ECLI:NL:RBAMS:2026:2543

• Datum uitspraak: 11 maart 2026
• Publicatiedatum: 12 maart 2026
• Zaaknummer: C/13/748534 / HA ZA 24-290
• Instantie: Rechtbank Amsterdam
• Type: Uitspraak
• Rechtsgebied: Civiel recht; Burgerlijk procesrecht
• Uitkomst: Aangehouden
• Procedures: Tussenuitspraak
• Rechters: R.A. Dudok van Heel
• Vindplaatsen: Rechtspraak.nl

AI samenvatting door Lexboost • Automatisch gegenereerd

Bevoegdheid Nederlandse rechter in collectieve AVG- en niet-AVG-vorderingen tegen Avast-groep

Stichting CUIC voert een collectieve actie namens Nederlandse gebruikers van Avast-software over de periode 2014-2020, stellende dat de Avast-gedaagden onrechtmatig persoonsgegevens hebben verwerkt en gedeeld zonder toestemming, in strijd met de Wbp, AVG en Telecommunicatiewet.

De Avast-gedaagden betwisten de internationale bevoegdheid van de Nederlandse rechter voor de vorderingen tegen de in Tsjechië en het Verenigd Koninkrijk gevestigde entiteiten Avast Software s.r.o. en Avast Ltd. De rechtbank beoordeelt eerst de niet-AVG-vorderingen en vervolgens de AVG-vorderingen.

Voor de niet-AVG-vorderingen is de rechtbank bevoegd ten aanzien van Avast Software s.r.o. en de Nederlandse Avast-vennootschappen, maar niet voor Avast Ltd., omdat onvoldoende is gesteld dat Avast Ltd. een Nederlandsof heeft of een wezenlijk onderdeel vormt van de activiteiten in Nederland.

Voor de AVG-vorderingen is de rechtbank bevoegd ten aanzien van de Nederlandse Avast-vennootschappen en Avast Software s.r.o. voor zover het gaat om betrokkenen die in Nederland wonen of daar weer wonen. Voor Avast Ltd. en voor betrokkenen die niet in Nederland wonen, is de rechtbank niet bevoegd.

De rechtbank houdt de beslissing over de AVG-vorderingen aan in afwachting van de beantwoording van prejudiciële vragen door het HvJEU, die ook relevant zijn voor de ontvankelijkheid en bevoegdheid. Partijen krijgen gelegenheid zich hierover uit te laten.

Uitkomst: De rechtbank is bevoegd voor niet-AVG-vorderingen tegen Avast Software s.r.o. en Nederlandse Avast-vennootschappen, niet voor Avast Ltd., en houdt de AVG-vorderingen aan in afwachting van prejudiciële vragen aan het HvJEU.

Uitspraak

vonnis

RECHTBANK AMSTERDAM

afdeling privaatrecht

zaaknummer / rolnummer: C/13/748534 / HA ZA 24-290

Vonnis in incident van 11 maart 2026

in de zaak van

de stichting

STICHTING CUIC - PRIVACY FOUNDATION FOR COLLECTIVE REDRESS ,

gevestigd te Amsterdam,

eiseres in de hoofdzaak,

verweerster in het incident,

advocaat mr. J.H. Lemstra te Amsterdam,

tegen

1. de rechtspersoon naar buitenlands recht

AVAST SOFTWARE S.R.O. ,

gevestigd te Praag, Tsjechië,

2. de rechtspersoon naar buitenlands recht

AVAST LTD. ,

gevestigd te Londen, Verenigd Koninkrijk,

3. de besloten vennootschap met beperkte aansprakelijkheid

AVAST HOLDING B.V. ,

gevestigd te Amsterdam,

4. de besloten vennootschap met beperkte aansprakelijkheid

AVAST SOFTWARE B.V. ,

gevestigd te Amsterdam,

5. de besloten vennootschap met beperkte aansprakelijkheid

AVG ECOMMERCE CY B.V. ,

gevestigd te Amsterdam,

gedaagden in de hoofdzaak,

eiseressen in het incident,

advocaat mr. G.H. Potjewijd te Amsterdam.

Partijen zullen hierna Stichting CUIC en de Avast-gedaagden worden genoemd.

1. Inleiding – samenvatting

1.1.

Deze zaak betreft een collectieve actie als bedoeld in artikel 3:305a van het Burgerlijk Wetboek (BW). Stichting CUIC komt daarbij op voor de belangen van – kort gezegd – Nederlandse gebruikers (consumenten) van Avast-software in de periode van 1 januari 2014 tot 30 januari 2020. De verwijten van Stichting CUIC zien in de kern op de wijze waarop de Avast-gedaagden zijn omgesprongen met de persoonsgegevens van deze ‘Nederlandse’ gebruikers. De Avast-gedaagden zouden daarmee in strijd hebben gehandeld met onder meer de Wet bescherming persoonsgegevens (Wbp) en (sinds 2018) de Algemene verordening gegevensbescherming (AVG) en zich schuldig hebben gemaakt aan oneerlijke handelspraktijken. De Avast-gedaagden zouden jegens de ‘Nederlandse’ gebruikers ook onrechtmatig hebben gehandeld en/of zich ten koste van hen ongerechtvaardigd hebben verrijkt. Stichting CUIC wil dat de Avast-gedaagden de persoonsgegevens die zij hebben verzameld vernietigen en dat zij een (materiële en immateriële) schadevergoeding betalen aan de Achterban.

1.2.

De Tsjechische persoonsgegevensautoriteit UOOU heeft in een besluit van 14 maart 2023 vastgesteld dat Avast Software s.r.o. zich schuldig heeft gemaakt aan schendingen van de AVG. De Amerikaanse Federal Trade Commission (FTC) heeft bij besluit van 26 juni 2024 geoordeeld dat ook Avast Ltd. zich – kort gezegd – schuldig heeft gemaakt aan privacy schendingen

1.3.

In deze fase van de procedure gaat het nog niet om een inhoudelijke beoordeling van de vorderingen van Stichting CUIC, maar om de door de Avast-gedaagden opgeworpen vraag of deze rechtbank bevoegd is om het geschil tegen de in het buitenland gevestigde Avast-gedaagden (Avast Software s.r.o. en Avast Ltd.) te beoordelen. Daarnaast moet worden beoordeeld of, zoals door de Avast-gedaagden is verzocht, de rechtbank prejudiciële vragen moet stellen aan het Europese Hof van Justitie (HvJEU) dan wel de zaak moet aanhouden.

1.4.

In dit vonnis oordeelt de rechtbank dat zij bevoegd is (rechtsmacht heeft) ten aanzien van Avast Software s.r.o. wat betreft de niet op de AVG gebaseerde vorderingen De rechtbank is voornemens de vraag of zij bevoegd is ten aanzien van Avast Software s.r.o. wat betreft de op de AVG gebaseerde vorderingen, aan te houden in afwachting van de beantwoording van door de rechtbank Rotterdam bij vonnis van 23 juli 2025 ^[1] aan het HvJEU gestelde prejudiciële vragen. Het antwoord op die vragen kan van belang zijn voor de beoordeling van de ontvankelijkheid van Stichting CUIC en daarmee ook de bevoegdheid van de rechtbank. Partijen zullen in de gelegenheid worden gesteld zich over dit voornemen uit te laten. De rechtbank oordeelt dat zij ten aanzien van Avast Ltd. noch wat betreft de op de AVG gebaseerde vorderingen noch wat betreft de niet op de AVG gebaseerde vorderingen bevoegd is.

2. De procedure

2.1.

Het verloop van de procedure blijkt uit:

• de gelijkluidende dagvaardingen van 27 maart 2024;
• de akte houdende overlegging (aanvullende) producties, met producties;
• de incidentele conclusie tot onbevoegdverklaring, met producties;
• de incidentele conclusie van antwoord in het incident inzake onbevoegdheid;
• het proces-verbaal van de op 20 mei 2025 gehouden mondelinge behandeling en de daarin vermelde stukken.

2.2.

Ten slotte is vonnis bepaald in het incident.

