Uitspraken

In eerste aanleg vorderde [geïntimeerde], kort samengevat, een gebod aan Criteo om het plaatsen van tracking cookies op zijn computer en apparaten te staken en diverse geboden die zien op informatieverstrekking en -verwijdering. De voorzieningenrechter heeft de vorderingen vrijwel geheel toegewezen. Criteo komt daartegen met vier ongenummerde en acht genummerde grieven op.

Grieven 1-3 zien op het gebod tot het staken van de plaatsing van tracking cookies. Grieven 4 en 5 zien op de informatieverstrekking. Grief 6 behandelt het spoedeisend belang, grief 7 de belangenafweging en grief 8 de positie van Criteo BV.

Grief 6 ziet op het spoedeisend belang en dient dus als eerste besproken te worden. De grief faalt, omdat de spoedeisendheid voortvloeit uit de aard van dit deel van de vordering. De vordering ziet immers op het beëindigen van onrechtmatige gedragingen, namelijk het plaatsen van tracking cookies zonder dat daarvoor toestemming is verleend. Dat levert aantasting van een grondrecht van [geïntimeerde] op. Criteo negeert met haar stellingen artikel 1 alsmede de eerste considerans van de AVG, waaruit blijkt dat de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens een grondrecht is en dat krachtens art. 8 lid 1 van het Handvest en art. 16 lid 1 VWEU eenieder recht heeft op bescherming van zijn persoonsgegevens. Uit Criteo’s eigen stellingen vloeit verder voort dat het voortduren en/of herhalen van deze of een vergelijkbare onrechtmatige daad concreet te vrezen valt.

Voor zover Criteo niet alleen het spoedeisend belang maar tevens elk belang betwist omdat een eind is gemaakt aan de onrechtmatige daad van de aanvankelijk genoemde vier websites miskent zij, dat de omstandigheid dat een bepaalde onrechtmatige daad is beëindigd niet het belang wegneemt bij een vordering die ertoe strekt dat een nieuwe onrechtmatige daad, voortvloeiend uit dezelfde werkwijze van Criteo, achterwege blijft. Anders dan Criteo leest het hof in de vordering van [geïntimeerde] geen wens tot het verbieden van tracking cookies in het algemeen en/of het algeheel verbieden van het fenomeen targeted advertising. De vorderingen zien onmiskenbaar op het zonder de vereiste toestemming van [geïntimeerde] plaatsen van tracking cookies. Of/dat ook anderen gebaat zijn bij een beslissing in deze zaak doet voor het vereiste belang niet ter zake, evenmin als de eventuele financiering van deze procedure door derden.

Tussen partijen staat vast dat tracking cookies, met/bestaande uit een uid die is gekoppeld aan [geïntimeerde], door websites die worden beheerd door partners van Criteo zijn geplaatst zonder dat [geïntimeerde] daartoe toestemming had gegeven. Het gaat daarbij enerzijds om gevallen waar het plaatsen vooraf gaat aan de cookie-banner, dus gevallen waarin nog geen toestemming is gegeven, en anderzijds om gevallen waar die toestemming expliciet was geweigerd. Op zichzelf staat tussen partijen ook vast dat dit in strijd is met de AVG als het gaat om persoonsgegevens. Anders dan Criteo meent doet niet ter zake hoe vaak dat precies is voorgevallen en evenmin of het gaat om de vier websites die [geïntimeerde] aanvankelijk heeft genoemd (zie 3.5), om de 39 websites die hij daarna heeft genoemd of om nog andere websites. Het gaat erom dat in strijd met de AVG en dus jegens [geïntimeerde] onrechtmatig is gehandeld en dat een grote kans bestaat op herhaling, nu deze schending rechtstreeks verband houdt met de wijze waarop Criteo haar bedrijf heeft ingericht.

