Aansprakelijkheid van service providers

Transcriptie

1 Aansprakelijkheid van service providers Door Rogier van den Heuvel 12 Januari 2011

2 Inhoudsopgave 1 Inleiding Het aansprakelijkheidsrecht omtrent service providers in Nederland De positie van service providers Artikel 6:196c BW Richtlijn Elektronische Handel Uitsluiting van aansprakelijkheid Hosting Google Italy Richtlijn 95/46/EG betreffende de bescherming van data Algemene voorwaarden Een blik over de grenzen Duitsland Engeland Zweden Verenigde Staten van Amerika Internationaal Privaatrecht Aanbeveling Symantic Web Verantwoordelijkheid service providers Harmonisatie Conclusie Literatuurlijst

3 1 Inleiding Het internet bestaat al sinds de jaren zestig en is sinds begin jaren negentig voor een groter publiek opengesteld. Sindsdien is er veel veranderd, het World Wide Web is zich in de loop der jaren gaan ontwikkelen tot het internet zoals wij dat nu kennen: Web 2.0. Het kenmerkende van web 2.0 is dan iedereen informatie kan toevoegen aan het internet. Een direct voorbeeld hiervan zijn de sociale netwerksites, zoals Facebook en Hyves. Toch gaat het veel verder dan netwerksites, websites zoals Youtube vallen hier bijvoorbeeld ook onder. Het komt er eigenlijk op neer dat de gebruikers zelf de inhoud van het internet bepalen. Het internet is continu aan ontwikkeling onderhevig. De evolutie staat niet stil en zodoende wordt er steeds verder toegewerkt naar het Web 3.0, het zogenaamde Semantic Web. Hierbij wordt de informatie niet slechts doorgegeven, maar ontstaat er een netwerk, waarbij de toepassingen de betekenis van bepaalde informatiestromen begrijpen en hier een selectie in maken. 1 Deze evolutie van het internet brengt ook met zich mee dat er in juridisch opzicht moet worden geanticipeerd. Het internet kan door iedereen worden gebruikt of misbruikt. Er zijn verschillende spelers op het internet die zich onderscheiden. Een voorbeeld, waarbij de verschillende rol van deze spelers naar voren komt is, wanneer een deelnemer van de netwerksite Facebook een prikbordbericht stuurt dat in strijd is met wettelijke voorschriften, wie dient er dan aansprakelijk te worden gesteld? Is dit Facebook, omdat zij er in voorzien dat deze informatie online staat, of is dit de deelnemer, omdat hij de informatie online heeft gezet? In deze paper zal het aansprakelijkheidsrecht met betrekking tot de service providers worden behandeld. Service providers zijn providers die het mogelijk maken dat informatie online staat, maar zij zijn niet degene die de informatie online zetten. Op de exacte definitie zal nader worden ingegaan. De leidende onderzoeksvraag in deze paper luidt: Hoe is de aansprakelijkheid omtrent service providers in Nederland geregeld en op welke punten zou dit kunnen worden verbeterd. Bij beantwoording van deze onderzoeksvraag zal onder andere gekeken worden naar de activiteiten van de service providers waarvoor zij aansprakelijk kunnen worden gesteld. De nadruk ligt in dit geval op hosting, omdat hierbij de informatie direct door de service provider beschikbaar wordt 1 Antoniou & Van Harmelen

4 gesteld. De schending van privacy komt kort aan bod, omdat dit een veel voorkomend geval is, waarbij sprake is van onrechtmatige content via service providers. Web 2.0 toepassingen maken het bovendien eenvoudig om grondrechten, zoals privacy in artikel 8 EVRM te schenden. Wanneer dient een service aansprakelijk te worden gesteld voor de onrechtmatige content en wanneer dient de service provider rekening te houden met de onrechtmatigheid van deze content? De Europese regelgeving is bij beantwoording van deze onderzoeksvraag erg van belang, omdat Nederland zich als lidstaat volgens Europees recht dient te houden aan de richtlijnen en verdragen, opgesteld door de Europese Unie. Er zal bovendien worden gekeken naar het aansprakelijkheidsrecht van andere landen, zodat er op die manier misschien punten naar voren komen die in Nederland voor verbetering vatbaar zijn. Tot slot zal er in deze paper een aanbeveling worden gegeven op welke manier de aansprakelijkheid van service providers het beste kan worden geregeld, met dien verstande dat er ook wordt geanticipeerd op ontwikkelingen die zich in de toekomst zullen voordoen. 2 Het aansprakelijkheidsrecht omtrent service providers in Nederland 2.1 De positie van service providers Access Providers en Hosting Providers zijn twee soorten Internet Service Providers. Waar de eerste slechts toegang verleent tot het internet, verleent de tweede onderdak aan websites. Deze websites bieden vaak toegang tot een content, dit kan zowel doordat die content op de site of server staat opgeslagen, of doordat de website doorverwijst naar een content die elders staat opgeslagen. 2 Artikel 14 van de Richtlijn Elektronische Handel en artikel 6:196c lid 4 BW, hetgeen de Nederlandse implementatie is van het genoemde artikel van de Richtlijn, bepalen dat een service provider slechts in beperkte mate aansprakelijk is voor de informatie die door een websitehouder online is gezet. Hier zal later dieper op worden ingegaan. Tegenover de service providers staan de content providers, of wel de active hosting providers. Deze providers hebben wettelijk gezien een hogere zorgplicht dan de service providers. Een content provider heeft continu inzicht en invloed op de informatiestroom die op de website plaatsvindt. Dit leidt ertoe dat er van een content provider wordt verwacht dat zij kennis heeft van de al dan niet 2 Van der Net 2000, p

