FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT
MANUEL CAMPOS SÁNCHEZ-BORDONA
föredraget den 27 april 2023 ( 1 )
Mål C‑807/21
Deutsche Wohnen SE
mot
Staatsanwaltschaft Berlin
(begäran om förhandsavgörande från Kammergericht Berlin (Regionala överdomstolen i Berlin, Tyskland))
”Begäran om förhandsavgörande – Skydd av personuppgifter – Förordning (EU) 2016/679 – Överträdelser – Företags ansvar för överträdelser som dess anställda har begått – Eventuellt strikt ansvar – Tillämpning av begrepp som utvecklats i konkurrensrätten”
1. |
Förevarande begäran om förhandsavgörande ger EU-domstolen möjlighet att uttala sig om på vilka villkor en juridisk person får påföras en administrativ sanktionsavgift för överträdelser av förordning (EU) 2016/679. ( 2 ) |
2. |
Det handlar särskilt om att klarlägga följande:
|
I. Tillämpliga bestämmelser
A. Unionsrätten: Dataskyddsförordningen
3. |
Skäl 74 har följande lydelse: ”Personuppgiftsansvariga bör åläggas ansvaret för all behandling av personuppgifter som de utför eller som utförs på deras vägnar. Personuppgiftsansvariga bör särskilt vara skyldiga att vidta lämpliga och effektiva åtgärder och kunna visa att behandlingen är förenlig med denna förordning, även vad gäller åtgärdernas effektivitet. Man bör inom dessa åtgärder beakta behandlingens art, omfattning, sammanhang och ändamål samt risken för fysiska personers rättigheter och friheter.” |
4. |
Skäl 150 har följande lydelse: ”För att förstärka och harmonisera de administrativa sanktionerna för överträdelser av denna förordning bör samtliga tillsynsmyndigheter ha befogenhet att utfärda administrativa sanktionsavgifter. Det bör i denna förordning anges vilka överträdelserna är, den övre gränsen för och kriterierna för fastställande av de administrativa sanktionsavgifterna, som i varje enskilt fall bör bestämmas av den behöriga tillsynsmyndigheten med beaktande av alla relevanta omständigheter i det särskilda fallet, med vederbörlig hänsyn bland annat till överträdelsens karaktär, svårighetsgrad och varaktighet samt till dess följder och till de åtgärder som vidtas för att sörja för fullgörandet av skyldigheterna enligt denna förordning och för att förebygga eller lindra konsekvenserna av överträdelsen. Om administrativa sanktionsavgifter påförs ett företag, bör ett företag i detta sammanhang anses vara ett företag i den mening som avses i artiklarna 101 och 102 i EUF-fördraget. … Mekanismen för enhetlighet kan också tillämpas för att främja en enhetlig tillämpning av administrativa sanktionsavgifter.” |
5. |
I artikel 4 (”Definitioner”) föreskrivs följande: ”I denna förordning avses med …
…
…” |
6. |
I artikel 58 (”Befogenheter”) föreskrivs följande i punkt 2: ”Varje tillsynsmyndighet ska ha samtliga följande korrigerande befogenheter
…
…” |
7. |
Artikel 83 (”Allmänna villkor för påförande av administrativa sanktionsavgifter”) har följande lydelse: ”1. Varje tillsynsmyndighet ska säkerställa att påförande av administrativa sanktionsavgifter i enlighet med denna artikel för sådana överträdelser av denna förordning som avses i punkterna 4, 5 och 6 i varje enskilt fall är effektivt, proportionellt och avskräckande. 2. Administrativa sanktionsavgifter ska, beroende på omständigheterna i det enskilda fallet, påföras utöver eller i stället för de åtgärder som avses i artikel 58.2 a–h och j. Vid beslut om huruvida administrativa sanktionsavgifter ska åläggas och om avgiftsbeloppet i varje enskilt fall ska vederbörlig hänsyn tas till följande:
3. Om en personuppgiftsansvarig eller ett personuppgiftsbiträde, med avseende på en och samma eller sammankopplade uppgiftsbehandlingar, uppsåtligen eller av oaktsamhet överträder flera av bestämmelserna i denna förordning får den administrativa sanktionsavgiftens totala belopp inte överstiga det belopp som fastställs för den allvarligaste överträdelsen. 4. Vid överträdelser av följande bestämmelser ska det i enlighet med punkt 2 påföras administrativa sanktionsavgifter på upp till 10000000 EUR eller, om det gäller ett företag, på upp till 2 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst … 5. Vid överträdelser av följande bestämmelser ska det i enlighet med punkt 2 påföras administrativa sanktionsavgifter på upp till 20000000 EUR eller, om det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst: … 6. Vid underlåtenhet att rätta sig efter ett föreläggande från tillsynsmyndigheten i enlighet med artikel 58.2 ska det i enlighet med punkt 2 i den här artikeln påföras administrativa sanktionsavgifter på upp till 20000000 EUR eller, om det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst: … 8. Tillsynsmyndighetens utövande av sina befogenheter enligt denna artikel ska omfattas av lämpliga rättssäkerhetsgarantier i enlighet med unionsrätten och medlemsstaternas nationella rätt, inbegripet effektiva rättsmedel och rättssäkerhet. …” |
