In haar ‘Political Guidelines for the next European Commission 2019-2024’ stelde Commissievoorzitter Ursula von der Leyen een Digital Services Act in het vooruitzicht die de aansprakelijkheids- en veiligheidsregels voor digitale platformen, producten en diensten op een meer algemeen niveau zou hervormen.‘Political Guidelines for the next European Commission 2019-2024’, ec.europa.eu/commission/sites/beta-political/files/political-guidelines-next-commission_en.pdf, in het bijzonder p. 13. Op 15 december 2020 publiceerde de Europese Commissie een Digital services package: twee verordeningsvoorstellen waarvan het eerste betrekking heeft op een Digital Services Act (DSA)Proposal for a Regulation of the European Parliament and of the Council on a Single Market For Digital Services (Digital Services Act) and amending Directive 2000/31/EC, COM/2020/825 final. en het tweede op een Digital Markets Act (DMA).Proposal for a Regulation of the European Parliament and of the Council on contestable and fair markets in the digital sector (Digital Markets Act), COM/2020/842 final.
Voor het consumentenrecht is vooral het voorstel voor een DSA van belang. Dit voorstel bevat horizontale, in tegenstelling tot sectorspecifieke, regels betreffende de aansprakelijkheid van online tussenpersonen, en andere maatregelen die beogen de veiligheid van gebruikers van online platformen en meer algemeen aanbieders van diensten van de informatiemaatschappij te beschermen. Het DMA-voorstel leunt nauwer aan tegen het mededingingsrecht. Het strekt er voornamelijk toe om de markt en andere ondernemingen te beschermen tegen machtige online ondernemingen, ook al beschikken zij niet over een machtspositie in de zin van artikel 102 VWEU.In die zin Proposal for a Regulation of the European Parliament and of the Council on contestable and fair markets in the digital sector (Digital Markets Act), COM/2020/842 final, p. 4.
Hoewel de DSA de regels van de Richtlijn elektronische handelGeïmplementeerd in art. 6:196c BW. met betrekking tot de aansprakelijkheid van tussenpersonen opheft en vervangt door nieuwe bepalingen, leidt zij geenszins tot een radicale wijziging. Integendeel, de DSA beperkt zich grotendeels tot het bevestigen van de bestaande regels, de codificatie van de rechtspraak van het Hof van Justitie daaromtrent en de verduidelijking van enkele twistpunten.Zie ook Proposal for a Regulation on a Single Market For Digital Services (Digital Services Act)’, COM(2020)825 final (European Commission, December 2020), p. 3. De DSA erkent online platformen expliciet als hosting providersArt. 2(h) en overweging 13 Preambule DSA. en bevestigt dat zij genieten van de zgn. hostingvrijstelling: zij zijn niet aansprakelijk voor de inhoud die door derden op hun platform wordt opgeslagen als zij a) niet daadwerkelijk kennis hebben van de onwettige activiteit of informatie en, wanneer het een schadevergoedingsvordering betreft, geen kennis hebben van feiten of omstandigheden waaruit het onwettige karakter van de activiteiten of informatie duidelijk blijkt, en b) zij zodra zij van het bovenbedoelde daadwerkelijk kennis hebben of besef krijgen, prompt handelen om de informatie te verwijderen of de toegang daartoe onmogelijk te maken voor gebruikers van de website.Art. 5(1) DSA. De DSA maakt duidelijk dat tussenpersonen niet hoeven te vrezen dat ze het voordeel van de aansprakelijkheidsuitsluiting verliezen door op eigen initiatief activiteiten te ontwikkelen met het oog op het ontdekken en het verwijderen van illegale inhoud of het onmogelijk maken van de toegang daartoe.Art. 6 DSA.
