1.

Den foreliggende anmodning om præjudiciel afgørelse giver Domstolen anledning til at tage stilling til, under hvilke betingelser en juridisk person kan pålægges en administrativ bøde for overtrædelse af forordning (EU) 2016/679 ( 2 ).

2.

Det drejer sig navnlig om at fastslå:

3.

Følgende fremgår af 74. betragtning:

»Der bør fastsættes bestemmelser om den dataansvarliges ansvar, herunder erstatningsansvar, for enhver behandling af personoplysninger, der foretages af den dataansvarlige eller på den dataansvarliges vegne. Den dataansvarlige bør navnlig have pligt til at gennemføre passende og effektive foranstaltninger og til at påvise, at behandlingsaktiviteter overholder denne forordning, herunder foranstaltningernes effektivitet. Disse foranstaltninger bør tage højde for behandlingens karakter, omfang, sammenhæng og formål og risikoen for fysiske personers rettigheder og frihedsrettigheder.«

4.

150. betragtning har følgende ordlyd:

»For at styrke og harmonisere de administrative sanktioner for overtrædelse af denne forordning bør hver tilsynsmyndighed have beføjelse til at pålægge administrative bøder. Denne forordning bør angive overtrædelser og maksimumsbeløb og kriterier for fastsættelse af de tilknyttede administrative bøder, der bør bestemmes af den kompetente tilsynsmyndighed i hvert enkelt tilfælde under hensyntagen til alle relevante omstændigheder i den specifikke situation og med behørig hensyntagen til karakteren, alvoren og varigheden af overtrædelsen og dens konsekvenser og de foranstaltninger, der er truffet for at sikre overholdelse af forpligtelserne i henhold til denne forordning og for at forebygge eller begrænse følgerne af overtrædelsen. Når en virksomhed pålægges administrative bøder, forstås en virksomhed i denne forbindelse som en virksomhed som omhandlet i artikel 101 [TEUF] og 102 […] TEUF. […] Sammenhængsmekanismen kan også anvendes til at fremme konsekvent anvendelse af administrative bøder […]«

5.

Artikel 4 (»Definitioner«) fastsætter:

»I denne forordning forstås ved:

[…]

[…]

[…]«

6.

Artikel 58 (»Beføjelser«), stk. 2, bestemmer:

»Hver tilsynsmyndighed har alle af følgende korrigerende beføjelser:

[…]

[…]«

7.

Artikel 83 (»Generelle betingelser for pålæggelse af administrative bøder«) har følgende affattelse:

»1.   Hver tilsynsmyndighed sikrer, at pålæggelse af administrative bøder i henhold til denne artikel for overtrædelse af denne forordning som omhandlet i stk. 4, 5 og 6 i hver enkelt sag er effektiv, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning.

2.   Afhængigt af omstændighederne i hver enkelt sag pålægges administrative bøder i tillæg til eller i stedet for foranstaltninger som omhandlet i artikel 58, stk. 2, litra a)-h) og j). Når der træffes afgørelse om, hvorvidt der skal pålægges en administrativ bøde, og om den administrative bødes størrelse i hver enkelt sag, tages der behørigt hensyn til følgende:

3.   Hvis en dataansvarlig eller en databehandler forsætligt eller uagtsomt i forbindelse med de samme eller forbundne behandlingsaktiviteter overtræder flere bestemmelser i denne forordning, må den administrative bødes samlede størrelse ikke overstige beløbet for den alvorligste overtrædelse.

4.   Overtrædelse af følgende bestemmelser straffes i overensstemmelse med stk. 2 med administrative bøder på op til 10000000 EUR, eller hvis det drejer sig om en virksomhed, med op til 2% af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere […].

5.   Overtrædelse af følgende bestemmelser straffes i overensstemmelse med stk. 2 med administrative bøder på op til 20000000 EUR, eller hvis det drejer sig om en virksomhed, med op til 4% af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere:

[…]

6.   Manglende overholdelse af et påbud fra tilsynsmyndigheden som omhandlet i artikel 58, stk. 2, straffes i overensstemmelse med nærværende artikels stk. 2 med administrative bøder på op til 20000000 EUR, eller hvis det drejer sig om en virksomhed, med op til 4% af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere.

[…]

8.   Tilsynsmyndighedens udøvelse af beføjelser i henhold til denne artikel skal være underlagt fornødne proceduremæssige garantier i overensstemmelse med EU-retten og medlemsstaternes nationale ret, bl.a. effektive retsmidler og retfærdig procedure.