5 illegale contents die via haar website worden verspreid. 3 Een content provider kan dan ook in vergelijking met een service provider sneller aansprakelijk worden gesteld. 4 De positie van service providers is de laatste tijd steeds aan verandering onderhevig. Mondiaal zijn zowel de rechterlijke- als de wetgevende macht aan het aftasten waar de grenzen van toelaatbaarheid liggen. Een geval waarin dit duidelijk naar voren kwam was de zaak tegen The Pirate Bay in Zweden. De Zweedse rechter veroordeelde de vier oprichters van The Pirate Bay, een van de grootste Bit Torrent tracker, voor het schenden van het auteursrecht, door het aanbieden van een file-sharing service, oftewel zij hielpen gebruikers bij het vinden en downloaden van duizenden liedjes, films, videogames en ander materiaal. Let wel, The Pirate Bay heeft nooit direct de contents gehost op hun servers. 5 Het was een unieke zaak, want het was voor het eerst dat een Bit Torrent tracker werd veroordeeld. 2.2 Artikel 6:196c BW Richtlijn Elektronische Handel Vele richtlijnen liggen aan de oorsprong van de Nederlandse wetgeving omtrent de aansprakelijkheid van service providers. Richtlijn Elektronische Handel is hier voorgaand reeds aangehaald. 6 Ook de Richtlijn betreffende bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens speelt een belangrijke rol in het aansprakelijkheidsrecht omtrent service providers. 7 Zo zijn er meerdere richtlijnen die van belang zijn voor het aansprakelijkheidsrecht dat in deze paper wordt behandeld. De Richtlijn 2000/31/EG dient een juridisch kader te scheppen, teneinde het vrije verkeer van diensten van de informatiemaatschappij tussen de lidstaten te waarboren. Het optreden op communautair niveau is in dit geval noodzakelijk om een hoog beschermingsniveau te garanderen. De Richtlijn geeft beperking van aansprakelijkheid voor verschillende gevallen, waarbij dienstverleners als tussenpersoon optreden. 8 Artikel 14 lid 1 van de Richtlijn Elektronische Handel, welke geldt voor hosting, luidt als volgt: 3 Hoeren 2009, p Stobbs 2003, p. 18 e.v. 5 Pfanner Richtlijn 2000/31/EG. 7 Richtlijn 95/46/EG. 8 Richtlijn 2000/31/EG, overwegingen Europees Parlement en de Raad van de Europese Unie. 5

6 1. De lidstaten zorgen ervoor dat, wanneer een dienst van de informatiemaatschappij bestaat in de opslag van de door een afnemer van de dienst verstrekte informatie, de dienstverlener niet aansprakelijk is voor de op verzoek van de afnemer van de dienst opgeslagen informatie, op voorwaarde dat: a. De dienstverlener niet daadwerkelijk kennis heeft van de onwettige activiteit of informatie en, wanneer het een schadevergoedingsvordering betreft, geen kennis heeft van feiten of omstandigheden waaruit het onwettige karakter van de activiteiten of informatie duidelijk blijkt, of b. De dienstverlener, zodra hij van het bovenbedoelde daadwerkelijk kennis heeft of besef krijgt, prompt handelt om de informatie te verwijderen of de toegang daartoe onmogelijk te maken. De aansprakelijkheidsstelling van een service provider vindt haar grondslag in de wetenschap van de onwettigheid van de content. Mocht een service provider op de hoogte zijn van deze onwettigheid, dan kan hij zich verschonen door de content te verwijderen, of de toegang daartoe onmogelijk te maken. Artikel 14 van de Richtlijn is in de Nederlandse wet geïmplementeerd in artikel 6:196c BW. 9 Op 30 juni 2004 is het artikel in werking getreden en het bevat onder andere de implementatie van de artikelen 12, 13 en 14 van Richtlijn 2000/31/EG. De wetgever heeft ervoor gekozen om de implementatie zo veel mogelijk technologie-neutraal te formuleren, om zo te anticiperen op de ontwikkelingen binnen de informatiemaatschappij. 10 De artikelen 12 en 13 van de Richtlijn, welke mere conduit en caching behandelen, zijn geïmplementeerd in de artikelen 6:196c lid 1, 2 en 3 BW. Mere conduit en caching zullen in de subhoofdstukken en worden behandeld, maar niet zo uitgebreid als hosting, gezien het feit dat hosting de meest actieve vorm is van de dienstverlening door service providers. Het is bovendien de enige vorm waarbij de informatie direct door de service provider beschikbaar wordt gesteld. In artikel 6:196c BW wordt er gerefereerd aan het artikel 3:15d lid 3 BW. Lid 1 van dit artikel geeft de definitie een informatiemaatschappij. Hieronder wordt verstaan degene die gegevens gemakkelijk, rechtstreeks en permanent toegankelijk maakt voor degene die gebruik maken van deze dienst, in het bijzonder om informatie te verkrijgen of toegankelijk te maken. Wat er precies onder gegevens wordt verstaan, wordt vervolgens weergegeven in sub a tot en met f van artikel 3:15d lid 1 BW. Het derde lid geeft weer wat er onder de dienst van een informatiemaatschappij wordt verstaan. Het moet gaan om een dienst die gewoonlijk tegen vergoeding, langs elektronische weg ( ) wordt verricht( ). 9 Lankhorst 2009, p. 819 ev. 10 Kamerstukken II 2001/ , nr. 3, p. 7. 6

7 2.2.2 Uitsluiting van aansprakelijkheid Artikel 6:196c BW bevat voor verschillende gevallen een inperking van de aansprakelijkheid van degene die diensten levert, zoals bedoeld in artikel 3:15d lid 3 BW. Er zijn drie uitzonderingsgronden mogelijk, welke de aansprakelijkheid voor schade die het gevolg is van het onrechtmatige karakter van informatie die afkomstig is van derden wegneemt. Wetgever heeft hier onder andere hyperlinks en interactieve doorverwijzingen mee bedoeld. 11 Indien er geen gebruik kan worden gemaakt van de drie uitzonderingen, dan moet de aansprakelijkheid worden beoordeeld aan de hand van onrechtmatige daad, middels het zorgvuldigheidscriterium. 12 De mate waarin de dienstverleners in de informatiemaatschappij zich dienen te houden aan bepaalde zorgvuldigheidsnormen, dient doormiddel van het nationale recht te worden bepaald. De richtlijn laat dus ruimte over aan de lidstaat om nadere invulling te geven aan de zorgvuldigheidsnormen. 13 Artikel 6:196c BW beschrijft dus de voorwaarden waaronder een dienstverlener kan worden gevrijwaard van aansprakelijkheid. De omstandigheden wanneer hij wel aansprakelijk is worden echter niet bepaald. In geval er niet wordt voldaan aan de voorwaarden die gelden om in aanmerking te komen voor een uitzonderingsgrond, zal middels artikel 6:162 BW de aansprakelijkheid worden vastgesteld. Het vijfde lid van artikel 6:196c BW bepaald overigens dat uitsluiting van aansprakelijkheid het verkrijgen van een rechterlijk verbod of bevel niet in de weg staat. Een rechterlijk bevel kan bijvoorbeeld het bevel bevatten om een website van de server van de provider te verwijderen. De twee van de drie vormen van dienstverlening die van aansprakelijkheid gevrijwaard zijn, komen in de volgende subhoofdstukken aan de orde. De derde vorm, zal daarna apart worden behandeld Mere conduit (leden 1 en 2) Mere conduit, zoals bedoeld in de eerste twee leden van artikel 6:196c BW. Onder mere conduit wordt verstaan, het verschaffen van toegang tot een communicatienetwerk en het enkele doorgeven van onrechtmatige informatie afkomstig van een ander. Hieronder valt ook de geautomatiseerde tussentijdse en tijdelijke opslag van doorgegeven informatie, mits deze opslag niet langer duurt dan redelijkerwijs noodzakelijk, bijvoorbeeld ten behoeve van een doorstroom van informatie. De vrijwaring geldt in dit geval alleen als de service provider passief is Kamerstukken II 2001/ , nr. 3, p Kamerstukken II 2001/ , nr. 3, p Kamerstukken II 2001/ , nr. 3, p Hof Amsterdam 15 juni 2006, LJN AX

8 Artikel 12 van de richtlijn ligt ten grondslag aan de eerste twee leden van artikel 6:196c BW. De vrijstelling die in het eerste lid wordt gegeven is rechtvaardig, omdat de dienstverlener in geval van mere conduit slechts een technisch, automatisch en passief karakter heeft. 15 De vrijwaring van aansprakelijkheid geldt in dit geval ten opzichte van degene die als gevolg van de onrechtmatige informatie schade heeft geleden. 16 Er zijn echter wel drie cumulatieve voorwaarden, weergegeven in de onderdelen a, b en c van lid 1, waaraan moet worden voldaan om onder de noemer mere conduit te vallen. Zo mag de dienstverlener geen initiatief hebben genomen tot de doorgifte. Hij mag de ontvanger van de informatie niet hebben geselecteerd. Tot slot mag hij de doorgegeven informatie niet hebben geselecteerd of gewijzigd, zuiver technische handelingen daargelaten. Mocht de dienstverlener aan één van de voorwaarden niet hebben voldaan, dan duidt dit op een bemoeienis met de inhoud van de doorgegeven informatie. 17 In dat geval kan hij geen aanspraak maken op de vrijstelling. Het tweede lid van artikel 6:196c BW breidt de definitie van mere conduit, zoals deze wordt gegeven in het eerste lid, uit tot het automatisch, tussentijds en tijdelijk opslaan van informatie, indien dit niet langer duurt dan redelijkerwijs noodzakelijk Caching Caching is het in lid 3 bedoelde tussentijds en tijdelijke opslaan van informatie, om zodoende het doorgeven van die informatie aan anderen op hun verzoek doeltreffender te maken. Het verschilt van mere conduit in zoverre dat de tijdelijke opslag niet bedoeld is voor het transport van de informatie, maar voor het mogelijk maken van een snelle doorgifte in het geval een klant van de dienstverlener om deze informatie vraagt. 18 De overeenkomst met mere conduit is dat het ook een passieve rol is van de dienstverlener. De rol van de dienstverlener is slecht die van technisch doorgeefluik, waardoor kan worden geïmpliceerd dat de dienstverlener kennis noch controle heeft over de informatie die wordt doorgegeven of tijdelijk wordt opgeslagen. Ook in dit geval is een voorwaarde van aansprakelijkheid dat de houder van de website daadwerkelijk schade heeft geleden. Om uitgesloten te worden van aansprakelijkheid voor het doorgeven van gecachte informatie, dient de dienstverlener te voldoen aan de vijf cumulatieve voorwaarden dat hij de informatie niet heeft gewijzigd (1), hij de toegangsvoorwaarden voor de informatie in acht heeft genomen (2) en hij de in bedrijfstak geldende of gebruikelijke regels met betrekking tot de bijwerking van de informatie heeft nageleefd (3). 19 Daarnaast dient hij de in de 15 Kamerstukken II 2001/02, , nr. 3, p. 26 en Kamerstukken II 2001/02, , nr. 3, p Lankhorst 2009, p. 819 ev. 18 Kamerstukken II 2001/02, , nr. 3, p Kamerstukken II 2001/02, , nr. 3, p. 48 en R.E. van Esch 2007, p

9 bedrijfstak geldende of gebruikelijke technologie voor het verkrijgen van gegevens over het gebruik van de informatie niet te hebben gewijzigd (4). Zodra hij wist dat de website was verwijderd van de server, de toegang tot de website onmogelijk was gemaakt, of dat de bevoegde autoriteit daartoe een bevel heeft uitgevaardigd, diende hij de nodige maatregelen te nemen om de informatie uit zijn cachegeheugen te verwijderen, of de toegang daartoe onmogelijk te maken (5) Hosting Hosting wordt genoemd in het vierde lid van artikel 6:196c BW. Het is de meest actieve vorm van de dienstverlener. De service provider stelt in dit geval aan een ander geheugenruimte beschikbaar om bepaalde informatie op te slaan en het daarmee toegankelijk te maken voor derden. 21 Artikel 14 van de Richtlijn Elektronische Handel was al te zien in subhoofdstuk Dit artikel ligt ten grondslag aan het vierde lid van artikel 6:196c BW. De service provider kan, indien de informatie onrechtmatig is, niet aansprakelijk worden gesteld indien hij niet wist dat de activiteit of de informatie onrechtmatig was, of wanneer hij redelijkerwijs niet behoorde te weten van de onrechtmatigheid van de activiteit of informatie. Zodra de service provider wel wist of behoorde te weten dat de activiteit of de informatie onrechtmatig was, diende hij deze informatie te wijzigen of de toegang daartoe onmogelijk te maken. In geval een rechter besloten heeft dat de informatie onrechtmatig is, is het onmiskenbaar dat deze informatie onrechtmatig is. In dat geval is het duidelijk dat de service provider hieraan de consequenties moet verbinden. Het is echter niet altijd even duidelijk of bepaalde informatie onrechtmatig is. Kan er in een geval, waarbij er onduidelijkheid bestaat over de onrechtmatigheid van bepaalde informatie, van een service provider worden verlangd dat hij gaat onderzoeken of deze informatie al dan niet onrechtmatig is? Het is zo dat er een onderzoeksplicht rust op de service providers. Dit is echter geen vergaande plicht en zodoende dient er rekening te worden gehouden met hetgeen redelijkerwijs van een service provider kan worden verlangd. Over het algemeen is het zo dat een service provider aansprakelijk kan worden gesteld, indien er redelijkerwijs geen twijfel bestond over het onrechtmatige karakter van de informatie en de service provider hierop niet heeft gereageerd, terwijl zij wel wist of behoorde te weten van het onrechtmatige karakter. 22 In geval een service provider een mededeling ontvangt dat hij onrechtmatige informatie van een ander heeft opgeslagen, kan hij hier twee dingen mee doen; of hij handelt naar aanleiding van de 20 Van Esch 2007, p Kamerstukken II 2003/04, , C, p Rechtbank Zwolle 3 mei 2006,LJF 2006, 279 (Stokke/Marktplaats) en Rechtbank Zutphen 8 februari 2007, LJN AZ 8634 (Auto Heemstede). 9

