DOMSTOLENS DOM (stora avdelningen)

den 5 december 2023 ( *1 )

”Begäran om förhandsavgörande – Skydd av personuppgifter – Förordning (EU) 2016/679 – Artikel 4.7 – Begreppet personuppgiftsansvarig – Artikel 58.2 – Tillsynsmyndigheters korrigerande befogenheter – Artikel 83 – Påförande av administrativa sanktionsavgifter på en juridisk person – Villkor – Medlemsstaternas handlingsutrymme – Krav på att överträdelsen ska ha skett uppsåtligen eller av oaktsamhet”

I mål C‑807/21,

angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Kammergericht Berlin (Regionala överdomstolen i Berlin, Tyskland) genom beslut av den 6 december 2021, som inkom till domstolen den 21 december 2021, i målet

Deutsche Wohnen SE

mot

Staatsanwaltschaft Berlin,

meddelar

DOMSTOLEN (stora avdelningen)

sammansatt av ordföranden K. Lenaerts, vice-ordföranden L. Bay Larsen, avdelningsordförandena A. Arabadjiev, C. Lycourgos, E. Regan T. von Danwitz, Z. Csehi och O. Spineanu-Matei samt domarna M. Ilešič, J.-C. Bonichot, L.S. Rossi A. Kumin, N. Jääskinen (referent), N. Wahl och M. Gavalec,

generaladvokat: M. Campos Sánchez-Bordona,

justitiesekreterare: enhetschefen D. Dittert,

efter det skriftliga förfarandet och förhandlingen den 17 januari 2023,

med beaktande av de yttranden som avgetts av:

–	Deutsche Wohnen SE, genom O. Geiss, K. Mertens, N. Venn och T. Wybitul, Rechtsanwälte,

–	Tysklands regering, genom J. Möller och P.-L. Krüger, båda i egenskap av ombud,

–	Estlands regering, genom M. Kriisa, i egenskap av ombud,

–	Nederländernas regering, genom C.S. Schillemans, i egenskap av ombud,

–	Norges regering, genom L.-M. Moen Jünge, M. Munthe-Kaas och T. Westhagen Edell, samtliga i egenskap av ombud,

–	Europaparlamentet, genom G.C. Bartram och P. López-Carceller, båda i egenskap av ombud,

–	Europeiska unionens råd, genom J. Bauerschmidt och K. Pleśniak, båda i egenskap av ombud,

–	Europeiska kommissionen, genom A. Bouchagiar, F. Erlbacher, H. Kranenborg och G. Meessen, samtliga i egenskap av ombud,

och efter att den 27 april 2023 ha hört generaladvokatens förslag till avgörande,

följande

Dom

Begäran om förhandsavgörande avser tolkningen av artiklarna 83.4, 83.5 och 83.6 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1, och rättelser i EUT L 127, 2018, s. 2 och EUT L 74, 2021, s. 35) (nedan kallad dataskyddsförordningen).

Begäran har framställts i ett mål mellan Deutsche Wohnen SE (nedan kallat DW) och Staatsanwaltschaft Berlin (åklagarmyndigheten i Berlin, Tyskland). Målet rör en administrativ sanktionsavgift som DW påförts med stöd av artikel 83 i dataskyddsförordningen för överträdelser av artikel 5.1 a, c och e, artikel 6 och artikel 25.1 i denna förordning.

Tillämpliga bestämmelser

Unionsrätt

Skälen 9, 10, 11, 13, 74, 129 och 150 i dataskyddsförordningen har följande lydelse:

”9.

… Skillnader i nivån på skyddet av fysiska personers rättigheter och friheter, särskilt rätten till skydd av personuppgifter, vid behandling av personuppgifter i olika medlemsstater kan förhindra det fria flödet av personuppgifter över hela unionen. Dessa skillnader kan därför utgöra ett hinder för att bedriva ekonomisk verksamhet på unionsnivå, de kan snedvrida konkurrensen och hindra myndigheterna att fullgöra sina skyldigheter enligt unionsrätten. …

(10)

För att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av personuppgifter inom unionen bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater. En konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter bör säkerställas i hela unionen. Vad gäller behandlingen av personuppgifter för att fullgöra en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs av den personuppgiftsansvarige, bör medlemsstaterna tillåtas att behålla eller införa nationella bestämmelser för att närmare fastställa hur bestämmelserna i denna förordning ska tillämpas. … Denna förordning ger dessutom medlemsstaterna handlingsutrymme att specificera sina bestämmelser, även för behandlingen av särskilda kategorier av personuppgifter … Denna förordning utesluter inte att det i medlemsstaternas nationella rätt fastställs närmare omständigheter för specifika situationer där uppgifter behandlas, inbegripet mer exakta villkor för laglig behandling av personuppgifter.

(11)

Ett effektivt skydd av personuppgifter över hela unionen förutsätter att de registrerades rättigheter förstärks och specificeras och att de personuppgiftsansvarigas och personuppgiftsbiträdenas skyldigheter vid behandling av personuppgifter klargörs, samt att det finns likvärdiga befogenheter för övervakning och att det säkerställs att reglerna för skyddet av personuppgifter efterlevs och att sanktionerna för överträdelser är likvärdiga i medlemsstaterna.

…

(13)

För att säkerställa en enhetlig nivå för skyddet av fysiska personer över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden behövs en förordning som skapar rättslig säkerhet och öppenhet för ekonomiska aktörer, däribland mikroföretag samt små och medelstora företag, och som ger fysiska personer i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter samt ålägger personuppgiftsansvariga och personuppgiftsbiträden ansvar, så att övervakningen av behandling av personuppgifter blir enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyndigheterna i olika medlemsstater effektivt. …

…

(74)

Personuppgiftsansvariga bör åläggas ansvaret för all behandling av personuppgifter som de utför eller som utförs på deras vägnar. Personuppgiftsansvariga bör särskilt vara skyldiga att vidta lämpliga och effektiva åtgärder och kunna visa att behandlingen är förenlig med denna förordning, även vad gäller åtgärdernas effektivitet. Man bör inom dessa åtgärder beakta behandlingens art, omfattning, sammanhang och ändamål samt risken för fysiska personers rättigheter och friheter.

