Windt Le Grand Leeuwenburgh Advocaten

De Digital Markets Act is op 1 november 2022 in werking getreden

De Digital Markets Act [1] (‘DMA’) is op 1 november 2022 in werking getreden en introduceert nieuwe verplichtingen en maatregelen ten aanzien van onlineplatforms die kwalificeren als zogeheten ‘poortwachters’. Het doel van de DMA is dat onlineplatforms die ten opzichte van een groot aantal gebruikers als poortwachter fungeren, deze positie niet misbruiken ten nadele van bedrijven die toegang tot die gebruikers willen krijgen. Doen zij dat wel, dan zal de Europese Commissie handhavend moeten optreden.

Digitale strategie van de Europese Unie

De DMA vormt, naast de Digital Services Act,[2] een van de speerpunten van de ‘digitale strategie’ van de Europese Unie (‘EU’). Deze strategie houdt in dat de digitale soevereiniteit van de EU wordt versterkt en dat door de EU zelf, zonder inmenging van anderen, normen worden bepaald met een duidelijke focus op data, technologie en infrastructuur.[3]

De rechtstreekse werking van de DMA moet ervoor zorgen dat de digitale markt van de EU waarop Big Tech-ondernemingen (zoals Facebook, Google en Twitter) opereren op uniforme wijze eerlijk en concurrerend blijft. Daarmee strekt de DMA tot aanvulling van de huidige Europese en nationale mededingingsregels zonder daaraan afbreuk te doen, omdat een belang wordt nagestreefd dat in dit verband complementair is.[4]

Status van poortwachter

Voor toepasselijkheid van de DMA moet een onderneming die een kernplatformdienst[5] aanbiedt aan verschillende objectieve criteria voldoen om als ‘poortwachter’ te kwalificeren:

  1. sterke economische positie: een jaaromzet van tenminste EUR 7,5 miljard in de EU over de afgelopen drie boekjaren of een beurswaardering van tenminste EUR 75 miljard in het afgelopen boekjaar (artikel 3 lid 2 onder a DMA); en
  2. aanzienlijke impact op de interne markt: aanbod van dezelfde kernplatformdienst in tenminste drie lidstaten (artikel 3 lid 2 onder a DMA); en
  3. sterke bemiddelingspositie tussen een groot aantal gebruikers en bedrijven: tenminste 45 miljoen maandelijks actieve eindgebruikers en tenminste 10.000 zakelijke gebruikers in de EU (artikel 3 lid 2 onder b DMA); en
  4. stevig verankerde en duurzame marktpositie: in elk van de laatste drie boekjaren wordt aan de criteria onder III voldaan (artikel 3 lid 2 onder c DMA).


Wordt aan deze criteria voldaan, dan stelt de poortwachter de Europese Commissie daarvan onverwijld en in ieder geval binnen twee maanden nadat die drempels zijn bereikt in kennis, en verstrekt zij informatie die het bereiken van de drempels bevestigt. De Europese Commissie moet vervolgens binnen 45 dagen uitsluitsel geven over het al dan niet toewijzen van de status van poortwachter.

Verplichtingen en verboden van een poortwachter
Artikel 5 DMA 

Nadat de status van poortwachter door een onderneming is verworven, is deze onderhevig aan verschillende verboden en verplichtingen. Zo wordt een poortwachter krachtens artikel 5 DMA verboden:

  • persoonsgegevens van eindgebruikers te verwerken voor het gericht aanbieden van onlineadvertenties van derden (artikel 5 lid 2 onder a DMA);
  • ten behoeve van de ene dienst verzamelde persoonsgegevens te hergebruiken en/of te combineren voor andere door de poortwachter aangeboden diensten (artikel 5 lid 2 onder b en c DMA);
  • eindgebruikers aan te melden voor andere door de poortwachter aangeboden diensten met het doel persoonsgegeven te combineren (artikel 5 lid 2 onder d DMA);
  • eigen producten of diensten gunstiger te klasseren dan die van andere marktdeelnemers (artikel 5 lid 3 DMA);
  • zowel zakelijke gebruikers als eindgebruikers te beletten klachten te melden bij de bevoegde handhavingsinstanties (artikel 5 lid 6 DMA);
  • eindgebruikers te verplichten gebruik te maken van haar eigen betalingsdiensten dan wel dat deze door zakelijke gebruikers verplicht moeten worden aangeboden (artikel 5 lid 7 DMA); en
  • van eindgebruikers en zakelijke gebruikers te verlangen dat zij zich abonneren op dan wel registreren voor de ene dienst teneinde toegang te krijgen tot andere aangeboden diensten (artikel 5 lid 8 DMA).


