BOGKAPITEL. En del europæiske virksomheder tabte i den nye globale konkurrence med de multinationale selskaber. De var oppe imod virksomheder, der var underlagt en løsere databeskyttelseslovgivning, mere innovative og konkurrencedygtige kulturer og forretningspraksisser, hvor det handler om ikke at bede om tilladelse men hellere om tilgivelse, såfremt noget går galt.
Nettby. I dette årtusindes første årti fandtes der et blomstrende socialt netværk i Norge, Nettby. Det var et åbent sted, hvor alle kunne oprette en side og offentliggøre billeder, holdninger, interesser og anden information. I ens gæstebog kunne venner og alle andre skrive beskeder, og man kunne læse, hvad andre havde skrevet, og man kunne debattere. Der var i tusindvis af grupper, hvor man kunne diskutere politik, børneopdragelse og meget mere, og brugerne var moderatorer eller hjælpere, mens Nettby selv havde ansat blot ni medarbejdere. Der var over 800.000 personer på Nettby, og det var en gedigen succes i Norge. Hovedaktionæren VG eksporterede Nettby til Sverige og lagde an til mere eksport rundt i Europa. Men ultimo 2010 lukkede Nettby.124 Pludselig var det begyndt at gå ned ad bakke, og brugerne forlod Nettby til fordel for andre sociale netværk, herunder især Facebook. Hovedforklaringen var, at en del kommuner i Norge spærrede adgangen til Nettby i skolerne i 2009, fordi eleverne simpelthen brugte for megen tid derinde. De spærrede aldrig for adgangen til Facebook.
Nettby er en ud af flere europæiske sociale medievirksomheder, der ikke overlevede internettets kommercielle histories første kapitel. I Holland havde de Hyves,125 som på sit højeste havde over 10 millioner brugere, men som lukkede i 2013, fordi brugerne var flyttet til Facebook og Twitter. I Danmark havde vi Arto, der i sin storhedstid i 2007 havde en halv million brugere, men lukkede i 2016,126 og i England Friends Reunited. Noget lignende er også sket i andre europæiske lande. For selv om internettet globaliserede markedet, så er de kulturelle værdier, nationale politikker og lovgivninger endnu ikke globale. Virksomheder stod pludselig over for nye globale muligheder uden globale spilleregler og værdier og med så mange forskellige sprog, at de ikke havde et stort fælles hjemmemarked at vokse sig store på, inden nye kontinenter kunne indtages. En del europæiske virksomheder tabte derfor i den nye globale konkurrence med de multinationale selskaber. De var oppe imod virksomheder, der var underlagt en løsere databeskyttelseslovgivning, mere innovative og konkurrencedygtige kulturer og forretningspraksisser, hvor det handler om ikke at bede om tilladelse men hellere om tilgivelse, såfremt noget går galt.
Amerikanske tech giganters forhold til den europæiske lovgivning og de europæiske lovgiveres håndhævning af samme har særligt i de senere år skabt en større mediedebat og politisk diskussion i Europa. Disse globale virksomheders hovedsæder befinder sig fysisk uden for Europa, mens store dele af deres markeder og kunder befinder sig inden for Europas grænser. Der stilles derfor spørgsmål ved virksomhedernes retslige tilhørsforhold, hvilke regler og love de skal følge, særligt i forhold til deres indsamling og behandling af data, men også i skatteforhold og konkurrenceret. Er man fx databehandler i Europa og USA, når ens servere og hovedsæde rent fysisk står i USA, men man har online tjenester på europæiske sprog målrettet europæiske kunder? Og gælder loven i Tyskland eller Irland, hvis det er i Irland, hovedsædet ligger?
I en lang årrække har uafklarede spørgsmål om jurisdiktion og særaftaler givet især den amerikanske internet-industri et frirum i Europa. Et frirum, der dog bliver mere og mere indskrænket. Over årene er det fx med en række domme og retssager blevet langt tydeligere, at jurisdiktion ikke kun handler om fysisk tilhørssted, men at det også inkluderer de virtuelle steder, der hvor ens brugere befinder sig og bruger onlinetjenester fra.
