EU-Domstolen slår fast, at konkurrencemyndigheder også kan undersøge overholdelsen af databeskyttelsesregler
Kan en medlemsstats konkurrencemyndighed undersøge, om databeskyttelsesforordningen (GDPR) bliver overholdt, eller tilkommer det alene det nationale datatilsyn? Netop det skulle EU-Domstolens Store Afdeling tage stilling til i en sag om, hvorvidt overholdelsen af GDPR også kan inddrages i en sag om en virksomheds mulige misbrug af dominerende stilling.
EU-Domstolens dom i C-252/21 af 4. juli 2023, Meta Platforms Inc. med flere
Kort om sagen
Meta Platforms Inc. ("Meta"), som blandt andet driver de sociale platforme Facebook, Instagram og Whatsapp, udbyder deres tjenester gratis mod, at Meta indsamler brugerens data og anvender dem til at målrette onlinereklamer mod brugerne. Dataindsamlingen anvendes til at udarbejde detaljerede profiler over brugernes livstil, forbrugsmønstre, interesser og mere. Datasættet baseres delvist på oplysninger, som brugeren selv indtaster ved oprettelse af en profil, indsamling af data på Metas egne platforme, men også delvist på indsamling af data uden for Metas egne platforme, såkaldte "off Facebook-oplysninger", som indsamles via cookies. Facebooks datapolitik var opsat således, at det ikke var muligt for brugeren at oprette en Facebookprofil uden samtidigt at acceptere Facebooks dataindsamling, da dette var en del af de almindelige betingelser.
I februar 2019 traf den tyske konkurrencemyndighed afgørelse om, at Metas indsamling af oplysninger udenfor Metas egne platforme skete uden et reelt samtykke fra brugeren. Konkurrencemyndigheden begrundede afgørelsen med, at Meta anvendte sin dominerende stilling inden for sociale platforme til at indsamle off Facebook-oplysninger, og at dette udgjorde et misbrug af den dominerende stilling.
Meta - og dets datterselskaber - påklagede konkurrencemyndighedens afgørelse til den nationale domstol med henvisning til, at dataindsamling var reguleret i GDPR, og at konkurrencemyndigheden ikke var den kompetente tilsynsmyndighed. Den nationale domstol forelagde sagen til præjudiciel afgørelse hos EU-Domstolen. Foruden spørgsmål om den nærmere forståelse af konkrete bestemmelser i GDPR skulle EU-Domstolen tage stilling til, hvorvidt konkurrencemyndigheden havde mulighed for at undersøge overholdelse af GDPR, som led i håndhævelsen af konkurrencereglerne.
Vores bemærkninger
EU-Dommen fastslår, at nationale konkurrencemyndigheder som led i sine undersøgelser af om konkurrencereglerne er overholdt, kan inddrage spørgsmålet om, hvorvidt GDPR er overholdt, men som følge heraf rejser dommen også mange spørgsmål.
EU-Domstolen konkluderer, at overtrædelse af GDPR kan være et "væsentligt indicium" i vurderingen af, hvorvidt der er sket misbrug af en dominerende stilling. Det interessante spørgsmål bliver herefter, om en overtrædelse af GDPR i sig selv er tilstrækkeligt til at udgøre et misbrug af dominerende stilling, eller om der kræves mere end blot det væsentlige indicium, som overtrædelsen af GDPR er, før der foreligger et misbrug. For at den nationale konkurrencemyndighed kan konkludere, at der foreligger et misbrug af en dominerende stilling, må det efter vores vurdering i hvert fald kræves, at konkurrencemyndigheden beviser, at overtrædelsen af GDPR er egnet til at begrænse konkurrencen.
Herudover er det ikke klart, om det alene er overtrædelse af GDPR, som kan være et "væsentligt indicium" på at en dominerende virksomhed har misbrugt sin stilling. Kan for eksempel overtrædelse af ophavsretten, markedsføringsreglerne eller ansættelsesretlige regler også være et "væsentligt indicium" på misbrug af dominerende stilling? EU-Domstolen angiver selv vigtigheden af persondata i den digitale økonomi som en del af dommen, og at det ville være at se "bort fra virkeligheden i den økonomiske udvikling", hvis ikke konkurrenceretten også inddragede databeskyttelse. Det kan derfor ikke udelukkes, at overtrædelse af anden særregulering end GPDR ikke er tilstrækkeligt til at udgøre et "væsentligt indicium" på, at der er sket et misbrug af dominerende stilling.
Endelig giver dommen også anledning til overvejelser om forbuddet mod dobbeltstraf (ne bis in idem). Skal dommen forstås således, at en dominerende virksomhed både kan få en bøde af datatilsynsmyndigheden for at overtræde GDPR og en bøde af konkurrencemyndigheden for at misbruge sin dominerende stilling ved at overtræde GDPR? EU-Domstolen behandler ikke spørgsmålet i dommen, men tilkendegiver blot, at en datatilsynsmyndighed og en konkurrencemyndighed ikke kan vedtage afgørelser, som er uforenelige, men hvis begge myndigheder blot konstaterer, at GDPR er overtrådt, er afgørelserne ikke uforenelige.
Baseret på EU-Domstolens praksis om forbuddet mod dobbeltstraf i konkurrenceretten kan det frygtes, at intet hindrer, at en dominerende virksomhed i en sådan situation får to bøder, da den ene bøde vil være for at overtræde GDPR og den anden bøde for at misbruge den dominerende stilling. Da de to regelsæt varetager forskellige "retsbeskyttede interesser", er der efter EU-Domstolens praksis formentligt ikke tale om en dobbelt straf for samme overtrædelse, selvom både identiteten på den sanktionerede virksomhed og de faktiske forhold er de samme. Der foreligger dog os bekendt ingen praksis, hvor den ene straf, overtrædelsen af GDPR, udgør den konstituerende bestanddel for overtrædelsen, af det andet regelsæt, konkurrenceretten. I en sådan sag vil de to regelsæt blive anvendt serielt, hvor overtrædelsen af det ene regelsæt er forudsætningen for overtrædelsen af det andet regelsæt. En sådan situation er derfor faktuelt anderledes end andre domme fra EU-Domstolen om ne bis in idem, herunder eksempelvis C-117/20 bpost, C-151/20 Nordzucker og C-10/18 P Marine Harvest, hvor overtrædelsen af de to relevante regelsæt kunne konstateres parallelt, og hvor den ene retlige kvalificering som overtrædelse ikke udgjorde en konstitutiv bestanddel af den anden overtrædelse.