…

(129)

För att denna förordning ska övervakas och verkställas på ett enhetligt sätt i hela unionen bör tillsynsmyndigheterna i alla medlemsstater ha samma uppgifter och effektiva befogenheter, bland annat undersökningsbefogenheter, korrigerande befogenheter och befogenheter att ålägga sanktioner … Framför allt bör varje åtgärd vara lämplig, nödvändig och proportionell för att säkerställa efterlevnad av denna förordning, med beaktande av omständigheterna i varje enskilt fall, samt respektera varje persons rätt att bli hörd innan några enskilda åtgärder som påverkar honom eller henne negativt vidtas och vara utformad så att onödiga kostnader och alltför stora olägenheter för de berörda personerna undviks. Undersökningsbefogenheten när det gäller tillträde till lokaler bör utövas i enlighet med särskilda krav i medlemsstaternas nationella processrätt, såsom kravet på att inhämta förhandstillstånd från rättsliga myndigheter. Varje rättsligt bindande åtgärd som vidtas av tillsynsmyndigheten bör vara skriftlig, klar och entydig, innehålla information om vilken tillsynsmyndighet som har utfärdat åtgärden och datum för utfärdandet, vara undertecknad av tillsynsmyndighetens chef eller en av dess ledamöter efter dennes bemyndigande samt innehålla en motivering till åtgärden och en hänvisning till rätten till ett effektivt rättsmedel. Detta bör inte utesluta ytterligare krav enligt medlemsstaternas nationella processrätt. …

…

(150)

För att förstärka och harmonisera de administrativa sanktionerna för överträdelser av denna förordning bör samtliga tillsynsmyndigheter ha befogenhet att utfärda administrativa sanktionsavgifter. Det bör i denna förordning anges vilka överträdelserna är, den övre gränsen för och kriterierna för fastställande av de administrativa sanktionsavgifterna, som i varje enskilt fall bör bestämmas av den behöriga tillsynsmyndigheten med beaktande av alla relevanta omständigheter i det särskilda fallet, med vederbörlig hänsyn bland annat till överträdelsens karaktär, svårighetsgrad och varaktighet samt till dess följder och till de åtgärder som vidtas för att sörja för fullgörandet av skyldigheterna enligt denna förordning och för att förebygga eller lindra konsekvenserna av överträdelsen. Om de administrativa sanktionsavgifterna åläggs ett företag, bör ett företag i detta syfte anses vara ett företag i den mening som avses i artiklarna 101 och 102 [FEUF]. …”

I artikel 4 i dataskyddsförordningen föreskrivs följande:

”I denna förordning avses med

…

personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt,

8)	personuppgiftsbiträde: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning,

…

18)	företag: en fysisk eller juridisk person som bedriver ekonomisk verksamhet, oavsett dess juridiska form, vilket inbegriper partnerkap eller föreningar som regelbundet bedriver ekonomisk verksamhet,

…”

I artikel 58 i dataskyddsförordningen, som har rubriken ”Befogenheter”, föreskrivs följande i punkterna 2 och 4:

”2. Varje tillsynsmyndighet ska ha samtliga följande korrigerande befogenheter

a)	Utfärda varningar till en personuppgiftsansvarig eller personuppgiftsbiträdet om att planerade behandlingar sannolikt kommer att bryta mot bestämmelserna i denna förordning.

b)	Utfärda reprimander till en personuppgiftsansvarig eller personuppgiftsbiträdet om behandling bryter mot bestämmelserna i denna förordning.

…

d)	Förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att se till att behandlingen sker i enlighet med bestämmelserna i denna förordning och om så krävs på ett specifikt sätt och inom en specifik period.

…

f)	Införa en tillfällig eller definitiv begränsning av, inklusive ett förbud mot, behandling.

…

i)	Påföra administrativa sanktionsavgifter i enlighet med artikel 83 utöver eller i stället för de åtgärder som avses i detta stycke, beroende på omständigheterna i varje enskilt fall.

…

4. Utövandet av de befogenheter som tillsynsmyndigheten tilldelas enligt denna artikel ska omfattas av lämpliga skyddsåtgärder, inbegripet effektiva rättsmedel och rättssäkerhet, som fastställs i unionsrätten och i medlemsstaternas nationella rätt i enlighet med [Europeiska unionens stadga om de grundläggande rättigheterna].”

I artikel 83 i samma förordning, som har rubriken ”Allmänna villkor för påförande av administrativa sanktionsavgifter”, föreskrivs följande:

”1. Varje tillsynsmyndighet ska säkerställa att påförande av administrativa sanktionsavgifter i enlighet med denna artikel för sådana överträdelser av denna förordning som avses i punkterna 4, 5 och 6 i varje enskilt fall är effektivt, proportionellt och avskräckande.

2. Administrativa sanktionsavgifter ska, beroende på omständigheterna i det enskilda fallet, påföras utöver eller i stället för de åtgärder som avses i artikel 58.2 a–h och j. Vid beslut om huruvida administrativa sanktionsavgifter ska påföras och om beloppet för de administrativa sanktionsavgifterna i varje enskilt fall ska vederbörlig hänsyn tas till följande:

a)	Överträdelsens karaktär, svårighetsgrad och varaktighet med beaktande av den aktuella uppgiftsbehandlingens karaktär, omfattning eller syfte samt antalet berörda registrerade och den skada som de har lidit.

b)	Om överträdelsen skett med uppsåt eller genom oaktsamhet.

c)	De åtgärder som den personuppgiftsansvarige eller personuppgiftsbiträdet har vidtagit för att lindra den skada som de registrerade har lidit.

d)	Graden av ansvar hos den personuppgiftsansvarige eller personuppgiftsbiträdet med beaktande av de tekniska och organisatoriska åtgärder som genomförts av dem i enlighet med artiklarna 25 och 32.

e)	Eventuella relevanta tidigare överträdelser som den personuppgiftsansvarige eller personuppgiftsbiträdet gjort sig skyldig till.

f)	Graden av samarbete med tillsynsmyndigheten för att komma till rätta med överträdelsen och minska dess potentiella negativa effekter.

g)	De kategorier av personuppgifter som påverkas av överträdelsen.

h)	Det sätt på vilket överträdelsen kom till tillsynsmyndighetens kännedom, särskilt huruvida och i vilken omfattning den personuppgiftsansvarige eller personuppgiftsbiträdet anmälde överträdelsen.

i)	När åtgärder enligt artikel 58.2 tidigare har förordnats mot den berörda personuppgiftsansvarige eller personuppgiftsbiträdet vad gäller samma sakfråga, efterlevnad av dessa åtgärder.

j)	Tillämpandet av godkända uppförandekoder i enlighet med artikel 40 eller godkända certifieringsmekanismer i enlighet med artikel 42.

k)	Eventuell annan försvårande eller förmildrande faktor som är tillämplig på omständigheterna i fallet, såsom ekonomisk vinst som görs eller förlust som undviks, direkt eller indirekt, genom överträdelsen.

3. Om en personuppgiftsansvarig eller ett personuppgiftsbiträde, med avseende på en och samma eller sammankopplade uppgiftsbehandlingar, uppsåtligen eller av oaktsamhet överträder flera av bestämmelserna i denna förordning får den administrativa sanktionsavgiftens totala belopp inte överstiga det belopp som fastställs för den allvarligaste överträdelsen.

4. Vid överträdelser av följande bestämmelser ska det i enlighet med punkt 2 påföras administrativa sanktionsavgifter på upp till 10000000 [euro] eller, om det gäller ett företag, på upp till 2 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst:

a)	Personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter enligt artiklarna 8, 11, 25–39, 42 och 43.

…

5. Vid överträdelser av följande bestämmelser ska det i enlighet med punkt 2 påföras administrativa sanktionsavgifter på upp till 20000000 [euro] eller, om det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst:

a)	De grundläggande principerna för behandling, inklusive villkoren för samtycke, enligt artiklarna 5, 6, 7 och 9.

b)	Registrerades rättigheter enligt artiklarna 12–22. …

d)	Alla skyldigheter som följer av medlemsstaternas lagstiftning som antagits på grundval av kapitel IX.

Underlåtenhet att rätta sig efter ett föreläggande eller en tillfällig eller permanent begränsning av behandling av uppgifter eller ett beslut om att avbryta uppgiftsflödena som meddelats av tillsynsmyndigheten i enlighet med artikel 58.2 eller underlåtelse att ge tillgång till uppgifter i strid med artikel 58.1.

6. Vid underlåtenhet att rätta sig efter ett föreläggande från tillsynsmyndigheten i enlighet med artikel 58.2 ska det i enlighet med punkt 2 i den här artikeln påföras administrativa sanktionsavgifter på upp till 20000000 [euro] eller, om det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst:

7. Utan att det påverkar tillsynsmyndigheternas korrigerande befogenheter enligt artikel 58.2 får varje medlemsstat fastställa regler för huruvida och i vilken utsträckning administrativa sanktionsavgifter kan påföras offentliga myndigheter och organ som är inrättade i medlemsstaten.

8. Tillsynsmyndighetens utövande av sina befogenheter enligt denna artikel ska omfattas av lämpliga rättssäkerhetsgarantier i enlighet med unionsrätten och medlemsstaternas nationella rätt, inbegripet effektiva rättsmedel och rättssäkerhet.

…”

Tysk rätt

I 41 § 1 första meningen i Bundesdatenschutzgesetz (den federala dataskyddslagen) av den 30 juni 2017 (BGBl. 2017 I, s. 2097) föreskrivs att bestämmelserna i Gesetz über Ordnungswidrigkeiten (lag om administrativa överträdelser) av den 24 maj 1968 (BGBl. 1968 I, s. 481) i dess lydelse enligt tillkännagivandet av den 19 februari 1987 (BGBl. 1987 I, s. 602), ändrad genom lagen av den 19 juni 2020 (BGBl. 2020 I, s. 1350) (nedan kallad OWiG), ska, såvida inte annat föreskrivs i nämnda lag, tillämpas på de överträdelser som avses i artikel 83.4–83.6 i dataskyddsförordningen.

I 30 § OWiG, som har rubriken ”Böter som åläggs juridiska personer och personsammanslutningar”, föreskrivs följande:

”När en person som agerar

1.	i egenskap av organ som är behörigt att företräda en juridisk person eller som medlem av ett sådant organ,

2.	i egenskap av ordförande för en sammanslutning som inte har rättskapacitet eller som medlem av dess presidium,

3.	i egenskap av delägare med behörighet att företräda ett personbolag med rättskapacitet,

4.	i egenskap av befullmäktigad representant eller vid utövandet av en ledande befattning i egenskap av befullmäktigad representant eller handelsombud för en sådan juridisk person eller sammanslutning av personer som avses i punkt 2 eller 3, eller

5.	i egenskap av varje annan person som ansvarar för affärsverksamhetens eller företagets ledning hos en juridisk person eller en sådan sammanslutning av personer som avses i punkt 2 eller 3, inbegripet övervakning av ledningen eller utövande av andra kontrollbefogenheter i ledande ställning,

har gjort sig skyldig till ett brott eller en administrativ överträdelse, på så sätt att den juridiska personen eller sammanslutningen av personer har åsidosatt sina skyldigheter eller när denna juridiska person eller sammanslutning av personer har berikats eller skulle ha berikats, kan en sådan juridisk person eller sammanslutning av personer påföras böter.

…

4. Om ett brott eller en administrativ överträdelse inte leder till att ett straffrättsligt förfarande eller ett bötesförfarande inleds, eller om handläggningen av ett sådant förfarande avslutas eller om påföljdseftergift meddelas, kan böter påföras oavsett. Enligt lag kan även föreskrivas att böter även i andra fall kan påföras på ett oberoende sätt. Sådana böter mot en juridisk person eller en sammanslutning av personer kan emellertid inte komma i fråga när brottet eller den administrativa förseelsen inte kan beivras på rättsliga grunder …”

I 130 § OWiG föreskrivs följande:

”(1) Den som i egenskap av ägare till en verksamhet eller ett företag uppsåtligen eller av oaktsamhet underlåter att vidta de nödvändiga tillsynsåtgärder för att inom verksamheten eller företaget förhindra att en ägare åsidosätter sina skyldigheter, och om detta åsidosättande är belagt med straff eller böter, ska anses ha gjort sig skyldig till en administrativ överträdelse om en sådan överträdelse begås som skulle kunna ha förhindrats eller avsevärt försvårats om lämpliga tillsynsåtgärder vidtagits. De nödvändiga tillsynsåtgärderna ska även omfatta utnämning, noggrant urval och övervakning av personer med tillsynsuppgifter.

…

(3) När en underlåtenhet att uppfylla en skyldighet är belagd med påföljd, kan den administrativa överträdelsen beivras med böter på högst 1 miljon euro. 30 § 2 tredje meningen ska tillämpas. När en underlåtenhet att uppfylla en skyldighet kan bli föremål för böter, ska det högsta bötesbelopp som påförs för åsidosättandet av tillsynsskyldigheten bestämmas i förhållande till det högsta bötesbelopp som kan påföras för åsidosättandet av skyldigheten. …”

Målet vid den nationella domstolen och tolkningsfrågorna

10	DW är ett börsnoterat fastighetsbolag, med säte i Berlin (Tyskland), som har bildats i form av europabolag. Bolaget innehar indirekt, genom andelar i olika bolag, ungefär 163000 bostäder och 3000 affärslokaler.

Ägarna till dessa bostäder och lokaler är dotterbolag till DW, så kallade ”ägarbolag”, som ansvarar för den operativa verksamheten, medan DW svarar för den övergripande ledningen för den koncern som DW bildar tillsammans med bland annat dessa bolag. Ägarbolagen hyr ut affärslokalerna och bostäderna, vilka förvaltas av andra bolag i koncernen, så kallade servicebolag.

12	Inom ramen för sin affärsverksamhet behandlar DW och bolagen i den koncern som bolaget leder personuppgifter från fastigheternas hyresgäster. Dessa uppgifter utgörs bland annat av identitetshandlingar, skatteuppgifter, uppgifter om social- och sjukförsäkring samt uppgifter om tidigare hyresavtal.

Den 23 juni 2017 genomförde Berliner Beauftragte für den Datenschutz (ombudsmannen för dataskydd i Berlin, Tyskland) (nedan kallad tillsynsmyndigheten) en kontroll på plats av DW. Tillsynsmyndigheten uppmärksammade DW på den omständigheten att koncernbolagen lagrade handlingar med personuppgifter från hyresgästerna i ett elektroniskt arkivsystem vilket inte gjorde det möjligt att kontrollera huruvida lagringen var nödvändig eller säkerställa att uppgifter som inte längre behövdes raderades.

14	Tillsynsmyndigheten begärde att DW skulle radera dessa handlingar från sitt elektroniska arkivsystem senast i slutet av år 2017. Som svar på denna begäran uppgav DW att denna radering inte var möjlig av tekniska och rättsliga skäl.