Het verweer van Criteo dat van het delen van persoonsgegevens niet is gebleken is onvoldoende onderbouwd tegenover de toegelichte stellingen van [geïntimeerde] die met stukken, met name screen-prints en rapporten van [naam], zijn onderbouwd. Voor zover Criteo bezwaar heeft tegen het gebruik van de door [geïntimeerde] overgelegde rapporten van [naam], omdat die niet kunnen strekken tot bewijs en voor bewijslevering in kort geding geen ruimte is, miskent zij de wijze waarop partijen in kort geding hun stellingen dienen te onderbouwen en het daarop te baseren aannemelijkheidsoordeel van de rechter. Het hof licht dit toe.

De kern van het standpunt van Criteo is, dat zij niet verantwoordelijk kan worden gehouden voor die onrechtmatige daad van haar partners, dat zij gepaste maatregelen heeft genomen om die te voorkomen dan wel te beëindigen en dat het voor haar niet mogelijk is om daar in alle gevallen een einde aan te maken. [geïntimeerde] zelf kan dat volgens Criteo echter wel. Hij kan zijn browserinstellingen zo configureren dat tracking cookies integraal worden geweigerd en hij kan gebruik maken van een opt-out cookie waarmee specifiek de cookies van Criteo worden geweigerd.

Om met dat laatste te beginnen - ook als het juist is dat [geïntimeerde] nieuw te plaatsen tracking cookies op de aangegeven wijze kan tegenhouden hoeft hij dat niet te doen. De Uniewetgever heeft immers gekozen voor een opt-in en niet voor een opt-out systeem. Dat is logisch, nu het hier in de kern gaat om de vraag of marktpartijen om commerciële redenen inbreuk mogen maken op een grondrecht. Slechts in een geval waarin die weigering tot het nemen van maatregelen aan de zijde van de natuurlijke persoon volstrekt onredelijk zou zijn zouden daaraan consequenties verbonden kunnen worden. [geïntimeerde] heeft toegelicht dat hij die methodes niet wenst toe te passen, niet alleen om principiële maar ook om praktische redenen, bijvoorbeeld omdat hij die acties dan dagelijks moet herhalen. Dat volstaat in kort geding, en is zeker niet volstrekt onredelijk.

Het is niet verboden en evenmin onredelijk dat Criteo niet zelf aan [geïntimeerde] vraagt om toestemming, maar dat aan haar partners overlaat, nu zij degenen zijn die de websites exploiteren die door [geïntimeerde] worden bezocht. Het hof acht voldoende aannemelijk dat Criteo bij aanvang van de relatie met haar partners (onboarding) een overeenkomst sluit waarin is opgenomen dat die partners de AVG-regels zullen naleven, het verkrijgen van toestemming daaronder begrepen. Voorts is aannemelijk dat Criteo optreedt als zij erop gewezen wordt dat haar partners zich aan die verplichting niet houden en bij herhaald uitblijven van een (adequate) reactie de contractuele relatie beëindigt. Kennelijk heeft zij dat ook aan CNIL naar tevredenheid aangetoond, nadat zij de boete van € 40 miljoen had betaald. [geïntimeerde] heeft deze stellingen ook niet of nauwelijks betwist. Daarmee is voldoende aannemelijk dat Criteo iets doet om haar verplichtingen na te komen; daarmee is echter niet gezegd dat die inspanningen voldoende zijn.

Vast staat, dat Criteo en haar partner die een door [geïntimeerde] bezochte of te bezoeken website exploiteert zijn aan te merken als gezamenlijk verwerkingsverantwoordelijken in de zin van art. 26 AVG. Uit art. 26 lid 3 AVG vloeit voort dat het [geïntimeerde] vrij staat om (alleen) Criteo aan te spreken om zijn rechten uit hoofde van de AVG uit te oefenen.

