Dit is de tweede blog in een tweedelige serie over Bundeskartellamt - een zeer belangrijke uitspraak tegen Meta die onder de radar van de media vloog.
In een andere blog legden we uit hoe de uitspraak een game-changer zou kunnen zijn voor cookie-gebaseerde analytics. Maar er is veel meer aan de hand. Vandaag kijken we naar wat het Hof van Justitie heeft gezegd over het bedrijfsmodel van Facebook en de bevoegdheden van antitrustautoriteiten.
Spoiler: het is allemaal slecht nieuws voor Big Tech.
- Waar gaat de zaak over en wat staat erin?
- Meta en gerichte reclame - opnieuw!
- De uitvoering van een contract, of waarom de EDPB gelijk had
- Legitiem belang werkt ook niet
- Hoe zit het met toestemming?
- Bundeskartellamt stuurt al golven
- Gegevensbescherming en mededingingsrecht
- Wat betekent dit allemaal voor Meta en Big Tech?
- Conclusie
Waar gaat de zaak over en wat staat erin?
In onze eerste blog hebben we uitgelegd dat de uitspraak betrekking heeft op een zaak tussen Meta en de Duitse mededingingsautoriteit (het Bundeskartellamt). De autoriteit stelde vast dat Meta misbruik maakte van zijn dominante positie op de markt voor sociale netwerken door een privacybeleid op te leggen dat in strijd was met de GDPR.
Het Bundeskartellamt beval Meta om zijn privacybeleid voor Duitse gebruikers aan te passen. Meta vocht de beslissing aan en kreeg een nog slechtere uitspraak van het Hof van Justitie.
In de uitspraak raakte het Hof zeer gevoelige punten voor Meta:
- Meta's tracking tools verzamelen een heleboel gevoelige gegevens (zoals we hebben uitgelegd in onze andere blog over de beslissing)
- toestemming is vrijwel verplicht voor gerichte reclame - en moet voldoen aan vrij hoge normen voor grote platforms zoals Facebook
- mededingingsautoriteiten kunnen GDPR-overtredingen in aanmerking nemen bij de beoordeling van misbruik van een machtspositie.
Meta en gerichte reclame - opnieuw!
In de zaak Bundeskartellamt heeft het Hof van Justitie (HvJEU) de rechtsgrondslagen van Meta voor gerichte reclame onder de loep genomen. De juridische kwesties lijken misschien erg technisch, maar vergis je niet: in de kern gaat deze zaak over de legitimiteit van het bedrijfsmodel van Facebook en, bij uitbreiding, van andere Big Tech "gratis diensten" die je betaalt met je gegevens.
Dit gaat dus niet over de kleine lettertjes in het privacybeleid van Meta. De uitspraak is belangrijk in het grote geheel. Dit is waarom.
Facebook haalt het grootste deel van zijn inkomsten uit gerichte reclame. Deze reclame vereist agressieve profilering van gebruikers op basis van hun gedrag, zowel op als buiten het platform.
Onder de algemene regels van de GDPR heeft deze profilering van gegevens een wettelijke rechtvaardiging ("rechtsgrondslag") nodig, zoals een wettelijke verplichting, de uitvoering van een contract of de toestemming van de gebruiker (wat een van de vele rechtsgrondslagen is en niet altijd nodig is om persoonlijke gegevens te verwerken, zoals we in een oudere blog hebben uitgelegd).
Mensen houden niet van invasieve tracking en profilering, dus Meta wilde gebruikers geen echte en eerlijke keuze geven in deze kwestie. Daarom heeft Meta tot nu toe toestemming vermeden.
Tot april van dit jaar gebruikte Meta de rechtsgrondslag van contractuele noodzaak om gerichte reclame op Facebook en Instagram aan te bieden. Met andere woorden, het bedrijf beweerde dat het aanbieden van gerichte reclame strikt noodzakelijk was om te voldoen aan zijn Servicevoorwaarden met de gebruiker.
