtvistede elektroniske arkiveringssystem allerede var blevet taget ud af drift, og at overførslen af oplysningerne til det nye lagringssystem var umiddelbart forestående.

17

Ved afgørelse af 30. oktober 2019 pålagde tilsynsmyndigheden DW en administrativ bøde på 14385000 EUR for forsætlig overtrædelse af databeskyttelsesforordningens artikel 5, stk. 1, litra a), c) og e), og artikel 25, stk. 1 (herefter »den omhandlede afgørelse«). Ved denne afgørelse pålagde myndigheden ligeledes DW 15 andre bøder på mellem 3000 og 17000 EUR for overtrædelse af databeskyttelsesforordningens artikel 6, stk. 1.

18

I den omhandlede afgørelse anførte tilsynsmyndigheden nærmere bestemt, at DW mellem den 25. maj 2018 og den 5. marts 2019 forsætligt havde undladt at træffe de nødvendige foranstaltninger med henblik på at muliggøre regelmæssig sletning af lejeres personoplysninger, der ikke længere var nødvendige, eller som af anden grund fejlagtigt var blevet lagret. Myndigheden anførte ligeledes, at DW var fortsat med at lagre personoplysninger om mindst 15 mere præcist identificerede lejere, uden at det var nødvendigt.

19

DW anlagde sag til prøvelse af denne afgørelse ved Landgericht Berlin (den regionale ret i første instans i Berlin, Tyskland). Denne ret henlagde sagen, idet den fandt, at den omhandlede afgørelse var behæftet med så alvorlige mangler, at den ikke kunne danne grundlag for pålæggelse af en bøde.

20

Den regionale ret i første instans anførte bl.a., at muligheden for at pålægge en juridisk person en administrativ bøde er udtømmende reguleret ved OWiG’s § 30, der i medfør af § 41, stk. 1, i forbundsloven om databeskyttelse finder anvendelse på de overtrædelser, der er omhandlet i databeskyttelsesforordningens artikel 83, stk. 4-6. Ifølge OWiG’s § 30 kan en administrativ forseelse imidlertid kun fastslås i forhold til en fysisk person og ikke i forhold til en juridisk person. Desuden kan den juridiske person alene tilregnes handlinger, der er begået af medlemmer af dens organer eller af dens repræsentanter. Selv om § 30, stk. 4, tillader, at der under visse omstændigheder indledes en selvstændig administrativ bødesag over for en juridisk person, kræves det ikke desto mindre også i denne situation, at der kan fastslås at foreligge en administrativ forseelse i forhold til medlemmer af den pågældende juridiske persons organer eller dens repræsentanter.

21

Staatsanwaltschaft Berlin (anklagemyndigheden i Berlin) har iværksat appel til prøvelse af denne afgørelse ved Kammergericht Berlin (den regionale appeldomstol i Berlin, Tyskland), som er den forelæggende ret.

22

Den forelæggende ret ønsker for det første oplyst, om der i henhold til databeskyttelsesforordningens artikel 83 skal kunne pålægges en juridisk person en administrativ bøde, uden at overtrædelsen af denne forordning forudgående er tilregnet en identificeret fysisk person. I denne sammenhæng er den forelæggende ret bl.a. i tvivl om relevansen af begrebet »virksomhed« som omhandlet i artikel 101 TEUF og 102 TEUF.

23

Den forelæggende ret har i denne henseende forklaret, at den ordning med begrænset ansvar for juridiske personer, der findes i national ret, ifølge national retspraksis er i strid med den ordning med direkte ansvar for virksomheder, der er fastsat ved databeskyttelsesforordningens artikel 83. Ifølge denne retspraksis fremgår det bl.a. af ordlyden af databeskyttelsesforordningens artikel 83, som i overensstemmelse med princippet om EU-rettens forrang går forud for den nationale ordning, at virksomheder kan pålægges administrative bøder. Det er derfor ikke nødvendigt at knytte pålæggelsen af sådanne bøder til en culpøs handling foretaget af en juridisk persons organer eller ledere, i modsætning til, hvad der kræves i henhold til den nationale ret, der finder anvendelse.

24

Ifølge den forelæggende ret tillægger denne retspraksis, ligesom størstedelen af den nationale retslitteratur, nemlig begrebet »virksomhed« som omhandlet i artikel 101 TEUF og 102 TEUF, og dermed idéen om, at ansvaret tilregnes den økonomiske enhed, inden for hvilken den uønskede adfærd, f.eks. en konkurrencebegrænsende adfærd, er blevet udvist, en særlig betydning. Ifølge denne »funktionelle« opfattelse kan alle handlinger, der foretages af ansatte med beføjelse til at handle på vegne af en virksomhed, tilregnes virksomheden i forbindelse med administrativ forfølgning.

25

Såfremt Domstolen måtte fastslå, at en administrativ bøde skal kunne pålægges en juridisk person direkte, ønsker den forelæggende ret for det andet oplyst, hvilke kriterier der skal anvendes med henblik på at fastslå en juridisk persons ansvar som virksomhed for en overtrædelse af databeskyttelsesforordningen. Den ønsker navnlig oplyst, om en juridisk person kan pålægges en administrativ bøde i henhold til denne forordnings artikel 83, uden at det er godtgjort, at den overtrædelse af forordningen, som tilregnes denne juridiske person, er begået culpøst.

26

Under disse omstændigheder har Kammergericht Berlin (den regionale appeldomstol i Berlin) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

27

Efter retsmødet, som blev afholdt den 17. januar 2023, har DW ved skrivelse indleveret til Domstolens Justitskontor den 23. marts 2023 anmodet om genåbning af retsforhandlingernes mundtlige del i henhold til artikel 83 i Domstolens procesreglement.

28

DW har til støtte for sin anmodning i det væsentlige gjort gældende, at de svar, som den forelæggende ret har givet på den anmodning om uddybende oplysninger, som er blevet rettet til den i henhold til procesreglementets artikel 101, giver Domstolen urigtige oplysninger om de bestemmelser i national ret, der finder anvendelse. En udtømmende drøftelse af dette emne i retsmødet den 17. januar 2023 var imidlertid ikke mulig, eftersom parterne først havde fået kendskab til disse svar tre arbejdsdage før retsmødet. Denne frist gjorde det ikke muligt at forberede retsmødet grundigt.

29

Det er korrekt, at Domstolen i overensstemmelse med procesreglementets artikel 83 til enhver tid, efter at have hørt generaladvokaten, ved kendelse kan bestemme, at retsforhandlingernes mundtlige del skal genåbnes, navnlig hvis den finder, at sagen er utilstrækkeligt oplyst, eller såfremt en part, efter at denne del af retsforhandlingerne er afsluttet, er fremkommet med nye oplysninger vedrørende sagens faktiske omstændigheder, som er af afgørende betydning for Domstolens afgørelse, eller såfremt sagen bør afgøres på grundlag af et argument, som ikke har været drøftet af de berørte.

30

I det foreliggende tilfælde råder Domstolen imidlertid over alle de oplysninger, der er nødvendige for at træffe afgørelse, og den foreliggende sag skal ikke afgøres på grundlag af et argument, som ikke har været drøftet af de berørte. Desuden fremgår det ikke af anmodningen om genåbning af retsforhandlingernes mundtlige del, at der foreligger nye faktiske omstændigheder, som kan have afgørende betydning for den afgørelse, som Domstolen skal træffe i denne sag.

31

På denne baggrund finder Domstolen, efter at have hørt generaladvokaten, at det er ufornødent at genåbne retsforhandlingernes mundtlige del.

32

Med det første spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 58, stk. 2, og artikel 83, stk. 1-6, skal fortolkes således, at disse bestemmelser er til hinder for en national lovgivning, hvorefter en administrativ bøde kun kan pålægges en juridisk person i dennes egenskab af dataansvarlig for en overtrædelse som omhandlet i artikel 83, stk. 4-6, for så vidt som denne overtrædelse forud herfor er blevet tilregnet en identificeret fysisk person.

33

Indledningsvis bemærkes, at den tyske regering i sit skriftlige indlæg har udtrykt tvivl med hensyn til den forelæggende rets fortolkning af national ret, eftersom OWiG’s § 130 også gør det muligt at pålægge en juridisk person en bøde i andre tilfælde end dem, der er omhandlet i OWiG’s § 30. Disse to bestemmelser gør det i øvrigt muligt at pålægge en såkaldt anonym bøde i forbindelse med en procedure, der indledes over for virksomheden, uden at det er nødvendigt at identificere den fysiske person, der har begået den pågældende overtrædelse.

34

Som svar på en anmodning til den forelæggende ret om uddybende oplysninger, jf. denne doms præmis 28, har denne anført, at OWiG’s § 130 ikke har betydning for det første spørgsmål, der er forelagt.

35

Ifølge den forelæggende ret tager denne bestemmelse nemlig sigte på ejeren af en bedrift eller virksomhed, der skal have tilsidesat en tilsynspligt culpøst. Det er imidlertid yderst kompliceret og ofte umuligt at bevise en sådan tilsidesættelse af forpligtelser, der kan tilregnes virksomhedens ejer, og spørgsmålet om, hvorvidt en koncern kan kvalificeres som en »virksomhed« eller som »ejer af virksomheder« som omhandlet i den nævnte bestemmelse, er et omstridt debatemne på nationalt plan. Under alle omstændigheder er det første præjudicielle spørgsmål også relevant i denne sammenhæng.

36

Det skal bemærkes, at hvad angår fortolkningen af national ret skal Domstolen i princippet basere sig på de kvalificeringer, der følger af forelæggelsesafgørelsen. Domstolen er ifølge fast praksis nemlig ikke kompetent til at fortolke en medlemsstats nationale ret (dom af 26.1.2021, Hessischer Rundfunk, C-422/19 og C-423/19, EU:C:2021:63, præmis 31 og den deri nævnte retspraksis).

37

Det første præjudicielle spørgsmål skal derfor besvares ud fra den forudsætning, at en administrativ bøde i henhold til den nationale ret, der finder anvendelse, kun kan pålægges en juridisk person i dennes egenskab af dataansvarlig for en overtrædelse som omhandlet i databeskyttelsesforordningens artikel 83, stk. 4-6, på de betingelser, der er fastsat i OWiG’s § 30, således som beskrevet af den forelæggende ret.

38

Med henblik på at besvare dette første spørgsmål bemærkes indledningsvis, at de principper, forbud og forpligtelser, der er fastsat i databeskyttelsesforordningen, især er rettet mod de »dataansvarlige«, hvis ansvar, således som det er fremhævet i 74. betragtning til forordningen, omfatter enhver behandling af personoplysninger, der foretages af de dataansvarlige eller på de dataansvarliges vegne, og som i denne henseende har pligt til ikke alene at gennemføre passende og effektive foranstaltninger og til at kunne påvise, at deres behandlingsaktiviteter overholder forordningen, herunder effektiviteten af de foranstaltninger, der vedtages for at sikre denne overholdelse. Det er dette ansvar, der i tilfælde af en af de overtrædelser, der er omhandlet i forordningens artikel 83, stk. 4-6, udgør grundlaget for at pålægge den dataansvarlige en administrativ bøde i henhold til artikel 83.

39

I databeskyttelsesforordningens artikel 4, nr. 7), defineres begrebet »dataansvarlig« bredt som en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.

40

Formålet med denne brede definition af databeskyttelsesforordningens artikel 4, nr. 7) – der udtrykkeligt omfatter juridiske personer – er, i overensstemmelse med forordningens formål, at sikre en effektiv beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder samt bl.a. at sikre et højt beskyttelsesniveau for enhver persons ret til beskyttelse af personoplysninger vedrørende vedkommende (jf. i denne retning dom af 29.7.2019, Fashion ID, C-40/17, EU:C:2019:629, præmis 66, og af 28.4.2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, præmis 73 og den deri nævnte retspraksis).

41

Domstolen har i øvrigt allerede fastslået, at enhver fysisk eller juridisk person, der til eget formål udøver indflydelse på behandlingen af personoplysninger og grundet den omstændighed deltager i fastlæggelsen af formålene med og hjælpemidlerne til denne behandling, kan anses for dataansvarlig (jf. i denne retning dom af 10.7.2018, Jehovan todistajat, C-25/17, EU:C:2018:551, præmis 68).