EU VS FACEBOOK
Som følge af diskussionerne om jurisdiktion valgte Facebook i 2008 at flytte sit internationale hovedkvarter fra Silicon Valley til Dublin i Irland, og tilsynsmyndigheden for deres behandling af europæiske brugeres data ligger derfor også der. Klager man som dansk forbruger over Facebook til det danske Datatilsyn, bliver man som regel henvist til Irland. Det irske datatilsyn befinder sig i en mindre bygning oven over en købmand i en lille by i Irland, der er begrænsede ressourcer, og tilsynet er dårligt rustet til at håndhæve lovgivningen, der håndterer beskyttelsen af de millioner af europæiske Facebook brugeres data. Det er derfor også af åbenlyse årsager blevet kritiseret for ikke at bruge muskler over for mastodonten. Det fik den østrigske Max Schrems og 25.000 andre europæere med støtte fra dobbelt så mange til at sagsøge Facebook ved EU-domstolen for overtrædelse af artikel 8 (retten til privatliv) i det Europæiske Menneskerettigheds Charter. Der blev her henvist til deres privatlivspolitik, deltagelse i det amerikanske PRISMprogram, Facebook graph, apps, tracking via like-knapper, big data systemer til overvågning af brugerne og den manglende overholdelse af anmodninger om brugeres adgang til data. Sagen, EU vs Facebook, som retten i Østrig afviste at føre og henviste til, at den skulle føres i Irland, er anket til en højere instans i Østrig. I mellemtiden vandt Max Schrems en anden sag ved EU-domstolen, som erklærede EU-US Safe Habour-aftalen, som tillader amerikanske virksomheder at overføre europæiske persondata til USA, for ugyldig. Med EU’s nye databeskyttelsesregulering forventes et stærkt samarbejde mellem europæiske stater og en over enhed i Bruxelles, der sikrer, at håndhævelse af loven bliver ensartet.
BELGIEN VS FACEBOOK
Det belgiske datatilsyn førte også sag mod Facebook, idet tilsynet mener, at Facebook overtræder europæisk databeskyttelseslovgivning ved blandt andet at tracke europæere, der ikke har profiler på det sociale netværk via cookien DATR. Det belgiske datatilsyn vandt i første omgang sagen, og Facebook stoppede tracking af ikke-brugere i Belgien, men ankede sagen. I juni 2016 afviste den belgiske appeldomstol dog sagen med den begrundelse, at den skal føres i Irland – en stor sejr for Facebook. En række andre europæiske datatilsyn med det franske i spidsen bakker op om det belgiske datatilsyn. I februar 2016 gav det franske datatilsyn Facebook tre måneder til at stoppe med at tracke folk, som ikke har en Facebook profil samt at stoppe en del af deres dataoverførsler til USA.
TYSKLAND VS FACEBOOK
Tyskerne har også forsøgt at håndhæve deres databeskyttelseslovgivning overfor Facebook. Fx forsøgte det tyske delstatsdatatilsyn i Schleswig- Holstein at forhindre Facebook i at bruge den såkaldte real name-policy overfor tyske borgere. Tilsynet mener, at tyskerne har en lovfæstet ret til at være anonyme, men Facebook vandt ved at kræve, at retssagen blev ført i deres europæiske hovedsæde, Irland. Efterfølgende har delstatsdatatilsynet i Hamborg ved en administrativ afgørelse besluttet, at tyskerne har ret til at bruge andre navne end deres eget på Facebook, men sagen er endt med, at datatilsynets direktør i Hamborg, Johannes Caspar, tabte sagen mod Facebook ved den tyske domstol, der gav Facebook ret i, at sagen skal afgøres i Irland. Spørgsmålet er om EU-domstolen, der har fået sagen tilsendt, vil ændre den afgørelse.
Tyskerne giver dog ikke op. I marts 2016 gik den tyske konkurrencemyndighed, Bundeskartellamt, der har mange flere ressourcer end datamyndighederne, i gang med en monopolsag, hvor Facebook anklages for at misbruge sin position med deres handelsbetingelser, som brugerne ikke forstår. De tyske konkurrencemyndigheder samarbejder tæt med andre europæiske konkurrencemyndigheder og den europæiske konkurrencekommissær Margrethe Vestager. Hun sagde på et møde i København i september 2016: “De tyske myndigheder er bekymrede over, at Facebook måske har tvunget sine brugere til at acceptere nogle privatlivsvilkår som ikke er i overensstemmelse med databeskyttelseslovgivningen.”
