Externe links op websites: een privacyprobleem of niet?

Op bijna elke website bestaan links naar andere websites. Wanneer een bezoeker op een link klikt, worden noodzakelijkerwijs persoonsgegevens overgedragen. Is dat een probleem voor de privacy? Hoe zit het met doelen van links in onzekere derde landen als de VS?

Inleiding

Een link of een verlinking is een hyperlink, die op HTML-pagina's mogelijk is. Een HTML-pagina is dat, wat veel mensen onder de term "webpagina" begrijpen. HTML staat voor HyperText Markup Language.

In HTML zijn er zogenaamde Tags. Een Tag is een instructie. Een Tag regelt de uiterlijk of het gedrag van tekst. Met de tag <b> kan bijvoorbeeld vetgedrukte tekst voor een tekstpassage worden geactiveerd. De tag <a> definieert in plaats daarvan een link. Voorbeeld van een linkdefinitie:

<a href="https://www.ein-linkziel.de">Klik hier om naar de andere website te gaan</a>

De tag wordt gedefinieerd door een linkdoel, dus een doeladres (URL) en een met de a-tag omgeven tekst. Klikt de gebruiker op de tekst, wordt het doeladres aangevraagd.

Gegevensoverdracht bij klikken op een link

Eerst wanneer een gebruiker van zichzelf op een link klikt, vindt er een gegevensoverdracht plaats. Eerst dan vindt dus een gegevensverzameling plaats. Een gegevensverzameling ligt voor, zodra op basis van een aanbod van een verantwoordelijke gegevens bij de aanbieder of een derde ontvangen en feitelijk tot kennis kunnen komen.

Een verantwoordelijke is in het geval van een externe link de Linkgever, dus degene die verantwoordelijk is voor de website waarop de externe link staat.

De bij het klikken op een link overgedragen gegevens zijn technisch noodzakelijk en door het Internet Protocool TCP bepaald. TCP staat voor Transmission Control Protocol.

De overgebrachte gegevens bevatten de IP-adres van de gebruiker. De IP-adres als netwerkadres is een persoonsgebonden waarde. Dit hebben het EHRM en het Duits Hoge Regericht vastgesteld. Dat geldt zelfs voor dynamische IP-adressen, dus die die regelmatig worden herverkocht. Ook al krijgt een gebruiker elke dag van zijn internetdienstverlener een nieuwe IP-adres toegewezen, dan wordt deze als persoonsgebonden beschouwd.

Gegevensverwerking bij doelstelling

De linkgever is niet verantwoordelijk voor de gegevensverwerking die het doel van de link zelfstandig uitvoert. Dat zou anders zijn als er een instructie door de linkgever what. Ook een gezamenlijke verantwoordelijkheid tussen linkgever en linkdoel, die kan ontstaan door een overeenkomst, is een andere zaak.

Het doel van de link is dus zelf verantwoordelijk voor het verwerken van de gegevens die het op basis van een klik op de externe link op de website van de linkgever ontvangt.

Doelwit in veilig buitenland

In een veilig buitenland is op officiële en formeel niveau in ieder geval een gelijkwaardig niveau van bescherming van de persoonlijke levenssfeer geregeld, vergelijkbaar met de DSGVO.

Als het linkdoel zich in een veilig derde land bevindt, is de linkgever alleen verantwoordelijk voor de gegevensoverdracht en de gegevensinwinning die hij zelf heeft aangezocht. De gegevensoverdracht is technisch noodzakelijk. Hiervoor kan niemand verantwoordelijk zijn. Er mag wel een verantwoordelijkheid aanwezig zijn. Om niets verantwoordelijk te zijn, is feitelijk hetzelfde als niet verantwoordelijk te zijn.

De gegevensverzameling bij het linkdoel mag alleen plaatsvinden in zoverre dit op grond van de DSGVO is toegestaan. Bijvoorbeeld kan het linkdoel maatregelen treffen om de systemen te beveiligen tegen hackers, maar niet de registratie van IP-adressen voor marketingdoeleinden. Hiervoor is het linkdoel verantwoordelijk.

In dit geval is de linkgever feitelijk niet aansprakelijk op grond van de overdracht van gegevens noch op grond van de verzameling van gegevens.

Er is feitelijk geen verantwoordelijkheid voor een linkgever bij linkdoelen in veilige derde landen.

Doelwit in onzekere derde land

Een complexere beschouwing is nodig bij linkdoelen in onzekere derde landen. De VS zijn en blijven een onzeker derde land, zolang de Amerikaanse Cloud Act in zijn huidige vorm van kracht is. Daaraan verandert ook elke vaststelling van de EU niets. Helaas heeft de EU onze grondrechten verkocht door weer eens een puur politiek gemotiveerd gegeven overeenkomst over gegevensbescherming, genaamd Data Privacy Framework (DPF), met de VS te sluiten. Het DPF is gebaseerd op een Executive Order van de Amerikaanse president, die elke keer kan worden ingetrokken. Onafhankelijk daarvan worden EU-burgers niet voldoende goed beschermd tegen spionage door de VS. De kroon wordt hierop gezet doordat een orgaan in de VS als rechter wordt aangeduid, maar geen ordentelijke rechter is, maar een toneelbühne. Onafhankelijk daarvan moet worden nagegaan welke derde landen in het spel komen wanneer een dienstverlener met gegevens wordt bevoorraad. Vooral bij Google worden vaak vele andere derden uit andere derde landen betrokken, waarvoor vaak geen passend besluit bestaat.

Artikel 44 van de Algemene Verordening Gegevensbescherming definieert algemene beginselen voor gegevensoverdracht. Deze beginselen betekenen dat een overdracht van persoonsgegevens,"die al verwerkt zijn of na hun overdracht in een derde land of internationale organisatie zullen worden verwerkt“ alleen onder bepaalde omstandigheden is toegestaan.

De gegevensuitwisseling naar de VS is alleen na voorafgaande toestemming van een betrokken persoon toegestaan. Een verwerking van de overgezonden gegevens bij de bron heeft nog niet plaatsgevonden.

Uit dit volgt meerdere vragen bij externe links.

Klikt een gebruiker op zo'n link, heeft hij dan toestemming gegeven? Een toestemming is volgens Artikel 4 Nr. 11 DSGVO