B. Nationell rätt: Ordnungswidrigkeitengesetz (OWiG) (lagen om administrativa överträdelser) ( 3 )
8. |
I 9 § 1 OWiG föreskrivs att när en person handlar i egenskap av a) ett organ (eller en ledamot av ett sådant organ) som är behörigt att företräda en juridisk person, b) en partner som är behörig att företräda en sammanslutning av personer med rättskapacitet, eller c) en laglig företrädare för en tredje part, ska alla lagar enligt vilka funktioner, förhållanden eller särskilda personliga omständigheter motiverar en eventuell sanktion vara tillämpliga på honom eller henne när dessa omständigheter inte föreligger i hans heller hennes fall utan hos den person som han eller hon företräder. |
9. |
Enligt 9 § 2 OWiG gäller det ovan sagda även när ägaren till ett driftsställe (företag) helt eller delvis anförtror en annan person ledningen för driftsstället eller fullgörandet av uppgifter, på eget ansvar, som åligger ägaren. |
10. |
Enligt 30 § 1 OWiG får en administrativ sanktionsavgift påföras en juridisk person när en fysisk person som företräder eller leder den juridiska personen, eller som ansvarar för dess förvaltning, har begått ett brott eller underlåtit att fullgöra de skyldigheter som åligger den juridiska personen. |
11. |
Enligt 30 § 4 OWiG ska något förfarande mot medarbetare eller den juridiska personens företrädare inte ha inletts, och om ett sådant förfarande har inletts måste det ha avbrutits. |
12. |
I 130 § 1 OWiG föreskrivs att den som i egenskap av ägare till ett driftsställe eller företag med uppsåt eller genom oaktsamhet underlåter att vidta de övervakningsåtgärder som krävs för att förhindra att det inom driftsstället eller företaget sker att åsidosättande av skyldigheter som åligger dess ägare och där överträdelsen kan medföra straff eller böter, gör sig skyldig till en administrativ överträdelse om detta åsidosättande hade kunnat förhindras eller försvåras med hjälp av lämpliga övervakningsåtgärder, vilket innefattar utnämning, noggrant urval och kontroll av de kontrollansvariga. |
II. Faktiska omständigheter, det nationella målet och tolkningsfrågor
13. |
Deutsche Wohnen SE (nedan kallat Deutsche Wohnen) är ett börsnoterat fastighetsbolag med säte i Berlin, Tyskland. Genom andelsinnehav äger företaget ungefär 163000 bostadsenheter och 3000 kontorslokaler. |
14. |
Dessa fastigheter ägs av dotterbolag till Deutsche Wohnen (”holdingbolag”) som ansvarar för den operativa verksamheten, medan Deutsche Wohnen svarar för den övergripande ledningen. Holdingbolagen hyr ut bostäderna och kontorslokalerna som förvaltas av andra bolag i koncernen, så kallade servicebolag. |
15. |
Inom ramen för sin affärsverksamhet behandlar Deutsche Wohnen och koncernbolagen personuppgifter från fastigheternas hyresgäster. Dessa uppgifter utgörs bland annat av identitetshandlingar, skatteuppgifter, uppgifter om social- och sjukförsäkring samt uppgifter om tidigare hyresförhållanden. |
16. |
Den 23 juni 2017 genomförde Berliner Beauftragte für den Datenschutz (ombudsmannen för dataskydd i Berlin, nedan kallad dataskyddsmyndigheten) en kontroll på plats av Deutsche Wohnen. Myndigheten noterade att koncernbolagen lagrade personuppgifter från hyresgästerna i ett elektroniskt arkivsystem och påpekade att det inte framgick huruvida lagringen var nödvändig eller om det säkerställdes att uppgifter som inte längre behövdes raderades. |
17. |
Dataskyddsmyndigheten uppmanade därefter Deutsche Wohnen att radera vissa handlingar från det elektroniska arkivsystemet före utgången av 2017. |
18. |
Deutsche Wohnen motsatte sig detta och uppgav att en radering inte var möjlig av tekniska och rättsliga skäl. Denna invändning behandlades vid ett möte mellan Deutsche Wohnen och dataskyddsmyndigheten, vid vilket dataskyddsmyndigheten angav att det fanns tekniska lösningar för att radera uppgifterna. Samtalen fortsatte och Deutsche Wohnen meddelade att bolaget planerade att införa ett nytt system i stället för det som dataskyddsmyndigheten hade underkänt. |
19. |
Den 5 mars 2020 genomförde dataskyddsmyndigheten en kontroll vid koncernens huvudkontor, där sammanlagt 16 stickprov togs från dataregistret. Deutsche Wohnen meddelade samtidigt myndigheten att det kritiserade arkivsystemet redan hade tagits ur drift och att uppgifterna snarast skulle överföras till det nya systemet. |
20. |
Den 30 oktober 2020 påförde dataskyddsmyndigheten Deutsche Wohnen en sanktionsavgift av följande skäl:
|
21. |
Sanktionsavgiften uppgick till 14385000 euro för det uppsåtliga åsidosättandet av artiklarna 25.1 samt 5.1 a, c och e i dataskyddsförordningen, och till mellan 3000 och 17000 euro för åsidosättande av artikel 6.1 i dataskyddsförordningen. |
22. |
Deutsche Wohnen överklagade detta beslut till Landgericht Berlin (regional domstol i Berlin, Tyskland), vilken biföll överklagandet. |
23. |
Staatsanwaltschaft Berlin (åklagarmyndigheten i Berlin, Tyskland) har överklagat domen i första instans till Kammergericht Berlin (Regionala överdomstolen i Berlin, Tyskland), som har hänskjutit följande tolkningsfrågor till EU-domstolen:
