ECLI:NL:RBAMS:2025:700

• Datum uitspraak: 5 februari 2025
• Publicatiedatum: 5 februari 2025
• Zaaknummer: C/13/761516 / KG ZA 24-1034
• Instantie: Rechtbank Amsterdam
• Type: Uitspraak
• Rechtsgebied: Civiel recht; Burgerlijk procesrecht
• Procedures: Proceskostenveroordeling
• Rechters: T.H. van Voorst Vader
• Vindplaatsen: Rechtspraak.nl

AI samenvatting door Lexboost • Automatisch gegenereerd

Dwangsommen en cookies: LinkedIn c.s. versus particulier over privacy-inbreuk

In deze zaak, behandeld door de Rechtbank Amsterdam op 5 februari 2025, stonden LinkedIn Ireland Unlimited Company, Microsoft Ireland Operations Limited, Microsoft Corporation en Xandr Inc. tegenover een particulier. De zaak draaide om de vraag of LinkedIn c.s. dwangsommen hadden verbeurd door zonder toestemming cookies op de computer van de particulier te plaatsen, wat in strijd zou zijn met een eerder uitgesproken vonnis van 7 juni 2024. De voorzieningenrechter had LinkedIn c.s. bevolen te stoppen met het plaatsen van tracking cookies zonder toestemming van de gebruiker, met een dwangsom van € 500 per overtreding. De particulier stelde dat LinkedIn c.s. deze dwangsommen hadden verbeurd door op 22 juli en 1 augustus 2024 cookies te plaatsen zonder toestemming.

Tijdens de zitting op 22 januari 2025 werd de vordering van LinkedIn c.s. om het executoriale beslag op te heffen en de uitvoering van de dwangsommen te schorsen behandeld. De rechter oordeelde dat LinkedIn c.s. in ernst het gebod niet hadden nageleefd, wat leidde tot de conclusie dat zij de maximale dwangsommen van € 25.000 per partij hadden verbeurd. De rechter oordeelde dat de betekening van het vonnis aan LinkedIn en Microsoft niet vóór de data van de vermeende overtredingen had plaatsgevonden, waardoor de beslagen tegen hen werden opgeheven. De rechter legde de proceskosten van de zaak bij LinkedIn c.s. neer, terwijl de kosten van Microsoft en Xandr op nihil werden gesteld, gezien hun beperkte rol in de zaak.

De uitspraak benadrukt de noodzaak van toestemming voor het plaatsen van cookies en de gevolgen van het niet naleven van privacywetgeving. De rechter bevestigde dat de dwangsommen terecht waren opgelegd en dat de bescherming van de privacy van de gebruiker voorop staat. Dit vonnis is een belangrijke uitspraak in het kader van de AVG en de rechten van gebruikers met betrekking tot hun persoonsgegevens.

Uitspraak

vonnis

RECHTBANK AMSTERDAM

Afdeling privaatrecht, voorzieningenrechter civiel

zaaknummer / rolnummer: C/13/761516 / KG ZA 24-1034 VVV/EvB

Vonnis in kort geding van 5 februari 2025

in de zaak van

1. de vennootschap naar buitenlands recht

LINKEDIN IRELAND UNLIMITED COMPANY ,

gevestigd te Dublin, Ierland,

2. de rechtspersoon naar buitenlands recht

MICROSOFT IRELAND OPERATIONS LIMITED ,

gevestigd te Dublin, Ierland,

3. de vennootschap naar buitenlands recht

MICROSOFT CORPORATION ,

gevestigd te Redmond, Washington, Verenigde Staten van Amerika,

4. de vennootschap naar buitenlands recht

XANDR INC. ,

gevestigd te Redmond, Washington, Verenigde Staten van Amerika,

eiseressen in conventie bij dagvaarding van 24 december 2024,

verweersters in reconventie,

advocaten mr. C. Jeloschek en mr. S.A.K. d’Azevedo te Amsterdam,

tegen

[gedaagde] ,

wonende te [woonplaats] ,

gedaagde in conventie,

eiser in reconventie,

advocaten mr. M.H.L. Hemmer en mr. R.A.M.D. Smit te Rotterdam.

Partijen zullen hierna LinkedIn c.s. en [gedaagde] worden genoemd. Afzonderlijk zullen eiseressen ook wel LinkedIn, MIOL, Microsoft Corporation en Xandr worden genoemd.

