Uitspraak
vonnis
RECHTBANK AMSTERDAM
Afdeling privaatrecht, voorzieningenrechter civiel
Vonnis in kort geding van 12 februari 2025
in de zaken:
A. zaaknummer: C/13/760174 / KG ZA 24-965 NB/MAH
van
[eiser in 760174],
wonende te [woonplaats] ,
eiser bij dagvaarding van 6 december 2024,
hierna te noemen: [eiser in 760174] ,
advocaat: mr. M.H.L. Hemmer te Rotterdam,
tegen
1. de rechtspersoon naar Iers recht
MICROSOFT IRELAND OPERATIONS LTD.,
gevestigd te Dublin, Ierland,
hierna te noemen: Microsoft,
2. de vennootschap naar het recht van de Verenigde Staten
XANDR INC.,
gevestigd te Redmond, Washington, Verenigde Staten,
hierna te noemen: Xandr,
gedaagden,
advocaten mr. C. Jeloschek, mr. L. Poolman en mr. H. Osse te Amsterdam,
en
B. zaaknummer: C/13/760175 / KG ZA 24-966 NB/MAH
van
[eiser in 760175],
wonende te [woonplaats] ,
eiser bij dagvaarding van 6 december 2024,
hierna te noemen: [eiser in 760175] ,
advocaat mr. M.H.L. Hemmer te Rotterdam,
tegen
1. de rechtspersoon naar Iers recht
MICROSOFT IRELAND OPERATIONS LTD.,
gevestigd te Dublin, Ierland,
2. de vennootschap naar het recht van de Verenigde Staten
XANDR INC.,
gevestigd te Redmond, Washington, Verenigde Staten,
gedaagden,
advocaten mr. C. Jeloschek, mr. L. Poolman en mr. H. Osse te Amsterdam.
1.De procedure
1.1.
Het verzoek van gedaagden om voeging van de – bij twee vrijwel identieke dagvaardingen aangebrachte – zaken is voorafgaand aan de zitting door de voorzieningenrechter afgewezen, maar de zaken zijn uit doelmatigheidsoverwegingen wel gezamenlijk mondeling behandeld op 15 januari 2025 en het navolgende heeft dan ook betrekking op beide zaken.
1.2.
Bij de zitting van 15 januari 2025 waren aanwezig:
- eisers met mr. Hemmer en zijn kantoorgenote mr. S. Hendriks,
- aan de kant van gedaagden: [naam 1] (principal software engineering manager Microsoft), [naam 2] (principal software engineer Microsoft), [naam 3] (principal engineer Xandr ), [naam 4] (Legal counsel Microsoft), [naam 5] (Legal counsel Microsoft)
(allen via videoverbinding),met mr. Jeloschek, mr. Poolman en mr. Osse.
(allen via videoverbinding),met mr. Jeloschek, mr. Poolman en mr. Osse.
Gedaagden werden bijgestaan door L. Crul, tolk Engels.
1.3.
Eisers hebben de dagvaardingen toegelicht. Gedaagden hebben verweer gevoerd, mede aan de hand van een tevoren ingediende gezamenlijke conclusie van antwoord. Beide partijen hebben producties en spreekaantekeningen ingediend.
1.4.
Vonnis is bepaald op vandaag.
2.De feiten
2.1.
Eisers zijn Nederlandse natuurlijke personen.
2.2.
Gedaagden (Xandr sinds 2022) maken deel uit van de wereldwijd opererende Microsoft-groep.
2.3.
Microsoft biedt onder meer advertentie- en analytische diensten aan bedrijven in de Europese Unie (EU) aan.
2.3.1.
Een van de analytische diensten van Microsoft is Clarity. Deze dienst is gericht op het analyseren van gedrag van websitebezoekers. Om van Clarity gebruik te kunnen maken moet de website beheerder een stukje Java-Script integreren, wat tot gevolg heeft dat de ‘CLID-cookie’ op de randapparatuur (laptop, tablet en andere
devices)van die websitebezoekers kan worden geplaatst. Op dit moment maken miljoenen websitebeheerders gebruik van de Clarity-dienstverlening. Volgens Microsoft is zij de verwerkingsverantwoordelijke voor de via Clarity verzamelde persoonsgegevens.
devices)van die websitebezoekers kan worden geplaatst. Op dit moment maken miljoenen websitebeheerders gebruik van de Clarity-dienstverlening. Volgens Microsoft is zij de verwerkingsverantwoordelijke voor de via Clarity verzamelde persoonsgegevens.
2.3.2.
Een advertentiedienst van Microsoft is Microsoft Advertising. Microsoft exploiteert verschillende eigen websites waarop advertentieruimte te koop wordt aangeboden aan adverteerders die gebruik maken van de Microsoft Advertising dienst. Eén van die websites is [internetsite 1] , de online zoekmachine van Microsoft. Via Microsoft Advertising kunnen adverteerders hun advertenties ook tonen op de advertentieruimte van ‘third-party’ websitebeheerders. De websitebeheerders kunnen daarvoor een stukje Java-Script van Microsoft Advertising integreren, waarmee de ‘MUID’ en de ‘MSPTC’ cookie op de
devicesvan de websitebezoekers kunnen worden geplaatst. Tienduizenden klanten maken momenteel gebruik van de Microsoft Advertising-dienstverlening.
devicesvan de websitebezoekers kunnen worden geplaatst. Tienduizenden klanten maken momenteel gebruik van de Microsoft Advertising-dienstverlening.
2.4.
Xandr is een online platform voor het kopen en verkopen van digitale advertenties. Zij biedt in dat kader voor
publishersde dienst ‘Monetize’ aan en voor
advertisersde dienst ‘Invest’.
publishersde dienst ‘Monetize’ aan en voor
advertisersde dienst ‘Invest’.
2.4.1.
Om gebruik te maken van de diensten van Xandr moet de websitebeheerder het Xandr Java-script integreren, waarmee de ‘uuid2’, ‘XANDR-PANID’, ‘icu’ en/of ‘anj’ cookies op de
devicesvan websitebezoekers kunnen worden geplaatst. Vele duizenden klanten van Xandr maken gebruik van Monetize en Invest.
devicesvan websitebezoekers kunnen worden geplaatst. Vele duizenden klanten van Xandr maken gebruik van Monetize en Invest.
2.5.
Eisers hebben ieder bij brieven van hun advocaat van 26 september en 3 oktober 2024 Microsoft respectievelijk Xandr gesommeerd om niet langer, al dan niet via ‘third-party websites’, tracking cookies op hun computer of andere apparaten te plaatsen zonder hun voorafgaande toestemming. Daarbij hebben zij geschreven dat dit in strijd is met 11.7 lid 1 Telecommunicatiewet (Tw) en de artikelen 5.1.a, 6, 7, 13 en 14 Algemene verordening gegevensbescherming (AVG) en dat dit onrechtmatige plaatsen in ieder geval gebeurt met
- de MUID- en MSPTC-cookie van Microsoft, en
- de uuid2 cookie, anj cookie en XANDR-PANID-cookie van Xandr.
