Afdeling privaatrecht, voorzieningenrechter civiel
zaaknummer / rolnummer: C/13/747731 / KG ZA 24-199 VVV/MB
in de zaak van
[eiser]
wonende te
[woonplaats]
,
eiser bij (gelijkluidende) dagvaardingen op verkorte termijn van 21 maart 2024 en exploot van 25 april 2024,
advocaat mr. M.H.L. Hemmer te Rotterdam,
tegen
1. de rechtspersoon naar Iers recht
kantoorhoudend te Dublin, Ierland,
2. de besloten vennootschap met beperkte aansprakelijkheid
gevestigd te Amsterdam,
advocaat mr. R.J.J. Westerdijk te Amsterdam,
3. de rechtspersoon naar het recht van de Verenigde Staten
kantoorhoudend te Redmond, Washington, Verenigde Staten,
4. de rechtspersoon naar Iers recht
kantoorhoudend te Dublin, Ierland,
5. de besloten vennootschap met beperkte aansprakelijkheid
kantoorhoudende te Schiphol,
advocaat mr. L. Poolman te Amsterdam,
6. de rechtspersoon naar het recht van de Verenigde Staten
gevestigd te Redmond, Washington, Verenigde Staten,
advocaat mr. C. Jeloschek te Amsterdam,
gedaagden.
1
De procedure
Voor de aanvang daarvan op 11 april 2024 is de mondelinge behandeling van deze zaak verplaatst naar 22 mei 2024. Ter zitting van die dag heeft eiser, hierna
[eiser]
de vorderingen zoals omschreven in de dagvaarding toegelicht. Gedaagden (hierna ook: Microsoft c.s.) hebben (op 17 mei 2024) een incidentele conclusie houdende exceptie van onbevoegdheid dan wel niet-ontvankelijkheid ingediend.
[eiser]
heeft aan de hand van een conclusie van antwoord verweer gevoerd in het incident. Beide partijen hebben schriftelijke stukken en een pleitnota ingediend.
Ter zitting waren aanwezig, voor zover hier van belang:
-
[eiser]
het eerste half uur via een videoverbinding, mr. Hemmer en zijn kantoorgenote mr. S. Hendriks (fysiek aanwezig);
- voor gedaagden 1 en 2 (gezamenlijk ook LinkedIn en afzonderlijk LinkedIn Ierland en LinkedIn B.V.: via een videoverbinding:
[naam 1]
,
[naam 2]
(beiden van de technische afdeling),
[naam 3]
,
[naam 4]
en
[naam 5]
(alledrie van de juridische afdeling),
- voor gedaagden 3, 4 en 5 (gezamenlijk ook Microsoft en afzonderlijk Microsoft VS, MIOL en Microsoft BV): via een videoverbinding:
[naam 6]
en
[naam 7]
(beiden van de technische afdeling),
[naam 8]
en
[naam 9]
(beiden van de juridische afdeling).
Voor gedaagde 6 (Xandr): via een videoverbinding:
[naam 10]
van de technische afdeling.
Voor gedaagden waren (fysiek) de volgende advocaten aanwezig: mr. Westerdijk en mr. Jeloschek, mr. Poolman en hun kantoorgenote mr. R. Berg;
Verder waren aanwezig L. Crul en via videoverbinding A. Mijné en G. Bugel, tolk-vertalers ten behoeve van gedaagden.
Vonnis is bepaald op heden.
3
De feiten
3.1.
[eiser]
is een Nederlandse natuurlijke persoon.
3.2.
LinkedIn is een online netwerk-platform, met name gericht op het aangaan en behouden van professionele relaties, het vinden van een baan of een stageplaats en dat soort zaken.
3.2.1.
Het LinkedIn Platform wordt aan Europese gebruikers aangeboden door LinkedIn Ierland. Voordat een gebruiker toegang krijgt tot het LinkedIn Platform, moet hij een account aanmaken.
3.2.2.