PRIVACY I EU OG USA
Europas og USAs tilgange til retten til privatliv og databeskyttelse er fundamentalt forskellige. Den amerikanske juraprofessor Daniel Solove peger på, at forskellen ikke ligger så meget i selve den måde, vi opfatter begrebet privacy, men i den måde databeskyttelse og privacy implementeres. I Europa er retten til privatliv en grundlæggende rettighed, der vedrører alle aspekter af en borgers liv. Den europæiske lovgivning omkring indsamling og behandling af data er derfor langt strammere end den amerikanske. I USA er retten til privatliv først og fremmest blevet defineret som en forbrugerrettighed og er derfor for de fleste virksomheder et spørgsmål om risikohåndtering. I bogen Privacy on the Ground beskriver Kenneth A. Bamberger og Deirdre K. Mulligan, hvordan den grundlæggende forskel i tilgang udspiller sig blandt dataansvarlige i henholdsvis USA og Europa. De har interviewet dataansvarlige i store private virksomheder i Tyskland, Spanien, Frankrig, UK og USA. Mens Spanien betragter privacy som
paragraffer og byrder, er franskmændene aktive såvel som tyskerne både på regulering og ved at gøre det til et samfundsansvar. Englænderne til gengæld ser på privacy som amerikanerne; som et konkurrenceparameter, der kan øge den digitale tillid. Forfatterne gør en anden interessant observation; på trods af store forskelle i selve databeskyttelsesreguleringen griber de tyske og amerikanske dataansvarlige i virksomhederne privacy an på samme måde. De beskriver privacy som et vigtigt strategisk område, der rækker dybere end bare overholdelse af lovgivningen; som en social værdi og et vigtigt samfundsansvar.
Mens retten til privatliv er en grundlæggende rettighed i Europa, bliver retten til privatliv kun indirekte nævnt i den amerikanske forfatning, hvor man nævner retten til ‘sikkerhed i sit hjem’ – det vil sige først og fremmest en beskyttelse mod statslig indblanding. Ordet privatliv bruges slet ikke. Ytringsfrihed er en grundlæggende rettighed for sig. Den vægtes derfor som grundlovsfæstet rettighed i USA højere end retten til privatliv. Databeskyttelseslovgivningen i Europa er detaljeret, gælder for både offentlige og private virksomheder og dækker bredt med få undtagelser. Databeskyttelse i USA består af flere forskellige love rettet mod særlige brancher. Der er COPPA, som regulerer brug af data om børn, og Hippa, der regulerer brug af sundhedsdata. Der er særlig lovgivning omkring finansiel virksomhed og kreditselskaber, og der er specifikke regler i de enkelte delstater. Der er the Federal Trade Commission Act, FTA, som nationalt forbyder unfair praksis blandt virksomheder. Federal Trade Commission, FTC, der håndhæver FTA, har kørt over 100 sager relateret til privacy og datasikkerhed og slår til med store bøder, når der er tale om unfair eller bedragerisk praksis. I det hele taget er den amerikanske lovgivning i forhold til privatliv baseret på selvregulering. En virksomhed lover specifikke ting omkring den måde de behandler, indsamler og beskytter data på, og FTC sætter først ind med ofte store bøder, hvis den ikke overholder deres løfter. I USA regulerer man således bagudrettet, når skaden er sket, mens man i EU traditionelt har givet meget lave bøder for overtrædelser.
Der er stor forskel på håndhævelsen af databeskyttelseslovgivningen på de to kontinenter. Europa Kommissionens Director of Fundamental Rights and Union Citizenship, Paul Nemitz, sagde det meget klart på konferencen Computers, Privacy and Data Protection i januar 2015: “I den bedste verden havde vi fælles europæiske dataregler med amerikansk håndhævelse.” Med Storbritanniens exit fra EU bliver det ikke lettere. Selv om det britiske datatilsyn ICO forventer, at Storbritannien vil betragte den kommende EU databeskyttelsesregulering som deres130, har briterne i EU altid været dem, der blødte lovgivningen op i forhold til USA. Eksperter i USA frygter, at Brexit kan betyde en endnu strammere databeskyttelseskurs fra EU.