2.6.
Ook hebben zij gedaagden gesommeerd te stoppen met het verwerken van via (in de brieven met name genoemde) unieke Cookie-ID’s ontvangen gegevens die aan eisers kunnen worden gelinkt.
In de brief van [eiser in 760174] aan Microsoft staat daarover specifiek:
“It has further been established that Microsoft should (in any case) have (had) access to the following unique cookie ID: [cookie 1] . This cookie ID has been
collected by means of the MUID cookie and can be connected to [eiser in 760174] . We conclude that [eiser in 760174] was followed, by members of the Microsoft-group, on at least the following websites:
[internetsite 2]
[internetsite 3]
[internetsite 4]
[internetsite 5]
[internetsite 6] ”
en in de brief van [eiser in 760174] aan Xandr:
“It has further been established that Xandr should (in any case) have (had) access to the following unique and persistent cookie ID: “ [cookie 2] ” and received at least the following information in connection with the XANDR_PANID cookie and anj-cookie with the following codes:
- “ [cookie 3] .”
[etc. -Vzr.]
These cookie ID’s and other information has been collected by means of the uuid2 cookie, the XANDR-PANID-cookie and the anj-cookie and can be connected to [eiser in 760174] . We conclude that [eiser in 760174] was followed, by Xandr. Inc., on at least the following websites:
[internetsite 7]
[internetsite 8]
[internetsite 9]
[internetsite 10]
[internetsite 11]
On these websites the anj-cookie was also read and/or set by Xandr. We understand from the Xandr digital platform cookie policy2 on the Microsoft.com website, that this cookie denotes that a cookie ID (probably including [cookie 2] ) is synced with Xandr partners. It is unclear
for [eiser in 760174] , which Xandr partners have received the information.”
2.7.
In de brief van [eiser in 760175] aan Microsoft staat iets vergelijkbaars met betrekking tot de websites:
[internetsite 12]
[internetsite 13]
[internetsite 5]
[internetsite 6]
[internetsite 2] ,
en in zijn brief aan Xandr met betrekking tot de websites:
[internetsite 10]
[internetsite 14]
[internetsite 15]
[internetsite 16]
[internetsite 17] .
2.8.
Bij twee inhoudelijk gelijkluidende brieven van 4 oktober 2024 heeft (de advocaat van) Microsoft geantwoord dat zij de opgegeven cookies en URLs heeft onderzocht en dat zij “cannot find evidence of the cookie ID being set without consent. In addition, Microsoft is not able to identify your client […] based on the cookie ID and URLs referenced. Please provide additional information to corroborate your claims.”
In de brieven staat verder dat eisers zelf cookies van hun apparaten kunnen verwijderen.
Een vergelijkbaar antwoord is op 18 november 2024 door (de advocaat van) Xandr aan eisers (ieder afzonderlijk) gestuurd.
2.9. (
De advocaat van) [eiser in 760174] heeft opdracht gegeven aan het Engelse bedrijf Collective Shift om de schermafbeeldingen en HTTP Archive (HAR)-bestanden van de bezoeken van [eiser in 760174] op 12 en 14 augustus 2024 aan 129 websites op zijn personal computer te onderzoeken. De taakopdracht was, volgens het door M. Stoter opgestelde rapport van 20 december 2024:
1) de door [eiser in 760174] verstrekte bestanden analyseren om na te gaan of Microsoft en Xandr cookies plaatsten en uitlazen zonder toestemming
2) zelf browsing tests uitvoeren op dezelfde websites om de bevindingen te verifiëren
3) het doel van de betrokken cookies vaststellen aan de hand van het privacy beleid van de Microsoft groep.
De conclusie luidt: “Analysis of the HAR files revealed that Microsoft Group entities routinely set and accessed cookies without obtaining the User's consent.” en meer specifiek, onder verwijzing naar in het rapport opgenomen gedetailleerde tabellen, HAR-files en screen shots:
- op 64 bezochte websites heeft Microsoft zonder toestemming steeds een MUID-cookie en soms ook een MSPTC-cookie geplaatst of uitgelezen,
- op 43 bezochte websites heeft Xandr zonder toestemming een uuid2 cookie geplaatst of uitgelezen. Vaak werden ook de anj- en XANDR-PANID-cookies gebruikt voor ‘cookie syncing, sharing user IDs with third party domains such as [internetsite 18] and [internetsite 19] .
2.10.
Een vergelijkbaar rapport van 20 december 2024 over de bezoeken van [eiser in 760175] op 12 en 13 augustus 2024 aan 136 websites op diens personal computer vermeldt dezelfde conclusie (over 67 respectievelijk 46 bezochte websites).
3.Het geschil
3.1.
[eiser in 760174] en [eiser in 760175] vorderen ieder:
I. elk van gedaagden, op straffe van dwangsommen, afzonderlijk te gebieden het onrechtmatig handelen per omgaande te (doen) staken en gestaakt te (doen) houden door niet langer, al dan niet via third-party websites, Tracking Cookies of andere cookies waarvoor toestemming vereist is op de computer en/of apparaten van [eiser in 760174] respectievelijk [eiser in 760175] te (doen) plaatsen dan wel uit te lezen voordat hij daarvoor rechtsgeldige toestemming heeft gegeven;
II. een EEX-certificaat als bedoeld in artikel 53 Brussel I bis-Vo aan [naam 6] te verstrekken ten aanzien van Microsoft,
III. gedaagden te veroordelen in de proceskosten, met wettelijke rente;
3.2.
Gedaagden voeren, samengevat, de volgende verweren:
I. primair: de voorzieningenrechter is onbevoegd om van de vorderingen kennis te nemen, dan wel deze zaak moet conform artikel 110 lid 2 Wetboek van Burgerlijke Rechtsvordering naar de relatief bevoegde rechter in Nederland worden verwezen;
II. subsidiair: eisers zijn wegens gebrek aan (spoedeisend) belang niet ontvankelijk
in hun vorderingen;
III. meer subsidiair: de vorderingen moeten worden afgewezen op inhoudelijke gronden, samengevat:
- 1: Toestemming voor het plaatsen en/of uitlezen van cookies is alleen bij tracking cookies vereist. Voor privacy-vriendelijke analytische cookies geldt dit niet. De
CLID-cookie (van Clarity) valt onder deze uitzondering. Het is daarmee irrelevant of en hoe er toestemming is gegeven voor de
CLID. - 2: Voordat de vraag aan de orde komt of sommige websitebeheerders andere cookies van gedaagden hebben geplaatst en/of uitgelezen zonder toestemming, dient eerst beoordeeld te worden of gedaagden hiervoor überhaupt verantwoordelijk kunnen worden gehouden vanuit het oogpunt van de Tw én AVG. Dat is niet het geval.
