Maximilian Schrems zet zijn kruistocht tegen Facebook verwoed verder. Na verscheidene procedures voor de Privacycommissies van Ierland, Luxemburg en Duitsland, werd afgelopen vrijdag immers een collectieve vordering ingesteld bij de Handelsrechtbank in Wenen tegen Facebook Ierland, de Europese satelliet van het wereldbekende sociale mediaplatform. Het juridisch verhaal kent al een eerste tegenslag voor Dhr. Schrems, aangezien de Weense Handelsrechter zich materieel onbevoegd verklaard heeft.
De vordering wordt ingesteld op basis van verschillende beweerde inbreuken op het privacyrecht.
1. Bevoegde rechtbank:
De logische eerste vraag bij het instellen van de vordering is de zoektocht naar de toegang tot het gerecht. De bevoegdheid van rechtbanken wordt zowel persoonlijk, materieel als territoriaal geëvalueerd.
Bij de huidige rechtszaak werd eerst het Handelsgericht in Wenen geadieerd. Deze laatste heeft zich nochtans onbevoegd verklaard omdat de ingeroepen privacyaspecten niet onder de bevoegdheid van de Oostenrijkse handelsrechter vallen. Een nieuwe vordering zou worden ingesteld voor het Landesgericht.
Men kan de vraag stellen naar de territoriale bevoegdheid van de Oostenrijkse rechtbanken. Het Europese privacyrecht behartigt twee voorname principes: een vlot verkeer van goederen – en dus ook gegevens – én de veiligheid van de belangen van de betrokkene wiens persoonsgegevens verwerkt worden. Dat laatste wordt ondersteund door een lage drempel van actiemogelijkheden. Oostenrijks recht biedt de kans voor een betrokkene om lokaal te dagvaarden (Artikel 32 Datenschutzgesetz 2000). Ook in België wordt die kans geboden, waarbij de Rechtbank van Eerste Aanleg bevoegd is voor vorderingen op basis van het niet-respecteren van rechten van de betrokkene en de verwerking van persoonsgegevens in overtreding van de wet (Artikel 14 Privacywet 1992).
2. Vordering tot collectief herstel:
Dhr. Schrems heeft voor zijn vorderingen tegen Facebook een leger van ongeveer 12.000 burgers achter zich staan. Naar eigen zeggen van Dhr. Schrems zou het aantal inmiddels opgelopen zijn tot meer dan 20.000. De vordering houdt een schadevergoeding in van 500 euro per burger die mee intekent op de vordering van Dhr. Schrems. De vraag rijst of de Oostenrijkse rechtbanken deze collectieve vordering zullen toekennen, aangezien het Oostenrijks recht geen zgn. “class action” systeem kent. Wél kunnen belangenverenigingen opkomen voor hun leden, zoals bijvoorbeeld consumentenverenigingen. De huidige vordering werd ingesteld door Dhr. Schrems als eerste verzoekende partij, terwijl alle andere burgers via een soort volmachtsysteem toetreden tot de procedure. Het valt af te wachten of het Weens Landesgericht deze manier van werken zal aanvaarden.
In België wordt al enige tijd gesproken over een “class action” systeem. Dankzij een nieuwe wet van 28 maart 2014 werd een mogelijkheid tot “collectieve schadeafwikkeling” ingevoerd als bijzondere gerechtelijke procedure in het nieuwe Wetboek Economisch Recht. In dit systeem kan een “groepsvertegenwoordiger” als enige procespartij opkomen voor de belangen van een ganse groep gedupeerden. Enkel erkende consumentenverenigingen, maar ook andere verenigingen die aan de wettelijke voorwaarden voldoen, mogen optreden als groepsvertegenwoordiger.
De Belgische wetgeving beoogt enkel consumenten als gedupeerden en voorziet enkel een herstel voor schade die voortvloeit uit een contractuele wanprestatie of een overtreding van een van de limitatief opgesomde rechtsregels, waaronder ook de Privacywet van 8/12/1992.
3. Inbreuken op de Privacywetgeving:
Waar het voor Dhr. Schrems uiteraard allemaal om te doen is, is Facebook tot de orde roepen wegens beweerde niet-conformiteit van diens handelen met het Privacyrecht. De katalysator van dit alles was ongetwijfeld het PRISM-schandaal dat in de loop van 2013 aan het licht kwam dankzij “klokkenluider” Edward Snowden.
Verwerking van persoonsgegevens is slechts toegelaten met toestemming van de betrokkenen conform een vooraf aangeven wijze van verwerking en voor de vooraf aangegeven doelstellingen. Facebook zou niet alleen een gebrekkig beleid hanteren omtrent het bekomen van de nodige toestemmingen van de gebruikers, maar zou op meerdere vlakken deze algemene principes hebben geschonden.
Een belangrijke pijler van de vordering is de deelname van Facebook aan het PRISM-project van de NSA. PRISM was voornamelijk ophefmakend op internationaalrechtelijk vlak – in het kader van spionage. Maar gelet op de aard van het programma zijn er evidente problemen op vlak van privacy. Dhr. Schrems klaagt de wijze aan waarop Facebook zou hebben meegeholpen aan de activiteiten van de NSA. Doorgifte van persoonsgegevens aan derden is toegelaten op voorwaarde dat de betrokkene daartoe de toestemming heeft gegeven of de doorgifte alleszins noodzakelijk is voor het leveren van diensten die door de betrokkene zijn gevraagd. Dit bleek allerminst het geval te zijn. Alleszins moet het veiligheidsniveau voor de betrokkene gewaarborgd blijven.
Daarnaast zou Facebook haar gebruikers op het internet hebben getracked via de “Like”-buttons en zou er aan profiling gedaan zijn met het oog op “Big Data”-toepassingen. Profiling is op zich niet onwettig, zolang alle verwerkte data volledig anoniem zijn en de verantwoordelijke die de profiling uitvoert, zelf niet de koppeling kan maken tussen de gegevens en de subjecten.
Tenslotte roept Dhr. Schrems als argument in: het onrechtmatig invoeren van de “Graph Search”, het doorgeven van data aan derden zonder toestemming en de privacyrichtlijnen die niet wetsconform zouden zijn.
Wat het Weense Landesgericht precies zal zeggen over deze argumenten, valt af te wachten. We rapporteren zeker verder over de ontwikkelingen in deze zaak.