• Inleiding

  De opkomst van big data stelt zowel het mededingings- als gegevensbeschermingstoezicht voor uitdagingen. Binnen het mededingingsrecht levert het gebruik van big data onder meer vragen op bij de toepassing van bestaande beginselen onder het kartel- en misbruikverbod.¹xZie bijvoorbeeld A. Ezrachi en M.E. Stucke, Virtual Competition. The Promise and Perils of the Algorithm-Driven Economy, Cambridge, Mass.: Harvard University Press 2016, M.E. Stucke en A.P. Grunes, Big Data and Competition Policy, Oxford: Oxford University Press 2016 en E. Van Damme, I. Graef en W. Sauter, ‘Machtsmisbruik op basis van big data’, M&M 2018/3. In het gegevensbeschermingsrecht staat de combinatie en het hergebruik van verschillende datasets, wat de kern vormt van big data analytics, haaks op beginselen als gegevensminimalisering en doelbinding.²xZie bijvoorbeeld B.-J. Koops, ‘The trouble with European data protection law’, International Data Privacy Law 2014, nr. 4, p. 250-261. Deze bijdrage gaat echter niet in op de uitdagingen die big data voor elk regime afzonderlijk opleveren maar analyseert de interactie tussen de twee vormen van toezicht die door big data vaker aan elkaar raken. Recente handhavingsacties in diverse landen maken deze vermenging tussen rechtsgebieden duidelijk.
  De Italiaanse mededingings-, elektronische communicatie- en gegevensbeschermingsinstanties openden in mei 2017 een gezamenlijk sectoronderzoek naar big data. Dit initiatief beoogt mogelijke mededingsproblemen op te sporen maar heeft ook tot doel een regelgevingskader op te stellen dat de privacy van consumenten moet beschermen en pluralisme moet bevorderen in digitale markten.³xPersbericht Autorità Garante della Concorrenza e del Mercato, ‘“Big Data”: Italian Regulators open a sector inquiry’, 1 juni 2017, beschikbaar op www.agcm.it/en/newsroom/press-releases/2384-%E2%80%9Cdig-data%E2%80%9D-italian-regulators-open-a-sector-inquiry.html. Het Duitse Bundeskartellamt kondigde in december 2017 zijn voorlopige oordeel in de Facebook-zaak aan, namelijk dat de verzameling en het gebruik van gegevens van buiten het sociale netwerk door Facebook misbruikelijk is. Volgens het Bundeskartellamt schenden Facebooks algemene voorwaarden de gegevensbeschermingsregels en leveren daarmee ook misbruik van machtspositie onder het mededingingsrecht op.⁴xPersbericht Bundeskartellamt, ‘Preliminary assessment in Facebook proceeding: Facebook’s collection and use of data from third-party sources is abusive’, 19 december 2017, beschikbaar op www.bundeskartellamt.de/SharedDocs/Meldung/EN/Pressemitteilungen/2017/19_12_2017_Facebook.html?nn=3591568. Deze interventies illustreren niet alleen de interactie tussen regimes die normaal gesproken afzonderlijk van elkaar gehandhaafd worden, maar roepen ook de vraag op hoe samenhang gecreëerd kan worden in de aanpak van toezichthouders tussen lidstaten. Verschillen in de mate van handhaving levert risico’s op voor de interne markt zowel voor bedrijven die met afwijkende eisen tussen lidstaten te maken hebben als voor consumenten die afhankelijk zijn van de doeltreffendheid van hun nationale toezichthouders om op te treden. Bovendien laten gedragingen van spelers in digitale markten de grenzen tussen rechtsgebieden vervagen waardoor een betere afstemming tussen toezichthouders noodzakelijk is om consumenten adequaat te beschermen.
  De diverse handhavingsacties door mededingings-, gegevensbeschermings- en consumentenautoriteiten die volgden op de wijziging van WhatsApp’s privacybeleid in augustus 2016 laten deze overlap tussen rechtsgebieden zien. Op grond van haar bevoegdheden onder het mededingingsrecht legde de Europese Commissie Facebook een boete van 110 miljoen euro op wegens het verschaffen van onjuiste of misleidende informatie tijdens het fusieonderzoek in 2014. Terwijl Facebook de Commissie destijds had laten weten dat de gebruikersaccounts van Facebook en WhatsApp niet automatisch aan elkaar gekoppeld zouden kunnen worden, kondigde WhatsApp amper twee jaar na goedkeuring van de concentratie de mogelijkheid aan telefoonnummers van WhatsApp-gebruikers te koppelen aan de identiteit van Facebook-gebruikers.⁵xZaak nr. M.8228, Facebook/WhatsApp, 17 mei 2017, C(2017)3192 final. Daarnaast trok de wijziging van WhatsApp’s privacybeleid ook de aandacht van een aantal nationale gegevensbeschermingsautoriteiten,⁶xVoor een overzicht, zie N. Zingales, ‘Between a Rock and Two Hard Places: WhatsApp at the Crossroad of Competition, Data Protection and Consumer Law’, Computer Law & Security Review 2017, nr. 4, p. 554-555. wat leidde tot een gecoördineerde actie door de Artikel 29-werkgroep.⁷xZie bijvoorbeeld de brief van de Artikel 29-werkgroep aan WhatsApp van 24 oktober 2017, beschikbaar op https://ec.europa.eu/newsroom/just/document.cfm?doc_id=47964. Verder hebben in een aantal lidstaten consumenteninstanties opgetreden. Zo heeft de Federatie van Duitse Consumentenorganisaties de rechtbank van Berlijn in januari 2017 om een bevel verzocht om het delen van gegevens met Facebook te stoppen en gegevens die al naar Facebook waren overgebracht te verwijderen.⁸xStatement von Klaus Müller, Vorstand des vzbv, ‘vzbv verklagt WhatsApp: Verbraucher müssen Hoheit über Daten behalten’, 30 januari 2017, beschikbaar op www.vzbv.de/pressemitteilung/vzbv-verklagt-whatsapp-verbraucher-muessen-hoheit-ueber-daten-behalten. De Italiaanse Autorità Garante della Concorrenza e del Mercato nam in mei 2017 twee beslissingen waarbij aan WhatsApp een boete van 3 miljoen euro werd opgelegd wegens vermeende oneerlijke handelspraktijken, waaronder het dwingen van gebruikers om in te stemmen met nieuwe algemene voorwaarden door hen te laten geloven dat ze anders niet in staat zouden zijn de dienst te blijven gebruiken.⁹xPersbericht Autorità garante della concorrenza e del mercato, ‘WhatsApp fined for 3 million euro for having forced its users to share their personal data with Facebook’, 12 mei 2017, beschikbaar op www.agcm.it/en/newsroom/press-releases/2380-whatsapp-fined-for-3-million-euro-for-having-forced-its-users-to-share-their-personal-data-with-facebook.html.
  In maart 2018 hebben nog twee ontwikkelingen plaatsgevonden op nationaal niveau. De Hamburgse Commissaris voor gegevensbescherming en vrijheid van informatie maakte bekend dat het administratieve gerechtshof van Hamburg zijn besluit heeft bevestigd dat het delen van persoonsgegevens tussen Facebook en WhatsApp verbiedt.¹⁰xPersbericht Hamburgse Commissaris voor gegevensbescherming en vrijheid van informatie, ‘Higher Administrative Court confirms the prohibition of data sharing between WhatsApp and Facebook’, 2 maart 2018, beschikbaar op www.datenschutz-hamburg.de/fileadmin/user_upload/documents/Press_Release_2018-03-02_Higher_Administrative_Court_Facebook.pdf. Ook is het Britse Information Commissioner’s Office erin geslaagd WhatsApp een verbintenis te laten ondertekenen met de publieke toezegging dat persoonsgegevens van WhatsApp niet gedeeld zullen worden met Facebook totdat de gegevensbeschermingskwesties zijn aangepakt in overeenstemming met de Algemene Verordening Gegevensbescherming.¹¹xPersbericht UK Information Commissioner, ‘A win for the data protection of UK consumers – WhatsApp signs public commitment not to share personal data with Facebook until data protection concerns are addressed’, 14 maart 2018, beschikbaar op https://iconewsblog.org.uk/2018/03/14/whatsapp-signs-public-commitment/. Ondanks al deze inspanningen door mededingings-, gegevensbeschermings- en consumenteninstanties in verschillende lidstaten is er geen oplossing gevonden die tegemoetkomt aan de meer algemene, onderliggende zorg over de transparantie van, de controle over en de verantwoordelijkheid voor het gebruik van persoonsgegevens door spelers in digitale markten die de bevoegdheden van de verschillende toezichthouders overstijgt en meer samenhang tussen handhavingsacties vereist.
  Tegen deze achtergrond schetst dit artikel een aantal concrete situaties waarin het mededingings- en gegevensbeschermingstoezicht beter op elkaar afgestemd kunnen worden om consumentenbelangen te waarborgen. Het artikel bekijkt de interactie tussen de twee regimes met name vanuit het perspectief van het mededingingsrecht met de nadruk op misbruik van economische machtspositie en concentratiecontrole. Daarbij wordt aandacht besteed aan mogelijkheden tot een betere afstemming zowel inhoudelijk bij de toepassing van concepten als institutioneel bij het uitoefenen van bevoegdheden door de betreffende toezichthouders. Geconcludeerd wordt dat er ruimte is voor synergieën maar dat er ook sprake kan zijn van spanning tussen de twee rechtsgebieden.

• Misbruik van economische machtspositie

  De wisselwerking met het gegevensbeschermingsrecht speelt in misbruikzaken vooral een rol bij het vaststellen van uitbuitingsmisbruik waar gegevensbeschermingsbeginselen gebruikt kunnen worden om te bepalen wanneer er sprake is van concurrentieverstorende praktijken onder het mededingingsrecht en bij het opleggen van een verplichting tot het delen van informatie op basis van het mededingingsrecht waar gegevensbeschermingsbelangen meegenomen moeten worden als persoonsgegevens in het spel zijn. Terwijl in het eerste geval synergieën tussen de twee vormen van toezicht gerealiseerd kunnen worden, leidt het verplicht delen van persoonsgegevens op grond van de mededingingsregels juist tot spanning met het gegevensbeschermingsrecht.

