Einde inhoudsopgave
Schadevergoeding bij de onrechtmatige verwerking van persoonsgegevens (O&R nr. 126) 2021/3.4.1
3.4.1 Vermogensschade
mr. T.F. Walree, datum 01-02-2021
- Datum
01-02-2021
- Auteur
mr. T.F. Walree
- JCDI
JCDI:ADS267369:1
- Vakgebied(en)
Privacy / Verwerking persoonsgegevens
Voetnoten
Voetnoten
OECD 2013, p. 2.
OECD 2013, p. 26.
OECD 2013, p. 32.
Er bestaan wel initiatieven op dit gebied, zoals Dime en Leaflad. Zie ook F. Schultz, ‘Geld verdienen met je persoonsgegevens’, Het Financieele Dagblad 8 mei 2017.
Zie Engelfriet 2015, p. 125-130.
Malgieri & Custers 2018, p. 294.
Zie uitvoerig Van der Linden & Walree, p. 105-113 (hoofdstuk 2); Vrugt & Dammers 2018, p. 114-120.
De jaarverslagen van Facebook zijn te raadplegen via: https://investor.fb.com/financials/default.aspx
Ik heb geen winstpercentages kunnen vinden die betrekking hebben op de Europese markt.
In 2016 bedroeg de ARPU voor Europa: 3,98 dollar (Q1), 4,72 dollar (Q2), 4,72 dollar (Q3) en 5,98 dollar (Q4), een totaal van 19,40 dollar. De wereldwijde omzet en winst bedroegen respectievelijk 27,638 miljard dollar en 10,217 miljard dollar (winstpercentage van 36,97%).
In 2015 bedroeg de ARPU voor Europa: 2,99 dollar (Q1), 3,36 dollar (Q2), 3,47 dollar (Q3) en 4,50 dollar (Q4), een totaal van 14,32 dollar. De wereldwijde omzet en winst bedroegen respectievelijk 17,928 miljard dollar en 3,688 miljard dollar (winstpercentage van 20,57%).
In 2014 bedroeg de ARPU voor Europa: 2,44 dollar (Q1), 2,84 dollar (Q2), 2,87 dollar (Q3) en 3,45 dollar (Q4), een totaal van 11,60 dollar. De wereldwijde omzet en winst bedroegen respectievelijk 12,466 miljard dollar en 2,94 miljard dollar (winstpercentage van 23,58%).
In 2013 bedroeg de ARPU voor Europa: 1,60 dollar (Q1), 1,87 dollar (Q2), 1,96 dollar (Q3) en 2,61 dollar (Q4), een totaal van 8,04 dollar. De wereldwijde omzet en winst bedroegen respectievelijk 7,872 miljard dollar en 1,5 miljard dollar (winstpercentage van 19,05%).
Zech 2016, p. 464.
Zie ook Verheul 2016.
Zie bijvoorbeeld Rb. Den Haag 5 februari 2018, ECLI:NL:RBDHA:2018:1227, r.o. 4.14.
Grossklags & Acquisti 2007.
Carrascal e.a. 2013, p. 189-200.
Derikx 2014.
Ponemon Institute 2015.
Brynjolfsson, Eggers & Gannamaneni 2018.
Vermogensschade (zoals het mislopen van een lucratieve opdracht of prijsdiscriminatie) valt in deze casus niet uit te sluiten, maar is moeilijk te bewijzen. Daarnaast heeft het weinig nut om bedragen te noemen: eventuele materiële schade zal per betrokkene verschillen.
In potentie zijn er wel andere materiële schadeposten die, mits zij door de rechter worden erkend, voor elke getroffen Facebookgebruiker grotendeels hetzelfde zijn. Deze schade hangt samen met de monetaire waarde van (een verzameling) persoonsgegevens. Maar hoe schat men die waarde? Volgens een rapport van de Organisatie voor Economische Samenwerking en Ontwikkeling (OESO) is die schatting lastig en is er geen algemeen geaccepteerde waarderingsmethode.1 Voor enige richting noemt het rapport toch zes methoden. Ik bespreek drie methoden die voor de Facebookgebruiker interessant zijn:
Een eerste methode is de gemiddelde marktprijs waarvoor persoonsgegevens worden verhandeld. Deze waarde geeft echter niet de totale inkomsten weer, omdat persoonsgegevens ‘non-rivalrous’ zijn. Dat wil zeggen dat het gebruik van de data door de een, niet betekent dat de ander diezelfde data niet meer kan gebruiken. De marktprijs vertelt daarom slechts wat een partij bereid is te betalen voor een kopie van het persoonsgegeven.2
Een tweede waarderingsmethode is de gemaakte winst per gebruiker.
