In de nieuwsbrief van oktober 2023 heeft Christoph in het kader van US class actions inzake AI stilgestaan bij de mogelijkheid om ook in Nederland vergelijkbare collectieve acties te beginnen. In deze bijdrage zal ik dit fenomeen – ook treffend aangeduid als massa-claims – nader onder de loep nemen met het oog op conflicten in de tech sector. Het gaat daarbij vooral om massa-claims die tegen grote, internationale tech-bedrijven in Nederland worden ingesteld. De reden hiervoor is doorgaans een inbreuk op de mededingingsregels of schending van de privacy van (eind)gebruikers.
In Nederland bestaat sinds 2020 een nieuw wettelijk regime dat het mogelijk maakt om massa-claims namens alle gedupeerden van een bepaalde gebeurtenis in te stellen en daarbij ook een collectieve schadevergoeding te vorderen. Dit is een aanzienlijke verruiming omdat nu (i) in beginsel iedereen is vertegenwoordigd tenzij hij gebruik maakt van zijn opt-out recht, en (ii) de schadevergoeding de hele groep omvat en daardoor tot astronomische bedragen kan leiden. Dit verklaart ook waarom er hier, zeker in vergelijking tot andere landen, veel massa-claims aanhangig zijn (inmiddels al meer dan 80, zie het WAMCA-register (1)).
Let wel: de grote meerderheid van deze zaken betreft acties tegen de overheid (bijvoorbeeld de invoering van het UBO-register of etnisch profileren), of enkel het nemen van voorlopige maatregelen dan wel een verklaring van recht (bijvoorbeeld een recente zaak van Dier&Recht tegen de import van kalveren), en dus uitdrukkelijk geen schadevergoeding. Dit laatste element staat echter wel centraal bij massa-claims in de tech-sector met doorgaans miljoenen gedupeerden en daarmee Amerikaanse toestanden. Het gaat dusver om ruim 20 zaken die veelal te maken hebben met beweerdelijke misstanden in de tech-sector, of daarmee indirect samenhangen (zoals dieselauto’s met hun sjoemelsoftware die werd gebruikt om de emissienormen te halen).
Wat zijn nu de misstanden in de tech sector die met massa-claims kunnen worden aangepakt? Zoals al aangestipt, gaat het hierbij om twee belangrijke uitdagingen in de huidige tech-industrie, namelijk (i) het omgaan met en naleving van privacy regels en (ii) mededingingsrechtelijke perikelen als gevolg van het feit dat sommige tech-bedrijven zo groot zijn geworden dat zij zich in grote mate onafhankelijk van de concurrentie kunnen gedragen en deze machtspositie vervolgens (kunnen) misbruiken.
De geïnformeerde lezer zal uiteraard onmiddellijk denken aan verschillende acties op het regulatory vlak die zich al volop op deze misstanden richten. Denk bijvoorbeeld aan toenemende geluiden in de VS om grote tech-bedrijven op te splitsen om hun marktmacht te beperken, aan recente pogingen om strengere regels te introduceren voor online privacy van kinderen op social platforms, of aan onderzoeken van toezichthouders in de EU naar bepaalde gedragingen van grote tech bedrijven (waaronder Amazon, Apple en Google). Met massa-claims hebben consumenten dan wel burgers nu een instrument in handen om direct actie tegen deze misstanden te ondernemen en tech-bedrijven via hoge schadevergoedingen tot verantwoording te roepen. Ik zal dit aan hand van enkele concrete aanhangige acties in Nederland illustreren.
Schendingen van de privacy
Om met het meest in het oog springende voorbeeld te beginnen, namelijk privacy. Het alles doordringende onderwerp dat in de huidige maatschappij met een hoge mate aan digitalisering niet meer weg te denken is. Dat blijkt bijvoorbeeld uit de cijfers van de meldingen van datalekken die bij de Autoriteit Persoonsgegevens (AP) als de toezichthouder zijn gedaan; vanaf 2019 met een recordaantal van bijna 27.000 (!) meldingen worden er per jaar gemiddeld 24.000 datalekken gemeld. Daarnaast is de AP bezig met andere inbreuken op de privacy, hetzij naar aanleiding van klachten die bij haar zijn ingediend (met in 2019 bijna 28.000 en in 2022 ruim 13.000), hetzij in verband met eigen onderzoek dan wel handhaving (met 41 onderzoeken en 13 opgelegde boetes in 2022).
Dit overzicht laat onmiddellijk zien dat het bestuursrechtelijke traject tegen zijn grenzen aanloopt en bovendien slechts tot boetes voor overtreders kan leiden. Voor (vooral immateriële) schadevergoeding moet men zich individueel tot de rechter wenden die incidenteel een forfaitaire schadevergoeding heeft toegekend. Daarbij valt op dat dit vooral in het bestuursrecht gebeurt, dus bij conflicten met de overheid (voor een analyse zie mijn bijdrage in TvIR 2023 nr. 6 (2)).