  Vaststellen van uitbuitingsmisbruik op basis van gegevensbeschermingsbeginselen

  De al genoemde Facebook-zaak van het Bundeskartellamt vormt een goed uitgangspunt voor een bespreking van de mogelijke rol van gegevensbeschermingsbeginselen in misbruikzaken. In maart 2016 opende het Bundeskartellamt een mededingingsonderzoek op basis van de verdenking dat Facebook’s algemene voorwaarden het gegevensbeschermingsrecht schenden en zo ook het misbruikverbod overtreden door het opleggen van oneerlijke contractsvoorwaarden aan gebruikers in de relevante markt voor sociale netwerken waar Facebook over een economische machtspositie beschikt.¹²xPersbericht Bundeskartellamt, ‘Bundeskartellamt initiates proceeding against Facebook on suspicion of having abused its market power by infringing data protection rules’, 2 maart 2016, beschikbaar op www.bundeskartellamt.de/SharedDocs/Meldung/EN/Pressemitteilungen/2016/02_03_2016_Facebook.html?nn=3591568. Volgens het voorlopige oordeel van het Bundeskartellamt uit december 2017 levert het gedrag van Facebook misbruik op omdat zij het gebruik van haar sociale netwerk afhankelijk maakt van het verzamelen en combineren van alle soorten gegevens die gegenereerd zijn door het gebruik van websites van derden binnen het Facebook-account van de gebruiker. Aangezien gebruikers slechts de keuze hebben ofwel ‘the whole package’ te accepteren ofwel helemaal niet in staat zijn Facebook te gebruiken, is het Bundeskartellamt van mening dat niet kan worden aangenomen dat gebruikers daadwerkelijk instemmen met deze vorm van gegevensverzameling. Het Bundeskartellamt kwalificeert de algemene voorwaarden van Facebook als een schending van het gegevensbeschermingsrecht. Hoewel de persberichten niet aangeven op welke normen uit het gegevensbeschermingsrecht het Bundeskartellamt zich baseert, moeten consumenten volgens deze laatste meer controle krijgen over de manier waarop gegevens worden verzonden van websites en apps naar Facebook, en moet Facebook consumenten voorzien van opties om deze gegevensverzameling effectief te beperken.¹³xPersbericht Bundeskartellamt, ‘Preliminary assessment in Facebook proceeding: Facebook’s collection and use of data from third-party sources is abusive’, 19 december 2017, beschikbaar op www.bundeskartellamt.de/SharedDocs/Meldung/EN/Pressemitteilungen/2017/19_12_2017_Facebook.html?nn=3591568.
  De Facebook-zaak lijkt gebaseerd te zijn op de veronderstelling dat beginselen of normen uit het gegevensbeschermingsrecht ingezet kunnen worden om te bepalen wanneer een gedraging misbruik van economische machtspositie onder het mededingingsrecht oplevert. Door persoonsgegevens te verwerken op een manier die verder gaat dan wat op grond van gegevensbeschermingswetgeving is toegestaan, kan een bedrijf proberen meer inzicht te krijgen in consumentenvoorkeuren ten nadele van de uitgebuite individuen. Zo levert de verwerking van persoonsgegevens op een manier die verder gaat dan nodig is om een bepaald doel te bereiken of het bewaren van persoonsgegevens voor een langere periode dan voor dit doel nodig is, een schending op van de beginselen van gegevensminimalisering en doelbinding.¹⁴xArt. 5 lid 1 sub b en c Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (hierna: Algemene verordening gegevensbescherming of AVG), PbEU 2016, L 119/1. Zo’n inbreuk op gegevensbeschermingswetgeving kan dan ook een aanwijzing vormen voor het bestaan van uitbuitingsmisbruik onder het mededingingsrecht. Het onderzoek van het Bundeskartellamt lijkt zich daarbij voornamelijk te richten op de vraag of de toestemming van gebruikers geldig is op grond van de gegevensbeschermingsregels.
  Afhankelijk van hoe het onderzoek verder verloopt, kan het Bundeskartellamt een nieuw precedent scheppen waaronder mededingingshandhaving ook een rol speelt bij consumentenuitbuiting in de vorm van het opleggen van oneerlijke voorwaarden voor de verwerking van persoonsgegevens. Zo kan het mededingingstoezicht de effectiviteit van de gegevensbeschermingsregels vergroten, in dit geval door een versterking van het beginsel van toestemming dat onder druk staat door de toenemende machts- en informatieasymmetrie tussen bedrijven en individuen. Discussies over de interactie tussen het mededingings- en gegevensbeschermingsrecht zijn tot nu toe vooral gericht geweest op deze wisselwerking, namelijk hoe gegevensbeschermingsbelangen kunnen worden geïntegreerd in de mededingingsanalyse en hoe mededingingstoezicht daardoor de naleving van het gegevensbeschermingsrecht kan bevorderen.¹⁵xZie vooral het voorlopig advies van de Europese toezichthouder voor gegevensbescherming, ‘Privacy and competitiveness in the age of big data: The interplay between data protection, competition law and consumer protection in the Digital Economy’, maart 2014, beschikbaar op https://edps.europa.eu/sites/edp/files/publication/14-03-26_competitition_law_big_data_en.pdf. Zoals de Facebook-zaak laat zien werkt de complementariteit van de twee regimes echter ook andersom en kan het gebruik van normen uit het gegevensbeschermingsrecht als maatstaf om te bepalen of er sprake is van misbruik van economische machtspositie ook de handhavingsmogelijkheden van mededingingsautoriteiten versterken.
  Op dit moment treden mededingingstoezichthouders namelijk zelden op tegen gedrag dat individuen rechtstreeks schaadt en richten ze zich in plaats daarvan op het aanpakken van gedragingen die leiden tot uitsluiting van concurrenten.¹⁶xZo zien de richtsnoeren betreffende de handhavingsprioriteiten onder art. 102 VWEU alleen op uitsluitingsmisbruik. Zie Mededeling van de Commissie — Richtsnoeren betreffende de handhavingsprioriteiten van de Commissie bij de toepassing van artikel 82 van het EG-Verdrag op onrechtmatig uitsluitingsgedrag door ondernemingen met een machtspositie, PbEU 2009, C 45/7, par. 7. De voorzichtige benadering ten opzichte van uitbuitingsmisbruik in het mededingingsrecht kan worden verklaard door het vertrouwen in het zelfcorrigerende werking van de markt dat schadelijke gevolgen van consumentenuitbuiting door ondernemingen met een economische machtsposite op de langere termijn kan verminderen. Het idee is dat zolang markten concurrerend zijn, consumenten van leverancier kunnen wisselen en zo in staat zijn een beter aanbod te kiezen.
  Hoewel een positieve verhouding tussen concurrentie en gegevensbescherming niet empirisch is aangetoond, is de veronderstelling dat concurrerende markten consumenten meer keuze geven in niveaus van gegevensbescherming. Omdat markten steeds geconcentreerder worden en nieuwe technologieën bedrijven ongekende mogelijkheden bieden de voorkeuren en het gedrag van consumenten te volgen, is er meer ruimte voor uitbuitingspraktijken die bedrijven in staat stellen hun winst te vergroten ten koste van consumenten. Een meer proactieve houding om concurrentiebeperkende effecten van consumentenuitbuiting aan te pakken is daardoor wenselijk. Door beginselen uit andere regimes zoals het gegevensbeschermingsrecht te integreren in de mededingingsanalyse kan de moeilijkheid om vast te stellen vanaf welk punt een bepaald type uitbuitingsgedrag concurrentieverstorend is, worden overwonnen.¹⁷xZie ook F. Costa-Cabral en O. Lynskey, ‘Family Ties: The Intersection Between Data Protection and Competition in EU Law’, CMLRev 2017, p. 33-37. In AstraZeneca (HvJ EU 6 december 2012, zaak C-457/10 P, AstraZeneca, ECLI:EU:C:2012:770) en Allianz Hungaria (HvJ EU 26 april 2013, zaak C-32/11, Allianz Hungaria, ECLI:EU:C:2013:160) heeft het Hof van Justitie al erkend dat de schending van een ander rechtsgebied een factor kan zijn in de beoordeling of er ook sprake is van een inbreuk op het mededingingsrecht. Een eis voor het aannemen van een schending van het misbruikverbod is wel dat er een verband is tussen de economische machtspositie van de betreffende onderneming en de overtreding van de gegevensbeschermingsregels, zodat het bestaan van een link vastgesteld kan worden tussen concurrentie en gegevensbescherming in overeenstemming met de benadering van het Bundeskartellamt.¹⁸xZie Persbericht Bundeskartellamt, ‘Bundeskartellamt initiates proceeding against Facebook on suspicion of having abused its market power by infringing data protection rules’, 2 maart 2016, beschikbaar op www.bundeskartellamt.de/SharedDocs/Meldung/EN/Pressemitteilungen/2016/02_03_2016_Facebook.html?nn=3591568: ‘If there is a connection between such an infringement and market dominance, this could also constitute an abusive practice under competition law’. Zo’n aanpak versterkt het vermogen van mededingingsautoriteiten om nieuwe vormen van concurrentieverstorend gedrag in digitale markten tegen te gaan.

  Mededingingsplicht tot het delen van informatie als mogelijk conflict met gegevensbescherming