|
III. Förfarandet vid EU-domstolen
24. |
Begäran om förhandsavgörande inkom till domstolens kansli den 23 december 2021. |
25. |
Skriftliga yttranden har inkommit från Deutsche Wohnen, den tyska, den estniska och den norska regeringen samt från Europeiska kommissionen. |
26. |
Den 9 november 2022 uppmanade EU-domstolen i enlighet med artikel 101.1 i rättegångsreglerna den hänskjutande domstolen att klarlägga följande:
|
27. |
De begärda klarläggandena inkom till domstolen den 11 januari 2023. |
28. |
Vid förhandlingen den 17 januari 2023 deltog, förutom de som hade avgett skriftliga yttranden, den nederländska regeringen, Europaparlamentet och Europeiska unionens råd. |
IV. Bedömning
A. Den första tolkningsfrågan
1. Inledande synpunkter
29. |
Den hänskjutande domstolens första fråga handlar i korthet om huruvida en juridisk person enligt unionsrätten får åläggas en sanktionsavgift för en överträdelse av dataskyddsförordningen utan att det först behöver fastställas att en fysisk person bär ansvar för överträdelsen. |
30. |
Den hänskjutande domstolen har emellertid fört in vissa komplicerande inslag i sin fråga:
|
31. |
Den hänskjutande domstolen uppger att enligt den nationella lagstiftningen kan ett företag endast åläggas sanktionsavgifter om det kan hållas ansvarigt för särskilda förseelser som (enbart) begåtts av personer i ledande ställning som företräder företaget. ( 5 ) |
32. |
Deutsche Wohnen och den tyska regeringen har motsatt sig denna beskrivning. De anser att 30 § OWiG ska tolkas tillsammans med 9 och 130 §§ OWiG, eftersom dessa lagrum utgör ett sammanhängande sanktionssystem. Enligt det systemet kan ett företag påföras en sanktionsavgift utan att något förfarande behöver inledas mot den fysiska person som har handlat för företagets räkning. ( 6 ) |
33. |
EU-domstolen uppmanade den hänskjutande domstolen att yttra sig över vilken betydelse 130 § OWiG har. Sistnämnda domstol svarade att den bestämmelsen inte är relevant för den första tolkningsfrågan. Till stöd för sin uppfattning anförde den följande:
|
34. |
Dessa klargöranden visar att den hänskjutande domstolens första fråga bygger på en tolkning av nationell rätt, som till skillnad från den tyska regeringens tolkning, godtar ett system för juridiska personers ansvar med sådana egenskaper att det eventuellt blir oförenligt med unionsrätten. |
35. |
EU-domstolen måste hålla sig till den nationella rätten så som den beskrivs av den hänskjutande domstolen, ( 7 ) som är behörig att tolka den. Nationella domstolars frågor om tolkningen av unionsrätten ska besvaras mot bakgrund av den beskrivning av omständigheterna i målet och tillämplig lagstiftning som den nationella domstolen på eget ansvar har lämnat och vars riktighet det inte ankommer på EU-domstolen att pröva. ( 8 ) |
36. |
På grundval av detta ska jag således bedöma den första tolkningsfrågan. |
2. Juridiska personer som åläggs sanktionen i dataskyddsförordningen
37. |
Det finns i unionsrätten inget som hindrar att Deutsche Wohnen ska anses ha gjort sig skyldigt till överträdelsen eller åläggs sanktionen. Denna möjlighet följer teoretiskt sett av dataskyddsförordningen och har rent konkret tillämpats i förevarande fall:
|
38. |
Vad beträffar den teoretiska aspekten krävs det inte särskilt omfattande överväganden för att bekräfta tesen att en juridisk person direkt får åläggas sanktioner för överträdelser av dataskyddsförordningen. Denna tes kan utan större svårighet härledas från en tolkning av artiklarna 4, 58 och 83 i dataskyddsförordningen:
|
39. |
Sammantaget visar dessa bestämmelser på ett naturligt sätt att administrativa sanktionsavgifter på grund av överträdelser av datasskyddsförordningen kan riktas direkt mot en juridisk person. ( 12 ) Denna naturliga följd har erkänts av de behöriga nationella myndigheterna inom detta område, vilka inte har tvekat att ålägga juridiska personer som gjort sig skyldiga till överträdelser av dataskyddsförordningen sanktionsavgifter, ibland höga sådana. ( 13 ) |
40. |
Vad beträffar den konkreta aspekten vill jag erinra om att dataskyddsmyndigheten vände sig till Deutsche Wohnen i dess egenskap av dataskyddsansvarig och uppmanade bolaget att radera vissa personuppgifter om hyresgästerna från sitt arkiv, vilket bolaget underlät att göra under en viss tid, fram till dess att det ändrade sitt lagringssystem. |
3. Huruvida ansvaret för en överträdelse först måste tillskrivas en fysisk person
41. |
Enligt den hänskjutande domstolen måste det först slås fast att en fysisk person bär ansvar, innan ett företag direkt kan åläggas en sanktionsavgift för överträdelse av dataskyddsförordningen. Detta följer av 30 § OWiG. Ett företag kan endast åläggas en sanktionsavgift om det kan hållas ansvarigt för särskilda förseelser som har begåtts av personer i ledande ställning vilka företräder företaget. Företrädaren måste då i materiellt hänseende, rättsstridigt och uppsåtligen har åsidosatt bestämmelsen i fråga. ( 14 ) |
