Tracking cookies mogen alleen worden geplaatst als daar toestemming voor is gegeven. Alleen is dat lang niet altijd het geval. Volgens onderzoek van Microsoft zelf blijken cookies namelijk ook geplaats te worden als gebruikers weigeren toestemming te verlenen. In dit blog gaat Menno Weij, juridisch expert privacy en technologie bij BDO Nederland, in op een recente uitspraak in kort geding tegen Microsoft.
Recent heeft “Goliath” Microsoft in kort geding een tik op de vingers gekregen van de Amsterdamse voorzieningenrechter in verband met het plaatsen van tracking cookies zonder toestemming bij een anonieme eiser (“David”). De anonieme eiser maakt de zaak aanhangig tegen 6 partijen, die allemaal onderdeel uitmaken van het grote Microsoft concern: Microsoft VS, Microsoft Ierland, Microsoft Nederland, LinkedIn Ierland, LinkedIn Nederland en Xandr VS. Net als eerder in de Criteo zaak, wordt de anonieme eiser bijgestaan door advocatenkantoor AKD.
Saillant: in een ander, recent kort geding in Breda van een anonieme eiser die met behulp van AKD óók tegen Criteo strijdt heeft laatstgenoemde vermoedens geuit dat de eiser “in deze procedure slechts als stroman fungeert en dat het initiatief voor deze procedure uitgaat van en gefinancierd wordt door een andere, vooralsnog onbekende partij met onbekende belangen.” Criteo vordert daarom inzage in, onder meer, de afspraken die deze anonieme eiser met derden zou hebben gemaakt. De voorzieningenrechter vindt het “onvoldoende bepaald” en wijst de vordering van Criteo af. Ook interessant om nog te vermelden: ook de vorderingen van eiser inzake de tracking cookies worden door de voorzieningenrechter afgewezen in deze Bredase kwestie.
Goed, terug naar de zaak tegen Microsoft. De strijd begint met onbevoegdheidsverweren zijdens Microsoft. De verweren van Microsoft zien, onder meer, op het ontbreken van een schadevordering. De voorzieningenrechter wijst het verweer als volgt af:
“Anders dan gedaagden hebben betoogd valt uit de wetsgeschiedenis en jurisprudentie niet af te leiden dat bevoegdheid op grond van het ‘Erfolgsort’ alleen aan de orde is als een vordering tot schadevergoeding wordt ingediend. Al uit het feit dat de bevoegdheidsgrond ook geldt wanneer het schadebrengende feit zich in het Erfolgsort “kan voordoen” volgt dat deze grond niet beperkt is tot schadevergoedingsvorderingen. Bovendien zou de interpretatie van Microsoft c.s. het ongerijmde gevolg hebben dat een vordering tot staken van onrechtmatig handelen, of tot het vragen van een oordeel of daarvan sprake is, niet aan dezelfde rechter zou kunnen worden voorgelegd als de vordering tot voldoening van de daaruit voortvloeiende schade. Dat staat onder meer haaks op een arrest van het Hof van Justitie EU van 25 oktober 2012, zoals [eiser] terecht heeft aangevoerd.”
Ook in deze zaak hint Microsoft op een groter, achterliggend belang, en probeert daarmee het spoedeisend belang van de anonieme eiser te ondermijnen. Volgens Microsoft, is het de eiser ‘ mogelijk te doen om een breder dan alleen zijn eigen belang’, omdat eiser ‘ten strijde trekt tegen Tracking cookies en het zogenoemde real Time Bidding systeem als zodanig’. De eiser streeft daarmee volgens Microsoft ‘een ‘activistisch doel na. Maar volgens de voorzieningenrechter “ neemt [dit] niet weg dat hij een individueel belang heeft bij het respecteren van zijn privacy rechten.” Een geschil daarover kan hij dan ook ter toetsing aan de rechter voorleggen.
Eiser leunt op een deskundigenrapport van het Engelse bedrijf Collective Shift. Hierin staat dat 27 van de 30 door de eiser bezochte websites cookies hebben geplaatst en/of uitgelezen zonder toestemming, en zelfs 24 van die sites ook nog na zijn expliciete weigering. Volgens eigen onderzoek van Microsoft liggen de aantallen substantieel lager. (Het rapport van eiser wordt door Microsoft overigens als “broddelwerk” gekwalificeerd, zo blijkt uit het vonnis.)
Volgens de voorzieningenrechter worden met het enkele plaatsen van een tracking cookie al persoonsgegevens verwerkt, ook als de cookies niet worden uitgelezen.