42

Det følger således af ordlyden af og formålet med databeskyttelsesforordningens artikel 4, nr. 7), at EU-lovgiver med henblik på fastlæggelse af ansvar i henhold til denne forordning ikke har foretaget en sondring mellem fysiske og juridiske personer, idet ansvaret er underlagt den ene betingelse, at de fysiske eller juridiske personer alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.

43

Med forbehold af bestemmelserne i databeskyttelsesforordningens artikel 83, stk. 7, om offentlige myndigheder og organer, er enhver person, der opfylder denne betingelse – uanset om der er tale om en fysisk person, en juridisk person, en offentlig myndighed, en institution eller et andet organ – følgelig bl.a. ansvarlig for enhver overtrædelse, der er omhandlet i artikel 83, stk. 4-6, og som er begået af den pågældende selv eller på dennes vegne.

44

Hvad angår juridiske personer indebærer dette for det første, således som generaladvokaten i det væsentlige har anført i punkt 57-59 i forslaget til afgørelse, at disse ikke alene er ansvarlige for overtrædelser begået af deres repræsentanter, direktører eller forvaltere, men ligeledes af enhver anden person, der handler inden for rammerne af disse juridiske personers forretningsaktivitet og på deres vegne. For det andet skal de administrative bøder, der er fastsat i databeskyttelsesforordningens artikel 83, i tilfælde af sådanne overtrædelser kunne pålægges juridiske personer direkte, når disse kan kvalificeres som ansvarlige for den pågældende behandling.

45

Dernæst bemærkes, at databeskyttelsesforordningens artikel 58, stk. 2, præcist fastsætter de beføjelser, som tilsynsmyndighederne har med hensyn til vedtagelse af korrigerende foranstaltninger, uden at henvise til medlemsstaternes ret eller overlade medlemsstaterne en skønsmargen. For det første tager disse beføjelser, der i medfør af artikel 58, stk. 2, litra i), omfatter pålæggelse af en administrativ bøde, sigte på den dataansvarlige, og for det andet kan en sådan dataansvarlig, således som det fremgår af denne doms præmis 39, være såvel en fysisk person som en juridisk person. Hvad angår de materielle betingelser, som en tilsynsmyndighed skal overholde ved pålæggelsen af en sådan bøde, er disse fastsat præcist, og uden at medlemsstaterne er overladt en skønsmargen, i artikel 83, stk. 1-6.

46

Det følger således af en samlet læsning af databeskyttelsesforordningens artikel 4, nr. 7), artikel 83 og artikel 58, stk. 2, litra i), at en administrativ bøde for en overtrædelse som omhandlet i artikel 83, stk. 4-6, ligeledes kan pålægges juridiske personer, når de er dataansvarlige. Der er derimod ingen bestemmelse i databeskyttelsesforordningen, der gør det muligt at antage, at muligheden for at pålægge en juridisk person en administrativ bøde som dataansvarlig er betinget af en forudgående konstatering af, at denne overtrædelse er blevet begået af en identificeret fysisk person.

47

Det fremgår ganske vist af databeskyttelsesforordningens artikel 58, stk. 4, og artikel 83, stk. 8, sammenholdt med 129. betragtning til denne forordning, at tilsynsmyndighedens udøvelse af beføjelser i henhold til disse artikler skal være underlagt fornødne proceduremæssige garantier i overensstemmelse med EU-retten og medlemsstaternes nationale ret, bl.a. effektive retsmidler og retfærdig procedure.

48

Imidlertid betyder det forhold, at databeskyttelsesforordningen således giver medlemsstaterne mulighed for at fastsætte krav vedrørende den procedure, som tilsynsmyndighederne skal følge ved pålæggelse af en administrativ bøde, på ingen måde, at de – ud over sådanne krav af proceduremæssig karakter – også kan fastsætte yderligere materielle betingelser ud over dem, der er fastsat i artikel 83, stk. 1-6. Desuden bekræfter det forhold, at EU-lovgiver har sørget for udtrykkeligt at fastsætte denne mulighed, men ikke en mulighed for at fastsætte sådanne yderligere materielle betingelser, at EU-lovgiver ikke har overladt medlemsstaterne en skønsmargen i denne henseende. Disse materielle betingelser hører derfor udelukkende under EU-retten.