1. De procedure

Op de zitting van 22 januari 2025 hebben LinkedIn c.s. de vorderingen zoals omschreven in de dagvaarding toegelicht. [gedaagde] heeft verweer gevoerd en een eis in reconventie ingediend. LinkedIn c.s. hebben de tegenvordering bestreden. Beide partijen hebben producties ingediend en gebruik gemaakt van pleitaantekeningen, die aan het dossier zijn toegevoegd.

Bij de mondelinge behandeling waren aan de zijde van LinkedIn aanwezig [naam 1] (van Microsoft en Xandr), [naam 2] (legal counsel) en [naam 3] (legal counsel), allen via een digitale verbinding, bijgestaan door L. Mitzman (tolk Engels), met mr. Jeloschek en mr. D’Azevedo. [gedaagde] was aanwezig met mr. Hemmer en mr. Smit.
Vonnis is bepaald op vandaag.

2. De feiten

2.1.

Bij vonnis van 7 juni 2024 heeft de voorzieningenrechter van deze rechtbank LinkedIn c.s. op vordering van [gedaagde] geboden het plaatsen dan wel uitlezen, op de computer en/of apparaten van [gedaagde] , van tracking cookies of andere cookies waarvoor toestemming vereist is, te staken en gestaakt te houden. Aan het uitgesproken gebod is een dwangsom verbonden voor ieder van (toen) gedaagden van € 500,00 per overtreding van het gebod, dan wel – naar keuze van [gedaagde] – € 1.000,00 voor iedere dag (of een gedeelte daarvan) waarop de betreffende gedaagde in gebreke blijft aan het gebod te voldoen en/of daarmee in strijd handelt, tot een maximum van in totaal € 25.000,00 (zegge: vijfentwintigduizend euro) per gedaagde is bereikt. In het vonnis staan onder meer de volgende overwegingen:

“(…)

5.10.1.

Gedaagden erkennen dat het merendeel van de hier in het geding zijnde

Cookies, namelijk de MUID, MSPTC, UUID, XANDR-PANID en anj cookies van

Microsoft en Xandr, geplaatst worden voor het vastleggen van persoonsgegevens,

waarmee profielen kunnen worden opgebouwd die
kunnen worden uitgelezen ten

behoeve van advertentiedoeleinden. Voorshands is, mede gelet op de toelichting van

[gedaagde] en het door hem in het geding gebrachte rapport, voldoende

aannemelijk dat met
het plaatsen van dergelijke cookies persoonsgegevens worden

verwerkt, in dit concrete geval die van [gedaagde] . (…)

5.10.2.

Ten aanzien van de CLID cookie heeft Microsoft betwist dat deze als een

tracking cookie kan worden gekwalificeerd. Echter gelet op haar eigen beschrijving

van de werking daarvan:

[a] free behavioral analysis tool that helps you understand how customers interact with your website. By integrating Universal Event Tracking (UET) with Clarity, you can use a single UET tag tor behavioral insights such as heatmaps and session playbacks, conversion tracking, automated bidding, and audience targeting.

(...)

Do you want to know more about who is visiting your website and what they do on it? 1f so, you will love Clarity’s new feature: Visitor Profiles.

treft deze betwisting geen doel. Ook de CLID-cookie heeft tot doel het in kaart

brengen van (individuele) bezoekers en hun surfgedrag en kan dus wel degelijk als

tracking cookie worden aangemerkt, waarmee persoonsgegevens worden verwerkt.

5.10.3

Ook met betrekking tot de LinkedIn cookies hebben gedaagden betwist dat

deze als tracking cookies kunnen worden aangemerkt. De bcookie wordt volgens

hen niet ingezet voor het identificeren van Linkedln leden en niet voor online

advertentiedoeleinden, maar voor het voorkomen van frauduleus verkeer. Het is

daarmee volgens gedaagden een functionele cookie zoals ook toegelicht door [naam 4]

in een verklaring van 17 mei 2024. [gedaagde] heeft onvoldoende gesteld om aan te

nemen dat dit anders is. De li_sugr cookie daarentegen is bedoeld om vast te stellen of de websitebezoeker Linkedln lid is. Gedaagden hebben uiteengezet dat de reden

daarvoor is dat de cookiegegevens verkregen via de Insight tag in de EU enkel

worden gebruikt voor gepersonaliseerde advertenties als de websitebezoeker een

LinkedIn lid is en daarvoor voorafgaande toestemming heeft gegeven. Met de

li_sugr worden aldus wel gegevens vastgelegd van de websitebezoeker ten behoeve

van advertentiedoeleinden. Daarmee worden dus persoonsgegevens van [gedaagde]

verwerkt. (…)”

2.2.

De betekening van het vonnis aan LinkedIn c.s. is op 16 juli 2024 in gang gezet door (verzending ter) betekening van de grossen aan de ontvangende instantie in Ierland (voor LinkedIn en MIOL) en het parket van de ambtenaar van het openbaar ministerie (voor Microsoft Corporation en Xandr), en verzending van de grossen per koerier.

2.3.

In de procedure die heeft geleid tot het vonnis van 7 juni 2024, had [gedaagde] zijn vordering onderbouwd met een deskundigenrapport van Mark Stoter. In opdracht van [gedaagde] heeft deze deskundige, nadat het vonnis was gewezen, onderzocht of LinkedIn c.s. het vonnis naleven. Op 15 januari 2025 heeft Stoter een rapport uitgebracht waarin hij concludeert dat LinkedIn c.s. op de twee onderzochte data, 22 juli en 1 augustus 2024, (tracking) cookies heeft geplaatst op de computer van [gedaagde] zonder diens toestemming. In het rapport staat onder meer het volgende:

“(…)
In this report, I examine the User’s ( [gedaagde] , vzr.) subsequent experience when, on 22 July 2024 and 1 August 2024, he visited a number of websites in the same fashion, using the Chrome browser on his home computer and recording the network traffic of the web browsing session.
Again, I have been provided with ‘HAR’ (HTTP archive) files, which capture the network traffic recorded during these browsing sessions. HAR files are files created by a user’s browser when they visit websites and contain all the details of the network calls and responses including cookie data. It is a text based ‘JSON’ file that is easily readable. HAR files can be recorded on any browser session and downloaded by the user. They can also be uploaded to the browser to view the interactions in situ. For more details on HAR files see https://www.keysight.com/blogs/en/tech/nwvs/2022/05/27/a-comprehensive-guide-on-har-files

I have been asked to:

- 1. Analyze these files to show evidence that domains owned by Microsoft Group

and/or companies within the Microsoft Group, continued to store and/or access cookies on

the User’s computer without consent.

- 2. To review the relevant privacy statements of the Microsoft Group entities, and their

various pleadings, and to assess the purpose of the cookies being set on the User’s device.

3. Analyzing the User’s network traffic

In three browsing sessions, on 22 July 2024 and 1 August 2024, the User used his Chrome browser to visit 163 websites, visiting the homepages of each of these websites in turn. The User did not click on any cookie banner buttons, nor perform any other interaction that could be interpreted as giving consent for the setting or reading of third-party cookies on his computer. As previously, before conducting the browsing, the User set the Chrome browser to record all network traffic using the Developer Tools available within the browser. This created ‘HAR’ files, which record all network traffic occurring while using the browser. This file includes all data related to cookies being set or read while the User browses.

(…)

When the User browsed these sites, Microsoft set and read cookies on the User’s computer

without any form of consent from the User. Microsoft did so from the following domains, which it owns: adnxs.com , bing.com , clarity.ms and linkedin.com . A summary of the network calls and cookie activity is given in Appendix 2. Each of the websites visited either (1) had a cookie banner that offered the User the choice of accepting all cookies, rejecting cookies or changing settings to manage cookies, or (2) had no cookie banner.

(…)”

2.4.

Op 17 oktober 2024 heeft [gedaagde] aan elk van eiseressen de verbeurte van € 25.000,00 aangezegd wegens het overtreden van het door de voorzieningenrechter uitgesproken gebod op 22 juli en 1 augustus 2024 (LinkedIn 183 overtredingen, MIOL 198 overtredingen, Microsoft Corporation 253 overtredingen en Xandr 110 overtredingen).

2.5.

Vervolgens heeft [gedaagde] executoriaal beslag gelegd. Op dit moment ligt er beslag onder DPG Media B.V. ten laste van LinkedIn, MIOL en Xandr en onder Microsoft B.V. ten laste van MIOL en Microsoft Corporation.

3. Het geschil in conventie

3.1.

LinkedIn c.s. vorderen, kort gezegd:

1. primair [gedaagde] te bevelen de beslagen op te heffen;

subsidiair [gedaagde] te bevelen de beslagen te beperken tot het bij dit vonnis vastgestelde bedrag aan verbeurde dwangsommen;

zowel primair als subsidiair: op straffe van verbeurte van dwangsommen;

2. [gedaagde] te bevelen de executie van de aangezegde dwangsommen te schorsen en geschorst te houden, op straffe van een dwangsom;

3. [gedaagde] te veroordelen in de proceskosten, de nakosten en de beslagkosten.

3.2.

Aan hun vorderingen leggen LinkedIn c.s. ten grondslag, kort gezegd, dat Xandr en Microsoft Corporation geen dwangsommen kunnen hebben verbeurd omdat het vonnis niet aan haar is betekend, in ieder geval niet vóór 22 juli of 1 augustus 2024. Verder stellen zij dat [gedaagde] volgens het vonnis nog niet mag tenuitvoerleggen voordat is beslist of, en zo ja tot welk bedrag LinkedIn c.s. dwangsommen hebben verbeurd, omdat zij in het buitenland zijn gevestigd. Volgens LinkedIn c.s. heeft [gedaagde] geen overtuigend bewijs geleverd dat zij het gebod niet hebben nageleefd; [gedaagde] interpreteert het vonnis te ruim en het deskundigenrapport bevat tal van gebreken. Tenuitvoerlegging van de dwangsommen is verder disproportioneel, omdat [gedaagde] is aangeboden het plaatsen en uitlezen van cookies op zijn hardware te blokkeren via zijn IP-adres.

3.3.

[gedaagde] voert verweer.

3.4.

Op de stellingen van partijen, voor zover van belang, wordt hierna nader ingegaan.

4. De vordering in reconventie

4.1.

[gedaagde] vordert het bedrag van de verbeurde dwangsommen vast te stellen op € 100,000,00, waarbij elk van eiseressen € 25.000,00 heeft verbeurd, althans een ander door de voorzieningenrechter te bepalen bedrag, met hoofdelijke veroordeling van eiseressen in de proceskosten en de nakosten, te vermeerderen met rente.

4.2.

LinkedIn c.s. voeren verweer.

4.3.

Op de stellingen van partijen, voor zover van belang, wordt hierna ingegaan.

5. De beoordeling in conventie

De formaliteiten

5.1.

LinkedIn c.s. zijn allemaal in het buitenland gevestigd. Omdat het gaat om de volgens LinkedIn c.s. onrechtmatige uitvoering van een Nederlands vonnis in Nederland, is de Nederlandse rechter bevoegd om kennis te nemen van de zaak (op grond van artikel 7 lid 2 Brussel I-bis voor LinkedIn en MIOL en op grond van artikel 6 aanhef en onder e Rv voor Microsoft Corporation en Xandr). Om dezelfde redenen is Nederlands recht van toepassing op grond van artikel 4 van Rome II.

5.2.

In een executiegeschil als dit, waarbij het erom gaat of dwangsommen zijn verbeurd omdat een bevel tot nakoming (gebod, verbod) niet of niet voldoende is

nageleefd, heeft de rechter niet tot taak de door de (bodem)rechter besliste rechtsverhouding zelfstandig opnieuw te beoordelen, maar dient hij zich ertoe te beperken de ter uitvoering van het veroordelend vonnis verrichte handelingen te toetsen aan de inhoud van de veroordeling, zoals deze door uitleg moet worden vastgesteld. Daarbij dient de rechter het doel en de strekking van de veroordeling tot richtsnoer te nemen in die zin dat de veroordeling niet verder strekt dan tot het bereiken van het daarmee beoogde doel.

5.3.

De eerste vraag die ter beoordeling voorligt, is of en zo ja wanneer het vonnis betekend is. Een dwangsom kan namelijk niet worden verbeurd voordat de uitspraak waarbij zij is vastgesteld is betekend aan de veroordeelde (artikel 611a lid 3 Rv).

5.4.

In de dagvaarding en in de eerste termijn op zitting hebben LinkedIn c.s. gesteld dat het vonnis niet, althans niet vóór 22 juli of 1 augustus 2024 aan Xandr is betekend, zodat zij om die reden geen dwangsommen kan hebben verbeurd. Aan het slot van de tweede termijn hebben zij daaraan toegevoegd dat dezelfde redenering ook opgaat voor Microsoft Corporation.

5.5.

Uit de overgelegde stukken blijkt dat het vonnis aan LinkedIn en MIOL is betekend op 19 juli 2024, aan Microsoft Corporation op 14 augustus 2024 en aan Xandr (uiteindelijk, na eerdere mislukte pogingen, pas) op 26 september 2024. Het vonnis is aan deze laatste twee dus pas betekend ná 22 juli en 1 augustus 2024, de data waarop [gedaagde] heeft gecontroleerd of het vonnis werd nageleefd. Dat Xandr (na 26 september 2024) en Microsoft Corporation (na 14 augustus 2024) het gebod van de voorzieningenrechter niet hebben opgevolgd, blijkt nergens uit. Zij hebben dan ook geen dwangsommen verbeurd. De ten laste van hen gelegde beslagen zullen dan ook worden opgeheven en het zal [gedaagde] worden verboden het vonnis van 7 juni 2024 opnieuw tegen hen ten uitvoer te leggen op basis van overtredingen van het vonnis op 22 juli of 1 augustus 2024.

5.6.

De volgende vraag die moet worden beantwoord, is of artikel 55 Brussel I-bis in de weg staat aan tenuitvoerlegging van het vonnis tegen LinkedIn en MIOL. Volgens LinkedIn c.s. is dat het geval, omdat die twee vennootschappen allebei in Ierland gevestigd zijn en de tenuitvoerlegging daarmee een internationale aangelegenheid is die onder het bereik van de herschikte EEX-verordening valt.

5.7.

Artikel 55 Brussel I-bis bepaalt dat in een lidstaat gegeven beslissingen die een veroordeling tot betaling van een dwangsom inhouden, in de aangezochte lidstaat slechts ten uitvoer kunnen worden gelegd wanneer het bedrag ervan door het gerecht van herkomst definitief is bepaald. [gedaagde] legt het vonnis echter (nog) niet ten uitvoer in Ierland. Dit artikel mist dan ook toepassing.

De inhoud

5.8.

Partijen interpreteren het door de voorzieningenrechter uitgesproken gebod verschillend. Volgens LinkedIn c.s. mogen alleen de cookies die met naam genoemd zijn in het vonnis, niet meer worden geplaatst. Dat zijn de cookies MUID,

MSPTC, UUID, XANDR-PANID, anj, CLID en li_sugr. Die uitleg is onjuist, want te beperkt. Het gebod is gegeven voor
tracking cookies of andere cookies waarvoor toestemming vereist is , zoals [gedaagde] ook had gevorderd. De in het vonnis met naam genoemde cookies zijn slechts voorbeelden daarvan. De engere uitleg van LinkedIn c.s. is ook niet logisch, omdat zij dan nog steeds in strijd met de AVG en Telecommunicatiewet zou kunnen blijven handelen. Dat is uiteraard niet de bedoeling.

5.9.

Dan zijn we nu toe aan de hamvraag: Hebben LinkedIn en MIOL het uitgesproken gebod geschonden?

5.10.

LinkedIn c.s. stellen dat zij stappen hebben ondernomen om te voorkomen dat cookies zonder toestemming van [gedaagde] worden uitgelezen of geplaatst, maar een toelichting op het moment en de wijze waarop dat zou zijn gebeurd, is in het geheel niet gegeven. Dat had wel van hen mogen worden verwacht. Maar ook voor het overige is de argumentatie van LinkedIn c.s. mager te noemen.

5.11.

In het rapport van deskundige Stoter staat dat hij de door [gedaagde] op 22 juli en 1 augustus 2024 gemaakte ‘HAR’ (HTTP archive) files heeft onderzocht. LinkedIn heeft niet betwist dat een gebruiker van internet HAR files kan aanmaken, waarmee al het netwerkverkeer gedurende de gebruikssessie wordt vastgelegd, met inbegrip van data over cookies. Daarvan uitgaand, gaan de stellingen van LinkedIn c.s. (i) dat Stoter geen eigen onderzoek heeft verricht maar alleen de eigen bevindingen van [gedaagde] heeft gevalideerd, en (ii) dat [gedaagde] geen schone browser heeft gebruikt op 22 juli en 1 augustus 2024, niet op.

5.12.

De argumenten van LinkedIn c.s. dat zij zelf onderzoek hebben uitgevoerd naar de vermeende overtredingen en hebben geconstateerd (i) dat de door [gedaagde] genoemde cookies niet waren geplaatst en uitgelezen, en (ii) dat bij geen van de in het rapport genoemde websites op dit moment sprake is van overtreding van de cookieregels, gaan niet op. Niet alleen is dat onderzoek niet uitgevoerd door een onafhankelijke derde, maar dat onderzoek dateert ook van 20 augustus 2024 en dus van ná de browsersessies van 22 juli en 1 augustus 2024 waarop [gedaagde] zich beroept.

5.13.

