De GDPR biedt zes rechtsgronden voor het verwerken van persoonlijke gegevens. In de zaak Meta tegen Bundeskartellamtheeft het HvJEU vandaag over al deze rechtsgronden een uitspraak gedaan - waarmee de interpretatie van de GDPR verder wordt verduidelijkt. Het HvJEU heeft grotendeels de deuren gesloten voor Meta om persoonlijke gegevens te gebruiken buiten wat strikt noodzakelijk is om de kernproducten te leveren (zoals berichten of het delen van inhoud) - alle andere verwerkingen (zoals advertenties en het delen van persoonlijke gegevens) vereisen vrij gegeven en eerlijke toestemming van gebruikers.
- Arrest in Duits en Frans
- Persbericht van het HvJEU
- Eerdere beslissing van de EDPB leidde tot een boete van 320 miljoen euro
- Achtergrond over de "gedwongen toestemming" benadering door Meta
- Achtergrond over de overstap van Meta naar "legitiem belang"
Eerste verklaring. noyb moet de details van deze enorme uitspraak nog bestuderen. Bij het lezen van het vonnis lijkt het erop dat Meta/Facebook niets anders dan toestemming mag gebruiken voor cruciale operaties waarop het bedrijf vertrouwt om winst te maken in Europa.
Max Schrems:"We zijn blij met de beslissing van het HvJEU. Het maakt nog duidelijker dat Meta de GDPR niet zomaar kan omzeilen met enkele paragrafen in haar juridische documenten. Dit betekent dat Meta toestemming moet vragen en zijn machtspositie niet kan gebruiken om mensen te dwingen akkoord te gaan met dingen die ze niet willen. Dit zal ook een positieve invloed hebben op lopende rechtszaken tussen noyb en Meta in Ierland."
Meta wilde GDPR "omzeilen". Artikel 6(1) GDPR staat zes rechtsgrondslagen toe om gegevens te verwerken, één daarvan is toestemming onder artikel 6(1)(a), maar Meta wilde het toestemmingsvereiste omzeilen via de andere vijf rechtsgrondslagen. Het HvJEU heeft deze in principe allemaal behandeld - waarbij artikel 6, lid 1, onder a) tot en met f) in het arrest werden genoemd. Meta probeerde voornamelijk de toestemmingsvereiste voor tracking en online reclame te omzeilen door te argumenteren dat advertenties deel uitmaken van de "dienst" die zij contractueel aan de gebruikers verschuldigd is. De vermeende overstap naar een andere rechtsgrondslag gebeurde precies op 25 mei 2018 om middernacht, toen de GDPR in werking trad. Zogenaamde "contractuele noodzaak" krachtens artikel 6, lid 1, onder b), wordt meestal eng opgevat en zou bijvoorbeeld toestaan dat een online winkel het adres doorstuurt naar een postdienst, omdat dit strikt noodzakelijk is om een bestelling te bezorgen. Meta was echter van mening dat het gewoon willekeurige elementen aan het contract kon toevoegen (zoals gepersonaliseerde reclame), om een ja/nee toestemmingsoptie voor gebruikers te vermijden.
Max Schrems:"In plaats van een 'ja/nee' optie voor gepersonaliseerde advertenties, hebben ze gewoon de toestemmingsclausule in de algemene voorwaarden verplaatst. Dit is niet alleen oneerlijk, maar ook duidelijk illegaal. We kennen geen enkel ander bedrijf dat de GDPR op zo'n arrogante manier probeert te negeren."
De stap van Meta naar "legitiem belang" is ook mislukt. Na de uitspraak van de EDPB, die de "bypass" onder artikel 6(1)(b) verbood, is Meta dit voorjaar overgestapt op artikel 6(1)(f) GDPR. Het HvJEU lijkt ook Meta's hoop de grond in te boren om over te stappen op een zogenaamd "legitiem belang" voor reclame onder Artikel 6(1)(f) GDPR. Hoewel het HvJEU niet heeft uitgesloten dat er een legitiem belang kan bestaan (bijv. voor netwerkbeveiliging), verduidelijkt de uitspraak dat er geen "legitiem belang" is dat zwaarder weegt dan de rechten van de gebruiker wanneer controllers proberen reclame aan te bieden. Dit beperkt in feite elke EU-beheerder in het maken van gepersonaliseerde reclame, behalve als er sprake is van vrijwillige (ja/nee) toestemming.
Max Schrems:"Dit is een enorme klap voor Meta, maar ook voor andere online advertentiebedrijven. Het maakt duidelijk dat verschillende juridische theorieën van de industrie om de GDPR te omzeilen nietig zijn."