Met de komst van het nieuwe massa-claim regime (de zogenaamde WAMCA) is hier een verandering in gekomen nu het mogelijk is om individuele vorderingen tot schadevergoeding te bundelen. Het idee is simpel: een overtreding van de privacyregels veroorzaakt individueel een kleine schade die echter bij elkaar opgeteld, namelijk als gevolg van de multiplier van honderdduizenden zo niet miljoenen gedupeerden van dezelfde handelswijze of gebeurtenis, letterlijk tot miljardenclaims leidt. Een greep uit de aanhangige massa-claims laat zien dat het daarbij om uiteenlopende schendingen van privacyregels gaat die vrijwel allemaal met de tech-sector of IT-gerelateerde issues te maken hebben.
Oracle & Salesforce (aug 20): deze eerste grote WAMCA zaak ziet op real-time bidding en privacy-rechtelijke bezwaren in dat verband (waaronder cookie sycing). In december 2021 werd deze claim echter in de formele fase afgewezen omdat 75.000 likes niet voldoende zijn om de representativiteit van de claimstichting aan te tonen. Deze zaak is in maart 2023 opnieuw gestart.
TikTok (juni 21): deze collectieve actie wordt door liefst drie verschillende concurrerende claimstichtingen gevoerd die bedragen tussen EUR 1,4 en 5,4 miljard aan schadevergoeding vorderen wegens verschillende inbreuken op de AVG. Dit is ook de eerste grote WAMCA zaak waarin een zogenaamde Exclusieve Belangenbehartiger is benoemd die de collectieve actie namens alle gedupeerde voert (althans twee, namelijk een voor de gedupeerde minderjarigen en een voor de meerderjarigen).
GGD datalek (maart 23): deze zaak ziet op persoonsgegevens die in het kader van coronatesten bij verschillende GGD’s zijn verzameld en door onzorgvuldige afscherming in de IT-systemen met derden zijn gedeeld. In totaal gaat het over een bedrag van EUR 3,5 miljard aan schadevergoeding.
Google (sept 23): deze actie ziet op verschillende schendingen van de privacy en consumentenrecht als gevolg van het gebruik van diensten en producten van Google. Inmiddels heeft zich een tweede claimstichting gemeld die ook een massa-claim gaat starten.
X/Twitter (sept 23): deze zaak ziet op zogenaamde trackers in verschillende mobiele apps van derden die gratis te downloaden zijn waarmee vervolgens persoonsgegevens worden verzameld en met derden worden gedeeld.
Amazon (okt 23): deze collectieve actie betreft het advertising business van Amazon, dus het verwerken van persoonsgegevens via cookies als onderdeel van haar diensten. Er wordt mede een beroep gedaan op een boete van EUR 746 miljoen die door de toezichthouder in Luxembourg is opgelegd.
Meta (nov 23): deze zaak ziet op het gebruik van persoonsgegevens op Facebook, althans het creëren van profielen voor targeted advertising en de doorgifte van gegevens naar de VS. Ook hier wordt een beroep gedaan op eerdere boetebesluiten, namelijk van de Ierse toezichthouder met boetes van EUR 210 miljoen voor onrechtmatige verwerking en EUR 1.2 miljard voor onrechtmatige doorgifte. In totaal wordt een schadevergoeding van EUR 12.8 miljard gevorderd.
Adobe (dec 23): de meest recente collectieve actie betreft de verwerking van persoonsgegevens door de AdTech industrie, in concreto door Adobe die persoonsgegevens heeft verzameld en tot profielen heeft verwerkt die vervolgens aan derden zijn aangeboden.
Al deze zaken bevinden zich nog in de formele fase waarin de ontvankelijkheid van de stichtingen wordt getoetst die de collectieve vorderingen namens hun achterban instellen. Naast de vraag of het nieuwe regime van toepassing is (met als peildatum 15 november 2016), werd in een spraakmakend tussenvonnis in de TikTok zaak geoordeeld dat dat de immateriële schade van de gedupeerden niet kan worden gebundeld. De reden hiervoor was dat (in ieder geval in deze zaak) niet is aangetoond dat alle gedupeerden dezelfde schade hebben geleden omdat, kort gezegd, iedereen de gestelde overtredingen van de privacy anders ervaart. Daarmee lijken vooralsnog de vorderingen tot vergoeding van immateriële schade (berekend als forfaitair bedrag per gedupeerde) op losse schroeven te komen te staan, maar is het laatste woord in deze kwestie nog lang niet gezegd gezien hoger beroep en mogelijk andersluidende beslissingen van andere rechtbanken.