3. De voor het incident relevante feiten

Stichting CUIC

3.1.

Stichting CUIC is opgericht in 2021.

3.2.

Artikel 3 (“Doel en middelen”) van haar huidige statuten luidt, voor zover hier van belang:

1. De Stichting heeft ten doel:

a. het bieden van een Europees handhavingsplatform aan natuurlijke personen, waaronder maar niet uitsluitend Deelnemers, om collectief verhaal te halen met het oog op de bescherming van hun privacy; in dit perspectief, zal de Stichting onder meer streven naar naleving van de Europese geldende privacywetgeving, waaronder maar niet uitsluitend de AVG, door rechtspersonen en organisaties, die in of buiten Europa gevestigd zijn en die Persoonsgegevens Verwerken, door het bewustzijn te vergroten, contact met hen op te nemen om de naleving van de wet te waarborgen, en indien nodig gerechtelijke procedures aanhangig te maken; en

b. het opkomen voor en behartigen van gelijksoortige belangen van natuurlijke personen, waaronder maar niet uitsluitend Deelnemers, met betrekking tot de bescherming van hun rechten op privacy en hun recht op bescherming van hun Persoonsgegevens, een en ander in de ruimste zin van het woord.

2. De Stichting tracht dit doel te bereiken door het doen van onderzoek naar de aansprakelijkheid van partijen die deze rechten schenden van de natuurlijke personen, waaronder maar niet uitsluitend Deelnemers, wier gelijksoortige belangen voor de Stichting worden behartigd, het voeren van onderhandelingen, het ondersteunen en initiëren van een of meer gerechtelijke procedures in Nederland of daarbuiten, waaronder, maar niet beperkt tot procedures als bedoeld in artikel 305a van Boek 3 van het Burgerlijk Wetboek en artikel 240 van Boek 6 van het Burgerlijk Wetboek of soortgelijke procedures buiten Nederland, en het initiëren van andere gerechtelijke procedures, waaronder het eisen van verklaringen voor recht, het vragen om voorzieningen en geboden om onrechtmatig handelen te staken en het eisen van passende vergoeding en voldoening, het treffen van schikkingen, het aangaan van een collectieve vaststellingsovereenkomst ter beëindiging van geschillen, een verzoek in te dienen krachtens de WCAM bij het gerechtshof om een vaststellingsovereenkomst verbindend te laten verklaren, het (laten) berekenen en vaststellen en (door)betalen van schadevergoedingen en het verrichten van al hetgeen met het vorenstaande in de ruimste zin verband houdt of daartoe bevorderlijk kan zijn.

De Avast-gedaagden

3.3.

Avast Software s.r.o. is opgericht in 1988, Avast Ltd. op 7 januari 2010, Avast Holding B.V. op 27 januari 2014 en Avast Software B.V. eveneens op 27 januari 2014.

3.3.1.

Avast Software B.V. hield tot juli 2023 alle aandelen in het kapitaal van Avast Software s.r.o.

3.3.2.

Avast Holding B.V. hield tot juli 2023 alle aandelen in het kapitaal van Avast Software B.V.

3.3.3.

Avast Ltd. hield tot eind 2022 alle aandelen in het kapitaal van Avast Holding B.V.

3.3.4.

In 2016 heeft de Avast-groep AVG Ecommerce CY B.V. overgenomen.

Jumpshot

3.4.

In 2012 heeft de Avast-groep Jumpshot Inc. (hierna: Jumpshot), gevestigd in de Verenigde Staten van Amerika, overgenomen. Jumpshot heeft haar activiteiten per 30 januari 2020 stopgezet en is in februari 2021 ontbonden.

Gen Digital

3.5.

Sinds eind september 2022 houdt Gen Digital Inc. alle aandelen in het kapitaal van Avast Ltd.

Het besluit van de Tsjechische persoonsgegevensautoriteit UOOU

3.6.

Op 14 maart 2023 heeft de Tsjechische persoonsgegevensautoriteit UOOU beslist dat Avast Software s.r.o. (I) “is guilty, as the controller pursuant to Article 4(7) of the Regulation (EU) 2016/679 [de AVG, rb], of the offence consisting in transferring personal data of the AVAST antivirus program users and its browser extension users to the company Jumpshot, INC. (…), in order to produce a statistical analysis of trends, even though that processing was not supported by any legal ground within the meaning of Article 6(1) of the Regulation (EU) 2016/679, whereas this activity lasted at least over the period from an undetected day of April 2019 to an undetected day of July 2019 (…)” en (II) “is guilty that in relation to the transfer of personal data to the company Jumpshot, as the controller of personal data pursuant to Article 4(7) of the Regulation (EU) 2016/679, failed at the time of obtaining the personal data to sufficiently inform the data subjects (users of the AVAST antivirus program and its browser extension) about the purposes of the processing for which the user data were intended and about the legal basis for the processing, at least over the period from an undetected date of April 2019 to an undetected day of July 2019 (…)”.

Het besluit van de Amerikaanse FTC

3.7.

Bij
Decision van 26 juni 2024 heeft de Amerikaanse Federal Trade Commission (hierna: de FTC) Avast Ltd., Avast Software s.r.o. en Jumpshot naar aanleiding van een aantal schendingen van de Amerikaanse Federal Trade Commission Act een aantal
Orders opgelegd. Hiertoe is, voor zover hier van belang, overwogen:

4. Respondents Avast Ltd, Avast Software s.r.o. and Jumpshot (collectively, “Respondents”) have operated as a common enterprise while engaging in the unlawful acts and practices alleged below. Respondents have conducted the business practices described below through interrelated companies that have common ownership. officers, managers, business functions, employees, and office locations, and that commingled funds. Because the Respondents have operated as a common enterprise, each of them is jointly and severally liable for the acts and practices alleged below.

5. As detailed below, from at least 2014 to the present day, Respondents distributed software that they promoted with a variety of privacy claims. During this time period, Respondents have claimed their software would “block[] annoying tracking cookies that collect data on your browsing activities” and “[p]rotect your privacy by preventing … web services from tracking your online activity.” In fact, from 2014 through January 2020, Respondents sold the browsing information that they purported to protect, in many instances without notice to users. Furthermore, where they did describe their information practices, Respondents claimed that any sharing of user information would be in “anonymous and aggregate” form. In fact, Respondents sold consumers’ browsing data to third parties in non-aggregate, re-identifiable form. Respondents failed to obtain consumers’ consent to engage in these practices and deceived consumers about their conduct.

4. De hoofdzaak

4.1.

Stichting CUIC vordert dat de rechtbank bij vonnis, voor zover mogelijk uitvoerbaar bij voorraad:

1. Stichting CUIC aanwijst als exclusieve belangenbehartiger zoals bedoeld in artikel 1018e Wetboek van Burgerlijke Rechtsvordering (Rv);

2. bepaalt dat deze collectieve vordering tot bescherming strekt van (voormalige) gebruikers van diensten en producten van Avast Software s.r.o., Avast Ltd., Avast Holding B.V., Avast Software B.V. en AVG Ecommerce CY B.V. op enig moment in de periode van 1 januari 2014 tot 30 januari 2020 (de Relevante Periode), niet handelend in de uitoefening van een beroep of bedrijf, voor zover zij ten tijde van het gebruik van deze diensten in Nederland woonden (de Achterban);

3. bepaalt dat, in overeenstemming met artikel 1018f lid 1 Rv, ieder lid van de Achterban dat in Nederland woont of domicilie heeft, binnen een maand na de aankondiging ex artikel 1018f lid 3 Rv van de uitspraak tot aanwijzing van de exclusieve belangenbehartiger, door een schriftelijke mededeling aan de griffie van de rechtbank kan laten weten zich van de behartiging van zijn belangen in deze collectieve actie te willen bevrijden;

4. bepaalt dat, in overeenstemming met artikel 1018f lid 5 Rv, ieder lid van de Achterban dat niet in Nederland woont of domicilie heeft, binnen een maand na de aankondiging ex artikel 1018f lid 3 Rv van de uitspraak tot aanwijzing van de exclusieve belangenbehartiger, door een schriftelijke mededeling aan de griffie van de rechtbank kan laten weten in te stemmen met de behartiging van zijn belangen in deze collectieve actie en dat zijn belang niet wordt behartigd in een collectieve of individuele vordering, gebaseerd op soortgelijke feitelijke en rechtsvragen voor dezelfde gebeurtenis of gebeurtenissen, tegen Avast Software s.r.o., Avast Ltd., Avast Holding B.V., Avast Software B.V. en AVG Ecommerce CY B.V. in een andere lidstaat van de EU of de EER;

5. op de gronden uiteengezet in de dagvaarding verklaart voor recht dat Avast Software s.r.o., Avast Ltd., Avast Holding B.V., Avast Software B.V. en AVG Ecommerce CY B.V. gezamenlijk en/of ieder voor zich, gedurende de Relevante Periode, jegens de Achterban toerekenbaar onrechtmatig hebben en/of heeft gehandeld en/of ongerechtvaardigd zijn en/of is verrijkt en aansprakelijk zijn en/of is voor de daardoor geleden en te lijden schade van de Achterban;

6. Avast Software s.r.o., Avast Ltd., Avast Holding B.V., Avast Software B.V. en AVG Ecommerce CY B.V. hoofdelijk veroordeelt tot vergoeding van de materiële schade van de Achterban, te begroten in overeenstemming met artikel 6:104 Burgerlijk Wetboek (BW) op het bedrag van de winst die Avast Software s.r.o., Avast Ltd., Avast Holding B.V., Avast Software B.V. en AVG Ecommerce CY B.V. door hun onrechtmatig handelen hebben genoten, per lid van de Achterban te vermeerderen met de wettelijke rente vanaf het moment dat het betreffende lid van de Achterban het (eerste) product van Avast Software s.r.o., Avast Ltd., Avast Holding B.V., Avast Software B.V. en AVG Ecommerce CY B.V. in gebruik heeft genomen, althans 27 maart 2024, althans de datum van vonnis wijzen, tot aan de dag der algehele voldoening;

7. Avast Software s.r.o., Avast Ltd., Avast Holding B.V., Avast Software B.V. en AVG Ecommerce CY B.V. hoofdelijk veroordeelt tot vergoeding van de immateriële schade, te begroten op EUR 1.000 per lid van de Achterban, althans (subsidiair) EUR 200 per lid van de Achterban voor elk jaar of gedeelte van een jaar in de Relevante Periode dat hij of zij (een van) de producten van Avast Software s.r.o., Avast Ltd., Avast Holding B.V., Avast Software B.V. en AVG Ecommerce CY B.V. heeft gebruikt, althans (meer subsidiair) bepaalt dat deze schade nader zal worden opgemaakt bij staat en zal worden vereffend volgens de wet; en (zowel primair als subsidiair) per lid van de Achterban te vermeerderen met de wettelijke rente vanaf het moment dat het betreffende lid van de Achterban het (eerste) product van gedaagden in gebruik heeft genomen, althans 27 maart 2024, althans de datum van vonnis wijzen, tot aan de dag der algehele voldoening;

8. bepaalt dat de collectieve schadeafwikkeling (primair) zal worden vormgegeven op een door Stichting CUIC te bepalen wijze, althans (subsidiair) zoals de rechtbank op basis van door Stichting CUIC en Avast Software s.r.o., Avast Ltd., Avast Holding B.V., Avast Software B.V. en AVG Ecommerce CY B.V. op grond van artikel 1018i Rv over te leggen voorstellen voor de collectieve schadeafwikkeling in goede justitie geraden acht;

9. Avast Software s.r.o., Avast Ltd., Avast Holding B.V., Avast Software B.V. en AVG Ecommerce CY B.V. gebiedt om binnen vier weken na het in dezen te wijzen vonnis:

( i) alle gegevens van gebruikers die Avast Software s.r.o., Avast Ltd., Avast Holding B.V., Avast Software B.V. en AVG Ecommerce CY B.V. onrechtmatig hebben verzameld, voor zover zij deze nog bewaren, te vernietigen;

(ii) derden (buiten de Avast-groep) die gegevens van gebruikers die Avast Software s.r.o., Avast Ltd., Avast Holding B.V., Avast Software B.V. en AVG Ecommerce CY B.V. onrechtmatig hebben verzameld, hebben ontvangen te informeren dat de gegevensverstrekking onrechtmatig was en dat verder gebruik van de gegevens, waaronder het bewaren ervan, door de derden onrechtmatig is, en deze derden te verzoeken (a) deze gegevens te vernietigen en (b) Avast Software s.r.o., Avast Ltd., Avast Holding B.V., Avast Software B.V., AVG Ecommerce CY B.V. en de Achterban te laten weten aan welke partijen de gegevens nog verder zijn doorgegeven;

(iii) ieder die tot de Achterban kan worden gerekend te informeren over (a) welke gegevens Avast Software s.r.o., Avast Ltd., Avast Holding B.V., Avast Software B.V. en AVG Ecommerce CY B.V. en/of andere entiteiten binnen de Avast-groep over hem of haar hebben verzameld, (b) wanneer en hoe lang dat is gebeurd, (c) met welke (rechts)personen deze gegevens zijn gedeeld en (d) of, en zo ja wanneer, deze gegevens zijn vernietigd;

(iv) een (deel van hun) website in te richten waarmee de Achterban inzage kan krijgen in de informatie bedoeld onder 9 (iii) van het petitum;

( v) een onafhankelijk auditor, zoals Deloitte, E&Y of PwC, toegang te geven tot de IT-faciliteiten van Avast Software s.r.o., Avast Ltd., Avast Holding B.V., Avast Software B.V. en AVG Ecommerce CY B.V. (waaronder, maar niet beperkt tot, externe servers bij aan Avast Software s.r.o., Avast Ltd., Avast Holding B.V., Avast Software B.V. en AVG Ecommerce CY B.V. dienstverlenende derden) en ook overigens alle benodigde medewerking te verlenen om een onafhankelijk onderzoek uit te voeren naar de naleving van de geboden als bedoeld in 9 (i) t/m (iv) van het petitum;

10. Deloitte, E&Y of PwC, of een vergelijkbare door de rechtbank in goede justitie te bepalen partij, benoemt tot onafhankelijke onderzoekers als bedoeld in 9 (v) van het petitum;

11. Avast Software s.r.o., Avast Ltd., Avast Holding B.V., Avast Software B.V. en AVG Ecommerce CY B.V. hoofdelijk veroordeelt tot vergoeding van redelijke en evenredige proceskosten en overige kosten van deze procedure aan Stichting CUIC, bestaande uit: (a) de volledige proceskosten van Stichting CUIC op grond van artikel 1018l lid 2 Rv, althans de daadwerkelijk gemaakte proceskosten op grond van artikel 237 Rv, te vermeerderen met de wettelijke rente vanaf de datum van vonnis wijzen tot aan de dag der algehele voldoening; (b) de (buitengerechtelijke) kosten van Stichting CUIC op grond van artikel 6:96 BW, te vermeerderen met de wettelijke rente vanaf de datum van vonnis wijzen tot aan de dag der algehele voldoening; (c) de door Stichting CUIC aan de procesfinancier te betalen overeengekomen vergoeding op grond van artikel 6:96 BW en artikel 1018l lid 2 Rv; en (d) de volledige kosten voor de schadeafwikkeling, een en ander zoals nader te begroten;

12. Avast Software s.r.o., Avast Ltd., Avast Holding B.V., Avast Software B.V. en AVG Ecommerce CY B.V. hoofdelijk veroordeelt tot vergoeding van de door Stichting CUIC gemaakte kosten van dit geding, te vermeerderen met de nakosten ten belope van EUR 178 zonder betekening, dan wel EUR 270 in het geval van betekening, een en ander te voldoen binnen veertien dagen na dagtekening van het vonnis, en – voor het geval voldoening van de (na)kosten niet binnen de gestelde termijn plaatsvindt – te vermeerderen met de wettelijke rente over de (na)kosten te rekenen vanaf bedoelde termijn voor voldoening tot aan de dag der algehele voldoening.

4.2.

Stichting CUIC legt hieraan, kort samengevat, het volgende ten grondslag.

Zoals ook blijkt uit vordering 2 komt Stichting CUIC op voor destijds in Nederland wonende consumenten die in de periode van 1 januari 2014 tot 30 januari 2020 (de Relevante Periode) diensten en producten van de Avast-gedaagden hebben gebruikt. Stichting CUIC duidt deze personen gezamenlijk aan als de Achterban. De Avast-gedaagden leverden in die tijd antivirussoftware, internetbrowsers en internetbrowserextensies. Deze diensten en producten (hierna ook wel: de Avast-software) waren mede bedoeld om de privacy van de gebruikers te beschermen. Zoals ook blijkt uit de beslissingen van de UOOU en de FTC – en zoals de Avast-gedaagden overigens ook hebben toegegeven – heeft de Avast-groep deze zelfde diensten en producten echter gebruikt om persoonsgegevens van de gebruikers te verzamelen. De verzamelde persoonsgegevens hebben zij vervolgens gedeeld met Jumpshot, die deze op haar beurt heeft verkocht aan derden. De verzamelde, gedeelde en verkochte persoonsgegevens waren en bleven herleidbaar tot geïdentificeerde of identificeerbare natuurlijke personen. De Avast-gedaagden hebben dit alles gedaan zonder (uitdrukkelijke) toestemming van de gebruikers van hun diensten en producten.

De Avast-gedaagden hebben met hun handelen achtereenvolgens de Wet bescherming persoonsgegevens (Wbp) en – met ingang van 25 mei 2018 – de Algemene verordening gegevensbescherming (AVG) geschonden. De Avast-gedaagden hebben met hun handelen ook de Telecommunicatiewet (Tw) geschonden, in het bijzonder artikel 11.7 van deze wet. Met de schending van de genoemde wet- en regelgeving hebben de Avast-gedaagden ook onrechtmatig gehandeld in de zin van artikel 6:162 BW. Zij hebben immers inbreuk gemaakt op rechten en gehandeld in strijd met wettelijke plichten. De Avast-gedaagden hebben zich voorts schuldig gemaakt aan oneerlijke handelspraktijken in de zin van afdeling 6.3.3A (artikelen 6:193a tot en met 6:193j) van het Burgerlijk Wetboek. Tot slot hebben de Avast-gedaagden zich ten koste van de gebruikers van hun diensten en producten ongerechtvaardigd verrijkt in de zin van artikel 6:212 BW.

5. Het incident

5.1.

De Avast-gedaagden vorderen dat de rechtbank bij vonnis, voor zover rechtens mogelijk uitvoerbaar bij voorraad,

( a) zich onbevoegd verklaart met betrekking tot de vorderingen van Stichting CUIC tegen Avast Software s.r.o. en Avast Ltd.; en

( b) Stichting CUIC veroordeelt in de kosten van het incident, alsmede in de gebruikelijke nakosten (zowel zonder als met betekening), te vermeerderen met de wettelijke rente als bedoeld in artikel 6:119 BW vanaf veertien dagen na het vonnis.

5.2.

De Avast-gedaagden leggen hieraan ten grondslag dat – anders dan Stichting CUIC in de dagvaarding betoogt – de Nederlandse rechter noch op grond van de Brussel Ibis-Verordening noch op grond van Rv noch op grond van de AVG bevoegd is om de door Stichting CUIC tegen Avast Software s.r.o. en Avast Ltd. ingestelde vorderingen in behandeling te nemen en daarover te beslissen.

5.3.

Stichting CUIC voert verweer.

6. De beoordeling in het incident

6.1.

Stichting CUIC heeft als belangenorganisatie in de zin van artikel 3:305a BW op verschillende grondslagen verschillende collectieve vorderingen ingesteld tegen vijf rechtspersonen die woonplaats hebben in verschillende landen, zowel binnen als buiten de Europese Unie.

6.2.

De Avast-gedaagden stellen in het door hen geopende incident de vraag naar de internationale bevoegdheid (de rechtsmacht) van de Nederlandse rechter ten aanzien van Avast Software s.r.o. en Avast Ltd. aan de orde. De rechtbank moet deze vraag ook ambtshalve beantwoorden. Dit geldt zowel voor zover de door Stichting CUIC ingestelde vorderingen hun grondslag vinden in de AVG (deze vorderingen worden hierna in zoverre ook aangeduid als de AVG-vorderingen), als voor zover Stichting CUIC haar vorderingen baseert op andere grondslagen (deze vorderingen worden hierna gemakshalve ook aangeduid als de niet-AVG-vorderingen).

6.3.

De Brussel Ibis-Verordening, Rv en de AVG kennen geen bijzondere regels voor de rechtsmacht in geval van collectieve vorderingen. Dit betekent dat bij de beoordeling van de rechtsmacht moet worden uitgegaan van de feitelijke omstandigheden van de (groepen van) individuele personen voor wie wordt opgekomen. Dat zijn in dit geval de destijds in Nederland wonende consumenten die in de periode van 1 januari 2014 tot 30 januari 2020 diensten en producten van de Avast-gedaagden hebben gebruikt.

6.4.

De rechtbank stelt in dit verband het volgende voorop.

6.5.

Stichting CUIC komt op voor de in vordering 2 beschreven personen.

6.5.1.

Aannemelijk is dat een deel van deze personen nog altijd in Nederland woont, dat een deel van deze personen niet meer in Nederland woont en dat een deel van deze personen – na in het buitenland te hebben gewoond – opnieuw in Nederland woont.

6.5.2.

De materiële door Stichting CUIC ingestelde vorderingen (de vorderingen 5, 6, 7 en 9) strekken respectievelijk tot verschillende verklaringen voor recht, tot schadevergoeding en tot verschillende geboden.

6.5.3.

Stichting CUIC verwijt de Avast-gedaagden in de kern de wijze waarop zij zijn omgesprongen met de persoonsgegevens van de gebruikers van hun diensten en producten.

6.6.

De AVG definieert “persoonsgegevens” als “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’)” en “verwerking” als “een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens”. De AVG definieert “verwerkingsverantwoordelijke” als “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoons gegevens vaststelt” en “verwerker” als “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt”. Wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken. Het moet gaan om beslissende invloed. Het louter bestaan van een wederzijds voordeel dat voortvloeit uit een verwerkingsactiviteit, leidt niet direct tot gezamenlijke verantwoordelijkheid voor de verwerking. ^[2]

6.7.

Niet in geschil is dat de verzameling van de persoonsgegevens geschiedde door Avast Software s.r.o. met behulp van op de personal computers en mobiele apparaten van de gebruikers geïnstalleerde en vanaf de personal computers en mobiele apparaten van de gebruikers afgenomen Avast-software. Evenmin is in geschil dat Avast Software s.r.o. verwerkingsverantwoordelijke is in de zin van de AVG, zoals hiervoor onder 6.6 gedefinieerd.

6.8.

Over de rol van de overige Avast-gedaagden, zowel feitelijk als juridisch, verschillen partijen van mening.

6.8.1.

In de dagvaarding stelt Stichting CUIC dat de Avast-gedaagden “gezamenlijk verwerkingsverantwoordelijk” zijn. Ook stelt zij dat de Avast-gedaagden die in Nederland zijn gevestigd een “vestiging van Avast” vormen (waarbij met “Avast” dan alle gedaagden gezamenlijk worden bedoeld).

6.8.2.