42. |
Vad beträffar invändningen från den tyska regeringen, vilken har åberopat 130 § OWiG för att bemöta den hänskjutande domstolens tolkning, har denna uttalat sig på det sätt som jag redan har beskrivit då jag återgav dess svar till EU-domstolen. ( 15 ) I korthet har den gjort gällande att den förstnämnda bestämmelsen innebär ett mycket begränsat skydd av rättsliga intressen, jämfört med det ansvarssystem som följer av artiklarna 101 FEUF och 102 FEUF. |
43. |
Den regel att det först måste slås fast att en fysisk person bär ansvar, vilken den hänskjutande domstolen har hänvisat till, skulle emellertid inte gälla om artikel 83.4–83.6 i dataskyddsförordningen innebar ett införlivande av ”det funktionella företagsbegreppet”, som är utmärkande för artiklarna 101 och 102 FEUF, med nationell rätt. |
a) Betydelsen av det begrepp som används i artiklarna 101 och 102 FEUF
44. |
Artikel 83.4–83.6 i dataskyddsförordningen avser fastställandet av sanktionsavgifter för de överträdelser av dataskyddsförordningen som nämns där. Närmare bestämt anges i den bestämmelsen att sanktionsavgiften kan påföras ett ”företag”. |
45. |
Det är i det sammanhanget som hänvisningen i skäl 115 i dataskyddsförordningen till begreppet företag i den mening som avses i artiklarna 101 och 102 FEUF ska förstås. Jag vill erinra om att EU-domstolen har slagit fast att ”unionens konkurrensrätt avser verksamheten i företag och att begreppet företag omfattar varje enhet som bedriver ekonomisk verksamhet, oavsett enhetens juridiska form och oavsett hur den finansieras”. ( 16 ) |
46. |
Eftersom det högsta beloppet för sanktionsavgiften för överträdelse av dataskyddsförordningen vad beträffar företag som är personuppgiftsansvariga eller personuppgiftsbiträden utgörs av en viss procentuell andel av ”den totala globala årsomsättningen under föregående budgetår”, kan hänvisningen för att fastställa detta belopp inte anses avse att det formellt sett rör sig om ett bolag, utan att det är en ”ekonomisk enhet” i den ovan angivna meningen. |
47. |
Det beror på att påförandet av de administrativa sanktionsavgifter som föreskrivs i artikel 83.4–83.6 i dataskyddsförordningen enligt artikel 83.1 i samma förordning ska vara ”effektivt, proportionellt och avskräckande”. Det är tre egenskaper som bara kan tillskrivas en sanktionsavgift vars storlek bestäms på grundval av den faktiska eller materiella ekonomiska förmågan hos den som åläggs sanktionsavgiften. Det är därför som det är nödvändigt att använda sig av en materiell eller ekonomisk, och inte en strikt formell, syn på begreppet ”företag”, vid beräkningen av sanktionsavgiften. |
48. |
Den europeiska lagstiftaren har således använt sig av en faktisk eller materiell syn på begreppet ”företag”, vilket är utmärkande för konkurrensrätten, ( 17 ) för att fastställa storleken på sanktionsavgifterna för överträdelse av dataskyddsförordningen. Det är emellertid, såsom erinrats om, bara för detta ändamål som det begreppet används i dataskyddsförordningen. |
49. |
I förevarande mål skulle det företagsbegrepp som används i artiklarna 101 och 102 FEUF således kunna vara av betydelse för att fastställa storleken på den sanktionsavgift som ska åläggas Deutsche Wohnen. Huruvida Deutsche Wohnen anses vara den enhet som åläggs sanktionsavgiften (rättare sagt, den som har begått överträdelsen) är strängt taget inte en omständighet som beror på tillämpningen av de två bestämmelserna i FEUF. |
50. |
Detta hindrar inte att de allmänna principer som gäller för konkurrensrättens sanktionssystem (som EU-domstolen har tolkat åtskilliga gånger), i tillämpliga delar analogt kan tillämpas när det gäller juridiska personers ansvar för överträdelser som rör skydd av personuppgifter. ( 18 ) |
b) Huruvida en juridisk person kan tillskrivas direkt ansvar
51. |
Är en nationell lagstiftning enligt vilken administrativa sanktionsavgifter bara kan åläggas juridiska personer under förutsättning att man först vidtagit åtgärder mot en fysisk person, förenlig med dataskyddsförordningen? |
52. |
Förutom att dataskyddsförordningen är allmänt tillämplig är den till sin karaktär sådan att den är tvingande och direkt tillämplig i varje medlemsstat, enligt artikel 288 FEUF. Dessa egenskaper skulle undergrävas om medlemsstaterna fick frångå den slutliga utformningen av de bestämmelser som unionslagstiftaren har fört in i dataskyddsförordningen. |
53. |
Visserligen ger vissa bestämmelser i dataskyddsförordningen, just på grund av dess särdrag och speciella syfte, medlemsstaterna ett visst handlingsutrymme när det gäller att behålla eller införa nationella bestämmelser för att närmare fastställa hur några av dem ska tillämpas. Detta gäller till exempel följande:
|
54. |
