Den 7 februari beslutade den tyska konkurrensmyndigheten Bundeskartellamt att förbjuda Facebook från att samla in personuppgifter om tyska användare från andra webbplatser än Facebook.com utan ett frivilligt samtycke från användaren.
Myndigheten anser att Facebook har missbrukat sin dominerande ställning som leverantör av sociala mediatjänster på den tyska marknaden genom ett så kallat kombinationserbjudande (”bundling”). Grunden för beslutet var, förutom Facebooks marknadsdominans, oskäliga användarvillkor. Ett villkor för att kunna öppna ett konto på Facebook.com är att användaren samtidigt samtycker till att Facebook får samla in och bearbeta användardata även från andra tjänster, dels WhatsApp och Instagram som kontrolleras av Facebook, dels tredjepartswebbsidor och appar via plug-ins (”gilla”, ”dela”, ”Facebook login”) samt genom cookies.
Genom att föra över användardata från andra källor och kombinera dessa med data från Facebook-kontot kunde Facebook kartlägga en användares beteenden på nätet och därmed utveckla nya tjänster och erbjudanden på ett sätt som skulle ge Facebook en oskälig konkurrensfördel. Eftersom Facebook-användaren saknade reella möjligheter att neka till eller begränsa Facebooks insamling av användaruppgifter från andra källor bedömdes samtycket inte vara lämnat frivilligt. Därmed ansågs Facebooks agerande inte bara stå i strid med den tyska dataskyddslagen utan även med konkurrensrätten.
Det som gör målet intressant ur ett dataskyddsperspektiv är hur konkurrensmyndigheten samarbetade med den tyska dataskyddsmyndigheten för att avgöra om samtycket, som utgjorde den rättsliga grunden för Facebooks insamling och vidare behandling av personuppgifter, var informerat och frivilligt. Enligt Bundeskaretellamt var så inte fallet och det fick följaktligen avgörande betydelse för målets utgång. Ett icke frivilligt samtycke visade sig inte bara stå i strid med den tyska dataskyddslagen utan även strida mot konkurrenslagstiftningen, givet att marknadsdominans kan påvisas. Det bottnar i att dataskyddslagstiftningen på samma sätt som konkurrensrätten syftar till att skydda enskilda från att utnyttjas på marknaden.
Facebook ålades att antingen införa ett frivilligt samtycke eller att kraftigt begränsa behandlingen av personuppgifter från tredjepartskällor. De senare åtgärderna, såsom ett begränsat ändamål och mängden data, lagringstider m.m. syftar dock snarast till att återställa konkurrensen på marknaden än att göra behandlingen laglig. Beslutet är intressant eftersom det också öppnar upp för parallella rättsprocesser mot dominerande marknadsaktörer där ett och samma agerande kan resultera i två olika lagöverträdelser och därmed multipla sanktioner. Under EU:s regelverk kan ett företag som döms för konkurrensbrott få betala upp till tio procent av sin årsomsättning, betydligt mer än de fyra procent eller 20 miljoner Euro som är taket för sanktionsavgifter under GDPR. I värsta fall kan ansvar och sanktionsavgifter utdömas under båda regelverken.