15	Efter skriftväxling mellan DW och tillsynsmyndigheten angående möjligheten att radera de aktuella handlingarna, underrättade DW myndigheten om sin avsikt att införa ett nytt system för att lagra uppgifter i syfte att ersätta det system som innehöll dessa handlingar.

16	Den 5 mars 2019 genomförde tillsynsmyndigheten en kontroll vid huvudkontoret för den av DW styrda koncernen. DW meddelade tillsynsmyndigheten vid denna kontroll att det kritiserade arkivsystemet redan hade tagits ur drift och att uppgifterna snarast skulle överföras till det nya lagringssystemet.

Genom beslut av den 30 oktober 2019 påförde tillsynsmyndigheten DW en administrativ sanktionsavgift på 14385000 euro för uppsåtligt åsidosättande av artikel 5.1 a, c och e samt artikel 25.1 i dataskyddsförordningen (nedan kallat det aktuella beslutet). Genom detta beslut påförde myndigheten även DW 15 andra sanktionsavgifter på mellan 3000 och 17000 euro för åsidosättande av artikel 6.1 i dataskyddsförordningen.

Tillsynsmyndigheten anförde särskilt i det aktuella beslutet att DW mellan den 25 maj 2018 och den 5 mars 2019 avsiktligt hade underlåtit att vidta nödvändiga åtgärder för att regelbundet radera sådana personuppgifter om hyresgäster som inte längre var nödvändiga eller som av något annat skäl hade lagrats felaktigt. Tillsynsmyndigheten påpekade även att DW, utan att detta var nödvändigt, hade fortsatt att lagra personuppgifter om minst 15 hyresgäster som var mer precist identifierbara.

19	DW överklagade detta beslut till Landgericht Berlin (Regionala domstolen i Berlin, Tyskland). Nämnda domstol avskrev målet med motiveringen att det aktuella beslutet var behäftat med så allvarliga fel att det inte kunde ligga till grund för påförande av sanktionsavgifter.

Landgericht Berlin (Regionala domstolen i Berlin) påpekade bland annat att påförandet av böter för en juridisk person regleras uttömmande i 30 § OWiG, vilken enligt 41 § 1 i den federala dataskyddslagen är tillämplig på sådana överträdelser som avses i artikel 83.4–83.6 i dataskyddsförordningen. Enligt 30 § OWiG kan en administrativ överträdelse endast fastställas vad avser en fysisk person och inte en juridisk person. Dessutom kan den juridiska personen endast tillskrivas ansvar för sådana åtgärder som vidtas av dess företrädare eller av medlemmarna i dess ledning. Även om ett oberoende administrativt överträdelseförfarande enligt 30 § 4 OWiG på vissa villkor kan inledas mot en juridisk person, skulle det dock även därvid krävas att den administrativa överträdelsen begåtts av den juridiska personens företrädare eller av medlemmar i dess ledning.

21	Staatsanwaltschaft Berlin (åklagarmyndigheten i Berlin) överklagade detta beslut till Kammergericht Berlin (Regionala överdomstolen i Berlin, Tyskland), som är den hänskjutande domstolen.

Den hänskjutande domstolen vill för det första få klarhet i huruvida administrativa sanktionsavgifter, med tillämpning av artikel 83 i dataskyddsförordningen, ska kunna påföras en juridisk person utan att överträdelsen av förordningen först har tillskrivits en identifierad fysisk person. I detta sammanhang vill den hänskjutande domstolen bland annat få klarhet i huruvida företagsbegreppet i den mening som avses i artiklarna 101 och 102 FEUF är relevant.

Den hänskjutande domstolen har i detta avseende förklarat att enligt nationell rättspraxis står det system med begränsat ansvar för juridiska personer som finns i nationell rätt i strid med det system med direkt ansvar för företag som föreskrivs i artikel 83 i dataskyddsförordningen. Enligt denna rättspraxis framgår det bland annat av ordalydelsen i artikel 83 i dataskyddsförordningen, som i enlighet med principen om unionsrättens företräde ska vinna företräde framför nationell rätt, att administrativa sanktionsavgifter kan påföras företag. Det oaktsamma handlandet måste således inte kunna knytas till den juridiska personens ledning eller företrädare för att sådana sanktionsavgifter ska kunna påföras, i motsats till vad som krävs enligt tillämplig nationell rätt.

Enligt den hänskjutande domstolen tillmäts företagsbegreppet, i den mening som avses i artiklarna 101 och 102 FEUF, särskild vikt enligt denna rättspraxis, och även enligt merparten av uttalanden i nationell juridisk doktrin. Särskild vikt ska även tillmätas tanken att ansvar ska tillskrivas den ekonomiska enhet inom vilken det oönskade, exempelvis konkurrensbegränsande, beteendet har ägt rum. Enligt detta ”funktionella” synsätt ska alla åtgärder som vidtas av samtliga anställda som är behöriga att agera för ett företags räkning tillskrivas företaget, även vad gäller administrativa sanktionsåtgärder.

För det fall EU-domstolen skulle anse att administrativa sanktionsavgifter ska kunna påföras en juridisk person direkt, vill den hänskjutande domstolen för det andra få klarhet i vilka kriterier som ska tillämpas för att fastställa ansvaret för en juridisk person, i egenskap av företag, för ett åsidosättande av dataskyddsförordningen. Den hänskjutande domstolen vill bland annat få klarhet i huruvida administrativa sanktionsavgifter kan påföras en juridisk person med stöd av artikel 83 i denna förordning utan att det har visats att den överträdelse av förordningen som läggs denna person till last har skett av oaktsamhet.

Mot denna bakgrund har Kammergericht Berlin (Regionala överdomstolen i Berlin) beslutat att vilandeförklara målet och ställa följande tolkningsfrågor till EU-domstolen:

”1)

Ska artikel 83.4–83.6 i dataskyddsförordningen tolkas så, att den i nationell rätt integrerar det funktionella företagsbegreppet och funktionsprincipen (Funktionsträgerprinzip), i den mening som avses i artiklarna 101 och 102 FEUF, med den följden att ett förfarande för administrativa sanktioner, genom en utvidgning av rättssubjektsprincipen (Rechtsträgerprinzip) som ligger till grund för 30 § OWiG … kan inledas direkt mot ett företag och det för påförande av administrativa sanktionsavgifter inte krävs att det konstateras att en fysisk identifierad person har begått någon överträdelse, i förekommande fall ansvarsgrundande sådan?

Om fråga 1 besvaras jakande: Ska artikel 83.4–83.6 i dataskyddsförordningen tolkas så, att företaget uppsåtligen eller av oaktsamhet måste ha begått överträdelsen genom en medarbetares medverkan (se artikel 23 i rådets förordning (EG) nr 1/2003 av den 16 december 2002 om tillämpning av konkurrensreglerna i artiklarna 81 och 82 i fördraget (EGT L 1, 2003, s. 1)), eller är det för att företaget ska kunna åläggas böter i princip tillräckligt att det kan tillskrivas ett objektivt åsidosättande av sina skyldigheter (strikt ansvar)?”