LinkedIn biedt ook de dienst ‘LinkedIn Marketing Solutions’ (LMS) aan. Bedrijven kunnen via deze dienst advertentiecampagnes uitvoeren onder meer door aan hun doelpubliek (websitebezoekers en potentiële klanten) gerichte advertenties via internet te tonen. LMS klanten (‘advertisers’) kunnen de ‘Insight Tag’ installeren, een stukje JavaScript-code (computertaal) die de advertiser op diens website plaatst. Daarmee worden de ‘bcookie’ en de ‘li_sugr cookie’ op de browsers van de bezoekers van die websites geplaatst. Momenteel maken ongeveer 870.000 LMS klanten gebruik van de ‘Insight Tag’. Volgens LinkedIn heeft de ‘Insight Tag’ de volgende mogelijkheden:
Create conversions to track when a LinkedIn member visits a page or takes an action on your website after viewing or clicking your ads (…) Create and build website audiences to retarget LinkedIn members who visit your site
3.3.
Microsoft biedt, naast haar producten voor consumenten, bedrijfssoftware aan, aan zakelijke klanten in de Europese Unie (EU), en daaraan verbonden diensten, waaronder advertentie- en analytische diensten.
3.3.1.
Een van de analytische diensten van Microsoft is Clarity. Deze dienst is gericht op het analyseren van gedrag van websitebezoekers. Ook om van Clarity gebruik te kunnen maken moet de website beheerder een stukje Java-Script integreren, wat tot gevolg heeft dat de ‘CLID-cookie’ op de browsers van die websitebezoekers wordt geplaatst. MIOL is de aanbieder van de Clarity-dienstverlening in de EU. Op dit moment maken miljoenen websitebeheerders gebruik van de Clarity-dienstverlening. In de Privacyverklaring van Microsoft staat onder meer:
Tenzij anders vermeld, fungeren in situaties waarin Microsoft een gegevensbeheerder is Microsoft Corporation en, voor personen in de Europese Unie (…) Microsoft Ireland Operations Limited, als verwerkingsverantwoordelijken voor persoonsgegevens die we verzamelen via de producten waarop deze verklaring van toepassing is.
3.3.2.
Een advertentiedienst van Microsoft is Microsoft Advertising. Microsoft exploiteert verschillende eigen websites waarop advertentieruimte te koop wordt aangeboden aan advertisers die gebruik maken van de Microsoft Advertising dienst. Eén van die websites is www.bing.com, de online zoekmachine van Microsoft. Via Microsoft Advertising kunnen advertisers hun advertenties ook tonen op de advertentieruimte van ‘third-party’ websitebeheerders. De websitebeheerders kunnen het stukje Java-script van Microsoft Advertising integreren, waarmee de ‘MUID’ en de ‘MSPTC’ cookie op de browsers van de websitebezoekers wordt geplaatst. Tienduizenden klanten maken momenteel gebruik van de Microsoft Advertising-dienstverlening.
3.4.
Xandr is een online platform voor het kopen en verkopen van digitale advertenties. Zij biedt in dat kader voor ‘publishers’ de dienst ‘Monetize’ aan en voor advertisers de dienst ‘Invest’.
3.4.1.
Om gebruik te maken van de diensten van Xandr moet de websitebeheerder het Xandr Java-script integreren, waarmee de ‘uuid2’, ‘XANDR-PANID’ en/of ‘anj’ cookies op de browsers van websitebezoekers kunnen worden geplaatst.
3.5.
Alle gedaagden maken deel uit van de Microsoft groep, Xandr sinds 2022.
3.6.
Onder de gedingstukken bevindt zich een rapport van M. Stoter van het Engelse bedrijf Collective Shift, ingeschakeld door (de advocaat van)
[eiser]
om een onafhankelijke analyse te maken van de persoonsgegevens die worden verzameld door Microsoft c.s. via de door hem bezochte websites, waaronder het plaatsen en lezen van op de apparatuur van
[eiser]
geplaatste cookies. Hierin staat dat 27 van de 30 op 22 januari 2024 door
[eiser]
bezochte websites cookies hebben geplaatst en/of uitgelezen zonder toestemming van
[eiser]
en 24 van die sites ook na diens expliciete weigering die toestemming te verlenen. Stoter’s conclusie is dat Microsoft op deze wijze individuele persoonlijke data over
[eiser]
’s ‘browsing habits’ verzamelt zonder diens toestemming.
3.7.
