Rechtbank Gelderland, 24-02-2025, ECLI:NL:RBGEL:2025:1815, C/05/436643 / HA RK 24-81
Rechtbank Gelderland, 24-02-2025, ECLI:NL:RBGEL:2025:1815, C/05/436643 / HA RK 24-81
Gegevens
- Instantie
- Rechtbank Gelderland
- Datum uitspraak
- 24 februari 2025
- Datum publicatie
- 7 maart 2025
- ECLI
- ECLI:NL:RBGEL:2025:1815
- Zaaknummer
- C/05/436643 / HA RK 24-81
Inhoudsindicatie
Klant van een webshop (inmiddels offline), aan wie de bij de webshop bestelde goederen niet zijn geleverd, wil de identiteit van de handelaar achter de webshop achterhalen en verzoekt daartoe de rechtbank om de bij de transactie betrokken betaaldienstverlener (primair) op grond van artikel 15 lid 1 onder c AVG te bevelen inzage te geven in de bij haar bekende gegevens over de identiteit van de handelaar achter de webshop. Verzoek niet toewijsbaar op grond van de AVG, omdat niet is komen vast te staan dat de betaaldienstverlener persoonsgegevens van verzoeker heeft verstrekt aan de handelaar. Het verzoek wordt wel toegewezen op de subsidiaire grondslag, artikel 843a Rv (oud).
Uitspraak
beschikking
Team kanton en handelsrecht
Zittingsplaats Arnhem
zaaknummer / rekestnummer: C/05/436643 / HA RK 24-81
Beschikking van 24 februari 2025
in de zaak van
[verzoeker] ,
wonende te [woonplaats] ,
verzoeker,
hierna te noemen: [verzoeker] ,
gemachtigde: X. Koehoorn te Amstelveen,
tegen
de rechtspersoon naar vreemd recht
STRIPE TECHNOLOGY EUROPE, LIMITED,
gevestigd te Dublin, Ierland,
verweerster,
hierna te noemen: Stripe,
advocaten: mr. R. van Saane en mr. K. Vonk te Amsterdam.
1 De procedure
Het verloop van de procedure blijkt uit:
- -
-
het verzoekschrift van 16 mei 2024, met 5 bijlagen;
- -
-
de oproepbrieven van 6 augustus 2024;
- -
-
de akte overlegging producties van 24 oktober 2024 van de gemachtigde van [verzoeker] , met de bijlagen 6 tot en met 13;
- -
-
het verweerschrift van 25 oktober 2024, met 5 producties;
- -
-
de mondelinge behandeling van 4 november 2024, waar zijn verschenen:
- -
-
[verzoeker] , bijgestaan door zijn gemachtigde;
- -
-
namens Stripe: de heer [naam 1] , medewerker International Privacy Team, bijgestaan door de advocaten van Stripe;
- -
-
de spreekaantekeningen van de gemachtigde van [verzoeker] ;
- -
-
de pleitnota van de advocaten van Stripe.
Ten slotte is beschikking bepaald.
2 De feiten
Stripe is, op grond van een door de Centrale Bank van Ierland aan haar verleende vergunning, onder meer in Nederland actief als Elektronischgeldinstelling (EGI) / betaaldienstverlener. Als zodanig faciliteert zij een technische infrastructuur voor het verwerken van elektronische betalingen, waarmee zij bedrijven in staat stelt om betalingen van klanten te ontvangen via verschillende betaalmethoden.
Op 5 februari 2024 heeft [verzoeker] als consument in de webshop vanzetten-amsterdam.com (hierna: de webshop) goederen ter waarde van € 53,87 besteld. De webshop is gebouwd met software van Shopify International Limited (hierna: Shopify), waarmee kan worden gekozen uit verschillende betaalmethoden. Een aantal van die betaalmethoden wordt ondersteund door Stripe. In de webshop heeft [verzoeker] betaald door middel van iDeal, dat door Stripe wordt ondersteund. De goederen zijn niet aan [verzoeker] geleverd. De website is niet meer toegankelijk.
Bij e-mail van 4 maart 2024 is, onder verwijzing naar onder meer artikel 15 lid 1 onder c van de Algemene Verordening Gegevensbescherming (hierna: AVG), namens [verzoeker] aan Stripe verzocht om hem kosteloos en binnen één maand te informeren over:
‘De ontvangers aan wie de persoonsgegevens zijn verstrekt na de uitvoering van de betalingstransactie waarvan het bankafschrift is bijgevoegd. Met name de concrete bedrijfsidentiteit ten tijde van de betreffende betaling (handelsregisternummer, handelsnaam en vestigingsadres) van de begunstigde(n).’.
In de periode van 4 maart 2024 tot en met 17 oktober 2024 is door/namens [verzoeker] en Stripe gecorrespondeerd en gesproken over [verzoeker] ’ verzoek. Stripe heeft de betreffende gegevens niet aan [verzoeker] verstrekt.
3 Het geschil
[verzoeker] verzoekt de rechtbank om, bij beschikking uitvoerbaar bij voorraad, Stripe als verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens te veroordelen:
-
om binnen een maand na dagtekening van deze beschikking het inzageverzoek als bedoeld in artikel 15 Algemene verordening gegevensbescherming alsnog geheel toe te wijzen en de concrete identiteit van de ontvanger (handelaar) aan wie de persoonsgegevens van [verzoeker] zijn verstrekt kosteloos mee te delen, op straffe van een dwangsom van € 50,00 per dag of dagdeel, tot een maximum van € 5.000,00;
-
in de proceskosten.
[verzoeker] heeft aan zijn verzoek, samengevat, het volgende ten grondslag gelegd.
De betalingstransactie van [verzoeker] ’ bestelling in de webshop is geschied middels de betaaldienst van Stripe. Stripe is bij deze transactie opgetreden als betaaldienstaanbieder van de begunstigde (de handelaar achter de webshop). De handelaar achter de webshop heeft de persoonsgegevens van [verzoeker] onrechtmatig verwerkt, door in strijd met het in artikel 5 lid 1 onder a AVG neergelegde transparantiebeginsel zijn identiteit verborgen te houden. Stripe is, in tegenstelling tot [verzoeker] , bekend met de identiteit van de handelaar achter de webshop (hierna ook: de handelaar). Stripe heeft, op grond van artikel 71d dan wel 71g van het Besluit Gedragstoezicht financiële ondernemingen Wft (hierna: BGfo Wft), onder meer persoonsgegevens van [verzoeker] aan de webshop moeten verstrekken en heeft dat ook daadwerkelijk gedaan. Dat Stripe de door [verzoeker] aan haar verstrekte persoonsgegevens aan de webshop heeft verstrekt, blijkt ook uit de bestelbevestiging van een proefbestelling onder een gefingeerde naam door de gemachtigde van [verzoeker] bij een andere webshop met een vergelijkbare betaalwijze via Shopify-Stripe-iDEAL. Op grond van artikel 15 lid 1 onder c AVG heeft [verzoeker] recht op informatie over de ontvanger aan wie de persoonsgegevens door Stripe zijn verstrekt. Het gaat daarbij om de concrete identiteit van de specifieke ontvanger(s). Stripe is verplicht om [verzoeker] inzage te geven in die informatie, want zij is ten aanzien van deze specifieke verwerking van persoonsgegevens de (al dan niet gezamenlijke) ‘verwerkingsverantwoordelijke’ in de zin van artikel 4 sub 7 AVG, omdat zij het doel en de middelen van deze specifieke verwerkingsactiviteit (mede) heeft vastgesteld. Dat Stripe handelt als verwerkingsverantwoordelijke blijkt ook uit documentatie van Stripe, zoals haar voorwaarden en beleid op haar website, en van iDeal. Betaaldienstconcurrenten van Stripe (zoals bijvoorbeeld Mollie) merken zichzelf op hun websites ook uitdrukkelijk aan als verwerkingsverantwoordelijken. Omdat niet te verwachten is dat Stripe alsnog de gegevens verstrekt, moet zij daartoe door middel van een dwangsom worden bewogen. Ter zitting heeft [verzoeker] als subsidiaire rechtsgrondslag artikel 843a Rv (zoals dat ten tijde van de indiening van het verzoekschrift luidde) aangevoerd en verzocht om - indien het verzoek op grond van de primaire grondslag (AVG) niet toewijsbaar is - het verzoek als een artikel 843a Rv-verzoek te beschouwen en toe te wijzen, met weglating van de verwijzingen naar de AVG.
Stripe verzet zich tegen inwilliging van het verzoek voor zover dat is gegrond op toepassing van het inzagerecht van artikel 15 lid 1 onder c AVG en heeft daartoe, samengevat, het volgende aangevoerd. Stripe heeft geen persoonsgegevens van [verzoeker] aan de webshop verstrekt in de zin van artikel 15 lid 1 onder c AVG. [verzoeker] heeft zijn persoonsgegevens, zoals naam, bezorgadres en de betaalgegevens zelf aan de webshop verstrekt toen hij de aankoop deed. Vervolgens heeft de webshop, via Shopify, de betaalgegevens aan Stripe verstrekt zodat Stripe de betaling kon faciliteren. Artikel 71d BGfo Wft is in deze context niet op Stripe van toepassing, omdat de relevante betaaldienstverlener die de betalingstransactie heeft uitgevoerd de eigen bank van [verzoeker] is. Stripe heeft de betaling slechts gefaciliteerd door aan Shopify te bevestigen dat de betaling is voltooid. Daarbij bevestigt Stripe de betaling slechts aan (de server van) Shopify en verstrekt zij geen gegevens aan de webshop zelf. Als Stripe bij het faciliteren van betalingstransacties in opdracht van/namens haar zakelijke klanten persoonsgegevens van eindklanten verwerkt (zoals in dit geval), is zij bovendien geen (gezamenlijke) verwerkingsverantwoordelijke, maar een (sub)verwerker ten behoeve van, in dit geval, de webshop waar [verzoeker] zijn aankoop heeft gedaan. De webshop dan wel Shopify is de verwerkingsverantwoordelijke. Niet Stripe, maar de webshop dan wel Shopify heeft bepaald voor welke doeleinden (waarom) en met welke middelen (hoe) de gegevens worden verwerkt. Stripe heeft evenmin bepaald welke persoonsgegevens worden verwerkt wanneer zij een betalingstransactie faciliteert. De betreffende gegevens verwerkt zij niet voor eigen doeleinden, maar ten behoeve van de webshop. Alle omstandigheden wijzen erop dat Stripe (sub)verwerker is en als zodanig niet bevoegd en niet verplicht is om inzage in de identiteitsgegevens van de handelaar te verstrekken. Nog los van de omstandigheid dat Stripe onder Iers recht valt, zodat het BGfo Wft niet op haar van toepassing is, volgt uit de artikelen 71d en 71g BGfo Wft niet dat Stripe als verwerkingsverantwoordelijke is aan te merken. Weliswaar beschikt Stripe op grond van haar wettelijke verplichtingen om cliëntonderzoek te doen - in welk verband zij wél verwerkingsverantwoordelijke is - over gegevens over de identiteit van de webshop, maar deze gegevens mogen uitsluitend worden verwerkt ter voorkoming van witwassen en terrorismefinanciering. Indien al juist is dat concurrenten van Stripe zichzelf als verwerkingsverantwoordelijke beschouwen met betrekking tot persoonsgegevens zoals die van [verzoeker] die hier aan de orde zijn, dan betekent dat niet dat Stripe dus ook verwerkingsverantwoordelijke is; het gaat er immers om of de betaaldienstverlener (mede) het doel en de middelen van de verwerking van persoonsgegevens bij het faciliteren van betalingen bepaalt, en ook wat de betaaldienstverlener overigens nog met die gegevens doet. Daar gaat Stripe bewust anders mee om dan haar door [verzoeker] genoemde concurrenten. Verder voert Stripe aan dat het inzagerecht is bedoeld om de betrokkene in staat te stellen zich op de hoogte te stellen van de verwerking van zijn persoonsgegevens en de rechtmatigheid daarvan te controleren, maar niet voor het verkrijgen van bedrijfsinformatie van een derde. Ook omdat i) de rechtmatigheid van de gegevensverwerking niet ter discussie staat, ii) [verzoeker] al van de gegevensverwerking op de hoogte is en iii) [verzoeker] zijn inzagerecht niet inzet ter bescherming van zijn persoonsgegevens, maar uitsluitend om tegen de webshop een nakomingsvordering in te kunnen stellen, is Stripe niet verplicht om de gegevens te verstrekken. Daarbij komt dat de handelaar achter de webshop een natuurlijk persoon is, van wie de belangen zich tegen de verzochte gegevensverstrekking verzetten. Dat Stripe geen persoonsgegevens van [verzoeker] aan de handelaar heeft verstrekt en evenmin is aan te merken als verwerkingsverantwoordelijke betekent dat Stripe niet op basis van artikel 15 lid 1 sub c AVG verplicht is om gegevens van de (handelaar achter de) webshop te verstrekken aan [verzoeker] , aldus Stripe.
[verzoeker] voert verder aan dat [verzoeker] zijn verzoek (aanvankelijk) niet heeft gegrond op artikel 843a Rv, maar dat die bepaling wel de geëigende grondslag is voor een verzoek als dit. In het kader van artikel 843a Rv zal de rechtbank de belangen van [verzoeker] , de (handelaar achter) de webshop en Stripe moeten afwegen. Daarbij is volgens Stripe aan de zijde van Stripe en de webshop relevant dat het Stripe niet is toegestaan de in het kader van het bestrijden van witwassen en terrorismebestrijding door haar verzamelde gegevens van de webshop voor andere, niet-verenigbare doeleinden te verwerken. Bovendien is Stripe met Shopify overeengekomen de verzochte informatie geheim te houden. Aan de zijde van [verzoeker] is van belang dat het met de transactie van [verzoeker] bij de webshop gemoeide financiële belang relatief beperkt is en dat de webshop zelf op grond van het consumentenrecht verplicht was zijn identiteit en geografische adres aan [verzoeker] bekend te maken voorafgaand aan de transactie en dat dit kennelijk niet is gebeurd of dat [verzoeker] die informatie niet meer heeft. Stripe refereert zich aan het oordeel van de rechtbank voor zover de rechtbank het verzoek op grond van artikel 843a Rv beoordeelt en de reikwijdte van het eventueel te geven bevel beperkt blijft tot informatie die door Stripe is verkregen in het kader van het wettelijk verplichte cliëntenonderzoek en die noodzakelijk en proportioneel is voor [verzoeker] om de webshop te kunnen identificeren. Het opleggen van een dwangsom is dan niet nodig.
Als Stripe wordt veroordeeld om de gegevens te verstrekken, moet die veroordeling - gelet op het onomkeerbare karakter van de gegevensverstrekking - niet uitvoerbaar bij voorraad worden verklaard. Stripe verzoekt [verzoeker] in de proceskosten te veroordelen.
Op de stellingen van [verzoeker] en Stripe zal hierna, voor zover van belang, verder worden ingegaan.