Stichting CUIC stelt voorts dat Avast Holding B.V. (gedaagde sub 3) tijdens de Relevante Periode een “centrale rol” vervulde in de Avast-groep, omdat Avast plc (de rechtsvoorganger van Avast Ltd., gedaagde sub 2) via deze vennootschap alle aandelen hield in Avast Software B.V. (gedaagde sub 4), die op haar beurt weer enig aandeelhouder was van de diverse werkmaatschappijen, waaronder Avast Software s.r.o. (gedaagde sub 1), Jumpshot en AVG Ecommerce CY B.V. (gedaagde sub 5). Deze laatste vennootschap hield zich onder meer bezig met de verkoop van beveiligingssoftware. De verschillende Avast-rechtspersonen (waaronder de Avast-gedaagden) maken tezamen deel uit van de Avast-groep en traden in de praktijk op als één financiële “bedrijfsvoeringseenheid” en er was sprake van het verlenen van één wereldwijde dienst aan betrokkenen, de Avast-gedaagden hanteerden één wereldwijd geldend privacybeleid dat wereldwijd bekend werd gemaakt op de website www.avast.com, ‘Avast’ (waarmee Stichting CUIC dus de Avast-gedaagden gezamenlijk bedoelt) voerde wijzigingen in beleid, doelen en middelen, inclusief informatie aan betrokkenen, centraal en wereldwijd door. Deze omstandigheden duiden erop dat de juridische en feitelijke beslissingsmacht met betrekking tot de verwerkingen van de persoonsgegevens ook lag bij Avast Ltd. Dit geldt ook voor de Nederlandse Avast-gedaagden. Voor gezamenlijke verantwoordelijkheid is niet vereist dat partijen in gelijke mate zeggenschap hebben. Over de daadwerkelijke activiteiten van Avast Ltd. heeft Stichting CUIC in de dagvaarding niets gesteld (anders dan dat deze vennootschap medegeadresseerde is van het besluit van de FTC (zie 3.7)). Stichting CUIC kan ook verder geen onderbouwing geven van de rol en activiteiten van de Nederlandse Avast-gedaagden en Avast Ltd. omdat de gegevens die daarvoor nodig zijn in het domein van ‘Avast’ liggen, aldus steeds Stichting CUIC.

6.8.3.

De Avast-gedaagden hebben hier het volgende tegenover gezet. Het hoofdkantoor van de Avast-groep was en is ondergebracht in Avast Software s.r.o. in Praag (Tsjechië). Avast Software s.r.o. is de verwerkingsverantwoordelijke in de zin van de AVG en de Wbp. Avast Ltd. is opgericht in 2010 en tot en met 2017 vonden in deze vennootschap geen activiteiten plaats (zoals blijkt uit haar jaarrekeningen). In 2018 is Avast Ltd. omgezet in Avast plc. Op 21 september 2022 is Avast plc weer omgezet in Avast Ltd. In Avast Ltd. vinden op dit moment geen bedrijfsactiviteiten plaats in verband met de ontwikkeling en verkoop van antivirussoftware. Ook worden in Avast Ltd. geen persoonsgegevens verwerkt die verband houden met de ontwikkeling en verkoop van antivirussoftware en dus de vorderingen van Stichting CUIC. Avast Holding B.V. was en is een tussenholding binnen het Avast-concern. Vandaag de dag heeft Avast Holding B.V. geen andere activiteiten dan het (rechtsreeks) houden van 10% van de aandelen in Avast Software s.r.o. Ook Stichting CUIC erkent dat Avast Holding B.V. in de Relevante Periode niets meer was dan een tussenholding. Avast Holding B.V. heeft geen werknemers in dienst. Avast Software B.V. heeft geen eigen bedrijfsactiviteiten en houdt zich niet bezig met het uitgeven en verkopen van software. In 2016/2017 is deze vennootschap gebruikt in het kader van de overname en herstructurering van AVG Technologies. Voor deze procedure is dat niet van belang, omdat het enige AVG product waarvan door de Tsjechische persoonsgegevensautoriteit is vastgesteld dat het betrokken was bij de inbreuk, AVG Online Security, pas sinds april 2019 wordt aangeboden. Thans is Avast Software B.V. slechts een financierings- en holdingmaatschappij en functioneert de vennootschap als formele contractspartij voor elf werknemers van Gen Digital die werkzaam zijn voor verschillende afdelingen van Gen Digital wereldwijd. AVG Ecommerce CY B.V. verricht geen bedrijfsactiviteiten. De functie van deze vennootschap is beperkt tot het ontvangen en doorgeven van licentiegelden die door afnemers van producten van het merk ‘AVG’ worden betaald via PayPal. Deze functie is beperkt tot betaalde AVG-producten. Van geen van de betaalde AVG-producten is vastgesteld dat deze betrokken waren bij de vastgestelde inbreuk. Het is dus onjuist dat AVG Ecommerce CY B.V. nauw betrokken was bij de verkoop van producten van Avast in Nederland. Dit staat, anders dan Stichting CUIC stelt, ook niet in de jaarrekening van AVG Ecommerce CY B.V. Daarin staat slechts in algemene bewoordingen dat de activiteiten bestaan uit “the sale of internet security software”, aldus steeds de Avast-gedaagden.

6.9.

De enige geadresseerde van het besluit van de Tsjechische persoonsgegevens-autoriteit UOOU is Avast Software s.r.o.

6.10.

Het besluit van de Amerikaanse FTC is gericht aan Avast Software s.r.o., Avast Ltd. en Jumpshot.

6.11.

De rechtbank zal hierna eerst haar rechtsmacht wat betreft de niet-AVG-vorderingen beoordelen en vervolgens haar rechtsmacht wat betreft de AVG-vorderingen.

De niet-AVG-vorderingen – inleiding

6.12.

Zoals ook partijen onderkennen, moet de rechtsmacht van de Nederlandse rechter ten aanzien van Avast Software s.r.o. worden beoordeeld aan de hand van hoofdstuk II (Bevoegdheid) van de Brussel Ibis-Verordening. Anders dan Stichting CUIC kennelijk veronderstelt, speelt de voorloper van de Brussel Ibis-Verordening, de Brussel I-Verordening, in dit geding geen rol. De Brussel I-Verordening is immers met ingang van 10 januari 2015 vervangen door de Brussel Ibis-Verordening. De Brussel I-Verordening geldt dan ook niet meer. In dit verband wordt ook verwezen naar artikel 66 Brussel Ibis-Verordening.

6.13.

Zoals ook partijen onderkennen, moet – bij afwezigheid van een verdrag tussen Nederland en het Verenigd Koninkrijk dat ziet op de rechtsmacht van de Nederlandse rechter – de rechtsmacht van de Nederlandse rechter ten aanzien van Avast Ltd. worden beoordeeld aan de hand van de eerste titel (Rechtsmacht van de Nederlandse rechter) van het eerste boek van het Wetboek van Burgerlijke Rechtsvordering. In dit verband wordt ook gewezen op artikel 6 lid 1 Brussel Ibis-Verordening.

6.14.

Allereerst moet echter worden stilgestaan bij de in Nederland gevestigde (woonplaats hebbende) Avast-gedaagden.

De niet-AVG-vorderingen – Avast Holding B.V., Avast Software B.V. en AVG Ecommerce CY B.V.

6.15.

Zoals hiervoor onder 6.5.1 al is overwogen, is aannemelijk dat een deel van de personen voor wie Stichting CUIC opkomt (de Achterban) nog altijd in Nederland woont (hierna: groep 1), dat een deel van deze personen niet meer in Nederland woont (hierna: groep 2) en dat een deel van deze personen – na in het buitenland te hebben gewoond – opnieuw in Nederland woont (hierna: groep 3).

6.15.1.

De verhouding tussen enerzijds groep 1 respectievelijk groep 3 en anderzijds Avast Holding B.V., Avast Software B.V. respectievelijk AVG Ecommerce CY B.V. is geen internationale rechtsverhouding. De bevoegdheid van deze rechtbank vloeit voort uit het Nederlandse burgerlijk procesrecht.

6.15.2.

De verhouding tussen enerzijds groep 2 en anderzijds Avast Holding B.V., Avast Software B.V. respectievelijk AVG Ecommerce CY B.V. is wel een internationale rechtsverhouding. De rechtsmacht van de Nederlandse rechter vloeit voort uit artikel 4 lid 1 Brussel Ibis-Verordening (“Onverminderd deze verordening worden zij die woonplaats hebben op het grondgebied van een lidstaat, ongeacht hun nationaliteit, opgeroepen voor de gerechten van die lidstaat”).

6.15.3.

Aldus is de Nederlandse rechter (en is deze rechtbank) voor de niet-AVG-vorderingen nationaal en internationaal bevoegd ten aanzien van Avast Holding B.V., Avast Software B.V. en AVG Ecommerce CY B.V.

De niet-AVG-vorderingen – Avast Software s.r.o. en Avast Ltd.

6.16.

Het hiervoor onder 6.5.1 gemaakte onderscheid tussen de groepen van personen voor wie Stichting CUIC opkomt hoeft hier niet te worden gemaakt. Ongeacht de huidige woonplaats van de personen voor wie Stichting CUIC opkomt, kan, zoals ook partijen onderkennen, de Nederlandse rechter ten aanzien van Avast Software s.r.o. slechts bevoegd zijn op grond van artikel 7 aanhef en onder 2 dan wel artikel 8 aanhef en onder 1 Brussel Ibis-Verordening. Ongeacht de huidige woonplaats van de personen voor wie Stichting CUIC opkomt kan, zoals ook partijen onderkennen, de Nederlandse rechter ten aanzien van Avast Ltd. slechts bevoegd zijn op grond van artikel 6 aanhef en onder e dan wel artikel 7 lid 1 Rv.

6.16.1.

Artikel 7 aanhef en onder 2 Brussel Ibis-Verordening bepaalt dat een persoon die woonplaats heeft op het grondgebied van een lidstaat ten aanzien van verbintenissen uit onrechtmatige daad in een andere lidstaat kan worden opgeroepen voor het gerecht van de plaats waar het schadebrengende feit zich heeft voorgedaan of zich kan voordoen.

6.16.2.

Artikel 6 aanhef en onder e Rv bepaalt (eveneens) dat de Nederlandse rechter rechtsmacht heeft in zaken betreffende verbintenissen uit onrechtmatige daad, indien het schadebrengende feit zich in Nederland heeft voorgedaan of zich kan voordoen.

6.16.3.

Artikel 8 aanhef en onder 1 Brussel Ibis-Verordening bepaalt dat een persoon die op het grondgebied van een lidstaat woonplaats heeft, indien er meer dan één verweerder is, ook kan worden opgeroepen voor het gerecht van de woonplaats van een hunner, op voorwaarde dat er tussen de vorderingen een zo nauwe band bestaat dat een goede rechtsbedeling vraagt om hun gelijktijdige behandeling en berechting, teneinde te vermijden dat bij afzonderlijke berechting van de zaken onverenigbare beslissingen worden gegeven (de ‘ankergedaagde regel’).

6.16.4.

Artikel 7 lid 1 Rv bepaalt dat, indien (in zaken die bij dagvaarding moeten worden ingeleid) de Nederlandse rechter ten aanzien van een van de gedaagden rechtsmacht heeft, hem deze ook toekomt ten aanzien van in hetzelfde geding betrokken andere gedaagden, mits tussen de vorderingen tegen de onderscheiden gedaagden een zodanige samenhang bestaat, dat redenen van doelmatigheid een gezamenlijke behandeling rechtvaardigen (weer de ‘ankergedaagde regel’).

6.17.

De formulering van artikel 8 aanhef en onder 1 Brussel Ibis-Verordening en van artikel 7 lid 1 Rv is vrijwel gelijkluidend. Voor de uitleg van deze beide bepalingen wordt aangesloten bij de uitleg van artikel 8 Brussel Ibis-Verordening. ^[3] Artikel 8 Brussel Ibis-Verordening (en daarmee ook artikel 7 lid 1 Rv) moet restrictief (“eng”) worden uitgelegd. ^[4] Er is slechts sprake van een (voldoende) ‘nauwe band’ tussen de vorderingen (per gedaagde, per vordering en per rechtsgrondslag) als voldaan is aan de volgende (cumulatieve) vereisten:

• i) er moet sprake zin van eenzelfde situatie feitelijk en rechtens tussen de Nederlandse Avast-gedaagden enerzijds en (ieder van) Avast Software s.r.o. en Avast Ltd. anderzijds;
• ii) er mag in geval van afzonderlijke berechting geen gevaar voor onverenigbare beslissingen bestaan;
• iii) de bevoegdheid van de Nederlandse rechter moet voor (ieder van) Avast Software s.r.o. en Avast Ltd. voorzienbaar zijn geweest; en
• iv) er mag geen sprake zijn van misbruik van recht.

6.18.

De rechtszekerheid verlangt dat de nationale rechter zich eenvoudig over zijn eigen bevoegdheid kan uitspreken, zonder dat hij de zaak ten gronde hoeft te onderzoeken. Voor bewijslevering is in deze fase geen plaats. Dit geldt zowel voor de bepalingen uit de Brussel Ibis-Verordening als voor de bepalingen uit Rv.

De niet-AVG-vorderingen – Avast Software s.r.o.

6.19.

Het is vaste rechtspraak dat op grond van artikel 7 aanhef en onder 2 Brussel Ibis-Verordening bevoegd is zowel de rechter van de plaats waar de schadeveroorzakende gebeurtenis heeft plaatsgevonden (
Handlungsort ) als die van de plaats waar de schade is ingetreden (
Erfolgsort ).

6.20.

Naar het oordeel van de rechtbank moet voor de personen voor wie Stichting CUIC opkomt (de Achterban) Nederland worden aangemerkt als de plaats waar de schade is ingetreden. ^[5] Hun schade is immers initieel ontstaan door hun gebruik, naar moet worden aangenomen vooral in Nederland, van Avast-software op hun personal computers en mobiele apparaten. De volgens Stichting CUIC onrechtmatige verzameling van hun persoonsgegevens door Avast Software s.r.o. is in Nederland begonnen. De enkele omstandigheid dat die verzameling buiten Nederland is afgerond door opslag van de persoonsgegevens op Avast-servers elders doet hieraan niet af.

6.21.

Mede gelet op het arrest van het HvJEU van 2 december 2025 (
Apple ) ^[6] ziet de rechtbank geen aanleiding om de hieraan te ontlenen rechtsmacht te beperken tot haar arrondissement.

6.22.

Het begrip “verbintenissen uit onrechtmatige daad” moet worden beschouwd als een autonoom begrip, waaronder elke rechtsvordering valt die beoogt de aansprakelijkheid van een verweerder in het geding te brengen en die geen verband houdt met een “verbintenis uit overeenkomst” in de zin van artikel 7 aanhef en onder 1 Brussel Ibis-Verordening ^[7] . De bevoegdheid van de Nederlandse rechter betreft daarom alle niet-AVG-vorderingen. ^[8]

6.23.

Aldus is de Nederlandse rechter (en is deze rechtbank) voor de niet-AVG-vorderingen nationaal en internationaal bevoegd ten aanzien van Avast Software s.r.o.

De niet-AVG-vorderingen – Avast Ltd.

6.24.

Gesteld noch gebleken is dat Avast Ltd. daadwerkelijk bemoeienis heeft gehad met de hiervoor onder 6.21 beschreven in Nederland begonnen verzameling van persoonsgegevens. Nergens blijkt uit dat Avast Ltd. Avast-software heeft geleverd aan gebruikers in Nederland. Verwezen wordt naar hetgeen hiervoor onder 6.8.2 en 6.8.3 is weergegeven.

6.25.

Evenmin is (voldoende) gesteld of gebleken dat in verband met Avast Ltd. anderszins een Nederlands
Handlungsort of
Erfolgsort kan worden aangewezen. Haar enkele vennootschappelijke verhouding met Avast Software s.r.o. is in elk geval niet voldoende. Hetzelfde geldt voor het door Stichting CUIC gestelde besluit van Avast Ltd. om Avast Software s.r.o. en Jumpshot in te zetten voor het door haar bepaalde (volgens Stichting CUIC onrechtmatige) doel. Ook de omstandigheid dat Avast Ltd., Avast Software s.r.o. en Jumpshot volgens de FTC “have operated as a common enterprise while engaging in (…) unlawful acts and practices” in de Verenigde Staten van Amerika is onvoldoende om te kunnen spreken van een Nederlands
Handlungsort of
Erfolgsort . Dit betekent dat deze rechtbank geen bevoegdheid kan ontlenen aan artikel 6 aanhef en onder e Rv.

6.26.

De rechtbank zegt hiermee niet dat Avast Ltd. geen enkel verwijt treft. De beoordeling daarvan is eenvoudigweg niet aan de Nederlandse rechter. Ook niet (voldoende) gesteld of gebleken is dat tussen de daaruit mogelijk voortvloeiende vordering van de personen voor wie Stichting CUIC opkomt tegen Avast Ltd. en de vorderingen tegen de Nederlandse Avast-gedaagden (de ‘ankergedaagden’) een zodanige samenhang bestaat dat redenen van doelmatigheid een gezamenlijke behandeling rechtvaardigen, een en ander in de zin van artikel 7 lid 1 Rv. Dat Stichting CUIC tegen alle Avast-gedaagden dezelfde vorderingen heeft ingesteld, op dezelfde grondslagen, is onvoldoende om aan te nemen dat sprake is van eenzelfde situatie feitelijk en rechtens. De vergelijking met het vonnis van deze rechtbank in Facebook gaat niet op. Zoals volgt uit hetgeen hiervoor onder 6.8.2 en 6.8.3 is weergegeven, is er hier geen sprake van dat Avast Ltd. een “wezenlijk onderdeel van de activiteiten” van het Avast-concern in Nederland vormde en het was dan ook niet zonder meer voorzienbaar voor Avast Ltd. dat zij in een geschil over een vermeende inbreuk op privacy rechten van Nederlandse gebruikers van de Avast-software voor de Nederlandse rechter zou kunnen worden opgeroepen. ^[9] Ook artikel 7 lid 1 Rv biedt dus geen soelaas.

6.27.

Aldus is de Nederlandse rechter voor de niet-AVG-vorderingen niet internationaal bevoegd ten aanzien van Avast Ltd.

De AVG-vorderingen – inleiding

6.28.

De AVG is met ingang van 25 mei 2018 in werking getreden.

6.29.

Artikel 3 (Territoriaal toepassingsgebied) lid 1 AVG bepaalt dat de verordening van toepassing is op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Europese Unie, ongeacht of de verwerking in de Unie plaatsvindt. Lid 2 luidt:

Deze verordening is van toepassing op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden, door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker, wanneer de verwerking verband houdt met:

a. a) het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen is vereist; of

b) het monitoren van hun gedrag, voor zover dit gedrag in de Unie plaatsvindt.

6.30.

Hoofdstuk VIII betreft blijkens zijn opschrift beroep, aansprakelijkheid en sancties. Overweging 147 bij de AVG bepaalt dat de algemene bevoegdheidsregels, zoals die van de Brussel Ibis-Verordening, geen afbreuk dienen te doen aan de toepassing van de in de AVG voorziene specifieke bevoegdheidsregels, met name wat betreft procedures die een voorziening in rechte (met inbegrip van schadeloosstelling) tegen een verwerkingsverantwoordelijke of verwerker beogen.

6.31.

Het van hoofdstuk VIII deel uitmakende artikel 79 lid 1 AVG bepaalt, voor zover hier van belang, dat elke betrokkene het recht heeft een doeltreffende voorziening in rechte in te stellen indien hij van mening is dat zijn rechten uit hoofde van de verordening zijn geschonden ten gevolge van een verwerking van zijn persoonsgegevens die niet aan de verordening voldoet. Lid 2 luidt:

Een procedure tegen een verwerkingsverantwoordelijke of een verwerker wordt ingesteld bij de gerechten van een lidstaat waar de verwerkingsverantwoordelijke of verwerker een vestiging heeft. Een dergelijke procedure kan ook worden ingesteld bij de gerechten van de lidstaat waar de betrokkene gewoonlijk verblijft (…).

Artikel 80 AVG luidt als volgt:

Vertegenwoordiging van betrokkenen

1. De betrokkene heeft het recht een orgaan, organisatie of vereniging zonder winstoogmerk dat of die op geldige wijze volgens het recht van een lidstaat is opgericht, waarvan de statutaire doelstellingen het openbare belang dienen en dat of die actief is op het gebied van de bescherming van de rechten en vrijheden van de betrokkene in verband met de bescherming van diens persoonsgegevens, opdracht te geven de klacht namens hem in te dienen, namens hem de in artikelen 77, 78 en 79 bedoelde rechten uit te oefenen en namens hem het in artikel 82 bedoelde recht op schadevergoeding uit te oefenen, indien het lidstatelijke recht daarin voorziet.

2. De lidstaten kunnen bepalen dat een orgaan, organisatie of vereniging als bedoeld in lid 1 van dit artikel, over het recht beschikt om onafhankelijk van de opdracht van een betrokkene in die lidstaat klacht in te dienen bij de overeenkomstig artikel 77 bevoegde toezichthoudende autoriteit en de in de artikelen 78 en 79 bedoelde rechten uit te oefenen, indien het/zij van mening is dat de rechten van een betrokkene uit hoofde van deze verordening zijn geschonden ten gevolge van de verwerking.

(…)’.

De AVG-vorderingen – Avast Holding B.V., Avast Software B.V. en AVG Ecommerce CY B.V.

6.32.

Niet in geschil is dat deze rechtbank bevoegd is ten aanzien van Avast Holding B.V., Avast Software B.V. en AVG Ecommerce CY B.V., ook voor zover het betreft de hiervoor onder 6.15 omschreven groep 2 (zie ook 6.15.1-6.15.3).

6.33.

In aanvulling hierop wordt het volgende overwogen. De (bevoegdheidsregeling van de) AVG vormt een aanvulling op de algemene bevoegdheidsregels zoals deze zijn neergelegd in de Brussel Ibis-Verordening en deze regelingen bestaan naast elkaar. Gelet op het algemene karakter en het in beginsel ruime materiële toepassingsbereik van de in de Brussel Ibis-Verordening neergelegde bevoegdheidsregeling, kan slechts worden aangenomen dat de Uniewetgever heeft beoogd een van die verordening afwijkende, (niet aanvullend maar) exclusief geldende bevoegdheidsregeling te treffen, indien dat voldoende duidelijk tot uitdrukking is gebracht in de betreffende regeling. Uit de tekst van de AVG en de considerans kan niet worden afgeleid dat de bevoegdheidsregeling van artikel 79 lid 2 AVG een exclusieve regeling is die de regels van de Brussel Ibis-Verordening opzij zet. In de considerans bij de AVG onder 147 staat slechts dat de algemene bevoegdheidsregels van de Brussel Ibis-Verordening geen afbreuk mogen doen aan de toepassing van de specifieke in de AVG opgenomen bevoegdheidsregels. Dat onderstreept het aanvullende karakter van de AVG ten opzichte van de Brussel Ibis-Verordening.

6.34.

Aldus is de Nederlandse rechter voor de AVG-vorderingen ook (internationaal) bevoegd ten aanzien van Avast Holding B.V., Avast Software B.V. en AVG Ecommerce CY B.V.

De AVG-vorderingen – Avast Software s.r.o.

6.35.

De rechtbank verwijst allereerst naar hetgeen hiervoor onder 6.7 is overwogen: niet in geschil is dat Avast Software s.r.o. verwerkingsverantwoordelijke is.

6.36.

Ook hier moet onderscheid worden gemaakt tussen dat deel van de Achterban dat nog altijd in Nederland woont (groep 1), het deel van deze personen dat – na in het buitenland te hebben gewoond – opnieuw in Nederland woont (groep 3) en

het deel van deze personen dat niet meer in Nederland woont (groep 2).

Achterban nog steeds/weer in Nederland (groepen 1 en 3)

6.37.