  Een andere interactie met het gegevensbeschermingsrecht in misbruikzaken vindt plaats waar een weigering tot het delen van informatie een inbreuk op het verbod op misbruik van economische machtspositie oplevert en de betreffende onderneming verplicht wordt informatie die ook persoonsgegevens omvat te delen met derden. Vanwege het toenemende belang van data voor de ontwikkeling van producten en diensten kan het ook een noodzakelijke input vormen voor marktspelers die afhankelijk zijn van toegang tot datasets van derden om te kunnen concurreren op de markt, bijvoorbeeld om zelf data-analysediensten te kunnen aanbieden. Als toegang geweigerd wordt kunnen concurrenten een beroep doen op de ‘essential facilities doctrine’ onder het mededingingsrecht die van toepassing is op faciliteiten of infrastructuren die van dien aard zijn dat andere ondernemingen hiertoe toegang moeten hebben om hun eigen marktactiviteiten te kunnen uitvoeren. In de Europese rechtspraak zijn vier voorwaarden ontwikkeld waaronder een dergelijke leveringsweigering in ‘uitzonderlijke omstandigheden’ tot misbruik leidt: (1) de weigering moet een product of een dienst betreffen die onontbeerlijk is voor de uitoefening van een bepaalde activiteit op een aanverwante markt; (2) de weigering moet elke mededinging op die afgeleide markt uitsluiten; (3) de weigering moet in de weg staan aan de introductie van een nieuw product en; (4) er mag geen objectieve rechtvaardigingsgrond zijn voor de weigering.¹⁹xZie onder andere HvJ EG 29 april 2004, zaak C-418/01, IMS Health, ECLI:EU:C:2004:257, r.o. 38 en Gerecht 17 september 2007, zaak T-201/04, Microsoft, ECLI:EU:T:2007:289, r.o. 332-333. Het is de vraag in hoeverre toegang tot een bepaalde dataset onontbeerlijk is of dat er een mogelijkheid is voor derden zelf de benodigde gegevens te verzamelen bijvoorbeeld door vervangbare gegevens in aanpalende markten te gebruiken. Wat betreft de interactie met het gegevensbeschermingsrecht roept de toepassing van de essential facilities doctrine op data de vraag op in hoeverre een onderneming met economische machtspositie een leveringsweigering objectief kan rechtvaardigen door haar verplichtingen onder gegevensbeschermingswetgeving in te roepen.²⁰xZie voor een uitgebreide analyse van de toepassing van de essential facilities doctrine op data, I. Graef, EU Competition Law, Data Protection and Online Platforms. Data as Essential Facility, Alphen aan den Rijn: Kluwer Law International 2016, p. 249-280. De onderneming zou bijvoorbeeld kunnen beweren dat zij niet langer kan voldoen aan het gegevensbeschermingsrecht, omdat zij niet meer kan instaan voor een adequate bescherming van persoonsgegevens als zij wordt gedwongen gegevens over haar klanten te delen met derden.²¹xZie ook I. Graef, ‘Het misbruikverbod op het internet: onlineplatforms als poortwachters van persoonsgegevens?’, Computerrecht 2014, 89, p. 94.
  De Franse Autorité de la Concurrence heeft al een zaak behandeld waarin de interactie van een mededingingsplicht tot het leveren van informatie met het gegevensbeschermingsrecht een rol speelde. In september 2014 legde de Autorité de la Concurrence voorlopige maatregelen op aan GDF Suez waarbij zij de laatste verplichtte andere marktspelers met een overheidsvergunning voor het leveren van aardgas toegang te verlenen tot bepaalde informatie over haar klanten. Volgens de Autorité de la Concurrence kon GDF Suez haar economische machtspositie in de markt voor aardgas misbruiken door op basis van klantgegevens die zij in het kader van haar voormalige monopoliepositie had verkregen aanbiedingen te doen tegen marktprijzen buiten haar openbaredienstverplichting om.²²xAutorité de la concurrence, Décision n° 14-MC-02 du 9 septembre 2014 relative à une demande de mesures conservatoires présentée par la société Direct Energie dans les secteurs du gaz et de l’électricité, par. 169-174, beschikbaar op www.autoritedelaconcurrence.fr/pdf/avis/14mc02.pdf. GDF Suez werd daarom opgedragen bepaalde persoonsgegevens van klanten vrij te geven, zoals namen, addressen, telefoonnumers en verbruiksprofielen om concurrenten in staat te stellen contact op te nemen met potentiële nieuwe klanten. In overeenstemming met de aanbevelingen van de Commission Nationale de l’Informatique et des Libertés (de Franse gegevensbeschermingstoezichthouder), legde de Autorité de la Concurrence GDF Suez een opt-out-systeem op waarbij klanten zelf maatregelen moesten nemen om te voorkomen dat andere gasleveranciers toegang zouden krijgen tot hun persoonsgegevens.²³xAutorité de la concurrence, Décision n° 14-MC-02 du 9 septembre 2014 relative à une demande de mesures conservatoires présentée par la société Direct Energie dans les secteurs du gaz et de l’électricité, par. 289 and 294. Hoewel toestemming van klanten wellicht een sterkere grondslag had gevormd voor de nieuwe verwerking van persoonsgegevens door de alternatieve gasleveranciers, is deze benadering van de Autorité de la Concurrence in overeenstemming met gegevensbeschermingswetgeving. Immers, een mededingingsplicht tot het delen van persoonsgegevens is een wettelijke verplichting die op zichzelf een rechtmatige grondslag vormt voor gegevensverwerking volgens artikel 6 lid 1 sub c van de Algemene Verordening Gegevensbescherming.
  In gevallen waarin het niet passend is om de mededingingsplicht tot het delen van persoonsgegevens te gebruiken als rechtmatige grondslag (bijvoorbeeld als de mededingingsplicht slechts een tussentijdse maatregel vormt die nog bevestigd moet worden in een procedure ten gronde), kan de onderneming met een economische machtspositie een inbreuk op de gegevensbeschermingswetgeving voorkomen door toestemming te krijgen van klanten om hun persoonsgegevens met concurrenten te delen of door persoonsgegevens te anonimiseren. Anonimisering biedt echter geen oplossing in situaties waarin concurrenten toegang nodig hebben tot persoonlijke details van gebruikers, zoals aan de orde was in de GDF Suez-zaak waar concurrenten specifieke informatie over individuen nodig hadden om contact te kunnen leggen met potentiële nieuwe klanten. Verder is het de vraag in hoeverre datasets nog echt geanonimiseerd kunnen worden vanwege de steeds sterkere technologische mogelijkheden om natuurlijke personen te heridentificeren.²⁴xZie Artikel 29-werkgroep, ‘Opinion 05/2014 on Anonymisation Techniques’, WP 216, 10 april 2014. Hoewel een mededingingsplicht tot het delen van persoonsgegevens dus spanning oplevert met het gegevensbeschermingsrecht, is er voldoende ruimte voor ondernemingen met een economische machtspositie om conflicten te voorkomen en aan de verplichtingen van beide regimes te voldoen.

• Concentratiecontrole

  Ook bij concentratiecontrole is er zowel ruimte voor synergieën als spanning tussen het mededingings- en gegevensbeschermingstoezicht. Door gegevensbeschermingsbelangen mee te nemen bij het opstellen van remedies in fusiezaken kan het mededingingstoezicht de effectiviteit van het gevensbeschermingsrecht versterken. Daarnaast kan gegevensbescherming een rol spelen als concurrentieparameter die geïntegreerd moet worden in de mededingingsanalyse. Mogelijke conflicten treden op als concentraties leiden tot datagedreven efficiëntieverbeteringen die ingaan tegen gegevensbeschermingsprincipes.

  Gevensbescherming als concurrentieparameter en als restrictie op het ontstaan van mededingingsproblemen

