In maart en april 2022 is politiek akkoord bereikt over de wetsvoorstellen voor de Digital Markets Act (“DMA”) en de Digital Services Act (“DSA”) van de Europese Commissie (“Commissie”). Het doel van de DSA en DMA is het reguleren van digitale dienstverleners en beteugelen van grote techbedrijven als Amazon, Google, Apple en Meta. Ook presenteerde de Commissie een wetsvoorstel voor een Europese Dataverordening (“Data Act”). Deze Data Act moet het delen van data binnen de digitale economie vergemakkelijken. In deze blog zetten wij uiteen wat de DMA, DSA en Data Act met zich gaan brengen voor ondernemingen, wat de bevoegdheden van de mededingingsautoriteiten daarbij zijn en waarom zij deze bevoegdheden volop zullen gaan inzetten.
Achtergronden DMA, DSA en Data Act
Op 15 december 2020 publiceerde de Commissie haar revolutionaire wetsvoorstellen voor de DMA en de DSA. De voorgestelde regels behoren tot de digitale strategie van de Commissie en moeten zorgen dat digitale dienstverleners eerlijk concurreren en dat consumenten toegang hebben tot een breed aanbod aan veilige online producten en diensten. Het Europese Parlement heeft zowel de DMA als de DSA al op formele wijze goedgekeurd. De Raad van de Europese Unie moet enkel de DSA nog formeel goedkeuren. Beide wetsvoorstellen zullen 20 dagen na publicatie in het Europese equivalent van de Staatscourant (Publicatieblad van de EU) in werking treden. De Commissie verwacht dat dit uiterlijk in het najaar 2022 of begin 2023 zal zijn.
Een ander onderdeel van de digitale strategie van de Commissie is haar recente wetsvoorstel voor een Data Act. Deze Dataverordening ziet specifiek op de datamarkt en bevat nieuwe regels over het gebruik van en de toegang tot data in alle sectoren van de Europese Unie (“EU”). Het wetsvoorstel ligt op dit moment bij het Parlement en de Raad. Het Europees Comité van de Regio’s en het Europees Economisch en Sociaal Comité gaven beide in juni 2021 advies over het wetsvoorstel. Naar verwachting laat de goedkeuring van het Parlement en de Raad nog minimaal tot eind 2022 op zich wachten.
DMA: de poortwachters
De DMA is specifiek gericht op het inperken van de (markt)macht van zogenaamde ‘poortwachters’. Dit zijn grote aanbieders van kernplatformdiensten – als grote online marktplaatsen (Amazon), appstores (Apple), zoekmachines (Google), sociale netwerken (Facebook), netwerkbrowsers (Chrome) of virtuele assistenten (Alexa) – met een gevestigde en duurzame positie. Om door de Commissie als poortwachter te worden aangemerkt, moet een platform aan de volgende cumulatieve criteria voldoen:
- Het platform moet in tenminste 3 EU-lidstaten een kernplatformdienst aanbieden;
- Het platform moet in de afgelopen 3 (boek)jaren een jaaromzet van ten minste EUR 7,5 miljard hebben behaald of een marktwaarde van ten minste EUR 75 miljard hebben bereikt in het afgelopen boekjaar;
- Het platform moet over ten minste 45 miljoen maandelijkse eindgebruikers in de EU beschikken; en;
- Het platform moet over ten minste 10.000 zakelijke gebruikers in de EU beschikken.
De vaststelling of een onderneming een poortwachter is, wijkt af van de klassieke mededingingsrechtelijke toets. Zo hoeft de Commissie om tot de kwalificatie ‘poortwachter’ te komen, niet eerst aan te tonen dat sprake is van een economische machtspositie, mededingingsbeperkend gedrag of het feit dat een onderneming zich onafhankelijk van concurrenten kan gedragen. Ook kan een poortwachter geen efficiencyverweer voeren. Een poortwachter kan wel gemotiveerd betogen dat het niet voldoet aan de genoemde criteria. De bewijslast ligt daarbij bij de betrokken onderneming. Bovendien geldt een notificatieplicht. Een platform dat voldoet aan de criteria moet de Commissie hierover binnen twee maanden informeren.
Poortwachters moeten aan een aantal concrete verplichtingen voldoen. De Commissie kan onderstaande lijst nader aanvullen op basis van een marktonderzoek (duurt minimaal 12 maanden):
- Voorgeïnstalleerde software en apps moeten kunnen worden verwijderd;
- Gebruikers moeten een alternatieve appstores kunnen downloaden (‘sideloading’);
- Persoonsgegevens mogen niet worden gecombineerd voor gerichte reclame (tenzij toestemming);
- Consumenten moeten hun abonnementen net zo makkelijk kunnen opzeggen als afsluiten;
- Poortwachters moeten transparant zijn over reclameprestaties en advertentietarieven;
- Zakelijke gebruikers krijgen toegang tot de gegevens die door een poortwachter worden gegenereerd;
- Poortwachters moeten garanderen dat software van derden goed kan functioneren op hun platform.
DMA: opkomende poortwachters
De DMA biedt de Commissie de mogelijkheid – na een marktonderzoek – ondernemingen aan te merken als opkomende poortwachters. Dat ziet op platforms die nog niet aan de hierboven genoemde criteria voor poortwachters voldoen. Dit geldt voor platforms met een bewezen, maar nog niet duurzame concurrentiepositie. De Commissie houdt bij de kwalificatie van opkomend poortwachter rekening met de omvang en de activiteiten en de positie van het online platform, toetredingsdrempels en lock-in effecten van (zakelijke) gebruikers.
Platforms die door de Commissie aangemerkt zijn als opkomende poortwachters hoeven in beginsel niet te voldoende aan de hierboven genoemde verplichtingen die gelden voor poortwachters. De Commissie mag alleen lichtere verplichtingen opleggen die noodzakelijk zijn om te voorkomen dat het betreffende online platform een gevestigde en duurzame positie verwerft. De Commissie is verplicht binnen redelijke termijn te besluiten of het platform alsnog als poortwachter aangemerkt wordt. Zo niet, dan komen alle verplichtingen voor het platform te vervallen. De status van opkomende poortwachter is daarmee in beginsel dus van tijdelijke aard. De doelgroep is evenwel relatief groot: volgens de Commissie zijn er op dit moment in de Europese Unie meer dan 10.000 snelgroeiende onlineplatforms actief.
Informatieplicht poortwachter bij overnames
Ook moeten poortwachters de Commissie over iedere voorgenomen concentratie (dat wil zeggen fusie, overname of oprichting joint venture) informeren. Dit geldt niet voor opkomende poortwachters. Deze informatieplicht lijkt een concrete uitwerking van het voornemen van de Commissie om zogenaamde killer-acquisitions te toetsen en waar nodig te verbieden. Lees meer hierover in deze blog. De handhaving van de DMA is vrijwel uitsluitend toebedeeld aan de Commissie en is vergelijkbaar met de handhaving die ziet op het kartelverbod, artikel 101 VWEU en misbruik machtspositie, 102 VWEU. Een belangrijke toevoeging aan het handhavingsarsenaal van de Commissie is het feit dat de Commissie inzage kan vorderen in het algoritme dat een poortwachter hanteert. Verder kan de Commissie:
- Inlichtingen vorderen, interviews houden en bedrijfsbezoeken verrichten;
- Voorlopige maatregelen opleggen (bij nietnaleving verplichtingen: remedies of toezeggingen afdwingen);
- Geldboetes opleggen (i) tot maximaal 10% van de wereldwijde jaaromzet, of (ii) tot maximaal 20% bij herhaalde inbreuken, of (iii) periodieke boetes tot 5% van de gemiddelde dagelijkse omzet;
- Structurele of gedragsmaatregelen opleggen (bij herhaalde overtreding);
- Besluiten dat een poortwachter geen fusies of overnames meer mag verrichten.
Nationale mededingingsautoriteiten in de EU hebben gemeld ook een rol te willen spelen in de handhaving van de DMA. Vooralsnog lijkt daar weinig ruimte voor. Wel kunnen op grond van de DMA drie nationale mededingingsautoriteiten zoals de ACM in de EU gezamenlijk onderzoek doen en de Commissie verzoeken dit onderzoek voort te zetten. De Commissie moet vervolgens binnen vier maanden reageren op een dergelijk verzoek. Opdat de Commissie kan profiteren van de expertise van nationale mededingingsautoriteiten, werkt de Commissie ook samen met een comité bestaande uit vertegenwoordigers uit de EU-lidstaten en het Raadgevend Comité Digitale Markten.