Volgens de inleidende overwegingen van de DSA geldt de aansprakelijkheidsvrijstelling echter niet wanneer de tussendienst een integrerend deel uitmaakt van een ander soort dienst. Dit is volgens het Hof van Justitie het geval voor Uber. Volgens het Hof creëert Uber ‘immers tegelijkertijd een aanbod van stadsvervoerdiensten die hij, met name door middel van IT-instrumenten […] toegankelijk maakt en waarvan hij de algemene werking organiseert ten behoeve van personen die op dat aanbod wensen in te gaan voor het afleggen van een stadstraject’.HvJ EU 20 december 2017, C-434/15, EU:C:2017:981, r.o. 38 (Asociación Profesional Elite Taxi). Bij het oordeel van het Hof speelde bovendien mee dat (1) Uber de bestuurders selecteert en hen een app bezorgt zonder welke ze de vervoerdiensten niet zouden leveren en passagiers ook geen toegang tot hun diensten zouden hebben, (2) een beslissende invloed uitoefent op de voorwaarden waaronder de dienst wordt verleend, door onder meer een maximumprijs voor de ritten te bepalen en deze prijs te innen bij de passagier alvorens een deel ervan door te storten naar de bestuurder, (3) een zekere kwaliteitscontrole uitoefent op de bestuurders, hun gedrag en de voertuigen die zij gebruiken.HvJ EU 20 december 2017, C-434/15, EU:C:2017:981 (Asociación Profesional Elite Taxi); HvJ EU 10 april 2018, C-320/16, EU:C:2018:221 (Uber France). De bemiddelingsdienst aangeboden door Airbnb maakt volgens het Hof daarentegen geen ‘integrerend deel (uit) van een dienstenpakket waarvan het hoofdelement bestaat in een dienst die onder een andere juridische kwalificatie valt’. Het essentiële element van het door Airbnb beheerde onlineplatform bestaat immers in het opstellen van een lijst van te huur staande accommodaties ten bate van enerzijds aanbieders en anderzijds personen op zoek naar accommodatie. Bovendien bleek Airbnb geen controle uit te oefenen over de aangeboden accommodaties en verhuurders, noch vaste of maximumhuurprijzen te bepalen, maar hooguit een optionele tool aan te bieden voor de vaststelling van de verhuurprijs. Daarnaast bood Airbnb een aantal nevendiensten aan zoals een betalings- en een reviewsysteem. Geen van deze nevendiensten leidde tot dezelfde mate van controle op de voorwaarden waaronder de onderliggende dienst wordt verstrekt als bij de diensten verstrekt door Uber.HvJ EU 19 december 2019, C‑390/18, ECLI:EU:C:2019:1112, r.o. 68 (Airbnb).
De aansprakelijkheidsvrijstelling geldt evenmin wanneer de dienstverlener zich niet beperkt tot het neutraal, louter technisch en automatisch verwerken van gegevens verstrekt door derden, maar een actieve rol speelt waardoor hij kennis krijgt van of controle krijgt over de informatie (overweging 18 Preambule DSA). Deze regel codificeert de rechtspraak in de zaken L’Oréal/ebay en Google France. In L’Oréal/ebay preciseerde het Hof van Justitie dat ‘het enkele feit dat de beheerder van een elektronische marktplaats de verkoopaanbiedingen op zijn server opslaat, bepaalt hoe zijn dienst wordt verleend, daarvoor een vergoeding ontvangt en algemene inlichtingen aan zijn klanten verstrekt, er niet toe leiden dat hij geen beroep kan doen’ op de aansprakelijkheidsvrijstelling.HvJ EU 12 juli 2011, C-324/09, ECLI:EU:C:2011:474, r.o. 115 (L’Oréal SA e.a./eBay International AG e.a.). Zie naar analogie arrest HvJ EU 23 maart 2010, Gevoegde zaken C-236/08 tot C-238/08, ECLI:EU:C:2010:159, r.o. 116 (Google France SARL en Google Inc./Louis Vuitton Malletier SA). Wanneer de dienstverlener echter ‘bijstand verleent die er onder meer in bestaat om de wijze waarop de verkoopaanbiedingen worden getoond te optimaliseren of deze aanbiedingen te bevorderen’, dan voldoet hij volgens de uitspraak van het Hof in Google France SARL en Google Inc. niet langer aan het neutraliteitsvereiste, maar speelt hij een actieve rol waardoor hij kennis van of controle heeft gekregen over de opgeslagen gegevens. Hij kan zich dan met betrekking tot die gegevens niet beroepen op de vrijstelling.HvJ EU 23 maart 2010, ECLI:EU:C:2010:159.
De vrijstelling geldt bovendien niet voor de aansprakelijkheid voortvloeiend uit regels van consumentenrecht van online platformen die consumenten in staat stellen overeenkomsten op afstand met handelaren te sluiten, en bij een gemiddelde, redelijk geïnformeerde consument de indruk wekken dat de informatie, of het product of de dienst waarop de transactie betrekking heeft, wordt geleverd door het online platform zelf of door een afnemer van de dienst die op gezag of onder controle van het platform handelt (art. 5 lid 3 DSA).
De twee hiervoor vermelde, op de rechtspraak van het Hof van Justitie gebaseerde uitzonderingen op de aansprakelijkheidsvrijstelling, leiden niet tot kristalheldere grenzen. Ze vereisen een beoordeling van geval tot geval en veroorzaken rechtsonzekerheid, zowel voor platformen als voor benadeelden. Deze rechtsonzekerheid wordt nog versterkt door het feit dat de voorwaarden voor de aansprakelijkheid van platformen niet worden geharmoniseerd, maar worden overgelaten aan de lidstaten. Dit roept de vraag op of de DSA niet beter gekozen had voor een strengere, maar duidelijke regeling waarbij aan de platformen een risico-aansprakelijkheid wordt opgelegd voor schade veroorzaakt door de handelingen van derden op hun platform, alleszins wanneer de schade wordt veroorzaakt aan een natuurlijke persoon en niet aan zijn bedrijf. Tegen deze optie is aangevoerd dat ze disproportioneel zou zijn ten nadele van de platformen.F. Wilman, The Responsibility of Online Intermediaries for Illegal User Content in the EU and the US, Cheltenham: Edward Elgar 2020, p. 285. Ik spreek hier uitsluitend over civielrechtelijke aansprakelijkheid. Voor strafrechtelijke aansprakelijkheid is volgens de tradities van de lidstaten een intentioneel element vereist en is de bevoegdheid van de EU om tot harmonisatie over te gaan overigens moeilijker te verantwoorden. Ik ben daar niet van overtuigd.
Online platformen bieden eenieder die toegang heeft tot het Internet de mogelijkheid om informatie met inbegrip van aanbiedingen van goederen en diensten bekend te maken aan een groot publiek. Dit is een activiteit waarvan het voorzienbaar is dat zij risico’s inhoudt en schade kan berokkenen. Enkele non-profit initiatievenBijv. zorgzaam010.nl. terzijde gelaten, handelen de platformen met het doel om winst te maken. Het met winstoogmerk uitvoeren van een risicovolle activiteit is typisch een situatie waarin risicoaansprakelijkheid aangewezen wordt geacht. De aansprakelijkheid van het platform zou uiteraard geen afbreuk doen aan de aansprakelijkheid van de derde. De hoofdelijke aansprakelijkheid van het platform en de derde, zou de schadelijder wel een bijkomende, gemakkelijk identificeerbare en doorgaans meer solvabele schuldenaar ter beschikking stellen. Het platform zou vervolgens regres kunnen nemen op de derde.Zie ook M. Buiten, A. de Streel & M. Peitz, ‘Rethinking liability rules for online hosting Platforms’, International Journal of Law and Information Technology 2020, afl. 2, p. 149.
Wat verder opvalt bij het lezen van de DSA is dat een belangrijke rol wordt toebedeeld aan zelfregulering: vrijwillige industriële normen op te stellen door de relevante Europese en internationale normalisatie-instellingen met betrekking tot technische aangelegenheden zoals de elektronische indiening van aankondigingen door trusted flaggers (art. 34), gedragscodes om bij te dragen tot de correcte toepassing van de verordening, met name inzake mededinging en de bescherming van persoonsgegevens (art. 35) en inzake onlinereclame (art. 36), evenals crisisprotocollen voor het aanpakken van crisissituaties die strikt beperkt blijven tot buitengewone omstandigheden die gevolgen hebben voor de openbare veiligheid of de volksgezondheid (art. 37). De DSA staat platformen niet alleen toe om illegale inhoud opgeslagen door derden op te sporen, maar ook om die te verwijderen of de toegang ertoe te blokkeren zonder voorafgaande toestemming van gerechtelijke of andere bevoegde autoriteiten. Wel moet het platform de persoon om wiens inhoud het gaat uiterlijk op het tijdstip van de verwijdering of de blokkering van de toegang in kennis stellen van zijn besluit en een duidelijke en specifieke motivering daarvan geven. Tevens moet worden vermeld dat de betrokkene de beslissing kan betwisten via interne klachtenbehandelingsmechanismen (verplicht behoudens voor kleine of micro-ondernemingenIn de zin van de bijlage bij Aanbeveling 2003/361/EG (art. 16-17).), buitengerechtelijke geschillenbeslechting en beroep op de rechter (art. 15). Gebruikers van online platformen mogen organisaties, verenigingen of instanties aanstellen om hen te vertegenwoordigen in het kader van interne klachtenbehandelingsmechanismen en buitengerechtelijke geschillenbeslechting (art. 68).
De DSA erkent dat de risico’s om schade te berokkenen toenemen met de omvang van online platformen in termen van het aantal gebruikers. De DSA bevat daarom aanvullende verplichtingen voor zeer grote online platformen (met gemiddeld 45 miljoen of meer maandelijks actieve gebruikers in de EU). Een van die verplichtingen, is dat zij jaarlijks een zelfevaluatie moeten uitvoeren van alle significante systeemrisico’s die worden veroorzaakt door hun diensten en het gebruik dat daarvan in de Unie wordt gemaakt. Het begrip ‘systeemrisico’s’ verwijst onder meer naar de verspreiding van illegale inhoud, negatieve effecten op de mensenrechten en opzettelijke manipulatie van de platformdiensten (art. 26 lid 1). Wanneer systeemrisico’s worden vastgesteld, moeten zij redelijke, evenredige en doeltreffende risicobeperkende maatregelen nemen, zoals het aanpassen van hun aanbevelingssysteem, en samenwerking met andere particuliere spelers zoals trustedflaggersVolgens overweging 46 mag en moet de status van trusted flagger alleen worden toegekend aan entiteiten, en niet aan individuen, die onder meer hebben aangetoond dat zij beschikken over een bijzondere deskundigheid en bekwaamheid in het aanpakken van illegale inhoud, dat zij collectieve belangen vertegenwoordigen en dat zij op een zorgvuldige en objectieve manier werken. Het kan gaan om overheidsinstanties, zoals Europol, maar ook om niet-gouvernementele organisaties en semi-overheidsinstanties, zoals de organisaties die deel uitmaken van het INHOPE-netwerk van meldpunten voor het melden van seksueel-kindermisbruikmateriaal. of andere online platformen initiëren of deze evalueren (art. 27). Bovendien schrijft artikel 28 voor dat zeer grote online platformen jaarlijks op eigen kosten een audit moeten laten uitvoeren om na te gaan of zij voldoen aan de specifieke verplichtingen die het voorstel aan zeer grote platformen oplegt en aan eventuele verbintenissen die zij in het kader van gedragscodes of crisisprotocollen zijn aangegaan. De identificatie en oplossing van risico’s wordt dus in eerste instantie overgelaten aan de zeer grote online platformen zelf en de controle op de naleving van hun specifieke verplichtingen wordt uitbesteed aan particuliere auditbedrijven.
De privatisering van platformregulering sluit aan bij een wereldwijde tendens die mede is ingegeven door het feit dat platformen zelf over de meeste technische kennis beschikken, zij op de meest eenvoudige en volledige wijze toegang hebben tot de informatie die derden op hun platform opslaan, zij snel en effectief kunnen optreden en privatisering er bovendien ook nog toe leidt dat zij zelf instaan voor de kosten van het opstellen en controleren van de naleving van regelgeving. De keerzijde is echter dat de overheid hiermee ook kansen laat liggen om meer greep te krijgen op de activiteiten van platformen.
Bij de uitoefening van de zelfregulerende bevoegdheden moeten de platformen uiteraard wel de door de DSA gestelde limieten respecteren. Voor het toezicht op de naleving van de regels van de DSA is voorzien in een systeem van overheidstoezicht door nationale autoriteiten en de Europese Commissie. De DSA laat de lidstaten toe om een of meer autoriteiten aan te stellen die belast zijn met bepaalde elementen van het toezicht op de naleving van de DSA (art. 38 DSA). Zowel deze autoriteiten als de bevoegde nationale rechtbanken mogen platformen, volgens in de DSA geharmoniseerde procedures, specifieke informatie vragen met betrekking tot een of meer specifieke gebruikers van platformen, en ook eisen dat zij optreden tegen een specifiek onwettig element dat op hun platform is opgeslagen door een gebruiker (art. 8-9 DSA). Iedere lidstaat moet bovendien een Digital Services Coördinator aanstellen met een residuaire bevoegdheid (bevoegdheid voor de naleving en handhaving van alle elementen van de DSA die niet aan andere autoriteiten zijn toevertrouwd). De Digital Services Coördinator moet ook zorgen voor de coördinatie van de toepassing en handhaving van de DSA op nationaal vlak en bijdragen tot de effectieve en consistente toepassing en handhaving van de DSA. De Digital Services Coördinatoren hebben ook een aantal specifieke bevoegdheden, zoals het ontvangen van klachten met betrekking tot schendingen van de DSA en samenwerken met de DSC van andere lidstaten en deel uitmaken van de European Board for Digital Services, die een ondersteunende, coördinerende en adviserende rol speelt (art. 38 e.v., 47 e.v. en 67 DSA). Bij het toezicht op de naleving van de bijkomende regels die gelden voor zeer grote online platformen kan ook de Commissie tussenkomen en bijv. geldboeten en dwangsommen opleggen (art. 50 e.v.).
Uit heel de DSA blijkt dat de Commissie heeft geprobeerd om rekening te houden met de belangen van alle betrokkenen, platformen en gebruikers, de nationale autonomie van de lidstaten en de nood aan geharmoniseerde regels en procedures. Als ik echter nadenk over de economische macht van de goed geoliede machines van de platformoperatoren, de ruime zelfregulerende bevoegdheid die hen wordt toegekend, het voordeel van de hostingvrijstelling, hun veel minder sterke gebruikers en het gecompliceerde en deels geprivatiseerde systeem van toezicht en naleving, kan ik mij toch niet van de indruk ontdoen dat de DSA de macht van de platformen ten aanzien van consumenten niet wezenlijk zal beperken. Dit lijkt een gemiste kans te zijn.