Het Europees Comité voor gegevensbescherming (de EU-instelling die alle Europese privacyautoriteiten samenbrengt) was het hier niet mee eens. Meta kreeg een boete van €390M en moest in april in haar nieuwe privacybeleid de rechtsgrondslag veranderen in "legitiem belang".
De uitvoering van een contract, of waarom de EDPB gelijk had
Het HvJEU nam de reclamepraktijken van Meta onder de loep en oordeelde dat deze onnodig waren voor de uitvoering van het contract met de gebruiker. Met andere woorden, het bevestigde dat contractuele noodzaak gerichte reclame niet kan rechtvaardigen.
De EDPB had dit punt al gemaakt, maar de uitspraak is nog steeds belangrijk omdat het HvJEU het laatste woord heeft over de interpretatie van de GDPR (en de EU-wetgeving in het algemeen). De EDPB heeft veel invloed, maar het woord van het HvJEU is in principe belangrijker dan al het andere.
Het Bunderskartellamt zegt dus niets nieuws over contractuele noodzakelijkheid, maar bevestigt "officieel" het standpunt van het EDPB. Nadat het HvJEU hetzelfde standpunt innam, is er simpelweg geen ruimte meer om contractuele noodzakelijkheid te beargumenteren.
Dit heeft niet echt gevolgen voor Meta, omdat zij contractuele noodzakelijkheid al hebben afgeschaft. Maar het is slecht nieuws voor Big Tech omdat andere bedrijven die gebruik maken van een pay-with-your-data business model het heel erg moeilijk zullen krijgen om te beargumenteren dat contractuele noodzaak een geldige rechtsgrondslag is voor reclame.
Dag, contractuele noodzaak. Je zult niet gemist worden.
Legitiem belang werkt ook niet
Maar hoe zit het dan met Meta's nieuwe rechtsgrondslag - legitiem belang? Dat zal toch wel werken?
Nee: de uitspraak van het Bundeskartellamt heeft legitiem belang ook verworpen! Uitleggen waarom zou van deze blog een boek maken, maar laten we zeggen dat hoe ingrijpender je gegevens verwerkt, hoe onwaarschijnlijker het is dat legitiem belang een geldige rechtsgrondslag is. En Meta's profilering is toevallig zo ingrijpend als het maar kan.
In werkelijkheid was het altijd al duidelijk dat legitiem belang in dit scenario geen geldige rechtsgrondslag was. Meta wist dit en veranderde haar privacybeleid alleen om tijd te rekken.
Het Bundeskartellamt zal het voor Meta moeilijker maken om tijd te rekken, omdat het toezichthouders (lees: de Ierse gegevensbeschermingsautoriteit) onder druk zal zetten om Meta te veroordelen wanneer de kwestie van legitiem belang aan de orde komt. En dat zal gebeuren. Noyb, de privacy-ngo die leidde tot de boete van €390 miljoen, is van plan Meta opnieuw aan te klagen over het nieuwe privacybeleid.
Het mag dan ook geen verrassing zijn dat Meta onlangs aankondigde dat het van plan is om toestemming te vragen voor het aanbieden van gerichte reclame!
Hoe zit het met toestemming?
De uitspraak van het Bundeskartellamt kijkt in wezen naar alle plausibele rechtsgronden voor gerichte reclame en ontziet alleen de basis van toestemming.
Maar het HvJEU zei niet alleen: "Ja, toestemming is goed voor dit; we zijn cool." Het Hof benadrukte dat toestemming een echte gebruikerskeuze moet zijn en niet kan worden afgedwongen door een platform - iets wat Meta en andere monopolisten graag doen. In het bijzonder de toestemmingsverzamelingspraktijken van monopolisten moeten zeer, zeer zorgvuldig worden onderzocht om er zeker van te zijn dat de toestemming vrij is en niet wordt afgeperst.
Tussen de regels door lezend, dacht het HvJEU duidelijk vooruit. Het wist dat Meta op een gegeven moment zou overstappen op toestemming en verwachtte dat het bedrijf toestemming zou afpersen door middel van een take-it-or-leave-it voorstel aan zijn gebruikers. Met andere woorden, of je geeft toestemming voor profilering voor reclame, of je mag niet op Facebook zijn - sorry.