Een derde waarderingsmethode is de waardering door de betrokkene zelf. Dit kan bijvoorbeeld door economisch onderzoek en enquêtes, waarin wordt onderzocht voor welk bedrag de betrokkene zijn persoonsgegevens wil prijsgeven.3 Het probleem met deze methode is dat de betrokkene zelf slechts in beperkte mate zijn persoonsgegevens kan exploiteren.4
Deze drie methoden kunnen richtinggevend zijn bij drie vorderingen tot schadevergoeding:
Vordering 1: De marktwaarde van de persoonsgegevens (methode 1) is een eerste stap bij het bepalen van het waardeverlies van de persoonsgegevens van de betrokkene door de toegenomen beschikbaarheid of de verwatering van zijn persoonsgegevens.
Vordering 2: De winst per gebruiker (methode 2) geeft aan wat een betrokkene kan krijgen aan schadevergoeding bij winstafdracht ex artikel 6:104 BW.
Vordering 3: De zelfwaarderingsmethode (methode 3) kan helpen bij het bepalen van een schadevergoeding gebaseerd op de onrechtmatige exploitatie van persoonsgegevens. De rechter baseert de vergoeding dan op de prijs waarvoor de betrokkene bereid zou zijn geweest om zijn gegevens te verstrekken. Vergelijk dit met de schadevergoeding bij een auteursrechtinbreuk die wordt gebaseerd op de (misgelopen)licentievergoeding.5
Vordering 1. Waardeverlies door ‘verwatering’ persoonsgegevens
Wat kan de betrokkene claimen indien hij stelt dat de marktwaarde van zijn persoonsgegevens is verwaterd? Erg weinig, zo lijkt het. De marktwaarde van een verzameling persoonsgegevens bedraagt namelijk meestal niet meer dan 1 dollar.6 Die waarde kan afnemen naarmate de beschikbaarheid van die persoonsgegevens toeneemt. Ervan uitgaande dat de betrokkene zijn gegevens zelf te gelde kan maken, dan blijft zijn vermogensschade gering. Waarschijnlijk gaat het om eurocenten. Dergelijke strooischade kan in de toekomst mogelijk worden verhaald via een collectieve schadevergoedingsactie,7 maar voor zo een laag bedrag is dit een onwaarschijnlijk scenario.
Vordering 2. Winstafdracht ex artikel 6:104 BW
Een aannemelijk waardeverlies van persoonsgegevens kan echter wel de deur openzetten voor een afdracht van winst op grond van artikel 6:104 BW. De Facebookgebruiker hoeft zogezegd geen concreet nadeel aan te tonen, maar hoeft slechts aannemelijk te maken dat hij enige vorm van schade heeft geleden.
De rechter zou voor de begroting van de winstafdracht kunnen kijken naar de jaarrekeningen van Facebook van de afgelopen jaren.8 Daarbij kan de gemiddelde omzet per gebruiker (average revenue per user; ARPU) een handige indicator zijn. De rechter kan dan voor het bepalen van de winst het wereldwijde winstpercentage9 van dat jaar over het Europese ARPU van datzelfde jaar toepassen.
In 2017 bedroeg de ARPU voor de Europese markt: 5.42 dollar (Q1), 6.28 dollar (Q2), 6,85 dollar (Q3) en 8.86 dollar (Q4). Over 2017 bedraagt de ARPU in totaal dan 27.41 dollar. De wereldwijde omzet over 2017 bedroeg 40,653 miljard dollar, de wereldwijde winst bedroeg 15,934 miljard dollar (een winstpercentage van 39,20%). De winst per Europese gebruiker over 2017 is dan (27,41 x 0,392 =) 10,74 dollar. Als dezelfde formule wordt toegepast over de voorgaande jaren dan is de winst per Europese gebruiker 7,17 dollar10 (2016), 2,95 dollar11 (2015), 2,74 dollar12 (2014) en 1,53 dollar13 (2013).
Deze bedragen kunnen eventueel door de rechter worden opgeteld, mits hij oordeelt dat de onrechtmatige verwerking zich over een langere periode uitstrekte. In het onderhavige schandaal is dat waarschijnlijk ook het geval, aangezien de persoonlijkheidsquiz operationeel was in de periode 2013 - 2015, en Kogan ten minste in de periode van juni 2014 tot en met april 2015 standaard toegang had tot de gegevens van vrienden van de quizdeelnemers.
Evenwel vloeit de winst per Europese gebruiker uiteraard ook voort uit de verkoop van advertentieruimte aan andere partijen. De winst die Facebook behaalde aan CA is slechts een fractie van de totale winst. De Nederlandse Facebookgebruiker kan dus slechts aanspraak maken op een zeer gering bedrag. Daartegenover staat dat de rechter in aanmerking kan nemen dat de ‘open’ API Facebook mogelijk meer winst heeft opgeleverd dan het behaalde aan CA. Hoewel de rechter de winst kan schatten op grond van artikel 6:97 BW, ligt het meer voor de hand dat hij rekening houdt met de winstbedragen zoals hierboven genoemd.