DSA: meer verantwoordelijkheid digitale dienstverleners en betere bescherming consument
De DSA bevat nieuwe regels die met name gericht zijn op het stimuleren van innovatie en groei van kleinere onlinedienstverleners. Ook moet de DSA leiden tot een grote transparantie met betrekking tot digitale diensten en een betere bescherming van de grondrechten van consumenten. Het uitgangspunt is dat de DSA, anders dan de DMA, van toepassing is op alle digitale diensten binnen de EU. De DSA maakt een onderscheid tussen verschillende soorten digitale dienstverleners:
- Aanbieders van netwerkinfrastructuur: internetproviders en domeinnaamregistrators;
- Hostingdiensten: cloudcomputing en webhostingdiensten;
- Zeer grote online zoekmachines: meer dan 10% van de 450 miljoen consumenten in de EU;
- Online platforms: onlinemarktplaatsen, appstores, deeleconomieplatforms en sociale mediaplatforms;
- Zeer grote online platforms: meer dan 10% van de 450 miljoen consumenten in de EU.
Op basis van de DSA gaan er naarmate de digitale dienstverlener groter is steeds meer verplichtingen gelden. Zo zijn er bijvoorbeeld meer verplichtingen van toepassing op hostingdiensten, dan op tussenhandelsdiensten. Ook zal er meer verantwoordelijkheid rusten op zeer grote online platforms, dan op relatief kleine onlinemarktplaatsen. De belangrijkste (nieuwe) maatregelen uit de DSA zijn:
- Maatregelen ter bestrijding van illegale goederen, diensten of online content: zoals een mechanisme voor gebruikers om illegale content gemakkelijker te signaleren;
- Maatregelen om gebruikers en het maatschappelijk middenveld mondig te maken: zoals transparantieverplichtingen met betrekking tot de algoritmen die platforms hanteren;
- Maatregelen om risico’s te beoordelen en te beperken: zoals waarborgen voor de bescherming van minderjarige gebruikers en de beperking van het gebruik van persoonsgegevens;
- Meer toezicht en betere handhaving door de Commissie en lidstaten: zoals het aanstellen van een coördinator voor digitale diensten in iedere EUlidstaat.
Een overzicht van alle DSA-verplichtingen per categorie digitale dienstverlener is hier te vinden.
Het handhavingsmechanisme uit de DSA bestaat uit een samenwerking tussen de Commissie en de EU-lidstaten. EU-lidstaten worden in dit kader verplicht een (onafhankelijke) coördinator voor digitale diensten aan te stellen. Die coördinator dient de activiteiten van kleine tot middelgrote digitale dienstverleners te toetsen. Het DSA-toezicht op de grote online platforms en de grote zoekmachines ligt bij de Commissie. Bij een overtreding van de verplichtingen uit de DSA kan de Commissie boetes opleggen die oplopen tot 6% van de wereldwijde omzet van de digitale dienstverlener. Bovendien biedt de DSA de mogelijkheid om (via een rechtbank) de diensten van malafide platforms tijdelijk op te schorten.
Aanvulling DMA en DSA: de Data Act
In aanvulling op de DMA en DSA presenteerde de Commissie een wetsvoorstel voor een Europese Dataverordening. De Data Act heeft als doel een eerlijke digitale omgeving te creëren, een concurrerende datamarkt te stimuleren en data (van overheden, bedrijven en particulieren) toegankelijker te maken. Data is een zogenaamd niet-concurrerend goed, net zoals een televisieserie of het zonlicht, waartoe veel mensen tegelijkertijd toegang hebben zonder dat het aanbod uitgeput raakt. Gelet op dit onbegrensde potentieel van data is volgens de Commissie regelgeving nodig die zorgt dat data niet onderbenut blijft. Het belang van de Data Act wordt onderstreept door de verwachting dat door de Data Act het EU-bpp met EUR 270 miljard stijgt voor 2028. Hoewel de tekst van de Data Act nog niet definitief is, bevat de huidige versie de volgende maatregelen:
- Maatregelen om consumenten toegang te geven tot de door hen gegenereerde data (dataportabiliteit);
- Maatregelen om misbruik door contractuele onevenwichtigheden over het delen van data te voorkomen, om zo de onderhandelingspositie van kleine bedrijven te versterken;
- Maatregelen die overheden toegang moeten geven tot data die in het bezit is van particulieren;
- Maatregelen die het overstappen tussen clouddiensten mogelijk moet maken (interoperabiliteit).