10 mededeling en hij verwijderd of blokkeert de informatie, of hij negeert de mededeling en doet niks. In beide gevallen loopt de service provider een risico. Hij kan worden aangeklaagd door degene die schade lijdt door de opgeslagen informatie, maar hij kan ook worden aangeklaagd door degene waarvoor hij de informatie heeft opgeslagen. 23 Een clausule in het contract met de klant kan in dergelijke gevallen de uitkomst bieden. Het is mogelijk om een clausule op te nemen in het contract welke de service provider de bevoegdheid geeft de informatie van de klant te verwijderen, of de toegang daartoe onmogelijk te maken, indien de dienstverlener van oordeel is dat er geen twijfel kan bestaan over de onrechtmatigheid van de informatie. 24 In hoofdstuk 2.5 zal deze mogelijkheid verder worden besproken. 2.3 Google Italy Een zaak die veel stof heeft doen opwaaien is de zaak De Leon & Vivi Down/Google. Deze zaak deed zich voor in Italië. Giulia Lisa heeft daar op 24 maart 2006 een video geüpload op Google Video. Op de video was te zien hoe een autistische jongen werd vernederd en gepest. In de video werden bovendien uitspraken gedaan gericht tegen mensen met het syndroom van Down. De organisatie Vivi Down, welke opkomt voor mensen met een dergelijk syndroom, werd ook genoemd in het filmpje. Het filmpje werd zo goed bekeken, dat het op de homepage van Google Video kwam te staan, onder het kopje meest bekeken. Niet veel later werd Google verzocht het filmpje te verwijderen. De Italiaanse rechter heeft de oprichters van Google Italy aansprakelijk gesteld voor het faciliteren van een onrechtmatige video. 25 Hoe zou de Nederlandse rechter hebben recht gesproken indien deze casus zich in Nederland zou hebben voorgedaan? De artikelen 12 tot en met 15 van de Richtlijn 2000/31/EG geeft aan op welke manier de lidstaten van de Europese Unie de aansprakelijkheid van service providers dient te reguleren. Lidstaten kunnen de implementatie van de Richtlijn op hun eigen manier doen. Nederland heeft, zoals eerder te zien was, de bepaling voor hosting geïmplementeerd in artikel 6:196c lid 4 BW. Wanneer het optreden Google Video wordt getoetst aan dit artikel, is te zien dat Google kan worden gedefinieerd als host, aangezien zij op verzoek, van een ander afkomstige, informatie, te weten een video, opslaat. 23 Rechtbank s-gravenhage 19 juli 2010, LJN BN 1445 (BREIN/Ziggo,XS4ALL). 24 Van Esch 2007, p. 118 en Tribunale Ordinario di Milano 24 februari 2010, sez. 4 penale, sentenza n. 1972/

11 De informatie is van een ander afkomstig, aangezien het is geüpload door een gebruiker en Google heeft deze informatie vervolgens niet bewerkt of aangepast. Google wist op het moment dat de video werd geüpload ook niet van het onrechtmatige karakter van de content. Zij behoorde dit ook niet te weten aangezien het voor Google onmogelijk is iedere content te controleren of te fileren alvorens het te publiceren. Gezien het feit dat het voor Google onmogelijk is, voorafgaand aan de publicatie, iedere content te controleren, heeft zij de mogelijkheid gegeven een video te markeren in het geval deze als ongepast wordt aangemerkt. Zodra een content wordt gemarkeerd, kan er dus vanuit worden gegaan dat Google weet of behoort te weten van een eventuele onrechtmatigheid. In dat geval dient Google de content te verwijderen of de toegang ertoe onmogelijk te maken, nadat zij de content zelf heeft bekeken en van mening is dat er geen twijfel bestaat over het onrechtmatige karakter van de informatie. In het geval Google niet op de hoogte is van de mogelijke onrechtmatigheid van de informatie is de enige die aansprakelijk kan worden gesteld, de uploader van de informatie. Wat opmerkelijk was in deze zaak, was dat de leiding van Google Italy werd veroordeeld voor schending van data-beschermingsplicht. Google had volgens de aanklager niet alleen de Italiaanse privacywetten geschonden, maar zij hebben ook iemands persoonlijke informatie commercieel geëxploiteerd. Google heeft winst gemaakt op de video, door gebruik van AdWords, een advertentiemethode van Google. 26 De Italiaanse aanklager dacht dat Google opzettelijk niet had voldaan aan haar verplichting tot het filteren en controleren van de contents, omdat anders haar inkomsten van AdWords hieronder zouden lijden. 27 Economisch gewin kan onder de Italiaanse Wet op de Privacy een vermoeden van schuld opleveren voor het schenden van de privacy. 28 Het verweer van Google was, dat zij niet aansprakelijk konden worden gesteld als service provider, omdat zij slechts dienen te handelen wanneer een video gemarkeerd is als zijnde ongepast, ofwel indien zij zelf hebben kennis genomen van een eventuele onrechtmatigheid. 29 Google heeft met andere woorden een puur technische rol in het geheel. 30 Onder Nederlandse wetgeving behoeft een service provider geen actieve rol te hebben in het controleren van de informatie. Zij dient pas over te gaan tot het verwijderen van of het blokkeren van de toegang tot de informatie, wanneer zij redelijkerwijs behoort te weten van het onrechtmatige karakter van de informatie. De service provider behoort pas te weten van het 26 Adwords.google.nl. 27 Van der Sloot 2010, p Artikel 167 Code della Privacy. 29 Tribunale Ordinario di Milano 24 februari 2010, sez. 4 penale, sentenza n. 1972/ Hoeren