Vordering 3. De ‘licentievergoeding’ voor de onrechtmatige exploitatie van persoonsgegevens
Indien geen andere verwerkingsgrondslag14 bestaat voor een ‘verwerkingsverantwoordelijke’,15 kan toestemming van de betrokkene ervoor zorgen dat de verwerking van persoonsgegevens rechtmatig wordt.16 Dit was ook het geval in de onderhavige casus: de heimelijk verzamelde gegevens mochten slechts worden verwerkt op basis van toestemming van de Facebookgebruiker. In dit geval verschaft het gegevensbeschermingsrecht een zekere exclusiviteit aan de Facebookgebruiker ten aanzien van zijn persoonsgegevens. Toestemming van de betrokkene werkt dan als een soort licentie, waarmee de verwerkingsverantwoordelijke persoonsgegevens rechtmatig kan verwerken.17
Voor het gebruik van een auteursrechtelijk beschermd werk mag een rechthebbende meer vragen dan gebruikelijk is in de markt. Hij moet dan wel aantonen dat hij daadwerkelijk deze hogere prijs rekende aan partijen die zijn werk willen exploiteren.18 Een Facebookgebruiker vroeg echter niet eerder geld aan Facebook voor het gebruik zijn persoonsgegevens. De Facebookgebruiker wordt immers ‘betaald’ door middel van toegang tot de dienst en alle bijbehorende functionaliteiten. Een rechter zal daarom moeten uitgaan van een gemiddelde prijs voor een licentie. Er is uiteenlopend onderzoek gedaan naar het bedrag dat een betrokkene verlangt voor het gebruik van zijn persoonsgegevens. In chronologische volgorde:
Amerikaans onderzoek (2007) onder Amerikaanse studenten laat zien dat als zij de keuze hebben tussen een geldbedrag en het niet verstrekken van één persoonsgegeven, dat zij kiezen voor geld, zelfs als het bedrag niet erg hoog is (0,25 dollar).19
Spaanse onderzoek (2013) onder Spaanse deelnemers laat zien dat zij hun persoonsgegevens, die betrekking hebben op hun offline identiteit (zoals leeftijd, geslacht, adres en salaris), waarderen op 25 euro. Gegevens over hun surfgedrag schatten zij op 7 euro. Zoektermen en aankoopgegevens worden gewaardeerd op respectievelijk 2 euro en 5 euro. Andere online-gerelateerde persoonsgegevens zoals interacties op sociale media en online transacties waarderen zij respectievelijk op 12 euro en 15,50 euro.20
Een Nederlandse masterstudent (2014) deed onderzoek naar de bereidheid van Nederlandse automobilisten om hun gegevens te verstrekken aan hun verzekeraar. Uit het onderzoek blijkt dat zij voor een korting van 2,27 euro per maand op hun polis bereid zijn hun gps-locatie continu te delen. Komt daar het rijgedrag bij, dan bedraagt die korting 2,98 euro per maand. Voor advertenties van derden op basis van rijgegevens willen zij een bedrag van 2,77 euro per maand.21
Volgens Amerikaans onderzoek (2015) onder Amerikaanse, Japanse en Europese consumenten is de gemiddelde waarde van één persoonsgegeven 19,60 dollar. De namen van vrienden en familieleden schatten zij op 23,50 dollar, het woonadres op 12,90 dollar, de gps-locatie op 16,10 dollar en hobby’s en interesses op 12,20 dollar. De hoogste waarde kennen consumenten toe aan wachtwoorden (75,80 dollar).22
Volgens Amerikaans en Nederlands onderzoek (2018) zijn Amerikaanse Facebookgebruikers gemiddeld bereid om voor 50 dollar één maand te stoppen met Facebook. Ervan uitgaande dat de Facebookgebruiker bewust is van het feit dat hij met zijn gegevens betaalt voor het gebruik van Facebook, zou men kunnen stellen dat de Facebookgebruiker het gebruik van zijn gegevens door Facebook maximaal 50 dollar per maand waard vindt.23
De bedragen variëren van 0,25 dollar tot 75,80 dollar. Daarbij moet worden benadrukt dat er verschillende typen persoonsgegevens (zoals NAW-gegevens, rijgedrag of locatiegegevens) werden onderzocht. Indien de rechter een schadevergoeding toekent op basis van de onrechtmatige exploitatie van persoonsgegevens, zou het in het licht van deze onderzoeken logisch zijn als de rechter aansluiting zoekt bij bovenstaande bedragen.