Google Fonts'un dinamik entegrasyonuna ilişkin hukuki anlaşmazlık bir sonraki ve belirleyici tura giriyor. Federal Adalet Divanı (BGH) yakın zamanda aldığı bir kararla, ön karar için Avrupa Adalet Divanı'na (ECJ) üç temel soruyu sunmak amacıyla yargılamaları askıya aldı. VI ZR 258/24 dosya numaralı dava, son yıllarda binlerce web sitesi operatörünü merakta bırakan bir iş modelinin sonu anlamına gelebilir: toplu uyarı amacıyla veri koruma ihlallerinin sistematik olarak provokasyonu.
Reklamdan sonra devamını okuyun
BGH şöyle açıklıyor: Davalı, “çok sayıda web sitesini Google Fonts'un dinamik entegrasyonu açısından otomatik olarak kontrol etmek için” bir web tarayıcısı kullandı. Diğer şeylerin yanı sıra davacının web sitesinde bir “isabet” elde etti. Bu amaca özel olarak geliştirilen ek yazılımlar yardımıyla davalının davacının ana sayfasını ziyareti otomatik olarak gerçekleştirilmiştir. Sanığa atanan dinamik IP adresi ABD'deki Google'a iletildi.
28 Ağustos tarihli ve şu anda yayınlanan sunuma göre, ABAD'ın şimdi açıklığa kavuşturması gereken ilk soru, veri korumanın temeli ile ilgili: Genel Veri Koruma Yönetmeliği'nin (GDPR) 4. Maddesi anlamında bilgi tam olarak ne zaman “kişisel” olur? Hannover Bölge Mahkemesi şeklindeki temyiz makamı daha önce bu özel davada dinamik olarak atanan IP adresinin kişisel veri olmadığını savunmuştu. Sebep: ABD şirketi Google, ziyaretçiyi kendi İnternet erişim sağlayıcısını kullanarak tespit edecek yasal araca sahip değildir.
“Kontrol kaybı” kasıtlı olarak yaratıldı
Ancak BGH burada şüphelerini dile getiriyor. “Göreceli bir standardın” geçerli olup olmadığını bilmek istiyor. Bu, veriyi alan kişinin kişiyi temel olarak tanımlayıp tanımlayamayacağına bağlı olacaktır. Öte yandan, bir “objektif standart” geçerliyse, sağlayıcı gibi birisinin bu kişiyle bağlantı kurabilmesi durumunda, dinamik bir IP adresi zaten kişisel olacaktır. Eğer ABAD bu “objektif” yaklaşımı izleseydi, IP adreslerini aktarırken veri koruma ihlallerinin önündeki engel, birçok mahkemenin daha önce varsaydığından önemli ölçüde daha düşük olurdu.
Bahsedilen ikinci soru daha da karmaşıktır ve GDPR'nin 82. Maddesi kapsamındaki maddi olmayan hasar kavramıyla ilgilidir. Şimdiye kadar mahkemeler hasarı çoğunlukla “istemsiz kayıp” olarak görüyordu. Ancak mevcut davada davalı, sırf belgeleyebilmek ve maddi olarak talep edebilmek için bilinçli ve aktif olarak ihlale neden olmuştur.
BGH, bir veri sahibinin istemsiz olarak verilerinin kontrolünden vazgeçmemesi, bunun yerine kasıtlı olarak “kontrol kaybı” sahnelemesi durumunda maddi olmayan hasarın gerçekten var olup olamayacağını bilmek istiyor. Bu durum özellikle bu tür ihlallerin çok sayıda otomatik olarak tetiklendiği durumlarda geçerlidir. ABAD, geçmişte de zarar kavramının geniş yorumlanması gerektiğini defalarca vurgulamıştı. Ancak bilinçli provokasyon sorusunun yanıtı henüz bilinmiyor.
Veri koruma sorunları bildirimi?
Reklamdan sonra devamını okuyun
Üçüncü soru, hak ihlallerine köprü kuruyor. Avukatlar bir ihlali ve resmi zararı doğrulasa bile, iyi niyete dayalı bir iddia hariç tutulabilir. BGH açıklama istiyor: İlgili kişinin mali avantaj elde etmek amacıyla bu talebin koşullarını yapay olarak yaratması durumunda tazminat talebi reddedilebilir mi?
Belirleyici olan, bir miktar para elde etmenin tek motivasyon mu olması gerektiği, yoksa bu maddi çıkar açıkça ön plandaysa yeterli olup olmadığıdır. Temyiz mahkemesi, sanığın aynı zamanda veri koruma sorunlarına işaret etmeyi amaçlamış olabileceği ihtimalini de göz ardı edemedi.
Toplu uyarılara karşı şüphecilik
ECJ kararının dijital ekonomi açısından çığır açıcı olması muhtemel. BT avukatı Jens Ferner, bir yandan GDPR'nin gizliliği korumak için keskin bir kılıç görevi görmeye devam edip etmeyeceği meselesinin olduğunu söylüyor. Öte yandan otomatik dava sektörlerinin aracı haline gelmesinin de engellenmesi gerekiyor. Temyiz mahkemesi, iddiaların kasıtlı olarak kışkırtılması nedeniyle Alman Medeni Kanunu'nun (BGB) 826. Maddesi uyarınca sanığın davranışını ahlaka aykırı kasıtlı zarar olarak sınıflandırmış olsa da, ABAD'ın artık AB hukukunun bileşenini kesin olarak incelemesi gerekiyor.
Web sitesi operatörleri açısından durum, Lüksemburg'un birkaç ay ya da yıl içinde çıkması muhtemel olmayan karara kadar belirsizliğini koruyor. Ancak BGH'nin sunumu, Karlsruhe yargıçlarının toplu uyarı uygulamasına ciddi şüpheyle baktığını gösteriyor. Otomatik tarayıcı ziyaretlerinden kolay kazanç elde edilen günler yakında sona erebilir.
Avrupa Adalet Divanı 2016'da şu kararı verdi: Dinamik IP adresi gibi takma ad kullanılan veriler otomatik olarak anonim değildir. Kişinin kimliğinin “ek bilgi” yoluyla geri getirilmesi mümkün olduğu sürece kişisel referans kalır. Burada önemli olan veri sorumlusunun yeniden kimlik belirleme imkânına sahip olup olmadığıdır. Buna internet sağlayıcıları veya yetkililer gibi üçüncü taraflarla işbirliği seçeneği de dahildir.
(Asla)
Bir yanıt yazın