49

Ovenstående ordlydsfortolkning af databeskyttelsesforordningens artikel 58, stk. 2, og artikel 83, stk. 1-6, understøttes af formålet med denne forordning.

50

Det fremgår navnlig af 10. betragtning til databeskyttelsesforordningen, at bestemmelserne heri bl.a. har til formål at sikre et ensartet og højt niveau for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i EU og med henblik herpå at sikre en konsekvent og ensartet anvendelse af reglerne for beskyttelse af disse personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af sådanne oplysninger overalt i EU. Desuden fremhæves det i 11. og 129. betragtning til databeskyttelsesforordningen, at det med henblik på at sikre en ensartet anvendelse af denne forordning er nødvendigt at sikre, at tilsynsmyndighederne har tilsvarende beføjelser til at føre tilsyn med og sikre overholdelse af reglerne om beskyttelse af personoplysninger, og at de kan pålægge tilsvarende sanktioner ved overtrædelser af forordningen.

51

Det ville imidlertid være i strid med dette formål med databeskyttelsesforordningen, såfremt medlemsstaterne ensidigt og som forudsætning for at kunne pålægge en dataansvarlig, der er en juridisk person, en administrativ bøde i henhold til forordningens artikel 83, kunne kræve, at den pågældende overtrædelse forudgående er tilregnet eller kan tilregnes en identificeret fysisk person. Desuden risikerer et sådant yderligere krav endelig at svække effektiviteten og den afskrækkende virkning af de administrative bøder, der pålægges juridiske personer i deres egenskab af dataansvarlige, i strid med databeskyttelsesforordningens artikel 83, stk. 1.

52

I denne henseende bemærkes, at artikel 288, stk. 2, TEUF fastsætter, at en EU-forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat, hvilket, medmindre andet er bestemt, udelukker, at medlemsstaterne fastsætter interne bestemmelser med indvirkning på en sådan forordnings anvendelsesområde. Desuden har medlemsstaterne i medfør af de forpligtelser, der følger af EUF-traktaten, pligt til ikke at hindre den umiddelbare virkning, som er karakteristisk for forordninger. Navnlig kan de ikke vedtage en retsakt, hvorved en retsregels EU-retlige karakter og de heraf følgende retsvirkninger skjules for de retsundergivne (dom af 15.11.2012, Al-Aqsa mod Rådet og Nederlandene mod Al-Aqsa, C-539/10 P og C-550/10 P, EU:C:2012:711, præmis 86 og 87 og den deri nævnte retspraksis).

53

Henset til den forelæggende rets tvivl bemærkes endelig, at begrebet »virksomhed« som omhandlet i artikel 101 TEUF og 102 TEUF ikke har betydning for spørgsmålet om, hvorvidt og på hvilke betingelser en administrativ bøde kan pålægges en dataansvarlig, der er en juridisk person, i henhold til databeskyttelsesforordningens artikel 83, idet dette spørgsmål er udtømmende reguleret i denne forordnings artikel 58, stk. 2, og artikel 83, stk. 1-6.

54

Dette begreb er nemlig kun relevant ved fastsættelsen af størrelsen af den administrative bøde, der pålægges en dataansvarlig i henhold til databeskyttelsesforordningens artikel 83, stk. 4-6.

55

Som generaladvokaten har anført i punkt 45 i forslaget til afgørelse, er det i denne specifikke sammenhæng vedrørende beregningen af de administrative bøder, der pålægges for overtrædelser som omhandlet i databeskyttelsesforordningens artikel 83, stk. 4-6, at henvisningen i 150. betragtning til denne forordning til begrebet »virksomhed« som omhandlet i artikel 101 TEUF og 102 TEUF skal forstås.

