Sites met Facebook Like button overtreden privacywet volgens Europese Hof van Justitie

Websites met een likeknop van Facebook zijn volgens het Europees Hof van Justitie verantwoordelijk voor het doorsturen van persoonsgegevens naar het sociale netwerk.
Het Europese Hof deed een verstrekkende uitspraak in een zaak tegen de Duitse webshop Fashion ID van Peek & Cloppenburg.

Op de site FashionID.de is een likebutton van Facebook geplaatst. Hiermee kunnen gebruikers ervoor kiezen Fashion ID op Facebook te volgen.
Maar de like button zorgt er meteen ook voor dat op de achtergrond aan Facebook wordt doorgegeven welke internetgebruikers op een websitepagina zijn geweest.

Facebook gebruikt de informatie om bijvoorbeeld een profiel samen te stellen waarmee op basis van het surfgedrag van klanten doelgericht advertenties kunnen worden getoond.

Volgens de aanklagers gebeurde dit bij Fashion ID zonder dat gebruikers vooraf om toestemming werden gevraagd.

Volgens het Europees Hof van Justitie is in dit geval zowel Fashion ID als Facebook verantwoordelijk voor de gegevensverzameling.

De Duitse site zou zijn gebruikers daarom ook duidelijk moeten vertellen dat gegevens met het sociale netwerk worden gedeeld.

Het arrest van het Hof wordt gedeeld met het Duitse gerechtshof, dat een oordeel in de zaak zal vellen. De Europese uitspraak kan echter gevolgen hebben voor toekomstige zaken bij Europese rechtbanken.

Consequenties voor meer Europese sites

Het oordeel kan ook consequenties hebben voor andere websites die likeknoppen voor Facebook tonen. De uitspraak kan ertoe leiden dat sites explicieter toestemming moeten vragen voor het tonen van een likeknop, net zoals er nu toestemming nodig is om cookies te plaatsen en persoonsgegevens te verwerken. De knop valt immers onder gegevensverwerking.

Websites zijn volgens het Hof alleen verantwoordelijk voor het doorsturen van persoonsgegevens naar Facebook. Als het sociale netwerk die data eenmaal in handen heeft, dan kan een site niet verantwoordelijk worden gehouden voor wat er vervolgens mee gebeurt.

Sites met Facebook Like button overtreden privacywet volgens Europese Hof van Justitie

Websites met een likeknop van Facebook zijn volgens het Europees Hof van Justitie verantwoordelijk voor het doorsturen van persoonsgegevens naar het sociale netwerk.
Het Europese Hof deed een verstrekkende uitspraak in een zaak tegen de Duitse webshop Fashion ID van Peek & Cloppenburg.

Op de site FashionID.de is een likebutton van Facebook geplaatst. Hiermee kunnen gebruikers ervoor kiezen Fashion ID op Facebook te volgen.
Maar de like button zorgt er meteen ook voor dat op de achtergrond aan Facebook wordt doorgegeven welke internetgebruikers op een websitepagina zijn geweest.

Facebook gebruikt de informatie om bijvoorbeeld een profiel samen te stellen waarmee op basis van het surfgedrag van klanten doelgericht advertenties kunnen worden getoond.

Volgens de aanklagers gebeurde dit bij Fashion ID zonder dat gebruikers vooraf om toestemming werden gevraagd.

Volgens het Europees Hof van Justitie is in dit geval zowel Fashion ID als Facebook verantwoordelijk voor de gegevensverzameling.

De Duitse site zou zijn gebruikers daarom ook duidelijk moeten vertellen dat gegevens met het sociale netwerk worden gedeeld.

Het arrest van het Hof wordt gedeeld met het Duitse gerechtshof, dat een oordeel in de zaak zal vellen. De Europese uitspraak kan echter gevolgen hebben voor toekomstige zaken bij Europese rechtbanken.

Consequenties voor meer Europese sites

Het oordeel kan ook consequenties hebben voor andere websites die likeknoppen voor Facebook tonen. De uitspraak kan ertoe leiden dat sites explicieter toestemming moeten vragen voor het tonen van een likeknop, net zoals er nu toestemming nodig is om cookies te plaatsen en persoonsgegevens te verwerken. De knop valt immers onder gegevensverwerking.

Websites zijn volgens het Hof alleen verantwoordelijk voor het doorsturen van persoonsgegevens naar Facebook. Als het sociale netwerk die data eenmaal in handen heeft, dan kan een site niet verantwoordelijk worden gehouden voor wat er vervolgens mee gebeurt.

Is de Facebook Like Button onder de AVG nog toegestaan? Europese Hof van Justitie buigt zich over die vraag

Op vrijwel elke site zie je ze. Social Media buttons die bezoekers stimuleren om de pagina die ze bezoeken via Facebook, Twitter, LinkedIn, Pinterest of Whatsapp te delen. Als ze dat doen levert het gratis reclame op voor de website.