Door te benadrukken dat toestemming vrij en niet-buitensporig moet zijn, gaf het HvJEU een duidelijke hint dat het hierna echte en betekenisvolle toestemming wil zien en hetzelfde verwacht van privacy-autoriteiten en andere rechtbanken. Dit is een probleem voor Meta omdat mensen er niet van houden geprofileerd te worden en vaak "nee" zeggen als ze een echte en eerlijke keuze geboden krijgen.
Om eerlijk te zijn, is er enige ruimte om te discussiëren over vrije toestemming. Op papier laat de GDPR wat speelruimte voor het afpersen van toestemming vanwege de (woedend vage) formulering van artikel 7(4). Maar de "preventieve" opmerkingen van het HvJEU over toestemming suggereren dat het Hof waarschijnlijk een harder standpunt zal innemen en niet zal toestaan dat bedrijven toestemming afdwingen door middel van een take-it-or leave-it benadering - met name wanneer het gaat om monopolisten zoals Meta.
Hoe zit het dan met gerichte reclame op sociale platforms? Hoe kan dit worden gerechtvaardigd onder de GDPR?
Contractuele noodzaak is uit beeld, net als legitiem belang. Er zullen zeer hoge eisen worden gesteld aan toestemming, wat zal resulteren in hoge afmeldingspercentages en inkomstenverlies. Hoe zal Big Tech het betalen-met-je-gegevens businessmodel rechtvaardigen? Is dat op dit moment wel mogelijk?
Bundeskartellamt stuurt al golven
De beslissing van het Bundeskartellamt heeft al gevolgen voor gerichte reclame. Een maand na de uitspraak kondigde Meta aan dat het van plan is over te stappen op toestemming als rechtsgrondslag voor gerichte reclame - een verdere bevestiging dat de nieuwe nalevingsstrategie, die is gebaseerd op legitieme belangen, al dood is.
Bovendien verbood de Noorse privacywaakhond (Datatilsynet) twee weken na de uitspraak voorlopig gerichte reclame op Facebook en Instagram.
Het bevel is een spoedbeslissing die de normale bevoegdheidscriteria van de GDPR omzeilt. Om deze reden zal de autoriteit bevestiging van haar beslissing vragen aan de European Data Protection Board - de organisatie waarin alle privacyautoriteiten uit de EU en de EER zijn verenigd. Als de beslissing wordt bevestigd, zou het niet verrassend zijn om te zien dat andere autoriteiten het voorbeeld van Datatylsinet volgen en de reclame van Meta stilleggen totdat Meta de aangekondigde overstap naar toestemming opvolgt.
Gegevensbescherming en mededingingsrecht
Geloof het of niet, maar er zit nog meer achter de uitspraak. Je zou er een boek over kunnen schrijven.
Volgens het Hof kan een antitrustautoriteit rekening houden met een schending van de GDPR bij de beoordeling van misbruik van een machtspositie, zolang er een zekere mate van samenwerking is met de bevoegde privacyautoriteit.
Deze aanwijzing is enigszins vaag. Het kan dus even duren voordat duidelijk is wat dit precies betekent en welke soorten GDPR-inbreuken in aanmerking komen. Misschien kunnen antitrustautoriteiten beginnen met het onderzoeken van GDPR-inbreuken die te maken hebben met oneerlijk privacybeleid en oneerlijke gebruiksvoorwaarden - eigenlijk het soort dingen dat de grenzen tussen privacy- en consumentenbeschermingswetten doet vervagen. Maar dit is echt gebaseerd op mijn gevoel, dus neem het met een korreltje zout.
Het Bundeskartellamt betekent zeker problemen voor Big Tech. Techgiganten hebben vaak een dominante positie op een of meer markten. Google is bijvoorbeeld een monopolist in de zoekmachine- en online advertentiemarkten, en Meta is zo'n beetje een monopolist voor sociale netwerken (TikTok is misschien een mededinger, maar bij nader inzien is dat misschien een iets andere markt).