RETTEN TIL AT BLIVE GLEMT
Med internettet har vi fået et historisk arkiv om individers adfærd. Mens historisk information er meget vigtig at have adgang til, kan det også betyde krænkelse af retten til privatliv. I Europa har et individs
ret til at kontrollere sin egen historik betydet, at man fx ikke kan slå op på nettet, om en person har været dømt for kriminalitet, idet den pågældende person har ret til – efter afsoning – at få den historik slettet i de analoge og nu også digitale arkiver, og begynde livet på ny. I USA er der mere fokus på retten til at få adgang til information, hvorfor der fx er masser af ‘mugshot’ hjemmesider, der udstiller og advarer mod tidligere kriminelle.
Netop EU-domstolens 2014 dom over Google handler om retten til historisk information om en selv. Populært kaldet ‘retten til at blive glemt’. Denne ret indbefatter netop et individs mulighed for at starte forfra med en ren tavle. I Google dommen havde en spansk mand anmodet avisen La Vanguardia om at fjerne et link til en gammel artikel om en tvangsauktion af hans hus baseret på en gæld, han senere havde betalt. Det spanske datatilsyn afviste denne anmodning, men accepterede til gengæld en klage over Googles links til artiklen og bad Google fjerne resultaterne fra deres søgeindeks. Google bragte herefter datatilsynets beslutning til den nationale domstol, som førte sagen videre til EU-domstolen. Den fastslog, at søgemaskiner er dataansvarlige for det indhold, de linker til, og dermed blev Google forpligtet til at overholde EU lovgivningen om databeskyttelse. Selv om dommen også understreger vigtigheden af retten til at udgive og modtage information, så cementerer den individets urokkelige ret til at kontrollere egne historisk persondata.Dommen har medført, at i hundredetusindvis af europæere har anmodet om at få fjernet links fra Googles søgemaskine. I 40% af anmodningerne har Google efterkommet ønskerne, men europæiske datatilsyn er i dialog med Google omkring behandlingerne. 95% af anmodningerne kommer fra helt almindelige mennesker og ikke fra kendte eller kriminelle, som kritikere ellers forudså.
SALG TIL TREDJEPART
En væsentlig forskel på Europas og USA’s lovgivning er, at amerikanske virksomheder på en lang række områder ikke skal indhente udtrykkeligt samtykke for at videresælge data om deres kunder til tredjepart. Data sælges frit i USA blandt andet via data brokers. I EU derimod skal alle websites, der gør brug af cookies – en af måderne, man deler data på med tredjepart – fortælle og indhente samtykke fra brugerne om, at de bruger cookies – en regel, der har haft en god intention om at oplyse og advare, men som desværre har gjort europæere blinde i forhold til deres ret til samtykke, idet mange klikker ja uden at tænke nærmere over det for at komme videre på hjemmesiden. På mange måder er samtykket, der fylder endnu mere i den nye EU-databeskyttelsesregulering, for længst blevet udvandet. Når man lader sig registrere på fx sociale medier, giver man sit samtykke til en lang række formål, som ens data kan bruges til, samt at de kan deles med tredjeparter. Faktisk kan virksomheder med lange, detaljerede og svært forståelige handelsbetingelser, som er blevet praksis blandt mange datavirksomheder, næsten gøre hvad som helst med de data, de indhenter.
DATA – DET NYE MONOPOL
Den rolle som olie, stål og jernbaner spillede under den første industrielle revolution, hvor konkurrencelovgivningen opstod, har data overtaget i dag i den digitale datatidsalder. Selvom de amerikanske myndigheder droppede en lignende monopolsag mod Google (men er begyndt at kigge på den igen), har Europa Kommissionen i årevis kørt en konkurrencesag mod Google Search – og i 2016 blev Android og Google Shopping også fokusområder, mens Microsoft trak sig ud af gruppen af virksomheder, der har klaget over Googles konkurrenceforvridende praksis. Essensen af sagen er, at Google på sine platforme, der har monopollignende status, anklages for at favorisere sine egne tjenester og dermed hæmme konkurrence. Margrethe Vestager, EUs konkurrencekommissær, er særdeles opmærksom på netop data som magtfaktor.