Het argument dat [gedaagde] en de deskundige doen aan “cherry picking” omdat er ook veel websites in het Excelbestand (dat van de HAR files is gemaakt) staan waar geen cookies waren geconstateerd, is moeilijk serieus te nemen. Dat het soms goed gaat, neemt de keren dat het fout gaat immers niet weg.

5.14.

Stoter heeft bij zijn onderzoek van de HAR files de volgende cookies aangetroffen: MUID, MSPTC, CLID, de bcookie en de li_gc cookie. Dat de eerste drie tracking cookies zijn, is al geoordeeld in het vonnis van 7 juni 2024. Dat van de bcookie op dat moment niet aannemelijk was dat het een cookie was waarvoor toestemming vereist was, betekent niet dat die cookie voor altijd uitgezonderd is van het gebod. Op grond van het rapport van Stoter is nu wel aannemelijk geworden dat ook de bcookie een tracking cookie is, gelet op de karakteristieken ervan. Stoter heeft daarover het volgende in zijn rapport opgenomen:

“(…)

LinkedIn states that the cookie and li_gc cookies are functional cookies and therefore do not require consent to be stored and accessed on users’ devices. The bcookie’s role is stated as being to assist LinkedIn in recognising its members’ browsers on its platform, and is therefore an aid to preventing fraudulent use of its platform. The li_gc’s role is not related to security but is stated as being to provide a persistent record of guests’ consent to non-essential cookies, with “guests” presumably meaning visitors to the linkedin.com domain.

There are a number of factors that raise doubt as to these claims. The way that these cookies are configured, they enable LinkedIn to conduct tracking. The principal three factors that are inconsistent with the stated purposes are: (1) these cookies are being placed on third party websites, and (2) the cookies have unnecessarily long expirations, and (3) that they are read and set through network calls to LinkedIn’s ad server.

Placement on third party websites

Perhaps the most striking inconsistency with the stated purposes of these cookies is that both the bcookie and li_gc cookies are being set and read across a vast range of third-party websites that are entirely unrelated to the LinkedIn platform. Such behaviour aligns more closely with practices associated with tracking consumers across websites for profiling and advertising purposes, rather than the purposes claimed by LinkedIn.

If the bcookie is intended to enable LinkedIn to recognize its members and detect abuse “on the platform,” this use may be understandable on the LinkedIn platform but it is difficult to justify why this cookie is also being set and read on third-party websites that are not part of the LinkedIn platform. Not only is the cookie being set for all visitors to these websites—many of whom are not LinkedIn members—but it is also being read by LinkedIn whenever users visit these unrelated websites. This enables much broader use than abuse detection.

Similarly, if the li_gc cookie’s purpose is to “store consent of guests regarding the use of cookies for non-essential purposes,” it is equally challenging to understand why this cookie is being set and read on third-party websites. This cookie is being deployed for all visitors to these websites, not just LinkedIn "guests," representing a significant overreach beyond its stated purpose. Furthermore, it is unclear why LinkedIn would need to set and read a consent-management cookie on websites that LinkedIn neither owns nor controls, suggesting a lack of transparency and potential misuse.

Finally, the use of these cookies on third-party sites cannot be reconciled as lawful under the guise of functional cookies. For cookies to be considered functional, they must serve a purpose directly related to the operation or functionality of the specific website where they are deployed. In this case, the setting and reading of these cookies are being carried out on websites where they serve no discernible function, making it difficult to identify a lawful basis for such activity under European or Dutch law. These practices appear to contravene legal requirements for transparency, necessity, and proportionality.

Long expiries

Both the bcookie and li_gc cookies are set with unusually long expiries—12 months and six

months, respectively—raising significant questions about whether such durations are necessary for their stated purposes.

For the majority of LinkedIn users who access the platform regularly, a 6- or 12-month expiry is excessive. A 30-day expiry would likely suffice to recognize returning users and store consent preferences, while still allowing for normal periods of inactivity. Each time users visit LinkedIn, these cookies could be reset, providing an entirely adequate means of recognizing users and managing consent without requiring such long-lasting identifiers.

For fraud prevention, a 12-month expiry for the bcookie is particularly questionable. Industry norms for fraud detection cookies typically involve short lifespans of days or weeks, as fraud risks are most acute during or immediately following a session. A shorter expiry would reduce privacy risks by limiting the potential for persistent tracking across time and third-party sites while still serving LinkedIn’s stated purpose. Given that most users interact with LinkedIn regularly, re-setting the cookies during these interactions would achieve the necessary functionality without relying on an extended lifespan.

The long expiry periods of these cookies—especially when they are set and read across third-party sites—strongly suggest, and at least enable, a purpose beyond what has been stated. Expiries of 6 to 12 months are highly advantageous for tracking and audience building, as they enable persistent identification of users across multiple sessions and websites over extended periods. This would allow LinkedIn to correlate a user’s activity on third-party sites with their LinkedIn profile, build detailed behavioural profiles, and track advertising effectiveness. Such prolonged tracking ensures continuity even if users clear their cookies infrequently, facilitating long-term audience segmentation, retargeting, and data collection.

In conclusion, the extended lifespans of the bcookie and li_gc are neither necessary nor

proportionate to their stated purposes. These practices contravene the principles of data

minimization and proportionality under GDPR, as they retain data for far longer than required for their intended use and create undue risks to user privacy.

Connecting to an ad server

It is noteworthy that the setting and reading of these cookies is performed through network calls to px.ads. linkedin.com , which LinkedIn has acknowledged as their advertising server. While it may be intuitive for the li_gc cookie to interact with an ad server if its purpose is related to managing consent for advertising, it is surprising that a security-focused cookie such as the bcookie would be set and read via an ad server rather than through LinkedIn’s dedicated security infrastructure. Apparently, the bcookie is related to the advertising activities of LinkedIn.

(…)

5.15.

Tegen deze stevige onderbouwing hebben LinkedIn c.s. ten aanzien van de bcookie vrijwel niets ingebracht. De ter zitting naar voren gebrachte stelling dat het in deze passages slechts gaat om “
factors that raise doubt ” – welke termen inderdaad in keurig Engels aan het begin voorkomen – brengt niet mee dat deze gehele passage slechts aanleiding geeft tot betekenisloze twijfels, omdat het totaal wel stellige en begrijpelijke conclusies bevat. Er wordt dan ook van uitgegaan dat ook het plaatsen of uitlezen van bcookies onder het op 7 juni 2024 uitgesproken gebod valt, gelet op de karakteristieken en het gedrag van de bcookies.

5.16.

Ten aanzien van de li_gc cookie hebben LinkedIn c.s. tegenover het rapport van Stoter slechts ingebracht dat li_gc wordt gebruikt om op te slaan of een websitebezoeker toestemming heeft verleend voor het mogen plaatsen en uitlezen van cookies. Dat is onvoldoende om te ontkrachten dat het om een cookie gaat die alleen met toestemming van de gebruiker mag worden geplaatst, en ook onvoldoende om te oordelen dat het oordeel van een door de rechtbank aan te wijzen deskundige nodig is voordat [gedaagde] de dwangsommen mag executeren. In ernst kan niet worden betwijfeld dat het door de voorzieningenrechter uitgesproken gebod overtreden is.

5.17.

Dan resteert de vraag hoe vaak LinkedIn en MIOL het vonnis hebben overtreden. Zij hebben meerdere bezwaren tegen het door [gedaagde] overgelegde Excel-overzicht van alle volgens hem begane overtredingen. Dat overzicht bevat volgens hen talloze doublures en onterechte tellingen.

5.18.

[gedaagde] heeft een veelvoud van 50 overtredingen per eiseres aangevoerd, zodat er flink wat fouten in het Excel-bestand moeten zitten wil het aantal overtredingen tot onder de 50 per eiseres kunnen worden teruggebracht.

5.19.

[gedaagde] betwist dat sprake is van dubbeltellingen. Voor een deel worden de “dubbeltellingen” volgens hem verklaard doordat het wel voorkomt dat bij een bezoek aan een website meerdere cookies tegelijk worden geplaatst. En voor het overige gaat het volgens hem om schendingen door het telkens opnieuw uitlezen van de geplaatste cookie. LinkedIn c.s. hebben niet uitgelegd dat en waarom hij dit verkeerd ziet. Het feit dat in het Excel-overzicht bij de verschillende schendingen telkens een andere pagina wordt vermeld (zie de kolom “page” in dat overzicht) lijkt steun te bieden aan de stellingen van [gedaagde] . Bij gebrek aan betwisting wordt ervan uitgegaan dat het Excel-bestand tot stand is gekomen door automatische omzetting van de HAR-files en dus een exacte weergave bevat van het browse-verkeer van [gedaagde] . De slotsom is dan ook dat in ernst niet kan worden betwijfeld dat LinkedIn en MIOL het door de voorzieningenrechter opgelegde verbod allebei minimaal vijftig keer hebben overtreden en het maximum aan dwangsommen hebben verbeurd. Voor opheffing van de ten laste van hen gelegde beslagen en schorsing van de tenuitvoerlegging van het vonnis tegen hen bestaat dan ook geen grond.

5.20.

LinkedIn en MIOL zullen als de overwegend in het ongelijk gestelde partij worden veroordeeld in de proceskosten van [gedaagde] . [gedaagde] is de in het ongelijk gestelde partij in relatie tot Microsoft Corporation en Xandr, maar de kosten van die twee worden op nihil gesteld omdat hun deelname aan het kort geding niet heeft geleid tot extra griffierecht of advocaatkosten voor LinkedIn en MIOL. De kosten aan de zijde van [gedaagde] worden begroot op:

- griffierecht € 331,00

- salaris advocaat 1.107,00

- nakosten
178,00

Totaal € 1.616,00

Als dit vonnis wordt betekend, komen hier nog de kosten bij die worden genoemd aan het slot van 7.3 van de beslissing.

6. De beoordeling in reconventie

6.1.

Op grond van hetgeen in conventie is overwogen, staat genoegzaam vast dat LinkedIn en MIOL allebei het maximum aan dwangsommen hebben verbeurd.

6.2.

Het incasseren van de dwangsommen is niet disproportioneel. [gedaagde] hoefde niet akkoord te gaan met het aanbod van LinkedIn c.s. om cookies via zijn IP-adres te blokkeren. Dat aanbod is de wereld op zijn kop, omdat de wetgever heeft gekozen voor een opt-in systeem in plaats van een opt-out systeem.

6.3.

Volgens LinkedIn c.s. is er sprake van een wanverhouding tussen de gevraagde dwangsommen en het economisch belang van de vordering van [gedaagde] . De vordering van [gedaagde] was echter niet economisch, maar principieel van aard: hij wil zijn privacy beschermen. Bovendien zijn dwangsommen bedoeld als prikkel tot nakoming, en het economische belang van LinkedIn c.s. bij het gebruik van tracking cookies is groot. In geen van beide opzichten zijn de opgelegde dwangsommen te hoog.

6.4.

Er is al met al voldoende grond om vast te stellen dat LinkedIn en MIOL elk € 25.000,00 aan dwangsommen hebben verbeurd (in totaal dus € 50.000,00) wegens overtreding van het vonnis van 7 juni 2024 op 22 juli en/of 1 augustus 2024.

6.5.

Linkedin en MIOL worden als de in het ongelijk gestelde partij in de proceskosten veroordeeld. Wegens samenhang met de conventie worden de kosten aan de zijde van [gedaagde] begroot op nihil.

7. De beslissing

De voorzieningenrechter

in conventie

7.1.

heft op de ten laste van Xandr en Microsoft Corporation gelegde executoriale beslagen,

7.2.

beveelt [gedaagde] de executie van dwangsommen die Xandr en Microsoft Corporation zouden hebben verbeurd door overtredingen van het vonnis op 22 juli 2024 en 1 augustus 2024, te staken en gestaakt te houden,

7.3.

veroordeelt LinkedIn en MIOL in de proceskosten, aan de zijde van [gedaagde] tot op heden begroot op € 1.616,00, te vermeerderen – als dit vonnis wordt betekend – met van € 92,00 aan salaris advocaat en de explootkosten van betekening van de uitspraak,

7.4.

verklaart dit vonnis tot zover uitvoerbaar bij voorraad,

7.5.

veroordeelt [gedaagde] in de proceskosten van Microsoft Corporation en Xandr, tot op heden begroot op nihil,

7.6.

wijst het meer of anders gevorderde af,

in reconventie

7.7.

stelt het bedrag aan reeds verbeurde dwangsommen vast op in totaal € 50.000,00 (voor LinkedIn en MIOL elk € 25.000,00),

7.8.

verklaart dit vonnis tot zover uitvoerbaar bij voorraad,

7.9.

veroordeelt LinkedIn en MIOL in de proceskosten, aan de zijde van [gedaagde] tot op heden begroot op nihil,

7.10.

wijst het meer of anders gevorderde af.

Dit vonnis is gewezen door mr. T.H. van Voorst Vader, voorzieningenrechter, bijgestaan door mr. E. van Bennekom, griffier, en in het openbaar uitgesproken op 5 februari 2025. ^[1]

Voetnoten

1. type: EB