GDPR-bøder i Danmark følger en anden logik end i resten af EU: Datatilsynet afgiver en indstilling til bøde og politianmelder, men det er anklagemyndigheden og domstolene, der fastsætter den endelige bøde. Derfor findes der i Danmark to tal for hver sag – det, Datatilsynet indstillede, og det, retten endte med. De største danske sager er ILVA (indstillet til 1,5 mio. kr., stadfæstet af Vestre Landsret i 2025), Taxa 4x35 (indstillet til 1,2 mio. kr., 250.000 kr. i Østre Landsret), Danske Bank (indstillet til op til 10 mio. kr., sagen opgivet af politiet) og Netcompany (indstillet til 15 mio. kr. i 2024 – den største indstilling nogensinde). Denne oversigt gennemgår de verificerede sager og forklarer, hvad de betyder for danske virksomheder.
De største danske GDPR-sager
| Virksomhed | År | Indstillet | Retligt udfald | Overtrædelse |
|---|---|---|---|---|
| Netcompany | 2024 | 15 mio. kr. | Verserer | Manglende indbygget sikkerhed og DPIA (mit.dk) |
| Danske Bank | 2022 | Op til 10 mio. kr. | Opgivet af politiet | Manglende dokumentation af sletning i 400+ systemer |
| ILVA (IDdesign A/S) | 2019 | 1,5 mio. kr. | 1,5 mio. kr. (Vestre Landsret, 2025) | Manglende sletning, ~385.000 kunder |
| Capio A/S | 2024 | Min. 1,5 mio. kr. | Verserer | Sikkerhed / sundhedsoplysninger |
| Taxa 4x35 | 2019 | 1,2 mio. kr. | 250.000 kr. (Østre Landsret) | Opbevaringsbegrænsning, dataminimering |
| Arp-Hansen Hotel Group | 2020 | 1,1 mio. kr. | Advarsel (byret, 2022) | Manglende sletning |
| Det Kongelige Teater | 2024 | 250.000 kr. | Verserer | Sikkerhed |
| Texas Andreas Petersen | 2023 | Min. 200.000 kr. | Verserer | Sikkerhed / registreredes rettigheder |
Netcompany: den største indstilling nogensinde
Datatilsynet indstillede i januar 2024 Netcompany til en bøde på 15 mio. kr. for selskabets udvikling af mit.dk, platformen for digital post fra offentlige myndigheder. Ifølge Datatilsynet havde Netcompany ikke sikret passende sikkerhed indbygget i designet (privacy by design), og selskabet havde ikke gennemført en konsekvensanalyse (DPIA) ved udviklingen. En kodefejl gav i marts 2022 i cirka en time et mindre antal borgere adgang til andres digitale postkasser, hvorefter systemet blev lukket ned. Sagen er principiel, fordi den retter indstillingen mod en databehandler for manglende sikkerhed i selve udviklingen.
ILVA (IDdesign A/S): Danmarks første og mest principielle sag
ILVA – dengang IDdesign A/S, en del af Lars Larsen Group – fik Danmarks første GDPR-sag. Datatilsynet indstillede i 2019 en bøde på 1,5 mio. kr., fordi selskabet ikke havde fastsat sletningsfrister for personoplysninger om cirka 385.000 kunder i et ældre it-system. Byretten fandt selskabet skyldigt i 2021, men nedsatte bøden til 100.000 kr. beregnet ud fra ILVA’s egen omsætning. Den 2. september 2025 hævede Vestre Landsret bøden tilbage til 1,5 mio. kr. og fastslog et principielt punkt: bøden skal beregnes på grundlag af hele koncernens omsætning, ikke kun det enkelte selskabs. Dommen ligger i tråd med EU-Domstolens praksis om, at begrebet “virksomhed” ved bødeberegning skal forstås konkurrenceretligt.
Taxa 4x35: opbevaringsbegrænsning og dataminimering
Taxa 4x35 blev i 2019 indstillet til en bøde på 1,2 mio. kr. Selskabet havde gemt kundeoplysninger knyttet til knap ni millioner taxature i fem år, selvom formålet kun krævede to. Datatilsynet lagde vægt på to forhold: at anonymiseringen var utilstrækkelig (telefonnumre forblev knyttet til turene), og at oplysningerne dermed ikke var minimeret. Byretten idømte 100.000 kr., blandt andet fordi der var tale om uagtsomhed uden økonomisk vinding, men Østre Landsret hævede bøden til 250.000 kr.