  Naast het gebruik als indicator voor het vaststellen van uitbuitingsmisbruik, zoals in de Duitse Facebook-zaak, komen gegevensbeschermingsbeginselen ook steeds meer naar voren in concentratiebesluiten van de Europese Commissie als concurrentieparameter en restrictie die mededingingsbeperkend gedrag kan voorkomen.
  In haar Facebook/WhatsApp-concentratiebesluit heeft de Commissie gegevensbescherming erkend als een mogelijke dimensie op basis waarvan ondernemingen met elkaar concurreren. Het marktonderzoek toonde aan dat de belangrijkste drijfveren voor concurrentie tussen communicatieapps de aangeboden functionaliteiten en de onderliggende gebruikersbasis zijn. Naast betrouwbaarheid vormen privacy en veiligheid volgens de Commissie belangrijke verbeterpunten wat betreft de functionaliteit van communicatieapps.²⁵xZaak nr. COMP/M.7217, Facebook/WhatsApp, 3 oktober 2014, par. 86-87. Omdat privacy slechts als een van de vele concurrentieparameters werd beschouwd naast prijs, betrouwbaarheid, de gebruikersbasis en de trendiness van de app en dus niet de belangrijkste dimensie was op basis waarvan marktspelers met elkaar concurreerden, heeft de Commissie de Facebook/WhatsApp-concentratie niet specifiek beoordeeld op grond van haar impact op gegevensbescherming.²⁶xZaak nr. COMP/M.7217, Facebook/WhatsApp, 3 oktober 2014, par. 87-90. Dit staat los van de vraag of gegevensbescherming als niet-economisch belang meegewogen moet worden bij de beoordeling van fusies, die in de volgende paragraaf besproken wordt. Zie ook de uitspraak van de Commissie in par. 164 van haar Facebook/WhatsApp-besluit: ‘Any privacy-related concerns flowing from the increased concentration of data within the control of Facebook as a result of the Transaction do not fall within the scope of the EU competition law rules but within the scope of the EU data protection rules’. Dit was anders in Microsoft/LinkedIn waar de Commissie concludeerde dat privacy een belangrijke parameter voor concurrentie tussen professionele sociale netwerken was die door de concentratie negatief kon worden beïnvloed. De Commissie stelde vast dat er een risico was dat de markt voor professionele sociale netwerken na de concentratie in het voordeel van LinkedIn zou kantelen.²⁷xZaak nr. M.8124, Microsoft/LinkedIn, 6 december 2016, par. 347. Voor zover dit effect bestaande concurrenten die een betere privacybescherming boden dan LinkedIn van de markt zou verdrijven, kon de concentratie volgens de Commissie de keuze van de consument met betrekking tot deze belangrijke concurrentieparameter beperken.²⁸xZaak nr. M.8124, Microsoft/LinkedIn, 6 december 2016, par. 350. Om tegemoet te komen aan deze mededingingsbezwaren heeft Microsoft een aantal toezeggingen gedaan die ook verband hielden met de impact van de concentratie op privacy als niet-prijs concurrentieparameter in de markt voor professionele sociale netwerken.²⁹xMicrosoft heeft toegezegd om: (1) ervoor te zorgen dat PC-fabrikanten en -distributeurs vrij waren om LinkedIn niet op Windows te installeren en om gebruikers toe te staan LinkedIn te verwijderen van Windows bij voorinstallatie; (2) concurrerende leveranciers van professionele sociale netwerken in staat te stellen de huidige niveaus van interoperabiliteit met Microsoft Office te handhaven via het Microsoft Office Add-in Program en Office application programming interfaces; (3) concurrerende aanbieders van professionele sociale netwerken toegang te verlenen tot Microsoft Graph, een uniforme gateway die ontwikkelaars in staat stelt om applicaties en diensten te maken die, afhankelijk van toestemming van de gebruiker, toegang hebben tot gegevens (zoals contactgegevens, agendagegevens, e-mail en bestanden) van Microsoft’s clouddiensten. Zie par. 5-16 van Annex I bij zaak nr. M.8124, Microsoft/LinkedIn, 6 december 2016. De concentratiebesluiten in Facebook/WhatsApp en Microsoft/LinkedIn laten zien dat privacy of gegevensbescherming een dimensie kan vormen op basis waarvan marktspelers met elkaar concurreren. Als dit volgens het marktonderzoek inderdaad het geval is, zal gegevensbescherming meegenomen moeten worden in de mededingsanalyse op dezelfde manier als traditionele concurrentieparameters zoals prijs.
  Een tweede en meer opmerkelijke manier waarop gegevensbeschermingsbeginselen zijn meegenomen in concentratiebesluiten is als juridische restricities waaraan marktspelers zich moeten houden en die daardoor hun vermogen om concurrentieverstorend gedrag te vertonen inperkt. Zo merkte de Commissie in Microsoft/LinkedIn op bij het beoordelen van de impact van een mogelijke combinatie van de twee datasets wat betreft online reclame dat de fusieonderneming slechts in staat zou zijn de gegevens te combineren voorzover de gegevensbeschermingsregels dit toestaan.³⁰xZaak nr. M.8124, Microsoft/LinkedIn, 6 december 2016, par. 177-178. De Commissie zette vervolgens haar mededingingsanalyse voort in de veronderstelling dat een combinatie van de datasets van Microsoft en LinkedIn toegestaan zou zijn onder gegevensbeschermingsregels.³¹xZaak nr. M.8124, Microsoft/LinkedIn, 6 december 2016, par. 179. De Commissie gebruikte dezelfde benadering en bewoording in haar Verizon/Yahoo concentratiebesluit waar een mogelijke combinatie van datasets voor online reclame ook naar voren kwam als een van de mededingingsproblemen. Zie zaak nr. M.8180, Verizon/Yahoo, 21 december 2016, par. 90. Ook bij het vermogen van de fusieonderneming om concurrerende aanbieders van zowel customer relationship management software solutions als productivity software van de markt te verdrijven hield de Commissie rekening met de toepassing van gegevensbeschermingswetgeving.
  Voor beide relevante markten voerde de Commissie aan dat gegevensbeschermingswetgeving het vermogen van Microsoft beperkte om na de concentratie toegang te krijgen tot LinkedIn’s volledige dataset en deze te kunnen analyseren.³²xZaak nr. M.8124, Microsoft/LinkedIn, 6 december 2016, par. 254-255 en 375. Als zodanig beriep de Commissie zich op gegevensbeschermingswetgeving om haar redenering te onderbouwen dat de combinatie van datasets van de twee partijen geen mededingingsbezwaren deed rijzen. Dit vertrouwen in de effectiviteit van het gegevensbeschermingsrecht komt wellicht het duidelijkst naar voren in voetnoot 332. Hoewel tijdens het marktonderzoek zorgen werden geuit over het feit dat bedrijven die buiten de EER gevestigd zijn mogelijkerwijs de Europese gegevensbeschermingsregels konden omzeilen, volstond het volgens de Commissie dat zowel LinkedIn als Microsoft na de concentratie onderworpen bleef aan nationale gegevensbeschermingswetten die de Europese gegevensbeschermingsregels implementeren. Wat betreft LinkedIn waarop de Ierse gegevensbeschermingswetgeving van toepassing was, merkte de Commissie op dat waar de Ierse gegevensbeschermingsregels minder restrictief waren dan die in andere lidstaten, de nieuwe Algemene Verordening Gegevevensbescherming (AVG) rechtstreeks van toepassing zou worden en daardoor de ruimte voor verschillen tussen nationale gegevensbeschermingswetgeving van lidstaten zal verkleinen onder meer bij handhaving op basis van de AVG.³³xZaak nr. M.8124, Microsoft/LinkedIn, 6 december 2016, voetnoot 332 op p. 77: ‘For completeness, the Commission notes that, in the course of the market investigation, concerns were raised that companies based outside the EEA may be able to try to circumvent European data protection rules (either by not fully complying with such rules or by interpreting them in their favour), while European competitors need to fully comply with EU data protection rules. In this respect, it suffices to say that LinkedIn post-Transaction remains subject to European data protection rules, in particular to Irish data protection law with respect to the data collection, processing and usage of European users. Moreover, in the case where Irish data protection rules were less restrictive than those in other Member States, the Commission notes that the newly adopted General Data Protection Regulation is directly applicable and therefore the scope for divergence between Member States’ national data protection laws will be reduced, including in their enforcement. Finally, if Microsoft were to transfer and process personal data of LinkedIn’ members outside of the EEA, the rules of the national laws implementing the Data Protection Directive and, as of 25 May 2018, the General Data Protection Regulation will still apply’. Dit illustreert het sterke vertrouwen in een toekomstig regime dat pas anderhalf jaar na de goedkeuring van de concentratie van toepassing zou worden. Hoewel de geschiktheid van de redenering van de Commissie afhangt van de hoogte van het risico dat de fusie zou opleveren voor gegevensbescherming, kleven er principiële bezwaren aan het inroepen van wetgeving die nog niet in werking is getreden vanwege de onzekerheid die dit met zich meebrengt voor het daadwerkelijk kunnen voorkomen van mededingingsproblemen.
  De Commissie baseerde zich op een nog grotere veronderstelling in haar Google/Sanofi-concentratiebesluit door opnieuw wetgeving in te roepen die nog niet in werking was getreden maar ook nog niets eens definitief aangenomen was. Bovendien ging het hier om nieuw geïntroduceerde regels waarvan de reikwijdte tot op de dag van vandaag onduidelijk blijft. Google en Sanofi wilden een joint venture opzetten voor het aanbieden van diensten voor de behandeling van diabetes met behulp van een digitaal e-medicine platform. Een concurrent had tijdens het marktonderzoek de zorg geuit dat de joint venture patiënten aan haar diensten zou kunnen binden door de overdraagbaarheid van hun gegevens naar andere platforms te beperken of voorkomen.³⁴xZaak nr. M.7813, Sanofi/Google/DMI JV, 23 februari 2016, par. 67. De Commissie concludeerde echter dat er in de nabije toekomst geen risico was dat patiënten ingesloten zouden worden in de diensten van de joint venture. Volgens de Commissie zou de fusieonderneming namelijk niet in staat zijn de overdraagbaarheid van de gegevens van patiënten te beperken of te voorkomen, aangezien gebruikers het recht zullen krijgen portabiliteit van hun gegevens te vragen in het kader van de, op dat moment nog, ontwerp-AVG:
  

  ‘The draft GDPR states that data subjects have a right to receive a copy of their data in a structured and commonly used machine-readable format. Moreover, they have the right to transmit their data to another controller or to request the controller to transmit their data directly to another controller.’³⁵xZaak nr. M.7813, Sanofi/Google/DMI JV, 23 februari 2016, par. 69.

  
  Het is opvallend dat het concentratiebesluit is genomen voordat de definitieve versie van de AVG werd aangenomen op 27 april 2016, laat staan voordat de verordening van toepassing werd op 25 mei 2018. Hoewel concentratiebesluiten een prospectieve beoordeling vereisen, is het problematisch dat de Commissie zich beriep op een nieuw recht in ontwerpwetgeving als een manier om mededingingsbezwaren uit te sluiten. Dit is met name het geval omdat de reikwijdte van het recht op gegevensportabiliteit zelfs na de goedkeuring van de AVG nog niet duidelijk is. Hoewel de Artikel 29-werkgroep in april 2017 richtsnoeren heeft gepubliceerd om de vereisten van het nieuwe recht te verduidelijken,³⁶xArtikel 29-werkgroep, ‘Guidelines on the right to data portability’, 5 april 2017, 16/EN WP 242 rev.01. blijft het afwachten hoe gegevensportabiliteit in de praktijk toegepast en gehandhaafd zal worden.³⁷xZie voor een bespreking van enkele open vragen, I. Graef, M. Husovec en N. Purtova, ‘Data Portability and Data Control: Lessons for an Emerging Concept in EU Law’, TILEC Discussion Paper nr. 2017-041, beschikbaar op https://ssrn.com/abstract=3071875.
  Het gewicht dat de Commissie aan het vermogen van het nieuw recht hechtte elke lock-in van patiënten uit te sluiten is dus moeilijk te rechtvaardigen. Aangezien het recht op gegevensportabiliteit nog omringd is door onzekerheden, kan de redenering van de Commissie die dateert van meer dan twee jaar voor de, op dat moment zelfs nog, ontwerp-AVG van toepassing was, niet anders dan als zeer speculatief gezien worden. Los daarvan zijn er ook verschillen in de reikwijdte van het recht op gegevensportabiliteit in de AVG en remedies om restricties op gegevensportabiliteit tegen te gaan onder het mededingingsrecht.³⁸xZie I. Graef, ‘Mandating portability and interoperability in online social networks: Regulatory and competition law issues in the European Union’, Telecommunications Policy 2015, nr. 6, p. 502-514, op p. 508-509 en O. Lynskey, ‘Aligning data protection rights with competition law remedies? The GDPR right to data portability’ European Law Review 2017, p. 793-814, op p. 801-802. Om deze reden neemt het nieuwe recht niet noodzakelijkerwijs alle mededingingsbezwaren van een gebrek aan gegevensportabiliteit bij lock-in weg.
  Het meenemen van gegevensbeschermingsbeginselen bij concentraties is een welkome manier om een meer samenhangende vorm van toezicht te creëren, vooral als het gaat om de erkenning van gegevensbescherming als concurrentieparameter. Wat betreft de rol van gegevensbeschermingswetgeving in het voorkomen van het ontstaan van mededingingsproblemen is een voorzichtige aanpak nodig om ervoor te zorgen dat de rechten en verplichtingen die worden ingeroepen ook echt de mogelijkheden voor marktspelers beperken om concurrentieverstorend gedrag aan te gaan. Bij het inroepen van conceptwetgeving of wetgeving die nog niet in werking is getreden, is terughoudendheid op zijn plaats totdat er meer duidelijkheid is over de reikwijdte en effectiviteit van de nieuwe regels.