Jag anser att medlemsstaternas utrymme för skönsmässig bedömning, vilket diskuterades vid förhandlingen, inte kan utsträckas i så hög grad att det begränsar möjligheterna att hålla en juridisk person ansvarig, vilket 30 § OWiG enligt den hänskjutande domstolen innebär. |
55. |
En sådan utformning av systemet för juridiska personers ansvar skulle medföra att sådana överträdelser av dataskyddsförordningen som enligt förordningen ska tillskrivas en juridisk person när den har ställning som personuppgiftsansvarig eller personuppgiftsbiträde, inte omfattades av förordningens sanktionssystem. Detta skulle bli följden när de fysiska personer som företräder, leder eller förvaltar den juridiska personen inte har medverkat i överträdelserna. |
56. |
Eftersom en juridisk person kan vara personuppgiftsansvarig och i den egenskapen göra sig skyldig till överträdelser av dataskyddsförordningen för vilka den hålls ansvarig, skulle tillämpningen av 30 § OWiG kunna medföra en försvagning eller en omotiverad inskränkning av de ageranden som kan bli föremål för sanktioner, vilket inte är förenligt med det allmänna syftet med dataskyddsförordningen. |
57. |
En juridisk person som kan anses vara personuppgiftsansvarig eller personuppgiftsbiträde måste drabbas av konsekvenserna, i form av sanktioner, av överträdelser av dataskyddsförordningen som begåtts, inte bara av dess företrädare, chefer eller förvaltare utan även av de fysiska personer (medarbetare i vid mening) som handlar inom ramen för dess näringsverksamhet och under dess överinseende. |
58. |
Det är egentligen dessa fysiska personer som ger uttryck för och förverkligar den juridiska personens vilja genom enskilda konkreta handlingar. Dessa enskilda handlingar, som utgör ett konkret uttryck för den viljan, kan i slutändan tillskrivas den juridiska personen själv. |
59. |
Det handlar således om fysiska personer som utan att vara företrädare för en juridisk person i egentlig mening, är underställda de personer som företräder den juridiska personen och brister i sin tillsyn eller kontroll av de förstnämnda. Ytterst faller ansvaret på den juridiska personen själv, eftersom den överträdelse som har begåtts av den medarbetare som är underställd den juridiska personens ledningsorgan, utgör tecken på en bristande kontroll och övervakning som den juridiska personen kan hållas direkt ansvarig för. |
60. |
Det hittills anförda överensstämmer med den hänskjutande domstolens tolkning av nationella rätt. Den tyska regeringen har gjort gällande att 9, 30 och 130 §§ OWiG tillsammans utgör ett system i vilket sanktionsavgifter kan påföras för överträdelser som tillskrivs en juridisk person, men som begås av fysiska personer som inte har en ledande ställning i eller företräder den juridiska personen, utan att dessa personer identifieras. ( 21 ) |
61. |
Såsom jag tidigare har påpekat ankommer det på den hänskjutande domstolen att tolka bestämmelserna i nationell rätt. Huruvida dessa bestämmelser enligt den nationella rättspraxis och den doktrin som den tyska regeringen har hänvisat till, ( 22 ) medger en tolkning av nationella rätt som uppfyller unionsrättens krav, är något som det ankommer på de nationella domstolarna att pröva. |
62. |
Om en sådan tolkning visar sig vara contra legem och det på grund av det nationella sanktionssystemets egenartade uppbyggnad är omöjligt att fullt ut tillämpa reglerna i dataskyddsförordningen inom detta område, ska den hänskjutande domstolen inte tillämpa den nationella bestämmelse som är oförenlig med unionsrätten, för att säkerställa dataskyddsförordningens företräde. |
4. Den andra tolkningsfrågan
63. |
Den hänskjutande domstolen vill få klarhet i huruvida artikel 83.4–83.6 i dataskyddsförordningen ska tolkas så, ”att företaget uppsåtligen måste ha begått överträdelsen genom en medarbetare … eller … [om] det för att företaget ska kunna åläggas böter i princip [är] tillräckligt att det kan tillskrivas ett objektivt åsidosättande av en skyldighet (strikt ansvar)”. ( 23 ) |
64. |
Om frågan formuleras på det sättet är den hypotetisk, vilket innebär att den av två skäl inte kan tas upp till sakprövning. |
65. |
För det första framgår det av beslutet att begära förhandsavgörande att Deutsche Wohnen ålades sanktionsavgiften på grund av ett uppsåtligt (medvetet) handlande och inte bara på grund av ett ”objektivt åsidosättande” av dataskyddsförordningen. Den beskrivning jag tidigare gjort av händelseförloppet visar att företaget medvetet och uppsåtligt bortsåg från dataskyddsmyndighetens uppmaning och fortsatte med den kritiserade behandlingen av uppgifter. Det saknar i detta sammanhang betydelse att företaget hänvisade till ett antal tekniska och rättsliga svårigheter med att ändra dess system för behandling av uppgifter. |
66. |