56

Det skal i denne forbindelse fremhæves, at dette begreb med henblik på anvendelsen af konkurrencereglerne i artikel 101 TEUF og 102 TEUF omfatter enhver enhed, som udøver økonomisk virksomhed, uanset denne enheds retlige status og dens finansieringsmåde. Det betegner således en økonomisk enhed, også når denne økonomiske enhed juridisk set udgøres af flere fysiske eller juridiske personer. Denne økonomiske enhed består af menneskelige, materielle og immaterielle ressourcer, der forfølger et økonomisk mål på lang sigt (dom af 6.10.2021, Sumal, C-882/19, EU:C:2021:800, præmis 41 og den deri nævnte retspraksis).

57

Det fremgår således af databeskyttelsesforordningens artikel 83, stk. 4-6, der omhandler beregningen af administrative bøder for de overtrædelser, der er anført i disse stykker, at såfremt modtageren af den administrative bøde er en virksomhed eller en del af en virksomhed som omhandlet i artikel 101 TEUF og 102 TEUF, beregnes den administrative bødes maksimumsbeløb på grundlag af en procentdel af den pågældende virksomheds samlede globale årlige omsætning i det foregående regnskabsår.

58

Som generaladvokaten har anført i punkt 47 i forslaget til afgørelse, er det i sidste ende kun en administrativ bøde, hvis størrelse fastsættes på grundlag af bødemodtagerens reelle eller faktiske økonomiske formåen, og som tilsynsmyndigheden, hvad angår bødens størrelse, således pålægger med udgangspunkt i begrebet økonomisk enhed som omhandlet i den retspraksis, der er nævnt i denne doms præmis 56, der kan opfylde de tre betingelser, der er fastsat i databeskyttelsesforordningens artikel 83, stk. 1, nemlig at den både skal være effektiv, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.

59

Når en tilsynsmyndighed i medfør af sine beføjelser i henhold til databeskyttelsesforordningens artikel 58, stk. 2, beslutter at pålægge en dataansvarlig, som er en virksomhed eller en del af en virksomhed som omhandlet i artikel 101 TEUF og 102 TEUF, en administrativ bøde i henhold til forordningens artikel 83, skal denne myndighed derfor i henhold til sidstnævnte bestemmelse, sammenholdt med 150. betragtning til samme forordning, tage udgangspunkt i begrebet »virksomhed« som omhandlet i artikel 101 TEUF og 102 TEUF ved beregningen af de administrative bøder for de overtrædelser, der er omhandlet i artikel 83, stk. 4-6.

60

Henset til ovenstående betragtninger skal det første spørgsmål besvares med, at databeskyttelsesforordningens artikel 58, stk. 2, litra i), og artikel 83, stk. 1-6, skal fortolkes således, at disse bestemmelser er til hinder for en national lovgivning, hvorefter en administrativ bøde kun kan pålægges en juridisk person i dennes egenskab af dataansvarlig for en overtrædelse som omhandlet i artikel 83, stk. 4-6, for så vidt som denne overtrædelse forud herfor er blevet tilregnet en identificeret fysisk person.

61

Med det andet spørgsmål, som er stillet for det tilfælde, at det første spørgsmål besvares bekræftende, ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 83 skal fortolkes således, at en administrativ bøde kun kan pålægges i henhold til denne bestemmelse, hvis det godtgøres, at den dataansvarlige, som både er en juridisk person og en virksomhed, forsætligt eller uagtsomt har begået en overtrædelse som omhandlet i denne artikels stk. 4-6.

62

I denne henseende bemærkes, at det fremgår af databeskyttelsesforordningens artikel 83, stk. 1, at de administrative bøder skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning. Derimod er det ikke udtrykkeligt angivet i databeskyttelsesforordningens artikel 83, at de overtrædelser, der er omhandlet i denne artikels stk. 4-6, kun kan straffes med en administrativ bøde, hvis de er begået forsætligt eller i det mindste uagtsomt.

63

Den tyske, den estiske og den norske regering samt Rådet for Den Europæiske Union har heraf bl.a. udledt, at EU-lovgiver har haft til hensigt at overlade medlemsstaterne en vis skønsmargen ved gennemførelsen af databeskyttelsesforordningens artikel 83, der gør det muligt for dem at fastsætte, at der kan pålægges administrative bøder i henhold til denne bestemmelse, efter omstændighederne uden at det er godtgjort, at den overtrædelse af databeskyttelsesforordningen, der straffes med den pågældende bøde, er begået forsætligt eller uagtsomt.