Mededingingsrechtelijke overtredingen
Daarnaast krijgt ook het civielrechtelijke sluitstuk van mededingingsrechtelijke overtredingen weer een nieuwe impuls. Het gaat daarbij vooral om zogenaamde follow-on acties in het mededingingsrecht, dus de civielrechtelijke schadevergoedingsacties na de publiekrechtelijke handhaving, zoals een boete besluit. Het is een belangrijk onderdeel van Europese wetgeving om de private enforcement te stimuleren en daarmee de naleving van het mededingingsrecht te bevorderen. Dit heeft in Nederland tot enkele grote rechtszaken geleid (waaronder schadevergoedingsacties inzake het air-cargo, lift en trucks kartel). Deze zaken spelen tussen de producenten (de karteldeelnemers) en hun professionele klanten die te veel hebben betaald voor bepaalde goederen of diensten, en dus in de B2B sfeer.
De WAMCA biedt ook hier een nieuwe mogelijkheid om schade verhalen. Ditmaal door consumenten die, als eindgebruikers/afnemers, uiteindelijk te veel hebben betaald mits de meerprijs ook aan hen is door berekent (waarvoor een wettelijk bewijsvermoeden bestaat). Waar men in de kartelzaken dusver op basis van een cessie of met meerdere eisers heeft moeten procederen, kan dit nu namens alle gedupeerden tenzij deze ervoor hebben gekozen niet mee te willen doen (de opt-out). Dit maakt het eenvoudiger om namens een omvangrijke groep consumenten een schadevergoedingsactie te initiëren. Daarnaast maakt de WAMCA het mogelijk om een collectieve schadevergoeding te vorderen die in principe ziet op de hele schade als gevolg van een mededingingsrechtelijk inbreuk.
Ook hier laten de aanhangige massa-claims zien dat het om verschillende schendingen van het mededingingsrecht gaat, met als hoofdcategorieën kartelzaken en misbruik machtspositie (art. 101 respectievelijk art. 102 Verdrag betreffende de Werking van de Europese Unie), en dat de pijlen vaak op de tech-sector worden gericht.
Apple (okt 21): deze actie ziet op de app store en de daarbij in rekening gebrachte commissie voor het aanbieden van apps en in-app aankopen, evenals verschillende andere vormen van misbruik van machtspositie. Eind 2023 zijn er prejudiciële vragen gesteld over de relatieve bevoegdheid van de Nederlandse rechter.
Google (okt 22): deze actie ziet op de app store van Google met soortgelijke mededingingsrechtelijke verwijten. In december 2023 is geoordeeld dat de WAMCA van toepassing is ook al bestonden de verweten handelingen al lang voor de peildatum van 15 november 2016.
Samsung (dec 23): deze zaak is de eerste follow-on procedure onder de WAMCA en ziet op het kartel ten aanzien van TV’s in de periode 2013 t/m 2018 dat op 14 september 2021 door de ACM is beboet (met bevestiging van dit sanctiebesluit op 13 november 2023).
Moet ik als (tech)bedrijf nu bang zijn voor deze ontwikkeling? Niet per se, want uiteindelijk gaat het om de naleving van wet- en regelgeving die ook zonder massa-claims vereist is. Anders gezegd: er bestaat alleen een risico als een bepaalde gedraging niet door de beugel kan.
Alleen wordt dit risico aanzienlijk hoger omdat de potentiële (financiële) exposure veel groter is omdat er geen sprake is van een individuele klager, maar een collectief dat vorderingen in kan stellen die samenhangen met dezelfde feiten en gebeurtenissen (mits deze bundelbaar zijn). Daar komt bij dat sommige claims ook eerder zullen worden ingesteld omdat er externe financiering is die een zaak mogelijk maakt en volgens critici dé drijfveer is achter de toename van collectieve acties waarin vaak torenhoge schadevergoedingen worden gevorderd. Aan de andere kant kunnen bepaalde claims anders niet worden ingesteld, bijvoorbeeld omdat een individuele procedure gezien de complexiteit en het gevorderde schadebedrag niet haalbaar is (vandaar ook de soms gebruikte aanduiding als ‘strooischade’).
Wat ook zij van deze discussie; massa-claims zijn inmiddels een gegeven in Nederland en zullen ook daarbuiten als gevolg van de Richtlijn representatieve vorderingen consumenten (die in juni 2023 in werking is getreden) tot vergelijkbare acties leiden. Daarbij is ook een trend waar te nemen van dezelfde collectieve acties die in verschillende landen worden ingesteld. Tech-bedrijven zijn – gezien hun global reach, uniform business model en enorme omzetten – een zeer waarschijnlijk doelwit waarbij telkens vraagstukken aan de orde zullen komen die horen bij de realiteit van onze digitale economie.
(1) https://www.rechtspraak.nl/Registers/centraal-register-voor-collectieve-vorderingen
(2) https://kvdl.com/artikelen/het-recht-op-schadevergoeding-bij-immateri%C3%ABle-schade-onder-de-avg