Prövning av begäran om återupptagande av det muntliga förfarandet

27	Efter förhandlingen den 17 januari 2023 har DW, genom skrivelse som inkom till EU-domstolens kansli den 23 mars 2023, begärt att EU-domstolen med stöd av artikel 83 i domstolens rättegångsregler ska återuppta den muntliga delen av förfarandet.

Till stöd för sin begäran har DW i huvudsak gjort gällande att den hänskjutande domstolens svar på den av EU-domstolen med stöd av artikel 101 i rättegångsreglerna framställda begäran om klarlägganden, innebär att EU-domstolen getts felaktig information om tillämpliga bestämmelser i nationell rätt. Det var emellertid inte möjligt att på ett uttömmande sätt diskutera denna fråga vid förhandlingen den 17 januari 2023, eftersom parterna fick kännedom om dessa svar först tre arbetsdagar innan förhandlingen. Denna korta frist gjorde det nämligen inte möjligt att förbereda förhandlingen ingående.

I enlighet med artikel 83 i domstolens rättegångsregler får domstolen visserligen, efter att ha hört generaladvokaten, när som helst, besluta att den muntliga delen av förfarandet ska återupptas, bland annat om domstolen anser att den inte har tillräcklig kännedom om omständigheterna i målet, eller om en part, efter det att den muntliga delen har förklarats avslutad, har lagt fram en ny omständighet som kan ha ett avgörande inflytande på målets utgång, eller om målet ska avgöras på grundval av ett argument som inte har avhandlats mellan parterna.

I förevarande fall har domstolen emellertid tillgång till alla uppgifter som den behöver för att kunna avgöra det aktuella målet. Målet ska vidare inte heller avgöras på grundval av något argument som inte har avhandlats mellan de berörda parterna. Begäran om återupptagande av den muntliga delen av förfarandet innehåller inte heller någon ny omständighet som kan ha ett avgörande inflytande på målets utgång.

31	Under dessa omständigheter finner domstolen, efter att ha hört generaladvokaten, att det saknas skäl att besluta om återupptagande av den muntliga delen av förfarandet.

Prövning av tolkningsfrågorna

Den första frågan

Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida artikel 58.2 och artikel 83.1–83.6 i dataskyddsförordningen ska tolkas så, att de utgör hinder för nationell lagstiftning enligt vilken administrativa sanktionsavgifter kan påföras en juridisk person i dennes egenskap av personuppgiftsansvarig för en sådan överträdelse som avses i artikel 83.4–83.6 i denna förordning endast om överträdelsen först har tillskrivits en identifierad fysisk person.

Det ska inledningsvis påpekas att den tyska regeringen i sitt skriftliga yttrande har uttryckt tvivel beträffande den hänskjutande domstolens tolkning av nationell rätt, med motiveringen att 130 § OWiG gör det möjligt att påföra en juridisk person böter även i andra fall än de som avses i 30 § OWiG. Dessa två bestämmelser gör det dessutom möjligt att påföra så kallade ”anonyma” böter inom ramen för ett förfarande som inletts mot företaget, utan att det är nödvändigt att identifiera den fysiska person som har gjort sig skyldig till överträdelsen i fråga.

34	Som svar på EU-domstolens begäran om klarlägganden (se punkt 28 ovan) angav den hänskjutande domstolen att 130 § OWiG saknar betydelse för den första frågan.

Enligt den hänskjutande domstolen avser denna bestämmelse nämligen ägaren till en verksamhet eller ett företag som uppsåtligen eller av oaktsamhet har åsidosatt sin tillsynsskyldighet. Det är emellertid mycket komplicerat och ofta omöjligt att bevisa att företagets ägare har underlåtit att uppfylla sina skyldigheter. Frågan huruvida en företagskoncern kan betecknas som ”företag” eller som ”ägare till företag” i den mening som avses i nämnda bestämmelse är vidare föremål för diskussion på nationell nivå. Den första tolkningsfrågan är i vart fall även relevant i detta sammanhang.

EU-domstolen gör i denna del följande bedömning. När det gäller tolkningen av bestämmelser i den nationella rättsordningen är EU-domstolen i princip skyldig att grunda sig på de rättsliga kvalificeringar som följer av beslutet om hänskjutande. Enligt fast rättspraxis är EU-domstolen nämligen inte behörig att tolka en medlemsstats nationella rätt (dom av den 26 januari 2021, Hessischer Rundfunk,C‑422/19 och C‑423/19, EU:C:2021:63, punkt 31 och där angiven rättspraxis).

Den första tolkningsfrågan ska således besvaras med utgångspunkt i antagandet att administrativa sanktionsavgifter enligt tillämplig nationell rätt kan påföras en juridisk person i dess egenskap av personuppgiftsansvarig för en sådan överträdelse som avses i artikel 83.4–83.6 i dataskyddsförordningen endast om de krav som föreskrivs i 30 § OWiG, såsom de beskrivits av den hänskjutande domstolen, är uppfyllda.

För att besvara den första frågan ska det inledningsvis påpekas att de principer, förbud och skyldigheter som föreskrivs i dataskyddsförordningen särskilt riktar sig till ”personuppgiftsansvariga”, vars ansvar, såsom understryks i skäl 74 i dataskyddsförordningen, omfattar all personuppgiftsbehandling som de utför själva eller som utförs på deras vägnar. De är således skyldiga inte bara att vidta lämpliga och effektiva åtgärder, utan även att kunna visa att deras behandling är förenlig med dataskyddsförordningen, inbegripet att de åtgärder som vidtas för att säkerställa en sådan efterlevnad är effektiva. Det är detta ansvar som, vid en sådan överträdelse som avses i artikel 83.4–83.6 i förordningen, utgör grunden för att påföra den personuppgiftsansvarige administrativa sanktionsavgifter med tillämpning av nämnda artikel 83.

I artikel 4.7 i dataskyddsförordningen ges en vid definition av begreppet ”personuppgiftsansvarig”. Med begreppet avses fysiska eller juridiska personer, offentliga myndigheter, institutioner eller andra organ som ensamma eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.

Syftet med denna vida definition i artikel 4.7 i dataskyddsförordningen – vari det uttryckligen anges att juridiska personer ska ingå – är att i överensstämmelse med dataskyddsförordningens syfte säkerställa ett effektivt skydd för fysiska personers grundläggande fri- och rättigheter och, i synnerhet, en hög skyddsnivå för envars rätt till skydd av de personuppgifter som rör honom eller henne (se, för ett liknande resonemang, dom av den 29 juli 2019, Fashion ID,C‑40/17, EU:C:2019:629, punkt 66 och dom av den 28 april 2022, Meta Platforms Ireland,C‑319/20, EU:C:2022:322, punkt 73 samt där angiven rättspraxis).

Domstolen har redan slagit fast att en fysisk eller juridisk person som för egna syften utövar inflytande över behandlingen av personuppgifter, och därigenom deltar i bestämmandet av ändamål och medel för behandlingen, kan anses vara personuppgiftsansvarig vid behandling av de aktuella personuppgifterna (se, för ett liknande resonemang, dom av den 10 juli 2018, Jehovan todistajat,C‑25/17, EU:C:2018:551, punkt 68).