64

En sådan fortolkning af databeskyttelsesforordningens artikel 83 kan ikke tiltrædes.

65

Som det er blevet fastslået i denne doms præmis 45 og 48, hører de materielle betingelser, som en tilsynsmyndighed skal overholde, når den pålægger en dataansvarlig en administrativ bøde, udelukkende under EU-retten, idet disse betingelser er fastsat præcist, og uden at medlemsstaterne er overladt en skønsmargen, i databeskyttelsesforordningens artikel 83, stk. 1-6 (jf. ligeledes dom af 5.12.2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:XXX, præmis 64-70).

66

Hvad angår de nævnte betingelser bemærkes, at databeskyttelsesforordningens artikel 83, stk. 2, opregner de forhold, på baggrund af hvilke tilsynsmyndigheden pålægger den dataansvarlige en administrativ bøde. Blandt disse forhold nævnes i denne bestemmelses litra b), at der tages hensyn til, »hvorvidt overtrædelsen blev begået forsætligt eller uagtsomt«. Derimod henvises der i ingen af de forhold, der er opregnet i den nævnte bestemmelse, til en eventuel mulighed for at drage den dataansvarlige til ansvar, hvis denne ikke har handlet culpøst.

67

Databeskyttelsesforordningens artikel 83, stk. 2, skal desuden sammenholdes med denne artikels stk. 3, der har til formål at fastsætte konsekvenserne af tilfælde af kumulerede overtrædelser af denne forordning, og som bestemmer, at »[h]vis en dataansvarlig eller en databehandler forsætligt eller uagtsomt i forbindelse med de samme eller forbundne behandlingsaktiviteter overtræder flere bestemmelser i denne forordning, må den administrative bødes samlede størrelse ikke overstige beløbet for den alvorligste overtrædelse«.

68

Det følger således af ordlyden af databeskyttelsesforordningens artikel 83, stk. 2, at det kun er overtrædelser af denne forordnings bestemmelser, der er begået culpøst af den dataansvarlige, dvs. overtrædelser begået forsætligt eller uagtsomt, der kan føre til, at denne pålægges en administrativ bøde i henhold til denne artikel.

69

Den almindelige opbygning af og formålet med databeskyttelsesforordningen understøtter denne fortolkning.

70

For det første har EU-lovgiver fastsat et sanktionssystem, der gør det muligt for tilsynsmyndighederne at pålægge de sanktioner, som efter omstændighederne i hvert enkelt tilfælde er de mest hensigtsmæssige.

71

Databeskyttelsesforordningens artikel 58 bestemmer nemlig i stk. 2, litra i), at tilsynsmyndighederne kan pålægge administrative bøder i henhold til denne forordnings artikel 83 »i tillæg til eller i stedet for« de andre korrigerende beføjelser, der er opregnet i artikel 58, stk. 2, såsom advarsler, udtalelse af kritik og påbud. På samme måde anføres det i 148. betragtning til forordningen bl.a., at tilsynsmyndighederne, når der er tale om en mindre overtrædelse, eller hvis den administrative bøde, der kunne blive pålagt, ville udgøre en uforholdsmæssig stor byrde for en fysisk person, kan afholde sig fra at pålægge en sådan bøde og i stedet udstede en irettesættelse.

72

For det andet har databeskyttelsesforordningens bestemmelser, således som det er blevet anført i denne doms præmis 50, bl.a. til formål at sikre et ensartet og højt niveau for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i EU og med henblik herpå at sikre en konsekvent og ensartet anvendelse af reglerne for beskyttelse af disse personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af sådanne oplysninger overalt i EU. Desuden skal tilsynsmyndighederne med henblik på at sikre en ensartet anvendelse af denne forordning have tilsvarende beføjelser til at føre tilsyn med og sikre overholdelse af reglerne om beskyttelse af personoplysninger, således at de kan pålægge tilsvarende sanktioner ved overtrædelser af forordningen.