Gedaagden hebben het rapport van Stoter onderworpen aan een technische analyse, uitgesplitst naar de cookies van respectievelijk LinkedIn, (Bcookie en li_sugr), Clarity (CLID), Microsoft Advertising (MUID en/of MSPTC) en Xandr (uuid, XANDR-PANID, anj). In deze analyse wordt ten aanzien van de door
[eiser]
bezochte (gerapporteerde) websites geconcludeerd:
- ten aanzien van LinkedIn: dat 1 van de 11 websites LinkedIn cookies heeft geplaatst zonder toestemming;
- ten aanzien van Microsoft Advertising: 7 van de 16;
- ten aanzien van Xandr: 5 van de 11;
- ten aanzien van Clarity: geen van de twee gerapporteerde websites;
(in totaal 13 van de 40 dus)
3.8.
Bij brieven van 1 en 2 februari 2024 heeft
[eiser]
Microsoft c.s. gesommeerd om niet langer al dan niet via ‘third-party websites’ tracking cookies op zijn computer of andere apparaten te plaatsen zonder zijn toestemming.
3.9.
Bij brieven (e-mails) van 27 en 29 februari 2024 hebben Microsoft c.s. aan de advocaat van
[eiser]
meegedeeld dat het niet mogelijk is om
[eiser]
op basis van de MUID, CLID of LinkedIn (bcookie en li_sugr) te identificeren – omdat de vermelde cookies niet op betrouwbare wijze aan hem te linken zijn. Microsoft vermeldt verder dat
[eiser]
deze cookies van zijn apparatuur kan verwijderen.
3.10.
Naar aanleiding van aanvullende meldingen van
[eiser]
, over door hem bezochte websites op 15 mei 2024, heeft Microsoft c.s. opnieuw een technische analyse gemaakt. Ook daaruit komt naar voren dat door een deel van de websitehouders van door
[eiser]
bezochte websites cookies zijn geplaatst zonder voorafgaande toestemming.
(6 van de 12 aanvullend onderzochte websites).
5
De beoordeling
5.1.
Vóór alle weren hebben gedaagden de bevoegdheid van de voorzieningenrechter betwist ten aanzien van gedaagden 1, 3, 4 en 6. De voorzieningenrechter acht zich echter ook met betrekking tot die gedaagden bevoegd. Daarover wordt het volgende overwogen.
5.2.
Anders dan gedaagden hebben bepleit, wordt ervan uitgegaan dat
[eiser]
in
[woonplaats]
woont. Hij heeft een Nederlands paspoort en heeft een document overgelegd waarbij hij op een adres in
[woonplaats]
in de plaats wordt gesteld als huurder, per 1 mei 2024.
[eiser]
heeft verklaard dat hij sinds ongeveer drie jaar in
[woonplaats]
woont, voorafgaand aan 1 mei 2024 op een ander adres. Voorshands zijn er geen redenen om aan de juistheid van die verklaring te twijfelen.
[woonplaats]
wordt daarom in dit kort geding aangemerkt als zijn gewone verblijfplaats.
5.3.
Ten aanzien van de in Ierland gevestigde rechtspersonen is de Nederlandse voorzieningenrechter bevoegd om te oordelen over de vorderingen, zowel op grond van artikel 79 lid 2 Algemene Verordening gegevensbescherming (AVG) (gewone verblijfplaats betrokkene), artikel 7 lid 2 Verordening (EU) Nr. 1215/2012 van het Europees Parlement en de Raad betreffende de rechterlijke bevoegdheid, de erkenning en tenuitvoerlegging van beslissingen in burgerlijke en handelszaken (Brussel I bis) (plaats schadebrengend feit, ‘Erfolgsort’, in dit geval Amsterdam) als artikel 8 lid 1 Brussel I bis (nauwe band tussen vorderingen tegen gedaagden). Anders dan gedaagden hebben betoogd valt uit de wetsgeschiedenis en jurisprudentie niet af te leiden dat bevoegdheid op grond van het ‘Erfolgsort’ alleen aan de orde is als een vordering tot schadevergoeding wordt ingediend. Al uit het feit dat de bevoegdheidsgrond ook geldt wanneer het schadebrengende feit zich in het Erfolgsort “kan voordoen” volgt dat deze grond niet beperkt is tot schadevergoedingsvorderingen. Bovendien zou de interpretatie van Microsoft c.s. het ongerijmde gevolg hebben dat een vordering tot staken van onrechtmatig handelen, of tot het vragen van een oordeel of daarvan sprake is, niet aan dezelfde rechter zou kunnen worden voorgelegd als de vordering tot voldoening van de daaruit voortvloeiende schade. Dat staat onder meer haaks op een arrest van het Hof van Justitie EU van 25 oktober 2012
[eiser]
terecht heeft aangevoerd.
5.4.
Ten aanzien van de Amerikaanse gedaagden is Brussel I-bis niet van toepassing, maar moet worden aangeknoopt bij de commune regels voor internationale bevoegdheid in artikel 1-14 van het Wetboek van Burgerlijke rechtsvordering (Rv.) Op basis van artikel 6 onder e Rv. (bij onrechtmatige daad bevoegdheid op grond van de plaats van het schadebrengende feit) en artikel 7 lid 1 Rv. (tussen de vorderingen tegen de onderscheiden gedaagden bestaat een zodanige samenhang dat redenen van doelmatigheid een gezamenlijke behandeling rechtvaardigen) acht de voorzieningenrechter zich daarom ook jegens hen bevoegd.
5.5.
Op de vorderingen is Nederlands recht van toepassing op grond van artikel 10:159 BW jo. artikel 4 lid 1 Verordening (EU) Nr. 864/2007 van het Europees Parlement en de Raad betreffende het recht dat van toepassing is op niet contractuele verbintenissen (Rome II).
5.6.
Anders dan Microsoft c.s. betogen heeft
[eiser]
bij zijn vorderingen een spoedeisend belang. Hij stelt immers dat gedaagden onrechtmatig jegens hem handelen door het aantasten van zijn privacy rechten. Als dat het geval is, moet daaraan zo snel mogelijk een eind worden gemaakt. In dat verband kan niet van
[eiser]
worden gevergd de uitkomst van een bodemprocedure af te wachten.
Microsoft c.s. hebben zelf erkend dat een – weliswaar volgens hen slechts gering – aantal van de websites waarop dit geding betrekking heeft zich niet houdt aan het toestemmingsvereiste voor het plaatsen van bepaalde cookies. Een spoedeisend belang bij de gevraagde voorzieningen vloeit daaruit voort. De omstandigheid dat het
[eiser]
mogelijk te doen is om een breder dan alleen zijn eigen belang – volgens gedaagden trekt hij ten strijde tegen Tracking cookies en het zogenoemde real Time Bidding systeem als zodanig, daarmee een ‘activistisch doel’ nastrevend – neemt niet weg dat hij een individueel belang heeft bij het respecteren van zijn privacy rechten. Een geschil daarover kan hij dan ook ter toetsing aan de rechter voorleggen.
[eiser]
is dan ook ontvankelijk in zijn vorderingen.
5.7.
Het draait in deze zaak om (hoofdzakelijk third-party) tracking cookies. De Autoriteit persoonsgegevens (AP) definieert cookies als volgt
Cookies zijn kleine bestanden die de eigenaar van een website op het apparaat van een bezoeker plaatst. Bijvoorbeeld op een computer, laptop, smartphone of tablet
Er zijn 3 soorten cookies:
- functionele cookies;
- analytische cookies;
- tracking cookies.
De AP zegt over tracking cookies:
Als cookies ook bij bezoek aan een andere website kunnen worden uitgelezen, noemen we dit tracking cookies. Met deze cookies kunnen organisaties het internetgedrag van mensen door de tijd heen volgen. Tracking cookies maken het mogelijk om profielen van mensen op te stellen (profiling) en hen anders te behandelen. Met tracking cookies worden meestal persoonsgegevens verwerkt
Uit de informatie over bezochte websites kunnen persoonlijke interesses worden afgeleid. Daarmee kunnen organisaties hun websitebezoekers bijvoorbeeld gerichte advertenties tonen. (…) Verwerkt u met tracking cookies persoonsgegevens van de bezoekers aan uw website? Dan moet u aan de regels van de Algemene verordening gegevensbescherming (AVG) voldoen.
5.8.
Partijen zijn het erover eens dat voor het plaatsen en lezen van tracking cookies voorafgaande toestemming van de betrokkene nodig is, op basis van artikel 11.7a van de Telecommunicatiewet en voor het verwerken van daarop verzamelde persoonsgegevens op grond van de AVG.
Artikel 11.7a Telecommunicatiewet luidt, voor zover relevant, als volgt:
1. Onverminderd de Algemene verordening gegevensbescherming is het via een elektronisch communicatienetwerk opslaan van of toegang verkrijgen tot informatie in de randapparatuur van een gebruiker, alleen toegestaan op voorwaarde dat de betrokken gebruiker:
a. is voorzien van duidelijke en volledige informatie overeenkomstig de Algemene verordening gegevensbescherming, in ieder geval over de doeleinden waarvoor deze informatie wordt gebruikt, en
b. daarvoor toestemming heeft verleend.
De verwerkingsverantwoordelijken in de zin van de AVG moeten voor de verwerking van de persoonsgegevens middels cookies een rechtsgeldige verwerkingsgrondslag hebben. In het geval van tracking cookies waarmee persoonsgegevens worden verwerkt zal dat in de regel de a-grond van art 6 AVG zijn: “de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden”. Deze bepalingen zijn ook van toepassing op een buiten de EU gevestigde dienstverlener, als deze zich richt op personen in de EU.
5.9.
Gedaagden voeren aan – los van de procesrechtelijke verweren – dat de vorderingen van
[eiser]
niet kunnen worden toegewezen omdat, kort samengevat:
- zij geen gebruik maken van de cookie(gegevens) voor advertentiedoeleinden zonder expliciete toestemming van de persoon in kwestie;
- voor functionele cookies geen toestemming nodig is;
- voor cookies van LinkedIn toestemming is verleend;
- LinkedIn wat betreft de li_sugr cookie geen verwerkingsverantwoordelijke is, maar verwerker, en dit geldt ook voor Xandr wat betreft de door haar gebruikte cookies;
- de verplichting op grond van de Telecommunicatiewet bij de websitebeheerders ligt en niet bij gedaagden;
- voor zover gedaagden zelf verplichtingen hebben op grond van de AVG, zij zich daaraan houden en zij zich maximaal inspannen om te bewerkstelligen dat de websitebeheerders met wie zij contracteren dat ook doen; zo stellen zij scripts ter beschikking die het installeren en uitlezen van tracking cookies zonder dat daarvoor toestemming is verleend beletten; de meeste websitehouders leven die regels ook na; het rapport van de door
[eiser]
ingeschakelde deskundige waaruit zou blijken dat dit niet zo is, is broddelwerk.
5.10.
Met het verweer dat zij geen gebruik maken van de cookie(gegevens) voor advertentiedoeleinden zonder expliciete toestemming van de persoon in kwestie, lijken gedaagden te betogen dat zij door hun handelwijze met betrekking tot de tracking cookies geen persoonsgegevens verwerken. Dat verweer slaagt niet, om de volgende redenen.
5.10.1.
Gedaagden erkennen dat het merendeel van de hier in het geding zijnde cookies, namelijk de MUID, MSPTC, UUID, XANDR-PANID en anj cookies van Microsoft en Xandr, geplaatst worden voor het vastleggen van persoonsgegevens, waarmee profielen kunnen worden opgebouwd die
[eiser]
en het door hem in het geding gebrachte rapport, voldoende aannemelijk dat met
van dergelijke cookies persoonsgegevens worden verwerkt, in dit concrete geval die van
[eiser]
. Verwezen wordt naar artikel 4 onder 2 van de AVG , waarin onder “verwerking” wordt verstaan:
een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
Het is niet zo dat ‘verwerking’ pas aan de orde is als persoonsgegevens daadwerkelijk worden uitgelezen ten behoeve van advertenties. Het vastleggen ervan in een cookie is al voldoende. Door het plaatsen van de tracking cookies, die vervolgens automatisch worden ‘gevuld’ met persoonsgegevens zodra iemand (in dit geval
[eiser]
) de desbetreffende website bezoekt, met als doel om deze gegevens later uit te lezen, verwerken gedaagden zijn persoonsgegevens. Van belang is daarbij dat het begrip ‘persoonsgegevens’ in de toepasselijke wetgeving ruim wordt uitgelegd en niet is beperkt tot naam, adres en woonplaatsgegevens. Voldoende is dat de gegevens van geïndividualiseerde betrokkenen – in dit geval
[eiser]
– kunnen worden gekoppeld aan een ‘identifier’ en vastgelegd voor verdere verwerking, gericht op advertentiedoeleinden.
5.10.2.
Ten aanzien van de CLID cookie heeft Microsoft betwist dat deze als een tracking cookie kan worden gekwalificeerd. Echter gelet op haar eigen beschrijving van de werking daarvan:
[a]
free behavioral analysis tool that helps you understand how customers interact with your website. By integrating Universal Event Tracking (UET) with Clarity, you can use a single UET tag tor behavioral insights such as heatmaps and session playbacks, conversion tracking, automated bidding, and audience targeting.
(…)
Do you want to know more about who is visiting your website and what they do on it? If so, you will love Clarity's new feature: Visitor Profiles.
treft deze betwisting geen doel. Ook de CLID-cookie heeft tot doel het in kaart brengen van (individuele) bezoekers en hun surfgedrag en kan dus wel degelijk als tracking cookie worden aangemerkt, waarmee persoonsgegevens worden verwerkt.
5.10.3.
Ook met betrekking tot de LinkedIn cookies hebben gedaagden betwist dat deze als tracking cookies kunnen worden aangemerkt. De bcookie wordt volgens hen niet ingezet voor het identificeren van LinkedIn leden en niet voor online advertentiedoeleinden, maar voor het voorkomen van frauduleus verkeer. Het is daarmee volgens gedaagden een functionele cookie, zoals ook toegelicht door
[naam 2]
in een verklaring van 17 mei 2024.
[eiser]
heeft onvoldoende gesteld om aan te nemen dat dit anders is. De li_sugr cookie daarentegen is bedoeld om vast te stellen of de websitebezoeker LinkedIn lid is. Gedaagden hebben uiteengezet dat de reden daarvoor is dat de cookiegegevens verkregen via de Insight tag in de EU enkel worden gebruikt voor gepersonaliseerde advertenties als de websitebezoeker een LinkedIn lid is en daarvoor voorafgaande toestemming heeft gegeven. Met de li_sugr worden aldus wel gegevens vastgelegd van de websitebezoeker ten behoeve van advertentiedoeleinden. Daarmee worden dus persoonsgegevens van
[eiser]
verwerkt.
5.11.
Volgens artikel 4 AVG is de „verwerkingsverantwoordelijke”:
7. een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;
En de “verwerker”:
8. een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt;
5.12.
Microsoft benoemt in haar Privacy Verklaring (3.3.1) zelf dat zij als verwerkingsverantwoordelijke geldt bij het verzamelen van gegevens via haar producten. Ten aanzien van de CLID, MUID en MSPTC-cookies is MIOL dat volgens haar, naast de websitebeheerders. Anders dan gedaagden hebben betoogd kunnen ook de andere gedaagden – mogelijk met uitzondering van de Nederlandse vennootschappen waarover hierna meer – worden aangemerkt als verwerkingsverantwoordelijke ten aanzien van de respectievelijke andere hier genoemde cookies. Zij hebben de tracking cookies ontwikkeld en kunnen deze al dan niet beschikbaar stellen aan de websitebeheerders, met wie zij afspraken maken over onder meer de privacyregels. Zij zijn dus de (rechts-)personen die invloed uitoefenen op de betreffende verwerking van de persoonsgegevens en dus deelnemen aan de vaststelling en het doel en de middelen voor deze verwerking. Dat ook de websitebeheerders verwerkingsverantwoordelijke kunnen zijn doet daaraan niet af. Op grond van de AVG kan immers ook sprake zijn van een gezamenlijke verantwoordelijkheid. Voor Xandr geldt het voorgaande eveneens. Gedaagden hebben onvoldoende onderbouwd op grond waarvan LinkedIn en Xandr slechts als verwerker zou kunnen worden aangemerkt, nu ook Xandr en LinkedIn ‘eigen’ tracking cookies plaatsen en geen – althans niet standaard – sprake is van verwerking van deze gegevens ten behoeve van een ander.
5.12.1.
Gedaagden hebben aangevoerd dat de Nederlandse vennootschappen, LinkedIn B.V. en Microsoft B.V., geen enkele rol spelen bij het aanbieden van analytische en advertentiediensten en dus ook niet bij het plaatsen en uitlezen van tracking cookies.
[eiser]
heeft onvoldoende aannemelijk gemaakt dat het anders is. De enkele omstandigheid dat in de privacyverklaringen van LinkedIn en Microsoft is vermeld dat gegevens worden gedeeld met filialen en dochterondernemingen, waarop
[eiser]
heeft gewezen, is daartoe onvoldoende.
5.12.2.
Deze Nederlandse vennootschappen kunnen dus niet op voorhand worden aangemerkt als verwerkingsverantwoordelijken en van enig onrechtmatig handelen van hen jegens
[eiser]
is – ook anderszins – niet gebleken. Om die reden stranden de vorderingen van
[eiser]
tegen deze gedaagden.