Danske Bank og Arp-Hansen: når indstilling ikke bliver til bøde
To sager viser, at en indstilling ikke er en bøde. Danske Bank blev i 2022 politianmeldt og indstillet til en bøde på op til 10 mio. kr. – dengang rekorden – fordi banken i over 400 systemer ikke kunne dokumentere reglerne for sletning og opbevaring af personoplysninger om millioner af mennesker. Københavns Politi valgte imidlertid ikke at forfølge sagen, og banken slap for bøden. Arp-Hansen Hotel Group blev i 2020 indstillet til 1,1 mio. kr. for manglende sletning, men Retten i Lyngby fandt i februar 2022, at selskabet skulle slippe med en advarsel, selvom det blev fundet skyldigt. De to sager understreger, hvorfor det danske to-tals-system er vigtigt at forstå.
Hvad betyder tendensen for danske virksomheder?
Tre tendenser tegner sig for 2025 og frem. For det første stiger de indstillede beløb – fra ILVA’s 1,5 mio. kr. til Netcompanys 15 mio. kr. For det andet er landsretterne begyndt at stadfæste eller hæve Datatilsynets indstillinger frem for at nedsætte dem, som byretterne ofte gjorde tidligere. For det tredje har Vestre Landsret med ILVA-dommen fastslået, at koncernomsætningen er beregningsgrundlaget, hvilket kan øge bøderne markant for selskaber i større koncerner. Samlet betyder det, at det danske bødeniveau er på vej opad, selvom domstolsmodellen fortsat gør processen langsommere end i lande med administrative bøder.
For danske virksomheder er den praktiske lære, at de fleste sager handler om det samme: manglende sletning, forældet dokumentation og utilstrækkelig sikkerhed. En ajourført fortegnelse med klare sletningsfrister og dokumenterede sikkerhedsforanstaltninger er det bedste værn. En GDPR-platform som Legiscope, der holder fortegnelsen og sletningsfristerne ajour automatisk, adresserer netop de fejl, der går igen i de danske sager. Se den overordnede ramme i databeskyttelse i Danmark og tilsynets rolle i guiden til Datatilsynet.
Hvad kan en virksomhed lære af sagerne?
Ser man på tværs af de danske sager, går tre fejltyper igen, og de peger direkte på, hvad en virksomhed bør prioritere. Den første er manglende sletning: ILVA, Taxa 4x35, Danske Bank og Arp-Hansen handlede alle om oplysninger, der blev gemt for længe eller uden fastsatte sletningsfrister. Værnet er en fortegnelse med klare frister for hver behandling. Den anden er utilstrækkelig sikkerhed: Netcompany-sagen handlede om manglende indbygget sikkerhed og en manglende konsekvensanalyse. Værnet er dokumenterede tekniske og organisatoriske foranstaltninger og en konsekvensanalyse ved behandlinger med høj risiko. Den tredje er manglende beredskab ved brud: flere sager udspringer af hændelser, der ikke blev håndteret korrekt. Værnet er en fast procedure for brudanmeldelse inden for 72 timer. De danske bødesager er med andre ord ikke uforudsigelige – de rammer de samme tre svagheder igen og igen.
Ofte stillede spørgsmål
Hvad er den største GDPR-bøde i Danmark?
Den største indstilling er 15 mio. kr. mod Netcompany (januar 2024) for udviklingen af mit.dk. Den største bøde, der er stadfæstet af en domstol, er 1,5 mio. kr. mod ILVA (Vestre Landsret, september 2025). Fordi Datatilsynet ikke selv udsteder bøder, er der forskel på det indstillede og det idømte beløb.
Hvorfor er de danske bøder lavere end i andre EU-lande?
Fordi bøderne fastsættes af domstolene, ikke af Datatilsynet, og fordi de danske byretter tidligere nedsatte de indstillede beløb betydeligt. Tendensen er dog, at landsretterne nu stadfæster eller hæver indstillingerne, og at koncernomsætningen bruges som grundlag – hvilket trækker niveauet opad.
Kan en virksomhed slippe for en indstillet bøde?
Ja. Danske Bank slap for en indstillet bøde på op til 10 mio. kr., da politiet opgav sagen, og Arp-Hansen slap med en advarsel trods skyld. En indstilling til bøde er ikke en afgørelse om bøde – det er anklagemyndigheden og domstolene, der afgør sagen endeligt.
Konklusion
Datatilsynet-bøder i 2025 skal forstås gennem den danske to-tals-model: det, tilsynet indstiller, og det, domstolene idømmer. De største sager – Netcompanys 15 mio. kr., ILVA’s 1,5 mio. kr., Taxa 4x35 og Danske Bank – viser både, at niveauet stiger, og at udfaldet er uforudsigeligt indtil dommen falder. Fælles for sagerne er, at de handler om manglende sletning, forældet dokumentation og utilstrækkelig sikkerhed. For danske virksomheder er værnet det samme: en ajourført fortegnelse, klare sletningsfrister og dokumenteret sikkerhed – de tre ting, de fleste danske bødesager i sidste ende handler om.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial