Rechtbank Amsterdam, 30-06-2021, ECLI:NL:RBAMS:2021:3307, C/13/683377 / HA ZA 20-468
Rechtbank Amsterdam, 30-06-2021, ECLI:NL:RBAMS:2021:3307, C/13/683377 / HA ZA 20-468
Gegevens
- Instantie
- Rechtbank Amsterdam
- Datum uitspraak
- 30 juni 2021
- Datum publicatie
- 2 juli 2021
- ECLI
- ECLI:NL:RBAMS:2021:3307
- Zaaknummer
- C/13/683377 / HA ZA 20-468
Inhoudsindicatie
Data Privacy Stichting mag namens Nederlandse gebruikers van de Facebook-dienst voor de Nederlandse rechter procederen tegen Facebook over de vraag of Facebook de privacy van haar gebruikers heeft geschonden.
Uitspraak
vonnis
Afdeling privaatrecht
zaaknummer / rolnummer: C/13/683377 / HA ZA 20-468
Vonnis in incident van 30 juni 2021
in de zaak van
de stichting
DATA PRIVACY STICHTING,
gevestigd te Amsterdam,
eiseres in de hoofdzaak,
verweerster in de incidenten,
advocaat mr. J.H. Lemstra te Amsterdam,
tegen
1. de besloten vennootschap met beperkte aansprakelijkheid
FACEBOOK NETHERLANDS B.V.,
gevestigd te Amsterdam,
2. de rechtspersoon naar buitenlands recht
FACEBOOK INC.,
gevestigd te Menlo Park (Californië, Verenigde Staten),
3. de rechtspersoon naar buitenlands recht
FACEBOOK IRELAND LTD.,
gevestigd te Dublin (Ierland),
gedaagden in de hoofdzaak,
eiseressen in de incidenten,
advocaat mr. G.H. Potjewijd te Amsterdam.
Eiseres zal hierna de Stichting en gedaagden zullen hierna Facebook Nederland, Facebook Inc. en Facebook Ierland (gezamenlijk: Facebook c.s.) worden genoemd.
1 De procedure
Het verloop van de procedure blijkt uit:
- -
-
de gelijkluidende dagvaardingen van 30 december 2019,
- -
-
de akte overlegging producties van de Stichting van 6 mei 2020,
- -
-
de akte inzake bevoegdheid, aanhouding, ontvankelijkheid en toepasselijk recht van Facebook c.s. van 26 augustus 2020, met producties,
- -
-
de conclusie van antwoord in het incident inzake bevoegdheid, aanhouding, ontvankelijkheid en toepasselijk recht, tevens akte wijziging van eis, van de Stichting van 25 november 2020, met producties,
- -
-
het tussenvonnis van 27 januari 2021, waarbij een mondelinge behandeling is bepaald,
- -
-
het proces-verbaal van mondelinge behandeling, gehouden op 1 april 2021, en de daarin genoemde stukken.
Ten slotte is vonnis bepaald in de incidenten.
2 De feiten voor zover van belang in de incidenten
Facebook Nederland, Facebook Ierland en Facebook Inc. behoren tot het Facebook-concern. Dat concern biedt een sociale netwerkdienst aan (hierna ook: de Facebook-dienst). De Facebook-dienst fungeert als social mediaplatform waarmee gebruikers onder meer ervaringen kunnen delen en in contact kunnen komen met informatie en mensen. Wereldwijd maken ruim 2,7 miljard personen gebruik van de Facebook-dienst.
De gebruiker betaalt geen financiële vergoeding voor de Facebook-dienst. Het bedrijfsmodel van het Facebook-concern is gebaseerd op inkomsten uit de verkoop van (gepersonaliseerde) advertenties.
Facebook Inc. is opgericht op 4 februari 2004 en heeft haar hoofdkantoor in de Verenigde Staten. Facebook Ierland is een op 6 oktober 2008 opgerichte dochteronderneming van Facebook Inc. Facebook Ierland treedt op als contractspartij voor het aanbieden van de Facebook-dienst aan de gebruikers in Nederland (en Europa). Daarnaast verkoopt Facebook Ierland ook advertenties via een zelfserviceadvertentieplatform. Facebook Nederland is opgericht op 25 november 2010. De (uiteindelijke) moedermaatschappij van Facebook Nederland is Facebook Inc. Facebook Nederland verleent diensten met betrekking tot marketing en verkoopondersteuning, gerelateerd aan advertentieverkoop, aan het Facebook-concern. In dat kader houdt Facebook Nederland zich onder meer bezig met het adviseren over en het bevorderen van de verkoop van advertentieruimte op Facebook en overige advertentieproducten. Zo adviseert Facebook Nederland ondernemingen en andere organisaties over advertentiedoelgroepen en het behalen van marketingdoelstellingen met behulp van de Facebook-dienst.
