Een online marktplaats is onder de AVG verwerkingsverantwoordelijke voor de inhoud van advertenties die haar gebruikers plaatsen. Dat bepaalde het Hof van Justitie in zaak C-492/23 (Russmedia). Dit doorkruist keihard de gevestigde regel dat zo’n platform in beginsel gewoon niet aansprakelijk is. Wat is hier gebeurd?
De zaak begon toen op advertentieplatform publi24.ro (zeg maar het Roemeense Marktplaats) een advertentie verscheen waarin een vrouw seksuele diensten aanbood, met foto en telefoonnummer. Dat was echter zonder toestemming van deze betrokkene gebeurd, waardoor zij via de AVG verwijdering van de advertentie eiste.
Verwijdering gebeurde ook keurig, maar ondertussen was de advertentie al elders opgedoken. En vandaar de vraag: kun je dat onder de AVG de uitgever (Russmedia) aanwrijven? Dat ging naar het Hof van Justitie en nu zitten wij met de gebakken peren.
Het Hof constateert allereerst dat het vrij duidelijk is dat het platform de verwerkingsverantwoordelijke is. Daarbij woog de brede licentie uit de voorwaarden zwaar: als Russmedia alles mag doen met advertentiecontent, dan laat dat zien dat ze zelf (in AVG-termen) het doel en de middelen van de verwerking van die persoonsgegevens vaststelt. (De plaatser speelt ook een rol, maar de vrijheid van Russmedia was belangrijker.)
Nu is dat tot daar aan toe, maar betekent dit dat Russmedia a priori aansprakelijk is voor onjuiste gegevens in advertenties? Onder de regels voor hostingpartijen (DSA) is dat antwoord normaal duidelijk: nee, pas na het niet tijdig opvolgen van een klacht (notice&action) kan aansprakelijkheid ontstaan.
Het Hof leest de DSA – en haar voorganger de ecommercerichtlijn uit 2000 – echter nog eens goed, en ziet dan in artikel 1 punt 5 een item waar ik me ook al vaker over verbaasd had:
b) kwesties in verband met diensten van de informatiemaatschappij die onder Richtlijn 95/46/EG en Richtlijn 97/66/EG vallen;Overal waar naar Richtlijn 95/46 verwezen wordt, moet je nu een verwijzing naar de AVG lezen. En de DSA heeft in artikel 2.4 iets vergelijkbaars, haar regels mogen niet regels overrulen uit onder meer
het Unierecht betreffende de bescherming van persoonsgegevens, met name Verordening (EU) 2016/679 en Richtlijn 2002/58/EG;De onvermijdelijke conclusie is dus: een platform zoals public24.ro is aansprakelijk voor onrechtmatige verwerking van persoonsgegevens. Per direct, zonder voorafgaande klacht, zoals bij iedereen die persoonsgegevens verwerkt. Want een claim wegens aansprakelijkheid (art. 82 AVG) mag dus niet worden gepareerd met de Digital Services Act.
Geldt dit nu voor álle hostingpartijen? Daar twijfel ik een beetje over. Een belangrijke overweging van het Hof was dat het marktplaatsplatform zelf best actief besliste wat er met die advertenties zou gebeuren. Een kale hoster geeft enkel door wat de gebruiker plaatst, en dat komt voor mij niet in de buurt.
De DSA kent zelf ook de categorie van handelsplatforms (afdeling 4), maar daar regelt ze niets dat relevant is voor persoonsgegevens. Ik durf het dan ook niet aan om te zeggen, deze uitspraak geldt enkel voor die specifieke categorie.
Misschien maakt het uit dat het om advertenties gaat, maar ook dat betwijfel ik. De uitspraak draait duidelijk om het eigenmachtig beslissen waar de content geplaatst wordt, niet dat het gaat om commerciële reclame of afkomstig is van bedrijven.
Het Hof verbindt de uitkomst wel aan specifieke plichten:
- Advertenties screenen op bijzondere persoonsgegevens;
- Controleren of de betrokkene van die gegevens de plaatser van de advertentie is;
- Zo niet, bewijs verlangen dat de betrokkene uitdrukkelijke toestemming (of andere AVG-uitzondering op artikel 9) heeft gegeven;
- Adequate beveiligingsmaatregelen (art. 32) nemen tegen ongeautoriseerde overname van de advertenties door derden.
Arnoud
Dan zijn, ongeacht eventuele anti-oplichtermaatregelen, de handelsplatformen ook opeens aan te spreken over een oplichter die iemand anders nadoet? Killing voor het überhaupt bestaan van tweedehands-handel.
Of nog erger:
Een social medium besluit best actief welke accounts mogen bestaan en welke content waar mag worden geplaatst.Moeten de mensen van Tweakers nu bewijs vragen of de persoon achter https://tweakers.net/gallery/63255/ wel is wie zhij beweert te zijn? Per direct of zodra een forumpost wordt verplaatst en er heel actief met de content wordt bemoeid. Ik mag hopen dat dat niet zo bedoeld is.
Bij handel in tweedehands goederen is identificatie al vereist (boven grensbedragen). Feitelijk is aan de bescherming van persoonsgegevens niet te voldoen in een systeem dat anonieme accounts toestaat.
Er is wel een groot verschil: een advertentieplatform heeft als core-business, waar ze geld aan verdienen, het plaatsen van advertenties. Een nieuwssite heeft een heel andere core business, en daar is het kunnen commenten een leukigheidje erbij.
Dat betekent dat de ‘verwerkerstatus’ (zelfs als strict genomen de nieuwssite volgens de voorwaarden het comment elders zou kunnen herplaatsen maar dat in de praktijk nooit doen) een stuk moeilijker rond te krijgen is. In een dergelijk geval is daadwerkelijk de plaatser de verwerkingsverantwoordelijke, en is daadwerkelijk de nieuwssite slechts een neutraal doorgeefluik.
De situatie is dus niet zomaar vergelijkbaar.
Uit welk punt van het arrest haal jij dat het Hof het essentieel vond dat het ging om een advertentieplatform? Dat was hier zo, maar als je in het arrest “advertentieplatform” vervangt door “discussieforum” en “advertentie” door “comment” vervangt, zie ik niet meteen dingen misgaan.
Eens dat dit inhoudelijk best uitmaakt, maar ik zie nergens dat het Hof zegt “als het nou niet je core business was om geld te verdienen aan de advertenties, dan was de uitspraak anders geweest.” (Het overnemen van de advertenties door derden was tegen de regels.)
Ik heb het arrest niet gelezen maar ga voort op wat jij meldde.
Het hof zal dat inderdaad niet zo letterlijk gezegd hebben. Maar het hof heeft wel met een bepaalde redenering het platform uitgeroepen tot verwerkingsverantwoordelijk. De vaststelling van die status is kritisch voor de aansprakelijkheid.
En die redenering krijg je volgens mij veel moeilijker rond bij een discussieforum, omdat daar de individueel comment slechts marginaal verwerkt wordt. Voor iusmentis is het plaatsen van interessante artikelen de hoofdzaak, en dat er gereageerd kan worden is bijzaak. De situatie zou anders liggen als iedereen op iusmentis artikelen kon plaatsen, zonder enige screening, maar dat is niet zo. Ik zie wel hoe jij verwerkingsverantwoordelijke bent voor eventuele persoonsgegevens in de blogpost zelf, maar niet voor de comments.
Sowieso, wat de redenering van het hof betreft:
Voor een bepaalde verwerking kan er natuurlijk slechts 1 verwerkingsverantwoordelijke zijn. Dus voor de verwerking ‘plaatsing van de betreffende advertentie’ zijn er maar 2 mogelijkheden: de plaatser, of het platform. Dat je een redenering kunt opzetten dat het platform dat is, geloof ik wel, maar dat je daarbij kunt negeren dat er maar 1 verwerkingsverantwoordelijke kan zijn en dat de plaatser een honderdmaal aannemelijker kandidaat is, zie ik niet.
Kortom: Ik zie wel hoe het platform ‘verwerker’ is namens de echte verwerkingsverantwoordelijke, maar vind het gekunsteld om het platform verwerkingsverantwoordelijke te maken.
Is dat zo?
Nee. Er kan zeker wel sprake zijn van gezamenlijke verwerkingsverantwoordelijkheid. Beide zijn dan verantwoordelijk, beide kunnen worden aangesproken, beide hebben zelf een voor zichzelf juiste grondslag nodig, etc.
Of dat hier aan de orde kan zijn laat ik in het midden
Wie is de verwerkingsverantwoordelijke als een computer van bedrijf A aan een computer van bedrijf B om persoonsgegevens van X vraagt? A vraagt actief om gegevens, maar B kan weigeren deze te verstrekken.
Ik zie het als: B heeft een plicht om (in redelijkheid) verzoeken te controleren op rechtmatigheid. A mag niet onrechtmatig opvragen. Neem als voorbeeld Notaris (A) vraagt gegevens over eigenaar van woning (X) op bij het Kadaster (B). Omdat notarissen een speciale status hebben zou hier de Notaris verantwoordelijk zijn, maar als ik hetzelfde opvraag hoort het Kadaster nee te zeggen.
Zo kan een vergelijkbare verwerking verschillende verantwoordelijken hebben afhankelijk van de juridische (of contractuele) omstandigheden. Als bedrijf C een contract sluit met een gegevensleverancier met daarin “alleen opvragen van gegevens van onze klanten” dan is bedrijf C juridisch verantwoordelijk voor het naleven van die clausule.
Grondslag om te verstrekken is wat anders dan verwerkingsverantwoordelijke zijn. Een notaris handelt onafhankelijk en bepaalt dus zelf doel en middelen; dáárom is deze verwerkingsverantwoordelijke. Of de notaris mag vragen om persoonsgegevens bij het Kadaster staat daar los van. Als de notaris een wettelijke taak hierbij heeft, dan mag het. Jij hebt die niet, daarom mag je die gegevens niet opvragen.
De gegevensleverancier heeft een eigen verantwoordelijkheid voor de bescherming, die hij niet weg kan poetsen met (een beroep op) vertrouwen in het handelen van C.
Misschien is dit wel een mooie middenweg? Een hoster die 0 invloed heeft op welke content waar geplaatst wordt of doorgegeven is niet aansprakelijk te stellen (mits die direct optreedt na het melden van onmiskenbaar onrechtmatig materiaal), terwijl platforms die toch al volop modereren en algoritmes loslaten op de content dat wel zijn.
Ik moet het nog even laten bezinken, maar als dit de uitkomst zou zijn van dit vonnis dan is mijn eerste indruk dat we daar als maatschappij misschien juist wel veel aan hebben.
Het probleem daarmee is precies waarom we die regeling uit de DSA hebben. Als ieder handje moderatie leidt tot 100% aansprakelijkheid, dan gaat niemand meer modereren. Krijg je enerzijds de Amerikaanse dumpster fires zoals 4chan en anderzijds de totaal dichtgetimmerde plekken waar niets mag zonder voorafgaande controle. Je wilt mensen juist belonen voor een beetje mooie moderatie, niet bestraffen omdat ze ergens wat doorlieten.
Voor advertentieplatforms (meer denkend aan Meta, Google etc.) is het niet zo’n gek besluit. Er is een te groot problem met “ken-je-klant” en “scammy” advertenties. De platforms zijn niet puur uitgever en zouden meer verantwoordelijk moeten zijn (zoals “oude” media advertenties screenen).
Een interessante implicatie waarbij iemand een “verwerkingsverantwoordelijke” is is bij algoritmische aanbevelingen (rangschikking). Die aanbevelingen zijn keuzes, dus niet onder de controle van de maker van de inhoud. Dan blijft alleen de vraag over of vanuit de verantwoordelijke gezien sprake is van persoonsgegevens (in plaats van bijvangst).