För det andra uppgav den hänskjutande domstolen på fråga från EU-domstolen att domstolen i första instans inte är bunden av slutsatserna i sanktionsbeslutet och att den i framtiden skulle kunna uttala sig om grunderna för överklagandet av sanktionen. Om den skulle finna att det har skett en överträdelse, behöver det klargöras vilken typ av förseelse det rörde sig om, vilket beror på svaret på den andra tolkningsfrågan. |
67. |
Detta klargörande visar på nytt att den andra tolkningsfrågan är hypotetisk. Det är nämligen inte nödvändigt att pröva hur agerandet ska kvalificeras för att kunna avgöra tvisten vid den nationella domstolen, utan i förekommande fall att återförvisa målet till domstolen i första instans, för att den ska kunna uttala sig i framtiden. |
68. |
För det fallet att EU-domstolen trots allt beslutar sig för att ta upp frågan till sakprövning, anser jag under alla förhållanden att svaret på frågan inte är beror på tolkningen av artikel 83.4–83.6 i dataskyddsförordningen, som avser hur den administrativa sanktionsavgiftens belopp ska fastställas. |
69. |
Den hänskjutande domstolen gör åtskillnad mellan: a) den överträdelse en juridisk person har begått genom en medarbetare och b) det uppsåt eller den oaktsamhet som den juridiska personen uppvisar i samband med överträdelsen. |
70. |
Mot bakgrund av det som jag har redogjort för vid bedömningen av den första tolkningsfrågan, anser jag att ”överträdelsen genom en medarbetare” i själva verket är en överträdelse som begåtts av den juridiska person som medarbetaren har varit underställd. |
71. |
Korrekt formulerad handlar frågan således om huruvida en juridisk person kan åläggas en sanktionsavgift på grund av det objektiva åsidosättandet (utan oaktsamhet) av dennes skyldigheter i egenskap av personuppgiftsansvarig eller personuppgiftsbiträde. |
72. |
För att besvara den frågan kan det vara lämpligt att se till Europadomstolens rättspraxis rörande den straffrättsliga legalitetsprincipen, vilken stadfästs i artikel 7 i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (nedan kallad Europakonventionen). |
73. |
Även om Europakonventionen inte utgör ett rättsligt instrument som formellt har införlivats med unionens rättsordning så länge som unionen inte har anslutit sig till den, ska det emellertid erinras om att de grundläggande rättigheter som erkänns i konventionen (såsom bekräftas i artikel 6.3 FEU) ingår i unionsrätten som allmänna principer |
74. |
EU-domstolen har slagit fast att ”[a]rtikel 52.3 i stadgan, i vilken det föreskrivs att de rättigheter i stadgan som motsvarar sådana som garanteras av Europakonventionen har samma innebörd och räckvidd som i konventionen, syftar till att säkerställa det nödvändiga sammanhanget mellan dessa rättigheter, utan att undergräva unionsrättens och domstolens autonomi”. ( 24 ) |
75. |
Europadomstolens rättspraxis rörande tolkningen av artikel 7 i Europakonventionen innehåller nyanser som inte är helt överensstämmande:
|
76. |
Att hämta rättsinstitut från straffrätten (nulla poena sine culpa) för att tillämpa dem på förvaltningsrättsliga sanktionsbestämmelser, medför i själva verket avsevärda tolkningssvårigheter. Begreppet culpa (i betydelsen oaktsamhet) kan innefatta fall där en lagbestämmelse helt enkelt inte har iakttagits, när den som gjorde sig skyldig till överträdelsen var skyldig att känna till vilket handlande som krävdes av honom eller henne. |
77. |
I det hänseendet skulle de olika formerna av culpa, däribland de mindre lindriga, och de olika grunderna för tillskrivande (till exempel culpa in vigilando eller in eligendo) kunna vara tillämpliga på handlanden som en domstol ur en annan synvinkel skulle kunna beteckna som fall med strikt ansvar. Gränserna mellan de olika kategorierna är således inom området förvaltningsrättsliga sanktionsbestämmelser inte så skarpa som beslutet att begära förhandsavgörande ger sken av. |
78. |
När det gäller unionsrätten har EU-domstolen visserligen i vissa fall godtagit vad den betecknat som bestämmelser om strikt ansvar inom sanktionsområdet. Det gjorde den exempelvis i sin dom av den 22 mars 2017, Euro-Team och Spirál-Gép, på följande sätt:
|
79. |
Denna rättspraxis har emellertid utvecklats inom andra områden än skydd av personuppgifter, med avseende på åsidosättande av skyldigheter i som främst är av formell karaktär. Det handlade om påförande av böter för att ha kört på en motorvägssträcka utan att betala föreskriven vägtull ( 29 ) eller underlåtelse att följa bestämmelser rörande användningen av diagrambladen för färdskrivaren i en lastbil. ( 30 ) |
80. |
Vad beträffar de skyldigheter som föreskrivs i dataskyddsförordningen – bland annat de som utgör villkor för uppgiftsbehandling (artikel 5 i dataskyddsförordningen) och dess laglighet (artikel 6 i dataskyddsförordningen) – utgör prövningen av huruvida de har uppfyllts en komplicerad bedömningsprocess som inte bara innebär att det konstateras att det skett en formell underlåtelse. |
81. |
