Apple’s privacy policy én de principes van de Europese privacyrichtlijn onder vuur in Duitsland

Een nog recente beslissing van 30 april van de districtsrechter in Berlijn neemt een stevige hap uit de Europese standaard privacy policy van Apple door Apple te verplichten om 15 clausules uit zijn Europese standaard privacy policy te verwijderen of aan te passen op straffe van een dwangsom van ruim 250.000 euro per vastgestelde inbreuk.  De clausules waren volgens de Duitse rechter te vaag en zelfs misleidend voor consumenten.

Het vonnis is niet enkel interessant omwille van de inhoudelijke opmerkingen van de Duitse rechter aangaande de privacy policy van Apple, maar vooral ook door de wijze waarop de Duitse rechter zichzelf bevoegd verklaarde om de Europese privacy policy van Apple onder de loep te nemen.

Privacyrecht in Europa: het principe van het herkomstland van de data controller

We schreven in eerdere blog posts al bij herhaling over de nog steeds aan de gang zijnde pogingen van de Europese Unie om binnen Europa tot een echt ééngemaakte en gemoderniseerde regelgeving te komen rond de bescherming van persoonsgegevens.  Europa werkt met dit doel aan een privacyverordening, die in gans Europa een identiek systeem van privacybescherming moet invoeren.  In afwachting dat die verordening binnen afzienbare tijd het levenslicht ziet, blijft het Europese privacyrecht tot nader order gebaseerd op de Europese data protection richtlijn (95/46/EC), die in elk land omgezet is in nationaal recht, met voor de meeste lidstaten lichte afwijkingen in regelgeving tot gevolg.

Het ganse basisprincipe van de huidige richtlijn is dat een dataverwerkend bedrijf (een “verantwoordelijke voor de verwerking van persoonsgegevens”) enkel onderworpen is aan het recht van het land waarin hij zijn zetel heeft .  Apple, bijvoorbeeld heeft zijn Europese zetels in Ierland en Luxemburg (voor iTunes) en is dus enkel onderworpen aan Iers en Luxemburgs privacyrecht, zelfs voor wat betreft de persoonsgegevens van bijvoorbeeld Duitse onderdanen.

Dit staat ook met zoveel woorden in de privacy policies van Apple zelf:

Personal data from individuals residing in the European Economy Area (EEA) are being processed by Apple Inc. on behalf of Apple Distribution International at Cork, Ireland. Personal data being collected in the EEA while using iTunes are being processes by Apple, Inc. on behalf of iTunes SARL located in Luxembourg.

Waarom werd Apple dan veroordeeld door een Duitse rechtbank?

Om zichzelf toch bevoegd te verklaren moest de Duitse rechter dus een omweg vinden rondom de regels van het Europese privacyrecht en die vond de Duitse rechter met enige creativiteit door te stellen dat de privacy policy van Apple eigenlijk geen privacy policy is, maar een set algemene verkoops- of gebruiksvoorwaarden.  Voor het toetsen van algemene voorwaarden aan het Duitse consumentenrecht is de Duitse rechter wél bevoegd en inzake consumentenbescherming bestaan er onder Duits recht strenge regels van transparantie en evenwichtigheid…

Een privacy policy is, aldus de rechtbank met verwijzing naar artikel 13 (1.1.) van de Duitse Telemediawet, een document waarin de consument geïnformeerd wordt over zijn rechter met betrekking tot de elektronische verwerking van zijn persoonsgegevens.  De privacy policy van Apple echter bevatte een aantal bedingen waarin de rechten van de gebruikers “geregeld werden” en dus ging het volgens de rechter om algemene voorwaarden en niet om een zuivere privacy policy.

De rechtbank onderzocht vervolgens voor elk van de vijftien clausules in welke mate ze misleidend waren door de inhoud ervan te vergelijken met … de Duitse privacywetgeving (die, zoals gezegd, op basis van de Europese privacyrichtlijn niet van toepassing is op Apple!).