- 3: Voor alle tracking cookies dienen eisers aan te tonen dat deze zonder toestemming zijn geplaatst en/of uitgelezen in de zin van de Tw, dan wel verwerkt (voor advertentiedoeleinden) in de zin van de AVG. De bewijsvoering rammelt aan alle kanten en eisers schetsen met hun onzorgvuldig onderzoek een onjuist beeld van beweerdelijke overtredingen (die ook onvoldoende door de ingeschakelde technisch expert worden aangetoond in de
expert analysis). - 4:De belangenafweging moet in het voordeel van gedaagden uitvallen, mede gezien het feit
(i)dat door eisers geen eigen belang wordt nagestreefd, maar dat van een derde (en bovendien volledig georkestreerd),
(ii)dat de cookies waarvan eisers stellen dat zij zijn geplaatst en/of uitgelezen niet door gedaagden zijn gebruikt en
(iii)dat het voor eisers mogelijk is om zichzelf uiterst eenvoudig tegen cookies te “beschermen”,
in alle gevallen met veroordeling van eisers in de proceskosten (per gedaagde) inclusief nakosten en rente.
3.3.
Op de stellingen van partijen wordt hierna, voor zover van belang, nader ingegaan.
4.De beoordeling
Bevoegdheid
4.1.
Gedaagden werpen een exceptie van relatieve onbevoegdheid op grond van artikel 110 Wetboek van Burgerlijke Rechtsvordering (Rv) op. Met betrekking tot de rechtsmacht (internationale bevoegdheid) van de Nederlandse rechter refereren zij zich aan het oordeel van de voorzieningenrechter.
4.2.
De voorzieningenrechter acht zich bevoegd en licht dat als volgt toe.
4.3.
Anders dan gedaagden hebben bepleit, wordt ervan uitgegaan dat eisers in [woonplaats] wonen. Zij stellen beiden al enkele jaren in [woonplaats] te wonen. Zij hebben stukken overgelegd die dat (summierlijk) aannemelijk maken. Daar tegenover hebben gedaagden niet aannemelijk gemaakt dat eisers niet in [woonplaats] wonen. [woonplaats] wordt daarom in dit kort geding aangemerkt als hun gewone woon- of verblijfplaats.
4.4.
Ten aanzien van de in Ierland gevestigde gedaagde Microsoft is de Nederlandse voorzieningenrechter bevoegd om te oordelen over de vorderingen, zowel op grond van artikel 79 lid 2 Algemene Verordening gegevensbescherming (AVG) (gewone verblijfplaats betrokkene), artikel 7 lid 2 Verordening (EU) Nr. 1215/2012 van het Europees Parlement en de Raad betreffende de rechterlijke bevoegdheid, de erkenning en tenuitvoerlegging van beslissingen in burgerlijke en handelszaken (Brussel I bis) (plaats schadebrengend feit, ‘Erfolgsort’, in dit geval Amsterdam).
4.5.
Ten aanzien van de Amerikaanse gedaagde Xandr is Brussel I-bis niet van toepassing, maar moet worden aangeknoopt bij de commune regels voor internationale bevoegdheid in artikel 1-14 Rv. Op basis van artikel 6 onder e Rv (bij onrechtmatige daad bevoegdheid op grond van de plaats van het schadebrengende feit) en artikel 7 lid 1 Rv (tussen de vorderingen tegen de onderscheiden gedaagden bestaat een zodanige samenhang dat redenen van doelmatigheid een gezamenlijke behandeling rechtvaardigen) acht de voorzieningenrechter zich ook jegens Xandr bevoegd.
4.6.
Op de vorderingen is Nederlands recht van toepassing op grond van artikel 10:159 Burgerlijk Wetboek (BW) jo. artikel 4 lid 1 Verordening (EU) Nr. 864/2007 van het Europees Parlement en de Raad betreffende het recht dat van toepassing is op niet contractuele verbintenissen (Rome II).
Ontvankelijkheid
4.7.
Gedaagden betwisten het (spoedeisend) belang van eisers.
4.8.
De voorzieningenrechter ziet geen aanleiding om anders te oordelen dan met betrekking tot ditzelfde verweer in dezelfde omstandigheden is geoordeeld in
Gerechtshof Amsterdam 5 december 2023, ECLI:NL:GHAMS:2023:2971, r.o. 4.4 ev, en
Rechtbank Amsterdam 7 juni 2024, ECLI:NL:RBAMS:2024:3331. Deze uitspraken zijn onherroepelijk. Eisers stellen gemotiveerd dat gedaagden onrechtmatig jegens hen handelen door het aantasten van hun privacy rechten. Als dat het geval is, moet daaraan, zeker nu het hier gaat om grondrechten, zo snel mogelijk een eind worden gemaakt. In dat verband kan niet van eisers worden gevergd de uitkomst van een bodemprocedure af te wachten. Daarmee is, anders dan gedaagden menen, het spoedeisend belang gegeven. Gedaagden hebben erkend dat een – weliswaar volgens hen slechts gering – aantal van de websites waarop dit geding betrekking heeft zich niet houdt aan het toestemmingsvereiste voor het plaatsen van bepaalde cookies. Een spoedeisend belang bij de gevraagde voorzieningen vloeit daaruit voort.
Gerechtshof Amsterdam 5 december 2023, ECLI:NL:GHAMS:2023:2971, r.o. 4.4 ev, en
Rechtbank Amsterdam 7 juni 2024, ECLI:NL:RBAMS:2024:3331. Deze uitspraken zijn onherroepelijk. Eisers stellen gemotiveerd dat gedaagden onrechtmatig jegens hen handelen door het aantasten van hun privacy rechten. Als dat het geval is, moet daaraan, zeker nu het hier gaat om grondrechten, zo snel mogelijk een eind worden gemaakt. In dat verband kan niet van eisers worden gevergd de uitkomst van een bodemprocedure af te wachten. Daarmee is, anders dan gedaagden menen, het spoedeisend belang gegeven. Gedaagden hebben erkend dat een – weliswaar volgens hen slechts gering – aantal van de websites waarop dit geding betrekking heeft zich niet houdt aan het toestemmingsvereiste voor het plaatsen van bepaalde cookies. Een spoedeisend belang bij de gevraagde voorzieningen vloeit daaruit voort.
4.9.
De omstandigheid dat het eisers mogelijk te doen is om een breder dan alleen hun eigen belang – volgens gedaagden trekken eisers ten strijde tegen tracking cookies en het zogenoemde real Time Bidding systeem als zodanig, daarmee een ‘activistisch doel’ nastrevend – neemt niet weg dat zij (ook) een individueel belang hebben bij het respecteren van hun privacy rechten. Een geschil daarover kunnen zij dan ook ter toetsing aan de rechter voorleggen.
4.10.
Eisers zijn dan ook ontvankelijk in hun vorderingen.
Inhoudelijk – de zaak in het kort
4.11.
De centrale stelling van eisers is dat Microsoft en Xandr in veel gevallen cookies op de apparaten van eisers plaatsen zonder dat daarvoor door hen toestemming is verleend. Gebleken is dat zelfs als eisers erin slagen om bij iedere cookiebanner altijd cookies te weigeren, hun persoonsgegevens vaak nog steeds naar de servers van Microsoft en Xandr worden verzonden, waardoor Microsoft en Xandr in staat zijn het surfgedrag te volgen en een profiel van eisers op te bouwen. De gegevens van eisers worden vervolgens regelmatig bovendien zonder toestemming gedeeld met derden en talloze keren commercieel ingezet.
Het handelen van Microsoft en Xandr levert een grove schending op van de bepalingen zoals neergelegd in de Tw en de AVG, alsook van de privacy grondrechten van eisers zoals onder andere neergelegd in artikel 7 en 8 van het Handvest van de grondrechten van de Europese Unie (hierna: het Handvest). Eisers stellen dat gedaagden hiermee doorgaan hoewel de voorzieningenrechter van deze rechtbank hen (en anderen) bij vonnis van 7 juni 2024 (ECLI:NL:RBAMS:2024:3331) naar aanleiding van dezelfde vordering van een andere eiser heeft geboden te stoppen met deze praktijken, dat wil zeggen met het op grote schaal – bij eisers en andere gebruikers - plaatsen van tracking cookies zonder toestemming vooraf. Ook de sommaties van eisers hebben gedaagden niet bewogen om te stoppen. Zelfs in de week voor de zitting zijn er nog zonder hun toestemming cookies van gedaagden geplaatst op de apparaten van eisers, waarmee bovendien bijzondere persoonsgegevens (over gezondheid e.d.) kunnen worden verkregen, aldus steeds eisers.
4.12.
Het voornaamste verweer van gedaagden komt er in de kern op neer dat dat vonnis van 7 juni 2024 niet klopt, omdat
a. a) gedaagden vanuit het oogpunt van de Tw én AVG niet verantwoordelijk zijn voor het plaatsen of uitlezen zonder toestemming door sommige websitebeheerders van andere cookies van gedaagden, en
b) het toestemmingsvereiste niet geldt voor de
CLID-cookie (van Clarity), omdat dit een privacy-vriendelijke analytische cookie is.
CLID-cookie (van Clarity), omdat dit een privacy-vriendelijke analytische cookie is.
4.13.
In het vonnis van 7 juni 2024 is het gevorderde gebod tegen onder meer Microsoft en Xandr als volgt toegewezen:
“gebiedt [onder meer Microsoft en Xandr] ieder afzonderlijk om het zonder diens toestemming (doen) plaatsen dan wel uitlezen van tracking cookies of andere cookies waarvoor toestemming vereist is op de computer en/of apparaten van [eiser] te staken en gestaakt te houden”.
Aan deze veroordeling is een dwangsom verbonden van € 500,00 per overtreding dan wel – naar keuze van [eiser] – € 1.000,00 per dag, met een maximum van in totaal € 25.000,00 per gedaagde.
Tegen dat vonnis is geen hoger beroep ingesteld, zodat het in kracht van gewijsde is gegaan. Hierna zal aan dit vonnis worden gerefereerd als: het vonnis van juni 2024.
Wat zijn tracking cookies?
4.14.
“Cookies zijn kleine bestanden die de eigenaar van een website op het apparaat van een bezoeker plaatst. Bijvoorbeeld op een computer, laptop, smartphone of tablet. Zo kan de eigenaar informatie verzamelen of opslaan over het websitebezoek of over (het apparaat van) de bezoeker.
Onderkant formulier
Er zijn 3 soorten cookies:
- functionele cookies;
- analytische cookies;
- tracking cookies.”
Gedaagden hebben onbetwist gesteld dat het daarbij kan gaan om
first party cookiesof
third party cookies,waarbij, kort gezegd
:
first party cookiesof
third party cookies,waarbij, kort gezegd
:
- een
- third-partycookies worden geplaatst en uitgelezen door AdServers van
third partycookie-aanbieders (zoals gedaagden) in reactie op een zogenoemde
cookie call.
“Als cookies ook bij bezoek aan een andere website kunnen worden uitgelezen, noemen we dit tracking cookies. Met deze cookies kunnen organisaties het internetgedrag van mensen door de tijd heen volgen. Tracking cookies maken het mogelijk om profielen van mensen op te stellen (
profiling) en hen anders te behandelen. Met tracking cookies worden meestal persoonsgegevens verwerkt.
profiling) en hen anders te behandelen. Met tracking cookies worden meestal persoonsgegevens verwerkt.
Uit de informatie over bezochte websites kunnen persoonlijke interesses worden afgeleid. Daarmee kunnen organisaties hun websitebezoekers bijvoorbeeld gerichte advertenties tonen. (…) Verwerkt u met tracking cookies persoonsgegevens van de bezoekers aan uw website? Dan moet u aan de regels van de Algemene verordening gegevensbescherming (AVG) voldoen.”
4.15.
Het draait in deze zaak om de tracking cookies van gedaagden (
third party) die via het bezoeken van websites op de apparatuur van eisers worden geplaatst.
third party) die via het bezoeken van websites op de apparatuur van eisers worden geplaatst.
4.16.
Gedaagden beschrijven de werking hiervan in de conclusie van antwoord (3.2 e.v.) als volgt:
“- Cookies zijn kleine tekstbestanden die worden opgeslagen op het apparaat waarmee de gebruiker over het internet surft (bijvoorbeeld computer, smartphone of tablet). Dit gebeurt als een website wordt bezocht, waarop door de websitebeheerder een stukje Javascript-code is ingevoerd om een cookie ”aan te roepen” en op het apparaat van de websitebezoeker te plaatsen (..)
- Om een website te kunnen laden, stuurt de browser van de websitebezoeker een HTTP-verzoek naar de webserver van de website. Als op de bezochte website een cookie Javascript-code is opgenomen, wordt nadat de website in de browser is ingeladen automatisch ook een verzoek gedaan aan de advertentieserver (“adserver”) [gedaagde – vzr.] verbonden aan de cookie (een “cookie call”). Het is afhankelijk van de inhoud van de Javascript-code welke cookies daardoor zullen worden aangeroepen via de cookie call. De adserver reageert automatisch op de cookie call door de verzochte cookie(s) bij de websitebezoeker te plaatsen.
