Hof van Justitie: prejudiciële vragen over gegevensverwerkingen door Meta
Op 4 juli 2023 heeft het Europees Hof van Justitie een arrest gewezen in de zaak C-252/21 (Meta e.a. tegen Bundeskartellamt). Meta Platforms Ireland (hierna: Meta) exploiteert onder meer het online sociale netwerk Facebook in de Europese Unie. Bij het registreren als Facebook-gebruiker, aanvaard je automatisch de algemene voorwaarden inclusief het gegevens- en cookiebeleid. Meta verzamelt op grond van dit beleid allerlei gegevens over de activiteiten van gebruikers, zowel binnen als buiten het online sociale netwerk. De gegevens die afkomstig zijn van buiten Facebook (off-Facebookgegevens) zijn zowel afkomstig van activiteiten op websites en apps van derden als van bedrijven binnen het Meta-concern zoals Instagram en WhatsApp. Dankzij het verzamelen van deze gegevens biedt Facebook gepersonaliseerde reclame aan gebruikers aan. Het bedrijfsmodel van Facebook is voornamelijk gebaseerd op het (aan)leveren van deze gepersonaliseerde reclames.
De Duitse federale mededingingsautoriteit (de Bundeskartellamt) heeft Meta gelast om haar algemene voorwaarden aan te passen en verduidelijkt dat de huidige werkwijze in strijd met de AVG is. De Bundeskartellamt stelt dat Meta misbruik maakt van haar machtspositie, onder meer omdat Meta het gebruik van Facebook afhankelijk stelt van het accepteren van de algemene voorwaarden. De Bundeskartellamt voert aan dat geen sprake is van toestemming in de zin van artikel 6 lid 1 sub a Algemene verordening gegevensbescherming (AVG) of noodzakelijkheid van de verwerking voor een overeenkomst (art. 6 lid 1 sub b AVG).
Meta gaat tegen dit verbod in beroep bij het Oberlandesgericht Düsseldorf, dat prejudiciële vragen stelt over de bevoegdheid van de Bundeskartellamt en de AVG-conformiteit van het handelen van Meta.
De bevoegdheid van de Bundeskartellamt
De verwijzende rechter vraagt zich het volgende af:
- Kan een nationale mededingingsautoriteit, die dus niet de relevante toezichthouder is voor gegevensbescherming, vaststellen dat een vestiging van een buiten de EU gevestigd bedrijf in een andere lidstaat, de AVG overtreedt en beëindiging van de inbreuk bevelen?
- Indien de leidende gegevensbeschermingsrechtelijke autoriteit al een onderzoek is gestart naar dezelfde gedragingen, hoe is dit dan verenigbaar met het beginsel van loyale samenwerking (artikel 4 lid 3 VEU)?
Het Hof bepaalt dat een mededingingsautoriteit die onderzoek doet naar misbruik van machtspositie, ook kan oordelen of het gedrag van die onderneming in overeenstemming is met andere normen, zoals de AVG. Wel vereist is dat de vaststelling hiervan noodzakelijk is om aan te tonen dat de onderneming misbruik maakt van haar machtspositie. In het kader van het loyaliteitsbeginsel moet de mededingingsautoriteit controleren of er al besluiten of uitspraken zijn van bevoegde toezichthouders of rechters om te voorkomen dat er tegenstrijdige uitleg kan worden gegeven aan bepalingen.
Handelt Meta in lijn met de AVG?
Vervolgens stelt de Duitse rechter vragen over het handelen van Meta, en de verenigbaarheid daarvan met de AVG. Deze vragen zien deels op de verwerking van bijzondere persoonsgegevens (art. 9 AVG) en deels op de grondslag voor de verwerking van alle persoonsgegevens (art. 6 AVG).
Is het bezoeken van een website een kennelijke openbaarmaking van bijzondere persoonsgegevens?
De verwijzende rechter vraagt of, als Meta gegevens verzamelt over een gebruiker die een website bezoekt waaruit bijzondere persoonsgegevens kunnen worden afgeleid, sprake is van de kennelijke openbaarmaking van deze bijzondere persoonsgegevens.
Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over politieke opvattingen, gezondheid of seksuele gerichtheid. De verwerking van zulke gegevens is in beginsel verboden, maar toegestaan als de betrokkene deze gegevens kennelijk openbaar heeft gemaakt (art. 6 lid 2 sub e AVG).
Het Hof overweegt dat informatie over het bezoeken van een website bijzondere persoonsgegevens kan opleveren en dat verzameling van die gegevens door Meta daarom een verwerking van bijzondere persoonsgegevens kan zijn. Het is echter aan de nationale rechter om te oordelen of dit is toegestaan.
Waar wel sprake kan zijn van bijzondere persoonsgegevens, kan het bezoeken van bepaalde websites of apps echter niet worden aangemerkt als een openbaarmaking, ook niet als de gebruiker op zo'n website gegevens invoert. Volgens het Hof kan alleen sprake zijn van een openbaarmaking indien de gebruiker een duidelijke keuze heeft kunnen maken om de gegevens openbaar te maken voor een onbeperkt aantal personen. Door de huidige werkwijze van Meta is daarvan geen sprake.
Grondslag voor de verwerking van persoonsgegevens door Meta
Vervolgens beantwoordt het Hof vragen over drie verschillende grondslagen waar Meta mogelijk zijn verwerkingen op kan baseren: de uitvoering van de overeenkomst, het gerechtvaardigd belang en toestemming. De verwijzende rechter vraagt zich hierbij af of het verzamelen en het koppelen van persoonsgegevens die afkomstig zijn van andere diensten van het concern gerechtvaardigd is omdat het als noodzakelijk kan worden beschouwd voor de uitvoering van een overeenkomst, dan wel voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke. Het Hof benadrukt dat deze rechtvaardigingsgronden restrictief moeten worden uitgelegd.
Noodzakelijk voor de uitvoering van de overeenkomst
Van noodzakelijkheid voor de uitvoering van de overeenkomst is volgens het Hof slechts sprake indien “de verwerking van persoonsgegevens objectief onontbeerlijk is om een doel te bereiken dat een integrerend deel uitmaakt van de aan de betrokkene te leveren contractuele prestatie (onderstreping Stibbe).” Hierbij moet de verwerkingsverantwoordelijke aantonen hoe het doel van de overeenkomst zonder deze verwerking niet kan worden bereikt. De verwijzende rechter moet nagaan of Meta aan deze voorwaarden heeft voldaan, maar het is duidelijk dat het Hof daaraan twijfelt.
Gerechtvaardigd belang
Om te spreken van noodzakelijkheid voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke, moet aan drie cumulatieve vereisten zijn voldaan:
- De behartiging van een gerechtvaardigd belang;
- De noodzaak van de verwerking van persoonsgegevens voor de behartiging van het gerechtvaardigde belang. Deze noodzaak moet worden onderzocht in samenhang met het beginsel van dataminimalisatie.
- De voorwaarde dat de belangen of de grondrechten en de fundamentele vrijheden van de bij de gegevensbescherming betrokken persoon niet zwaarder wegen dan het gerechtvaardigde belang van de verwerkingsverantwoordelijke of van een derde.
Vervolgens toetst het Hof aan de drie stappen. De eerste twee stappen komt Meta door, maar bij de belangenafweging van stap 3 loopt het alsnog spaak. Het Hof oordeelt dat Facebookgebruikers er redelijkerwijs geen rekening mee hoeven te houden dat Meta hun persoonsgegevens gebruikt voor gepersonaliseerde advertenties. Gelet op de (onbeperkte) omvang van de verwerking en de ingrijpende gevolgen daarvan voor de gebruiker – die immers online altijd gevolgd wordt door Meta – kan dan ook geen sprake zijn van een zwaarder wegend belang van Meta. Dat betekent dat Meta dit alleen mag doen als daarvoor toestemming wordt gevraagd.
Het Hof geeft bovendien aan dat, als de betrokkene een kind is, daar bij de belangenafweging bijzondere aandacht aan moet worden besteed. Gelet op de gebruikers van Facebook, moet dit ook in de overweging worden meegenomen.
Toestemming
Vervolgens gaat het Hof in op toestemming als grondslag. Toestemming in de zin van de AVG moet onder meer vrijelijk, specifiek, geïnformeerd en ondubbelzinnig zijn. Het Hof gaat in op de vraag of toestemming in vrijheid kan worden gegeven, als sprake is van een onderneming met een machtspositie op de markt. Ofwel: kan die mededingingsrechtelijke machtspositie ertoe leiden dat er zo'n groot verschil in machtspositie tussen partijen bestaat dat toestemming een onmogelijke grondslag wordt. Het Hof oordeelt dat het weliswaar relevant is dat Meta een machtspositie heeft, maar dat dat niet uitsluit dat geldige toestemming kan worden verkregen.
Vervolgens oordeelt het Hof dat Facebookgebruikers voor de overeenkomst niet-noodzakelijke verwerkingen, zoals het personaliseren van advertenties en de verwerking van off-Facebookgegevens, per verwerking moeten kunnen weigeren. Dit mag niet als gevolg hebben dat gebruikers niet langer Facebook kunnen gebruiken. Tegelijkertijd kan dit wel impliceren dat gebruikers tegen een passende vergoeding, een gelijkwaardig alternatief aangeboden krijgen zonder dergelijke gegevensverwerkingen.
What’s next?
Deze uitspraak brengt voor Meta duidelijk beperkingen met zich. Tegelijkertijd laat het Hof ook ruimte: personalisatie van content is mogelijk op basis van het gerechtvaardigd belang, mits dat voorspelbaar is voor betrokkenen. Dat dat in deze casus niet mogelijk is, lijkt vooral te komen doordat Meta van een potentieel oneindige hoeveelheid off-Facebookgegevens gebruik maakt. In zo'n situatie is toestemming van de betrokkenen noodzakelijk. Gelet op het feit dat het bedrijfsmodel van Meta voor een belangrijk deel bestaat uit het creëren van profielen en het aanbieden van gepersonaliseerde advertenties, is het van groot belang voor Meta om te weten welke grondslag hiervoor kan worden gebruikt.
Het verdienmodel van Meta en andere online social media-bedrijven ligt de laatste tijd in ieder geval duidelijk onder vuur. Ook de Ierse privacytoezichthouder heeft al een boete aan Meta opgelegd voor het onrechtmatig verwerken van persoonsgegevens. Zeer recent is daar nog een boete bijgekomen vanwege het onvoldoende beschermen van de privacy van kinderen.
Bovendien zijn er veel nieuwe wetten binnen de Europese Unie die ook invloed kunnen hebben op het verdienmodel van bedrijven als Meta. Zo verbiedt de Digital Services Act de inzet van gepersonaliseerde advertenties voor kinderen en gepersonaliseerde advertenties op basis van bijzondere categorieën van persoonsgegevens. De Digital Markets Act voegt daaraan bijvoorbeeld toe dat een bedrijf als Meta enkel met uitdrukkelijke toestemming van gebruikers gegevens van Facebook en Instagram mag samenvoegen.
Tegelijkertijd is het de vraag of het vragen van geïnformeerde toestemming voor iedere specifieke verwerking een oplossing gaat zijn. Het is in ieder geval duidelijk dat er van verschillende kanten tegelijk wordt gemorreld aan de dominantie van zeer grote onlinebedrijven.
De auteurs danken juridisch-assistent Sophie Kramer, werkstudent bij de praktijkgroep TMT/IP van Stibbe, voor haar bijdrage aan dit blogbericht