Duitse mededingingsautoriteit krijgt gelijk van het EU-HVJ: Meta mag beperkt worden op basis van GDPR-updates
De Duitse mededingingsautoriteit, het Bundeskartellamt, heeft weer gelijk gekregen van het Europees Hof van Justitie in de zaak C-252/21 tegen Meta.
Meta vond het niet kunnen dat het Bundeskartellamt zich actief bezighield met privacywetgeving en besloot het platform Facebook te beperken. Meta was van mening dat dit niet de taak is van de toezichthouder
Het EU-HvJ is van mening dat de Duitse mededingingsautoriteit Meta op basis van de GDPR mag opdragen om data-inzameling via Facebook en andere platformen te beperken.
Feiten
Meta Platforms Ireland is het bedrijf dat het sociaal netwerk Facebook beheert. Door zich bij Facebook te registreren, gaat de gebruiker akkoord met de gebruiksvoorwaarden van het bedrijf, d.w.z. de privacy- en cookiepolicy. Overeenkomstig dit beleid verzamelt Meta Platforms Ireland gegevens over uw activiteiten binnen en buiten het sociaal netwerk en koppelt deze aan uw Facebook-account.
Gegevens over uw activiteiten buiten sociale netwerken, ook wel “Off Facebook-gegevens” genoemd, hebben betrekking op uw bezoeken aan websites en apps van derden en uw gebruik van andere onlinediensten van de Meta Group (zoals Instagram en WhatsApp).
De op deze manier verzamelde gegevens maken het onder andere mogelijk om gepersonaliseerde reclameboodschappen aan Facebook-gebruikers te verstrekken.
Duitse mededingingsautoriteit verbiedt Facebook’s verwerking van off-Facebookgegevens zonder toestemming, wegens schending van GDPR
De Duitse mededingingsautoriteit heeft in het bijzonder een verbod uitgevaardigd om in de algemene voorwaarden te bepalen dat een in Duitsland wonende particulier alleen gebruik kan maken van het sociale netwerk Facebook mits zijn off-Facebookgegevens worden verwerkt, en om deze gegevens zonder hun toestemming te verwerken. De autoriteit heeft het verbod gemotiveerd met het argument dat dergelijke verwerking geheel niet in overeenstemming is met de bepalingen van de GDPR, en dat Meta Platforms Ireland zodoende duidelijk misbruik maakt van haar machtspositie op de Duitse markt voor online sociale netwerken.
Duitse rechtbank legt GDPR-vraagstukken voor aan het Europees Hof van Justitie in Facebook-zaak
`Het Oberlandesgericht Düsseldorf, waarbij beroep werd ingesteld tegen het verbod, vraagt het EU-HvJ of het aan de nationale mededingingsautoriteiten toekomt om te toetsen of een bepaalde gegevensverwerking in overeenstemming is met de vereisten van de GDPR. Daarnaast stelt het Oberlandesgericht aan het Hof ook de vraag hoe bepaalde voorschriften van de GDPR moeten worden uitgelegd en hoe deze moeten worden toegepast op de verwerking van gegevens door een exploitant van een online sociaal netwerk.
Beslissing van de EU-HvJ
De EU-HvJ is van mening dat de Duitse mededingingsautoriteit, krachtens de GDPR, maatregelen kan nemen tegen Meta als het om data-inzameling gaat. Nationale Autoriteiten kunnen dus officieel vereisten stellen die eventueel het verdienmodel van Meta en haar dochterondernemingen kunnen ondermijnen. Het Hof stelt dat mededingingsautoriteiten bij het onderzoek of een onderneming misbruik maakt van haar machtspositie, genoodzaakt kunnen zijn om ook na te gaan of het gedrag van die onderneming in overeenstemming is met andere normen dan die van het mededingingsrecht, zoals de regels van de GDPR.
Rol van nationale mededingingsautoriteit bij GDPR-handhaving in het kader van machtsmisbruik
Een nationale mededingingsautoriteit die vaststelt dat de GDPR werd geschonden, mag echter nooit in de plaats treden van de toezichthoudende autoriteiten die bij deze verordening zijn ingesteld. Wanneer de mededingingsautoriteit beoordeelt of de GDPR is nageleefd, doet zij dat echter uitsluitend om te bepalen of er sprake is van misbruik van een machtspositie en om overeenkomstig de regels van het mededingingsrecht maatregelen op te leggen om dit misbruik te beëindigen.
Wanneer volgens de nationale mededingingsautoriteit moet worden onderzocht of het gedrag van een onderneming strookt met de GDPR, moet zij met name nagaan of de bevoegde toezichthoudende gegevensbeschermingsautoriteit al een beslissing heeft genomen over het betrokken of een soortgelijk gedrag. Indien dat het geval is, mag die nationale mededingingsautoriteit daar niet van afwijken, maar kan zij daar wel haar eigen conclusies aan verbinden voor de toepassing van het mededingingsrecht.
Hof verduidelijkt dat het bezoeken van websites geen impliciete openbaarmaking van gegevens betekent volgens de GDPR
Met betrekking tot de vraag of de verwerking van gevoelige gegevens bij wijze van uitzondering is toegestaan omdat de gegevens op facebook kennelijk door de betrokkene openbaar zijn gemaakt, verduidelijkt het Hof dat het enkele feit dat een gebruiker websites of apps bezoekt waaruit dergelijke informatie kan blijken, geenszins betekent dat hij zijn gegevens kennelijk openbaar maakt in de zin van de GDPR. Dit is evenmin het geval wanneer een gebruiker op dergelijke sites of apps gegevens invoert of daarin geïntegreerde selectieknoppen aanklikt, tenzij hij vooraf uitdrukkelijk zijn keuze kenbaar heeft gemaakt om de hem betreffende gegevens openbaar te maken voor een onbeperkt aantal personen.
Hof oordeelt dat personalisatie en financiering van advertenties door Meta Platforms Ireland mogelijk in strijd zijn met GDPR
Of het personaliseren van content of het consequent en probleemloos gebruik van Meta Group-diensten aan deze voorwaarden voldoet, moet nog door de nationale rechtbanken worden onderzocht, zo oordeelde Het Hof. Bovendien streeft Meta Platforms Ireland volgens het Hof geen legitiem belang na bij het financieren van gepersonaliseerde advertenties voor het online sociale netwerk Facebook, waardoor de verwerking van relevante gegevens zonder toestemming van de betrokkene mogelijk zou zijn.
Als laatste punt merkt het Hof op dat het feit dat de beheerders van online sociale netwerken als verwerkingsverantwoordelijken een duidelijke dominante positie hebben op de online sociale netwerkmarkt, hun gebruikers er niet van weerhoudt om ze legaal te gebruiken krachtens de GDPR.
Aangezien een dergelijke machtspositie de keuzevrijheid van deze gebruikers kan aantasten en tot een duidelijke wanverhouding tussen hen en de verwerkingsverantwoordelijke kan leiden, vormt zij evenwel een belangrijke factor om te bepalen of de toestemming daadwerkelijk compleet rechtsgeldig en vrijwillig is gegeven.
Conclusie
Het Hof wil met deze uitspraak duidelijk voorkomen dat bedrijven zoals Meta gegevens van gebruikers uitwisselt tussen individuele platforms zoals Facebook, Instagram en WhatsApp. Voor meer info rond sociale mediaplatformen en de GDPR, kan u een erkend DPO contacteren.
