Ryanair kan niet verbieden dat handige jongens met botjes geautomatiseerd prijsopgaven komen opvragen. Dat bepaalde het Hof Amsterdam vorige week. Ryanair ligt al langer in de clinch met handige jongens met botjes. Het bedrijf Wegolo had een botje lopen dat bij een prijsverzoek op haar site gauw op de achtergrond bij Ryanair opvroeg wat dat zou kosten. Ryanair maakte daar bezwaar tegen, omdat zij wilde dat mensen bij haar eigen site boeken (zodat ze zelf kunnen upsellen met hotels en autoverhuur natuurlijk). Ryanair beriep zich op databankenrecht en geschriftenbescherming, maar het Hof wijst dat af.
In eerste instantie had de rechtbank beslist dat Wegolo de geschriftenbescherming van Ryanair schond door het herhaaldelijk opvragen van gegevens uit het “geschrift” (lees: de databank) van Ryanair met haar prijsinformatie. Dat is opmerkelijk, omdat met de Databankenwet de geschriftenbescherming eigenlijk gewoon dood had gemoeten. Maar de rechtbank vond een leuke kronkel: een databank die niet beschermd is onder de Databankenwet, mag beschermd blijven onder de geschriftenbescherming.
Het Hof beslist anders, en terecht, zeker nu het Europese Hof onlangs nog eens heeft bepaald dat auteursrecht alléén mag gelden wanneer een werk een “eigen intellectuele schepping van de maker” is.
Ryanair kan geen databankenrecht claimen op haar vertrektijden- en prijzenlijsten. Natuurlijk niet, zou je zeggen, maar ik herhaal het toch maar even om blaffende databankrechtadvocaten tegen de schenen te schoppen. Een databankrecht geldt alleen als er een substantiële investering is gedaan in de opbouw of het opschonen van de databank zelf. Investeringen gedaan voor het maken van de gegevens tellen niet mee. Ryanairs gegevens zijn vluchttijden en prijzen, en alle kosten die daarmee gemoeid gaan, vallen buiten het databankenrecht.
Ook het feit dat Ryanair een verkoopdienst aanbiedt bij haar databank, telt mee. De website is in feite een webwinkel voor vliegreizen, en de kosten van die website zijn dan kosten voor het runnen van de webwinkel. Dat zijn óók geen databankrechtelijk relevante kosten.
De informatie van Ryanair zijn “gewoon” geschriften, beter gezegd verzamelingen van gegevens. Op grond van artikel 24a Auteurswet mag de rechtmatige gebruiker deze verveelvoudigen als dat noodzakelijk is om toegang te verkrijgen tot en normaal gebruik te maken van de verzameling. Dit kan niet in een licentie worden verboden of ingeperkt. Een bezoeker van de Ryanairsite mag dus opvragen wat een vliegreis kost.
Oók Wegolo mag dit doen, omdat de manier die zij toepast precies is “zoals de klant dat zelf ook zou doen”. Wegolo kopieert geen gegevensverzameling, maar doet een onderwaterquery op Ryanair’s site en schraapt de resultaten naar haar eigen layout. Daar is niets mis mee. Wellicht dat dat anders zou zijn, zo overweegt het Hof, als Wegolo’s scrapen zou leiden tot overlast. Grootschalig e-mailadressen scrapen voor spamverzending is een voorbeeld van zulke overlast, net als het overbelasten van de servers van Ryanair.
Verder doet Wegolo ook niets anders dat onrechtmatig is. Ze mag de prijzen van Ryanairs vluchten tonen en mensen overhalen een vlucht daar te boeken (daar heeft Ryanair zelfs profijt van) en het is niet illegaal om daarbij dan zelf de upsells van huurauto’s en dergelijke te doen. Dat Ryanair dan provisie daarop misloopt, is gewoon vrije concurrentie.
Het Hof gaat niet zo ver om de geschriftenbescherming als geheel illegaal te verklaren, wat ik wel een gemiste kans vind maar het was in dit geval niet nodig. Had Wegolo nou de hele prijslijst van Ryanair gekopieerd, dan was dit nog een leuke geweest. Maar voorlopig blijft dit punt dus nog even in juridisch limbo hangen. Wel zijn er leuke juridische opinies te over.
Arnoud
Hoe zit het als zo’n overenthousiast botje je site omtrekt, bijvoorbeeld door tientallen requests per seconde te doen? Kan je eenvoudig schade claimen voor onbeschikbaarheid of moet je dan altijd een rechtszaak aanspannen?
Is er voor Ryanair geen mogelijkheid om in haar AV’s op te nemen dat ze slechts 25 prijsopgaven per gebruiker per dag doen? (Dat ze daar in de praktijk gewoon overheen gaan voor die persoon die graag 26 reizen wil boeken is geen enkel probleem, maar je kunt die regel wel gebruiken om bots mee buiten spel te zetten.
Als je in je winkel een klant hebt die ieder half uur een offerte komt opvragen voor je goedkoopste product en nooit zelf wat koopt, ga je die toch ook niet meer helpen?
@2: Moet je dat wel in je AV opnemen. Mag een webmaster iemand niet sowieso toegang tot de site ontzeggen?
Als Wegolo een Javascript scraper heeft lopen heeft Ryanair alleen het ip van de gebruiker die bij Wegolo ingelogd is. Op deze manier is nauwelijks te ontdekken dat het de scraper was die data opvroeg om dat die clientsided draait.
@Richard: Overlast is zeker een reden om iemand de toegang te ontzeggen. Dat staat ook in het arrest als overweging ten overvloede, maar in deze zaak was dat niet aan de orde.
Schade kun je eigenlijk altijd alleen maar claimen via de rechter. Of nou ja, je kunt natuurlijk altijd zelf een brief sturen met een claim maar als de wederpartij die niet erkent dan moet je procederen.
@Bart: Dat kan maar hoe detecteer je dat? Ik kon niet achterhalen hoe Wegolo werkte, maar stel ze doen een Javascript in een iframe dat de query uitvoert en daarna de uitvoer ommoffelt naar de eigen layout. Dan is de query vanaf het IP-adres van de bezoeker en niet de server van Wegolo. En dan zie je écht geen verschil meer.
@Arnoud: dat dat ook zo kan wist ik niet (die techniek is bij mij wel een beetje weggezakt inmiddels). Hoe je het dan detecteert is wel lastig. Stukje script op je eigen site om te zien of de gebruiker vanaf dat IP ook je advententieplaatjes heeft gedownload? Er is vast een patroon te herkennen waarbij je ziet of iemand een ‘echte’ bezoeker is.
@bart, je kunt gewoon met JQuery of Mootools (Javascript libraries) de complete html van een site rippen en daardoorheen lopen. Alhoewel ze de code dan wel goed verstopt moeten hebben bij Wegolo want ik kan het nergens terugvinden.
@Michel, dat komt omdat die code er niet is, want dat werkt niet.
Je kan niet vanuit 100% client-side Javascript een user een andere site laten scrapen zonder medewerking van die site, browsers verbieden dit uit security oogpunt. Je moet op zijn minst JSONP of Access-Control-Allow-Origin headers gebruiken en dat moet van die andere site uitgaan.
Obligate wikipedia linkjes: http://en.wikipedia.org/wiki/Sameoriginpolicy en http://en.wikipedia.org/wiki/Cross-originresourcesharing
Dus, samenvattend, zou je in je voorwaarden mogen opnemen dat je alleen informatie verstrekt aan klanten die daadwerkelijk op je site zijn zonder allerlei trucs toe te passen? Dan is Ryanair toch klaar, lijkt me?
@Richard, klopt. Ik heb alleen wel oplossing gezien die YQL (http://en.wikipedia.org/wiki/Yahoo!querylanguage) gebruiken, alhoewel dat dan weer niet compleet clientsided is…
Indien spamboetes zijn toegestaan via de algemene voorwaarden zou ik denken dat je ook wel een artikel kunt opnemen in je voorwaarden die duidelijk beschrijven wat wordt gezien als onrechtmatig gebruik van de site. Je moet alleen wegblijven bij databankenrecht et cetera want daar kom je terecht niet ver mee.
