Rechtbank Amsterdam, 05-02-2025, ECLI:NL:RBAMS:2025:700, C/13/761516 / KG ZA 24-1034
Rechtbank Amsterdam, 05-02-2025, ECLI:NL:RBAMS:2025:700, C/13/761516 / KG ZA 24-1034
Gegevens
- Instantie
- Rechtbank Amsterdam
- Datum uitspraak
- 5 februari 2025
- Datum publicatie
- 10 februari 2025
- ECLI
- ECLI:NL:RBAMS:2025:700
- Zaaknummer
- C/13/761516 / KG ZA 24-1034
Inhoudsindicatie
Hebben LinkedIn c.s. dwangsommen aan een particulier verbeurd door zonder diens toestemming cookies op zijn computer te blijven plaatsen waarvoor toestemming van de particulier vereis is? De rechter had hen geboden daarmee te stoppen. LinkedIn c.s. vorderen opheffing van het executoriale beslag en staking van de executie. Die vordering wordt voor twee van de eisende partijen afgewezen. In ernst kan niet worden betwijfeld dat zij het verboed niet hebben nageleefd. De reden dat het executoriaal beslag is opgeheven voor de twee andere eiseressen, is dat het vonnis pas aan hen is betekend (in de VS) ná de data waarop het onderzoek naar naleving van het vonnis is uitgevoerd.
Uitspraak
vonnis
Afdeling privaatrecht, voorzieningenrechter civiel
zaaknummer / rolnummer: C/13/761516 / KG ZA 24-1034 VVV/EvB
Vonnis in kort geding van 5 februari 2025
in de zaak van
1. de vennootschap naar buitenlands recht
LINKEDIN IRELAND UNLIMITED COMPANY,
gevestigd te Dublin, Ierland,
2. de rechtspersoon naar buitenlands recht
MICROSOFT IRELAND OPERATIONS LIMITED,
gevestigd te Dublin, Ierland,
3. de vennootschap naar buitenlands recht
MICROSOFT CORPORATION,
gevestigd te Redmond, Washington, Verenigde Staten van Amerika,
4. de vennootschap naar buitenlands recht
XANDR INC.,
gevestigd te Redmond, Washington, Verenigde Staten van Amerika,
eiseressen in conventie bij dagvaarding van 24 december 2024,
verweersters in reconventie,
advocaten mr. C. Jeloschek en mr. S.A.K. d’Azevedo te Amsterdam,
tegen
[gedaagde] ,
wonende te [woonplaats] ,
gedaagde in conventie,
eiser in reconventie,
advocaten mr. M.H.L. Hemmer en mr. R.A.M.D. Smit te Rotterdam.
Partijen zullen hierna LinkedIn c.s. en [gedaagde] worden genoemd. Afzonderlijk zullen eiseressen ook wel LinkedIn, MIOL, Microsoft Corporation en Xandr worden genoemd.
1 De procedure
Op de zitting van 22 januari 2025 hebben LinkedIn c.s. de vorderingen zoals omschreven in de dagvaarding toegelicht. [gedaagde] heeft verweer gevoerd en een eis in reconventie ingediend. LinkedIn c.s. hebben de tegenvordering bestreden. Beide partijen hebben producties ingediend en gebruik gemaakt van pleitaantekeningen, die aan het dossier zijn toegevoegd.
Bij de mondelinge behandeling waren aan de zijde van LinkedIn aanwezig [naam 1] (van Microsoft en Xandr), [naam 2] (legal counsel) en [naam 3] (legal counsel), allen via een digitale verbinding, bijgestaan door L. Mitzman (tolk Engels), met mr. Jeloschek en mr. D’Azevedo. [gedaagde] was aanwezig met mr. Hemmer en mr. Smit. Vonnis is bepaald op vandaag.
2 De feiten
Bij vonnis van 7 juni 2024 heeft de voorzieningenrechter van deze rechtbank LinkedIn c.s. op vordering van [gedaagde] geboden het plaatsen dan wel uitlezen, op de computer en/of apparaten van [gedaagde] , van tracking cookies of andere cookies waarvoor toestemming vereist is, te staken en gestaakt te houden. Aan het uitgesproken gebod is een dwangsom verbonden voor ieder van (toen) gedaagden van € 500,00 per overtreding van het gebod, dan wel – naar keuze van [gedaagde] – € 1.000,00 voor iedere dag (of een gedeelte daarvan) waarop de betreffende gedaagde in gebreke blijft aan het gebod te voldoen en/of daarmee in strijd handelt, tot een maximum van in totaal € 25.000,00 (zegge: vijfentwintigduizend euro) per gedaagde is bereikt. In het vonnis staan onder meer de volgende overwegingen:
“(...)
Gedaagden erkennen dat het merendeel van de hier in het geding zijnde
Cookies, namelijk de MUID, MSPTC, UUID, XANDR-PANID en anj cookies van
Microsoft en Xandr, geplaatst worden voor het vastleggen van persoonsgegevens,
waarmee profielen kunnen worden opgebouwd die kunnen worden uitgelezen ten
behoeve van advertentiedoeleinden. Voorshands is, mede gelet op de toelichting van
[gedaagde] en het door hem in het geding gebrachte rapport, voldoende
aannemelijk dat met het plaatsen van dergelijke cookies persoonsgegevens worden
verwerkt, in dit concrete geval die van [gedaagde] . (...)
Ten aanzien van de CLID cookie heeft Microsoft betwist dat deze als een
tracking cookie kan worden gekwalificeerd. Echter gelet op haar eigen beschrijving
van de werking daarvan:
[a] free behavioral analysis tool that helps you understand how customers interact with your website. By integrating Universal Event Tracking (UET) with Clarity, you can use a single UET tag tor behavioral insights such as heatmaps and session playbacks, conversion tracking, automated bidding, and audience targeting.
(...)
Do you want to know more about who is visiting your website and what they do on it? 1f so, you will love Clarity’s new feature: Visitor Profiles.
treft deze betwisting geen doel. Ook de CLID-cookie heeft tot doel het in kaart
brengen van (individuele) bezoekers en hun surfgedrag en kan dus wel degelijk als
tracking cookie worden aangemerkt, waarmee persoonsgegevens worden verwerkt.
Ook met betrekking tot de LinkedIn cookies hebben gedaagden betwist dat
deze als tracking cookies kunnen worden aangemerkt. De bcookie wordt volgens
hen niet ingezet voor het identificeren van Linkedln leden en niet voor online
advertentiedoeleinden, maar voor het voorkomen van frauduleus verkeer. Het is
daarmee volgens gedaagden een functionele cookie zoals ook toegelicht door [naam 4]
in een verklaring van 17 mei 2024. [gedaagde] heeft onvoldoende gesteld om aan te
nemen dat dit anders is. De li_sugr cookie daarentegen is bedoeld om vast te stellen of de websitebezoeker Linkedln lid is. Gedaagden hebben uiteengezet dat de reden
daarvoor is dat de cookiegegevens verkregen via de Insight tag in de EU enkel
worden gebruikt voor gepersonaliseerde advertenties als de websitebezoeker een
LinkedIn lid is en daarvoor voorafgaande toestemming heeft gegeven. Met de
li_sugr worden aldus wel gegevens vastgelegd van de websitebezoeker ten behoeve
van advertentiedoeleinden. Daarmee worden dus persoonsgegevens van [gedaagde]
verwerkt. (...)”
De betekening van het vonnis aan LinkedIn c.s. is op 16 juli 2024 in gang gezet door (verzending ter) betekening van de grossen aan de ontvangende instantie in Ierland (voor LinkedIn en MIOL) en het parket van de ambtenaar van het openbaar ministerie (voor Microsoft Corporation en Xandr), en verzending van de grossen per koerier.
In de procedure die heeft geleid tot het vonnis van 7 juni 2024, had [gedaagde] zijn vordering onderbouwd met een deskundigenrapport van Mark Stoter. In opdracht van [gedaagde] heeft deze deskundige, nadat het vonnis was gewezen, onderzocht of LinkedIn c.s. het vonnis naleven. Op 15 januari 2025 heeft Stoter een rapport uitgebracht waarin hij concludeert dat LinkedIn c.s. op de twee onderzochte data, 22 juli en 1 augustus 2024, (tracking) cookies heeft geplaatst op de computer van [gedaagde] zonder diens toestemming. In het rapport staat onder meer het volgende:
“(...)In this report, I examine the User’s ( [gedaagde] , vzr.) subsequent experience when, on 22 July 2024 and 1 August 2024, he visited a number of websites in the same fashion, using the Chrome browser on his home computer and recording the network traffic of the web browsing session.Again, I have been provided with ‘HAR’ (HTTP archive) files, which capture the network traffic recorded during these browsing sessions. HAR files are files created by a user’s browser when they visit websites and contain all the details of the network calls and responses including cookie data. It is a text based ‘JSON’ file that is easily readable. HAR files can be recorded on any browser session and downloaded by the user. They can also be uploaded to the browser to view the interactions in situ. For more details on HAR files see https://www.keysight.com/blogs/en/tech/nwvs/2022/05/27/a-comprehensive-guide-on-har-files
I have been asked to:
- 1. Analyze these files to show evidence that domains owned by Microsoft Group
and/or companies within the Microsoft Group, continued to store and/or access cookies on
the User’s computer without consent.
- 2. To review the relevant privacy statements of the Microsoft Group entities, and their
various pleadings, and to assess the purpose of the cookies being set on the User’s device.
3 Analyzing the User’s network traffic
In three browsing sessions, on 22 July 2024 and 1 August 2024, the User used his Chrome browser to visit 163 websites, visiting the homepages of each of these websites in turn. The User did not click on any cookie banner buttons, nor perform any other interaction that could be interpreted as giving consent for the setting or reading of third-party cookies on his computer. As previously, before conducting the browsing, the User set the Chrome browser to record all network traffic using the Developer Tools available within the browser. This created ‘HAR’ files, which record all network traffic occurring while using the browser. This file includes all data related to cookies being set or read while the User browses.
(...)
When the User browsed these sites, Microsoft set and read cookies on the User’s computer
without any form of consent from the User. Microsoft did so from the following domains, which it owns: adnxs.com , bing.com , clarity.ms and linkedin.com . A summary of the network calls and cookie activity is given in Appendix 2. Each of the websites visited either (1) had a cookie banner that offered the User the choice of accepting all cookies, rejecting cookies or changing settings to manage cookies, or (2) had no cookie banner.
(...)”
Op 17 oktober 2024 heeft [gedaagde] aan elk van eiseressen de verbeurte van € 25.000,00 aangezegd wegens het overtreden van het door de voorzieningenrechter uitgesproken gebod op 22 juli en 1 augustus 2024 (LinkedIn 183 overtredingen, MIOL 198 overtredingen, Microsoft Corporation 253 overtredingen en Xandr 110 overtredingen).
Vervolgens heeft [gedaagde] executoriaal beslag gelegd. Op dit moment ligt er beslag onder DPG Media B.V. ten laste van LinkedIn, MIOL en Xandr en onder Microsoft B.V. ten laste van MIOL en Microsoft Corporation.