Rechtbank Amsterdam, 12-02-2025, ECLI:NL:RBAMS:2025:885, C/13/760175 / KG ZA 24-966
Rechtbank Amsterdam, 12-02-2025, ECLI:NL:RBAMS:2025:885, C/13/760175 / KG ZA 24-966
Gegevens
- Instantie
- Rechtbank Amsterdam
- Datum uitspraak
- 12 februari 2025
- Datum publicatie
- 13 februari 2025
- ECLI
- ECLI:NL:RBAMS:2025:885
- Zaaknummer
- C/13/760175 / KG ZA 24-966
Inhoudsindicatie
kort geding. 2 grote internetondernemingen wordt geboden het plaatsen en/of uitlezen van tracking cookies zonder dat eisers daarvoor toestemming hebben verleend te staken en gestaakt te houden. AVG. art 11.7a Telecommunicatiewet.
Uitspraak
vonnis
Afdeling privaatrecht, voorzieningenrechter civiel
Vonnis in kort geding van 12 februari 2025
in de zaken:
A. zaaknummer: C/13/760174 / KG ZA 24-965 NB/MAH
van
[eiser in 760174] ,
wonende te [woonplaats] ,
eiser bij dagvaarding van 6 december 2024,
hierna te noemen: [eiser in 760174] ,
advocaat: mr. M.H.L. Hemmer te Rotterdam,
tegen
1. de rechtspersoon naar Iers recht
MICROSOFT IRELAND OPERATIONS LTD.,
gevestigd te Dublin, Ierland,
hierna te noemen: Microsoft,
2. de vennootschap naar het recht van de Verenigde Staten
XANDR INC.,
gevestigd te Redmond, Washington, Verenigde Staten,
hierna te noemen: Xandr,
gedaagden,
advocaten mr. C. Jeloschek, mr. L. Poolman en mr. H. Osse te Amsterdam,
en
B. zaaknummer: C/13/760175 / KG ZA 24-966 NB/MAH
van
[eiser in 760175] ,
wonende te [woonplaats] ,
eiser bij dagvaarding van 6 december 2024,
hierna te noemen: [eiser in 760175] ,
advocaat mr. M.H.L. Hemmer te Rotterdam,
tegen
1. de rechtspersoon naar Iers recht
MICROSOFT IRELAND OPERATIONS LTD.,
gevestigd te Dublin, Ierland,
2. de vennootschap naar het recht van de Verenigde Staten
XANDR INC.,
gevestigd te Redmond, Washington, Verenigde Staten,
gedaagden,
advocaten mr. C. Jeloschek, mr. L. Poolman en mr. H. Osse te Amsterdam.
1 De procedure
Het verzoek van gedaagden om voeging van de – bij twee vrijwel identieke dagvaardingen aangebrachte – zaken is voorafgaand aan de zitting door de voorzieningenrechter afgewezen, maar de zaken zijn uit doelmatigheidsoverwegingen wel gezamenlijk mondeling behandeld op 15 januari 2025 en het navolgende heeft dan ook betrekking op beide zaken.
Bij de zitting van 15 januari 2025 waren aanwezig:
- eisers met mr. Hemmer en zijn kantoorgenote mr. S. Hendriks,
- aan de kant van gedaagden: [naam 1] (principal software engineering manager Microsoft), [naam 2] (principal software engineer Microsoft), [naam 3] (principal engineer Xandr ), [naam 4] (Legal counsel Microsoft), [naam 5] (Legal counsel Microsoft) (allen via videoverbinding), met mr. Jeloschek, mr. Poolman en mr. Osse.
Gedaagden werden bijgestaan door L. Crul, tolk Engels.
Eisers hebben de dagvaardingen toegelicht. Gedaagden hebben verweer gevoerd, mede aan de hand van een tevoren ingediende gezamenlijke conclusie van antwoord. Beide partijen hebben producties en spreekaantekeningen ingediend.
Vonnis is bepaald op vandaag.
2 De feiten
Eisers zijn Nederlandse natuurlijke personen.
Gedaagden (Xandr sinds 2022) maken deel uit van de wereldwijd opererende Microsoft-groep.
Microsoft biedt onder meer advertentie- en analytische diensten aan bedrijven in de Europese Unie (EU) aan.
Een van de analytische diensten van Microsoft is Clarity. Deze dienst is gericht op het analyseren van gedrag van websitebezoekers. Om van Clarity gebruik te kunnen maken moet de website beheerder een stukje Java-Script integreren, wat tot gevolg heeft dat de ‘CLID-cookie’ op de randapparatuur (laptop, tablet en andere devices) van die websitebezoekers kan worden geplaatst. Op dit moment maken miljoenen websitebeheerders gebruik van de Clarity-dienstverlening. Volgens Microsoft is zij de verwerkingsverantwoordelijke voor de via Clarity verzamelde persoonsgegevens.