[…]«

8.

Det følger af § 9, stk. 1, at en person, som handler i egenskab af a) et organ (eller et medlem af det pågældende organ) med beføjelse til at repræsentere en juridisk person, b) et medlem med beføjelse til at repræsentere en sammenslutning af personer med rets- og handleevne, eller c) en legal repræsentant for tredjemand, er underlagt enhver lov, hvorefter de særlige personlige funktioner, forhold eller omstændigheder kan lægges til grund for en mulig sanktion, selv om de pågældende omstændigheder ikke kan tilregnes vedkommende, men derimod den repræsenterede person.

9.

I henhold til § 9, stk. 2, finder ovenstående ligeledes anvendelse i tilfælde, hvor indehaveren af et foretagende (en virksomhed) helt eller delvist betror en anden person ledelsen heraf eller – under dennes eget ansvar – udførelsen af de funktioner, der tilkommer indehaveren.

10.

§ 30, stk. 1, giver mulighed for at pålægge en juridisk person en administrativ bøde, når den fysiske person, som repræsenterer eller driver den, eller som er ansvarlig for ledelsen heraf, har begået en strafbar lovovertrædelse eller ikke har opfyldt de forpligtelser, der påhviler den juridiske person.

11.

I henhold til § 30, stk. 4, kan en juridisk person kun pålægges en selvstændig bøde, såfremt der slet ikke er indledt nogen sag mod medlemmet af den juridiske persons ledende organer eller dens repræsentant, eller hvis en sådan sag er indledt, at den indstilles.

12.

Det bestemmes i § 130, stk. 1, at den, der i sin egenskab af indehaver af en bedrift eller en virksomhed forsætligt eller uagtsomt undlader at træffe de nødvendige tilsynsforanstaltninger med henblik på at hindre, at der inden for bedriften eller virksomheden finder en manglende opfyldelse sted af de forpligtelser, som påhviler indehaveren, og hvis misligholdelse kan sanktioneres med straf eller bøde, begår en administrativ overtrædelse, såfremt den manglende opfyldelse kunne have været undgået eller vanskeliggjort ved hjælp af passende tilsynsforanstaltninger, herunder udpegelse og omhyggelig udvælgelse af de ansvarlige for tilsynet samt kontrol med disse.

13.

Deutsche Wohnen SE (herefter »Deutsche Wohnen«) er en børsnoteret ejendomsvirksomhed med hjemsted i Berlin (Tyskland). Den ejer gennem aktier indirekte ca. 163000 boligenheder og 3000 erhvervsenheder.

14.

Ejerne af disse enheder er datterselskaber, som er knyttet til Deutsche Wohnen (»ejerselskaber«), og som driver den operative forretning, mens Deutsche Wohnen varetager koncernens overordnede ledelse. Ejerselskaberne udlejer bolig- og erhvervsenhederne, som administreres af andre af koncernens selskaber, såkaldte serviceselskaber.

15.

I forbindelse med sin forretningsaktivitet behandler Deutsche Wohnen og koncernselskaberne personoplysninger om lejerne af ejendommene. Det drejer sig navnlig om identitetsdokumentation, skatte-, social- og sygeforsikringsoplysninger samt oplysninger om tidligere lejemål.

16.

Den 23. juni 2017 gjorde Berliner Beauftragte für den Datenschutz (Berlins databeskyttelsesmyndighed, herefter »databeskyttelsesmyndigheden«) i forbindelse med en kontrol på stedet Deutsche Wohnen opmærksom på, at dens koncernselskaber lagrede personoplysninger om lejere i et elektronisk arkivsystem, som ikke gav mulighed for at fastslå, om lagringen var nødvendig, og om det var sikret, at data, der ikke længere var nødvendige, blev slettet.

17.

Databeskyttelsesmyndigheden opfordrede efterfølgende Deutsche Wohnen til at slette bestemte dokumenter fra det elektroniske arkivsystem inden udløbet af 2017.

18.

Deutsche Wohnen afviste dette med henvisning til, at sletningen ikke var mulig af tekniske og retlige årsager. Denne indsigelse blev behandlet på et møde mellem Deutsche Wohnen og databeskyttelsesmyndigheden, hvori sidstnævnte gjorde opmærksom på, at der fandtes tekniske løsninger til sletning af oplysningerne. Drøftelserne fortsatte, og Deutsche Wohnen bekendtgjorde, at selskabet overvejede at indføre et nyt system som erstatning for det system, som databeskyttelsesmyndigheden havde afvist.

