Vestre Landsret afsagde den 2. september 2025 dom i en sag om ulovlig opbevaring af kundedata i et ældre it-system. Retten vurderede, at overtrædelsen var begået forsætligt, og forhøjede derfor bøden til 1,5 mio. kr., hvilket var en skærpelse til det 15-dobbelte af den bøde, som byretten tidligere havde fastsat.

Baggrund og sagens kerne
Sagen begyndte, da Datatilsynet anmeldte ILVA for at have opbevaret kundedata i strid med slettefristerne i GDPR artikel 5, stk. 1, litra e. Konkret drejede det sig om 350.000 kundeoplysninger, som lå i et ældre it-system uden slette- eller anonymiseringsprocedurer.

Byretten fandt i 2021, at der var tale om en uagtsom overtrædelse af opbevaringsbegrænsningen i GDPR og idømte ILVA en bøde på 100.000 kr. med udgangspunkt i ILVAs nettoomsætning og ikke i koncernens nettoomsætning.

Anklagemyndigheden ankede sagen til landsretten.

Generelt om bødeudmåling
Ved udmålingen af administrative bøder efter GDPR tager tilsynsmyndighederne bl.a. afsæt i den bødevejledning, som er udarbejdet af Det Europæiske Databeskyttelsesråd (EDPB).

Vejledningen fastlægger en model for beregningen af bøder, hvor myndighederne først vurderer overtrædelsens alvor ud fra bl.a. dens karakter, varighed og antallet af berørte registrerede. Dernæst fastsættes en grundlæggende bøderamme med udgangspunkt i virksomhedens omsætning. Denne ramme justeres herefter under hensyn til skærpende eller formildende omstændigheder såsom virksomhedens samarbejdsvilje eller gentagelsesfare. Endelig sikres, at bødestørrelsen er effektiv, har afskrækkende virkning og er proportional i overensstemmelse med GDPR artikel 83.

Du kan finde EDPB Bødevejledningen her.

EU-Domstolens afgørelse 
Under ankesagen besluttede landsretten at forelægge spørgsmål for EU-Domstolen om forståelsen af begrebet "virksomhed" i GDPR artikel 83.

EU-Domstolen fastslog den 13. februar 2025 i sag C-383/23, at begrebet virksomhed skal forstås i overensstemmelse med konkurrenceretten og definitionerne i TEUF artikel 101 og 102. Det betyder, at en bøde for overtrædelse af databeskyttelsesforordningen skal fastsættes på grundlag af hele virksomhedens – eller koncernens – samlede globale årlige omsætning i det foregående regnskabsår.

Du kan læse mere om EU-domstolens afgørelse her.

Landsrettens afgørelse og bødeudmålingen 
På baggrund af EU-Domstolens fortolkning fandt landsretten, at hele Lars Larsen Group-koncernens – som ejer ILVA - nettoomsætning skulle indgå i bødeudmålingen. Det fremgår af dommen, at Datatilsynet i bødeindstillingen havde beregnet et dynamisk bødeloft for koncernen på hele 278 mio. Kr., svarende til 4% af koncernens nettoomsætning. Henset til oplysningernes karakter af almindelige kundeoplysninger, at oplysningerne ikke var anvendt aktivt i den kommercielle forretning, og at overtrædelsen generelt kategoriseres i den laveste alvorsgrad, fandt Datatilsynet det efter en helhedsvurdering rimeligt at fastsætte bøden til 1,5 mio. kr. 

Landsretten lagde desuden til grund, at overtrædelsen af databeskyttelsesforordningen var sket forsætligt og ikke uagtsomt, idet flere personer i virksomhedens GDPR-styringsgruppe kendte til det gamle it-system og dets manglende sletteprocedurer. 

Med afsæt i den forsætlige overtrædelse og EU’s fortolkning af virksomhedsbegrebet fastsatte Vestre Landsret bøden til 1,5 mio. kr. og fulgte dermed Datatilsynets indstilling. 

Konsekvenser for virksomheder
Datatilsynet tillægger dommen væsentlig betydning, fordi den bidrager til at fastlægge praksis for bødeniveauet over for private virksomheder og dermed danner præcedens. Virksomheder bør derfor fremover være opmærksomme på, at bøder for overtrædelse af databeskyttelsesforordningen udmåles på baggrund af hele koncernens globale omsætning og ikke kun det lokale selskabs omsætning. 

Dansk Erhverv bemærker
Dommen tydeliggør, at danske domstole følger EU-Domstolens linje: bøder skal være mærkbare og afskrækkende i koncernperspektiv. 

Virksomheder bør desuden notere sig, at en ledelses manglende håndtering af kendte omstændigheder og risici kan medføre, at en overtrædelse vurderes som direkte forsætlig, hvilket kan påvirke bødeudmålingen. Dommen understreger dermed betydningen af at have orden i systemer, politikker og ansvarsplacering.