- Bij de cookie call door de browser wordt de cookie in eerste instantie alleen (via de browser) op het apparaat geplaatst. Pas als de website opnieuw wordt bezocht – of een andere website met dezelfde cookie JavaScript-code – zorgt de nieuwe cookie call van de browser bij dit websitebezoek ervoor dat de cookie ook wordt uitgelezen door de adserver. Het uitlezen van cookies heeft verschillende doeleinden (…). Als de cookie is verbonden aan een third party cookie-aanbieder (die de adserver beheert) zal deze partij (en dus Gedaagden) op het moment van uitlezen beslissen of de cookie(informatie) ook daadwerkelijk zal worden gebruikt voor het doel (bijv. analytisch of tonen van gepersonaliseerde advertenties). Een reden om dit gebruik te verhinderen is bijvoorbeeld aan de orde als het de third party cookie-aanbieder blijkt dat toestemming van de websitebezoeker ontbreekt.
- (…) een voorbeeld (…) van hoe deze communicatie tussen de website en de adserver eruitziet. De automatische reactie van de adserver op de cookie call leidt ertoe dat de gevraagde cookie via de adserver (…) wordt geplaatst (‘set-cookie’). Er is ook te zien welke gegevens de browser van de websitebezoeker bij een cookie call meestuurt, namelijk:
• het
websitedomeinvanaf waar de cookie call wordt verstuurd;
websitedomeinvanaf waar de cookie call wordt verstuurd;
• de
specifieke cookiedie wordt verzocht, inclusief
levensduur;
specifieke cookiedie wordt verzocht, inclusief
levensduur;
•
unieke IDvan de cookie (een gehashte code);
unieke IDvan de cookie (een gehashte code);
• het domein van de
adserverdie de cookie plaatst en/of uitleest;
adserverdie de cookie plaatst en/of uitleest;
• type
browservan de websitebezoeker (in het voorbeeld: Mozilla);
browservan de websitebezoeker (in het voorbeeld: Mozilla);
• type besturingssysteem van het apparaat van de websitebezoeker (in het voorbeeld: Windows);
• taal van de browser (in het voorbeeld: Engels).”
Vereisten op grond van toepasselijke regelgeving
4.17.
Artikel 11.7a Telecommunicatiewet (Tw) luidt, voor zover relevant:
“1. Onverminderd de Algemene verordening gegevensbescherming is het via een elektronisch communicatienetwerk opslaan van of toegang verkrijgen tot informatie in de randapparatuur van een gebruiker, alleen toegestaan op voorwaarde dat de betrokken gebruiker:
a. is voorzien van duidelijke en volledige informatie overeenkomstig de Algemene verordening gegevensbescherming, in ieder geval over de doeleinden waarvoor deze informatie wordt gebruikt, en
b. daarvoor toestemming heeft verleend.
(…)
3. Het bepaalde in het eerste lid is niet van toepassing indien het de opslag of toegang betreft:
a. met als uitsluitend doel de communicatie over een elektronisch communicatienetwerk uit te voeren,
b. die strikt noodzakelijk is om de door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren of – mits dit geen of geringe gevolgen heeft voor de persoonlijke levenssfeer van de betrokken abonnee of gebruiker – om informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij.
4. Een handeling als bedoeld in het eerste lid, die tot doel heeft gegevens over het gebruik van verschillende diensten van de informatiemaatschappij door de gebruiker of de abonnee te verzamelen, combineren of analyseren zodat de betrokken gebruiker of abonnee anders behandeld kan worden, wordt vermoed een verwerking van persoonsgegevens te zijn.
(…)”
4.18.
De verwerkingsverantwoordelijken in de zin van artikel 4 AVG moeten voor de verwerking van de persoonsgegevens middels cookies een rechtsgeldige verwerkingsgrondslag hebben (artikel 5 en 6 AVG). In het geval van tracking cookies waarmee persoonsgegevens worden verwerkt zal dat in de regel de a-grond van art 6 AVG zijn: “de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden”. Deze bepalingen zijn ook van toepassing op een buiten de EU gevestigde dienstverlener, als deze zich richt op personen in de EU. Artikel 4 AVG (Definities) luidt:
“Voor de toepassing van deze verordening wordt verstaan onder:
1) „persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
2) „verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
(…)
7) „verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een
ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoons
gegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het
lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens
welke criteria deze wordt aangewezen;
8) „verwerker”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/
dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt;
(…)”
4.19.
Partijen zijn het erover eens dat voor het plaatsen en lezen van tracking cookies voorafgaande toestemming van de betrokkene nodig is op basis van artikel 11.7a van de Telecommunicatiewet en dat, indien daarbij persoonsgegevens worden verwerkt, ook op grond van de AVG voorafgaande toestemming nodig is.
Plaatsen gedaagden inderdaad tracking cookies zonder toestemming?
4.20.
De voorzieningenrechter stelt voorop dat voldoende aannemelijk is dat gedaagden zonder toestemming tracking cookies hebben geplaatst (en waarschijnlijk in de toekomst zullen plaatsen) op de apparaten van eisers. Gedaagden hebben bij die stelling van eisers vraagtekens gezet, maar dat overtuigt niet. Eisers hebben – met de uitvoerige rapporten van een externe deskundige, met bijlagen, van 20 december 2024, die zij op 24 december 2024 in het geding hebben gebracht (de rapporten) – onderbouwd dat gedaagden bij bezoek door eisers aan 136 respectievelijk 129 websites zonder toestemming van eisers (third party) tracking cookies plaatsen op de apparaten van eisers. Dat er ook in de week voor de zitting nog zonder hun toestemming cookies van gedaagden zijn geplaatst op hun apparaten, lijkt steun te vinden in de door hen overgelegde nadere stukken. Daar hebben gedaagden – op de dag voor de zitting – slechts drie korte verslagen (betreffende de Clarity-, Microsoft Advertising- respectievelijk Xandr-cookies) van eigen onderzoek tegenover gesteld; in elk verslag is vermeld dat 10 (in totaal dus 30) van de in de rapporten onderzochte websites zijn gecontroleerd met als conclusie dat geen sprake is van overtreding van de cookieregels. Deze zeer beperkte steekproef, bovendien niet uitgevoerd door een onafhankelijke deskundige, kan niet als serieuze weerlegging van de stelling van eisers worden aangemerkt. Daarbij komt dat de in de conclusie van antwoord beschreven werkwijze (zie 4.16 hierboven) van gedaagden onvermijdelijk maakt dat zij zonder toestemming tracking cookies plaatsen en dat gedaagden dat ook niet hebben betwist. Gedaagden beschrijven immers dat zij na de cookie call de tracking cookie ‘automatisch’ plaatsen en uitlezen en daarna pas controleren of toestemming is gegeven; is dat niet het geval dan zullen zij geen gebruik maken van de cookie(informatie), aldus gedaagden. Deze werkwijze is niet in overeenstemming met de regels van Tw en AVG, die toestemming vereisen vóórdat de cookie wordt geplaatst, en werkt dus stelselmatige schending van deze regels in de hand. Gedaagden hebben ter zitting ook erkend dat het technisch mogelijk is om de cookies pas te plaatsen nadat daarvoor toestemming gegeven is.
Verwerking van persoonsgegevens?
4.21.
Gedaagden voeren aan dat zij geen persoonsgegevens verwerken, omdat een cookie-ID op zichzelf onvoldoende is om een natuurlijk persoon direct te identificeren en zij de door eisers opgegeven cookie-ID’s of aanvullende (cookie)gegevens niet in hun systemen hebben kunnen vinden.
Dit verweer gaat niet op. Ten eerste volgt uit artikel 11.7a lid 4 Tw dat het plaatsen van een tracking cookie wordt vermoed een verwerking van persoonsgegevens te zijn. Ten tweede moet het begrip ‘persoonsgegevens’ in de AVG ruim worden uitgelegd. Volgens artikel 4 AVG zijn persoonsgegevens: “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon”.
Een cookie-ID is een online identificator. Daarnaast wordt in de cookie ook het IP-adres van de internetgebruiker meegezonden en ook dat is volgens vaste rechtspraak een persoonsgegeven [3] .
4.22.
Of gedaagden de cookie-ID al dan niet hebben kunnen vinden in hun (advertentie)systemen is niet relevant. Gedaagden erkennen dat zij de MUID, MSPTC, uuid, XANDR-PANID, icu en anj-cookies plaatsen voor het vastleggen van persoonsgegevens, waarmee profielen kunnen worden opgebouwd die
kunnenworden uitgelezen ten behoeve van advertentiedoeleinden. De voorzieningenrechter sluit zich aan bij de conclusie in het vonnis van juni 2024 (r.o. 5.10.1), dat voldoende aannemelijk is dat met
het plaatsenvan dergelijke cookies persoonsgegevens worden verwerkt, en bij de daaraan ten grondslag gelegde overwegingen, waaronder:
kunnenworden uitgelezen ten behoeve van advertentiedoeleinden. De voorzieningenrechter sluit zich aan bij de conclusie in het vonnis van juni 2024 (r.o. 5.10.1), dat voldoende aannemelijk is dat met
het plaatsenvan dergelijke cookies persoonsgegevens worden verwerkt, en bij de daaraan ten grondslag gelegde overwegingen, waaronder:
“Het is niet zo dat ‘verwerking’ pas aan de orde is als persoonsgegevens daadwerkelijk worden uitgelezen ten behoeve van advertenties. Het vastleggen ervan in een cookie is al voldoende. Door het plaatsen van de tracking cookies, die vervolgens automatisch worden ‘gevuld’ met persoonsgegevens zodra iemand (…) de desbetreffende website bezoekt, met als doel om deze gegevens later uit te lezen, verwerken gedaagden zijn persoonsgegevens. Van belang is daarbij dat het begrip ‘persoonsgegevens’ in de toepasselijke wetgeving ruim wordt uitgelegd en niet is beperkt tot naam, adres en woonplaatsgegevens. Voldoende is dat de gegevens van geïndividualiseerde betrokkenen (…) kunnen worden gekoppeld aan een ‘identifier’ en vastgelegd voor verdere verwerking, gericht op advertentiedoeleinden.”
Zijn gedaagden verantwoordelijk voor het krijgen van toestemming?
4.23.
Het belangrijkste verweer van gedaagden is dat, vanuit het oogpunt van de Tw én AVG, niet zij maar de websitebeheerders verantwoordelijk zijn voor het zonder toestemming plaatsen of uitlezen van cookies van gedaagden. De reden daarvoor zou zijn dat gedaagden geen zeggenschap over (Tw) of invloed op (AVG) het gebruik van de cookies en de verwerking van persoonsgegevens hebben.
4.24.
Dit verweer is reeds in het onherroepelijke vonnis van juni 2024 verworpen en de voorzieningenrechter sluit zich daarbij aan. Overigens is in een ander kort geding tussen andere partijen in vergelijkbare omstandigheden - zowel in eerste aanleg als in hoger beroep (Gerechtshof Amsterdam 5 december 2023, ECLI:NL:GHAMS:2023:2971) - eveneens geoordeeld dat aanbieders van tracking cookies (zoals gedaagden) zich niet kunnen verschuilen achter hun klanten, de websitebeheerders.
4.25.
Zoals ook in het vonnis van juni 2024 (r.o. 5.18) is geoordeeld, rusten de verplichtingen uit de Tw, anders dan gedaagden hebben bepleit, niet enkel op de websitehouders. De voorzieningenrechter onderschrijft de overwegingen in dat vonnis, die luiden:
“5.18 (…) De wetgever heeft dat als volgt verwoord:
Er worden in de praktijk ook vaak cookies geplaatst die een ander doel dienen dan de uitvoering van de communicatie of strikt noodzakelijk zijn om ervoor te zorgen dal de aanbieder van een door de gebruiker gevraagde dienst van de informatiemaatschappij deze dienst kan leveren. Vaak gaat het dan om cookies die worden geplaatst en gelezen door een ander dan de door gebruiker gekozen site (domein) en die bedoeld zijn om gegevens te verzamelen over het surfgedrag van de gebruiker. Deze gegevens kunnen vervolgens worden gebruikt voor marketingdoeleinden. Een dergelijke handelwijze is
toegestaan mits de gebruiker over deze doeleinden is geïnformeerd en hiervoor toestemming van de gebruiker is verkregen overeenkomstig het eerste lid. [4]
De bepaling in het eerste lid [van artikel 11.7(a) Tw] richt zich tot degene die de informatie op het randapparaat opslaat dan wel tot degene die zich toegang verschaft tot informatie op het randapparaat. De plaatser van de cookie is degene tot wie het eerste lid zich richt. Deze plaatser kan de aanbieder van de betreffende website zijn, maar dat hoeft niet. Het kan ook een derde zijn die met de aanbieder van de website (of een tussenpersoon) is overeengekomen dat hij via de website cookies mag plaatsen/lezen. Dit neemt niet weg dat de aanbieder van de website een zekere verantwoordelijkheid heeft. [5]
De uitspraken van het College van Beroep voor het bedrijfsleven waarop Gedaagden zich beroepen – waarin zou zijn geoordeeld dat een software aanbieder niet kon worden aangesproken voor overtredingen van het Besluit universele dienstverlening en eindgebruikersbelangen – leiden niet tot een ander oordeel. Deze uitspraken rechtvaardigen namelijk niet de conclusie dat
alleende websitehouder en niet ook de derde die het plaatsen van tracking cookies faciliteert, of deze via de websitehouder plaatst, op dergelijke verplichtingen kan worden aangesproken. Grondslag voor die uitspraken was immers gebrek aan zeggenschap bij de software aanbieder over het bewuste handelen. De hier besproken cookies worden geplaatst als onderdeel van de dienstverlening van gedaagden door websitebeheerders op grond van door gedaagden met die websitebeheerders gesloten overeenkomsten. Gedaagden hebben daarmee wel degelijk zeggenschap over het gebruik van de cookies.”
alleende websitehouder en niet ook de derde die het plaatsen van tracking cookies faciliteert, of deze via de websitehouder plaatst, op dergelijke verplichtingen kan worden aangesproken. Grondslag voor die uitspraken was immers gebrek aan zeggenschap bij de software aanbieder over het bewuste handelen. De hier besproken cookies worden geplaatst als onderdeel van de dienstverlening van gedaagden door websitebeheerders op grond van door gedaagden met die websitebeheerders gesloten overeenkomsten. Gedaagden hebben daarmee wel degelijk zeggenschap over het gebruik van de cookies.”
4.26.
In hetgeen gedaagden in het onderhavige kort geding naar voren hebben gebracht ziet de voorzieningenrechter geen aanleiding om nu anders te oordelen. Integendeel. Op de zitting van 15 januari 2025 hebben gedaagden verklaard dat zij technisch in staat zijn om na een cookie call te beslissen om deze niet te plaatsen (bijvoorbeeld als zij zien dat de ‘consent string’ ontbreekt, dus dat er geen toestemming is gegeven). Ook dat bevestigt dat gedaagden zeggenschap hebben over / invloed hebben op het plaatsen van de cookies. Daarbij komt dat de – in dit kort geding door gedaagden wederom aangehaalde - uitspraken van het College van Beroep voor het bedrijfsleven 12 jaar oud zijn en gebaseerd op een opt-out regeling (het in 2012 vervallen artikel 4.1 Besluit universele dienstverlening en eindgebruikersbelangen) in plaats van (zoals de huidige Tw) een opt-in regeling voor de toestemming.
4.27.
Alleen al op grond van de Tw handelen gedaagden voorshands dus onrechtmatig jegens eisers, omdat gedaagden de tracking cookies zonder toestemming plaatsen.
4.28.
In het midden kan dus blijven of – zoals gedaagden stellen maar eisers betwisten - (a) Xandr voor haar Monetize en/of Invest-dienstverlening slechts verwerker is in de zin van de AVG en daarom geen verwerkingsgrondslag behoeft en of (b) Microsoft voor Clarity- en Microsoft Advertisingdienstverlening zelfstandig (en dus niet gezamenlijk) verwerkingsverantwoordelijke in de zin van de AVG is.
Voor CLID-cookie geen toestemming nodig?
4.29.
Tenslotte stelt Microsoft nog dat voor de CLID-cookie geen toestemming nodig is en voert daartoe het volgende aan. Cookies die worden ingezet om informatie te verkrijgen over de kwaliteit en effectiviteit van een website en geen of geringe gevolgen hebben voor de persoonlijke levenssfeer van de websitebezoeker mogen zonder toestemming worden geplaatst en/of uitgelezen volgens artikel 11.7a lid 3 sub b Tw. De CLID is als een dergelijke cookie aan te merken. Met behulp hiervan worden immers enkel inzichten voor een websitebeheerder gegenereerd die betrekking hebben op diens eigen website, in geaggregeerde vorm, ter verbetering van de website. Als geen toestemming benodigd is voor het plaatsen en uitlezen van een cookie uit hoofde van de Tw, dan is dat ook niet nodig voor de eventuele verwerking van daaruit voortvloeiende persoonsgegevens op basis van de AVG. Voor deze verwerking kan een beroep worden gedaan op de verwerkingsgrond gerechtvaardigd belang (artikel 6 lid 1 sub f AVG) van de partij die verantwoordelijk is voor deze verwerking (of een derde).
4.30.
Eisers hebben hier tegenover gesteld dat de CLID-cookie telkens gebruik maakt van dezelfde persistente ID (een bepaalde letter/cijferreeks) waarmee de internetgebruiker gevolgd kan worden en dat deze wordt gebruikt in het kader van advertentiediensten, zodat daarvoor wel degelijk het toestemmingsvereiste geldt.
4.31.
Of de CLID-cookie daadwerkelijk strikt noodzakelijk is om (a) informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst en (b) dit geen of geringe gevolgen heeft voor de persoonlijke levenssfeer van de gebruiker (en dus onder de uitzondering van artikel 11.7a lid 3 sub b Tw en/of de AVG valt), kan de voorzieningenrechter op grond van de ingebrachte stukken en verklaringen niet vaststellen. Dit vergt nader onderzoek naar de feiten en daarvoor is in dit kort geding geen plaats. Overigens hebben de sommaties van eisers ook geen betrekking op de CLID-cookie.
Conclusie
4.32.
Dit alles leidt tot de conclusie dat gedaagden door plaatsing en/of uitlezing van de tracking cookies zonder toestemming van eisers, onrechtmatig handelen jegens elk van hen. Ook is op grond van de verklaringen van gedaagden aannemelijk dat zij hiermee zullen doorgaan. Er is daarom voldoende grond voor toewijzing van de vorderingen onder I, met dien verstande dat een specifiek gebod wordt toegewezen tot het staken en gestaakt houden van het zonder zijn toestemming op apparaten van eisers (doen) plaatsen en uitlezen van tracking cookies en andere cookies waarvoor toestemming vereist is. Daaronder vallen naar voorlopig oordeel dus in ieder geval de MUID en MSPTC cookie van Microsoft en de uuid2, XANDR-PANID, icu en anj cookies van Xandr. Het gevorderde is iets anders geformuleerd, maar komt op hetzelfde neer; het gevorderde ‘staken van het onrechtmatig handelen’ lijkt geen zelfstandige betekenis te hebben en wordt daarom niet toegewezen.
4.33.
Eisers hebben bij dit verbod ook voldoende (spoedeisend) belang. Gedaagden maken inbreuken op het grondrecht van eisers op bescherming van hun persoonsgegevens en dit moet zo spoedig mogelijk stoppen. Het belang van eisers om gevrijwaard te blijven van die inbreuken weegt zwaarder dan het commerciële belang van gedaagden bij doorgaan met deze inbreuken. Overigens hebben gedaagden niet gesteld en is niet gebleken dat zij maatregelen nemen zoals bijvoorbeeld effectief en consequent actie ondernemen tegen partners die hun contractuele verplichtingen over het toestemming vragen niet nakomen. Het is onbegrijpelijk dat gedaagden het belang van eisers blijven bagatelliseren door, evenals in vorige procedures over deze kwestie, te stellen dat eisers zelf maatregelen tegen de cookies kunnen nemen. Gedaagde miskennen daarmee dat de wetgever heeft gekozen voor een opt-in en niet voor een opt-out. Nog los van het feit dat eisers om – begrijpelijke – redenen bezwaar hebben tegen het voorstel van gedaagden om bijvoorbeeld integrale cookieblockers te installeren, zijn het gedaagden die het schenden van (grond)rechten dienen te staken en daartoe maatregelen dienen te nemen, niet eisers.
4.34.
Anders dan gedaagden eerder suggereerden is het voor hen ook technisch niet onmogelijk om aan het wettelijk toestemmingsvereiste met betrekking tot (tracking) cookies te voldoen. In de beide door eisers op 24 december 2024 in het geding gebrachte deskundigenrapporten van M. Stoter van kantoor Collective Shift van 20 december 2024 is (op p. 11 en 12) uiteengezet dat gedaagden wel degelijk technisch in staat zijn om te voorkomen dat een cookie waarvoor geen toestemming is gegeven geplaatst (en uitgelezen) wordt, namelijk door ofwel niet te antwoorden op de zogenaamde ‘cookie call’ of daarop te reageren met code 400 (Bad Request) of 401 (Unauthorized). Ter zitting hebben gedaagden dat uiteindelijk ook erkend. door te verklaren dat het technisch mogelijk is om de tracking cookies waar het hier om gaat pas te plaatsen nadat de gebruiker toestemming heeft gegeven, maar dat gedaagden er voor kiezen om dit niet doen. Het willens en wetens niet nakomen van de wettelijke toestemmingsverplichting (in de EU, althans Nederland) omdat nakoming, kort gezegd, het verdienmodel zou aantasten, is geen rechtens te beschermen belang. Naar eisers onbetwist hebben gesteld, hebben de techbedrijven Yahoo en – op beperkte schaal – Criteo hun systemen wel zo ingericht dat geen cookie wordt geplaatst als het consent-signaal ontbreekt. Niet valt in te zien waarom gedaagden dit niet ook zo kunnen doen.
4.35.
De gevorderde dwangsommen worden toegewezen, met dien verstande dat dat deze worden gematigd en gemaximeerd zoals vermeld in de beslissing.
4.36.
De ten aanzien van Microsoft gevorderde EEX-certificaten als bedoeld in artikel 53 Brussel-I-bis-Verordening zullen worden afgegeven, uiterlijk op 19 februari 2025.
4.37.
Als de in het ongelijk gestelde partij zullen gedaagden worden veroordeeld in de proceskosten van eisers.
De kosten aan de zijde van [eiser in 760174] worden begroot op:
- dagvaarding € 135,97
- griffierecht 331,00
- salaris advocaat
1.661,00
1.661,00
Totaal € 2.127,97
De kosten aan de zijde van [eiser in 760175] worden begroot op:
- dagvaarding € 135,97
- griffierecht 331,00
- salaris advocaat
1.661,00
1.661,00
Totaal € 2.127,97
5.De beslissing
De voorzieningenrechter
in zaak C/13/760174 / KG ZA 24-965:
5.1.
gebiedt gedaagden ieder afzonderlijk om het zonder toestemming van [eiser in 760174] (doen) plaatsen dan wel uitlezen van tracking cookies of andere cookies waarvoor toestemming vereist is op de computer en/of apparaten van [eiser in 760174] te staken en gestaakt te houden,
5.2.
bepaalt dat ieder van gedaagden een dwangsom verbeurt van € 500,00 (zegge: vijfhonderd euro) per overtreding van dit gebod dan wel – naar keuze van [eiser in 760174] – € 1.000,00 (zegge: duizend euro) voor iedere dag (of een gedeelte daarvan) waarop de betreffende gedaagde in gebreke blijft aan het onder 5.1 genoemde gebod te voldoen en/of daarmee in strijd handelt, tot een maximum van in totaal € 50.000,00 (zegge: vijftigduizend euro) per gedaagde, is bereikt,
5.3.
veroordeelt gedaagden in de proceskosten, aan de zijde van [eiser in 760174] tot op heden begroot op € 2.127,97, te betalen binnen veertien dagen na aanschrijving daartoe, te vermeerderen met – als het vonnis wordt betekend - € 92,00 plus de kosten van betekening,
5.4.
veroordeelt gedaagden tot betaling van de wettelijke rente als bedoeld in artikel 6:119 BW over de proceskosten als deze niet binnen veertien dagen na aanschrijving zijn betaald,
5.5.
verklaart dit vonnis tot zover uitvoerbaar bij voorraad,
5.6.
wijst het meer of anders gevorderde af,
in zaak C/13/760175 / KG ZA 24-966:
5.7.
gebiedt gedaagden ieder afzonderlijk om het zonder toestemming van [eiser in 760175] (doen) plaatsen dan wel uitlezen van tracking cookies of andere cookies waarvoor toestemming vereist is op de computer en/of apparaten van [eiser in 760175] te staken en gestaakt te houden,
5.8.
bepaalt dat ieder van gedaagden een dwangsom verbeurt van € 500,00 (zegge: vijfhonderd euro) per overtreding van dit gebod dan wel – naar keuze van [eiser in 760175] – € 1.000,00 (zegge: duizend euro) voor iedere dag (of een gedeelte daarvan) waarop de betreffende gedaagde in gebreke blijft aan het onder 5.7 genoemde gebod te voldoen en/of daarmee in strijd handelt, tot een maximum van in totaal € 50.000,00 (zegge: vijftigduizend euro) per gedaagde, is bereikt,
5.9.
veroordeelt gedaagden in de proceskosten, aan de zijde van [eiser in 760175] tot op heden begroot op € 2.127,97, te betalen binnen veertien dagen na aanschrijving daartoe, te vermeerderen met – als het vonnis wordt betekend - € 92,00 plus de kosten van betekening,
5.10.
veroordeelt gedaagden tot betaling van de wettelijke rente als bedoeld in artikel 6:119 BW over de proceskosten als deze niet binnen veertien dagen na aanschrijving zijn betaald,
5.11.
verklaart dit vonnis tot zover uitvoerbaar bij voorraad,
5.12.
wijst het meer of anders gevorderde af,
Dit vonnis is gewezen door N.C.H. Blankevoort, voorzieningenrechter, bijgestaan door mr. M.A.H. Verburgh, griffier, en in het openbaar uitgesproken op 12 februari 2025. [6]