Vervolgens rijst de vraag of Microsoft als verwerkingsverantwoordelijke kan worden gezien. De voorzieningenrechter meent van wel, omdat Microsoft “de tracking cookies [hebben] ontwikkeld en kunnen deze al dan niet beschikbaar stellen aan de websitebeheerders, met wie zij afspraken maken over onder meer de privacyregels. Zij zijn dus de (rechts-)personen die invloed uitoefenen op de betreffende verwerking van de persoonsgegevens en dus deelnemen aan de vaststelling en het doel en de middelen voor deze verwerking.”
Dit geldt echter niet voor Microsoft Nederland en LinkedIn Nederland, omdat zij hier volgens Microsoft geen enkele rol in spelen. De voorzieningenrechter gaat hierin mee, wijst alle vorderingen tegen deze twee entiteiten af.
Omdat Microsoft zelf ook erkent dat enkele tracking cookies zonder toestemming is geplaatst, is de rechter op dit punt snel klaar. Vervolgens rijst de vraag op wie de verplichting rust om toestemming te verkrijgen. De voorzieningenrechter oordeelt dat Microsoft zich hier niet achter haar partners kan verschuilen:
“De betrokken gedaagden kunnen zich voor het verkrijgen van toestemming niet verschuilen achter hun partners. Zij hebben het verkrijgen van toestemming contractueel uitbesteed aan haar partners en dat mag. Dat betekent dat áls de partner informatie verstrekt over en toestemming verkrijgt voor het plaatsen van cookies, gedaagden dat niet óók hoeven te doen. De betrokken gedaagden blijven als verwerkingsverantwoordelijken echter (ook) zelf verantwoordelijk voor het bewerkstelligen van het verkrijgen van toestemming op rechtsgeldige en rechtmatige wijze voor het plaatsen en uitlezen van de tracking cookies en zij kunnen daar op grond van artikel 26 lid 3 AVG ook op worden aangesproken, ongeacht wat er in het contract met haar partners staat.”
Tenslotte wordt overwogen dat Microsoft niet genoeg heeft gedaan om aan haar verplichtingen te voldoen. De voorzieningenrechter redeneert daartoe als volgt. Als Microsoft aan haar contractpartners tools ter beschikking stelt ‘waardoor het onmogelijk wordt de tracking cookies zonder toestemming te plaatsen en ervoor zorg draagt dat dit ook daadwerkelijk leidt tot een overeenkomstige praktijk’, zal van onrechtmatig handelen geen sprake zijn.
Maar dit is niet het geval volgens de voorzieningenrechter. Dus: “gedaagden kunnen zich er dan ook niet op beroepen dat zij al het noodzakelijke, althans alles wat van hen kan worden gevergd, hebben gedaan om plaatsing van tracking cookies op devices van [eiser] zonder zijn toestemming te voorkomen. Dat dit technisch onmogelijk zou zijn is voorshands evenmin aannemelijk geworden”.
Op inhoud is hier weinig nieuws onder de zon. Er worden tracking cookies zonder toestemming geplaatst, en zelfs ook na weigering. Uit het vonnis volgt dat Microsoft dit zelf ook wel erkent. De proceslijn van Microsoft lijkt er meer op gericht om de zaak klein te houden, en daarmee het belang te ondermijnen. Tevergeefs. Dus wint anonieme eiser “David” hier terecht van “Goliath” Microsoft.
Mark Jansen merkt in zijn blog nog het volgende mogelijke probleem op over de uitvoerbaarheid van het vonnis:
“Een zeker zo interessante vraag is of de veroordeling feitelijk wel na te komen is. Het vonnis verbiedt namelijk "het zonder diens toestemming (doen) plaatsen dan wel uitlezen van tracking cookies of andere cookies waarvoor toestemming vereist is op de computer en/of apparaten van [eiser]", maar noch het vonnis, noch het dictum maakt duidelijk hoe de computer en/of apparaten van eiser herkend zouden moeten worden. Dat roept de vraag op hoe aan de veroordeling te voldoen. Moet de man nu identificerende gegevens kenbaar gaan maken aan de gedaagden (zodat hij, paradoxaal genoeg, getracked kan worden om niet getracked te worden)? Of strekt het vonnis in feite tot het algeheel te stoppen met de tracking cookies? En zo ja, is dat laatste dan proportioneel? “
Ik zie dit probleem zelf niet. In het eerdere Amsterdamse vonnis tegen Criteo is dit ook niet gespecificeerd, en ik heb niets vernomen over problemen bij de executie van dit vonnis.
Plus: bij geen toestemming mogen de tracking cookies überhaupt niet geplaatst worden. Ik zie niet in waarom je jezelf dan zou moeten identificeren. Ik weet dat ons vakgebied niet altijd zwart/wit is, maar dat lijkt me op dit punt dus wel het geval.
