-

Plaatser Facebook like-knop verantwoordelijk voor privacy?

De Duitse rechter heeft het Hof van Justitie van de EU gevraagd of een websitehouder die de Facebook like-knop op zijn website plaatst waardoor persoonsgegevens van websitebezoekers worden doorgegeven aan Facebook, beschouwd kan worden als de verantwoordelijke in de zin van de privacywetgeving. 

De zaak die voor de Duitse rechter aanhangig is gemaakt, betreft een online modebedrijf in mode-artikelen en een Duitse vereniging van algemeen nut voor de behartiging van consumentenbelangen. Daarbij intervenieert Facebook in deze kwestie aan de zijde van het modebedrijf.

De partijen zijn naar de rechter gestapt omdat ze het oneens zijn of de Facebook like-knop op de website van het modebedrijf mag worden geplaatst. Voor de Duitse rechter vordert de vereniging van het modebedrijf dat de like-knop op de website, fashionid.de, wordt verwijderd zolang het modebedrijf niet aan de vier volgende voorwaarden voldoet:

  1. Zonder de websitebezoekers te informeren over het doel van het verzamelen en het gebruik van de aan Facebook meegedeelde gegevens, zoals het IP-adres en de browserstring;
  2. Zonder van de websitebezoekers toestemming te krijgen voor de toegang tot het IP-adres en de browserstring door Facebook en voor het gebruik van de gegevens;
  3. Zonder websitebezoekers die toestemming hebben gegeven te informeren over de mogelijkheid dat die toestemming kan worden ingetrokken; en/of
  4. Het volgende te stellen: ‘Wanneer u gebruiker van een sociaal netwerk bent en niet wenst dat het sociale netwerk via onze website gegevens over u verzamelt en koppelt aan de bij dit netwerk opgeslagen gebruikersgegevens, dient u zich vóór het bezoek aan onze website uit te loggen van het sociale netwerk.’

De Duitse rechtbank wijst de vordering gedeeltelijk toe, maar wijst de vierde voorwaarde van de vereniging af. Zowel het modebedrijf als de vereniging gaan daarop in hoger beroep.

De vereniging stelt dat Facebook het meegedeelde IP-adres en de browserstring opslaat en koppelt aan een bepaalde websitebezoeker, ongeacht of de bezoeker lid is van Facebook. Het modebedrijf stelt dit niet te weten. Facebook betoogt, dat het IP-adres na het plaatsen van de like-knop wordt omgezet in een generisch IP-adres en slechts als zodanig wordt opgeslagen. Het IP-adres en de browserstring worden niet gekoppeld aan een specifieke websitebezoeker.

De Duitse rechter gaat ervan uit, dat in elk geval door Facebook bij het oproepen van de like-knop persoonsgegevens worden verzameld en verwerkt, aangezien Facebook door gebruikmaking van verschillende cookies een verband met een persoon tot stand kan brengen.

Het antwoord op de vraag in hoeverre het modebedrijf moet voldoen aan de voorwaarden van de vereniging, hangt af van het antwoord op de vraag of, en op welke wijze het modebedrijf verantwoordelijk is voor de verwerking van persoonsgegevens. De vereniging en de Duitse rechtbank zijn van mening dat naast Facebook ook het modebedrijf enige verantwoordelijkheid draagt, aangezien zij Facebook in staat stelt toegang te krijgen tot de persoonsgegevens. Het is daarom de vraag of het modebedrijf (naast Facebook) kan worden aangemerkt als verantwoordelijke voor het verwerken van persoonsgegevens in de zin van de privacywetgeving.

Indien het modebedrijf niet als verantwoordelijke gekwalificeerd wordt, betekent dat niet dat dat het modebedrijf het hoger beroep wint. Naar Duits recht is in beginsel namelijk ook een aansprakelijkheid als zogenoemde ‘Störer’ mogelijk. Dit betekent dat onder bepaalde omstandigheden iemand die een recht zelf niet schendt, maar het risico van schending door derden heeft gecreëerd of verhoogd, verplicht is om de schending van een recht te voorkomen.

Volgens de verwijzende rechter kan het modebedrijf op deze grond aansprakelijk worden gehouden indien zou worden aangenomen dat het modebedrijf geen eigen verantwoordelijkheid, aangezien het modebedrijf de like-knop zelf op haar website heeft geplaatst en daarmee het risico heeft gecreëerd dat Facebook persoonsgegevens verwerkt. De Duitse rechter legt het Hof van Justitie van de EU in dat verband de volgende vragen voor:

  • Staat de Europe Privacyrichtlijn in de weg aan een nationale regeling die, naast de bevoegdheden tot optreden van de gegevensbeschermingsautoriteiten en de beroepsmogelijkheden van de betrokkenen, ook voorziet in de bevoegdheid voor verenigingen die consumentenbelangen behartigen om in geval van inbreuken op te treden tegen de inbreukmaker?

Indien het antwoord nee is, zijn de volgende vragen relevant:

  • Is een websitehouder die op zijn website de Facebook like-knop plaatst, waarmee via de browser content van een derde wordt opgevraagd (in deze zaak Facebook) en daartoe persoonsgegevens aan de derde verstrekt, de verantwoordelijke in de zin van privacywetgeving, wanneer hij zelf geen invloed kan uitoefenen op deze gegevensverwerking?
  • Welke partij moet toestemming vragen voor het plaatsen van de cookies waarmee de persoonsgegevens worden verkregen?
  • Op welke partij rust de verplichting om websitebezoekers te informeren over het verwerken van persoonsgegevens?

*) Dit artikel is ook gepubliceerd op de website van SOLV.

Deel dit bericht

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond