Winkelhouder niet aansprakelijk voor inbreuken via open wifi-netwerk

wifi-hotel.pngHet Europese Hof van Justitie heeft in de Mc Fadden-zaak beslist dat een winkelhouder niet aansprakelijk is voor auteursrechtinbreuken die worden begaan via een open wifi-netwerk. Dat meldde Tweakers vorige week donderdag. Wel kan een rechthebbende partij eisen dat een winkel zijn netwerk beschermt met een wachtwoord, omdat je anders het té makkelijk maakt dat langsrijdende grapjassen illegaal downloaden.

Uit het arrest (zaaknr. C?484/14) blijkt dat het ging om een winkel voor de verkoop en verhuur van licht- en geluidsmateriaal. De eigenaar had een draadloos wifi-netwerk opgezet waar bezoekers op konden, waarbij hij geen beveiliging had toegepast om zo klanten van winkels in de omgeving, voorbijgangers en buren op zijn bedrijf te attenderen.

Op zeker moment downloadde iemand een muziekbestand via dat draadloze netwerk uit een illegale bron, waarop Sony de winkelier aansprakelijk stelde voor deze inbreuk op auteursrechten. In Duitsland niet ongebruikelijk: op basis van Duitse rechtspraak inzake indirecte aansprakelijkheid (“Störerhaftung”) was daar een basis voor.

Raar, want in de Europese E-commercerichtlijn uit 2000 staat dat een tussenpersoon die internettoegang biedt, niet aansprakelijk is voor wat er over zijn internetverbinding gebeurt. In Duitsland was de gedachte (als ik het goed begrijp) dat die regels alleen golden voor bedrijven met als hoofddoel het bieden van internettoegang, zeg maar de ‘echte’ providers zoals T-Mobile. Wifi als aardigheidje maakte je geen provider en dus was je gewoon aansprakelijk.

Het Hof van Justitie kreeg vervolgens van de Duitse rechter deze zaak op zijn bordje: hoe zit het nu, ben je als winkel met wifi nu wel of niet een provider en kun je je dan wel of niet op deze regeling beroepen?

Kort gezegd is het antwoord: ja, dat kun je. Ook een gratis wifidienst die niet je hoofdaanbod is, valt onder de regels van de e-commercerichtlijn. Zodra je wifi te gebruiken is door derden, ben je een ‘provider’ en dus niet aansprakelijk voor wat er over je lijn gaat. Er gelden geen andere voorwaarden, zoals of je een contract sluit, of je geld vraagt of wat dan ook.

Een internetprovider hoeft daarbij géén notice/takedown te hanteren of iets dergelijks. Een hoster moet dat wel – die slaat informatie op, en kan die dus weghalen als het moet. Maar een provider geeft alleen maar door en is dus niet gehouden inbreukmakende zaken te blokkeren.

Echter, in de Richtlijn staat dat de provider een concreet verbod opgelegd kan krijgen om specifieke inbreukmakende informatie nog langer door te geven. Een Pirate Bay-verbod (zeg maar) is dus in theorie mogelijk, maar er moeten dan wel zware waarborgen zitten aan dat verbod. Dan krijg je dus gelijk een hele stevige juridische kluif in het afwegen van belangen – informatievrijheid en ondernemingsvrijheid aan de ene kant, auteursrechten aan de andere kant.

Die discussie laat het Hof nu even voor wat het is: er lag een concrete vraag of het wachtwoordbeveiligen van je netwerk redelijk is, en het antwoord is ja. Het opnemen van een wachtwoord op je wifi is eigenlijk maar een hele lichte maatregel die inbreuken door gebruikers (enigszins) kan beperken terwijl het niet echt de toegang tot internet hindert. Die maatregel is dus in principe gerechtvaardigd om te eisen. Dus: geen aansprakelijkheid voor je gasten, mits je je netwerk beveiligt.

Opmerkelijk is wel dat men eist dat je de ontvangers van het wachtwoord kunt identificeren. Gewoon een dagelijks wisselend wachtwoord mag dus niet. Het Hof zegt niet waarom ze dit ook redelijk vinden, en een afweging tegenover de privacy van bezoekers zit er al helemaal niet in. Dat bevreemdt wel heel erg. Vermoedelijk is de gedachte dat rechthebbenden dan die gegevens kunnen vorderen en zo hun recht kunnen handhaven bij de echte inbreukmaker.

Ik ben benieuwd wat dit voor gevolgen heeft. Enerzijds kun je nu zeggen, einde van gratis wifi want dat is te veel gedoe, iedereen identificeren. Anderzijds zie ik het ook wel gebeuren dat rechthebbenden nu afhaken, want je kunt hooguit eisen dat bedrijven een triviale identificatie gaan doen en 90% van de tijd valse gegevens toelaten. Dat is zo veel tijd en moeite om te checken dat je beter ergens anders kunt gaan claimen.

Arnoud

16 reacties

  1. Precies. Een wassen neus dus om een schijn van verbetering door te voeren. Jippie, een nieuwe regel om niets dus.

    Punt 96. In dat verband moet worden vastgesteld dat een maatregel bestaande in de beveiliging van de internetaansluiting door middel van een wachtwoord de gebruikers van die aansluiting ervan kan doen afzien inbreuk te maken op het auteursrecht of op naburige rechten, voor zover die gebruikers verplicht zijn hun identiteit op te geven om het vereiste wachtwoord te krijgen, en dus niet anoniem kunnen handelen, hetgeen de verwijzende rechter dient na te gaan.

    Hierover twee dingen:

    Nergens wordt aangegeven dat je een uniek wachtwoord per gebruiker nodig hebt. Ze moeten zich alleen identificeren. Maar de winkelier hoeft dat (inderdaad) niet vast te leggen.

    Maar door de vele deelzinnen heb ik geen idee waarop het laatste “hetgeen de verwijzende rechter dient na te gaan” nou zou slaan. Heeft het hof “moet worden vastgesteld” (luxe vorm van schrijven verleden tijd), of is dat deel dus aan de rechter, wat dus op het “ervan … doen afzien inbreuk te maken” slaat. Of slaat het op het dan niet anoniem kunnen handelen?

    Want dan zou die dat laatste alsnog een wassen neus kunnen vinden en is juist dat wachtwoord uitgeven na identificatie een grijs gebied.

    Edit: oeps, punt 96, niet 99.

  2. Opmerkelijk is wel dat men eist dat je de ontvangers van het wachtwoord kunt identificeren. Gewoon een dagelijks wisselend wachtwoord mag dus niet. Het Hof zegt niet waarom ze dit ook redelijk vinden, en een afweging tegenover de privacy van bezoekers zit er al helemaal niet in. Dat bevreemdt wel heel erg. Vermoedelijk is de gedachte dat rechthebbenden dan die gegevens kunnen vorderen en zo hun recht kunnen handhaven bij de echte inbreukmaker.

    Wat zou ik me hierbij moeten voorstellen? Want als jij als winkelier per dag 100 verschillende klanten krijgt dan lijkt het me niet handig dat je een complete administratie moet gaan voeren om bij te houden wie er op je WiFi zit.

    En zou dit ook niet gaan botsen met de Wbp?

  3. Hmm. Het arrest noemt intellectueel eigendom een grondrecht. Sinds wanneer staat het intellectueel eigendom in onze grondwet? Het enige wat er over eigendom in staat zijn 3 kleine artikelen: https://www.denederlandsegrondwet.nl/9353000/1/j9vvihlf299q0sr/vgrnbnk4gpqn over persoonlijk eigendom versus de staat.

    Op een andere plek wordt op Europees niveau “grondrecht” beschreven als iets wat in alle nationale grondwetten is vastgelegd. Maar dat is het dus helemaal niet. Ondertussen is het wel in deze lijst er even bijgekrabbelt; http://www.minbuza.nl/ecer/eu-essentieel/handvest-grondrechten/vrijheden-art.-6-t-m-19/recht-op-eigendom-artikel-17.html Want ja, dan kun je het afwegen tegen andere grondrechten, zoals privacy. Handig!

    1. Grondrechten staan niet alleen maar in de grondwet.

      Grondrechten zijn onder meer opgenomen in:
      – Hoofdstuk 1 van de Nederlandse Grondwet
      – Het Europees Verdrag voor de Rechten van de Mens (EVRM)
      – Europees Sociaal Handvest (ESH)
      – Internationaal verdrag inzake burgerrechten en politieke rechten (BUPO)
      – Internationaal Verdrag inzake economische, sociale en culturele rechten (IVESC)
      – Handvest van de grondrechten van de Europese Unie
      – EU-verdrag
      Bron: https://nl.wikipedia.org/wiki/Grondrechten

      Het handvest waar jij ook al naar verwijst, is “sinds 1 december 2009 is het Handvest juridisch bindend voor de instellingen van de EU en voor de lidstaten van de EU wanneer zij het EU-recht ten uitvoer brengen”.

    1. Zoals ik het begrijp: -mag je zeker een open wifi hebben en aanbieden aan anderen. – Pas wanneer er een echte, spefieke auteursrechteninbreuk is jouw netwerk, KAN de rechter jou opleggen dat je maatregelen moet nemen, afhankelijk van hoe de belangenafweging in jouw concrete geval geval uitvalt om die specifiek inbreuk tegen te gaan. – Als er al maatregelen opgelegd worden dan is in het geval van de situatie van het arrest (en waarschijnlijk ook in vergelijkbare situaties) het geven van een wachtwoord op aanvraag en met overleggen van een identificatie een acceptable maatregel, echter zeker niet de enige acceptabele maatregel. – De rechter moet echter wel eerst nagaan of een dergelijke maatregel wel het verwachte effect zal hebben (als jij bijvoorbeeld een bar op een pier van Schiphol hebt, zul je heel weinig terugkerende klanten hebben, dus dan heeft zo’n maatregel weinig effect) – Je mag ook gerust nog privacyaspecten van je klanten aanbrengen als argument. Dat is in het arrest niet bekeken, maar die afweging moet ook nog eerst gemaakt worden. (Het zou zomaar kunnen dat als jij een anonieme geslachtsziektenkliniek hebt met open wifi die afweging anders uitpakt dan wanneer jij een broodjeszaak hebt met open wifi) – Je mag ook nog gerust de praktische uitvoerbaarheid door jou aanbrengen als argument – Je mag ook gerust andere maatregelen voorstellen. Er is dus nog een heeeeele lange weg te gaan voordat je juridische weg uitgeput is en je geen open Wifi meer mag hebben. (sorry, de formatering klopt niet, er zal iets mis zijn met Arnoud’s blog, want in de preview is de formatering wel goed)

      1. Ik zou het graag willen interpreteren als: er is iemand een film-torrent aan het seeden vanaf mijn Wifi; auteursrechtorganisatie gaat klagen bij mij -> dan sluit ik de verbinding van de seedende host.

        Probleem: een minuut later opent ‘ie een nieuwe verbinding -> er is niets veranderd; de auteursrechtorganisatie merkt waarschijnlijk niet eens dat ik heb ingegrepen, en denkt waarschijnlijk dat ik niets heb gedaan.

        Iets hardhandiger: ik blokkeer het MAC-adres van de seeder. De minst-technische seeders houd ik daarmee buiten de deur; die gaan waarschijnlijk naar een andere Wifi. Auteursrechthebbenden schieten daar weinig mee op, maar ik heb in ieder geval aangetoond mee te werken. De meest-technische seeders veranderen gewoon hun MAC-adres, en zitten een minuut later weer op mijn Wifi -> zelfde probleem (voor mij) als zonder MAC-blokkade.

        Alle verdergaande maatregelen (bijv. wachtwoord, bij de balie op te halen, evt. na identificatie) komen er op neer dat je geen open Wifi meer hebt. Ik zou dat zelf op privacy-gebied te ver vinden gaan. Dat auteursrecht (en een heleboel andere dingen) dan niet meer gehandhaafd kunnen worden is dan jammer, maar het is geen grondrecht: het is gewoon een regeling die tegenwoordig niet meer werkt. Daar moet je geen grondrechten (zoals privacy) aan opofferen.

  4. Kortom: wachtwoord op je wifi zetten, op een briefje in je winkel hangen, mensen een formuliertje (zoals bij het posten van deze reactie) laten invullen voordat ze daadwerkelijk toegang hebben, melding bij de Autoriteit Persoonsgegevens doen en klaar is Kees.

    Of valt dit dan weer onder Artikel 32 Vrijstellingsbesluit: het is een netwerksysteem, het gaat over “het behandelen van geschillen”, je verwerkt “gegevens voor identificatie van de gebruikers binnen het netwerk”, verstrekt de gegevens alleen aan partijen waarvan “de gegevensverwerking noodzakelijk is voor de nakoming van een wettelijke plicht door de verantwoordelijke” en verwijderd de gegevens uiterlijk na 6 maanden.

    Geen idee wat het wachtwoord dan eigenlijk als toevoegde waarde heeft.

    1. De waarde van het wachtwoord is dat men niet op straat voorbij loopt en verbinding maakt. Wat mensen belet om het wachtwoord van het briefje te lezen en hun naam er niet op te zetten, dat weet ik ook niet.

      Overigens staat het wifi wachtwoord bij de starbucks tegenover de Sagrada Familia gewoon op de de bon die je krijgt als je er wat bestelt en deze wijzigt dagelijk. Tijdens de vakantie iedere ochtend even een chai tea besteld en de foto’s van de vorige dag geupload naar mijn server 🙂

      Op zicht een mooie oplossing, maar hier dus weer niet voldoende. Als je contant betaald ben je immers nog steeds anoniem, of bekend met je starbucks naam 😀

      Zou dit voldoende drempel zijn met de huidige uitspraak? Mag een lidstaat nu nog zeggen “alles mooi en wel, maar ik neem in mijn wet op dat men met een open wifi nooit aansprakelijk is voor wat derden doen, wachtwoord of niet”?

  5. Als ik de uitleg van het vonnis begrijp zou het voldoende zijn om de gebruikers van het netwerk in een invoerscherm om hun naam te vragen (en daarbij te laten verklaren dat ze zich netjes zullen gedragen) voordat ze Internet toegang krijgen.

    Het is niet nodig om gebruikers aan gedrag te koppelen.

  6. Geeft dit nu niet de mogelijkheid voor de winkelier met WiFi om auteursrechtelijk beschermd materiaal uit illegale bron te downloaden en op de blafbrief van BREIN te reageren met: “Ik weet niet wie dat gedaan heeft, maar ik was het niet, zal wel een klant geweest zijn”?

  7. Het lijkt er op dat authenticatie (wie ben je) en authorisatie (wat mag je) door elkaar gehaald worden.

    Een wachtwoord, dat is voor authorisatie. Maar dat lijkt me niet relevant: iedere willekeurige persoon die op het netwerk kan, màg er op van de winkelier. Wat de rechter lijkt te eisen is een vorm van authenticatie, dus dat je weet WIE toegang krijgt. Dus naam vragen met een captive portal, of wellicht alleen de MAC addressen van de verbonden apparaten opslaan. (privacywetgeving, anyone?)

    Waarom de eis voor authenticatie wordt vertaald wordt naar een maatregel die slechts authorisatie beoogd: ik heb geen idee. Mijn theorie is dat het hof toch niet zo heel veel van IT begrijpt. Triest, want het vonnis zoals dat hier beschreven staat komt op mij daardoor over als broddelwerk.

    1. Ook een belangrijk verschil: identificatie (wie zeg je te zijn) versus authenticatie (bewijs dat jij het bent); ofwel gebruikersnaam vs. wachtwoord. Daarnaast kunnen mensen meerdere identiteiten hebben; hier heet ik bijvoorbeeld Corné, maar op het winkel-Wifi kan ik best 1234 heten. Het gescheiden houden van verschillende identiteiten is een belangrijke vorm van privacy-bescherming.

      Het vonnis komt ook op mij over als broddelwerk: het is niet duidelijk wat er nou precies wordt verwacht van de Wifi-beheerder. Is elke vorm van identificatie voldoende? Of moet het om geauthenticeerde identiteiten zijn die identiek zijn aan identiteiten in een grotere context (bijv. DigiD)? Het eerste is compleet nutteloos; het tweede is erg onpraktisch (het Wifi verliest daardoor zijn nut) en een ernstige privacy-schending.

  8. “O hallo Brein, hebben ze weer wat gedownload wat niet mocht? Hier is een lijst met namen die men ingevuld heb toen ze verbinding maakte met het wifi netwerk, succes er mee”

    Dit helpt toch helemaal niet? Brein kan er hoogstens achter komen dat “username”, “Jaap” en “1234” vlak voor het moment van het downloaden van het muzieknummer hadden ingelogd op het netwerk. Het is dan nog steeds onbekend wie van de drie het heeft gedaan en wie die personen zijn.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.