19.

Den 5. marts 2020 foretog databeskyttelsesmyndigheden en kontrol i virksomhedens koncernhovedkontor, hvor der blev udtaget i alt 16 stikprøver fra databasen. Samtidig meddelte Deutsche Wohnen myndigheden, at det omtvistede arkivsystem var taget ud af drift, og at migrationen af dataene til det nye system var umiddelbart forestående.

20.

Den 30. oktober 2020 sanktionerede databeskyttelsesmyndigheden Deutsche Wohnen for:

21.

De pålagte bøder beløb sig til 14385000 EUR for den forsætlige overtrædelse af databeskyttelsesforordningens artikel 25, stk. 1, og artikel 5, stk. 1, litra a), c) og e), og til mellem 3000 og 17000 EUR for de 15 overtrædelser af databeskyttelsesforordningens artikel 6, stk. 1.

22.

Deutsche Wohnen anfægtede sanktionerne ved Landgericht Berlin (den regionale ret i første instans i Berlin, Tyskland), som gav sagsøgeren medhold.

23.

Staatsanwaltschaft Berlin (anklagemyndigheden i Berlin, Tyskland) har anfægtet afgørelsen i første instans ved Kammergericht Berlin (den regionale appeldomstol i Berlin, Tyskland), som har forelagt følgende præjudicielle spørgsmål for Domstolen:

24.

Anmodningen om præjudiciel afgørelse indgik til Domstolen den 23. december 2021.

25.

Der er indgivet skriftlige indlæg af Deutsche Wohnen, den tyske, den estiske og den norske regering samt Europa-Kommissionen.

26.

Den 9. november 2022 anmodede Domstolen under henvisning til procesreglementets artikel 101, stk. 1, den forelæggende ret om at redegøre for:

27.

Den redegørelse, der blev anmodet om, indgik til Domstolen den 11. januar 2023.

28.

I retsmødet, som blev afholdt den 17. januar 2023, deltog foruden dem, der havde indgivet skriftlige bemærkninger, den nederlandske regering, Europa-Parlamentet og Rådet for den Europæiske Union.

29.

Det første spørgsmål, som rejses af den forelæggende ret, drejer sig grundlæggende om, hvorvidt det i henhold til EU-retten er muligt at sanktionere en juridisk person for en overtrædelse af databeskyttelsesforordningen, uden at det er nødvendigt forinden at have lagt en fysisk person overtrædelsen til last.

30.

Den forelæggende ret har imidlertid behæftet sit spørgsmål med flere komplicerende elementer:

31.

Den forelæggende ret har anført, at det i henhold til national ret kun er tilladt at pålægge en virksomhed en bøde, såfremt bestemte overtrædelser, som (alene) er begået af dens ledende personer, der betegnes som repræsentanter, kan tilregnes virksomheden ( 5 ).

32.

Deutsche Wohnen og den tyske regering har bestridt dette argument. § 30 i lov om administrative forseelser skal efter deres opfattelse fortolkes i sammenhæng med §§ 9 og 130 i lov om administrative forseelser, idet den sammen med disse bestemmelser udgør en sammenhængende sanktionsordning. I henhold til denne ordning er det muligt at sanktionere en virksomhed administrativt, uden at det er nødvendigt at indlede en procedure mod den fysiske person, der har handlet på selskabets vegne ( 6 ).

33.

Adspurgt af Domstolen om den mulige indvirkning af § 130 i lov om administrative forseelser har den forelæggende ret svaret, at dette ikke er relevant for det første præjudicielle spørgsmål. Den har anført følgende til støtte for sit standpunkt:

34.

Disse redegørelser viser, at den forelæggende rets første præjudicielle spørgsmål afspejler en fortolkning af national ret, hvorefter den i modsætning til den tyske regerings opfattelse indeholder en ansvarsordning for juridiske personer, hvis kendetegn muligvis indebærer, at den er uforenelig med EU-retten.

35.

Domstolen skal henholde sig til de nationale retsforskrifter, således som de er beskrevet af den forelæggende ret ( 7 ), som er den instans, der har kompetence til at fortolke national ret. De spørgsmål om en fortolkning af EU-retten, som den nationale ret har forelagt, skal besvares på det retlige og faktiske grundlag, som denne har fastlagt inden for sit ansvarsområde, og hvis rigtighed det ikke tilkommer Domstolen at efterprøve ( 8 ).