De Stichting is een op 25 februari 2019 opgerichte collectieve claimstichting. Zij heeft naast een bestuur ook een raad van toezicht.
De statuten van de Stichting luiden, voor zover van belang, als volgt:
“ (...)
Definities
Artikel 1.
In deze statuten hebben de volgende met een beginhoofdletter geschreven begrippen de volgende betekenis:
Privacyschending:
de opslag, verzending of verwerking van Gegevens ten aanzien van gebruikers van
een product of dienst waarbij:
a. Gegevens verkregen werden door bedrog in welke vorm dan ook;
b. het Gegevens betreft van gebruikers die minder controle over dergelijke Gegevens hadden dan (aanvankelijk) was verklaard, voorgesteld of op enigerlei wijze was geïmpliceerd op het moment dat deze Gegevens waren verkregen;
c. Gegevens op enigerlei wijze opgeslagen, overgedragen of verwerkt zijn of worden in strijd met de instructies of kenbare bedoelingen van de gebruikers;
d. privacyrechten of andere hieraan gerelateerde rechten van gebruikers – contractueel of anderszins – in beheer of eigendom worden geschonden of de bescherming van hun privacy en Gegevens wordt geschonden;
e. gebruikers worden vernederd, worden verlaagd, in verlegenheid worden gebracht of hen anderszins raken in verband met Gegevens over henzelf, hun familieleden of hun relaties; of
f. gebruikers op enigerlei wijze negatief beïnvloed worden als gevolg van enig onrechtmatig handelen of nalaten met betrekking tot hun privacyrechten,
ongeacht waar ter wereld plaatsvindend.
Gegevens:
informatie die in digitale vorm wordt bewaard en die op een van de volgende manieren kan worden gebruikt:
a. om een persoon te identificeren, bij naam of anderszins;
b. om zich te vergewissen van kenmerken, kwaliteiten, locatie of activiteiten van een persoon, al dan niet specifiek geïdentificeerd; of
c. om zich te vergewissen van kenmerken, kwaliteiten, locatie of activiteiten van een groep.
Gedupeerden:
(gewezen) gebruikers en/of hun wettelijk verzorgers, niet handelend in de uitoefening van een beroep of bedrijf, van producten of diensten die Gegevens kunnen opslaan, overdragen of verwerken, jegens welke gebruikers op enig moment een Privacyschending plaatsvindt of heeft plaatsgevonden terwijl zij in Nederland woonden, en voor wie de Stichting krachtens haar doel opkomt en die geen Uitgesloten Partij zijn, alles in de ruimste zin van het woord.
(...).
Doel en middelen.
Artikel 3.
De Stichting heeft ten doel:
a. het behartigen van de belangen van Gedupeerden jegens wie op enig moment een Privacyschending plaatsvindt of heeft plaatsgevonden;
b. het onderzoeken en vaststellen van de onrechtmatigheid en de directe dan wel indirecte aansprakelijkheid voor genoemde Privacyschendingen en alle daaruit of anderszins voortvloeiende gevolgen ten aanzien van de gedragingen als hiervoor bedoeld in artikel 3.1 onder a;
c. het verrichten van al hetgeen verband houdt met het bepaalde in artikel 3.1 onder a en artikel 3.1 onder b, dan wel daaraan dienstig kan zijn, een en ander in de ruimste zin van het woord.
(...)
De Stichting beoogt niet het maken van winst.
(...)
Naleving van de Claimcode.
Artikel 7.
Het bestuur draagt zorg voor de naleving van de Claimcode.
(...)”
De Stichting werkt samen met de Consumentenbond en met het Amerikaanse advocatenkantoor Lieff Cabraser Heimann & Bernstein LLP (hierna ook: Lieff Cabraser). Laatstgenoemde financiert de onderhavige procedure en verricht daarnaast (logistieke) ondersteuning.
