EU-Domstolen slår fast, at konkurrencemyndigheder også kan undersøge overholdelsen af databeskyttelsesregler
EU-Domstolens dom i C-252/21 af 4. juli 2023, Meta Platforms Inc. med flere
Kort om sagen
Meta Platforms Inc. ("Meta"), som blandt andet driver de sociale platforme Facebook, Instagram og Whatsapp, udbyder deres tjenester gratis mod, at Meta indsamler brugerens data og anvender dem til at målrette onlinereklamer mod brugerne. Dataindsamlingen anvendes til at udarbejde detaljerede profiler over brugernes livstil, forbrugsmønstre, interesser og mere. Datasættet baseres delvist på oplysninger, som brugeren selv indtaster ved oprettelse af en profil, indsamling af data på Metas egne platforme, men også delvist på indsamling af data uden for Metas egne platforme, såkaldte "off Facebook-oplysninger", som indsamles via cookies. Facebooks datapolitik var opsat således, at det ikke var muligt for brugeren at oprette en Facebookprofil uden samtidigt at acceptere Facebooks dataindsamling, da dette var en del af de almindelige betingelser.
I februar 2019 traf den tyske konkurrencemyndighed afgørelse om, at Metas indsamling af oplysninger udenfor Metas egne platforme skete uden et reelt samtykke fra brugeren. Konkurrencemyndigheden begrundede afgørelsen med, at Meta anvendte sin dominerende stilling inden for sociale platforme til at indsamle off Facebook-oplysninger, og at dette udgjorde et misbrug af den dominerende stilling.
Meta - og dets datterselskaber - påklagede konkurrencemyndighedens afgørelse til den nationale domstol med henvisning til, at dataindsamling var reguleret i GDPR, og at konkurrencemyndigheden ikke var den kompetente tilsynsmyndighed. Den nationale domstol forelagde sagen til præjudiciel afgørelse hos EU-Domstolen. Foruden spørgsmål om den nærmere forståelse af konkrete bestemmelser i GDPR skulle EU-Domstolen tage stilling til, hvorvidt konkurrencemyndigheden havde mulighed for at undersøge overholdelse af GDPR, som led i håndhævelsen af konkurrencereglerne.
EU-Domstolens afgørelse
EU-Domstolens Store Afdeling fastslog indledningsvist, at hverken GDPR eller andre EU-retsakter forbyder medlemsstatens konkurrencemyndigheder fra at undersøge, om GDPR's regler er overholdt som led i udøvelsen af opgaverne med at håndhæve konkurrencereglerne.
Dernæst fastslog EU-Domstolen, at konkurrencemyndighedens formål er at undersøge, om der foreligger misbrug af dominerende stilling. I den forbindelse kan den nationale konkurrencemyndighed undersøge alle relevante omstændigheder til at belyse, om en virksomhed misbrugte sin dominerende stilling. EU-Domstolen fastslog, at overtrædelse af GDPR kan være et "væsentligt indicium" i vurderingen af, hvorvidt der er sket et misbrug af en dominerende stilling.
EU-Domstolen fastslog derfor, at den nationale konkurrencemyndigheds inddragelse af en overtrædelse af GDPR kan være nødvendig i forbindelse med undersøgelse af et misbrug af dominerende stilling. EU-Domstolen understregede dog, at konkurrencemyndigheden, forinden den træffer en afgørelse, der involverer stillingtagen til GDPR, skal orientere sig hos den kompetente nationale datatilsynsmyndighed for at få afklaret, om den pågældende adfærd tidligere havde været genstand for en undersøgelse. Samtidigt skal den nationale datatilsynsmyndighed have en rimelig frist til at fremkomme med eventuelle indsigelser, og konkurrencemyndigheden kan ikke træffe en afgørelse, som på nogen måde er i konflikt med en afgørelse truffet af den nationale datatilsynsmyndighed.
Da disse krav om samarbejde konkret var opfyldt, og da det tyske datatilsyn ikke havde gjort indsigelse overfor konkurrencemyndigheden, havde den mulighed for, som sket, at inddrage, om GDPR blev overholdt.