36.

Jeg vil således behandle det første præjudicielle spørgsmål ud fra disse forudsætninger.

37.

Der er i henhold til EU-retten intet til hinder for at anse Deutsche Wohnen for ophavsmand til overtrædelsen og modtager af den pålagte sanktion. Denne mulighed foreskrives abstrakt i databeskyttelsesforordningen og er konkret blevet anvendt i det foreliggende tilfælde:

38.

For så vidt angår den abstrakte tilgangsvinkel kræver det ikke mange overvejelser at bekræfte argumentet om, at en juridisk person kan sanktioneres direkte som den, der har overtrådt databeskyttelsesforordningen. Dette argument kan uden fortolkningsmæssige vanskeligheder udledes ved en gennemgang af databeskyttelsesforordningens artikel 4, 58 og 83:

39.

Det følger helt naturligt af disse tre bestemmelser, at det i henhold til databeskyttelsesforordningen er muligt at rette administrative bøder for overtrædelse af forordningen direkte mod en juridisk person ( 12 ). De kompetente nationale myndigheder på dette område har fundet det lige så naturligt, idet de ikke har tøvet med at sanktionere juridiske personer, der har overtrådt databeskyttelsesforordningen, med bøder, som i nogle tilfælde har været af en betydelig størrelse ( 13 ).

40.

For så vidt angår den konkrete tilgangsvinkel rettede databeskyttelsesmyndigheden som nævnt henvendelse til Deutsche Wohnen i dennes egenskab af dataansvarlig og pålagde virksomheden at slette bestemte personlige oplysninger om lejerne i dens arkiver, hvilket virksomheden undlod at efterkomme i et bestemt tidsrum, indtil den ændrede sine lagringssystemer.

41.

Ifølge den forelæggende ret er det i henhold til national ret ikke muligt at sanktionere en virksomhed direkte for en overtrædelse af databeskyttelsesforordningen, medmindre en fysisk person forinden er fundet ansvarlig. Således fremgår det af § 30 i lov om administrative forseelser: Det er alene muligt at pålægge en virksomhed en bøde, såfremt bestemte overtrædelser begået af dens ledende personer, der betegnes som repræsentanter, kan lægges den til last, til hvilket formål repræsentanten skal have overtrådt den relevante retsforskrift ved at have begået de pågældende forhold på ulovlig og culpøs vis ( 14 ).

42.

Stillet over for indsigelsen fra den tyske regering, som har påberåbt sig § 130 i lov om administrative forseelser med henblik på at tilbagevise den forelæggende rets fortolkning, har den forelæggende ret udtalt sig i de vendinger, som jeg allerede har redegjort for ved gengivelsen af dens svar til Domstolen ( 15 ). Kort sagt har den forelæggende ret anført, at den beskyttelse af juridiske goder, som er sikret ved den pågældende bestemmelse, er yderst begrænset sammenholdt med den ansvarsordning, der er fastsat ved artikel 101 TEUF og 102 TEUF.

43.

Reglen om, at en fysisk person forinden skal have været fundet ansvarlig, som den forelæggende ret har henvist til, vil imidlertid ikke være gældende, såfremt databeskyttelsesforordningens artikel 83, stk. 4-6, tager det i artikel 101 TEUF og 102 TEUF omhandlede »funktionelle virksomhedsbegreb« til sig og indarbejder det i national ret.

44.

Databeskyttelsesforordningens artikel 83, stk. 4-6, har til formål at beregne størrelsen af sanktionerne for de deri nævnte overtrædelser af databeskyttelsesforordningen. Helt konkret fastsætter disse tre stykker muligheden for, at den sanktionerede part er en »virksomhed«.

45.

Det er i denne sammenhæng, at henvisningen i 150. betragtning til databeskyttelsesforordningen til begrebet virksomhed i artikel 101 TEUF og 102 TEUF skal forstås. Jeg skal erindre om, at det er Domstolens opfattelse, at »EU-konkurrenceretten vedrører virksomheders aktiviteter, og at begrebet virksomhed omfatter enhver enhed, som udøver økonomisk virksomhed, uanset denne enheds retlige status og dens finansieringsmåde« ( 16 ).

46.