Wat veel mensen en eigenaars van websites niet beseffen is dat deze knoppen voortdurend op de achtergrond monitoren hoeveel bezoek de site krijgt, wanneer, wat er gelezen wordt en vooral ook door wie. En deze informatie wordt door social media kanalen als Facebook commercieel verwerkt. Jouw online gedrag wordt verkocht.

Zelfs als jij geen account hebt bij Facebook of Twitter weten deze bedrijven op welke sites jij geweest bent.

In Duitsland is er daarom al een paar jaar een discussie gaande over de rechtmatigheid van de like-buttons.

Is het monitoren van bezoekers nog wel toegestaan binnen de privacywetgeving?

De Verbraucherzentrale NRW, een consumentenorganisatie in de Duitse deelstaat Noordrijn Westfalen, spande een paar jaar geleden een rechtszaak aan tegen Fashion ID GmbH & Co, een onderneming van de Peek & Cloppenburg KG groep die ook modezaken in Nederland heeft.

Peek & Cloppenburg moet Facebook Like-button verwijderen

De Verbraucherzentrale NRW vindt dat het modebedrijf de Like-button van Facebook van zijn website moet verwijderen. Met deze button worden gegevens over het surfgedrag van elke gebruiker aan Facebook doorgegeven.

 

Dit is in strijd met (oude) eveneens Europese wetgeving op het gebied van gegevensbescherming en dus concurrentiebeperkend, meent de Verbraucherzentrale NRW.

Europese impact Duitse discussie over Like buttons

Die Duitse discussie heeft mede door de nieuwe Europese privacywet ook Europese impact.

Het Hooggerechtshof van Düsseldorf (OLG) heeft naar aanleiding van de aanklacht tegen Peek & Cloppenburg zes vragen gesteld aan het Hof van Justitie van de Europese Unie (EHvJ) over de toelaatbaarheid van de Facebook Like Button op grond van de wetgeving inzake gegevensbescherming (beslissing van 19.01.2017, ref. I-20 U 40/16).

Verregaande consequenties

Het Europese Hof van Justitie doet naar verwachting voor eind 2018 een uitspraak die verregaande consequenties kan hebben.

Het Europese Hof van Justitie moet nu feitelijk duidelijk maken of website-exploitanten de Facebook-Like-button kunnen integreren op een manier die voldoet aan de Algemene Verordenimg Gegevensbescherming (AVG).

Omdat de vragen in 2017 zijn gesteld zijn ze nog steeds gebaseerd op de oude gegevensbeschermingsrichtlijn 95/46/EG en nog niet op de nieuwe Europese privacywetgeving die sinds 25 mei 2018 van toepassing is.

Het besluit zal echter waarschijnlijk grotendeels van toepassing zijn op de huidige rechtssituatie, omdat het AVG ook overeenkomstige bepalingen bevat over de verhouding tot nationale normen, aansprakelijkheid voor gegevensbescherming en de verplichting om informatie te verstrekken.

Besluit zal van invloed zijn op alle social plugins

Het besluit zal van invloed zijn op alle social plugins. Want de knoppen van Google, Twitter en Pinterest werken volgens een vergelijkbaar principe.

Wanneer je websites met Facebook Like buttons bezoekt, worden bezoekersgegevens (zoals het IP-adres) meteen op de achtergrond automatisch doorgegeven aan Facebook. Er wordt op jouw computer een cookie geplaatst die door Facebook reclamedoeleinden wordt gebruikt. Je krijgt op basis van deze gegevens reclame te zien die precies bij jou past.

En dat gebeurt zelfs als je geen account hebt bij Facebook.

 

Gebruikers hoeven niet eens geregistreerd te zijn bij de social mediatycoon Facebook om gegevens door te geven. In de praktijk kunnen geregistreerde IP-adressen met behulp van de cookies worden herkend en anonieme gebruikersprofielen worden aangemaakt.

Als de gebruikers al zijn ingelogd op deze netwerken, is het altijd mogelijk om precies te traceren welke internetpagina’s door deze gebruikers zijn bezocht. Het resultaat is de facto monitoring van gebruikers in het netwerk.

De arrondisementsrechtbank in Düsseldorf bepaalde op 9 september 2016 al dat de Facebook Like button in strijd is met oude en nieuwe privacywetgeving.

Het IP-adres van de bezoekers van websites wordt zonder uitdrukkelijke toestemming van de gebruiker aan Facebook doorgegeven.

P & C ging vervolgens tegen het arrest in beroep. en de zaak werd doorverwezen naar Hooggerechtshof van Düsseldorf (OLG).

Dit hooggerechtshof heeft de procedure in 2017 opgeschort om vragen voor een prejudiciële beslissing aan het Europese Hof van Justitie voor te leggen.