Vores bemærkninger
EU-Dommen fastslår, at nationale konkurrencemyndigheder som led i sine undersøgelser af om konkurrencereglerne er overholdt, kan inddrage spørgsmålet om, hvorvidt GDPR er overholdt, men som følge heraf rejser dommen også mange spørgsmål.
EU-Domstolen konkluderer, at overtrædelse af GDPR kan være et "væsentligt indicium" i vurderingen af, hvorvidt der er sket misbrug af en dominerende stilling. Det interessante spørgsmål bliver herefter, om en overtrædelse af GDPR i sig selv er tilstrækkeligt til at udgøre et misbrug af dominerende stilling, eller om der kræves mere end blot det væsentlige indicium, som overtrædelsen af GDPR er, før der foreligger et misbrug. For at den nationale konkurrencemyndighed kan konkludere, at der foreligger et misbrug af en dominerende stilling, må det efter vores vurdering i hvert fald kræves, at konkurrencemyndigheden beviser, at overtrædelsen af GDPR er egnet til at begrænse konkurrencen.
Herudover er det ikke klart, om det alene er overtrædelse af GDPR, som kan være et "væsentligt indicium" på at en dominerende virksomhed har misbrugt sin stilling. Kan for eksempel overtrædelse af ophavsretten, markedsføringsreglerne eller ansættelsesretlige regler også være et "væsentligt indicium" på misbrug af dominerende stilling? EU-Domstolen angiver selv vigtigheden af persondata i den digitale økonomi som en del af dommen, og at det ville være at se "bort fra virkeligheden i den økonomiske udvikling", hvis ikke konkurrenceretten også inddragede databeskyttelse. Det kan derfor ikke udelukkes, at overtrædelse af anden særregulering end GPDR ikke er tilstrækkeligt til at udgøre et "væsentligt indicium" på, at der er sket et misbrug af dominerende stilling.
Endelig giver dommen også anledning til overvejelser om forbuddet mod dobbeltstraf (ne bis in idem). Skal dommen forstås således, at en dominerende virksomhed både kan få en bøde af datatilsynsmyndigheden for at overtræde GDPR og en bøde af konkurrencemyndigheden for at misbruge sin dominerende stilling ved at overtræde GDPR? EU-Domstolen behandler ikke spørgsmålet i dommen, men tilkendegiver blot, at en datatilsynsmyndighed og en konkurrencemyndighed ikke kan vedtage afgørelser, som er uforenelige, men hvis begge myndigheder blot konstaterer, at GDPR er overtrådt, er afgørelserne ikke uforenelige.
Baseret på EU-Domstolens praksis om forbuddet mod dobbeltstraf i konkurrenceretten kan det frygtes, at intet hindrer, at en dominerende virksomhed i en sådan situation får to bøder, da den ene bøde vil være for at overtræde GDPR og den anden bøde for at misbruge den dominerende stilling. Da de to regelsæt varetager forskellige "retsbeskyttede interesser", er der efter EU-Domstolens praksis formentligt ikke tale om en dobbelt straf for samme overtrædelse, selvom både identiteten på den sanktionerede virksomhed og de faktiske forhold er de samme. Der foreligger dog os bekendt ingen praksis, hvor den ene straf, overtrædelsen af GDPR, udgør den konstituerende bestanddel for overtrædelsen, af det andet regelsæt, konkurrenceretten. I en sådan sag vil de to regelsæt blive anvendt serielt, hvor overtrædelsen af det ene regelsæt er forudsætningen for overtrædelsen af det andet regelsæt. En sådan situation er derfor faktuelt anderledes end andre domme fra EU-Domstolen om ne bis in idem, herunder eksempelvis C-117/20 bpost, C-151/20 Nordzucker og C-10/18 P Marine Harvest, hvor overtrædelsen af de to relevante regelsæt kunne konstateres parallelt, og hvor den ene retlige kvalificering som overtrædelse ikke udgjorde en konstitutiv bestanddel af den anden overtrædelse.
Læs EU-Domstolens dom af 4. juli 2023