Under alla omständigheter anser jag att artikel 83 i dataskyddsförordningen bekräftar att ett system med strikt ansvar är uteslutet, vilket innebär att det krävs uppsåt eller oaktsamhet för att agerandet ska medföra sanktioner. Jag anser att detta framgår av olika punkter i den artikeln:
|
82. |
Den uppfattning som jag har redogjort för ovan skulle kunna vara otillbörlig om (vilket några av de regeringar som har yttrat sig i målet har gjort gällande) avsaknaden av uttryckliga bestämmelser rörande detta i dataskyddsförordningen skulle innebära att medlemsstaterna ges möjlighet välja mellan ett system med subjektivt ansvar (uppsåt eller oaktsamhet) och ett system som även innefattar strikt ansvar. |
83. |
Jag medger att det finns vissa argument som ger stöd för dessa regeringars uppfattning. Eftersom uppsåt eller oaktsamhet nämns i artikel 83.2 i dataskyddsförordningen som faktorer som påverkar sanktionsavgiftens belopp och inte som nödvändiga (grundläggande rekvisit) för själva överträdelsen, gör bestämmelsen det möjligt för medlemsstaterna att efter eget skön utforma dessa grundläggande rekvisit för överträdelsen. |
84. |
Jag anser emellertid liksom kommissionen att en korrekt tolkning av det sanktionssystem som införts genom dataskyddsförordningen, vars direkta tillämplighet är obestridlig, talar för en enhetlig lösning ( 33 ) för samtliga medlemsstater och inte för att var och en av dem själv ska besluta huruvida de överträdelser för vilka sanktionsavgifter kan påföras ska omfatta sådana som inte har skett uppsåtligen eller av oaktsamhet. |
85. |
Jag anser att de skäl i dataskyddsförordningen som den hänskjutande domstolen hänvisar till i sin begäran om förhandsavgörande, i vilka det betonas att det är nödvändigt att beivra överträdelser med likvärdiga sanktioner, talar för en enhetlig lösning (och för att en splittrad lösning inte kan godtas). ( 34 ) Det föreligger inte någon likvärdighet om varje medlemsstat får klassificera överträdelser på olika sätt och inkludera överträdelser som utgörs av rent objektiva försummelser som inte har något inslag av uppsåt eller oaktsamhet. |
V. Förslag till avgörande
86. |
Mot bakgrund av det ovan anförda föreslår jag att domstolen ska lämna följande svar till Kammergericht Berlin (Regionala överdomstolen i Berlin, Tyskland): Artikel 58.2 i) i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), jämförd med artiklarna 4.7 och 83 i samma förordning, ska tolkas på följande sätt: För att ålägga en juridisk person som är personuppgiftsansvarig en administrativ sanktionsavgift, krävs det inte att det först slås fast att en eller flera enskilda fysiska personer som arbetar för den juridiska personen har begått en överträdelse. En förutsättning för påförandet av administrativa sanktionsavgifter enligt förordning 2016/679 är att det agerande som utgör den beivrade överträdelsen ska ha skett med uppsåt eller genom oaktsamhet. |
( 1 ) Originalspråk: spanska.
( 2 ) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1). Nedan kallad dataskyddsförordningen.
( 3 ) Lag av den 24 maj 1968 (BGBl. I 481; III 454–1), i den av den 19 februari 1987 gällande lydelsen (BGBl. I, s. 602), i ändrad lydelse enligt lagen av den 19 juni 2020 (BGBl. I, s. 1328) (nedan kallad OWiG).
( 4 ) Rådets förordning (EG) nr 1/2003 av den 16 december 2002 om tillämpning av konkurrensreglerna i artiklarna 81 och 82 i fördraget (EGT L 1, 2003, s. 1).
( 5 ) Skäl II.1 i beslutet att begära förhandsavgörande. Se punkt 41 och följande punkter i detta förslag till avgörande.
( 6 ) Punkt 45 Deutsche Wohnens skriftliga yttrande och punkterna 24 och 25 i den tyska regeringens skriftliga yttrande.
( 7 ) I ett förfarande enligt artikel 267 FEUF, som vilar på en tydlig funktionsfördelning mellan de nationella domstolarna och EU-domstolen, är det den nationella domstolen som är ensam behörig att fastställa och bedöma omständigheterna i målet samt tolka och tillämpa den nationella lagstiftningen. Dom av den 26 april 2017, Farkas (C‑564/15, EU:C:2017:302, punkt 37).
( 8 ) EU-domstolen har endast möjlighet att underlåta att besvara en fråga som en nationell domstol har ställt när det är uppenbart att den begärda tolkningen av unionsrätten inte har något samband med de verkliga omständigheterna eller saken vid den nationella domstolen, när frågan är hypotetisk eller när EU-domstolen inte har tillgång till sådana uppgifter om de faktiska eller rättsliga omständigheterna som är nödvändiga för att kunna ge ett användbart svar på de frågor som ställts till den (se exempelvis dom av den 27 september 2017, Puškár,C‑73/16, EU:C:2017:725, punkt 50). Ingen av de omständigheterna föreligger här.
( 9 ) Trots Deutsche Wohnens ovilja att medge det vid förhandlingen, överensstämmer dess profil med definitionen av begreppet ”personuppgiftsansvarig” i artikel 4 i dataskyddsförordningen. Så förhåller det sig oberoende av vilket faktiskt ansvar bolaget har för de överträdelser som det påstås ha gjort sig skyldigt till i egenskap av ”personuppgiftsansvarig”.