For så vidt som det maksimale bødebeløb for overtrædelse af databeskyttelsesforordningen for virksomheder, som er dataansvarlige eller databehandlere, fastsættes til en procentdel af den »samlede globale årlige omsætning i det foregående regnskabsår«, kan grundlaget for fastsættelsen af dette beløb ikke afhænge af et selskabs formelle juridiske personlighed, men derimod af dets karakter af »økonomisk enhed« i den forstand, der er redegjort for ovenfor.

47.

Dette skyldes, at de i databeskyttelsesforordningens artikel 83, stk. 4-6, foreskrevne administrative bøder i henhold til bestemmelsens stk. 1 skal »være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning«. Der er tale om tre kendetegn, som alene kan tillægges en bøde, hvis størrelse fastsættes på grundlag af modtagerens reelle eller materielle økonomiske formåen. Derfor er det nødvendigt at anvende det materielle eller økonomiske begreb »virksomhed«, frem for et rent formelt udtryk, ved beregningen af sanktionens størrelse.

48.

Den reelle eller materielle definition af »virksomhed«, som er kendetegnende for konkurrenceretten ( 17 ), anvendes således af EU-lovgiver ved fastsættelsen af bødernes størrelse i forbindelse med overtrædelse af databeskyttelsesforordningen. Det er imidlertid som nævnt kun i denne forbindelse, at databeskyttelsesforordningen henviser til denne bestemmelse.

49.

I den foreliggende sag kan virksomhedsbegrebet i artikel 101 TEUF og 102 TEUF således have betydning ved fastsættelsen af størrelsen på den bøde, der skal pålægges Deutsche Wohnen. Hvorvidt sidstnævnte skal kvalificeres som en sanktioneret enhed (eller rettere som ophavsmand til overtrædelsen), afhænger strengt taget ikke af anvendelsen af disse to bestemmelser i EUF-traktaten.

50.

Ovenstående er ikke til hinder for, at de generelle principper, der gælder for sanktionsordningen inden for konkurrenceretten (som jævnligt har været genstand for Domstolens fortolkning), anvendes analogt eller, mutatis mutandis, i forbindelse med juridiske personers ansvar for deres overtrædelser på området for beskyttelse af personoplysninger ( 18 ).

51.

Er en national lovgivning forenelig med databeskyttelsesforordningen, når den betinger muligheden for at pålægge juridiske personer administrative sanktioner af, at der forud herfor er blevet ført sag mod en fysisk person?

52.

Databeskyttelsesforordningens art indebærer, ud over dens generelle rækkevidde, at den er obligatorisk og direkte anvendelig i enhver medlemsstat, således som det fremgår af artikel 288 TEUF. Disse kendetegn ville blive svækkede, såfremt medlemsstaterne kunne fravige den endelige udformning af de bestemmelser, som EU-lovgiver har indført i databeskyttelsesforordningen.

53.

Det er korrekt, at visse af databeskyttelsesforordningens bestemmelser netop på grund af dens formåls særlige karakter og kendetegn indrømmer medlemsstaterne et vist råderum med hensyn til at opretholde eller vedtage nationale regler med henblik på at foretage en nærmere konkretisering af nogle af databeskyttelsesforordningens bestemmelser. Dette er f.eks. tilfældet:

54.

Dette råderum for medlemsstaterne, som blev drøftet i retsmødet, kan efter min opfattelse ikke udvides i en sådan grad, at muligheden for at pålægge en juridisk person et ansvar, bliver nedsat, således som det ifølge den forelæggende ret er tilfældet i § 30 i lov om administrative forseelser.

55.

Med en sådan opbygning af ansvarsordningen for juridiske personer ville overtrædelser, som i henhold til databeskyttelsesforordningen skal tilregnes en juridisk person, når vedkommende handler i egenskab af dataansvarlig eller databehandler, kunne undtages fra anvendelsesområdet for forordningens sanktionssystem. Dette ville være tilfældet, såfremt de fysiske personer, der repræsenterer, driver eller er ansvarlig for ledelsen af den juridiske person, ikke havde deltaget i de pågældende overtrædelser.

56.

For så vidt som en juridisk person som nævnt kan være ansvarlig for databehandling, og i denne egenskab være ophavsmand til de overtrædelser af databeskyttelsesforordningen, som kan lægges denne til last, vil anvendelsen af § 30 i lov om administrative forseelser kunne indebære en uretmæssig svækkelse eller begrænsning af de former for adfærd, der kan sanktioneres, hvilket ikke er i overensstemmelse med de generelle regler i selve databeskyttelsesforordningen.

57.

