Op 29 juli jl. heeft het Hof van Justitie van de Europese Unie (HvJ) bepaald dat een beheerder van een website waarop een ‘like-knop‘ van Facebook via een plug-in is aangebracht, medeverantwoordelijk kan zijn voor het verwerken van persoonsgegevens van bezoekers van zijn website door Facebook. Het HvJ is tot deze conclusie gekomen in het Fashion ID/VNRW arrest (HvJEU 29 juli 2019, ECLI:EU:C:2019:629). Aangezien er talloze websites zijn waarop de like-knoppen van Facebook (en vergelijkbare social media platforms) zijn aangebracht heeft deze uitspraak vergaande gevolgen voor veel websites en vormt deze uitspraak een belangrijke les voor websitebeheerders.

 

Procedure

Het draaide in de zaak Fashion ID/VNRW om een geschil tussen Fashion ID, een Duits modebedrijf, en de Verbraucherzentrale NRW (“VNRW”), een organisatie die vergelijkbaar is met de Nederlandse consumentenbond. Fashion ID beheert een website waarop via een social media plug-in de ‘like-knop’ van Facebook is opgenomen. Deze plug-in zorgt ervoor dat, wanneer een websitebezoeker de website van Fashion ID raadpleegt, persoonsgegevens (waaronder het IP-adres) worden verzameld en automatisch worden toegezonden aan Facebook. Het verzamelen en doorsturen van de persoonsgegevens vindt plaats zonder dat de bezoeker zich daarvan bewust is en ongeacht of hij is aangesloten bij Facebook of op de like-knop heeft geklikt. VNRW vindt deze gegevensverwerkingen niet door de beugel kunnen en verwijt Fashion ID dat zij persoonsgegevens doorstuurt aan Facebook zonder toestemming van de websitebezoeker. VNRW is tegen Fashion ID gaan procederen bij de Duitse rechter, die het HvJ heeft gevraagd naar de verantwoordelijkheid van Fashion ID als beheerder van een website waarop de plug-in is aangebracht. De Duitse rechter vraagt het HvJ of een websitebeheerder die programmeercode (een plug-in) integreert die persoonsgegevens aan deze doorzendt, een partij is die verantwoordelijk is voor de verwerking in de zin van artikel 2, onder d), van de Richtlijn Bescherming Persoonsgegevens indien hij zelf geen invloed kan uitoefenen op deze gegevensverwerkingshandeling.

 

Beslissing van het Hof van Justitie

Het HvJ neemt tot uitgangspunt dat de Richtlijn Bescherming Persoonsgegevens een hoog niveau van bescherming van de grondrechten en vrijheden biedt, waardoor het begrip ‘voor de verwerking verantwoordelijke’ ruim moet worden uitgelegd. Hieronder vallen alle partijen die alleen of gezamenlijk het doel en de middelen voor de verwerking van persoonsgegevens vaststellen. Het HvJ hanteert bij de uitleg van dit begrip de volgende uitgangspunten.

  1. Het begrip ‘verantwoordelijke’ omvat ook de mogelijkheid van gedeelde verantwoordelijkheid voor meerdere deelnemers aan de gegevensverwerking;
  2. Een partij, die om hem moverende redenen, invloed uitoefent op de verwerking en daardoor deelneemt aan de vaststelling van het doel daarvan en de middelen daarvoor, kan voor deze verwerking een ‘verantwoordelijke’ zijn;
  3. Medeverantwoordelijkheid vereist niet dat ieder van de verantwoordelijken toegang heeft tot de betrokken persoonsgegevens;
  4. Het bestaan van een gezamenlijke verantwoordelijkheid leidt niet noodzakelijk tot een gelijkwaardige verantwoordelijkheid voor een verwerking;
  5. Er is pas sprake van een gezamenlijke verantwoordelijkheid wanneer beide partijen daadwerkelijk het doel van en de middelen voor de gegevensverwerking vaststellen.

Het HvJ stelt dat Fashion ID door de integratie van de like-knop het mogelijk heeft gemaakt voor Facebook om persoonsgegevens van de websitebezoekers te verkrijgen zodra de internetsite wordt geraadpleegd. Het lijkt er ook op dat Fashion ID zich bewust was van het feit dat de like-knop plug-in dient als instrument voor het verzamelen en doorzenden van persoonsgegevens van de bezoekers van die site. Door het invoegen van een dergelijke social plug-in oefent Fashion ID volgens het HvJ op beslissende wijze invloed uit op het verzamelen en doorzenden van de persoonsgegevens van zijn bezoekers ten behoeve van Facebook, hetgeen niet zou gebeuren als de plug-in niet was toegevoegd. Op basis daarvan concludeert het HvJ dat Facebook en Fashion ID samen de middelen voor de gegevensverwerking vaststellen.