5.13.
In het rapport van Stoter (3.6) en de aanvulling daarop is vermeld en toegelicht dat veel partners van gedaagden hun verplichtingen niet zijn nagekomen doordat er – voordat
[eiser]
iets heeft kunnen kiezen – cookies geplaatst zijn. Daarbij bleven gedaagden cookiegegevens en browser-informatie van sommige sites ontvangen, ook na het weigeren van toestemming.
5.14.
De verwerkingsverantwoordelijken moeten aantonen dat zij die toestemming hebben (artikel 5 lid 2 AVG) en dat kunnen zij blijkens het bovenstaande in een groot aantal gevallen niet. Gedaagden hebben weliswaar het rapport als ‘broddelwerk’ bestempeld, maar ook uit hun eigen technische analyses blijkt dat 19 van de 52 door
[eiser]
bezochte websites – zoals bijvoorbeeld www.kieskeurig.nl, www.condoom-anoniem.nl, www.ambtenarensalaris.nl en www.gratisaftehalen.nl – tracking cookies plaatsen zonder voorafgaande toestemming, of zelfs nadat de toestemming expliciet is geweigerd. Dat zijn, anders dan gedaagden menen, geen verwaarloosbare aantallen. Daarmee hebben de gedaagden, die kunnen worden aangemerkt als verwerkingsverantwoordelijken, niet voldaan aan hun wettelijke verplichtingen jegens
[eiser]
. Dat mogelijk honderden andere websitehouders zich wel aan de regels houden en de door
[eiser]
aangedragen websites niet ‘representatief’ zijn voor alle contacten van gedaagden, zoals zij hebben aangevoerd, doet daaraan niet af.
5.15.
De omstandigheid dat gedaagden nu stellen dat zij de door
[eiser]
genoemde unieke cookiecodes die verwijzen naar zijn browser, niet hebben teruggevonden in hun (advertentie)systemen, maakt het voorgaande ook niet anders. Volgens gedaagden zelf kunnen daarvoor meerdere oorzaken bestaan, waarvan één kan zijn dat gedaagden hebben vastgesteld dat geldige toestemming van gedaagden ontbrak, waardoor de cookie(gegevens) niet in de systemen zijn opgenomen. Wat de andere oorzaken kunnen zijn hebben zij niet nader toegelicht. Gelet op het rapport van Stoter, dat wijst op het tegendeel, hebben gedaagden hiermee onvoldoende aangetoond dat alleen tracking cookies op de apparatuur van
[eiser]
worden geplaatst als deze daarvoor zijn toestemming heeft gegeven.
5.16.
Anders dan gedaagden hebben betoogd, hebben zij ook niet aangetoond dat
[eiser]
voor plaatsing van de LinkedIn cookies toestemming heeft verleend.
[eiser]
heeft gesteld dat deze cookies verschenen in zijn lege browser zonder zijn toestemming; volgens gedaagden zou dat niet moeten kunnen, tenzij
[eiser]
in een eerder stadium wel toestemming zou hebben verleend, wat de computer ‘onthouden’ heeft. Voorshands is deze (veronder)stelling tegenover de gemotiveerde betwisting daarvan door
[eiser]
onvoldoende om van gegeven toestemming uit te gaan.
5.17.
De betrokken gedaagden kunnen zich voor het verkrijgen van toestemming niet verschuilen achter hun partners. Zij hebben het verkrijgen van toestemming contractueel uitbesteed aan haar partners en dat mag. Dat betekent dat áls de partner informatie verstrekt over en toestemming verkrijgt voor het plaatsen van cookies, gedaagden dat niet óók hoeven te doen.
5.18.
Ook de verplichtingen uit de Tw rusten, anders dan gedaagden hebben bepleit, niet enkel op de websitehouders. De wetgever heeft dat als volgt verwoord:
Er worden in de praktijk ook vaak cookies geplaatst die een ander doel dienen dan de uitvoering van de communicatie of strikt noodzakelijk zijn om ervoor te zorgen dal de aanbieder van een door de gebruiker gevraagde dienst van de informatiemaatschappij deze dienst kan leveren. Vaak gaat het dan om cookies die worden geplaatst en gelezen door een ander dan de door gebruiker gekozen site (domein) en die bedoeld zijn om gegevens te verzamelen over het surfgedrag van de gebruiker. Deze gegevens kunnen vervolgens worden gebruikt voor marketingdoeleinden. Een dergelijke handelwijze is
toegestaan mits de gebruiker over deze doeleinden is geïnformeerd en hiervoor toestemming van de gebruiker is verkregen overeenkomstig het eerste lid.