Hoewel Criteo gelijk heeft waar zij stelt dat de rechter geen geboden, versterkt met een dwangsom, dient op te leggen als de adressant daaraan onmogelijk kan voldoen is die onmogelijkheid in dit geval onvoldoende aannemelijk gemaakt. De mogelijkheid tot het plaatsen van een tracking cookie -in de vorm van een regel Javascript- wordt immers, naar Criteo zelf heeft gesteld en toegelicht, door Criteo beschikbaar gesteld aan haar partners op een aangegeven plaats op het internet. Criteo heeft betoogd dat, als de tracking cookie eenmaal door haar partner is gekoppeld aan [geïntimeerde] (op de websites van die partner), Criteo daaraan niets meer kan doen. Niet toegelicht is echter dat -of waarom- het onmogelijk is om de mogelijkheid tot het plaatsen van een tracking cookie slechts beschikbaar te stellen aan partners die feitelijk kunnen aantonen dat zij over de vereiste toestemming beschikken voordat zij tracking cookies plaatsen. Dat dit een afwijking zou inhouden van Criteo’s gebruikelijke werkwijze en mogelijk onhandig of bezwaarlijk is is zeker denkbaar, maar dat valt niet gelijk te stellen aan onmogelijk. Op dit moment zijn dan ook niet zodanig evidente executieproblemen te verwachten dat van het gebod om die reden moet worden afgezien. Dat is niet anders nu dit arrest mogelijk in Frankrijk tenuitvoergelegd moet worden, nu Frankrijk net als Nederland lid is van de Europese Unie, tenuitvoerlegging dus in beginsel zonder meer mogelijk is en Criteo geen nadere argumenten in dit verband heeft genoemd.

Een belangenafweging valt in het voordeel van [geïntimeerde] uit. Het is niet vereist dat [geïntimeerde] een financieel nadeel door de onrechtmatige verwerking van zijn persoonsgegevens aannemelijk maakt; de aard van het geschonden belang brengt mee dat daaraan grote waarde toekomt. De commerciële belangen van Criteo, die in staat moet worden geacht haar bedrijfsvoering zo in te richten dat zij aan de AVG voldoet, wegen minder zwaar. Dat Duitse gerechten, in het kader van een op wezenlijke punten afwijkende procedure, tot een andere afweging komen doet daaraan niet af.

Criteo heeft, met verwijzing naar haar bericht aan [geïntimeerde] van september 2023, gesteld dat binnen de groep waartoe zij behoort slechts Criteo SA als verwerkingsverantwoordelijke is aangewezen. [geïntimeerde] wijst erop dat Criteo BV de entiteit is die de overeenkomst met de partners sluit, maar dat is op zichzelf, in het systeem van de AVG, geen relevante omstandigheid. Het gaat om de entiteit die de gegevens verwerkt. Nu geen behoorlijke onderbouwing is gegeven van de status van Criteo BV als verwerkingsverantwoordelijke is de vordering jegens haar niet toewijsbaar, zodat grief 8 slaagt.

Het verzoek tot gegevensverstrekking ex artikel 15 en 17 AVG dateert van 8 augustus 2023, waarna Criteo op basis van art. 12 lid 3 AVG heeft aangegeven de reactietermijn met twee maanden te zullen verlengen. Dat wil zeggen dat ten tijde van het uitbrengen van de dagvaarding in eerste aanleg de termijn nog niet verlopen was. Op het door Criteo op 2 oktober 2023 gegeven antwoord op dat verzoek heeft [geïntimeerde] ter zitting van de voorzieningenrechter op 4 oktober 2023 gereageerd. Kennelijk hebben partijen dat antwoord als een definitief antwoord beschouwd, ongeveer een maand voor de uiterste datum. Dat antwoord, net als het verzoek, ziet dan op de oorspronkelijk genoemde vier websites. Tegen die achtergrond valt niet in te zien welk spoedeisend belang [geïntimeerde] in eerste aanleg bij zijn vordering op dat punt had. Bij gebreke van een spoedeisend belang op dat moment had de voorzieningenrechter aan een inhoudelijke behandeling niet kunnen toekomen. De verdere stellingen over en weer behoeven dus geen bespreking. Het hof is overigens, ten overvloede, voorshands van oordeel dat dit antwoord voldoende is, gelet op het arrest van het HvJEU van 12 januari 2023 (C154/21). Nu Criteo niet kan uitsluiten dat de gegevens met alle partijen uit haar partnerlijst kunnen worden gedeeld kon zij volstaan met die alle te noemen.