“Vi har ikke været vant til, at persondata har værdi, og pludselig er det noget, vi betaler med, uden at vi kan se størrelsen på prisen, vi betaler. Blandt andet derfor skal data og især big data betragtes som et aktiv, en økonomisk faktor – ligesom vi gør med omsætning . Vi skal sikre, at brugere, der betaler med data for ‘gratis’ tjenester har de rettigheder, de har, når de betaler med penge.”
“Privatliv er en fundamental rettighed og vigtigt for vores ret til selvbestemmelse. Vi skal selv bestemme, hvem vi deler vores data med og til hvilke formål. Der er ingen pris på privacy, og mange siger, at de er ligeglade. Det synes jeg personligt er helt sindssygt, men også derfor har vi brug for lovgivning, der beskytter vores data.”
Hun mener ikke, at det nødvendigvis er virksomheder fra USA, hvor datalovgivningen er lempeligere, som er sorteper.
“Det er ikke vigtigt, hvem der ejer en virksomhed eller hvilket land, den kommer fra. Det, der er vigtigt, er virksomhedens adfærd. Vi er ikke i krig med nogen. Vi kigger på adfærd og sikrer bl.a., at den ikke forstyrrer prisdannelse eller innovation til skade for forbrugeren.”
“Vi har i EU nogle legitime hensyn at tage til arbejdsforhold, miljøforhold, skattebetaling og respekt for datalovgivning. Vi har en reguleret markedsøkonomi i Europa og en europæisk kultur, som har afvejede hensyn til disse ting. Det er helt afgørende efter min mening.”
Umiddelbart mener hun ikke, at konkurrencelovgivningen skal fikse problemet med manglende privacy – slet ikke med den opdaterede EU databeskyttelsesregulering. Men;
“Hvis en virksomheds koncentration og brug af data ødelægger konkurrencen, vil vi være nødt til at bryde ind og sikre lige vilkår.”
Mens nogle mener, at markedet nok skal regulere sig selv over tid, og at både Google – og Facebook – kun har en begrænset storhedstid, så er andre bekymrede over datamonopoler og medfølgende konkurrenceforvridning, og der peges typisk på tre hovedårsager:
• Winner-takes-it-all. Nummer et på markedet får næsten det hele, fx. Googles 90% af markedet for søgninger på det europæiske marked.
• Lukkede platforme. Det er svært – og dermed fordyrende – for forbrugerne at skifte udbyder, fx forlade Apples platform og det samme gælder for virksomheder, der bygger produkter til de lukkede platforme.
• Opkøb. De store køber og opsluger de små lovende konkurrenter, inden de når at vokse sig store. Fx Facebooks køb af Instagram eller Amazons af Zappos.
UDKONKURRERET AF ‘GRATIS’
Fra 2001-2005 gik det kun fremad for det danske webanalysefirma, Netminers. Der var andre spillere på det globale marked, men konkurrencevilkårene var generelt gode. I 2005 købte Google det amerikanske webanalysefirma Urchin. Og så opstod Google Analytics, GA, et webanalyse værktøj, der blev stillet ‘gratis’ til rådighed for alle – også for dem, der ikke var kunder hos Google. Det ændrede markedet for Netminers og andre webanalyseleverandører, der tog betaling for deres produkter. Nogle webanalyseleverandører gik fallit, andre valgte at udvikle deres produkt i en ny retning. I begyndelsen satsede Netminers på de store kunder, der gerne betaler for ydelser og som Google endnu ikke havde gået efter, men det ændrede sig også, så GA sidder på 80% af markedet for webanalyse i Danmark og i hele verden. Administrerende direktør Christian Vermehren fra Netminers mener, at dette har skabt ulige konkurrencevilkår:
“Hvis man har en dominerende position i et marked og dumper prisen til under produktionsomkostningerne, så må man spørge, om det er lovligt ifølge konkurrencelovgivningen. Det andet er persondata- og cookie lovgivningen. Hvis du har Google Analytics på din hjemmeside, så kan du ikke fortælle, hvad formålet med dataindsamlingen er, som du jo skal, for den pågældende hjemmeside aner intet om, hvordan Google bruger dataene. Så disse sites burde faktisk have en databehandleraftale med Google, men den slags tilbyder Google ikke.”
