Arrest C-210/16 d.d. 5 juni 2018, Wirtschaftsakademie – Het 'Facebookarrest' dat als geroepen komt

Het Hof van Justitie van de Europese Unie heeft zijn arrest uitgevaardigd in een zaak van de Wirtschaftsakademie van de Duitse deelstaat Schleswig-Holstein tegen de regionale gegevensbeschermingsautoriteit ULD, in aanwezigheid van … Facebook Ireland Ltd.

Ten eerste moeten we preciseren dat het vanzelfsprekend niet gaat om het eerste arrest met betrekking tot de fameuze AVG. Het gaat hier nog om een interpretatie van de richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens – de voorloper van de AVG!

Het hoofdgeding met de ULD versus de Wirtschaftsakademie, een onderwijsvennootschap naar privaatrecht, betrof de wettelijkheid van een uitdrukkelijk bevel van de autoriteit aan de academie om haar pagina op de sociaalnetwerksite Facebook te deactiveren.

Volgens de autoriteit brachten noch de Wirtschaftsakademie, noch Facebook de bezoekers van de pagina ervan op de hoogte dat Facebook met behulp van cookies hun persoonsgegevens verzamelde, en dat die gegevens via de app Facebook Insight zodanig werden verwerkt dat de beheerders van de pagina ook statistische informatie verkregen over de bezoekers.

Na afloop van de nationale rechtszaak legde de federale administratieve rechtbank zes prejudiciële vragen voor aan het Hof. Deze laatste groepeerde de vragen, om er uiteindelijk drie bijzonder instructieve lessen uit te trekken.

Ten eerste blijkt dat de notie 'verwerkingsverantwoordelijke' – waaraan niets is gewijzigd tussen de oude richtlijn en de nieuwe verordening – zo moet worden geïnterpreteerd dat ze ook de beheerder – in dit geval de Wirtschaftsakademie – van een fanpagina op een sociaalnetwerksite als Facebook omvat. Moeten we daaruit afleiden dat hun gezamenlijke verantwoordelijkheden gelijkwaardig zijn? Dat is alleszins niet de benadering die de advocaat-generaal (cf. punten 75 en 76 van zijn conclusies) of het Hof (cf. punt 43 van het arrest) ondersteunt: het verantwoordelijkheidsniveau van iedere partij moet immers telkens opnieuw worden geëvalueerd, rekening houdend met alle specifieke omstandigheden.

Ten tweede heeft de controleautoriteit van een lidstaat – los van de taakverdeling binnen eenzelfde commerciële groep als Facebook – het recht om haar interventiebevoegdheden uit te oefenen en met name de verwerking van gegevens te verbieden, zelfs indien de nationale vestiging van die groep niet verantwoordelijk is voor het gegevensverwerkingsbeleid van de hele groep.

Ten derde concludeert het Hof hieruit dat de controleautoriteit van de betrokken lidstaat haar interventiebevoegdheden kan uitoefenen zonder tussenkomst van de controleautoriteit van de lidstaat waarin de hoofdzetel van de commerciële entiteit gevestigd is – Ierland in het geval van Facebook.

Wat moeten we onthouden uit dit arrest? Het lijkt erop dat het Hof vooral uitwassen wil vermijden. Zoals de advocaat-generaal onderstreept, is het in de eerste plaats belangrijk te vermijden dat een onderneming een contract kan afsluiten met een derde partij “om zich te onttrekken aan haar verplichtingen op het gebied van de bescherming van persoonsgegevens”. En dat elke controleautoriteit kan ingrijpen zodra het uit de hand loopt. Nu moeten die alleen nog de nodige middelen krijgen om hun functie naar behoren uit te oefenen ...