En Allemagne, selon les tribunaux de grande instance Würzburg et Bochum, la Cour d’appel (OLG) de Hambourg a également pris une décision. Jugement renduqui traite de la possibilité d’adresser des avertissements en cas de violation du RGPD selon le droit allemand de la concurrence déloyale. Selon la Cour d’appel de Hambourg, le RGPD ne contient pas de système de sanctions achevé qui exclurait les avertissements :
[…] Le Sénat, contrairement à la position défendue par la défenderesse pas de l’avisque le RGPD est un contient un système de sanctions achevéLa Commission européenne a décidé d’adopter une loi sur la protection des données qui exclut la poursuite d’actes de violation de la protection des données par des concurrents sur la base du droit de la concurrence déloyale.55 Ce point de vue, défendu notamment par Köhler […], a fait l’objet de critiques. Elle se fonde principalement sur le fait que les articles 77 à 79 du RGPD prévoient des voies de recours pour la “personne concernée”, c’est-à-dire la personne dont les données sont traitées (voir article 4, point 1, du RGPD), et que l’article 80, paragraphe 1, du règlement autorise la personne concernée à charger des organisations d’exercer les droits susmentionnés en son nom. La clause d’ouverture de l’article 80, paragraphe 2, du règlement prévoit seulement que les États membres peuvent également accorder à ces organisations le droit de poursuivre une infraction sans mandat de la personne concernée. La défenderesse en déduit, avec Köhler, que les concurrents n’ont pas le pouvoir de faire valoir leurs propres droits.
56 On objecte à juste titre que l’article 80, paragraphe 2, du RGPD entend régler la question de l’action collective, mais n’a pas de caractère définitif en raison de l’application du droit par d’autres […]. Le fait que les articles 77 à 79 du RGPD prévoient certes des voies de recours pour les personnes concernées […] ou toute autre personne […], mais toujours sans préjudice d’un autre recours administratif ou judiciaire […] ou d’un autre recours administratif ou extrajudiciaire […] plaide également en ce sens. Et l’article 82 du RGPD accorde à son tour des droits à réparation à “toute personne” qui a subi un préjudice en raison de la violation du règlement. Cela indique également clairement que le RGPD n’exclut pas la poursuite d’actes de violation de la législation sur la protection des données par d’autres personnes que les “personnes concernées” dont les données sont traitées (voir article 4, point 2, du RGPD).
57 Enfin, l’article 84, paragraphe 1, du RGPD dispose que “les États membres déterminent le régime des autres sanctions applicables aux violations des dispositions du présent règlement […] et prennent toute mesure nécessaire pour assurer la mise en œuvre de celles-ci. […] Cela plaide également en faveur du fait que le règlement n’est qu’une Niveau minimal de sanctions Dans le contexte de la disposition de l’article 77 du RGPD, qui laisse ouvertes pour toute personne concernée d’autres voies de recours judiciaires – donc non réglementées par le RGPD lui-même – ainsi que de la disposition de l’article 82, paragraphe 1, du RGPD, qui accorde non seulement à la personne concernée, mais aussi à toute personne, un droit à réparation, il apparaît clairement que le RGPD est conçu de manière ouverte en raison d’autres voies de recours et sanctions qui ne sont pas réglementées par le règlement lui-même.
Les avertissements restent donc en principe possibles. Il convient toutefois d’examiner au cas par cas la norme enfreinte afin de déterminer si elle présente un caractère concurrentiel ; dans le cas contraire, l’infraction ne constitue pas une atteinte à la concurrence :
Selon l’article 3a de la loi contre la concurrence déloyale, -[…] agit de manière déloyale celui qui contrevient à une disposition légale, qui est également destinée à réglementer le comportement sur le marché dans l’intérêt des acteurs du marché. […] Une disposition visant à protéger les droits, les biens juridiques ou d’autres intérêts des participants au marché est une règle de conduite sur le marché si le intérêt protégé précisément par la participation au marchéla conclusion de contrats d’échange et la consommation ou l’utilisation ultérieure du bien ou du service acquis soit touché. Une fonction de protection spécifiquement liée à la concurrence, en ce sens que la réglementation protège spécifiquement les acteurs du marché contre le risque d’une influence déloyale sur leur comportement sur le marché, n’est pas nécessaire. […] […] Avec la décision du Sénat du 27 juin 2013, il n’est cependant pas déjà exprimé – contrairement à ce que semble supposer le tribunal régional – que toute norme de protection des données a un caractère de règle de comportement sur le marché. Dans la jurisprudence et la littérature, on trouve désormais Droit adoptéque, dans la mesure où la norme en question doit être examinée concrètement pour savoirLa question est de savoir si cette norme a précisément pour objet de réglementer le comportement sur le marché.