In bijvoorbeeld de procedures die hebben geleid tot de uitspraken van deze rechtbank in Facebook ^[10] en TikTok ^[11] , in procedures die hebben geleid tot uitspraken van andere rechtbanken ^[12] en in de literatuur is veel discussie (geweest) over de vraag of de in artikel 79 lid 1 AVG omschreven individuele bevoegdheid van de betrokkene ook toekomt aan een collectieve belangenbehartiger als Stichting CUIC. Zoals hiervoor in de inleiding al is vermeld, heeft de rechtbank Rotterdam in de zaak Amazon prejudiciële vragen gesteld aan het HvJEU. Die vragen zien op deze discussie. De rechtbank heeft onder meer gevraagd of het opdrachtbegrip in artikel 80 lid 1 AVG en/of het bepaalde in artikel 80 lid 2 AVG in de weg staat aan een nationale regeling (zoals in de WAMCA) op grond waarvan een belangenorganisatie (als Stichting CUIC) een collectieve schadevergoedingsvordering vanwege schendingen van de AVG kan instellen, terwijl de belangenorganisatie (Stichting CUIC) geen opdracht heeft van de betrokkenen (de gedupeerden waarvoor zij stelt op te komen, de Achterban).

6.38.

Het antwoord op deze vraag is ook van belang voor de bevoegdheid van de rechtbank op grond van artikel 79 lid 2 AVG.

6.38.1.

Als de vraag ontkennend wordt beantwoord, en een belangenorganisatie (als Stichting CUIC) dus een collectieve schadevergoedingsvordering vanwege schendingen van de AVG kan instellen, terwijl de belangenorganisatie (Stichting CUIC) geen opdracht heeft van de betrokkenen, ligt het in de verwachting dat de rechtbank op grond van artikel 79 lid 2 AVG bevoegd is van de vorderingen van Stichting CUIC kennis te nemen (voor zover het groepen 1 en 3 betreft: in Nederland gewoonlijk verblijvende betrokkenen).

6.38.2.

Als de vraag bevestigend wordt beantwoord, en het dus niet mogelijk is voor een belangenorganisatie (als Stichting CUIC) om een collectieve schadevergoedingsvordering vanwege schendingen van de AVG in te stellen zonder opdracht van de betrokkenen, ligt dat niet voor de hand.

6.38.3.

Het gerechtshof Amsterdam heeft in de zaak TikTok de beoordeling of de Nederlandse rechter bevoegd is om kennis te nemen van de op de AVG gegronde vorderingen van de daar als eisende partijen optredende stichtingen aangehouden totdat het HvJEU de prejudiciële vragen heeft beantwoord. De rechtbank is voornemens om dat ook te doen. Het rechtbank ziet, net als het hof, geen aanleiding om, zoals door de Avast-gedaagden bepleit (nadere/andere) vragen over de uitleg van artikel 79 lid 2 AVG te stellen aan het HvJEU, omdat, zoals hiervoor ook is overwogen, te verwachten valt dat met de beantwoording van de reeds gestelde vragen voldoende duidelijkheid zal zijn verkregen om een beslissing op dit punt te geven.

Achterban niet meer in Nederland (groep 2)

6.39.

De rechtbank ziet niet hoe zij voor betrokkenen die niet (meer) gewoonlijk in Nederland verblijven rechtsmacht kan ontlenen aan artikel 79 lid 2 AVG.

6.40.

Ook de ankergedaagde regel biedt geen soelaas. In dit verband wordt verwezen naar hetgeen hiervoor onder 6.27 in het kader van de niet-AVG-vorderingen ten aanzien van Avast Ltd. met betrekking tot deze regel is overwogen. Dit geldt
mutatis mutandis ook ten aanzien van Avast Software s.r.o. Zoals volgt uit hetgeen hiervoor onder 6.8.2 en 6.8.3 is weergegeven, is er geen sprake van dat Avast Sotware s.r.o. een “wezenlijk onderdeel van de activiteiten” van het Avast-concern
in Nederland vormde. Avast Holding B.V. en Avast Software B.V. zijn louter holdingvennootschappen en AVG Ecommerce CY B.V. heeft slechts beperkte activiteiten. Het was dan ook niet zonder meer voorzienbaar voor Avast Software s.r.o. dat zij in een geschil over een vermeende inbreuk op privacy rechten van
nie t in Nederland verblijvende gebruikers van de Avast-software voor de Nederlandse rechter zou kunnen worden opgeroepen.

De AVG-vorderingen – Avast Ltd.

6.41.

Aangezien niet (voldoende) is gesteld of gebleken dat Avast Ltd. voldoet aan (een van) de voorwaarden van artikel 3 lid 2 AVG, kan zij in Nederland niet worden aangesproken op schendingen van de AVG in het Verenigd Koninkrijk of de Verenigde Staten van Amerika.

6.42.

Ook de ankergedaagde regel biedt geen soelaas. In dit verband wordt verwezen naar hetgeen hiervoor onder 6.27 in het kader van de niet-AVG-vorderingen is overwogen.

6.43.

Aldus is de Nederlandse rechter ook voor de AVG-vorderingen internationaal niet bevoegd ten aanzien van Avast Ltd.

Voornemen tot aanhouding – prejudiciële vragen rechtbank Rotterdam (Amazon)

6.44.

Zoals hiervoor is overwogen, ziet de rechtbank aanleiding om de beslissing over de bevoegdheid om van de AVG-vorderingen van Stichting CUIC kennis te nemen (voor zover het de groepen 1 en 3 betreft) aan te houden totdat het HvJEU de prejudiciële vragen van de rechtbank Rotterdam heeft beantwoord. Dit geldt – anders dan het gerechtshof Amsterdam heeft gedaan – niet alleen voor de AVG-vorderingen, maar ook voor de niet-AVG-vorderingen. Onder meer gezien de (inhoudelijke) samenhang tussen de (grondslagen van) de AVG-vorderingen enerzijds en de niet-AVG-vorderingen anderzijds ziet de rechtbank niet goed hoe de behandeling van beide ‘soorten’ vorderingen op zinvolle wijze gescheiden kan worden. Dat geldt ook voor de ontvankelijkheidsfase. Partijen zullen in de gelegenheid worden gesteld zich over dit voornemen uit te laten voordat de rechtbank een definitieve beslissing neemt. De zaak zal hiertoe worden verwezen naar de rol.

7. De beslissing

De rechtbank

in het incident en in de hoofdzaak

7.1.

verwijst de zaak naar de rol van
8 april 2026 voor akte uitlating van beide partijen over het voornemen van de rechtbank weergegeven onder 6.44,

7.2.

houdt iedere verdere beslissing aan.

Dit vonnis is gewezen door mr. R.A. Dudok van Heel, rechter, bijgestaan door mr. A.A.J. Wissink, griffier, en in het openbaar uitgesproken op 11 maart 2026.

Voetnoten

1. Rechtbank Rotterdam 23 juli 2025, ECLI:NL:RBROT:2025:9088 (

2. Richtsnoeren 07/2020 over de begrippen “verwerkingsverantwoordelijke” en “verwerker” in de AVG van de European Data Protection Board, versie 2.0, vastgesteld op 7 juli 2021, p. 22 en 24

3. Artikel 1 lid 1 van Protocol 2 bij EVEX II, Hoge Raad 29 maart 2019, ECLI:NL:HR:2019:433, rov. 4.1.3

4. Recent Hof van Justitie van de EU, 13 februari 2025, C-393/23, ECLI:EU:C:2025:85 (

5. Vgl. rechtbank Amsterdam 30 juni 2021, ECLI:NL:RBAMS:2021:3307 (

6. ECLI:EU:C:2025:936

7. HvJ EG 27 september 1988, ECLI:EU:C:1988:459 (

8. Vgl. Gerechtshof Amsterdam, 7 oktober 2025, ECLI:NL:GHAMS:2025:2666 (

9. Rechtbank Amsterdam, 30 juni 2021, ECLI:NL:RBAMS:2021:3307 (

10. Rechtbank Amsterdam 30 juni 2021, ECLI:NL:RBAMS:2021:3307

11. Rechtbank Amsterdam 9 november 2022, ECLI:NL:RBAMS:2022:6488

12. Bijv. rechtbank Rotterdam 13 november 2024, ECLI:NL:RBROT:2024:11322 (