HvJEU verklaart GDPR-aanpak van Meta/Facebook grotendeels onwettig

HvJEU verklaart Meta's GDPR-aanpak onwettig.
HvJEU sluit zich aan bij standpunt noyb en EDPB over Meta's "GDPR bypass"

De GDPR staat zes rechtsgrondslagen toe om persoonsgegevens te verwerken. Het HvJEU heeft vandaag over al deze rechtsgrondslagen een uitspraak gedaan en de interpretatie van de GDPR verder verduidelijkt. Het HvJEU heeft grotendeels de deuren gesloten voor Meta om persoonlijke gegevens te gebruiken buiten wat strikt noodzakelijk is om de kernproducten te leveren (zoals messaging of het delen van content) - alle andere verwerkingen (zoals advertenties en het delen van persoonlijke gegevens) vereisen vrij gegeven en eerlijke toestemming van gebruikers.

Deze eerste verklaring is gebaseerd op de livestream van de uitspraak en het persbericht van het HvJEU en zal worden bijgewerkt zodra de volledige tekst van de uitspraak beschikbaar is.

• Arrest in het Duits en Frans
• Persbericht van het HvJEU
• Eerdere uitspraak van de EDPB die leidde tot een boete van € 320 miljoen
• Achtergrond over de "gedwongen toestemming"-aanpak van Meta
• Achtergrond over Meta's overstap naar "legitiem belang"

Eerste verklaring. noyb moet de details van deze enorme uitspraak nog bestuderen. Bij het lezen van het vonnis lijkt het erop dat Meta/Facebook niets anders dan toestemming mag gebruiken voor cruciale operaties waarop het bedrijf vertrouwt om winst te maken in Europa.

Max Schrems:"We zijn blij met de beslissing van het HvJEU. Het maakt nog duidelijker dat Meta de GDPR niet zomaar kan omzeilen met enkele paragrafen in haar juridische documenten. Dit betekent dat Meta toestemming moet vragen en zijn machtspositie niet kan gebruiken om mensen te dwingen akkoord te gaan met dingen die ze niet willen. Dit zal ook een positieve invloed hebben op lopende rechtszaken tussen noyb en Meta in Ierland."

Meta wilde GDPR "omzeilen". Artikel 6(1) GDPR staat zes rechtsgrondslagen toe om gegevens te verwerken, één daarvan is toestemming onder artikel 6(1)(a), maar Meta wilde het toestemmingsvereiste omzeilen via de andere vijf rechtsgrondslagen. Het HvJEU heeft deze in principe allemaal behandeld - waarbij artikel 6, lid 1, onder a) tot en met f) in het arrest werden genoemd. Meta probeerde voornamelijk de toestemmingsvereiste voor tracking en online reclame te omzeilen door te argumenteren dat advertenties deel uitmaken van de "dienst" die zij contractueel aan de gebruikers verschuldigd is. De vermeende overstap naar een andere rechtsgrondslag gebeurde precies op 25 mei 2018 om middernacht, toen de GDPR in werking trad. Zogenaamde "contractuele noodzaak" krachtens artikel 6, lid 1, onder b), wordt meestal eng opgevat en zou bijvoorbeeld toestaan dat een online winkel het adres doorstuurt naar een postdienst, omdat dit strikt noodzakelijk is om een bestelling te bezorgen. Meta was echter van mening dat het gewoon willekeurige elementen aan het contract kon toevoegen (zoals gepersonaliseerde reclame), om een ja/nee toestemmingsoptie voor gebruikers te vermijden.

Max Schrems:"In plaats van een 'ja/nee' optie voor gepersonaliseerde advertenties, hebben ze gewoon de toestemmingsclausule in de algemene voorwaarden verplaatst. Dit is niet alleen oneerlijk, maar ook duidelijk illegaal. We kennen geen enkel ander bedrijf dat de GDPR op zo'n arrogante manier probeert te negeren."

De stap van Meta naar "legitiem belang" is ook mislukt. Na de uitspraak van de EDPB, die de "bypass" onder artikel 6(1)(b) verbood, is Meta dit voorjaar overgestapt op artikel 6(1)(f) GDPR. Het HvJEU lijkt ook Meta's hoop de grond in te boren om over te stappen op een zogenaamd "legitiem belang" voor reclame onder Artikel 6(1)(f) GDPR. Hoewel het HvJEU niet heeft uitgesloten dat er een legitiem belang kan bestaan (bijv. voor netwerkbeveiliging), verduidelijkt de uitspraak dat er geen "legitiem belang" is dat zwaarder weegt dan de rechten van de gebruiker wanneer controllers proberen reclame aan te bieden. Dit beperkt in feite elke EU-beheerder in het aanbieden van advertenties anders dan op basis van een vrijwillig gegeven (ja/nee) toestemming.

Max Schrems:"Dit is een enorme klap voor Meta, maar ook voor andere online advertentiebedrijven. Het maakt duidelijk dat verschillende juridische theorieën van de industrie om de GDPR te omzeilen nietig zijn."