Sakens bakgrunn

Meta Platforms Ireland (Meta) driver det sosiale nettverket Facebook, i tillegg til tjenester som Instagram og WhatsApp. Metas forretningsmodell er basert på annonseinntekter fra adferdsbasert markedsføring. Meta samler informasjon om brukerne sine fra egne nettsider og apper, og fra brukeres besøk på andre nettsteder eller apper (tredjeparts-nettsteder). De sistnevnte opplysningene kalles «off-Facebook opplysninger» og samles inn når brukere besøker nettsteder koblet til Facebook, eller ved bruk av Metas andre tjenester. Metas tillatelse til å behandle personopplysningene er forankret i tjenestebetingelsene deres, som må godkjennes ved opprettelsen av brukeren.

Bundeskartellamt (det tyske konkurransetilsynet) påla Meta i 2019 å avslutte behandlingen av off-Facebook opplysninger, fordi tjenestebetingelsene var i strid med GDPR, og dermed også et misbruk av Metas dominerende stilling i markedet for sosiale nettverk, i strid med den tyske konkurranselovens artikkel 19 (1), tilsvarende TEUV artikkel 102.

Foreleggende domstol er Oberlandesgericht Düsseldorf.

EU-domstolens vurdering

Første og syvende spørsmål

Spørsmålet er om GDPR artikkel 51 skal tolkes slik at konkurransemyndigheter i vurderingen av om et foretak har misbrukt sin dominerende stilling etter TEUV artikkel 102, kan fastslå at foretakets alminnelige tjenestevilkår ikke er i samsvar med GDPR. Hvis ja, er neste spørsmål om TEU artikkel 4 (3) skal tolkes slik at konkurransemyndighetene indirekte kan fastslå brudd på GDPR, hvis tjenestevilkårene samtidig undersøkes av landets datatilsyn etter GDPR artikkel 56 (1).

EU-domstolen slår fast at verken GDPR eller andre EU-regler forbyr konkurransetilsyn å konkludere med at et foretak misbruker sin dominerende stilling ved å bryte GDPR. Imidlertid er oppgavene og formålet til data- og konkurransetilsyn vidt forskjellige. Datatilsyn skal undersøke mulige brudd på GDPR og håndheve disse, mens konkurransetilsyn skal sørge for at konkurransen i det indre markedet ikke forstyrres, og at forbrukere ikke lider som følge av markedsmisbruk.

Et brudd på GDPR kan være avgjørende i vurderingen av om et foretak har misbrukt sin dominerende stilling. Tilgangen til og anvendelsen av personopplysninger har blitt et svært viktig konkurranseparameter mellom selskapene i den digitale økonomien. Å ekskludere GDPR fra denne vurderingen, vil undergrave konkurranserettens effektivitet.

Lojalitetsprinsippet etter TEU artikkel 4 (3) gjelder også mellom en medlemsstats nasjonale tilsyn på områder regulert av EU-rett, se C-14/21. Det betyr at en medlemsstats konkurranse- og datatilsyn må samarbeide ved undersøkelsen av brudd på GDPR. Dersom tilsynene undersøker samme GDPR-brudd, må konkurransetilsynet få datatilsynets godkjenning til å undersøke videre, eller avvente dettes beslutning. Konkurransetilsynet kan ikke fravike datatilsynets konklusjon, men kan komme til et annet resultat ved anvendelsen av konkurransereglene.

Annet spørsmål

GDPR artikkel 9 (1) forbyr behandling av særlige kategorier av personopplysninger, som blant annet personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, m.m. Spørsmålet er om innsamlingen av off-Facebook opplysninger og sammenkobling av disse med brukerens Facebook profil, er i strid med artikkel 9 (1).

Behandlingsforbudet i artikkel 9 (1) er grunnleggende, og gjelder uavhengig av opplysningenes riktighet, grunnen til innsamlingen og hvorvidt personen har en Facebook-bruker eller ikke. Dersom opplysningene faller inn under de særlige kategoriene, er behandlingen forbudt, med mindre et av unntakene i artikkel 9 (2) kommer til anvendelse.

Etter 9 (2) (e) er personopplysninger som det er «åpenbart at den registrerte (brukeren) har offentliggjort» unntatt fra behandlingsforbudet. Brukere kan på en rekke måter på tredjeparts-nettsteder tilkjennegi hvem de er, blant annet ved å trykke på «liker» eller «del», eller ved å logge inn via sin profil i det sosiale nettverket. Spørsmålet er om brukeren dermed må anses for å ha «offentliggjort» personopplysningene.

Unntaket i artikkel 9 (2) må tolkes strengt, se C-361/18. Ved vurderingen av om opplysningene er offentliggjort, er det viktig å undersøke om brukeren uttrykkelig og med en klar bekreftelse har hatt til hensikt å offentliggjøre opplysningene for allmennheten.

EU-domstolen konstaterer at det å besøke et nettsted, og derved dele opplysninger gjennom cookies eller lignende lagringsteknologier, under ingen omstendighet kan anses som at man har offentliggjort opplysningene. Opplysninger som brukeren aktivt deler, som ved å trykke «liker» eller «del», eller ved å bruke kontoen sin til å logge på tredjeparts-nettsteder, regnes kun som offentliggjort dersom brukeren har gitt et uttrykkelig samtykke til å dele opplysningene med et ubegrenset antall personer.