Eind 2014 heeft (de rechtsvoorganger van) de Autoriteit Persoonsgegevens (AP), de toezichthouder in Nederland op het gebied van gegevensbescherming, een onderzoek ingesteld naar het verwerken van persoonsgegevens van betrokkenen in Nederland door het Facebook-concern. In een rapport van 21 februari 2017, gepubliceerd op 16 mei 2017, heeft de AP verslag gedaan van de bevindingen. Daarin is geconcludeerd dat het Facebook-concern op meerdere punten in strijd handelt met de Wet bescherming persoonsgegevens (Wbp) als het gaat om het verstrekken van informatie over de verwerking van persoonsgegevens voor advertentiedoeleinden.
In een brief van 19 november 2019 heeft de Stichting aan Facebook c.s. laten weten, onder meer onder verwijzing naar het rapport van de AP van 21 februari 2017, dat de Stichting Facebook c.s. verantwoordelijk houdt voor privacyschendingen van consumenten in Nederland. De Stichting heeft Facebook c.s. gevraagd of zij bereid is in overleg te treden over een schikking en zij heeft Facebook c.s. verzocht uiterlijk op 12 december 2019 te reageren. Daarbij heeft de Stichting aangekondigd over te zullen tot het uitbrengen van een dagvaarding als Facebook c.s. niet (tijdig laat weten of zij) bereid is in overleg te treden.
In een e-mail van 12 december 2019 heeft Facebook Ierland meer informatie aan de Stichting gevraagd, voordat de uitnodiging van de Stichting in overweging kan worden genomen of een adequate reactie kan worden gegeven.
Na verdere e-mailwisseling tussen de Stichting en Facebook Ierland op 20 december en 24 december 2019 heeft de Stichting op 30 december 2019 de dagvaardingen in de onderhavige procedure uitgebracht.
3 De vorderingen in de hoofdzaak
In de hoofdzaak vordert de Stichting, na wijziging van eis, dat de rechtbank voor zover mogelijk uitvoerbaar bij voorraad:
a. voor recht verklaart dat Facebook Nederland, Facebook Ierland en Facebook Inc., gezamenlijk en/of elk voor zich, vanaf 1 april 2010 tot 1 januari 2020, althans gedurende de in randnummer 156 van de dagvaarding per afzonderlijke schending vermelde periode, althans gedurende een door de rechtbank in goede justitie te bepalen periode, jegens de Achterban van de Stichting toerekenbaar onrechtmatig heeft gehandeld en/of hebben gehandeld omdat zij:
i. de (privacy)rechten van de Achterban heeft/hebben geschonden door in strijd met de (informatie)plichten van artikelen 33 en 34 Wbp, althans de (informatie)plichten vanuit Richtlijn 95/46/EG overgezet naar overeenkomstige bepalingen in nationale privacywetgeving van andere lidstaten en/of artikelen 12, 13 en 14 Algemene verordening gegevensbescherming1 (AVG):
1. toe te staan, althans in staat te stellen en te faciliteren, dat externe ontwikkelaars konden beschikken over en/of toegang hadden tot persoonsgegevens van de Achterban en deze persoonsgegevens vervolgens konden verwerken, zonder dat zij de Achterban daarover voldoende duidelijk en tijdig heeft/hebben geïnformeerd; en/of
2. toe te staan, althans in staat te stellen en te faciliteren, dat [naam] en/of Global Science Research Ltd., en/of Cambridge Analytica Ltd., Cambridge Analytica LLC en SCLE Elections Ltd., konden beschikken over en/of toegang hadden tot persoonsgegevens van de Achterban en deze persoonsgegevens vervolgens konden verwerken, zonder dat zij de Achterban daarover voldoende duidelijk en tijdig heeft/hebben geïnformeerd; en/of
3. telefoonnummers van de Achterban die zijn verstrekt ten behoeve van twee-factoren-authenticatie, te gebruiken voor het plaatsen van gerichte advertenties, al dan niet op de desktopversie van haar platform, zonder dat zij de Achterban daarover voldoende duidelijk en tijdig heeft/hebben geïnformeerd; en/of
4. de Achterban niet in te lichten, althans onvoldoende duidelijk en/of tijdig te informeren over het ‘integration partnership’-programma en de daarmee verband houdende verwerkingen van de persoonsgegevens betreffende de Achterban;
en/of
de (privacy)rechten van de Achterban heeft/hebben geschonden door:
1. schending van het grondslagvereiste uit artikel 6 en 8 Wbp, althans overeenkomstige bepalingen in nationale privacywetgeving in andere lidstaten, en/of overtreding van artikel 5, eerste lid, onderdeel a, en artikel 6, eerste lid, AVG, steeds door gegevens van de Achterban te verwerken zonder dat een dergelijke verwerking kon worden gebaseerd op een toereikende en rechtsgeldige verwerkingsgrondslag;
2. schending van het verwerkingsverbod voor bijzondere gegevens uit artikel 16 Wbp, althans overeenkomstige bepalingen in nationale privacywetgeving in andere lidstaten, en/of van artikel 9, eerste lid, AVG, door in het bijzonder (maar niet uitsluitend) persoonsgegevens betreffende het seksuele leven, geloofsovertuiging en etniciteit, en de inhoud van berichten van de Achterban waaruit dergelijke informatie blijkt te gebruiken voor advertentiedoeleinden;
3. schending van de informatieplicht en het toestemmingsvereiste uit artikel 11.7a, eerste lid, Telecommunicatiewet (Tw), althans overeenkomstige bepalingen in nationale privacywetgeving in andere lidstaten, door het niet, dan wel niet duidelijk of in voldoende mate en/of niet tijdig informeren van de Achterban over het met behulp van cookies en/of vergelijkbare technologie volgen van surfgedrag en appgebruik buiten de Facebook-dienst en het gebruik van de aldus verkregen gegevens voor advertentiedoeleinden;
en/of
jegens de Achterban van de Stichting handelspraktijken heeft/hebben verricht die oneerlijk zijn in de zin van artikel 6:193b lid 1 Burgerlijk Wetboek (BW) en/of misleidend zijn in de zin van artikel 6:193c, 193d en 193g BW, door:
1. na te laten de Achterban voldoende duidelijk en/of tijdig te informeren over het verzamelen en verder verwerken van hun (vertrouwelijke) persoonsgegevens teneinde daarmee omzet te genereren, door die persoonsgegevens met derden te delen, althans die gegevens te gebruiken ten behoeve van derden;
2. na te laten haar Achterban voldoende duidelijk en/of tijdig te informeren over de schaalgrootte van de inwinning van deze (vertrouwelijke) persoonsgegevens, en het delen daarvan met derden, althans het gebruik daarvan ten behoeve van derden;
3. tot in ieder geval in augustus 2019 de misleidende mededeling te doen aan de achterban dat de Facebook-dienst gratis zou zijn en dat altijd zou blijven, terwijl de Achterban de facto betaalde voor de Facebook-dienst met het overhandigen van de betreffende (vertrouwelijke) persoonsgegevens aan Facebook c.s.;
voor recht verklaart dat dat Facebook Nederland, Facebook Ierland en Facebook Inc., gezamenlijk en/of elk voor zich vanaf 1 april 2010 tot 1 januari 2020, althans gedurende de in randnummer 156 van de dagvaarding per afzonderlijke schending vermelde periode, althans gedurende een door de rechtbank in goede justitie te bepalen periode, jegens de Achterban toerekenbaar onrechtmatig hebben gehandeld door, via de Achterban, ook de gegevens van de vrienden van de Achterban op de hiervoor onder a.i.1., a.i.2., a.i.3., a.ii.1. en a.ii.3 bedoelde onrechtmatige wijze te hebben verwerkt;
voor recht verklaart dat Facebook Nederland, Facebook Ierland en Facebook Inc., gezamenlijk en/of elk voor zich ongerechtvaardigd is en/of zijn verrijkt ten koste van de Achterban in de periode vanaf 1 april 2010 tot 1 januari 2020, althans een door de rechtbank in goede justitie te bepalen periode;
Facebook Nederland, Facebook Ierland en Facebook Inc. hoofdelijk veroordeelt tot betaling van de door de Stichting gemaakte proceskosten, te vermeerderen met nakosten en wettelijke rente over de proces- en nakosten.
Het in de vordering gebruikte woord “Achterban” definieert de Stichting, kort gezegd, als (voormalige) gebruikers van de Facebook-dienst op enig moment in de periode van 1 april 2010 tot 1 januari 2020 (en/of hun wettelijke verzorgers) voor zover zij ten tijde van dat gebruik in Nederland woonden, niet handelend in de uitoefening van een beroep of bedrijf, en voor wie de Stichting krachtens haar doelomschrijving opkomt.
Op de stellingen van de Stichting in de hoofdzaak wordt hierna bij de beoordeling van de incidenten, voor zover daarvoor van belang, ingegaan.
Facebook c.s. heeft in de hoofdzaak nog niet van antwoord gediend.