  Integreren van gegevensbeschermingsbelangen in de beoordeling van concentraties

  Bij haar erkenning als concurrentieparameter en als restrictie op het ontstaan van mededingingsproblemen wordt gegevensbescherming geïntegreerd in de gebruikelijke mededingingsanalyse voor de beoordeling van concentraties. Een meer omstreden vraag is of concentratiecontrole de effectiviteit van het gegevensbeschermingsrecht zou moeten bevorderen door het als niet-economisch belang mee te nemen. De Commissie heeft in Google/DoubleClick, Facebook/WhatsApp en Microsoft/LinkedIn steeds het standpunt ingenomen dat aan privacy gerelateerde problemen niet onder het mededingingsrecht maar binnen de reikwijdte van de gegevensbeschermingsregels vallen.³⁹xZaak nr. COMP/M.4731, Google/ DoubleClick, 11 maart 2008, par. 368; zaak nr. COMP/M.7217, Facebook/WhatsApp, 3 oktober 2014, par. 164 en Persbericht Europese Commissie, ‘Mergers: Commission approves acquisition of LinkedIn by Microsoft, subject to conditions’, 6 december 2016, beschikbaar op http://europa.eu/rapid/press-release_IP-16-4284_en.htm (eenzelfde uitspraak komt niet terug in het Microsoft/LinkedIn-concentratiebesluit zelf). Het Hof van Justitie stelde in Asnef-Equifax op een vergelijkbare manier dat ‘eventuele vragen met betrekking tot de gevoeligheid van persoonsgegevens, daar zij als zodanig niet tot het mededingingsrecht behoren, [kunnen] worden opgelost op de grondslag van de voor de bescherming van dergelijke gegevens relevante bepalingen’.⁴⁰xHvJ EG 23 november 2006, zaak C-238/05, Asnef-Equifax/Asociación de Usuarios de Servicios Bancarios, ECLI:EU:C:2006:734, r.o. 63.
  De goedkeuring van een concentratie onder de Concentratieverordening belet een gegevensbeschermingstoezichthouder echter niet gelijktijdig met of na het fusieonderzoek een eigen onderzoek te starten naar de naleving van de verplichtingen van de fusieonderneming onder het gegevensbeschermingsrecht. Artikel 21 lid 4 van de Concentratieverordening kan hierbij een interessante rol spelen.⁴¹xDeze analyse is gebaseerd op Graef 2016, p. 349-352 en I. Graef, ‘Blurring Boundaries of Consumer Welfare: How to Create Synergies Between Competition, Consumer and Data Protection Law in Digital Markets’, in: M.-O. Mackenrodt, M. Bakhoum, B. Conde Gallego en G. Surblyte (red.), Personal Data in Competition, Consumer Protection and IP Law. Towards a Holistic Approach?, Springer 2018 (te verschijnen), p. 17-18 en 20-21, beschikbaar op https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2881969. Op basis van deze bepaling hebben de lidstaten het recht passende maatregelen te nemen ter bescherming van andere gewettigde belangen dan die welke onder de Concentratieverordening in aanmerking worden genomen. De gewettigde belangen die artikel 21 lid 4 noemt zijn de openbare veiligheid, de pluraliteit van de media en de toezichtsregels.⁴²xEen recente zaak waarin het Verenigd Koninkrijk art. 21 lid 4 van de Concentratieverordening inriep om de impact van een concentratie die al was goedgekeurd door de Europese Commissie op mediapluraliteit te beoordelen is de overname van Fox door Sky. Zie Persbericht Europese Commissie, ‘Mergers: Commission clears 21st Century Fox’s proposed acquisition of Sky under EU merger rules’, 7 april 2017, beschikbaar op http://europa.eu/rapid/press-release_IP-17-902_en.htm. Elk ander openbaar belang moet door de betrokken lidstaat aan de Commissie worden meegedeeld, waarna de Commissie de verenigbaarheid ervan met de algemene beginselen en andere bepalingen van het Gemeenschapsrecht zal beoordelen.
  Als de Commissie op verzoek van een lidstaat gegevensbescherming inderdaad als een gewettigd belang aanvaardt in de zin van artikel 21 lid 4 Concentratieverordening, kan de lidstaat op basis van het nationale recht aanvullende voorwaarden verbinden aan een concentratie of deze zelfs blokkeren als dit evenredig is. Wel moet de beoordeling door de lidstaat plaatsvinden op basis van het nationale recht en buiten het kader van concentratiecontrole. Aangezien het gegevensbeschermingsrecht de bevoegde autoriteiten echter niet de gelegenheid biedt prospectieve of structurele maatregelen te nemen, lijkt het voor een gegevensbeschermingstoezichthouder niet mogelijk een concentratie aan voorwaarden te onderwerpen, laat staan te blokkeren, als deze ten tijde van de goedkeuring door de Commissie onder de Concentratieverordening geen aanleiding geeft tot gegevensbeschermingsproblemen.⁴³xVoor een andere visie op de mogelijkheden die art. 21 lid 4 van de Concentratieverordening biedt, zie F. Costa-Cabral en O. Lynskey, ‘Family Ties: The Intersection Between Data Protection and Competition in EU Law’, Common Market Law Review 2017, nr. 1, p. 11-50, op p. 46-47.
  Een interessante vraag is of de nieuwe vereisten die de AVG stelt aan risicovolle verwerkingsactiviteiten gegevensbeschermingsautoriteiten in staat zullen stellen proactiever op te treden. Op grond van artikel 35 lid 1 AVG moeten verwerkingsverantwoordelijken voorafgaand aan een verwerking die een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, een beoordeling uitvoeren van het effect van de geplande verwerkingsactiviteiten op de bescherming van persoonsgegevens. Artikel 36 lid 1 AVG verplicht de verwerkingsverantwoordelijke de bevoegde gegevensbeschermingstoezichthouder voorafgaand aan de verwerking te raadplegen wanneer blijkt dat de verwerking een hoog risico zou opleveren indien de verantwoordelijke geen maatregelen neemt. Gesteld kan worden dat de verplichting om een data protection impact assessment uit te voeren ook toegepast zou moeten worden in concentratiezaken die aanleiding geven tot een combinatie van voorheen aparte datasets die persoongegevens bevatten. Vanwege het risico dat persoonsgegevens na de concentratie voor onverenigbare doeleinden worden verwerkt kan de fusieonderneming verplicht worden maatregelen te treffen en de nationale gegevensbeschermingstoezichthouder te raadplegen voorafgaand aan de verwerkingsactiviteiten. Op deze manier kan de gegevensbeschermingsautoriteit nauwlettend volgen hoe persoonsgegevens na de concentratie worden verwerkt en advies geven aan de verantwoordelijke, ook al wordt geen schending van de gegevensbeschermingswetgeving vastgesteld op het moment van kennisgeving van de voorgenomen fusie aan de Commissie in het kader van het concentratietoezicht. Ook introduceert de AVG de verantwoordingsplicht die vereist dat gegevensverwerkers moeten kunnen aantonen dat zij voldoen aan de gegevensbeschermingsregels. Dit beginsel houdt in dat een gegevensverwerker op verzoek van de toezichthouder moet laten zien dat de juiste maatregelen zijn genomen om te voldoen aan de gegevensbeschermingsregels.⁴⁴xZie art. 5 lid 2 AVG in de context van de beginselen voor de verwerking van persoonsgegevens. Net als de data protection impact assessment staat de verantwoordingsplicht van gegevensverwerkers de autoriteiten toe naleving te monitoren voordat een daadwerkelijke inbreuk hoeft te worden vastgesteld. Afgezien van deze beperkte mogelijkheden voorziet het gegevensbeschermingsrecht niet in structurele maatregelen om te voorkomen dat toekomstige gegevensbeschermingsproblemen ontstaan. Wel zou het toepassen van deze twee mechanismen bij fusies met een impact op gegevensbescherming meer mogelijkheden geven voor gegevensbeschermingstoezichthouders op een meer prospectieve manier op te treden in aanvulling op het concentratietoezicht.
  Afgezien van de toepassing van gegevensbeschermingsrecht naast het concentratietoezicht rijst de vraag of er ruimte is gegevensbeschermingsbelangen proactief mee te nemen in de beoordeling van fusies ongeacht de terughoudendheid van de Commissie en het Hof van Justitie. Het initiatief om data protection impact assessments uit te voeren en de verantwoordingsplicht na te leven blijft bij verwerkingsverantwoordelijken waardoor de mogelijkheden tot het aannemen van prospectieve en structurele remedies onder het concentratietoezicht relatief sterker zijn. Concentratiecontrole is per definitie toekomstgericht en de Concentratieverordening voorziet uitdrukkelijk in de mogelijkheid tot het blokkeren van fusies die onverenigbaar zijn met de gemeenschappelijke markt. Vanwege de relatieve kracht van het concentratietoezicht zou het de effectiviteit van het gegevensbeschermingsrecht ten goede komen als gegevensbescherming meegewogen wordt als niet-economisch belang bij de beoordeling van concentraties door mededingingsautoriteiten. Zulke mogelijkheden lijken vooral te bestaan in situaties waar concentraties mededingingsbezwaren opleveren.⁴⁵xDeze analyse is gebaseerd op Graef 2016, p. 352-354 en Graef 2018 (te verschijnen), p. 21-23. Wanneer vaststaat dat een voorgenomen concentratie de daadwerkelijke mededinging op significante wijze zou belemmeren, bieden de partijen normaal gesproken remedies aan om de geconstateerde mededingingsbezwaren weg te nemen en de concentratie zo verenigbaar te maken met de gemeenschappelijke markt. Omdat de partijen afhankelijk zijn van het goeddunken van de Commissie om te voorkomen dat de concentratie wordt geblokkeerd, heeft de Commissie de ruimte om oplossingen te eisen die niet alleen tegemoetkomen aan de mededingingsbezwaren maar tegelijkertijd ook de doeltreffendheid van het gegevensbeschermingsrecht garanderen.
  De dissenting opinion van voormalig Federal Trade Commissioner Pamela Jones Harbour in Google/DoubleClick geeft inspiratie voor hoe gegevensbeschermingsbelangen bevorderd kunnen worden onder concentratiecontrole. Zij stelde dat het wellicht wenselijk was Google en DoubleClick gedurende een bepaalde tijd te verplichten een firewall tussen de twee datasets in te stellen om concurrentiebeperkende effecten te voorkomen.⁴⁶xDissenting Statement van Commissioner Pamela Jones Harbour, Google/DoubleClick, FTC File No. 071-0170, 20 december 2007, voetnoot 23 op p. 9, beschikbaar via www.ftc.gov/sites/default/files/documents/public_statements/statement-matter-google/doubleclick/071220harbour_0.pdf: ‘For example, the Commission might have mandated a firewall between the Google and DoubleClick data for some period of time, consistent with the parties’ representations that they do not intend to merge the datasets. Such a firewall would need to be carefully crafted to avoid gamesmanship, permit auditing, and the like.’ Hoewel dit voorstel van Harbour slechts gebaseerd was op de impact van de fusie op de concurrentie in de markt, zou het opzetten van zo’n firewall niet alleen mededingingsbezwaren hebben tegengegaan maar ook mogelijke toekomstige inbreuken op het gegevensbeschermingsrecht hebben verhinderd, bijvoorbeeld doordat de fusieonderneming persoonsgegevens niet met elkaar kan combineren en gebruiken voor onverenigbare doeleinden. De bevoegde gegevensbeschermingsautoriteit zou dan zelfs kunnen worden belast met het toezicht om na te gaan dat persoonsgegevens inderdaad niet worden uitgewisseld tussen voorheen aparte diensten. Dit zou de gegevensbeschermingstoezichthouder ook in staat stellen preventieve maatregelen te eisen van de fusieonderneming om te voorkomen dat persoonsgegevens met elkaar worden gecombineerd.
  Achteraf zou een dergelijke remedie wellicht geschikt zijn geweest in Facebook/WhatsApp gezien de ontwikkelingen na de goedkeuring van de concentratie door de Commissie in oktober 2014 zoals beschreven in de inleiding. Het is vooral de vraag of de Commissie niet al te optimistisch is geweest door de concentratie goed te keuren zonder zelfs maar een diepgaand onderzoek in te stellen en mogelijke remedies te onderzoeken.⁴⁷xDe Facebook/WhatsApp-concentratie is goedgekeurd op grond van art. 6 lid 1 sub b Concentratieverordening. Zie zaak nr. COMP/M.7217, Facebook/WhatsApp, 3 oktober 2014, par. 191. Hoewel betoogd kan worden dat de analyse van de Commissie gebaseerd was op onjuiste of misleidende informatie van Facebook – waarvoor zij in mei 2017 een boete van 110 miljoen euro kreeg opgelegd – heeft de Commissie duidelijk gemaakt dat dit geen invloed had op de uitkomst van het fusieonderzoek. De Commissie had immers destijds ook een ‘even als’-beoordeling uitgevoerd waarbij het linken van gebruikersaccounts – wat volgens Facebook technisch niet mogelijk was – als mogelijkheid werd verondersteld.⁴⁸xPersbericht Europese Commissie, ‘Mergers: Commission fines Facebook €110 million for providing misleading information about WhatsApp takeover’, 18 mei 2017, beschikbaar op http://europa.eu/rapid/press-release_IP-17-1369_en.htm. Als de Commissie zich proactiever had opgesteld ten aanzien van de geuite bezwaren over de combinatie van de datasets tussen Facebook en WhatsApp, had zij Facebook kunnen beletten of op zijn minst kunnen beperken in haar eenzijdige beslissing om het privacybeleid van WhatsApp te wijzigen. De ruimte voor remedies wat betreft het gebruik van persoonsgegevens na de concentratie was aanwezig, aangezien het gebruik door Facebook van WhatsApp’s data ook aanleiding gaf tot mogelijke mededingingsproblemen vanwege het effect van de combinatie van de twee datasets op de concentratie in de markt. Bij gebrek aan enige fusieremedies is de enige optie voor de verschillende betrokken nationale gegevensbeschermings- en consumentenautoriteiten ex post te controleren of Facebook voldoet aan de relevante regels.

  Datagedreven efficiëntieverbeteringen als mogelijk conflict

  Spanning tussen het mededingings- en gegevensbeschermingsrecht kan optreden bij concentratiecontrole wanneer er sprake is van datagedreven efficiëntieverbeteringen. In de TomTom/Tele Atlas en Microsoft/Yahoo-concentraties beriepen de partijen zich op zulke efficiëntieverbeteringen om mogelijk mededingingsbeperkende effecten te rechtvaardigen waartoe de transacties aanleiding zouden geven. Zo beweerden de partijen dat de overname van Tele Atlas door TomTom aanzienlijke efficiëntieverbeteringen zou opleveren omdat de feedbackgegevens van TomTom’s grote klantenbestand gebruikt konden worden om de kaartdatabanken van Tele Atlas te verbeteren. Volgens de Commissie zouden eindgebruikers zeker profiteren van de frequentere en uitgebreidere updates van de kaartdatabank die door de concentratie mogelijk werden gemaakt, maar was het moeilijk dergelijke efficiëntieverbeteringen te kwantificeren. Uiteindelijk heeft de Commissie de omvang van de te verwachten efficiëntieverbeteringen niet ingeschat, omdat zij concludeerde dat de concentratie geen mededingingsbeperkende effecten had ongeacht het bestaan van efficiëntieverbeteringen.⁴⁹xZaak nr. COMP/M.4854, TomTom/Tele Atlas, 14 mei 2008, par. 245-250.
  In Microsoft/Yahoo betoogde Microsoft dat zij door Yahoo over te nemen een geloofwaardiger alternatief zou vormen voor Google vanwege schaalvoordelen, die volgens haar een positief effect zouden hebben op zowel gebruikers als adverteerders. Hoewel de Commissie geen overtuigend bewijs vond dat een grotere schaal gunstig is voor gebruikers en adverteerders, bevestigden de respondenten in het marktonderzoek dat de concentratie procompetitieve effecten zou hebben en zou leiden tot meer voordelen dan nadelen. Bovendien was de overgrote meerderheid van de adverteerders en mediabureaus die deelnamen aan het marktonderzoek van mening dat de fusieonderneming een sterkere concurrent zou zijn voor Google.⁵⁰xZaak nr. COMP/M.5727, Microsoft/Yahoo! Search Business, 18 februari 2010, par. 160-176.
  Concentraties die leiden tot datagedreven efficiëntieverbeteringen kunnen onverenigbaar zijn met het gegevensbeschermingsrecht als deze verbeteringen ook betrekking hebben op persoonsgegevens. De combinatie van gegevens uit voorheen afzonderlijke datasets kan voordelen opleveren voor economische efficiëntie maar zal waaschijnlijk ook aanleiding geven tot gegevensbeschermingskwesties. Zo is het gevolg wellicht dat persoonsgegevens verder verwerkt worden voor een ander doel dan waarvoor ze oorspronkelijk zijn verzameld.⁵¹xDezelfde overwegingen spelen ook een rol in het kader van art. 101 VWEU waar overeenkomsten waaronder concurrenten met elkaar samenwerken en persoonsgegevens delen, geacht kunnen worden tot efficiëntieverbeteringen te leiden onder art. 101 lid 3 VWEU. Bovendien zijn dergelijke overeenkomsten wellicht niet eens concurrentieverstorend onder art. 101 lid 1 VWEU als ze geen mededingingsbeperkend doel of effect hebben, terwijl het delen van persoonsgegevens met derden wel problematisch is vanuit het perspectief van het gegevensbeschermingsrecht.
  Een soortgelijke situatie doet zich voor wanneer de partijen als remedie om mededingingsbezwaren op te lossen worden verzocht de relevante gegevens te dupliceren en zo derden in staat te stellen concurrerende of aanvullende diensten te ontwikkelen.⁵²xZie N.-P. Schepp en A. Wambach, ‘On Big Data and Its Relevance for Market Power Assessment’, Journal of European Competition Law & Practice 2016, nr. 2, p. 120-124, op p. 123. Een dergelijke remedie speelde in Thomson/Reuters waar de Commissie de concentratie goedkeurde op voorwaarde dat de partijen kopieën van hun databanken met financiële informatie zouden verkopen.⁵³xZaak nr. COMP/M.4726, Thomson Corporation/Reuters Group, 19 februari 2008. Als persoonsgegevens in zulke databanken zijn opgenomen, moeten opnieuw aanvullende maatregelen worden genomen door de partijen om conflicten met het gegevensbeschermingsrecht te voorkomen. Hoewel er dus sprake kan zijn van spanning tussen de belangen onder het mededingings- en gegevensbeschermingstoezicht bij concentraties, is er genoeg ruimte voor fusieondernemingen om conflicten te voorkomen. Dit vereist echter wel dat er aandacht is voor gegevensbescherming bij concentraties waarin persoonsgegevens een rol spelen.

• Conclusie

  Zowel bij concentratie- als misbruikzaken is er ruimte voor een betere afstemming met gegevensbescherming wat betreft inhoudelijke beginselen en handhavingsmechanismen. Een meer samenhangende toepassing en handhaving van het mededingings- en gegevensbeschermingsrecht zal consumenten ten goede komen en hen beter beschermen tegen de steeds groter wordende machts- en informatieasymmetrieën. Door een aantal interacties te analyseren tussen het mededingings- en gegevensbeschermingsrecht heeft dit artikel aanbevelingen gedaan voor het versterken van de synergieën tussen de twee vormen van toezicht.
  Dit vraagstuk is hier vooral besproken vanuit het mededingingsperspectief door na te gaan in hoeverre gegevensbescherming een rol kan of zou moeten spelen in concentratie- en misbruikzaken. Tegelijkertijd kan het gebruik van beginselen uit het mededingingsrecht ook van pas komen bij de handhaving van het gegevensbeschermingsrecht. Zo zouden principes als marktdefinitie en marktmacht kunnen worden gebruikt om de omvang van de verplichtingen van verwerkers vast te stellen in overeenstemming met de risk-based approach van de AVG. Hoe sterker de machtspositie van de verwerker is, des te groter het risico dat de verwerkingsactiviteiten een impact hebben op het fundamentele recht op gegevensbescherming van betrokkenen. Dit is een veronderstelling die is afgeleid uit het feit dat consumenten minder keuze hebben over te stappen naar een verwerker met een ander privacybeleid in meer geconcentreerde markten. In tegenstelling tot het mededingingsrecht richt gegevensbeschermingswetgeving zich niet op grootte als zodanig, in die zin dat een schending van de gegevensbeschermingsregels even schadelijk kan zijn voor de belangen van betrokkenen ongeacht de marktpositie van de verwerker en de omvang van de dataset of de verwerkingsactiviteiten. Hoewel er geen formeel onderscheid wordt gemaakt op basis van omvang in het gegevensbeschermingsrecht, kan het risico dat bepaalde verwerkingsactiviteiten inhouden wel worden beschouwd als een relevante factor die meegenomen wordt om de schaal van de verplichtingen van verwerkers of de impact op de rechten van betrokkenen te interpreteren.⁵⁴xZie bijvoorbeeld art. 24 lid 1 AVG waar ‘de omvang, de context en het doel van de verwerking, alsook (…) de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen’ een rol speelt bij het bepalen van passende technische en organisatorische maatregelen door de verantwoordelijke om naleving van de gegevensbeschermingsregels te waarborgen. Dit lijkt, althans tot op zekere hoogte, op de gevestigde beginselen van marktafbakening en marktmacht in het mededingingsrecht. Deze concepten zouden daarom meegenomen kunnen worden voor het interpreteren van gegevensbeschermingsbeginselen zoals de verantwoordingsplicht van verwerkers. Hoe sterker de positie van de verwerker en dus hoe minder gelegenheid betrokkenen hebben naar een andere verwerker over te stappen, des te strikter de verantwoordingsplicht van verwerkers zou moeten worden toegepast om de belangen van betrokkenen te beschermen. Wat betreft de interpretatie van het begrip toestemming zou deze logica betekenen dat het bestaan van marktmacht in de zin van het mededingingsrecht kan fungeren als een indicator die de geldigheid van toestemming als een rechtmatige verwerkingsgrond in twijfel trekt. Men kan zich immers afvragen of betrokkenen nog daadwerkelijk vrijelijk toestemming kunnen verlenen bij het bestaan van marktmacht dat wijst op, in de bewoordingen van overweging 43 van de AVG ‘een duidelijke wanverhouding tussen de betrokkene en de verwerkingsverantwoordelijke’.⁵⁵xZie Artikel 29-werkgroep, ‘Guidelines on consent under Regulation 2016/679’, 10 april 2018, 17/EN WP259 rev.01, p. 7. Voor een uitgebreide analyse, zie D. Clifford, I. Graef en P. Valcke, ‘Pre-formulated declarations of data subject consent – Citizen-consumer empowerment and the alignment of data, consumer and competition law protections’, CiTiP Working Paper 33/2017, 2018, p. 38-41, beschikbaar op https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3126706.
  Afgezien van synergieën blijft er ook ruimte voor conflicten tussen de handhaving van het mededingings- en gegevensbeschermingsrecht. Dergelijke spanningen kunnen worden geplaatst in de bredere context van lopende discussies over de regulering van de data-economie waarin verschillende beleidsdoelstellingen met elkaar worden verzoend.⁵⁶xVoor lopende beleidsdiscussies, zie Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s, ‘Bouwen aan een Europese Data-Economie’, 10 januari 2017, COM(2017)9 final en Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s, ‘Naar een gemeenschappelijke Europese gegevensruimte’, 25 april 2018, COM/2018/232 final. Enerzijds wordt overwogen bedrijven te dwingen tot het openstellen van hun datasets om zo de ontwikkeling van nieuwe datagedreven producten en diensten te bevorderen. Anderzijds mag de uitwisseling van gegevens tussen marktspelers het fundamentele recht op gegevensbescherming niet aantasten. Dit levert een beleidsdilemma op hoe een goed evenwicht te vinden tussen datagedreven innovatie enerzijds, dat wordt gestimuleerd door toegang tot en hergebruik van data, en gegevensbescherming anderzijds, dat wordt gewaarborgd door principes als gegevensminimalisering en doelbeperking.

Noten

• * Dit artikel is een vertaling en bewerking van het nog te verschijnen artikel van I. Graef, D. Clifford en P. Valcke in International Data Privacy Law 2018 getiteld ‘Fairness and enforcement: bridging competition, data protection and consumer law’. Het gepresenteerde onderzoek bouwt voort op het proefschrift van de auteur: I. Graef, EU Competition Law, Data Protection and Online Platforms. Data as Essential Facility, Alphen aan den Rijn: Kluwer Law International 2016.

• 1 Zie bijvoorbeeld A. Ezrachi en M.E. Stucke, Virtual Competition. The Promise and Perils of the Algorithm-Driven Economy, Cambridge, Mass.: Harvard University Press 2016, M.E. Stucke en A.P. Grunes, Big Data and Competition Policy, Oxford: Oxford University Press 2016 en E. Van Damme, I. Graef en W. Sauter, ‘Machtsmisbruik op basis van big data’, M&M 2018/3.

• 2 Zie bijvoorbeeld B.-J. Koops, ‘The trouble with European data protection law’, International Data Privacy Law 2014, nr. 4, p. 250-261.

• 3 Persbericht Autorità Garante della Concorrenza e del Mercato, ‘“Big Data”: Italian Regulators open a sector inquiry’, 1 juni 2017, beschikbaar op www.agcm.it/en/newsroom/press-releases/2384-%E2%80%9Cdig-data%E2%80%9D-italian-regulators-open-a-sector-inquiry.html.

• 4 Persbericht Bundeskartellamt, ‘Preliminary assessment in Facebook proceeding: Facebook’s collection and use of data from third-party sources is abusive’, 19 december 2017, beschikbaar op www.bundeskartellamt.de/SharedDocs/Meldung/EN/Pressemitteilungen/2017/19_12_2017_Facebook.html?nn=3591568.

• 5 Zaak nr. M.8228, Facebook/WhatsApp, 17 mei 2017, C(2017)3192 final.

• 6 Voor een overzicht, zie N. Zingales, ‘Between a Rock and Two Hard Places: WhatsApp at the Crossroad of Competition, Data Protection and Consumer Law’, Computer Law & Security Review 2017, nr. 4, p. 554-555.

• 7 Zie bijvoorbeeld de brief van de Artikel 29-werkgroep aan WhatsApp van 24 oktober 2017, beschikbaar op https://ec.europa.eu/newsroom/just/document.cfm?doc_id=47964.

• 8 Statement von Klaus Müller, Vorstand des vzbv, ‘vzbv verklagt WhatsApp: Verbraucher müssen Hoheit über Daten behalten’, 30 januari 2017, beschikbaar op www.vzbv.de/pressemitteilung/vzbv-verklagt-whatsapp-verbraucher-muessen-hoheit-ueber-daten-behalten.

• 9 Persbericht Autorità garante della concorrenza e del mercato, ‘WhatsApp fined for 3 million euro for having forced its users to share their personal data with Facebook’, 12 mei 2017, beschikbaar op www.agcm.it/en/newsroom/press-releases/2380-whatsapp-fined-for-3-million-euro-for-having-forced-its-users-to-share-their-personal-data-with-facebook.html.

• 10 Persbericht Hamburgse Commissaris voor gegevensbescherming en vrijheid van informatie, ‘Higher Administrative Court confirms the prohibition of data sharing between WhatsApp and Facebook’, 2 maart 2018, beschikbaar op www.datenschutz-hamburg.de/fileadmin/user_upload/documents/Press_Release_2018-03-02_Higher_Administrative_Court_Facebook.pdf.

• 11 Persbericht UK Information Commissioner, ‘A win for the data protection of UK consumers – WhatsApp signs public commitment not to share personal data with Facebook until data protection concerns are addressed’, 14 maart 2018, beschikbaar op https://iconewsblog.org.uk/2018/03/14/whatsapp-signs-public-commitment/.

• 12 Persbericht Bundeskartellamt, ‘Bundeskartellamt initiates proceeding against Facebook on suspicion of having abused its market power by infringing data protection rules’, 2 maart 2016, beschikbaar op www.bundeskartellamt.de/SharedDocs/Meldung/EN/Pressemitteilungen/2016/02_03_2016_Facebook.html?nn=3591568.

• 13 Persbericht Bundeskartellamt, ‘Preliminary assessment in Facebook proceeding: Facebook’s collection and use of data from third-party sources is abusive’, 19 december 2017, beschikbaar op www.bundeskartellamt.de/SharedDocs/Meldung/EN/Pressemitteilungen/2017/19_12_2017_Facebook.html?nn=3591568.

• 14 Art. 5 lid 1 sub b en c Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (hierna: Algemene verordening gegevensbescherming of AVG), PbEU 2016, L 119/1.

• 15 Zie vooral het voorlopig advies van de Europese toezichthouder voor gegevensbescherming, ‘Privacy and competitiveness in the age of big data: The interplay between data protection, competition law and consumer protection in the Digital Economy’, maart 2014, beschikbaar op https://edps.europa.eu/sites/edp/files/publication/14-03-26_competitition_law_big_data_en.pdf.

• 16 Zo zien de richtsnoeren betreffende de handhavingsprioriteiten onder art. 102 VWEU alleen op uitsluitingsmisbruik. Zie Mededeling van de Commissie — Richtsnoeren betreffende de handhavingsprioriteiten van de Commissie bij de toepassing van artikel 82 van het EG-Verdrag op onrechtmatig uitsluitingsgedrag door ondernemingen met een machtspositie, PbEU 2009, C 45/7, par. 7.

• 17 Zie ook F. Costa-Cabral en O. Lynskey, ‘Family Ties: The Intersection Between Data Protection and Competition in EU Law’, CMLRev 2017, p. 33-37. In AstraZeneca (HvJ EU 6 december 2012, zaak C-457/10 P, AstraZeneca, ECLI:EU:C:2012:770) en Allianz Hungaria (HvJ EU 26 april 2013, zaak C-32/11, Allianz Hungaria, ECLI:EU:C:2013:160) heeft het Hof van Justitie al erkend dat de schending van een ander rechtsgebied een factor kan zijn in de beoordeling of er ook sprake is van een inbreuk op het mededingingsrecht.

• 18 Zie Persbericht Bundeskartellamt, ‘Bundeskartellamt initiates proceeding against Facebook on suspicion of having abused its market power by infringing data protection rules’, 2 maart 2016, beschikbaar op www.bundeskartellamt.de/SharedDocs/Meldung/EN/Pressemitteilungen/2016/02_03_2016_Facebook.html?nn=3591568: ‘If there is a connection between such an infringement and market dominance, this could also constitute an abusive practice under competition law’.

• 19 Zie onder andere HvJ EG 29 april 2004, zaak C-418/01, IMS Health, ECLI:EU:C:2004:257, r.o. 38 en Gerecht 17 september 2007, zaak T-201/04, Microsoft, ECLI:EU:T:2007:289, r.o. 332-333.

• 20 Zie voor een uitgebreide analyse van de toepassing van de essential facilities doctrine op data, I. Graef, EU Competition Law, Data Protection and Online Platforms. Data as Essential Facility, Alphen aan den Rijn: Kluwer Law International 2016, p. 249-280.

• 21 Zie ook I. Graef, ‘Het misbruikverbod op het internet: onlineplatforms als poortwachters van persoonsgegevens?’, Computerrecht 2014, 89, p. 94.

• 22 Autorité de la concurrence, Décision n° 14-MC-02 du 9 septembre 2014 relative à une demande de mesures conservatoires présentée par la société Direct Energie dans les secteurs du gaz et de l’électricité, par. 169-174, beschikbaar op www.autoritedelaconcurrence.fr/pdf/avis/14mc02.pdf.

• 23 Autorité de la concurrence, Décision n° 14-MC-02 du 9 septembre 2014 relative à une demande de mesures conservatoires présentée par la société Direct Energie dans les secteurs du gaz et de l’électricité, par. 289 and 294.