73

Den omstændighed, at der findes en sanktionsordning, der – når de særlige omstændigheder i den enkelte sag begrunder det – gør det muligt at pålægge en administrativ bøde i henhold til databeskyttelsesforordningens artikel 83, skaber et incitament for de dataansvarlige og databehandlerne til at overholde denne forordning. De administrative bøder bidrager på grund af deres afskrækkende virkning til at styrke beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger og udgør derfor et centralt element til at sikre overholdelsen af disse personers rettigheder i overensstemmelse med forordningens formål om at sikre et højt beskyttelsesniveau for sådanne personer i forbindelse med behandling af personoplysninger.

74

Med henblik på at sikre et sådant højt beskyttelsesniveau har EU-lovgiver imidlertid ikke fundet det nødvendigt at fastsætte pålæggelse af administrative bøder, når der ikke foreligger skyld. Henset til den omstændighed, at databeskyttelsesforordningen tager sigte på et beskyttelsesniveau, der både er tilsvarende og ensartet, og at den med henblik herpå skal anvendes på en ensartet måde i hele EU, ville det være i strid med dette formål at give medlemsstaterne mulighed for at fastsætte en sådan ordning for pålæggelse af en bøde i henhold til forordningens artikel 83. En sådan valgfrihed ville desuden kunne fordreje konkurrencen mellem de erhvervsdrivende i EU, hvilket ville være i strid med de formål, som EU-lovgiver har udtrykt i bl.a. 9. og 13. betragtning til forordningen.

75

Det skal følgelig fastslås, at databeskyttelsesforordningens artikel 83 ikke gør det muligt at pålægge en administrativ bøde for en overtrædelse som omhandlet i denne artikels stk. 4-6, uden at det er godtgjort, at denne overtrædelse er begået forsætligt eller uagtsomt af den dataansvarlige, og at det følgelig er en betingelse for pålæggelse af en sådan bøde, at der foreligger en culpøs overtrædelse.

76

I denne henseende skal det desuden med hensyn til spørgsmålet om, hvorvidt en overtrædelse er blevet begået forsætligt eller uagtsomt og derfor kan sanktioneres med en administrativ bøde i medfør af databeskyttelsesforordningens artikel 83, præciseres, at en dataansvarlig kan sanktioneres for en adfærd, der er omfattet af denne forordnings anvendelsesområde, når den pågældende ikke kunne være udvidende om, at vedkommendes adfærd udgjorde en overtrædelse, uanset om denne dataansvarlige måtte være klar over, at vedkommende hermed overtrådte databeskyttelsesforordningens bestemmelser (jf. analogt dom af 18.6.2013, Schenker & Co. m.fl., C-681/11, EU:C:2013:404, præmis 37 og den deri nævnte retspraksis, og domme af 25.3.2021, Lundbeck mod Kommissionen, C-591/16 P, EU:C:2021:243, præmis 156, og Arrow Group og Arrow Generics mod Kommissionen, C-601/16 P, EU:C:2021:244, præmis 97).

77

Det skal endvidere præciseres, at hvis den dataansvarlige er en juridisk person, er det ikke en betingelse for at anvende databeskyttelsesforordningens artikel 83, at der foreligger en handling begået af den juridiske persons ledelsesorgan, end ikke at dette har kendskab til en sådan handling (jf. analogt dom af 7.6.1983, Musique Diffusion française m.fl. mod Kommissionen,100/80-103/80, EU:C:1983:158, præmis 97, og af 16.2.2017, Tudapetrol Mineralölerzeugnisse Nils Hansen mod Kommissionen, C-94/15 P, EU:C:2017:124, præmis 28 og den deri nævnte retspraksis).

78

Henset til ovenstående betragtninger skal det andet spørgsmål besvares med, at databeskyttelsesforordningens artikel 83 skal fortolkes således, at en administrativ bøde kun kan pålægges i henhold til denne bestemmelse, hvis det godtgøres, at den dataansvarlige, som både er en juridisk person og en virksomhed, forsætligt eller uagtsomt har begået en overtrædelse som omhandlet i denne artikels stk. 4-6.

79

Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

På grundlag af disse præmisser kender Domstolen (Store Afdeling) for ret: