Websites verantwoordelijk voor reacties anonieme bezoekers

| AE 7758 | Uitingsvrijheid | 35 reacties

Als bezoekers anoniem op een website bedreigingen achterlaten, kan de eigenaar van die website verantwoordelijk worden gehouden voor het verspreiden van die bedreigingen. Dat meldde Nu.nl gisteren in buitengewoon stellige termen: het Europese Hof voor de Rechten van de Mens heeft definitief een einde gemaakt aan een rechtszaak die al negen jaar lang voortsleept, en mogelijk grote gevolgen heeft voor vrijheid van meningsuiting op het internet. En dat allemaal vanwege gescheld op een Estse nieuwssite – Delfi – waar mensen erg boos waren over een brug.

U denkt nu wellicht net als ik: Delfi, die zaak hádden we toch al gehad? Inderdaad had het Europese Hof voor de Rechten van de Mens dit al bepaald, maar nu heeft de Grote Kamer van dat Hof er nog eens naar gekeken en vandaar het ‘definitieve’ karakter van de uitspraak.

Op de nieuwssite kon iedereen reageren op nieuwsberichten, ook anoniem. Een bericht over een bedrijf dat een ijsweg zou gaan aanleggen, gaf grote boosheid: mensen moesten flink gaan omrijden als het bedrijf zijn zin zou krijgen, want de korte autoroute over het ijs werd opgeheven en je moest naar een ver weg gelegen brug of de dure veerpont van dat bedrijf nemen. Een aantal comments ging juridisch echt te ver, en het bedrijf stelde de site dan ook aansprakelijk voor de schade als gevolg van deze bedreigende teksten.

Uiteraard stelde de site niet aansprakelijk te zijn (hoewel ze wel de comments weghaalden, notice/takedown inderdaad), maar daar nam het bedrijf geen genoegen mee. De eis tot schadevergoeding werd toegewezen, waarop de site stelde dat de vrijheid van meningsuiting werd aangetast – als je als site aansprakelijk bent voor comments, dan kun je de comment-tent wel sluiten en dat zal flink wat minder uitingen opleveren.

Het Hof oordeelde in eerste instantie dat een site die anonieme commentaren toelaat, aansprakelijk is voor smadelijke of anderszins strafbare uitingen. Je hebt anders geen enkele optie je schade te verhalen, en dat is niet eerlijk naar de slachtoffers van die uitingen. En die uitspraak wordt nu bevestigd. Een professionele nieuwssite moet gewoon rekening houden met extreme uitingen en deze proactief monitoren.

Maar hoe zit het dan met de wettelijke bescherming voor tussenpersonen? Daar kan het EHRM formeel niets over zeggen, omdat dat een regel uit het EU-recht betreft en geen grondrecht of mensenrecht. Men volstaat dan ook met te zeggen dat een nationale rechter moet bepalen of je een tussenpersoon bent in de zin van de wet, en dat de conclusie van de Estse rechter (nee, want je bemoeit je door achteraf te modereren en een tussenpersoon moet neutraal blijven) dan ook definitief is.

Wel lijkt het Hof de lat redelijk hoog te leggen. Het ging in deze zaak niet om theoretisch mogelijk strafbare zaken, maar evidente dat-kan-écht-niet doodsbedreigingen en uitspraken die “tegen de menselijke waardigheid” ingaan. Dat lijkt dan aan te sluiten bij de regel die we al kennen bij de Europese notice/takedowns: alleen bij evident onrechtmatige zaken moet je ingrijpen als hoster of beheerder – en nee, niet alleen bij klachten, ook als je er zelf achter komt. Als je het zo bekijkt, dan zegt het Hof dus, je moet je comments gewoon lézen en als je dat-kan-écht-niet zaken ziet, dan moet je ingrijpen. Lees je niet, dan is dat jouw probleem. En Delfi deed weinig, te weinig, om in te grijpen bij dergelijke reacties.

Ik snap de overwegingen achter de uitspraak, maar zie ook wel meteen de tegenreactie: nu kun je dus je panelen wel sluiten als site. Dat klopt niet helemaal: de uitspraak is gedaan vanuit de context van een grote commerciële nieuwssite waar men zelf redactionele content plaatst en dan zegt “roept u maar”. Niet iedere site waar gereageerd kan worden:

Accordingly, the case does not concern other fora on the Internet where third-party comments can be disseminated, for example an Internet discussion forum or a bulletin board where users can freely set out their ideas on any topics without the discussion being channelled by any input from the forum’s manager; or a social media platform where the platform provider does not offer any content and where the content provider may be a private person running the website or a blog as a hobby.

GeenStijl is dus wél aansprakelijk voor z’n reaguurders, maar het Nationaal Computer Forum (ik noem maar een dwarsstraat) is dat niet. Hoe het zit bij de forums van bijvoorbeeld Fok, is een leuke. Ik denk dat die ook geen last van het vonnis moeten hebben, omdat die forums voldoen aan de “without being channelled” eis. Maar de reacties op frontpage-artikelen zijn natuurlijk dan wél de verantwoordelijkheid van de exploitant.

Ik ben heel erg benieuwd of dit werkelijk iets aan de praktijk gaat veranderen. Ik lees al veel mensen die roepen “we moeten stoppen met reacties toelaten”, maar dat is echt overdreven. Hooguit kun je overwegen om anonieme reacties te gaan weren. Maar het is echt geen gegeven dat je nu voor iedere comment aansprakelijk bent als een bijdehante advocaat er met een gezochte redenering tot een mogelijk strafbaar grensgeval van kan maken. Je bent aansprakelijk als grote commerciële partij wanneer je keihard strafbare uitingen er doorheen laat én achterover zit als mensen klagen. En die aansprakelijkheid-situatie kan ik ergens wel billijken.

Arnoud

Facebook moet pseudoniemen toestaan in Duitsland

| AE 4853 | Privacy | 17 reacties

facebook-real-nameDe huisregel van Facebook dat je je echte naam moet gebruiken is in strijd met de Duitse privacywetgeving, las ik bij Nu.nl. Facebook meldt het bevel tot aanpassing van de Duitse privacywaakhond (nou ja, die van Schleswig-Holstein) te zullen aanvechten, want de Ierse collega’s hadden eerder nog geen problemen op dit punt bespeurd.

Facebook hanteert die echtenaamregel nu ongeveer een jaar, met enkele opmerkelijke handhavingsfeiten zoals dat Salman Rushdie geband werd omdat in zijn paspoort Ahmed staat. Het beleid zou trollen en misbruik moeten indammen, maar of dat werkt is niet echt duidelijk.

De Duitse telecommunicatiewet is op dit punt echter niet voor misverstand vatbaar (art. 13 lid 6):

The service provider must enable the use of telemedia and payment for them to occur anonymously or via a pseudonym where this is technically possible and reasonable. The recipient of the service is to be informed about this possibility.

De Ieren hebben echter niet zo’n regel, en ook in de Nederlandse wet kan ik niets terugvinden dat dit letterlijk bepaalt. Voor zover ik kan achterhalen, is deze Duitse regel gebaseerd op een overweging uit de e-Privacyrichtlijn, namelijk dat

(9) De lidstaten, de betrokken aanbieders en gebruikers alsmede de bevoegde communautaire instanties zouden moeten samenwerken bij de introductie en ontwikkeling van de benodigde technieken waar zulks noodzakelijk is met het oog op de waarborgen die door deze richtlijn worden geboden, daarbij met name rekening houdend met de doelstelling de verwerking van persoonsgegevens zoveel mogelijk te beperken en waar mogelijk gebruik te maken van anonieme of onder pseudoniem opgeslagen gegevens.

De Duitsers hebben ervoor gekozen deze overweging als wetsartikel op te nemen, maar dat is dus niet verplicht. Dat verklaart waarom de Ieren er geen punt van maakten – hun wet kent geen equivalent en dus valt daar voor een toezichthouder weinig over te zeggen.

Natuurlijk zou je kunnen zeggen dat mensen Facebook toestemming geven om hun echte naam te gebruiken, maar gezien de omvang van Facebook en het feit dat die regel pas kwam nadat Facebook al gigantisch gegroeid was, twijfel ik of je die toestemming wel “vrijwillig” kunt noemen. Meedoen of ophoepelen van het sociale netwerk is niet echt een keuze.

Update (15 februari 2013) dit lijkt van de baan, want de Duitse rechter vonnist dat zij onbevoegd is omdat Facebook in Ierland gevestigd is.

Arnoud

Ben ik strafbaar als ik een TOR exit node draai?

| AE 2890 | Ondernemingsvrijheid | 27 reacties

tor-on.pngEen lezer vroeg me:

Ben ik in Nederland strafbaar, of zou ik er problemen mee kunnen krijgen als, ik een Tor relay/bridge/exit-point opzet vanuit mijn flat? Mag dit van de wet?

TOR is een open netwerk voor anonieme communicatie, die werkt volgens het principe van Onion Routing. Heel in het kort: een berichtje wordt niet via één maar via meerdere tussenliggende servers doorgegeven. Elke server kan de buitenste laag lezen van het bericht dat hij ontvangt, en “pelt” deze eraf om het resultaat door te sturen. Het echte bericht zit dus helemaal diep in de kern verstopt, en tegen de tijd dat die kern is afgepeld, is alle informatie over de afzender wel verdwenen. Daarmee is in theorie haast volstrekt anonieme communicatie mogelijk.

De server die het TOR netwerk verbindt met het internet, heet de exit node. Dit zou een mailserver kunnen zijn die dan verbinding legt met ‘echte’ mailservers, of een server die pagina’s ophaalt van het worldwideweb, of juist informatie naar een website stuurt.

Het is op zich niet strafbaar om een TOR exit node te draaien. Het zou kunnen dat je provider het verbiedt in hun voorwaarden, dus dan zou je contractbreuk plegen. Maar het moet er dan expliciet staan, bv. als “Verboden je verbinding te sharen met derden buiten je huisgenoten”.

Het kan gebeuren dat iemand strafbare feiten pleegt via die exit node. Dan komt de politie uit bij jouw IP-adres en dan heb jij wat uit te leggen. Je bent niet automatisch strafbaar voor al hetgeen er via jouw exit node gebeurt. Voor strafbaarheid moet meestal sprake zijn van opzet, en anders minstens van (grove) nalatigheid. Zou iemand een smadelijk bericht posten via die exit node, dan ben jij daar niet voor vervolgbaar want jouw bedoeling was niet dat dat bericht geplaatst zou worden.

De wet kent echter ook het concept ‘voorwaardelijke opzet’. Kort gezegd “dat had je toch moeten weten dat dat kon gebeuren”, en in fraai juridisch “de aanmerkelijke kans aanvaardend dat”. Als je een exit node opzet die je zelf met firewallregels zo instelt dat hij alléén een Russische kinderpornosite kan bereiken, tsja dan aanvaard je de kans dat mensen kinderporno gaan opvragen of plaatsen. Ook als je mee gaat kijken met het verkeer over je exit node, en je ziet opvallend veel verkeer naar zo’n site, dan kun je strafrechtelijk aansprakelijk worden. Je weet dan dat de node misbruikt wordt, en dan moet je ook iets doen met die kennis.

De vraag is natuurlijk waar die grens ligt. Heb je voorwaardelijke opzet als je géén spamfilter instelt als je uitgaand SMTP verkeer faciliteert? Was het je bedoeling dat er auteursrechtschendende films verspreid worden als je een exit node maakt die naar Youtube mag en verder niets?

Er is nog nooit een rechtszaak geweest over iemand die alleen een TOR node opereerde, en ik denk ook niet dat het snel zal gebeuren. Maar ja, je neemt een risico.

Arnoud