En juridisk person, der kan kvalificeres som persondataansvarlig eller ‑behandler, skal i sanktionsmæssig forstand mærke konsekvenserne af de overtrædelser af databeskyttelsesforordningen, som ikke alene begås af vedkommendes repræsentanter, direktører eller forvaltere, men ligeledes af de fysiske personer (medarbejdere i bred forstand), som handler inden for rammerne af den juridiske persons forretningsaktivitet og under de førstnævntes tilsyn.

58.

Disse fysiske personer afspejler og definerer i virkeligheden den juridiske persons vilje, som materialiseres ved særskilte og konkrete handlinger. Sådanne særskilte handlinger, som udgør en konkret manifestation af den nævnte vilje, kan i sidste ende tilregnes selve den juridiske person.

59.

Der er kort sagt tale om fysiske personer, som ikke er repræsentanter for en juridisk person i ordets bogstavelige forstand, men som handler under opsyn af personer, der repræsenterer den juridiske person, men som har begået en fejl i forbindelse med tilsynet eller kontrollen med de førstnævnte fysiske personer. I sidste ende vil ansvaret ligge hos selve den juridiske person, for så vidt som en overtrædelse begået af en medarbejder, som handler under den juridiske persons ledelsesorganers opsyn, er udtryk for et utilstrækkeligt tilsyns- og kontrolsystem, for hvilket den juridiske person er direkte ansvarlig.

60.

Det ovenfor anførte stemmer overens med den forelæggende rets fortolkning af national ret. Den tyske regering har imidlertid anført, at den kombinerede anvendelse af §§ 9, 30 og 130 i lov om administrative forseelser tilsammen udgør et system, hvor der kan pålægges sanktioner for overtrædelser, som kan lægges en juridisk person til last, men som er begået af fysiske personer, som ikke varetager ledelses- eller repræsentationsfunktioner for den juridiske person, uden at det er nødvendigt at identificere disse ( 21 ).

61.

Som jeg tidligere har bemærket, tilkommer det den forelæggende ret at fortolke bestemmelserne i national ret. Hvorvidt disse bestemmelser i henhold til den af den tyske regering påberåbte nationale retspraksis og retslitteratur ( 22 ) gør det muligt at fortolke national ret i overensstemmelse med de EU-retlige krav, er et spørgsmål, som det tilkommer de nationale retsinstanser at løse.

62.

I tilfælde af, at en sådan fortolkning er contra legem, og det som følge af det nationale sanktionssystems særlige opbygning viser sig ikke at være muligt at foretage en fuldstændig gennemførelse af databeskyttelsesforordningens regler på dette område, vil den forelæggende ret være nødsaget til at udelukke anvendelsen af den nationale retsforskrift, som er uforenelig med EU-retten, med henblik på at sikre databeskyttelsesforordningens forrang.

63.

Den forelæggende ret ønsker oplyst, om databeskyttelsesforordningens artikel 83, stk. 4-6, skal fortolkes således, »at virksomheden skal have begået overtrædelsen, som er formidlet gennem en medarbejder, culpøst […], eller […] det i princippet [er] tilstrækkeligt for at pålægge virksomheden en bøde, at en objektiv tilsidesættelse af en pligt kan tilregnes denne (»strict liability«)« [objektivt ansvar] ( 23 ).

64.

Formuleret på denne måde er spørgsmålet af hypotetisk karakter, hvorfor det ikke kan antages til realitetsbehandling af to grunde.

65.

For det første blev sanktionen ifølge forelæggelsesafgørelsen pålagt Deutsche Wohnen for en forsætlig (bevidst) adfærd, og ikke blot for en »objektiv tilsidesættelse« af databeskyttelsesforordningen. Den ovenfor gengivne redegørelse for de faktiske omstændigheder vidner om, at den pågældende virksomhed bevidst og forsætligt undlod at efterkomme databeskyttelsesmyndighedens påkrav, og fortsatte den påtalte databehandling. Det er uden betydning for denne kvalifikation, at virksomheden har påberåbt sig et antal tekniske og juridiske vanskeligheder i forbindelse med ændringen af dens databehandlingssystemer.

66.

For det andet har den forelæggende ret efter Domstolens anmodning om en præcisering af dens spørgsmål forklaret, at retten i første instans ikke er bundet af de konstateringer, der er foretaget i afgørelsen om pålæggelse af sanktionen, og at den pågældende ret i fremtiden vil kunne tage stilling til begrundelserne for søgsmålet til prøvelse af sanktionen. Såfremt den bliver overbevist om, at overtrædelsen fandt sted, vil det være nødvendigt at fastlægge, hvilken type fejl der blev begået, hvilket afhænger af besvarelsen af dette andet præjudicielle spørgsmål.