@5 Dat truukje met de iframe is toch gewoon een soort XSS aanval. IE8 en IE9 laten dat volgens mij niet toe.
en als Wegolo vanaf de eigen server de Ryanair site raadpleegt is dat IP adres toch zo geblokkeerd?
@Bram Hoe zou een wijziging van de algemene voorwaarden helpen tegen dit probleem? De algemene voorwaarden van Ryan Air zijn toch alleen geldig wanneer iemand een overeenkomst met Ryan Air aangaat. Enkel het bezoeken van de website lijkt mij niet voldoende om een overeenkomst tot stand te laten komen. Zodoende zijn de Algemene voorwaarden niet van toepassing voor een bot die gegevens van de website ophaalt en zou een wijziging van de algemen voorwaarden niet veel uithalen.
@13 Om een prijs op te vragen bij Ryan moet je echter al akkoord gaan met de voorwaarden van Ryan.
@14 daar had ik nog niet naar gekeken, je hebt uiteraard helemaal gelijk.
@nl-x 14 Ik denk even terug aan een eerdere blog : http://blog.iusmentis.com/2011/06/29
Voor zover ik kan zien is een linkje met ‘gebruiksvoorwaarden’ onderaan precies wat Ryanair doet.@14, 15: Ryanair mag niet zomaar alles in haar “voorwaarden voor webgebruik” zetten; en het is te laat om mee te delen “met het gebruik van de website stemt U met onze voorwaarden in” als iemand al op de website moet zitten om het de mededeling te kunnen lezen.
Hmmm … dus als Ryanair elke dag een zak geld zou geven aan arme hongerige kindertjes om de gegevens op hun site handmatig in te tikken zou het resultaat beschermd zijn – let wel, voor Ryanair, niet voor die kindertjes – maar nu ze dat geld in plaats daarvan aan rijke volwassenen hebben gegeven om software in elkaar te knutselen die de gegevens automatisch op het scherm tovert, is het resultaat niet beschermd.
Is het auteursrecht bedoeld om zweet te belonen?
@16 Erik: Nee, om bij Ryan Air een prijs op te vragen moet je echt een check box aanvinken met “I read & accept the terms of use of Ryanair’s website”. Doe je dat niet, dan kun je niet naar de prijs toe. (Daarnaast krijg je om de zoveel veranderingen weer een CAPTCHA)
Zou Ryanair overduidelijk foute informatie mogen terugsturen naar Wegolo? Dus als ze weten dat het een verzoek van Wegolo is, de prijs met 1000 vermenigvuldigen (de komma op de verkeerde plek zetten).
@Matt, 20: Opzettelijk foutieve informatie versturen zou, zeker na dit vonnis, een onrechtmatige daad inhouden. Aan de andere kant hoeft Ryanair niet alle tarieven aan te bieden aan alle klanten; de “superkortingtarieven” niet aanbieden aan klanten die een specifiek IP adres hebben kan juridisch verdedigd worden. (Zoiets verstoppen in een regel “bij meer dan x bevragingen/dag van een IP adres tonen we de laagste prijscategorieën niet maakt het nog beter te verdedigen.) Het staat iedere leverancier vrij om zichzelf in het vlees te snijden en klanten naar de concurrent te jagen.
Ryanair zou mogelijk de tarieven steeds met 2% verhogen voor iedere klant wiens IP adres zeer regelmatig opduikt. B.v. voor iedere 10 keer dat je een prijs opvraagt komt er dus 2% bovenop. (Okay, de eerste 50 keer wordt genegeerd maar aanvraag 51 is 2% extra, 61 is 4% extra, 71 is 6% extra, enzovoorts.
Uit 4.20 van de uitspraak volgt dat je rechtmatige gebruikers niet kan uitsluiten met een “niet-voor-commercieel-gebruik” clausule.
Ik zou graag een blog-post zien over de gevolgen van dat deel van de uitspraak, mag ik nu bijvoorbeeld een website om bol.com heen bouwen met daarin mijn eigen advertenties?
Op IT en Recht staat een bijdrage van Hendrik Struik, CMS Derks Star Busmann die over dit onderwerp gaat;