AVG ontmoet ISS: Hoe rechtbanken de rollen van gegevensbeheerder interpreteren

The intersection of the General Data Protection Regulation (GDPR) and Information Society Services (ISS) continues to present complex legal challenges, particularly around the concept of data controllership. The GDPR defines a controller as the entity that determines the purposes and means of processing personal data. Yet when digital platforms—many of which qualify as ISS—interact with users and third-party content providers, the lines of responsibility blur.

Recent case law from the Court of Justice of the European Union (CJEU) has significantly expanded the interpretation of joint controllership, placing new obligations on platform operators, website owners, and service providers engaged in collaborative data processing. Below, we explore key judgments and their implications for platform accountability.

Facebook Fan Page Case (C-210/16): The Birth of Joint Controllership

In Wirtschaftsakademie Schleswig-Holstein v Facebook Ireland, the CJEU held that an administrator of a Facebook Fan Page was a joint controller together with Facebook for the processing of visitor data. The administrator used Facebook Insights, a tool that provides anonymized statistics about user engagement.

Key Findings:

Even though the page administrator could not access personal data directly, the CJEU found that it influenced the purposes and means of data processing by configuring the page and selecting target demographics.
The decision introduced a broad and functional definition of joint controllership, emphasizing actual influence over data use, not just access.

Implications:

Organizations embedding third-party services or analytics tools on their websites may be jointly liable for data processing.
ISS providers offering configurable services (such as page customization, advertising preferences, or tracking settings) must assess joint responsibilities under Article 26 GDPR.

Fashion ID Case (C-40/17): Social Plugins and Shared Responsibility

In Fashion ID GmbH & Co. KG v Verbraucherzentrale NRW, the CJEU addressed whether a website that embeds a Facebook “Like” button is a joint controller for the transmission of personal data to Facebook.

Key Findings:

The operator of a website is a joint controller for the collection and transmission of personal data (such as IP addresses and browser information) to Facebook.
The operator is not a controller for subsequent processing carried out solely by Facebook.

Implications:

This ruling highlights the granular nature of joint controllership, limited to specific stages of data processing.
Websites using embedded tools must disclose data transfers in their privacy notices and, where required, obtain valid consent for third-party data collection.

Jehovan Todistajat Case (C-25/17): Offline Application of Joint Controllership

Although not focused on an ISS, the Jehovan Todistajat case further solidified the broad scope of joint controllership. Members of the religious community collected personal data during door-to-door preaching without formal documentation or centralized storage.

Key Findings:

The religious community and individual members were joint controllers under GDPR, even without formal coordination or access to the full dataset.
The Court emphasized the importance of common purposes in establishing controllership, even where technical means are fragmented.

Implicaties voor ISS:

Platforms en affiliates die samenwerken—zelfs informeel—aan het verzamelen van gebruikersgegevens, kunnen gezamenlijk aansprakelijk zijn.
Informele of gedecentraliseerde verwerkingsstructuren doen entiteiten niet beschermen tegen gezamenlijke verwerkingsverantwoordelijkheid.

Bundeskartellamt v Meta (Zaak T-201/22): Concurrentie ontmoet GDPR

Hoewel nog in juridische ontwikkeling, daagt de zaak van de Duitse mededingingsautoriteit tegen Facebook (nu Meta) de excessieve gegevensverzameling praktijken onder beide AVG en mededingingsrecht. Het HvJEU zal moeten verduidelijken of platformdominantie en toestemming van de gebruiker handelen in overeenstemming met de principes van gegevensbescherming.

Opkomende trend:

Rechtbanken en toezichthouders behandelen steeds vaker platformbrede tracking en data consolidatie tussen diensten als potentieel beledigend of onwettig wanneer deze niet vergezeld gaat van geïnformeerde, vrijwillig gegeven toestemming.

Belangrijkste punten voor ISS-providers

Beoordeel gezamenlijke verantwoordelijkheid proactief
Elke samenwerking waarbij gebruik wordt gemaakt van gedeelde tools, plug-ins of analysefuncties kan gezamenlijke verantwoordelijkheden creëren. Formaliseer afspraken en verduidelijk rollen via contracten en privacybeleid.
Segmentverwerkingsfasen
Aansprakelijkheid is mogelijk alleen van toepassing op bepaalde stadia van verwerking. Identificeer duidelijk waar uw organisatie begint met of bijdraagt aan gegevensverzameling en -overdracht.
Versterk mechanismen voor transparantie en toestemming
Tools van derden insluiten? Maak ze prominent bekend en vraag toestemming aan de gebruiker waar wettelijk vereist—vooral voor marketing en profilering.
Joint Controller Agreements (JCA) implementeren
Volgens artikel 26 AVG moeten gezamenlijke verwerkingsverantwoordelijken een Gezamenlijke Verwerkingsverantwoordelijke Overeenkomst, waarbij verantwoordelijkheden worden toegewezen en een contactpunt voor betrokkenen wordt geboden.
Volg juridische ontwikkelingen op meer dan alleen gegevensbescherming
Kwesties van gezamenlijke verantwoordelijkheid komen nu samen met het mededingingsrecht, de consumentenbescherming en de platformregulering. Blijf op de hoogte van bredere juridische trends die van invloed zijn op digitale diensten.

Conclusie

De evoluerende jurisprudentie van het HvJEU heeft stevig vastgesteld dat Diensten van de informatiemaatschappij kunnen de verantwoordelijkheden van de verwerkingsverantwoordelijke delen met website-exploitanten, partners en zelfs gebruikers, afhankelijk van de aard van de gegevensinteractie. Voor juridisch adviseurs en compliance-teams is het niet langer voldoende om een platform als een neutrale host te classificeren. De daadwerkelijke invloed op de manier waarop gegevens worden verzameld en gebruikt, is nu de doorslaggevende factor.

Naarmate de regelgevingsomgeving complexer wordt onder de Digital Services Act, de ePrivacy-verordening en de voortdurende GDPR-handhaving, moeten ISS-providers een alomvattende en gedocumenteerde aanpak naar data governance en verantwoordelijkheden van de controller.

Hulp nodig bij het beoordelen van uw gegevensverwerkingsrelaties of het opstellen van GDPR-conforme overeenkomsten voor gezamenlijke verwerkingsverantwoordelijken? Ons team voor gegevensbescherming adviseert platforms en aanbieders van digitale diensten in de hele EU over het structureren van rechtmatige, transparante gegevenspraktijken. Neem contact op voor een consult.