Voor wat betreft het doel van de verwerking overweegt het HvJ dat Fashion ID de like-knop heeft ingevoegd om haar in staat te stellen de reclame voor haar producten te optimaliseren door haar zichtbaarheid op Facebook te vergroten. Uit dit commerciële voordeel leidt het HvJ af dat Fashion ID impliciet heeft ingestemd met het verwerken van de gegevens van haar websitebezoekers door Facebook en wordt geconcludeerd dat de verwerkingen worden verricht voor de commerciële doeleinden van zowel Facebook als Fashion ID. Op basis daarvan concludeert het HvJ dat Facebook en Fashion ID samen de (commerciële) doelen van de gegevensverwerking vaststellen.

Aangezien zij dus gezamenlijk de middelen voor verwerking en de doelen van de verwerking vaststellen, zijn zij tezamen verantwoordelijk voor de gegevensverwerking van het verzamelen en doorsturen van de persoonsgegevens. Het HvJ stelt echter wel dat, wanneer de persoonsgegevens eenmaal zijn doorgegeven aan Facebook, Fashion ID het doel en de middelen van de verwerkingen niet meer vaststellen. Zij is dus niet (meer) medeverantwoordelijk voor de verwerkingen die plaatsvinden ná het doorsturen van de gegevens.

 

Commentaar

De conclusie dat websitebeheerders medeverantwoordelijk kunnen zijn voor gegevensverwerkingen door sociale plug-ins heeft serieuze gevolgen. De websitebeheerder moet namelijk in dat geval zijn bezoekers hierover informeren en toestemming vragen voor deze gegevensverwerking of aantonen dat hij een gerechtvaardigd belang heeft voor het verwerken van deze gegevens. Met betrekking tot het gerechtvaardigd belang als verwerkingsgrondslag heeft het HvJ overigens opgemerkt dat hierop, in het geval van gedeelde verantwoordelijkheid, enkel een beroep kan worden gedaan wanneer de verwerking een gerechtvaardigd belang van ieder van de verantwoordelijken behartigt (r.o. 96). Dit betekent dat enkel een beroep op het ‘gerechtvaardigde belang’ kan worden gedaan wanneer alle (mede)verantwoordelijken bij de verwerking een belang hebben dat voldoet aan de strenge vereisten van artikel 7 (f) van de Richtlijn bescherming persoonsgegevens. Indien Facebook dit zelf al zou kunnen, valt het sterk te betwijfelen of ook websitebeheerders een gerechtvaardigd belang kunnen aantonen. Het vragen van toestemming lijkt zodoende een voldongen feit.

De vraag is nu of websitebeheerders massaal besluiten om de Facebook like-knoppen van hun website te halen. In het kader van het beperken van mogelijke privacy risico’s lijkt dit een voor de hand liggende keuze. Een andere optie is het vragen van toestemming. Websitebeheerders kunnen dit doen door deze toestemming toe te voegen aan de lange lijst van dingen waar nu ook al toestemming voor moet worden gevraagd (zoals cookies).

Het is nu aan de Duitse rechter om te  bepalen of er feitelijk gegevensverwerkingen plaatsvinden als gevolg van het plaatsen van like-knoppen en of de websitebeheerder in dit geval daadwerkelijk in staat was de middelen voor en doelen van de verwerking vast te stellen. Op een abstracter niveau is de kernboodschap van het HvJ in ieder geval duidelijk: websitebeheerders weest u bewust van uw verantwoordelijkheden, informeer bezoekers over verwerkingen door sociale plug-ins en zorg ervoor dat u zich kunt beroepen op een geldige verwerkingsgrond. Deze boodschap is begrijpelijk aangezien Facebook via de plug-ins eenvoudig de gegevens van websitebezoekers verzamelt zonder dat zij op de like-knop hebben geklikt, bij Facebook zijn aangemeld of überhaupt lid zijn van Facebook. De verantwoordelijkheid voor dergelijke gegevensverwerkingen, die doorgaans plaatsvinden zonder wetenschap van de websitebezoeker, wordt daarom gedeeltelijk neergelegd bij websitebeheerders. Het advies aan websitebeheerders is dan ook: bezint eer ge begint.