Van belang is dat de Europese wetgever voor wat betreft het toestemmingsvereiste in het kader van persoonsgegevensverwerking aansluit op de Algemene Verordening Gegevensbescherming[6] alsook richtsnoeren van het European Data Protection Board (‘EDPB’).[7] Zodoende wordt manipulatie of misleiding door gebruik van dark patterns[8] in online-interfaces geacht het vermogen om vrijelijk toestemming te geven te verstoren.[9] Ook mag niet meer dan eenmaal binnen een periode van één jaar opnieuw om toestemming worden gevraagd voor hetzelfde verwerkingsdoel.

Verder wordt een poortwachter ingevolge artikel 5 DMA verplicht:

  • zakelijke gebruikers in staat stellen om ook buiten de kernplatformdienst gratis te communiceren en aanbiedingen te doen aan en contracten te sluiten met eindgebruikers (artikel 5 lid 4 DMA);
  • eindgebruikers in staat stellen om via de aangeboden kernplatformdienst toegang te krijgen tot en gebruik te maken van onder meer applicaties van zakelijke gebruikers (artikel 5 lid 5 DMA); en
  • transparant om te gaan met marketing- en/of advertentiegegevens die zakelijke gebruikers inzicht geven in prestatiemogelijkheden (artikel 5 lid 9 en 10 DMA).

Artikel 6 DMA

Artikel 6 DMA bevat eveneens een set aan verplichtingen en verboden waaraan een poortwachter moet voldoen. Met betrekking tot de toepassingswijze daarvan kan een poortwachter de Europese Commissie om een nadere specificatie verzoeken.[10] Daarbij gaat het onder meer om de volgende maatregelen:

  • toestaan en technisch in staat stellen voor geïnstalleerde software te verwijderen en vrijelijk te kiezen voor standaardinstellingen (artikel 6 lid 3 DMA);
  • voorkomen dat eigen aangeboden diensten en producten gunstiger op een platform worden gerangschikt dan vergelijkbare diensten en producten van derden (artikel 6 lid 5 DMA); en
  • mogelijk maken van interoperabiliteit tussen aangeboden diensten (artikel 6 lid 7 DMA).


Niet-naleving van de verplichtingen en verboden onder artikelen 5 en 6 DMA kan leiden tot boetes van ten hoogste 10% van de totale wereldwijde omzet.

Tijdlijn

Hoewel de DMA op 1 november 2022 in werking is getreden, hoeft de potentiële poortwachter nog niet compliant te zijn. Daartoe geldt een transitieperiode van zes maanden, hetgeen tot gevolg heeft dat de volgende data belangrijk zijn:

  • 2 mei 2023: DMA treedt volledig in werking;
  • 3 juli 2023: mededeling omtrent objectieve kwalificatie poortwachter;
  • 6 september 2023: aanwijzing poortwachter;
  • maart 2024: poortwachter moet compliant zijn.


Het geboden tijdsbestek in de vorm van bovenstaande mijlpalen stelt de toekomstige poortwachter voldoende in staat om aan het ex-ante regime van de EU te voldoen. Om dit proces te vergemakkelijken, zal de Europese Commissie bovendien naar verwachting in het eerste kwartaal van 2023 een uitvoeringsverordening vaststellen. Belanghebbenden worden binnenkort gedurende een feedbackperiode in de gelegenheid gesteld om hun zienswijze te delen.[11]

  1. Verordening (EU) 2022/1925 van het Europees Parlement en de Raad van 14 september 2022 over betwistbare en eerlijke markten in de digitale sector, en tot wijziging van Richtlijnen (EU) 2019/1937 en (EU) 2020/1828 (digitalemarktenverordening) (PbEU L 265 (2022) p. 1 – 66).
  2. Verordening (EU) 2022/2065 van het Europees Parlement en de Raad betreffende een eengemaakte markt voor digitale diensten en tot wijziging van Richtlijn 2000/31/EG (digitale dienstenverordening) (PbEU L 277 (2022) p. 1 – 102).
  3. https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age_nl.
  4. Zie considerans onder 10 van de DMA.
  5. Een ‘kernplatformdienst’ omvat bijvoorbeeld videoplatformdiensten, marktplaatsen, appstores, zoekmachines, online socialenetwerkdiensten, clouddiensten, advertentiediensten, spraakassistenten en webbrowsers (zie artikel 2 lid 2 DMA).
  6. Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).
  7. Guidelines 3/2022 of the European Data Protection Board on ‘Dark patterns in social media platform interfaces: How to recognize and avoid them’ of 14 March 2022 (hierna: “Guidelines EDBP 3/2022”).
  8. Guidelines EDBP 3/2022, p. 2: “dark patterns’ are considered as interfaces and user experiences implemented on social media platforms that lead users into making unintended, unwilling and potentially harmful decisions regarding the processing of their personal data’.
  9. Zie considerans onder 37 van de DMA.

Ook interessant