12 onrechtmatige karakter van de informatie, nadat de informatie is gemarkeerd als ongepast. Indien Google immers een grotere rol aan zich zelf zou hebben toebedeeld, en alle informatie voorafgaand aan de publicatie zou controleren, dan zou zij niet meer onder de exceptie van artikel 6:196c BW vallen en zou zij aansprakelijk kunnen worden gesteld. 2.4 Richtlijn 95/46/EG betreffende de bescherming van data De Richtlijn Elektronische handel en de Richtlijn betreffende de bescherming van data zijn sterk met elkaar verbonden. Zodoende bestaat er ook een sterke verbintenis tussen de Wet bescherming persoonsgegevens (Wbp) en artikel 6:196c BW. In bijna alle gevallen waar elektronische handel plaatsvindt worden er namelijk persoonsgegevens verwerkt. Dit kan bewust plaatsvinden, bijvoorbeeld in geval waarbij naam, adres en woonplaats nodig zijn om een bestelling af te ronden. De gegevensoverdracht kan ook onbewust plaatsvinden. Hiervan is bijvoorbeeld sprake wanneer het IP-adres wordt achtergelaten, wanneer een site wordt bezocht. Op Europees niveau zijn er maatregelen getroffen die kwesties omtrent persoonsgegevens in verband met diensten van informatiemaatschappijen regelen. 31 De Richtlijn 95/46/EG heeft onder andere het doel datasubjecten te beschermen tegen de gegevensverwerking door anderen. De Richtlijn maakt hierbij een onderscheid tussen degene die de gegevens verwerkt, de dataprocessor, en degene die verantwoordelijk is voor de gegevensverwerking, de datacontroller. Artikel 2 van de Richtlijn bepaalt dat de voor de verwerking verantwoordelijke, de natuurlijke- of rechtspersoon is die, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt (sub d). Sub e bepaalt dat de gegevensverwerker, de natuurlijke- of rechtspersoon is die, ten behoeve van de voor verwerking verantwoordelijke, persoonsgegevens verwerkt. Het verschil tussen de voor de verwerking verantwoordelijke en de gegevensverwerker is van belang, omdat de verantwoordelijke een aantal verplichtingen krijgt opgelegd met betrekking tot het verwerken van persoonsgegevens. De plicht tot het vragen van toestemming voor de publicatie aan degene waarover in de data persoonsgegevens worden verstrekt, is een van de belangrijkste verplichtingen. Het is echter niet altijd even makkelijk vast te stellen wie de verantwoordelijke is. Om te bepalen wie de verantwoordelijke is, is het van belang wie het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Wanneer Youtube als voorbeeld wordt genomen, kan er worden gesteld dat Youtube de middelen voor gegevensverwerking bepaalt en deze aanbiedt als 31 Van Esch 2002, p. 319 ev. 12

13 een service op het internet. 32 Er kan echter ook worden gesteld dat de gebruiker van Youtube, deze site heeft gekozen om zijn gegevens te verwerken. Hij had ook een andere site kunnen uitzoeken om zijn data te verwerken. Aan de ene kant heeft Youtube als oogmerk voor gegevensverstrekking de financiën. De gebruiker heeft als oogmerk het openbaar maken van (persoonlijke) informatie. 33 De Artikel 29 Werkgroep, een samenwerkingsverband van de Europese privacy toezichthouders, is van mening dat hosting providers kunnen worden gezien als gegevensverwerkers ten aanzien van de gegevens die hun klanten op hun website plaatsen. De hosting providers kunnen echter ten aanzien van de persoonsgegevens van hun klanten, die zij opslaan en verwerken, worden aangemerkt als verantwoordelijke. 34 De mening van Artikel 29 Werkgroep wordt gedeeld door de Italiaanse rechter inzake De Leon & Vivi Down/Google. 35 Google heeft volgens de rechter geen plicht om vooraf toestemming te vragen aan alle personen die op de video s worden getoond. Dit is een plicht die wel op de verantwoordelijke rust. De rechter merkt op dat dit voor Google ondoenlijk zou zijn. Richtlijn 95/46/EG is in Nederland geïmplementeerd in de Wbp. 36 Ingevolge artikel 8 sub a Wbp is een verwerking van persoonsgegevens geoorloofd, indien de betrokkene toestemming heeft gegeven voor de verwerking. Voor deze toestemming geldt geen vormvereiste, het klikken op een knop op de website is dus voldoende. 37 Voor het krijgen van toestemming is bovendien vereist dat de betrokkene voldoende is geïnformeerd over de verschillende aspecten van gegevensverwerking die van belang zijn voor het nemen van een beslissing. Een informatiemaatschappij, bijvoorbeeld een service provider, kan aan dit vereiste voldoen door een bezoeker aan het einde van een informatiepagina op een akkoordknop te laten klikken, alvorens hij verder kan gaan met een bepaald proces, bijvoorbeeld het aanmaken van een account op Facebook. 38 In de algemene voorwaarden van Facebook is opgenomen dat indien gebruik wordt gemaakt van Facebook, de algemene voorwaarden automatisch worden geaccepteerd. 39 Een informatiepagina zoals hiervoor genoemd, kan dus algemene voorwaarden of een privacy statement bevatten. 2.5 Algemene voorwaarden In het hoofdstuk over hosting, werd al kort de mogelijkheid aangehaald om bij wijze van algemene voorwaarden een clausule op te nemen, welke een service provider de bevoegdheid geeft Van der Sloot 2010, p Thole 2010, p. 137 ev. 35 Tribunale Ordinario di Milano 24 februari 2010, sez. 4 penale, sentenza n. 1972/2010 (De Leon & Vivi Down/Google). 36 Cuipers 2006, p Kamerstukken II 1997/98, , nr. 3, p Van Esch 2007, p Statement of Rights and Responsibilities - By using or accessing Facebook, you agree to this Statement. 13