Een advertentiedienst van Microsoft is Microsoft Advertising. Microsoft exploiteert verschillende eigen websites waarop advertentieruimte te koop wordt aangeboden aan adverteerders die gebruik maken van de Microsoft Advertising dienst. Eén van die websites is [internetsite 1] , de online zoekmachine van Microsoft. Via Microsoft Advertising kunnen adverteerders hun advertenties ook tonen op de advertentieruimte van ‘third-party’ websitebeheerders. De websitebeheerders kunnen daarvoor een stukje Java-Script van Microsoft Advertising integreren, waarmee de ‘MUID’ en de ‘MSPTC’ cookie op de devices van de websitebezoekers kunnen worden geplaatst. Tienduizenden klanten maken momenteel gebruik van de Microsoft Advertising-dienstverlening.
Xandr is een online platform voor het kopen en verkopen van digitale advertenties. Zij biedt in dat kader voor publishers de dienst ‘Monetize’ aan en voor advertisers de dienst ‘Invest’.
Om gebruik te maken van de diensten van Xandr moet de websitebeheerder het Xandr Java-script integreren, waarmee de ‘uuid2’, ‘XANDR-PANID’, ‘icu’ en/of ‘anj’ cookies op de devices van websitebezoekers kunnen worden geplaatst. Vele duizenden klanten van Xandr maken gebruik van Monetize en Invest.
Eisers hebben ieder bij brieven van hun advocaat van 26 september en 3 oktober 2024 Microsoft respectievelijk Xandr gesommeerd om niet langer, al dan niet via ‘third-party websites’, tracking cookies op hun computer of andere apparaten te plaatsen zonder hun voorafgaande toestemming. Daarbij hebben zij geschreven dat dit in strijd is met 11.7 lid 1 Telecommunicatiewet (Tw) en de artikelen 5.1.a, 6, 7, 13 en 14 Algemene verordening gegevensbescherming (AVG) en dat dit onrechtmatige plaatsen in ieder geval gebeurt met
- de MUID- en MSPTC-cookie van Microsoft, en
- de uuid2 cookie, anj cookie en XANDR-PANID-cookie van Xandr.
Ook hebben zij gedaagden gesommeerd te stoppen met het verwerken van via (in de brieven met name genoemde) unieke Cookie-ID’s ontvangen gegevens die aan eisers kunnen worden gelinkt.
In de brief van [eiser in 760174] aan Microsoft staat daarover specifiek:
“It has further been established that Microsoft should (in any case) have (had) access to the following unique cookie ID: [cookie 1] . This cookie ID has been
collected by means of the MUID cookie and can be connected to [eiser in 760174] . We conclude that [eiser in 760174] was followed, by members of the Microsoft-group, on at least the following websites:
[internetsite 2]
[internetsite 3]
[internetsite 4]
[internetsite 5]
[internetsite 6] ”
en in de brief van [eiser in 760174] aan Xandr:
“It has further been established that Xandr should (in any case) have (had) access to the following unique and persistent cookie ID: “ [cookie 2] ” and received at least the following information in connection with the XANDR_PANID cookie and anj-cookie with the following codes:
- “ [cookie 3] .”
[etc. -Vzr.]
These cookie ID’s and other information has been collected by means of the uuid2 cookie, the XANDR-PANID-cookie and the anj-cookie and can be connected to [eiser in 760174] . We conclude that [eiser in 760174] was followed, by Xandr. Inc., on at least the following websites:
[internetsite 7]
[internetsite 8]
[internetsite 9]
[internetsite 10]
[internetsite 11]
On these websites the anj-cookie was also read and/or set by Xandr. We understand from the Xandr digital platform cookie policy2 on the Microsoft.com website, that this cookie denotes that a cookie ID (probably including [cookie 2] ) is synced with Xandr partners. It is unclear
for [eiser in 760174] , which Xandr partners have received the information.”
In de brief van [eiser in 760175] aan Microsoft staat iets vergelijkbaars met betrekking tot de websites:
[internetsite 12]
[internetsite 13]
[internetsite 5]
[internetsite 6]
[internetsite 2] ,
en in zijn brief aan Xandr met betrekking tot de websites:
[internetsite 10]
[internetsite 14]
[internetsite 15]
[internetsite 16]
[internetsite 17] .
Bij twee inhoudelijk gelijkluidende brieven van 4 oktober 2024 heeft (de advocaat van) Microsoft geantwoord dat zij de opgegeven cookies en URLs heeft onderzocht en dat zij “cannot find evidence of the cookie ID being set without consent. In addition, Microsoft is not able to identify your client [...] based on the cookie ID and URLs referenced. Please provide additional information to corroborate your claims.”
In de brieven staat verder dat eisers zelf cookies van hun apparaten kunnen verwijderen.
Een vergelijkbaar antwoord is op 18 november 2024 door (de advocaat van) Xandr aan eisers (ieder afzonderlijk) gestuurd.
De advocaat van) [eiser in 760174] heeft opdracht gegeven aan het Engelse bedrijf Collective Shift om de schermafbeeldingen en HTTP Archive (HAR)-bestanden van de bezoeken van [eiser in 760174] op 12 en 14 augustus 2024 aan 129 websites op zijn personal computer te onderzoeken. De taakopdracht was, volgens het door M. Stoter opgestelde rapport van 20 december 2024:
1) de door [eiser in 760174] verstrekte bestanden analyseren om na te gaan of Microsoft en Xandr cookies plaatsten en uitlazen zonder toestemming
2) zelf browsing tests uitvoeren op dezelfde websites om de bevindingen te verifiëren
3) het doel van de betrokken cookies vaststellen aan de hand van het privacy beleid van de Microsoft groep.
De conclusie luidt: “Analysis of the HAR files revealed that Microsoft Group entities routinely set and accessed cookies without obtaining the User's consent.” en meer specifiek, onder verwijzing naar in het rapport opgenomen gedetailleerde tabellen, HAR-files en screen shots:
- op 64 bezochte websites heeft Microsoft zonder toestemming steeds een MUID-cookie en soms ook een MSPTC-cookie geplaatst of uitgelezen,
- op 43 bezochte websites heeft Xandr zonder toestemming een uuid2 cookie geplaatst of uitgelezen. Vaak werden ook de anj- en XANDR-PANID-cookies gebruikt voor ‘cookie syncing, sharing user IDs with third party domains such as [internetsite 18] and [internetsite 19] .
Een vergelijkbaar rapport van 20 december 2024 over de bezoeken van [eiser in 760175] op 12 en 13 augustus 2024 aan 136 websites op diens personal computer vermeldt dezelfde conclusie (over 67 respectievelijk 46 bezochte websites).
3 Het geschil
[eiser in 760174] en [eiser in 760175] vorderen ieder:
I. elk van gedaagden, op straffe van dwangsommen, afzonderlijk te gebieden het onrechtmatig handelen per omgaande te (doen) staken en gestaakt te (doen) houden door niet langer, al dan niet via third-party websites, Tracking Cookies of andere cookies waarvoor toestemming vereist is op de computer en/of apparaten van [eiser in 760174] respectievelijk [eiser in 760175] te (doen) plaatsen dan wel uit te lezen voordat hij daarvoor rechtsgeldige toestemming heeft gegeven;
II. een EEX-certificaat als bedoeld in artikel 53 Brussel I bis-Vo aan [naam 6] te verstrekken ten aanzien van Microsoft,
III. gedaagden te veroordelen in de proceskosten, met wettelijke rente;
Gedaagden voeren, samengevat, de volgende verweren:
I. primair: de voorzieningenrechter is onbevoegd om van de vorderingen kennis te nemen, dan wel deze zaak moet conform artikel 110 lid 2 Wetboek van Burgerlijke Rechtsvordering naar de relatief bevoegde rechter in Nederland worden verwezen;
II. subsidiair: eisers zijn wegens gebrek aan (spoedeisend) belang niet ontvankelijk
in hun vorderingen;
III. meer subsidiair: de vorderingen moeten worden afgewezen op inhoudelijke gronden, samengevat:
- -
-
1: Toestemming voor het plaatsen en/of uitlezen van cookies is alleen bij tracking cookies vereist. Voor privacy-vriendelijke analytische cookies geldt dit niet. De CLID-cookie (van Clarity) valt onder deze uitzondering. Het is daarmee irrelevant of en hoe er toestemming is gegeven voor de CLID.
- -
-
2: Voordat de vraag aan de orde komt of sommige websitebeheerders andere cookies van gedaagden hebben geplaatst en/of uitgelezen zonder toestemming, dient eerst beoordeeld te worden of gedaagden hiervoor überhaupt verantwoordelijk kunnen worden gehouden vanuit het oogpunt van de Tw én AVG. Dat is niet het geval.
- -
-
3: Voor alle tracking cookies dienen eisers aan te tonen dat deze zonder toestemming zijn geplaatst en/of uitgelezen in de zin van de Tw, dan wel verwerkt (voor advertentiedoeleinden) in de zin van de AVG. De bewijsvoering rammelt aan alle kanten en eisers schetsen met hun onzorgvuldig onderzoek een onjuist beeld van beweerdelijke overtredingen (die ook onvoldoende door de ingeschakelde technisch expert worden aangetoond in de expert analysis).
- -
-
4: De belangenafweging moet in het voordeel van gedaagden uitvallen, mede gezien het feit (i) dat door eisers geen eigen belang wordt nagestreefd, maar dat van een derde (en bovendien volledig georkestreerd), (ii) dat de cookies waarvan eisers stellen dat zij zijn geplaatst en/of uitgelezen niet door gedaagden zijn gebruikt en (iii) dat het voor eisers mogelijk is om zichzelf uiterst eenvoudig tegen cookies te “beschermen”,
in alle gevallen met veroordeling van eisers in de proceskosten (per gedaagde) inclusief nakosten en rente.
Op de stellingen van partijen wordt hierna, voor zover van belang, nader ingegaan.