Op basis van die regels kwam de rechtbank tot het besluit dat er geen sprake was van een vrije en geïnformeerde toestemming en dat de rechten die Apple voor zichzelf voorziet met betrekking tot het gebruik van de verzamelde data buitenproportioneel groot zijn, zonder dat daarover ten aanzien van de consument volledige en correcte informatie te geven aangaande de aard van de verzamelde data, het doel van de verwerking ervan, de duur van de bewaring, … om dan tot het besluit te komen dat Apple door geen volledige informatie te verschaffen in zijn “algemene voorwaarden” over de verwerking van persoonsgegevens zoals de privacywetgeving dat vereist, een inbreuk had begaan op de Duitse regels van consumentenbescherming.

Een vreemde beslissing…

De rechtbank laat zich hiermee verleiden tot een cirkelredenering, waarbij het vertrekpunt is dat de Duitse privacywetgeving niet van toepassing is, maar waarbij uiteindelijk de privacy policy van Apple toch getoetst wordt aan de regels van die Duitse privacywetgeving.

Op deze manier holt de Duitse rechter echter het basisbeginsel waarop de Europese privacyregels gebouwd zijn ernstig uit.  De bedoeling van de Europese wetgever was net om ervoor te zorgen dat bedrijven geen rekening moeten houden met 28 verschillende wetgevingen en 28 verschillende controlerende overheden, maar enkel moeten voldoen aan de wetgeving die zij het best kennen, met name deze van het land waarin ze hun zetel hebben.

Het spreekt daarbij voor zich dat de Duitse rechter de mogelijkheid moet hebben om het Duitse consumentenrecht toe te passen en er dus onder meer op toe te zien dat bedrijven in hun algemene voorwaarden niet misleidend zijn ten aanzien van consumenten, maar de wijze waarop dit recht gebruikt wordt om via een omweg een bevoegdheid te creëren die de rechter normaal niet heeft, is vanzelfsprekend een brug te ver en men kan slechts hopen dat deze zaak geen voorbeeldfunctie krijgt voor andere rechters in andere lidstaten.

Wat moeten we hieruit onthouden?

Bedrijven die data verwerken van burgers in andere EU lidstaten moeten dus enigszins opletten bij het opstellen van hun privacy policies.  Wanneer die privacy policies meer zijn dan de informatieve documenten die de (Europese) wetgever bedoeld heeft, maar daarentegen ook bepaalde verhoudingen tussen het bedrijf en de consument gaan regelen (bvb klachtenprocedures, contactmogelijkheden of het voorzien van een impliciet akkoord met de voorgenomen verwerking in plaats van de benodigde vrije en expliciete toestemming…), is het theoretisch mogelijk (althans in Duitsland) voor een bedrijf om hiervoor een veroordeling op te lopen op basis van de regels van het consumentenrecht (die bij ons in de Wet Marktpraktijken en Consumentenbescherming zitten).

Als ondernemer loopt u dus ondanks de Europese regels met betrekking tot het land van oorsprong principe toch het risico om in een andere lidstaat veroordeeld te worden omwille van inbreuken op de plaatselijke privacywetgeving…

Hoe beperkt u het risico op dit vlak?

·         U vermeldt om te beginnen best zelf duidelijk welke entiteit verantwoordelijk is voor de verwerking van persoonsgegevens (die verplichting bestaat sowieso) en voegt daar best expliciet aan toe dat dit betekent dat dit betekent dat enkel het recht van de plaats van de zetel van die entiteit van toepassing is,

·         U vermijdt best in alle omstandigheden om uw privacy policy en verkoopsvoorwaarden in één document te integreren,

·         U zorgt er best voor dat uw privacy policy enkel een informerend document is, dat de consument correct en volledig informeert over al zijn rechten, maar verder de verhouding tussen uzelf en de consument niet tracht te regelen.  Contractuele afspraken horen in de algemene voorwaarden thuis.

·         In alle omstandigheden laat u vanzelfsprekend uw privacy policy, cookie policy en algemene voorwaarden best door een professional nakijken.  Bij osn kan u daarvoor terecht bij onze specifiek daartoe opgezette dienst www.websitecertifier.be