Tredje og fjerde spørsmål

For at behandlingen av personopplysninger skal være lov, må minst ett av vilkårene i GDPR artikkel 6 (1) være oppfylt. Vilkåret i artikkel 6 (1) (b) er at behandlingen er nødvendig for å oppfylle en avtale mellom brukeren og databehandleren. Spørsmålet er om Metas behandling av off-Facebook opplysninger kan anses som nødvendig for å oppfylle avtalen mellom seg og brukerne.

Det at behandlingen av opplysningene gjør avtaleoppfyllelsen enklere, er irrelevant. Behandlingen må være essensiell for å oppnå et hovedformål med avtalen. EU-domstolen bemerker at behandlingen av off-Facebook opplysninger ikke synes å oppfylle dette vilkåret.

EU-domstolen tolker også artikkel 6 (1) (f), hvor vilkåret er at behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige. Vurderingen her er treleddet: For det første må operatøren ha informert brukerne om den legitime interessen som forfølges med behandlingen, for det andre må behandlingen utføres innenfor rammene av det som er strengt nødvendig for å forfølge denne legitime interessen, og for det tredje må en avveining av de motstridende interessene, med hensyn til alle relevante omstendigheter, vise at brukernes interesser og grunnleggende rettigheter og friheter ikke går foran den behandlingsansvarliges eller tredjeparts nevnte legitime interesse, se C-597/19.

Selv om en rekke interesser kan anses som legitime, uttaler EU-domstolen at adferdsbasert markedsføring, som Metas forretningsmodell baserer seg på, ikke er en interesse som legitimerer behandlingen av personopplysninger uten samtykke.

Femte spørsmål

Spørsmålet gjelder tolkningen av behandlingsvilkårene i GDPR artikkel 6 (1) (c), (d) og (e).

Bokstav c tillater behandling som er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige, og spørsmålet er om dette er tilfellet hvis behandlingen svarer på en rettslig og lovlig anmodning om opplysninger. EU-domstolen svarer bekreftende på dette, forutsatt at: 1. Det er nødvendig for å oppfylle en forpliktelse etter EU- eller nasjonal rett, 2. forpliktelsen er begrunnet i samfunnets interesse og står i et rimelig forhold til det legitime formålet, og 3. forpliktelsen kun oppfylles så langt det er strengt nødvendig.

Bokstav d tillater behandling som er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser, og spørsmålet er om dette omfatter bekjempelse av skadelig adferd og tiltak som øker sikkerheten. Bokstav e tillater behandling som er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt, og spørsmålet er om forskning til gavn for samfunnet og for å fremme beskyttelse, integritet og sikkerhet, oppfyller dette. EU-domstolen konkluderer med at svaret på spørsmålene i prinsippet er nei, men at det er opp til den foreleggende rett å undersøke.

Sjette spørsmål

Spørsmålet er om artikkel 6 (1) og 9 (2) (a) skal tolkes slik at et samtykke gitt av en bruker av et sosialt nettverk kan anses for å oppfylle vilkårene i artikkel 4 (11), spesielt kravet om at samtykket skal gis frivillig, når operatøren har en dominerende stilling på markedet for sosiale nettverk.

Det følger av GDPRs fortalepunkt 42 at samtykke ikke kan anses som frivillig gitt dersom brukeren ikke har hatt et genuint eller fritt valg, eller ikke er i stand til å nekte eller trekke samtykke uten skade for seg selv. Etter fortalepunkt 43 bør samtykke ikke anses som en lovlig hjemmel til å behandle personopplysninger hvis det er en klar ubalanse i forholdet mellom behandleren og brukeren.

Den omstendighet at en operatør har en dominerende stilling i et marked, medfører ikke i seg selv at bruker kan gi et gyldig samtykke etter artikkel 4 (1). Den dominerende stillingen kan imidlertid lede til at samtykket reelt sett ikke er gitt fritt, og stillingen kan også føre til et asymmetrisk maktforhold, og slik tvinge brukere til å samtykke til mer enn de ønsker.

Brukere må ha muligheten til å nekte behandlingen av opplysninger som ikke er nødvendige til oppfyllelse av avtalen, om nødvendig mot en passende avgift. Dersom brukere må velge mellom å samtykke til behandling av opplysninger utover det nødvendige, eller å ikke bruke det sosiale nettverket, er samtykket ugyldig. Operatøren har bevisbyrden for at samtykke er gitt frivillig.

EU-domstolens konklusjon

I tillegg til å avklare en rekke spørsmål om tolkningen av GDPR, konkluderer EU-domstolen med at konkurransemyndigheter kan vurdere brudd på GDPR i konkurranserettslige vurderinger. Konkurranse- og datamyndigheter må da samhandle for å unngå konflikt. Vurderingen av om et foretaks dominerende stilling kan føre til at samtykke ikke er gyldig etter GDPR, beror på en konkret vurdering. Likevel er det mye som taler for at svaret på dette ofte vil være ja.

TEUV artikkel 102 tilsvarer EØS-avtalen artikkel 54, som har dannet mønster for lov 5. mars 2004 nr. 12 om konkurranse mellom foretak og kontroll med foretakssammenslutninger (konkurranseloven) § 11. Mens avgjørelsen avklarer kompetansefordelingen mellom konkurranse- og personvernmyndigheter, sier den lite om betydningen av GDPR-brudd i materielle konkurranserettslige vurderinger. GDPR er inntatt i EØS-avtalens vedlegg XI og gjelder som norsk lov med EØS-tilpasningene, jf. lov 15. juni 2018 nr. 38 om behandling av personopplysninger (personopplysningsloven) § 1.

(C-252/21)

SJJG