• 24 Zie Artikel 29-werkgroep, ‘Opinion 05/2014 on Anonymisation Techniques’, WP 216, 10 april 2014.

• 25 Zaak nr. COMP/M.7217, Facebook/WhatsApp, 3 oktober 2014, par. 86-87.

• 26 Zaak nr. COMP/M.7217, Facebook/WhatsApp, 3 oktober 2014, par. 87-90. Dit staat los van de vraag of gegevensbescherming als niet-economisch belang meegewogen moet worden bij de beoordeling van fusies, die in de volgende paragraaf besproken wordt. Zie ook de uitspraak van de Commissie in par. 164 van haar Facebook/WhatsApp-besluit: ‘Any privacy-related concerns flowing from the increased concentration of data within the control of Facebook as a result of the Transaction do not fall within the scope of the EU competition law rules but within the scope of the EU data protection rules’.

• 27 Zaak nr. M.8124, Microsoft/LinkedIn, 6 december 2016, par. 347.

• 28 Zaak nr. M.8124, Microsoft/LinkedIn, 6 december 2016, par. 350.

• 29 Microsoft heeft toegezegd om: (1) ervoor te zorgen dat PC-fabrikanten en -distributeurs vrij waren om LinkedIn niet op Windows te installeren en om gebruikers toe te staan LinkedIn te verwijderen van Windows bij voorinstallatie; (2) concurrerende leveranciers van professionele sociale netwerken in staat te stellen de huidige niveaus van interoperabiliteit met Microsoft Office te handhaven via het Microsoft Office Add-in Program en Office application programming interfaces; (3) concurrerende aanbieders van professionele sociale netwerken toegang te verlenen tot Microsoft Graph, een uniforme gateway die ontwikkelaars in staat stelt om applicaties en diensten te maken die, afhankelijk van toestemming van de gebruiker, toegang hebben tot gegevens (zoals contactgegevens, agendagegevens, e-mail en bestanden) van Microsoft’s clouddiensten. Zie par. 5-16 van Annex I bij zaak nr. M.8124, Microsoft/LinkedIn, 6 december 2016.

• 30 Zaak nr. M.8124, Microsoft/LinkedIn, 6 december 2016, par. 177-178.

• 31 Zaak nr. M.8124, Microsoft/LinkedIn, 6 december 2016, par. 179. De Commissie gebruikte dezelfde benadering en bewoording in haar Verizon/Yahoo concentratiebesluit waar een mogelijke combinatie van datasets voor online reclame ook naar voren kwam als een van de mededingingsproblemen. Zie zaak nr. M.8180, Verizon/Yahoo, 21 december 2016, par. 90.

• 32 Zaak nr. M.8124, Microsoft/LinkedIn, 6 december 2016, par. 254-255 en 375.

• 33 Zaak nr. M.8124, Microsoft/LinkedIn, 6 december 2016, voetnoot 332 op p. 77: ‘For completeness, the Commission notes that, in the course of the market investigation, concerns were raised that companies based outside the EEA may be able to try to circumvent European data protection rules (either by not fully complying with such rules or by interpreting them in their favour), while European competitors need to fully comply with EU data protection rules. In this respect, it suffices to say that LinkedIn post-Transaction remains subject to European data protection rules, in particular to Irish data protection law with respect to the data collection, processing and usage of European users. Moreover, in the case where Irish data protection rules were less restrictive than those in other Member States, the Commission notes that the newly adopted General Data Protection Regulation is directly applicable and therefore the scope for divergence between Member States’ national data protection laws will be reduced, including in their enforcement. Finally, if Microsoft were to transfer and process personal data of LinkedIn’ members outside of the EEA, the rules of the national laws implementing the Data Protection Directive and, as of 25 May 2018, the General Data Protection Regulation will still apply’.

• 34 Zaak nr. M.7813, Sanofi/Google/DMI JV, 23 februari 2016, par. 67.

• 35 Zaak nr. M.7813, Sanofi/Google/DMI JV, 23 februari 2016, par. 69.

• 36 Artikel 29-werkgroep, ‘Guidelines on the right to data portability’, 5 april 2017, 16/EN WP 242 rev.01.

• 37 Zie voor een bespreking van enkele open vragen, I. Graef, M. Husovec en N. Purtova, ‘Data Portability and Data Control: Lessons for an Emerging Concept in EU Law’, TILEC Discussion Paper nr. 2017-041, beschikbaar op https://ssrn.com/abstract=3071875.

• 38 Zie I. Graef, ‘Mandating portability and interoperability in online social networks: Regulatory and competition law issues in the European Union’, Telecommunications Policy 2015, nr. 6, p. 502-514, op p. 508-509 en O. Lynskey, ‘Aligning data protection rights with competition law remedies? The GDPR right to data portability’ European Law Review 2017, p. 793-814, op p. 801-802.

• 39 Zaak nr. COMP/M.4731, Google/ DoubleClick, 11 maart 2008, par. 368; zaak nr. COMP/M.7217, Facebook/WhatsApp, 3 oktober 2014, par. 164 en Persbericht Europese Commissie, ‘Mergers: Commission approves acquisition of LinkedIn by Microsoft, subject to conditions’, 6 december 2016, beschikbaar op http://europa.eu/rapid/press-release_IP-16-4284_en.htm (eenzelfde uitspraak komt niet terug in het Microsoft/LinkedIn-concentratiebesluit zelf).

• 40 HvJ EG 23 november 2006, zaak C-238/05, Asnef-Equifax/Asociación de Usuarios de Servicios Bancarios, ECLI:EU:C:2006:734, r.o. 63.

• 41 Deze analyse is gebaseerd op Graef 2016, p. 349-352 en I. Graef, ‘Blurring Boundaries of Consumer Welfare: How to Create Synergies Between Competition, Consumer and Data Protection Law in Digital Markets’, in: M.-O. Mackenrodt, M. Bakhoum, B. Conde Gallego en G. Surblyte (red.), Personal Data in Competition, Consumer Protection and IP Law. Towards a Holistic Approach?, Springer 2018 (te verschijnen), p. 17-18 en 20-21, beschikbaar op https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2881969.

• 42 Een recente zaak waarin het Verenigd Koninkrijk art. 21 lid 4 van de Concentratieverordening inriep om de impact van een concentratie die al was goedgekeurd door de Europese Commissie op mediapluraliteit te beoordelen is de overname van Fox door Sky. Zie Persbericht Europese Commissie, ‘Mergers: Commission clears 21st Century Fox’s proposed acquisition of Sky under EU merger rules’, 7 april 2017, beschikbaar op http://europa.eu/rapid/press-release_IP-17-902_en.htm.

• 43 Voor een andere visie op de mogelijkheden die art. 21 lid 4 van de Concentratieverordening biedt, zie F. Costa-Cabral en O. Lynskey, ‘Family Ties: The Intersection Between Data Protection and Competition in EU Law’, Common Market Law Review 2017, nr. 1, p. 11-50, op p. 46-47.

• 44 Zie art. 5 lid 2 AVG in de context van de beginselen voor de verwerking van persoonsgegevens.

• 45 Deze analyse is gebaseerd op Graef 2016, p. 352-354 en Graef 2018 (te verschijnen), p. 21-23.

• 46 Dissenting Statement van Commissioner Pamela Jones Harbour, Google/DoubleClick, FTC File No. 071-0170, 20 december 2007, voetnoot 23 op p. 9, beschikbaar via www.ftc.gov/sites/default/files/documents/public_statements/statement-matter-google/doubleclick/071220harbour_0.pdf: ‘For example, the Commission might have mandated a firewall between the Google and DoubleClick data for some period of time, consistent with the parties’ representations that they do not intend to merge the datasets. Such a firewall would need to be carefully crafted to avoid gamesmanship, permit auditing, and the like.’

• 47 De Facebook/WhatsApp-concentratie is goedgekeurd op grond van art. 6 lid 1 sub b Concentratieverordening. Zie zaak nr. COMP/M.7217, Facebook/WhatsApp, 3 oktober 2014, par. 191.

• 48 Persbericht Europese Commissie, ‘Mergers: Commission fines Facebook €110 million for providing misleading information about WhatsApp takeover’, 18 mei 2017, beschikbaar op http://europa.eu/rapid/press-release_IP-17-1369_en.htm.

• 49 Zaak nr. COMP/M.4854, TomTom/Tele Atlas, 14 mei 2008, par. 245-250.

• 50 Zaak nr. COMP/M.5727, Microsoft/Yahoo! Search Business, 18 februari 2010, par. 160-176.

• 51 Dezelfde overwegingen spelen ook een rol in het kader van art. 101 VWEU waar overeenkomsten waaronder concurrenten met elkaar samenwerken en persoonsgegevens delen, geacht kunnen worden tot efficiëntieverbeteringen te leiden onder art. 101 lid 3 VWEU. Bovendien zijn dergelijke overeenkomsten wellicht niet eens concurrentieverstorend onder art. 101 lid 1 VWEU als ze geen mededingingsbeperkend doel of effect hebben, terwijl het delen van persoonsgegevens met derden wel problematisch is vanuit het perspectief van het gegevensbeschermingsrecht.

• 52 Zie N.-P. Schepp en A. Wambach, ‘On Big Data and Its Relevance for Market Power Assessment’, Journal of European Competition Law & Practice 2016, nr. 2, p. 120-124, op p. 123.

• 53 Zaak nr. COMP/M.4726, Thomson Corporation/Reuters Group, 19 februari 2008.

• 54 Zie bijvoorbeeld art. 24 lid 1 AVG waar ‘de omvang, de context en het doel van de verwerking, alsook (…) de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen’ een rol speelt bij het bepalen van passende technische en organisatorische maatregelen door de verantwoordelijke om naleving van de gegevensbeschermingsregels te waarborgen.

• 55 Zie Artikel 29-werkgroep, ‘Guidelines on consent under Regulation 2016/679’, 10 april 2018, 17/EN WP259 rev.01, p. 7. Voor een uitgebreide analyse, zie D. Clifford, I. Graef en P. Valcke, ‘Pre-formulated declarations of data subject consent – Citizen-consumer empowerment and the alignment of data, consumer and competition law protections’, CiTiP Working Paper 33/2017, 2018, p. 38-41, beschikbaar op https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3126706.

• 56 Voor lopende beleidsdiscussies, zie Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s, ‘Bouwen aan een Europese Data-Economie’, 10 januari 2017, COM(2017)9 final en Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s, ‘Naar een gemeenschappelijke Europese gegevensruimte’, 25 april 2018, COM/2018/232 final.