67.

Med udgangspunkt i denne præcisering afslører det andet præjudicielle spørgsmål på ny sin hypotetiske karakter: En stillingtagen til adfærdens art er ikke tvingende nødvendig for afgørelsen af tvisten ved den forelæggende ret, men derimod ved en eventuel hjemvisning af sagen til retten i første instans, for at denne kan træffe afgørelse i fremtiden.

68.

Under alle omstændigheder, og for det tilfælde, at Domstolen skulle beslutte at tage stilling til realiteten, er det min opfattelse, at besvarelsen af dette spørgsmål ikke er afhængig af en fortolkning af databeskyttelsesforordningens artikel 83, stk. 4-6, som har til formål at fastlægge størrelsen af de administrative bøder.

69.

Den forelæggende ret sondrer mellem: a) overtrædelser formidlet gennem en medarbejder hos en juridisk person og b) den omstændighed, at den juridiske person har handlet culpøst i forbindelse med den pågældende overtrædelse.

70.

Efter min opfattelse er en »overtrædelse formidlet gennem en medarbejder« i virkeligheden – og henset til de anførte betragtninger i forbindelse med det første spørgsmål – en overtrædelse begået af den juridiske person, som den pågældende medarbejder refererer til.

71.

Korrekt formuleret drejer spørgsmålet sig således om muligheden for, at en juridisk person kan sanktioneres for en objektiv tilsidesættelse (uden skyld) af de forpligtelser, der påhviler vedkommende som dataansvarlig eller behandler.

72.

I forbindelse med besvarelsen af dette spørgsmål kan det være hensigtsmæssigt at skele til retspraksis fra Den Europæiske Menneskerettighedsdomstol (Menneskerettighedsdomstolen) vedrørende legalitetsprincippet i straffesager, som er fastsat i artikel 7 i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder (EMRK).

73.

Selv om EMRK ikke er blevet tiltrådt af Den Europæiske Union og derfor ikke udgør et juridisk instrument, som formelt set er integreret i Unionens retsorden, udgør de i den nævnte konvention anerkendte grundlæggende rettigheder en del af EU-retten i form af generelle principper (artikel 6, stk. 3, TEU).

74.

Domstolen har bemærket, at »[c]hartrets artikel 52, stk. 3, som bestemmer, at de af chartrets rettigheder, som svarer til dem, der er sikret ved EMRK, har samme betydning og omfang som i nævnte konvention, skal sikre den nødvendige sammenhæng mellem disse rettigheder, dog uden at dette berører EU-rettens og Domstolens autonomi« ( 24 ).

75.

Menneskerettighedsdomstolens retspraksis vedrørende fortolkningen af EMRK’s artikel 7 indeholder imidlertid nuancer, som ikke er helt sammenfaldende:

76.

Overførslen af de dogmatiske kategorier fra strafferetten (nulla poena sine culpa) med henblik på at blive anvendt i den sanktionerende forvaltningsret frembyder i virkeligheden betydelige fortolkningsmæssige vanskeligheder. Begrebet »skyld« (i betydningen uagtsomhed) kan dække over tilfælde, hvor der alene foreligger tilsidesættelse af en retsforskrift, når ophavsmanden hertil havde pligt til at gøre sig bekendt med, hvilken adfærd der var krævet af vedkommende.

77.

Ud fra dette perspektiv vil de forskellige former for skyld, herunder de mindre alvorlige, samt de forskellige former for ansvarstilregnelse (f.eks. culpa in vigilando eller culpa in eligendo) kunne omfatte adfærdsformer, som af en retsinstans – ud fra en anden tilgangsvinkel – måtte blive betegnet som tilfælde af objektivt ansvar. Grænsen mellem den ene og den anden kategori er således ikke så skarpt optrukket inden for den sanktionerende forvaltningsret, som det synes at fremgå af forelæggelsesafgørelsen.

78.

For så vidt angår EU-retten har Domstolen ganske vist i enkelte tilfælde anerkendt en ordning, hvorefter der indføres et objektivt ansvar inden for sanktionsområdet. Dette var eksempelvis tilfældet i dom af 22. marts 2017 i sagen Euro-Team og Spirál-Gép, hvori den fastslog:

79.