Det följer således av ordalydelsen i och syftet med artikel 4.7 i dataskyddsförordningen att unionslagstiftaren, vid fastställandet av ansvar enligt denna förordning, inte har gjort någon åtskillnad mellan fysiska och juridiska personer. Det enda villkor som gäller för detta ansvar är att dessa personer, var för sig eller tillsammans med andra, bestämmer ändamålen och medlen för behandlingen av personuppgifter.

Med förbehåll för vad som föreskrivs i artikel 83.7 i dataskyddsförordningen avseende offentliga myndigheter och organ, är varje person som uppfyller detta villkor – oavsett om det rör sig om en fysisk person, en juridisk person, en offentlig myndighet, en myndighet eller ett annat organ – ansvarig för varje överträdelse som avses i artikel 83.4–83.6 och som denne begår eller som begås på dess vägnar.

När det gäller juridiska personer innebär detta, såsom generaladvokaten har framhållit i punkterna 57–59 i sitt förslag till avgörande, att dessa inte bara är ansvariga för överträdelser som begåtts av deras företrädare, direktörer eller förvaltare, utan även av varje annan person som agerar inom ramen för dessa juridiska personers affärsverksamhet och för deras räkning. När juridiska personer kan anses vara personuppgiftsansvariga för den ifrågavarande behandlingen ska de administrativa sanktionsavgifter som för sådana överträdelser föreskrivs i artikel 83 i dataskyddsförordningen vidare kunna påföras dessa personer direkt.

I artikel 58.2 i dataskyddsförordningen fastställs i detalj vilka korrigerande befogenheter tillsynsmyndigheterna har, utan att hänvisa till medlemsstaternas lagstiftning eller lämna något utrymme för skönsmässig bedömning till dessa stater. Dessa befogenheter, bland vilka återfinns befogenheten att påföra administrativa sanktionsavgifter enligt artikel 58.2 i) i denna bestämmelse, gäller emellertid för den personuppgiftsansvarige och en sådan ansvarig kan, såsom framgår av punkt 39 ovan, vara såväl en fysisk som en juridisk person. De materiella krav som en tillsynsmyndighet ska uppfylla vid påförandet av sådana sanktionsavgifter fastställs i artikel 83.1–83.6 i dataskyddsförordningen i detalj, utan att medlemsstaterna i detta hänseende ges något handlingsutrymme.

Det följer således av en jämförelse mellan artikel 4.7, artikel 83 och artikel 58.2 i) i dataskyddsförordningen att administrativa sanktionsavgifter för sådana överträdelser som avses i artikel 83.4–83.6 även kan påföras juridiska personer om de är personuppgiftsansvariga. Det följer däremot inte av någon bestämmelse i dataskyddsförordningen att en förutsättning för att påföra en juridisk person sanktionsavgifter i egenskap av personuppgiftsansvarig skulle vara att en identifierad fysisk person först har konstaterats vara ansvarig för den ifrågavarande överträdelsen.

Det framgår visserligen av artiklarna 58.4 och 83.8 i dataskyddsförordningen, jämförda med skäl 129 i samma förordning, att tillsynsmyndighetens befogenheter enligt dessa artiklar ska utövas i överensstämmelse med lämpliga processuella skyddsregler i enlighet med unionsrätten och medlemsstaternas nationella rätt, inbegripet effektiva rättsmedel och rättssäkerhet.

Den omständigheten att medlemsstaterna enligt dataskyddsförordningen ges möjlighet att föreskriva villkor för det förfarande som tillsynsmyndigheterna ska tillämpa vid påförande av administrativa sanktionsavgifter innebär emellertid på intet sätt att de även ges behörighet att utöver sådana processuella villkor föreskriva ytterligare materiella krav än dem som fastställs i nämnda artikel 83.1–83.6. Den omständigheten att unionslagstiftaren har lagt sig vinn om att uttryckligen föreskriva denna möjlighet men inte möjligheten att föreskriva sådana ytterligare materiella krav bekräftar att medlemsstaterna inte medges något handlingsutrymme i detta avseende. Dessa materiella krav omfattas således enbart av unionsrätten.

49	Den ovannämnda bokstavstolkningen av artiklarna 58.2 och 83.1–83.6 i dataskyddsförordningen vinner stöd av förordningens syfte.

Det framgår särskilt av skäl 10 i dataskyddsförordningen att förordningens bestämmelser bland annat syftar till att säkerställa en enhetlig och hög skyddsnivå för fysiska personer vid behandling av personuppgifter inom unionen och till att säkerställa att bestämmelserna om skydd av fysiska personers grundläggande fri- och rättigheter vid behandling av personuppgifter tillämpas på ett konsekvent och enhetligt sätt i hela unionen. I skälen 11 och 129 i dataskyddsförordningen talas dessutom just om vikten av att se till att förordningen tillämpas på ett konsekvent sätt och i samband med detta framhålls behovet av att säkerställa att tillsynsmyndigheterna har likvärdiga befogenheter i fråga om övervakning och tillsyn av efterlevnaden av bestämmelserna om skydd av personuppgifter och att de kan påföra likvärdiga sanktioner vid överträdelser av förordningen.

Om medlemsstaterna tilläts att unilateralt kräva, som ett nödvändigt villkor för att påföra en personuppgiftsansvarig som är en juridisk person administrativa sanktionsavgifter med tillämpning av artikel 83 dataskyddsförordningen, att en identifierad fysisk person först tillskrivs eller kan hållas ansvarig för den aktuella överträdelsen, skulle detta strida mot ovannämnda syfte med dataskyddsförordningen. Ett sådant ytterligare krav skulle dessutom i slutändan riskera att försvaga effektiviteten och den avskräckande verkan av administrativa sanktionsavgifter som påförs juridiska personer i egenskap av personuppgiftsansvariga, i strid med artikel 83.1 i dataskyddsförordningen.

I artikel 288 andra stycket FEUF föreskrivs att en unionsförordning till alla delar är bindande och direkt tillämplig i varje medlemsstat, vilket utesluter att medlemsstaterna själva antar inhemska bestämmelser som påverkar förordningens räckvidd om inget undantag föreskrivs i förordningen. Medlemsstaterna har enligt EUF-fördraget blivit skyldiga att inte hindra förordningars direkta tillämplighet. De får i synnerhet inte anta rättsakter som medför att en rättsregels unionskaraktär och de verkningar som är följden härav döljs för medborgarna (dom av den 15 november 2012, Al-Aqsa/rådet och Nederländerna/Al-Aqsa, C‑539/10 P och C‑550/10 P, EU:C:2012:711, punkterna 86 och 87 samt där angiven rättspraxis).

Mot bakgrund av den hänskjutande domstolens frågor ska det slutligen påpekas att företagsbegreppet, i den mening som avses i artiklarna 101 och 102 FEUF, saknar betydelse för frågan huruvida och på vilka villkor administrativa sanktionsavgifter kan påföras en personuppgiftsansvarig som är en juridisk person, med tillämpning av artikel 83 i dataskyddsförordningen. Denna fråga regleras nämligen uttömmande i artiklarna 58.2 och 83.1–83.6 i förordningen.

54	Företagsbegreppet är nämligen endast relevant för att fastställa beloppet på de administrativa sanktionsavgifter som en personuppgiftsansvarig kan påföras med stöd av artikel 83.4–83.6 i dataskyddsförordningen.

Hänvisningen i skäl 150 i förordningen till företagsbegreppet, i den mening som avses i artiklarna 101 och 102 FEUF, ska, såsom generaladvokaten har framhållit i punkt 45 i sitt förslag till avgörande, förstås i det specifika sammanhang som avser beräkningen av administrativa sanktionsavgifter vid sådana överträdelser som anges i artikel 83.4–836 i dataskyddsförordningen.

Vid tillämpningen av konkurrensreglerna i artiklarna 101 och 102 FEUF omfattar företagsbegreppet varje enhet som bedriver ekonomisk verksamhet, oavsett enhetens rättsliga form och oavsett hur den finansieras. Begreppet avser således en ekonomisk enhet oavsett om denna ur rättslig synvinkel består av flera fysiska eller juridiska personer. En sådan ekonomisk enhet består av en enhetlig organisation med personal samt materiella och immateriella tillgångar, vilken på ett varaktigt sätt strävar efter att uppnå ett bestämt ekonomiskt mål (dom av den 6 oktober 2021, Sumal,C‑882/19, EU:C:2021:800, punkt 41 och där angiven rättspraxis).

Det framgår således av artikel 83.4–83.6 i dataskyddsförordningen, som avser beräkningen av administrativa sanktionsavgifter vid de överträdelser som där anges, att om den som påförs dem är ett företag eller ingår i ett, i den mening som avses i artiklarna 101 och 102 FEUF, ska sanktionsavgifternas maximala belopp beräknas på grundval av en procentandel av det berörda företagets totala globala årsomsättning under föregående räkenskapsår.

Såsom generaladvokaten har påpekat i punkt 47 i sitt förslag till avgörande är det i slutändan endast sådana administrativa sanktionsavgifter vars belopp fastställs på grundval av mottagarens faktiska eller materiella ekonomiska kapacitet, och som tillsynsmyndigheten således påför, vad gäller avgiftsbeloppet, med stöd av begreppet ekonomisk enhet i den mening som avses i rättspraxis (se punkt 56 ovan), som kan uppfylla de tre villkor som uppställs i artikel 83.1 i dataskyddsförordningen, nämligen att de på samma gång ska vara effektiva, proportionerliga och avskräckande.

När en tillsynsmyndighet med stöd av sina befogenheter enligt artikel 58.2 i dataskyddsförordningen beslutar att påföra en personuppgiftsansvarig, som är ett företag eller ingår i ett, i den mening som avses i artiklarna 101 och 102 FEUF, administrativa sanktionsavgifter med tillämpning av artikel 83 i förordningen, är denna myndighet således skyldig att, enligt sistnämnda bestämmelse, jämförd med skäl 150 i samma förordning, vid beräkningen av dessa sanktionsavgifter för de överträdelser som avses i artikel 83.4–83.6, grunda sig på företagsbegreppet i den mening som avses i artiklarna 101 och 102 FEUF.

Mot bakgrund av ovanstående överväganden ska den första frågan besvaras enligt följande. Artikel 58.2 i och artikel 83.1–83.6 i dataskyddsförordningen ska tolkas så, att de utgör hinder för nationell lagstiftning enligt vilken administrativa sanktionsavgifter kan påföras en juridisk person i dennes egenskap av personuppgiftsansvarig för en sådan överträdelse som avses i artikel 83.4–83.6 endast om överträdelsen först har tillskrivits en identifierad fysisk person.

Den andra frågan

Den hänskjutande domstolen har, för det fall den första frågan besvaras jakande, ställt den andra frågan för att få klarhet i huruvida artikel 83 i dataskyddsförordningen ska tolkas så, att administrativa sanktionsavgifter kan påföras med stöd av denna bestämmelse endast om det visas att den personuppgiftsansvarige, som både är en juridisk person och ett företag, uppsåtligen eller av oaktsamhet har begått någon av de överträdelser som avses i punkterna 4–6 i denna artikel.

Det framgår av artikel 83.1 i dataskyddsförordningen att administrativa sanktionsavgifter ska vara effektiva, proportionerliga och avskräckande. I artikel 83 i dataskyddsförordningen anges däremot inte uttryckligen att de överträdelser som avses i punkterna 4–6 i denna artikel kan beivras med sådana sanktionsavgifter endast om de har begåtts uppsåtligen eller i vart fall av oaktsamhet.

Den tyska, den estniska och den norska regeringen samt Europeiska unionens råd har därav bland annat dragit slutsatsen att unionslagstiftaren har avsett att ge medlemsstaterna ett visst handlingsutrymme vid genomförandet av artikel 83 i dataskyddsförordningen, som innebär att de kan införa bestämmelser enligt vilka administrativa sanktionsavgifter ska kunna påföras med tillämpning av denna bestämmelse, utan att det behöver visas att den överträdelse av dataskyddsförordningen för vilken sanktionsavgifterna påförs har begåtts uppsåtligen eller av oaktsamhet.

64	En sådan tolkning av artikel 83 i dataskyddsförordningen kan inte godtas.

Såsom har konstaterats i punkterna 45 och 48 ovan omfattas de materiella krav som en tillsynsmyndighet ska iaktta när den beslutar att påföra en personuppgiftsansvarig administrativa sanktionsavgifter enbart av unionsrätten. Dessa krav anges nämligen i detalj i artikel 83.1–83.6 i dataskyddsförordningen och utan att medlemsstaterna ges något handlingsutrymme i detta avseende (se även dom av den 5 december 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:XXX, punkterna 64–70).

Vad gäller dessa krav ska det påpekas att artikel 83.2 i dataskyddsförordningen innehåller en uppräkning av vilka faktorer som en tillsynsmyndighet ska beakta vid beslut om att påföra en personuppgiftsansvarig administrativa sanktionsavgifter. Av led b) i bestämmelsen framgår att en av de faktorer som ska beaktas är ”[o]m överträdelsen skett med uppsåt eller genom oaktsamhet”. Någon hänvisning till en möjlighet att hålla en personuppgiftsansvarig ansvarig utan att överträdelsen skett varken uppsåtligen eller av oaktsamhet görs däremot inte i någon av de faktorer som räknas upp i artikel 83.2 i dataskyddsförordningen.

Artikel 83.2 i dataskyddsförordningen måste dessutom läsas tillsammans med punkt 3 i samma artikel, som reglerar vad som ska gälla i fall där det är fråga om flera överträdelser av denna förordning. Den bestämmelsen har följande lydelse: ”Om en personuppgiftsansvarig eller ett personuppgiftsbiträde, med avseende på en och samma eller sammankopplade uppgiftsbehandlingar, uppsåtligen eller av oaktsamhet överträder flera av bestämmelserna i denna förordning får den administrativa sanktionsavgiftens totala belopp inte överstiga det belopp som fastställs för den allvarligaste överträdelsen”.

Det följer således av ordalydelsen i artikel 83.2 i dataskyddsförordningen att det endast är i fall där en personuppgiftsansvarig har åsidosatt bestämmelserna i förordningen genom ett vållande, det vill säga uppsåtligen eller av oaktsamhet, som det kan bli aktuellt att påföra den personuppgiftsansvarige administrativa sanktionsavgifter med stöd av denna artikel.

69	En sådan tolkning vinner stöd av den allmänna systematiken i och syftet med dataskyddsförordningen.

70	För det första har unionslagstiftaren infört en sanktionsordning som innebär att tillsynsmyndigheterna ges möjlighet att påföra de sanktioner som är mest lämpliga beroende på omständigheterna i varje enskilt fall.

I artikel 58 i dataskyddsförordningen anges nämligen i punkt 2 i) att dessa myndigheter får påföra administrativa sanktionsavgifter med stöd av artikel 83 i förordningen ”utöver eller i stället för” andra i artikel 58.2 angivna korrigerande åtgärder, såsom varningar, reprimander eller förelägganden. På samma sätt anges i skäl 148 i dataskyddsförordningen att vid mindre överträdelser eller om den troliga sanktionsavgiften skulle innebära en oproportionerlig börda för en fysisk person får tillsynsmyndigheterna utfärda en reprimand i stället för att påföra en sanktionsavgift.

För det andra syftar dataskyddsförordningens bestämmelser, såsom påpekats i punkt 50 ovan, bland annat till att säkerställa en enhetlig och hög skyddsnivå för fysiska personer vid behandling av personuppgifter inom unionen och till att säkerställa att bestämmelserna om skydd av fysiska personers grundläggande fri- och rättigheter vid behandling av personuppgifter tillämpas på ett konsekvent och enhetligt sätt i hela unionen. För att säkerställa en konsekvent tillämpning av denna förordning ska tillsynsmyndigheterna ha likvärdiga befogenheter i fråga om övervakning och tillsyn av efterlevnaden av bestämmelserna om skydd av personuppgifter, så att de kan påföra likvärdiga sanktioner vid överträdelser av förordningen.

Genom att det finns en sanktionsordning som gör det möjligt att påföra administrativa sanktionsavgifter enligt artikel 83 i dataskyddsförordningen – om de särskilda omständigheterna i det enskilda fallet är sådana att detta är befogat – skapas ett incitament för personuppgiftsansvariga och personuppgiftsbiträden att följa bestämmelserna i förordningen. Administrativa sanktionsavgifter bidrar genom sin avskräckande verkan till att stärka skyddet för fysiska personer vid behandling av personuppgifter och utgör därför en nyckelfaktor för att säkerställa att dessa personers rättigheter iakttas, vilket ligger i linje med förordningens syfte att säkerställa en hög skyddsnivå för fysiska personer vid behandling av personuppgifter.

Unionslagstiftaren har dock inte ansett att det för att säkerställa en sådan hög skyddsnivå behöver införas en bestämmelse om att administrativa sanktionsavgifter kan påföras även i fall där överträdelsen inte skett vare sig uppsåtligen eller av oaktsamhet. Med hänsyn till att dataskyddsförordningen syftar till att uppnå en både likvärdig och enhetlig skyddsnivå och att det för detta ändamål krävs att förordningen tillämpas på ett konsekvent sätt i hela unionen, skulle det strida mot detta ändamål att tillåta medlemsstaterna att införa en sådan ordning för påförande av administrativa sanktionsavgifter enligt artikel 83 i förordningen. En sådan valfrihet skulle dessutom kunna snedvrida konkurrensen mellan ekonomiska aktörer inom unionen, vilket skulle strida mot de mål som unionslagstiftaren gett uttryck för bland annat i skälen 9 och 13 i förordningen.

Det nu sagda innebär följande. Artikel 83 i dataskyddsförordningen utgör hinder för att administrativa sanktionsavgifter påförs för någon av de överträdelser som avses i punkterna 4–6 i samma artikel utan att det behöver visas att den personuppgiftsansvarige har begått överträdelsen uppsåtligen eller av oaktsamhet. Det krävs således att överträdelsen har begåtts genom ett vållande för att administrativa sanktionsavgifter ska kunna påföras.

Vad därvid gäller frågan huruvida en överträdelse har begåtts uppsåtligen eller av oaktsamhet, och därigenom kan beivras med administrativa sanktionsavgifter enligt artikel 83 i dataskyddsförordningen, vill EU-domstolen även påpeka att personuppgiftsansvariga kan påföras sanktionsavgifter för ett agerande som omfattas av dataskyddsförordningens tillämpningsområde om de inte kan anses ha varit okunniga om att deras agerande utgjorde en överträdelse, oavsett om de varit medvetna om att de åsidosatte bestämmelserna i dataskyddsförordningen (se, analogt, dom av den 18 juni 2013, Schenker & Co. m.fl., C‑681/11, EU:C:2013:404, punkt 37 och där angiven rättpraxis, dom av den 25 mars 2021, Lundbeck/kommissionen,C‑591/16 P, EU:C:2021:243, punkt 156, och dom av den 25 mars 2021, Arrow Group och Arrow Generics/kommissionen, C‑601/16 P, EU:C:2021:244, punkt 97).

Om den personuppgiftsansvarige är en juridisk person gäller vidare att det för att artikel 83 i dataskyddsförordningen ska kunna tillämpas inte krävs ett aktivt handlande från den juridiska personens ledningsorgan eller ens att detta organ känt till den aktuella överträdelsen (se, analogt, dom av den 7 juni 1983, Musique Diffusion française m.fl./kommissionen,100/80–103/80, EU:C:1983:158, punkt 97, och dom av den 16 februari 2017, Tudapetrol Mineralölerzeugnisse Nils Hansen/kommissionen,C‑94/15 P, EU:C:2017:124, punkt 28 och där angiven rättspraxis).

Mot bakgrund av ovanstående överväganden ska den andra tolkningsfrågan besvaras enligt följande. Artikel 83 i dataskyddsförordningen ska tolkas så, att administrativa sanktionsavgifter kan påföras med stöd av denna bestämmelse endast om det visas att den personuppgiftsansvarige, som både är en juridisk person och ett företag, uppsåtligen eller av oaktsamhet har begått någon av de överträdelser som avses i punkterna 4–6 i denna artikel.

Rättegångskostnader

Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (stora avdelningen) följande:

Artikel 58.2 i och artikel 83.1–6 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

ska tolkas så,

att de utgör hinder för nationell lagstiftning enligt vilken administrativa sanktionsavgifter kan påföras en juridisk person i dennes egenskap av personuppgiftsansvarig för en sådan överträdelse som avses i artikel 83.4–83.6 endast om överträdelsen först har tillskrivits en identifierad fysisk person.

Artikel 83 i förordning 2016/679

ska tolkas så,

att administrativa sanktionsavgifter kan påföras med stöd av denna bestämmelse endast om det visas att den personuppgiftsansvarige, som både är en juridisk person och ett företag, uppsåtligen eller av oaktsamhet har begått någon av de överträdelser som avses i punkterna 4–6 i denna artikel.

Underskrifter

( *1 ) Rättegångsspråk: tyska.