Rechtbank Amsterdam, 07-06-2024, ECLI:NL:RBAMS:2024:3331, C/13/747731 / KG ZA 24-199
Rechtbank Amsterdam, 07-06-2024, ECLI:NL:RBAMS:2024:3331, C/13/747731 / KG ZA 24-199
Gegevens
- Instantie
- Rechtbank Amsterdam
- Datum uitspraak
- 7 juni 2024
- Datum publicatie
- 12 juni 2024
- ECLI
- ECLI:NL:RBAMS:2024:3331
- Zaaknummer
- C/13/747731 / KG ZA 24-199
Inhoudsindicatie
KG 4 grote internetondernemingen wordt geboden het plaatsen en/of uitlezen van 'tracking cookies' zonder dat de gebruiker daarvoor toestemming heeft verleend te staken en gestaakt te houden. Strijd met AVG en 11.7a Telecommunicatiewet.
Uitspraak
vonnis
Afdeling privaatrecht, voorzieningenrechter civiel
zaaknummer / rolnummer: C/13/747731 / KG ZA 24-199 VVV/MB
Vonnis in kort geding van 7 juni 2024
in de zaak van
[eiser] ,
wonende te [woonplaats] ,
eiser bij (gelijkluidende) dagvaardingen op verkorte termijn van 21 maart 2024 en exploot van 25 april 2024,
advocaat mr. M.H.L. Hemmer te Rotterdam,
tegen
1. de rechtspersoon naar Iers recht
LINKEDIN IRELAND UNLIMITED COMPANY,
kantoorhoudend te Dublin, Ierland,
2. de besloten vennootschap met beperkte aansprakelijkheid
LINKEDIN NETHERLANDS B.V.,
gevestigd te Amsterdam,
advocaat mr. R.J.J. Westerdijk te Amsterdam,
3. de rechtspersoon naar het recht van de Verenigde Staten
MICROSOFT CORPORATION,
kantoorhoudend te Redmond, Washington, Verenigde Staten,
4. de rechtspersoon naar Iers recht
MICROSOFT IRELAND OPERATIONS LTD.,
kantoorhoudend te Dublin, Ierland,
5. de besloten vennootschap met beperkte aansprakelijkheid
MICROSOFT B.V.,
kantoorhoudende te Schiphol,
advocaat mr. L. Poolman te Amsterdam,
6. de rechtspersoon naar het recht van de Verenigde Staten
XANDR INC.,
gevestigd te Redmond, Washington, Verenigde Staten,
advocaat mr. C. Jeloschek te Amsterdam,
gedaagden.
1 De procedure
Voor de aanvang daarvan op 11 april 2024 is de mondelinge behandeling van deze zaak verplaatst naar 22 mei 2024. Ter zitting van die dag heeft eiser, hierna [eiser] de vorderingen zoals omschreven in de dagvaarding toegelicht. Gedaagden (hierna ook: Microsoft c.s.) hebben (op 17 mei 2024) een incidentele conclusie houdende exceptie van onbevoegdheid dan wel niet-ontvankelijkheid ingediend. [eiser] heeft aan de hand van een conclusie van antwoord verweer gevoerd in het incident. Beide partijen hebben schriftelijke stukken en een pleitnota ingediend.
Ter zitting waren aanwezig, voor zover hier van belang:
- [eiser] het eerste half uur via een videoverbinding, mr. Hemmer en zijn kantoorgenote mr. S. Hendriks (fysiek aanwezig);
- voor gedaagden 1 en 2 (gezamenlijk ook LinkedIn en afzonderlijk LinkedIn Ierland en LinkedIn B.V.: via een videoverbinding: [naam 1] , [naam 2] (beiden van de technische afdeling), [naam 3] , [naam 4] en [naam 5] (alledrie van de juridische afdeling),
- voor gedaagden 3, 4 en 5 (gezamenlijk ook Microsoft en afzonderlijk Microsoft VS, MIOL en Microsoft BV): via een videoverbinding: [naam 6] en [naam 7] (beiden van de technische afdeling), [naam 8] en [naam 9] (beiden van de juridische afdeling).
Voor gedaagde 6 (Xandr): via een videoverbinding: [naam 10] van de technische afdeling.
Voor gedaagden waren (fysiek) de volgende advocaten aanwezig: mr. Westerdijk en mr. Jeloschek, mr. Poolman en hun kantoorgenote mr. R. Berg;
Verder waren aanwezig L. Crul en via videoverbinding A. Mijné en G. Bugel, tolk-vertalers ten behoeve van gedaagden.
Vonnis is bepaald op heden.
2 Inleiding
Eiser, hierna [eiser] , vordert in dit kort geding dat het gedaagden, grote internetondernemingen, wordt verboden om zonder zijn toestemming zogenoemde tracking cookies te plaatsen, omdat dat in strijd zou zijn met privacyregels. Cookies zijn (tekst)bestandjes die worden opgeslagen op browsers van apparatuur van gebruikers, om gegevens te verzamelen. Tracking cookies maken het mogelijk om profielen van mensen op te stellen.
3 De feiten
[eiser] is een Nederlandse natuurlijke persoon.
LinkedIn is een online netwerk-platform, met name gericht op het aangaan en behouden van professionele relaties, het vinden van een baan of een stageplaats en dat soort zaken.
Het LinkedIn Platform wordt aan Europese gebruikers aangeboden door LinkedIn Ierland. Voordat een gebruiker toegang krijgt tot het LinkedIn Platform, moet hij een account aanmaken.
LinkedIn biedt ook de dienst ‘LinkedIn Marketing Solutions’ (LMS) aan. Bedrijven kunnen via deze dienst advertentiecampagnes uitvoeren onder meer door aan hun doelpubliek (websitebezoekers en potentiële klanten) gerichte advertenties via internet te tonen. LMS klanten (‘advertisers’) kunnen de ‘Insight Tag’ installeren, een stukje JavaScript-code (computertaal) die de advertiser op diens website plaatst. Daarmee worden de ‘bcookie’ en de ‘li_sugr cookie’ op de browsers van de bezoekers van die websites geplaatst. Momenteel maken ongeveer 870.000 LMS klanten gebruik van de ‘Insight Tag’. Volgens LinkedIn heeft de ‘Insight Tag’ de volgende mogelijkheden:
Create conversions to track when a LinkedIn member visits a page or takes an action on your website after viewing or clicking your ads (...) Create and build website audiences to retarget LinkedIn members who visit your site.
Microsoft biedt, naast haar producten voor consumenten, bedrijfssoftware aan, aan zakelijke klanten in de Europese Unie (EU), en daaraan verbonden diensten, waaronder advertentie- en analytische diensten.
Een van de analytische diensten van Microsoft is Clarity. Deze dienst is gericht op het analyseren van gedrag van websitebezoekers. Ook om van Clarity gebruik te kunnen maken moet de website beheerder een stukje Java-Script integreren, wat tot gevolg heeft dat de ‘CLID-cookie’ op de browsers van die websitebezoekers wordt geplaatst. MIOL is de aanbieder van de Clarity-dienstverlening in de EU. Op dit moment maken miljoenen websitebeheerders gebruik van de Clarity-dienstverlening. In de Privacyverklaring van Microsoft staat onder meer:
Tenzij anders vermeld, fungeren in situaties waarin Microsoft een gegevensbeheerder is Microsoft Corporation en, voor personen in de Europese Unie (...) Microsoft Ireland Operations Limited, als verwerkingsverantwoordelijken voor persoonsgegevens die we verzamelen via de producten waarop deze verklaring van toepassing is.
Een advertentiedienst van Microsoft is Microsoft Advertising. Microsoft exploiteert verschillende eigen websites waarop advertentieruimte te koop wordt aangeboden aan advertisers die gebruik maken van de Microsoft Advertising dienst. Eén van die websites is www.bing.com, de online zoekmachine van Microsoft. Via Microsoft Advertising kunnen advertisers hun advertenties ook tonen op de advertentieruimte van ‘third-party’ websitebeheerders. De websitebeheerders kunnen het stukje Java-script van Microsoft Advertising integreren, waarmee de ‘MUID’ en de ‘MSPTC’ cookie op de browsers van de websitebezoekers wordt geplaatst. Tienduizenden klanten maken momenteel gebruik van de Microsoft Advertising-dienstverlening.
Xandr is een online platform voor het kopen en verkopen van digitale advertenties. Zij biedt in dat kader voor ‘publishers’ de dienst ‘Monetize’ aan en voor advertisers de dienst ‘Invest’.
Om gebruik te maken van de diensten van Xandr moet de websitebeheerder het Xandr Java-script integreren, waarmee de ‘uuid2’, ‘XANDR-PANID’ en/of ‘anj’ cookies op de browsers van websitebezoekers kunnen worden geplaatst.
Alle gedaagden maken deel uit van de Microsoft groep, Xandr sinds 2022.
Onder de gedingstukken bevindt zich een rapport van M. Stoter van het Engelse bedrijf Collective Shift, ingeschakeld door (de advocaat van) [eiser] om een onafhankelijke analyse te maken van de persoonsgegevens die worden verzameld door Microsoft c.s. via de door hem bezochte websites, waaronder het plaatsen en lezen van op de apparatuur van [eiser] geplaatste cookies. Hierin staat dat 27 van de 30 op 22 januari 2024 door [eiser] bezochte websites cookies hebben geplaatst en/of uitgelezen zonder toestemming van [eiser] en 24 van die sites ook na diens expliciete weigering die toestemming te verlenen. Stoter’s conclusie is dat Microsoft op deze wijze individuele persoonlijke data over [eiser] ’s ‘browsing habits’ verzamelt zonder diens toestemming.
Gedaagden hebben het rapport van Stoter onderworpen aan een technische analyse, uitgesplitst naar de cookies van respectievelijk LinkedIn, (Bcookie en li_sugr), Clarity (CLID), Microsoft Advertising (MUID en/of MSPTC) en Xandr (uuid, XANDR-PANID, anj). In deze analyse wordt ten aanzien van de door [eiser] bezochte (gerapporteerde) websites geconcludeerd:
- ten aanzien van LinkedIn: dat 1 van de 11 websites LinkedIn cookies heeft geplaatst zonder toestemming;
- ten aanzien van Microsoft Advertising: 7 van de 16;
- ten aanzien van Xandr: 5 van de 11;
- ten aanzien van Clarity: geen van de twee gerapporteerde websites;
(in totaal 13 van de 40 dus)
Bij brieven van 1 en 2 februari 2024 heeft [eiser] Microsoft c.s. gesommeerd om niet langer al dan niet via ‘third-party websites’ tracking cookies op zijn computer of andere apparaten te plaatsen zonder zijn toestemming.
Bij brieven (e-mails) van 27 en 29 februari 2024 hebben Microsoft c.s. aan de advocaat van [eiser] meegedeeld dat het niet mogelijk is om [eiser] op basis van de MUID, CLID of LinkedIn (bcookie en li_sugr) te identificeren – omdat de vermelde cookies niet op betrouwbare wijze aan hem te linken zijn. Microsoft vermeldt verder dat [eiser] deze cookies van zijn apparatuur kan verwijderen.
Naar aanleiding van aanvullende meldingen van [eiser] , over door hem bezochte websites op 15 mei 2024, heeft Microsoft c.s. opnieuw een technische analyse gemaakt. Ook daaruit komt naar voren dat door een deel van de websitehouders van door [eiser] bezochte websites cookies zijn geplaatst zonder voorafgaande toestemming.
(6 van de 12 aanvullend onderzochte websites).