Handhaving van de Data Act vindt voornamelijk plaats door nationale autoriteiten die door de EU-lidstaten worden aangewezen. De Dataverordening bevat, onder andere, de volgende handhavingsinstrumenten: (i) een klachtenmechanisme, (ii) de bevoegdheid om onderzoek te verrichten naar de bepalingen uit de Data Act, (iii) de bevoegdheid om sancties op te leggen (boetes en dwangsommen), (iv) het afdwingen van toegang tot data bij uitzonderlijke noodzaak en (v) het schrappen van overstapkosten bij dataverwerkingsdiensten.
De ACM heeft inmiddels gereageerd op het Data Act wetsvoorstel. Volgens die ACM, die een eigen markstudie naar clouddiensten verrichte, moet de interoperabiliteit van clouddiensten (beter) gewaarborgd worden in de Data Act. De Data Act moet het bijvoorbeeld mogelijk maken voor bedrijven om verschillende clouddiensten met elkaar te combineren en makkelijker van clouddienst te wisselen (interoperabiliteit). De ACM zal de komende maanden verder onderzoek doen naar concurrentieproblemen bij clouddiensten en of deze problemen het beste kunnen worden aangepakt door het huidige mededingingsrecht of de nieuwe EU-wetgeving, zoals de DMA, DSA en de Data Act. Deze onderzoeken passen binnen de huidige focus van de ACM op interoperabiliteit en dataportabiliteit.
Verschuiving van ex post naar ex ante regulering: toenemende handhaving
Het is duidelijk dat er een nieuw tijdperk aanbreekt voor het (mededingings)toezicht op en de regulering van de digitale economie. Met de DMA, DSA en Data Act is sprake van een verschuiving van ex post naar ex ante toezicht. Op grond van de nieuwe wetgeving kan de Commissie (en nationale autoriteiten) marktonderzoeken verrichten om (i) een platform aan te merken als (opkomend) poortwachter en (ii) te onderzoeken of de verplichtingen uit de DSA en de Data Act worden nageleefd. De Commissie en de EU-lidstaten zullen deze nieuwe handhavingsbevoegdheden van de DMA, DSA en Data Act naar verwachting met beide handen aangrijpen. Hiermee verstevigt de Europese Unie haar wereldwijde leiderschap als regelgever voor grote techbedrijven.
Hoewel de DMA, DSA en Data Act nog niet van kracht zijn, worden ex post handhavingsinstrumenten als een boete of een last onder dwangsom nog volop ingezet door de Commissie en de nationale mededingingsautoriteiten. Denk aan de verschillende boetes die Google kreeg van de Commissie. Verder dwong de Commissie recent toezeggingen af bij Amazon, TikTok en WhatsApp. Ook werd Facebook op de vingers getikt door de Duitse mededingingsautoriteit. De last onder dwangsom voor Apple is een recent voorbeeld van handhaving van de ACM. Hoewel deze ex post handhaving de nodige effecten sorteert, lieten Nationale mededingingsautoriteiten weten dat het opleggen van ex ante maatregelen veruit te verkiezen is boven ex post toezicht op digitale dienstverleners/ big tech. Met de DMA, DSA en Data Act wordt gehoor gegeven aan deze oproep.
Ook als de toezichthouders zelf hun nieuwe instrumenten niet meteen ter hand zullen nemen is de verwachting dat de DMA, DSA en Data Act zich meteen zullen laten voelen. Bedrijven en consumenten krijgen immers de mogelijkheid klachten in te dienen bij een overtreding van de DMA, DSA en Data Act: deze wetsvoorstellen voorzien namelijk in een klachtenafhandelingssysteem. Bedrijven kunnen bij poortwachters (DMA), bij de coördinatoren voor digitale diensten (DSA) of direct bij bevoegde nationale autoriteiten (Data Act) klachten indienen. Online platforms en (opkomende) poortwachters zijn dus gewaarschuwd!
Voor alle informatie over een bedrijfsbezoek van de ACM zie invalacm.nl.