Big Tech heeft weinig of geen respect voor privacywetgeving. Soms zijn er weinig of geen alternatieven voor hun diensten, dus kunnen ze afschuwelijke voorwaarden opleggen aan de gebruikers en ermee wegkomen omdat de gebruikers nergens anders heen kunnen. Ze houden er ook van om bij elke gelegenheid de antitrustwetgeving te overtreden - zo zijn ze tenslotte monopolisten geworden.
Als privacy en antitrustwetgeving elkaar beginnen te overlappen, hebben ze een probleem - daarom zou het Bundeskartellamt op de lange termijn een spelbreker kunnen zijn en een grote rol kunnen spelen in antitrustzaken.
Wat betekent dit allemaal voor Meta en Big Tech?
Ten eerste is Meta's nieuwe privacybeleid al na 4 maanden dood.
Maar het Bundeskartellamt is veel, veel groter dan Meta. De conclusie is dat Big Tech niet wegkomt met moord onder de GDPR. Dit is de impliciete maar consistente aanname achter alle bevindingen van het Hof - van rechtsgrondslagen voor reclame tot de overlap tussen antitrust- en privacywetgeving. Elk woord van deze uitspraak is slecht nieuws voor Big Tech.
Vanaf nu zal het moeilijker dan ooit zijn om te beargumenteren dat het wijdverspreide pay-with-your-data business model kan voldoen aan de GDPR, tenzij je gebruikers een eerlijke en zinvolle keuze geeft om af te zien van deelname. In dat geval zullen veel gebruikers zich afmelden, met rampzalige gevolgen voor de inkomsten. De uitspraak is dus een grote klap voor het data-als-betalingsmodel dat vaak wordt gebruikt door Big Tech.
Alsof het nog niet genoeg is, kunnen mededingingsautoriteiten GDPR-overtredingen meenemen in hun beoordeling van misbruik van een dominante positie. Dit is slecht nieuws voor Big Tech omdat ze vaak in het vizier zijn van zowel privacy- als mededingingsautoriteiten.
Conclusie
Het is inmiddels gemeengoed dat GDPR-handhaving tekortschiet. Beslissingen nemen duurt vaak lang omdat privacyautoriteiten chronisch ondergefinancierd en overwerkt zijn, en talloze grensoverschrijdende zaken worden vertraagd of ontsporen volledig door inefficiënte samenwerking tussen autoriteiten.
Maar er is een lichtpuntje. We zien misschien niet zoveel beslissingen als nodig is, maar de beslissingen die we zien, zijn vaak heel goed.
Veel toezichthouders begrijpen dat de GDPR geen waslijst is van papierwerk dat een bedrijf moet doen, maar eerder een belangrijke wet die een cruciale rol speelt in de bescherming van het fundamentele recht op privacy. Ze verwachten dat organisaties zich houden aan de geest van de regelgeving en laten zich niet afschepen met technische details. Als je iets verkeerd doet, kun je je waarschijnlijk niet door een advocaat uit de problemen werken.
Het Bundeskartellamt is een uitstekend voorbeeld van goede handhaving. Het bewijst dat het HvJEU de GDPR serieus neemt en suggereert dat de verordening Big Tech in de nabije toekomst misschien eindelijk zijn tanden zal laten zien - wat slecht nieuws is voor Big Tech en goed nieuws voor alle anderen.
In de tussentijd kunnen organisaties de EU ook helpen op weg naar privacy. Veel wijdverspreide en data-hongerige diensten hebben uitstekende, privacy-vriendelijke alternatieven- en Google Analytics zou een uitstekende kandidaat moeten zijn om te dumpen!
We hebben Simple Analytics gebouwd omdat we geloven dat web analytics niet invasief hoeft te zijn! We zijn er trots op dat we onze klanten alle inzichten kunnen bieden die ze nodig hebben om hun bedrijf te laten groeien en hun online aanwezigheid te verbeteren - en dat alles zonder persoonlijke gegevens te verzamelen of gebruikers te volgen. Als dit u aanspreekt, probeer ons dan gerust uit!