14 om bepaalde informatie van een klant te verwijderen, of de toegang daartoe onmogelijk te maken, indien de dienstverlener van oordeel is dat er geen twijfel kan bestaan over de onrechtmatigheid van de informatie. 40 In het voorgaande hoofdstuk was ook te zien dat algemene voorwaarden kunnen dienen ter informatie over de gegevensverwerking voor een klant, zoals vereist in artikel 8 sub a Wbp. Algemene voorwaarden kunnen met andere woorden veel betekenen voor het vermijden van aansprakelijkheid van een service provider. Hieronder zullen de algemene voorwaarden van een grote informatiemaatschappij worden beschreven. 41 Op welke manier wordt hierin de aansprakelijkheid beperkt en hoe wordt er geanticipeerd op bijvoorbeeld artikel 6:196c BW? Facebook De algemene voorwaarden van Facebook beginnen met het stellen dat privacy erg belangrijk is. 42 Hiertoe is een speciale Privacy Policy opgesteld, welke de privacy van zowel de gebruiker, als van anderen moet waarborgen. 43 Het meest opvallende artikel in de algemene voorwaarden, is artikel 15, Disputes. Het is het enige artikel dat een lid bevat, dat volledig in hoofdletters is geschreven. Zo bepaald artikel 15 lid 3 dat Facebook niet verantwoordelijk is voor de acties die zijn uitgevoerd door haar gebruikers. Zij zijn niet verantwoordelijk voor de content information of data van derde partijen. Het uploaden van onrechtmatig materiaal is verboden. 44 Artikel 15 lid 3 ( )FACEBOOK IS NOT RESPONSIBLE FOR THE ACTIONS, CONTENT, INFORMATION, OR DATA OF THIRD PARTIES, AND YOU RELEASE US, OUR DIRECTORS, OFFICERS, EMPLOYEES, AND AGENTS FROM ANY CLAIMS AND DAMAGES, KNOWN AND UNKNOWN, ARISING OUT OF OR IN ANY WAY CONNECTED WITH ANY CLAIM YOU HAVE AGAINST ANY SUCH THIRD PARTIES( ). 40 Van Esch 2007, p. 118 en Algemene voorwaarden is in deze context een vrije vertaling voor Statement of Rights and Responsibilities Artikel 3 Statement of Rights and Responsibilities Facebook. 14

15 Facebook legt dus middels haar algemene voorwaarden, de verantwoordelijkheid over de content volledig bij haar gebruikers. De gebruiker is verantwoordelijk voor de content. Facebook bevestigt hiermee haar status als hosting provider, doordat zij geen directe wetenschap heeft over de activiteit of informatie die zich op de site bevindt. Het is mogelijk om op Facebook een bepaalde content te rapporteren als zijnde in strijd met de algemene voorwaarden (zie afbeelding 1). Facebook geeft zichzelf hiermee het recht om bepaalde content te verwijderen, indien deze in strijd is met de algemene voorwaarden en dus onrechtmatig is. 45 Hiermee geeft zij zichzelf de mogelijkheid om te voldoen aan een wetsartikel zoals het Nederlandse artikel 6:196c lid 4 sub b BW, zonder dat zij hier achteraf voor aansprakelijk wordt gesteld, zoals omschreven in hoofdstuk Een blik over de grenzen In dit hoofdstuk wordt er in rechtsvergelijkend opzicht gekeken naar andere landen. Hoe hebben zij de aansprakelijkheid omtrent service providers geregeld en hoe hebben zij Richtlijn 2000/31/EG Afbeelding 1: Mogelijkheid tot rapporteren van onrechtmatige content. geïmplementeerd? Indien het land niet gebonden is aan de genoemde Richtlijn; welk alternatief heeft zij dan? 3.1 Duitsland In Duitsland kan een service provider alleen aansprakelijkheid voor de content van een derde vermijden, indien hij zich daadwerkelijk heeft gedistantieerd van deze content. 46 De service provider wordt vermoed kennis te hebben van het karakter van de content, indien voor een objectieve derde duidelijk blijkt dat de service provider eigenaar is van de content. 47 Dat laatste is sinds de implementatie van Richtlijn 2000/31/EG minder relevant. Het moet uit feitelijk en technisch opzicht blijken dat gebruikers de content zelf hebben geüpload, of dat de service provider invloed heeft gehad op de content. Er moet met 45 Artikel 5 lid 2 Statement of Rights and Responsibilities Facebook, We can remove any content or information you post on Facebook if we believe that it violates this Statement. 46 Oberlandesgericht Cologne, CR 2002, 678.; Landgericht Potsdam, CR 2000, 124 en Landgericht Hamburg, CR 1998, Oberlandesgericht Cologne, CR 2002, 678 et seq.; Landgericht Düsseldorf, NJW-RR 2002,

16 andere woorden een onderscheid worden gemaakt tussen het publiceren van de content voor een ander, of het eigenaar zijn van de content. Voor dat laatste geldt dat er een actieve rol in het controleren van de content is vereist. 48 Een service provider heeft geen invloed op de content en dus ook geen controlerende taak. De beslissing om een content te publiceren ligt bij de uploader en dus ligt ook de verantwoordelijkheid bij deze gebruiker. Een service provider kan dus niet aansprakelijk worden gesteld, indien hij geen kennis had van de onrechtmatigheid van de content, welke door haar gebruiker is geüpload. Artikel 14 lid 3 van de Richtlijn 2000/31/EG is geïmplementeerd in artikel 7 lid 2 van de Telemediengesetz. Het verbiedt Duitsland om een algehele verplichting op te leggen aan service providers om de content van haar gebruikers te controleren. Duitse rechtbanken hebben echter wel enkele toezichthoudende verplichtingen opgelegd aan de service providers. 49 Zo heeft een service provider de plicht tot filteren en controleren van contents, voor zover dit redelijk is. Een indicatie, voor wanneer er sprake is van redelijkheid, is kennis. Er is al sprake van een verplichting tot het houden van toezicht, na de eerste overtreding van een gebruiker. Een service provider dient in dat geval redelijke voorzorgsmaatregelen te nemen, om herhaling te voorkomen. 50 Wanneer een service provider kennis heeft genomen van een onrechtmatigheid binnen de contents, dient zij deze inhoud onmiddellijk te verwijderen. 3.2 Engeland Er is sinds 1999 al veel debat geweest in Engeland, omtrent de aansprakelijkheid van service providers in relatie tot de content. 51 In dit jaar was de eerste zaak verspreiding van informatie, zoals bedoeld in sectie 1 artikel 1 van de Defamation Act In dergelijke zaken heeft een persoon een rechtvaardigingsgrond indien hij kan aantonen dat hij niet de auteur, de bewerker of de uitgever is van de content. Hij moet voldoende zorg hebben gedragen in relatie tot de publicatie en hij wist niet, of had geen reden te geloven, dat hetgeen hij verspreidde onrechtmatig was. Een service provider verliest bescherming van section 1 indien hij op de hoogte was van de onrechtmatigheid van de content, maar deze niet verwijderde. Dit resulteert in het feit dat een service provider iedere melding of klacht serieus moet nemen en hier onmiddellijk naar moet kijken. Doet hij dit niet, dan kan hij verantwoordelijk worden gehouden voor de schade. Wat een vermoeden van schuld 48 Hoffmann 2004, p Oberlandesgericht Düsseldorf, MMR 2004, 315 en Oberlandesgericht Brandenburg, CR 2004, Balboni 2008, p De eerste rechszaak omtrent deze problematiek vond toen plaats: Godfrey v. Demon Internet Ltd. [1999] EWHC QB 244 (26 maart 1999). 16

17 opleverde in het arrest Bunt tegen Tilley, was het commerciële voordeel dat de provider genoot van de content. 52 Engeland kent een gelimiteerde verplichting tot het controleren en filteren van de contents voor service providers. Er bestaan slecht een klein aantal gevallen waarin deze verplichting geldt. Een voorbeeld is wanneer een content valt onder de Terrorim Act In een dergelijk geval dient een service provider iedere mogelijkheid te benutten om het re-posten of het verspreiden van de content tegen te gaan. 53 De verplichting geldt vanaf het moment dat de service provider de onrechtmatigheid opmerkt. Het is normaliter onmogelijk voor een service provider om iedere content te controleren, alvorens deze wordt gepubliceerd. De eisen van de Defamation Act 2006 richten zich dus ook tot handelen nadat de service provider een onrechtmatigheid heeft opgemerkt. Indien er een onrechtmatigheid wordt opgemerkt, dient de service provider de content direct te verwijderen. Mocht een service provider echter te ver gaan in het controleren van de contents, dan dreigt er het gevaar dat ze aansprakelijk wordt gesteld, doordat ze niet meer valt onder de exceptie van sectie 1 artikel 1 Defamation Act en wordt gezien als uitgever. 54 In de zaak Bunt tegen Tilley komt naar voren dat een service provider, die niet meer dan een passieve rol vervult in het beschikbaar stellen van een content, niet kan worden gezien als uitgever in de zin van sectie 1 artikel 2 van de Defamation Act. 55 Dit houdt in dat zij alleen hoeft te reageren, wanneer zij weet, of behoort te weten dat een content onrechtmatige informatie bevat. Artikel 19 van de Electronic Commerce Regulations 2002 bepaalt dat een service provider niet aansprakelijk is, indien hij geen daadwerkelijke kennis heeft van een onrechtmatige activiteit of informatie en hij niet op de hoogte is van de feiten of omstandigheden waaruit zou zijn gebleken dat de content onrechtmatig was. 3.3 Zweden In Zweden is de Richtlijn 2000/31/EG in verschillende wetten geïmplementeerd. De uitzonderingsgronden van aansprakelijkheid voor service providers is geregeld in de Act on Electronic Commerce and Information Society Services (SFS 2000:562). Het Zweedse recht voorziet niet in beperkingen voor aansprakelijkheid in geval van hyperlinks. 56 Een andere wet die de 52 Bunt/Tilley [2006] EWHC QB 407, onder Balboni 2008, p Onder uitgever, ofwel publisher in de zin van sectie 1 artikel 2 Defamation Act 1996, wordt verstaan: a commercial publisher, that is, a person whose business is issuing material to the public, or a section of the public, who issues material containing the statement in the course of that business. 55 Bunt/Tilley [2006] EWHC QB 407, onder Bryme e.a. 2006, p

18 aansprakelijkheid omtrent service providers regelt is de Act on Responsibility for Electronic Bulletin Boards (1998:112). Volgens deze wet is degene die een elektronisch bulletin board aanlevert verplicht om de contents te controleren op eventuele onrechtmatigheden voor zover dit redelijk is. 57 Hij hoeft niet ieder bericht apart te controleren, maar dient dit wel periodiek te doen. Indien het door het aantal berichten ondoenlijk is om alles te controleren, volstaat het ook om een systeem op te nemen dat het mogelijk maakt voor gebruikers om berichten die in strijd zijn met het recht te rapporteren. In de praktijk wordt de verplichting tot controle dan vervuld door een pagina op te nemen, waar gebruikers hun klacht kunnen achterlaten. Volgens sectie 5 van de Act on Responsibility for Electronic Bulletin Boards, dient een service provider de onrechtmatige berichten te verwijderen of te blokkeren. Indien hij zich hier niet aan houdt kan er worden gesproken van een misdrijf, zoals bedoelt in de Strafwet. 58 Het is in Zweden gebruikelijk dat de grotere service providers samenwerken met de politieautoriteiten. In overleg worden er dan websites gesloten of geblokkeerd, indien de content die zich hierop bevindt in strijd is met het recht. De politie voorziet in dergelijke gevallen veelal welke informatie er geblokkeerd dient te worden en zij communiceren dit dan door naar de service providers. 59 Op 7 november 2007 bepaalde de hoogste rechter in Zweden (Högsta Domstolen) dat een service provider geen verplichting heeft tot het verwijderen van de content indien het niet overduidelijk is dat deze content onrechtmatig is. In het geval er dus twijfel bestaat over de onrechtmatigheid van de content is een service provider onder de Act on the Responsibility for Bulletin Boards niet verplicht om de content, waar twijfel over bestaat, te verwijderen. 60 Wat betreft hyperlinks vond de hoogste rechter van Zweden dat een persoon die hyperlinks post, die verwijzen naar illegale kopieën van muziek om te downloaden, slechts de illegaal gekopieerde muziek beschikbaar stelt. Zij kan echter niet worden veroordeeld voor het daadwerkelijk illegaal kopiëren van muziek Elektronisch bulletin board of wel Bulletin Board System (BBS) is een elektronisch berichtensysteem, waarop gebruikers berichten kunnen achterlaten. Veel BBS-en zijn alleen toegankelijk voor leden. 58 Spindler 2007, p Spindlet 2007, p Högsta domstolens dom i mål B Spindlet 2007, p

