Privacy-activist Max Schrems dient aanklachten in tegen Apple

De bekende privacyactivist Max Schrems heeft maandag klachten ingediend bij Duitse en Spaanse autoriteiten naar aanleiding van een online trackingtool van Apple. Schrems claimt dat Apple de Europese wetgeving heeft overtreden door gegevens van gebruikers op te slaan zonder hun toestemming.

De klacht heeft betrekking op de zogenaamde Identifier for Advertisers (IDFA). De code, die wordt opgeslagen op het apparaat, stelt Apple en derden in staat om het online gedrag en de consumptievoorkeuren van een gebruiker bij te houden.

‘Apple plaatst codes die vergelijkbaar zijn met een cookie in zijn telefoons zonder enige toestemming van de gebruiker,’ aldus Stefano Rossetti, de advocaat van Schrems. Net als bij cookies is hiervoor de toestemming van de gebruikers vereist.

Hoewel Apple functies in zijn browser heeft geïntroduceerd om cookies te blokkeren, plaatst het vergelijkbare codes in zijn telefoons. Dat is een duidelijke inbreuk op de privacywetgeving van de EU, stelt Noyb, de organisatie van Schreims.

Aanvankelijk was het de bedoeling dat in iOS 14 apps eerst goedkeuring van gebruikers zouden vragen voordat ze een IDFA kunnen gebruiken. De verplichting is voorlopig uitgesteld naar 2021. Apple is de gevolgen nog aan het inventariseren, onder meer naar aanleiding van klachten van Facebook en anderen.

De wijzigingen zijn niet voldoende, vindt Schrems. De eerste opslag van het IDFA en het gebruik ervan door Apple gebeurt nog steeds zonder toestemming van de gebruikers en is dus in strijd met de EU-wetgeving.

De organisatie schrijft: ‘Met onze klachten willen we een eenvoudig principe afdwingen: trackers zijn illegaal, tenzij een gebruiker daar vrijelijk mee instemt. De IDFA moet niet alleen worden beperkt, maar ook permanent worden verwijderd. Smartphones zijn het meest intieme apparaat voor de meeste mensen en ze moeten standaard vrij zijn van trackers.’

Aangezien de klacht is gebaseerd op artikel 5, lid 3, van de e-Privacy-richtlijn en niet op de GDPR, kunnen de Spaanse en Duitse autoriteiten Apple rechtstreeks een boete opleggen, zonder dat de EU-autoriteiten voor gegevensbescherming hoeven samen te werken, zoals bij de GDPR het geval is.

Schrems boekte in het verleden al diverse successen, door zijn toedoen werd het zogeheten Privacy Shield-verdrag door het Europese Hof ongeldig verklaard. Daardoor mogen (internet)bedrijven niet zomaar gegevens van Europese gebruikers naar de Verenigde Staten mogen sturen.