Netminers. Det danske bureau Netminers sælger et webanalyseværktøj, hvor virksomheder kan få et personaliseret dashboard med segmenteringsværktøjer, der kan optimere deres website. Det er i direkte konkurrence med Google Analytics, men forskellen er blandt andet, at man som kunde får ejerskab over de indsamlede data, og man får en databehandleraftale med Netminers, som man skal ifølge persondataloven. Efter en årrække med hård konkurrence fra ‘gratis’ Google Analytics,
oplever Netminers en stigende interesse for produktet netop på grund af ønsket om at kontrollere egne data. Adskillige danske offentlige instanser bruger fx Netminers’ produkt i dag frem for
Google Analytics.
BALKANISERING OG PROTEKTIONISME
I en helt anden boldgade har vi Kina. I juli 2015 indførte Kina en række love, der ikke kun skulle give regeringen endnu mere magt over befolkningen, men også anspore virksomheder til at udvikle produkter til det kinesiske marked med kinesiske underleverandører. Alt hvad der kommer af nye digitale tjenester og komponenter fra det internationale marked bliver kopieret, udviklet og erstattet af en lokal kinesisk pendant – med kinesisk statsstøtte. Kina har i forvejen deres egen Amazon, Facebook og Google i blandt andre Alibaba, WeChat, Weibo og Huawei. At Kina opererer protektionistisk, er måske ikke så overraskende. Europa har i en lang årrække taget imod techindustriens investeringer i iværksættermiljøer og offentlige digitale infrastrukturer med åbne arme, men vandene er begyndt at dele sig. Vi ser en gryende modbevægelse i Europa og andre lande i verden. Flere og flere europæere har efterspurgt strammere datalovgivning. Tyskland og Frankrig bygger deres egne nationale netværk; Schlandnet og Sovereign Cloud. Frankrig investerer milloner af euros i start-ups, der skaber national digital infrastruktur. Australien, Kina, Indien og Rusland har vedtaget lovgivning, der kræver, at deres borgeres persondata ikke flyttes ud af landet, så cloud-virksomheder må bygge datacentre i de pågældende lande. Og Tyskland ønsker ikke, at tyskeres følsomme persondata ligger i cloud-tjenester hos virksomheder med hovedsæde i USA. Den amerikanske regering har forsøgt at sikre sig adgang til amerikanske virksomheders servere uden for USA. Men i juli 2016 vandt Microsoft en retssag ved 2. Circuit Court of Appeals i New York, hvor den amerikanske regering havde krævet adgang til nogle emails i en narkosag. Med dommen er Microsoft ikke forpligtet til at udleverere emails eller andre data, når de ligger på virksomhedens servere udenfor USA. Dommen er ekstrem principiel. Ikke kun for retten til privatliv, men også for amerikanske virksomheders økonomiske potentiale i Europa. De fire største cloud-tjenester i Europa er fra USA, og de sidder på 40% af hele markedet i Europa.134 På trods af balkaniseringstendensen stiger deres markedsandele i Europa; de har bygget nye store datacentre i Europa, og de er så store, at de kan tilbyde datalagring billigt, fleksibelt og – efter Microsoft dommen – også med en juridisk sikring mod adgang fra amerikanske myndigheder.
Hvis ikke de amerikanske virksomheder kan beskytte europæiske data på europæisk jord, er de ilde stedt. Tilbage er der så for den amerikanske regering at bede om adgang til de data via den regering, hvis land data ligger i. I Microsoft sagen var det Irland, som har sagt, at de meget gerne ville hjælpe det amerikanske justitsministerium. Microsoft har dog allerede forudset og handlet på risikoen for, at den amerikanske regering kan nægtes adgang til data på europæisk jord, ved at indgå samarbejde med tyske T-Systems om at levere en cloud-service under tysk jurisdiktion.