19 3.4 Verenigde Staten van Amerika De Verenigde Staten hebben in de Digital Millennium Copyright Act 1998 (DMCA) vier gronden gegeven, waarin service providers niet aansprakelijk zijn voor de content. De eerste is wanneer een service provider handelt als een mere conduit. De tweede grond is in geval van caching. De derde grond is wanneer een service provider geen kennis heeft dat de content het copyright schendt. Indien dit materiaal zich op een systeem bevindt en er is geen kennis van de onrechtmatigheid, dan is de service provider niet aansprakelijk. Wanneer echter bekend wordt dat de content in strijd is met het copyright, dan dient de service provider het onmiddellijk te verwijderen en de toegang ertoe onmogelijk te maken. De service provider zal dan niet aansprakelijk kunnen worden gesteld. In feite is er sprake van een notify and take down procedure. Een dergelijke procedure is ook bekend in het Verenigd Koninkrijk, waar deze is gebaseerd op de Richtlijn 2000/31/EG. In tegenstelling tot de Richtlijn, geeft de DMCA in detail weer welke procedure er moet worden gevolgd door de eigenaar van het copyright, om een passende melding te maken. Tot slot is er de vierde grond, welke aangeeft wanneer een service provider niet aansprakelijk is voor de onrechtmatige informatie die zich op een site bevindt, waar de service provider naartoe verwijst (hyperlink). 62 Hiervoor gelden dezelfde vereisten als bij de derde grond, alleen de DMCA dekt niet het merkrecht, maar gaat alleen over de schending van het copyright. In aanvulling op de notice and take down-procedure, geldt de uitzonderingsgrond voor aansprakelijkheid niet, indien er wordt doorverwezen naar een gebruiker die is geïdentificeerd als een gebruiker die voorheen als eens betrokken was bij illegale activiteiten in relatie tot contents. Deze uitbreiding vindt haar grondslag in het arrest ALS Scan tegen RemarQ. 63 In deze zaak werd RemarQ als service provider aansprakelijk gesteld door ALS. ALS gaf aan dat RemarQ toegang verleende tot nieuwsgroepen waarop materiaal stond, die het copyright schonden. ALS was eigenaar van de copyrights en eiste dat RemarQ zou stoppen met het verlenen van toegang. RemarQ weigerde dit te doen. Uiteindelijk werd er geoordeeld dat RemarQ geen aanspraak kon maken op de uitzonderingsgrond van de DMCA. Er werd daarnaast ook bepaald dat in geval van een notificatie procedure er zoveel mogelijk details moeten worden gegeven, zodat de service provider exact weet waar de gewraakte informatie zich bevindt. Er kan worden geconcludeerd dat mocht een service provider een verzoek krijgen tot het blokkeren van de toegang tot bepaalde informatie, zij erg 62 Campbell 2002, p. 108 en Court of Appeals for Fourth Circuit, 239 F.3d 619 (4th Cir., 2001) (ALS Scan vs. RemarQ). 19

20 oplettend moet zijn, alvorens zij besluit het verzoek te negeren, de aansprakelijkheid wordt hier immers snel aangenomen Internationaal Privaatrecht Op de Conferentie in Den Haag over Private International Law, bleek dat de Nederlanders grote voorstanders waren om het ICT-recht op internationaal niveau te regelen. Dit kwam al naar voren in een discussie over online contracten. Hieruit bleek dat Nederland voorstander was van een breed kader van internationaal privaatrecht welke de toepassing van online contracten moest regelen. Andere landen leken dit idee van Nederland niet te delen. Amerika vond het voldoende als zij het zelf op statelijk niveau zouden regelen. De Europese landen wilden graag vasthouden aan de huidige regelgeving. In een vergadering die plaatsvond in Ottawa in februari 2000, bleek dat Nederland nog steeds voorstander was van regelgeving op internationaal niveau, het betrof hier de aansprakelijkheid van service providers. 65 Nederland heeft bij de implementatie van de Richtlijn 2000/31/EG veel ruimte gelaten voor invullen door de rechter, om zo te kunnen anticiperen op technologische ontwikkelingen. De Nederlandse Minister van Justitie was echter niet blij met de uitwerkingen van de Richtlijn. Hij had zijn twijfels over de uitzonderingsgronden van aansprakelijkheid in relatie tot de kennis van onrechtmatigheid van de content. 66 Het rechtsvergelijkende onderzoek heeft aangetoond dat de materiële criteria nagenoeg overal gelijk zijn: betrokkenheid, kennis van de content en zorgvuldigheid zijn factoren die de civiele aansprakelijkheid bepalen. Service providers die betrokken zijn bij de content zijn volledig aansprakelijk, terwijl degene die dit niet zijn, alleen aansprakelijk zijn wanneer ze zich niet aan hun zorgplicht hebben gehouden. Over het algemeen zijn service providers alleen aansprakelijk voor onrechtmatige content, wanneer zij kennis hadden van de onrechtmatigheid. De zorgplicht die voor service providers overal geldt is dat ze de illegale content moeten verwijderen of de toegang ertoe moeten blokkeren, op het moment dat ze op de hoogte zijn van de onrechtmatigheid Campbell 2002, p Knoops en Prins 2000, p Knoops e.a. 2000, p Knoops e.a. 2000, p