De bepaling in het eerste lid
[van artikel 11.7(a) Tw]
richt zich tot degene die de informatie op het randapparaat opslaat dan wel tot degene die zich toegang verschaft tot informatie op het randapparaat. De plaatser van de cookie is degene tot wie het eerste lid zich richt. Deze plaatser kan de aanbieder van de betreffende website zijn, maar dat hoeft niet. Het kan ook een derde zijn die met de aanbieder van de website (of een tussenpersoon) is overeengekomen dat hij via de website cookies mag plaatsen/lezen. Dit neemt niet weg dat de aanbieder van de website een zekere verantwoordelijk heeft.
De uitspraken van het College van Beroep voor het bedrijfsleven waarop Gedaagden zich beroepen – waarin zou zijn geoordeeld dat een software aanbieder niet kon worden aangesproken voor overtredingen van het Besluit universele dienstverlening en eindgebruikersbelangen – leiden niet tot een ander oordeel. Deze uitspraken rechtvaardigen namelijk niet de conclusie dat
5.19.
Als de gedaagden/verwerkingsverantwoordelijken aan hun contractspartners tools ter beschikking stellen waardoor het onmogelijk wordt de tracking cookies zonder toestemming te plaatsen en ervoor zorg draagt dat dit ook daadwerkelijk leidt tot een overeenkomstige praktijk, zal van onrechtmatig handelen geen sprake zijn. Dat is tot dusver echter, zoals uit het voorgaande (met name het overwogene in 5.14) blijkt, niet het geval. Gedaagden kunnen zich er dan ook niet op beroepen dat zij al het noodzakelijke, althans alles wat van hen kan worden gevergd, hebben gedaan om plaatsing van tracking cookies op devices van
[eiser]
zonder zijn toestemming te voorkomen. Dat dit technisch onmogelijk zou zijn is voorshands evenmin aannemelijk geworden.
5.20.
Dit alles leidt tot de conclusie dat Microsoft c.s. (met uitzondering van LinkedIn B.V. en Microsoft B.V.) door plaatsing en/of uitlezing van de (tracking) cookies zonder zijn toestemming, onrechtmatig hebben gehandeld jegens
[eiser]
, wegens strijd met de Tw en de AVG. Er is daarom voldoende grond aanwezig voor toewijzing van de vordering van
[eiser]
onder I, met dien verstande dat een specifiek gebod wordt toegewezen tot het staken en gestaakt houden van het zonder zijn toestemming (doen) plaatsen en uitlezen van tracking cookies en andere cookies waarvoor toestemming vereist is, op devices van
[eiser]
. Het gevorderde is iets anders geformuleerd, maar komt op hetzelfde neer; het gevorderde ‘staken van het onrechtmatig handelen’ lijkt geen zelfstandige betekenis te hebben en wordt daarom achterwege gelaten. Tegen de vorderingen onder II en III is geen afzonderlijk verweer gevoerd, zodat ook die voor toewijzing gereed liggen. Een belangenafweging leidt niet tot een ander oordeel. De dwangsom zal worden gematigd en gemaximeerd zoals hierna in de beslissing vermeld. Indien gedaagden in een later stadium alsnog genoegzaam kunnen aantonen dat
[eiser]
voor plaatsing van bepaalde cookies wél zijn toestemming heeft verleend, handelen zij niet in strijd met het gegeven gebod en zijn zij vanzelfsprekend geen dwangsommen verschuldigd.
5.21.
Als de in het ongelijk gestelde partij zal Microsoft c.s. (met uitzondering van LinkedIn B.V. en Microsoft B.V.) worden veroordeeld in de proceskosten van
[eiser]
. Voor een proceskostenveroordeling ten gunste van LinkedIn B.V. en Microsoft B.V., jegens wie de vorderingen worden afgewezen, bestaat onvoldoende aanleiding, aangezien zij geen (substantiële) extra kosten hebben gemaakt ten opzichte van hun medegedaagden.
5.22.
Het EEX-certificaat als bedoeld in artikel 53 Brussel-I-bis-Verordening zal worden afgegeven zoals gevorderd, uiterlijk op 14 juni 2024.
