EU-Domstolen har i sag C-252/21 (Store Afdeling) fastslået, at nationale konkurrencemyndigheder kan inddrage overholdelsen af GDPR, når de undersøger mulig misbrug af dominerende stilling. En overtrædelse af databeskyttelsesreglerne kan udgøre et væsentligt indicium på, at en dominerende virksomhed har handlet i strid med TEUF art. 102.
Retligt hovedbudskab
Domstolen understreger, at hverken GDPR eller anden EU-lovgivning udelukker, at konkurrencemyndigheder vurderer, om en adfærd harmonerer med GDPR, når dette er relevant for konkurrenceretlige spørgsmål. Vurderingen sker med henblik på at klarlægge de faktiske og retlige omstændigheder, der belyser en mulig misbrugssituation.
At en GDPR-overtrædelse er et væsentligt indicium, betyder ikke, at den automatisk konstituerer et misbrug. Myndigheden skal fortsat dokumentere, at adfærden påvirker konkurrencen, eksempelvis ved at udnytte markedsmagt til at indhente eller sammenkæde data på en måde, der styrker ekskluderende eller udnyttende praksis.
Kompetence og samarbejde
Domstolen lægger vægt på institutionelt samarbejde. Selvom konkurrencemyndigheden ikke bliver tilsynsmyndighed efter GDPR, må den tage stilling til dataspørgsmål i det omfang, det er nødvendigt for konkurrencesagen. Samtidig skal den respektere datatilsynets rolle og undgå modstridende afgørelser.
Domstolen oplister minimumskrav til koordinering, som skal sikre kompetenceafgrænsning og retssikkerhed:
- Afklare om den relevante datapraksis allerede er undersøgt af den kompetente datatilsynsmyndighed.
- Give datatilsynet en rimelig frist til at fremkomme med bemærkninger eller indsigelser.
- Undgå konklusioner, der er uforenelige med datatilsynets afgørelser.
I den konkrete tyske sag var samarbejdskravene opfyldt, og datatilsynet gjorde ikke indsigelse, hvilket legitimerede, at konkurrencemyndigheden inddrog GDPR-overholdelsen i misbrugsanalysen.
Sanktioner og ne bis in idem
Dommen adresserer ikke udtømmende forbuddet mod dobbeltstraf. Den åbner dog for, at en virksomhed i princippet kan mødes med både en GDPR-sanktion og en konkurrenceretlig sanktion, hvis de to regelsæt beskytter forskellige interesser. Spørgsmålet er særligt følsomt, når den ene overtrædelse er en forudsætning for den anden.
Domstolens tidligere praksis (bl.a. bpost, Nordzucker og Marine Harvest) vedrører situationer, hvor parallelle kvalifikationer ikke er indbyrdes konstitutive. I datasager kan sammenhængen være tættere, hvilket kalder på omhyggelig sagsopbygning og proportionalitet i sanktionsfastsættelsen. Dommen kan læses her: eur-lex.europa.eu. Domstolens pressemeddelelse findes her: curia.europa.eu.