De vragen die het Hof van Justitie moet beantwoorden

In de eerste plaats moet het Europese hof antwoord geven op de vraag of de Verbraucherzentrale NRW zelfs een procesrecht had.

Als het EHJ deze vraag bevestigend beantwoordt, zal het vervolgens moeten verduidelijken of een bedrijf dat de Facebook-Like button op zijn website opneemt, “verantwoordelijk” is in de zin van Europese gegevensbescherming, hoewel het de overdracht van de gegevens zelf niet kan beïnvloeden. Dit is met name relevant omdat aan de verantwoordelijkheid een aantal gegevensbeschermings- en aansprakelijkheidsrisico’s verbonden is.

Is de beheerder van een website aansprakelijk wegens nalatigheid?

Mocht het Europees Hof van Justitie deze vraag ontkennend beantwoorden, dan is Hooggerechtshof van Düsseldorf van mening dat de beheerder van de webpagina ook aansprakelijk kan worden gesteld bij nalatigheid. Daarom zou het graag van het Europees Hof van Justitie willen weten of dit überhaupt mogelijk is en of de Europese regels inzake gegevensbescherming hier definitief zijn.

Indien een of andere vorm van aansprakelijkheid wordt overwogen, rijst de vraag of de gegevens rechtmatig zijn verwerkt. Hiervoor heeft de verantwoordelijke persoon (Facebook en/of de beheerder van de website) een verantwoording op grond van de privacywet.

Wie is er verantwoordelijk? Facebook of websitebeheerder?

Het Hooggerechtshof zou in dit verband graag willen weten wie verantwoordelijk is voor rechtvaardiging van doorgifte op grond van de gegevensbeschermingswetgeving: de website-exploitant of op Facebook? Wiens “rechtmatig belang” bij de doorgifte van gegevens relevant zou zijn? Wie zou toestemming van de gebruiker moeten krijgen?

Tot slot zou een andere controversiële kwestie kunnen worden opgelost: Moet de website-exploitant zijn gebruikers informeren over de datatransmissie, hoewel hij niet weet wat Facebook met de verzonden gegevens doet?

Vanwege de onzekere juridische situatie is het volgens Duitse juristen op dit moment niet aan te raden om de Facebook Like knop direct op te nemen. Het advies van de Duitse advocaten is gelet op de Europese regelgeving ook van belang in Nederland.

Beheerder van Facebook fanpagina volgens Europese Hof van Justitie verantwoordelijk voor persoonsgegevens

Het Europese Hof van Justitie heeft bepaald dat beheerders van fanpagina’s op Facebook net zo verantwoordelijk zijn voor de verwerking en bescherming van persoonsgegevens als Facebook zelf.

Het hof deed dinsdag uitspraak in een zaak die was aangespannen door de Duitse Wirtschaftsakademie Schleswig-Holstein tegen een privébedrijf dat onderwijsdiensten aanbiedt via onder meer een fanpagina op Facebook.

Volgens het hof kan een beheerder zich niet verschuilen door te zeggen dat hij gebruikmaakt van de diensten van Facebook.

De Duitse toezichthouder had het bedrijf in 2011 bevolen de pagina te deactiveren. Zowel het bedrijf als Facebook hadden niet aan de bezoekers gemeld dat Facebook met cookies persoonlijke informatie over hen verzamelde en dat de paginabeheerder deze informatie vervolgens verwerkte.

Het ging onder meer om geanonimiseerde data over de doelgroep van het bedrijf, zoals leeftijd, geslacht, burgerlijke staat en beroep, informatie over online aankopen van de bezoekers en geografische gegevens. Met die informatie kan de beheerder van de fanpagina bijvoorbeeld gerichter zijn diensten aanprijzen.

De toezichthouder in het land van de beheerder van de fanpagina mag volgens het hof ingrijpen als de beheerder de EU-regels voor databescherming schendt.

Beheerders die deze verantwoordelijkheid niet willen, kunnen volgens het hof kiezen om de zogenoemde Insights-functies van Facebook niet te gebruiken.

Met Insights-functies krijgen paginabeheerders inzicht in het gedrag van hun bezoekers. Die gegevens worden ook op de apparaten van de beheerder opgeslagen.

Mede daarom is ook de beheerder verantwoordelijk voor de bescherming en verwerking van die data.

Gedeelde verantwoordelijkheid

 

Het hof zegt dat buiten kijf staat dat Facebook verantwoordelijk is voor de verwerking van de gegevens.

Maar dat neemt volgens de Europese rechters niet weg dat ook een beheerder verplicht is de EU-regels voor de bescherming van persoonsgegevens te volgen.

Facebook ligt al maanden onder vuur wegens het slordig en commercieel omspringen met persoonsgegevens. Met deze uitspraak wordt de verantwoordelijkheid voor de privacy ook deels bij beheerders van Facebook-pagina’s gelegd.