Oostenrijks hof vraagt EU-hof of Facebook met gebruikersdata GDPR ‘ondermijnt’

Het Oostenrijkse Hooggerechtshof heeft het Hof van Justitie van de Europese Unie gevraagd of Facebook juridisch gezien wel gebruikersdata mag verwerken. Dat las ik bij Tweakers. De vraag draait om het verschil tussen toestemming en een contract als grondslag om persoonsgegevens te mogen verwerken. Sinds de AVG van kracht is, houdt Facebook namelijk vol dat mensen bij hen een dienst met gepersonaliseerde advertenties bestellen (als in: een daartoe strekkende overeenkomst sluiten) zodat je het niet over toestemming hoeft te hebben. Eh, wat.

De vragen van het Hof komen (hoe kan het ook anders) uit een rechtszaak die de privacyvoorvechters van None Of Your Business hebben aangespannen. NOYB verzet zich op alle mogelijke manieren tegen de Amerikaanse dataplundering van Facebook en consorten, en dan is dit een logische stap.

Facebook had in het verleden altijd gezegd dat het zich beriep op toestemming. Maar sinds de AVG is toestemming een heikele, zo niet onmogelijke grond om mee te werken: toestemming kan op ieder moment worden ingetrokken en dat mag geen vervelende consequenties hebben. Logisch dus dat de Facebook-juristen al snel bedachten dat je beter op uitvoering overeenkomst kon gaan zitten, want dat is niet zomaar intrekbaar. Besteld is besteld, zeg maar.

De vraag is alleen: wát is er dan besteld. Waren dat die advertenties (graag met een onsje extra personalisatie en hee wat leuk, de doorverkoop voor militaire gezichtsherkenning is afgeprijsd, doe maar) of was dat de communicatiedienst, het kunnen chatten en lezen wat mijn vrienden online doen? Mijn idee was altijd het laatste, maar omdat de Facebook-juristen zo nadrukkelijk hameren op het eerste, moeten we daar een juridische discussie over gaan voeren.

Het Oostenrijkse Hof citeert allereerst een berg literatuur die hier vrij negatief over is: Facebook is steeds het standaardvoorbeeld van een dienst met het niet-essentiële aspect van advertenties erbij. Dat helpt niet voor de beeldvorming, zullen we maar zeggen. En dan concludeert men:

The objective purpose of the contract is decisive for the definition of “necessary” in the sense of Art. 6(1)(b) of the GDPR. Artificially or unilaterally imposed services cannot be subsumed under this. The necessity of data processing for the performance of a contract depends on whether there is a direct factual connection between the intended data processing and the specific purpose of the legal obligation. … The fact that the purposes of the processing are covered by contractual clauses formulated by the provider does not automatically mean that the processing is necessary for the performance of the contract.
Dat laatste is denk ik de kern: dat een partij zegt dát het hoort bij de dienst, maakt het nog niet écht noodzakelijk voor de dienst. Daarvoor is een objectieve toets nodig. Alleen: hoe ziet die toets eruit, en hoe veel speelruimte mag je daar dienstverleners in gunnen? Is bijvoorbeeld bij WhatsApp het noodzakelijk dat iedereen mijn profielfoto ziet, of is enkel de door mij ingevulde naam noodzakelijk om te tonen aan contacten? Of ook dat niet?

Tijd dus om de hoogste Europese rechter hier een uitspraak over te laten doen. Helaas duurt dat altijd wel een dik jaar.

Arnoud

9 reacties

  1. Ik volg hem wel: gratis social media in ruil voor gepersonaliseerde advertenties. Een dienst heeft inkomsten nodig. En social media moet gratis zijn. Want het is alleen leuk als al je vrienden er ook op (kunnen) zitten en dan moet de toegang laagdrempelig zijn. En mensen geven eerder hun persoonsgegevens weg dan dat ze geld uitgeven.

    En inmiddels is iedereen zich ook wel bewust van wat Facebook doet? En toch kiezen er mensen voor. Minder dan voorheen, maar dat is denk het de waarde van de AVG geweest: bewustwording, zodat consumenten zelf een afweging kunnen maken.

    1. Als ‘iedereen’ (incl. a-technische mensen) het en weet en OK vindt, zou Facebook vast toestemming vragen en krijgen. Als juist Facebook – de partij met bizar veel kennis over ons online gedrag – het graag ongevraagd doet zullen ze wel weten dat een significant deel van de mensen nee zal zeggen.

      Een alternatief is de keuze geven tussen betalen of ads, zie bijvoorbeeld Tweakers.

      1. Is een onderdeel van het probleem niet juist dat het hier niet gaat om enkele reclame banners op de Facebook pagina zelf, maar om het volgen en profileren van mensen binnen en vooral buiten de Facebook website. Een vergelijking met het Tweakers model is dus niet helemaal eerlijk.

        En geloven we Facebook iemand helemaal niet gaat profileren als ze betalen om geen reclame te zien? Natuurlijk willen ze alsnog jou graag gepersonaliseerde nieuwsberichten een facebookgroep suggesties doen. Het niet laten zien van deze dingen is veel makkelijker te implementeren voor Facebook dan het niet verzamelen van de benodigde informatie hiervoor.

  2. Als ik dit soort berichtten lees vraag ik me altijd af, willen we echt een situatie waarin de kiezer gevraagd gaat worden “wil je privacy of social media?”. Want daar lijkt het langzamerhand naar toe te bewegen en ik heb nul vertrouwen in de massa op dit soort gebieden.

    1. Het hangt er van af hoe je privacy precies definieert, maar het is zeer zeker mogelijk om “social media” te hebben waarbij de gebruikers controle houden over het gebruik van hun persoonlijke gegevens. (Helaas is het verdienmodel van Facebook anders.) Ik denk hierbij aan met name aan gedistribueerde berichtensystemen, waar de gebruikers bandbreedte, opslag en CPU ter beschikking stellen om het netwerk te laten draaien.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.