( 10 ) En annan sak är att det vid fastställandet av sanktionsavgiften eventuellt ska beaktas att Deutsche Wohnen och dess dotterbolag ingår i en överordnad ekonomisk enhet. Även om det kan förefalla så, aktualiseras i förevarande mål egentligen inte de klassiska problemen med tillskrivande av ansvar när det gäller moderbolag och dotterbolag eller koncerner.
( 11 ) Enligt artikel 4.7 i dataskyddsförordningen avses med personuppgiftsansvarig, såvitt här är av intresse, ”en … juridisk person … som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter”. Enligt artikel 4.8 avses med personuppgiftsbiträde ”en … juridisk person … som behandlar personuppgifter för den personuppgiftsansvariges räkning”.
( 12 ) Som naturligtvis omfattas av rätten till ett effektivt rättsmedel mot ett rättsligt bindande beslut rörande den som meddelats av en tillsynsmyndighet (artikel 78.1 i dataskyddsförordningen) och därmed även mot administrativa sanktionsavgifter som den åläggs.
( 13 ) Till exempel ålade den irländska dataskyddsmyndigheten den 31 december 2022 Facebook en sanktionsavgift på 210 miljoner euro och Instagram en sanktionsavgift på 180 miljoner euro.
( 14 ) Skäl II.1 i beslutet att begära förhandsavgörande.
( 15 ) Se punkt 32 i detta förslag till avgörande.
( 16 ) Dom av den 27 april 2017, Akzo Nobel m.fl./kommissionen (C‑516/15 P, EU:C:2017:314, punkt 47).
( 17 ) Se exempelvis dom av den 10 april 2014, Areva m.fl./kommissionen (C‑247/11 P och C‑253/11 P, EU:C:2014:257, punkt 123).
( 18 ) Som jag tidigare har nämnt handlar förevarande mål inte om problem som rör förhållandet mellan moderbolag och dotterbolag, när det gäller sanktioner. Den hänskjutande domstolen har heller inte ställt några frågor rörande bevisbördan för de påstådda överträdelserna.
( 19 ) Skäl 10 i dataskyddsförordningen.
( 20 ) Se föregående fotnot.
( 21 ) Punkt 25 i den tyska regeringens skriftliga yttrande. För att bemöta denna ståndpunkt har den hänskjutande domstolen gjort gällande, på det sätt som redovisats ovan, att även i kombination med 9 och 30 §§ OWiG, är det skydd av rättsliga intressen som den nationella rätten ger mycket begränsat jämfört med det ansvarssystem som följer av artiklarna 101 och 102 FEUF.
( 22 ) Punkt 25 i den tyska regeringens skriftliga yttrande, fotnoterna 16–18.
( 23 ) Det engelska uttrycket strict liability [(strikt ansvar)] motsvaras normalt sett vid översättningen från engelska av EU-domstolens domar av uttrycken responsabilidad objetiva (den spanska versionen), responsabilité objective (den franska versionen), responsabilità oggettiva (den italienska versionen), responsabilidade objetiva (den portugisiska versionen), objektiven Verantwortlichkeit (den tyska versionen) och objectieve aansprakelijkheid (den nederländska versionen).
( 24 ) Se exempelvis dom av den 2 februari 2021, Consob (C‑481/19, EU:C:2021:84, punkt 36).
( 25 ) Europadomstolens dom av den 20 januari 2009, Sud Fondi m.fl. mot Italien (CE:ECHR:2009:0120JUD007590901), § 116.
( 26 ) CE:ECHR:1988:1007JUD001051983.
( 27 ) Europadomstolens dom av den 7 oktober 1988, Salabiaku mot Frankrike, §§ 27 och 28.
( 28 ) Dom av den 22 mars 2017, Euro-Team y Spirál-Gép (C‑497/15 och C‑498/15, EU:C:2017:229, punkterna 53 och 54), med hänvisning till dom av den 9 februari 2012, Urbán (C‑210/10, EU:C:2012:64, punkterna 47 respektive 48).
( 29 ) Dom av den 22 mars 2017, Euro-Team och Spirál-Gép (C‑497/15 och C‑498/15, EU:C:2017:229).
( 30 ) Dom av den 9 februari 2012, Urbán (C‑210/10, EU:C:2012:64).
( 31 ) Se emellertid punkterna 82 och 83 nedan i detta förslag till avgörande.
( 32 ) I led a nämns till exempel uppgiftsbehandlingens syfte. I led c nämns åtgärder som har vidtagits för att lindra skadan. I led d nämns graden av ansvar med beaktande av de åtgärder som genomförts. I led f nämns graden av samarbete med tillsynsmyndigheten.
( 33 ) I skäl 150 i dataskyddsförordningen nämns en enhetlig tillämpning av administrativa sanktionsavgifter från medlemsstaternas sida. Medlemsstaterna får däremot fastställa ”om och i vilken utsträckning myndigheter ska omfattas av administrativa sanktionsavgifter”. Detta utgör inte hinder för de särskilda bestämmelser för Danmark och Estland som nämns i skäl 151 eller för de fall som nämns i skäl 152.
( 34 ) I skäl 10 i dataskyddsförordningen anges det att en konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter bör säkerställas (min kursivering). I skäl 11 anges att det ska säkerställas att sanktionerna för överträdelser är likvärdiga, vilket är en formulering som återkommer i skäl 11 och skäl 13.