Denne retspraksis er imidlertid blevet etableret inden for andre sektorer end databeskyttelsessektoren i forbindelse med tilsidesættelsen af forpligtelser med primært formelle konnotationer: Der var tale om sanktioner, som blev pålagt for at have benyttet en motorvejsstrækning uden at have betalt den påkrævede vejafgift ( 29 ) eller for manglende overholdelse af bestemmelserne om anvendelse af diagramarket i et kontrolapparat i en lastbil ( 30 ).

80.

For så vidt angår de forpligtelser, der følger af databeskyttelsesforordningen, herunder de forpligtelser, som betinger behandlingen af oplysninger (databeskyttelsesforordningens artikel 5) og lovligheden heraf (databeskyttelsesforordningens artikel 6), er det en forudsætning for at kunne tage stilling til, om disse er blevet opfyldt, at der gennemføres en kompleks vurderings- og bedømmelsesproces, som går videre end den blotte konstatering af en formel tilsidesættelse.

81.

Under alle omstændigheder er det min opfattelse, at databeskyttelsesforordningens artikel 83 understøtter udelukkelsen af en objektiv ansvarsordning (uden skyld) på sanktionsområdet, dvs. at der skal foreligge forsætlighed eller uagtsomhed i forbindelse med den strafbare adfærd. Dette fremgår efter min opfattelse af flere af artiklens stykker:

82.

Den argumentation, som jeg har fremlagt ovenfor, kan vise sig at være ugrundet, såfremt manglen af udtrykkelige bestemmelser på dette område i databeskyttelsesforordningen – som anført af nogle af de intervenerende regeringer i sagen – måtte indebære, at medlemsstaterne indrømmes en mulighed for at vælge mellem en subjektiv ansvarsordning (forsætlighed eller uagtsomhed) og en ordning, der ligeledes omfatter objektivt ansvar.

83.

Jeg medgiver, at der til en vis grad kan argumenteres for disse regeringers standpunkt: For så vidt som databeskyttelsesforordningens artikel 83, stk. 2, henviser til forsætlighed eller uagtsomhed som kriterier for fastlæggelsen af bødens størrelse, og ikke som ufravigelige (væsentlige) elementer af selve den ulovlige adfærd, åbner bestemmelsen op for, at medlemsstaterne kan fastsætte disse væsentlige elementer af overtrædelsen efter deres eget skøn.

84.

Jeg deler imidlertid Kommissionens standpunkt med hensyn til, at en korrekt fortolkning af den sanktionsordning, der indføres ved databeskyttelsesforordningen, hvis direkte anvendelighed ikke kan bestrides, taler for en ensartet og konsekvent løsning ( 33 ) for samtlige medlemsstater, og ikke for, at hver enkelt medlemsstat selv beslutter, hvorvidt de strafbare overtrædelser skal udvides til at omfatte overtrædelser, der ikke er af forsætlig eller uagtsom karakter.

85.

Behovet for en ensartet løsning (og uanvendeligheden af en decentraliseret løsning) understøttes efter min opfattelse af de betragtninger til databeskyttelsesforordningen, som den forelæggende ret har gengivet i sin anmodning om præjudiciel afgørelse, hvori nødvendigheden af at straffe overtrædelser med tilsvarende sanktioner fremhæves ( 34 ). Der ville ikke foreligge ækvivalens, såfremt det var tilladt for den enkelte medlemsstat at definere overtrædelser på forskellig vis, og at medregne de overtrædelser, som består af rent objektive tilsidesættelser uden noget som helst element af forsætlighed eller uagtsomhed.

86.

På baggrund af det ovenstående foreslår jeg, at Domstolen besvarer de af Kammergericht Berlin (den regionale appeldomstol i Berlin, Tyskland) forelagte spørgsmål på følgende måde:

»Artikel 58, stk. 2, litra i), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), sammenholdt med samme forordnings artikel 4, nr. 7), og artikel 83,

skal fortolkes således, at

pålæggelse af en administrativ bøde til en juridisk person, der er ansvarlig for behandlingen af personoplysninger, ikke er betinget af, at der forud herfor konstateres en overtrædelse, der er begået af en eller flere individuelle fysiske personer, som er under den pågældende juridiske persons tjeneste.

De administrative bøder, der kan pålægges i henhold til forordning 2016/679, forudsætter, at den adfærd, der har udgjort den sanktionerede overtrædelse, har været af forsætlig eller uagtsom karakter.«