033 200 30 83
Microsoft moet stoppen met plaatsen tracking cookies
Rechtbank Amsterdam: zowel Microsoft als haar dochteronderneming Xandr (voor reclame en analyse) handelen onrechtmatig door trackingcookies te plaatsen op apparaten, zonder voorafgaand toestemming te vragen. In een kortgeding is daarmee voldoende grond om een specifiek gebod toe te wijzen tot het staken en gestaakt houden van het zonder toestemming op apparaten (doen) plaatsen en uitlezen van tracking cookies en andere cookies waarvoor toestemming vereist is.
Eisers zijn natuurlijke personen uit Nederland en hebben Microsoft en haar dochteronderneming Xandr gesommeerd om te stoppen met het plaatsen van trackingcookies op hun apparaten zonder voorafgaande toestemming.
Eisers stellen daartoe dat het plaatsen van cookies zonder voorafgaande toestemming in strijd zou zijn met de Telecommunicatiewet (Tw) en de Algemene verordening gegevensbescherming (AVG).
Microsoft biedt in dat kader advertentie- en analysetools aan, waaronder de Clarity-dienst en Microsoft Advertising, die cookies zoals MUID en MSPTC plaatsen op de apparaten van gebruikers.
Xandr faciliteert een digitale advertentiemarkt door advertentieruimte te verkopen aan adverteerders via haar platformen, waarbij gegevens over gebruikers worden verzameld en gedeeld om advertenties te optimaliseren en te personaliseren. Dit gebeurt ook middels het plaatsen van cookies die gebruikersgedrag volgen, wat door de eisers in deze zaak als onrechtmatig wordt beschouwd wegens het ontbreken van voorafgaande toestemming.
Eisers stellen dat Microsoft en Xandr via deze cookies persoonsgegevens van hen verzamelen, zonder toestemming, en verwijzen naar specifieke cookie-ID's die met hun onlinegedrag kunnen worden gelinkt (lees: gevolgd) op verschillende websites. Ondanks deze beweringen, stellen beide bedrijven gezamenlijk in hun reacties dat zij geen bewijs hebben gevonden van cookies die zonder toestemming zijn geplaatst en dat de eisers zelf cookies kunnen verwijderen.
In reactie op deze situatie heeft het bedrijf Collective Shift een onderzoek uitgevoerd naar het gebruik van cookies op de apparaten van de eisers. Dit onderzoek, gebaseerd op schermafbeeldingen en HTTP Archive-bestanden van hun bezoeken aan verschillende websites, heeft aangetoond dat Microsoft en Xandr regelmatig cookies plaatsten zonder toestemming. Hierbij werden er ook gegevens gedeeld met derden zonder expliciete toestemming van de eisers.
Al-met-al bleek volgens dit onderzoek dat het ging om een bezoek aan 136 websites, waarvan respectievelijk 129 websites zonder toestemming van eisers tracking cookies plaatsen op de apparaten van eisers.
De conclusie van het onderzoek ondersteunt de beweringen van de eisers dat er sprake is van onrechtmatige gegevensverwerking door beide bedrijven en de voorzieningenrechter acht het voldoende aannemelijk dat gedaagden zonder toestemming deze tracking cookies hebben geplaatst, en in de toekomst zullen plaatsen, op de apparaten van eisers.
Gedaagden beschrijven dat zij na de cookie call de tracking cookie ‘automatisch’ plaatsen en uitlezen en daarna pas controleren of toestemming is gegeven. Is de toestemming niet gegeven, dan zullen zij geen gebruik maken van de cookie(informatie). Deze werkwijze is volgens de voorzieningenrechter daarentegen niet in overeenstemming met de regels van de telecommunicatiewet en de Algemene Verordening Gegevensbescherming, die toestemming vereisen vóórdat de cookie wordt geplaatst. Ter zitting hebben gedaagden op een later moment nog aangegeven dat het ook technisch mogelijk is om deze cookies pas te plaatsen nadat toestemming is gegeven.
De conclusie van deze uitspraak is niet anders dan dat zowel Microsoft als Xandr onrechtmatig handelen jegens eisers door trackingcookies te plaatsen op de apparaten van eisers, zonder voorafgaand toestemming te vragen. In dit kortgeding is daarmee voldoende grond om een specifiek gebod toe te wijzen tot het staken en gestaakt houden van het zonder toestemming op apparaten van eisers (doen) plaatsen en uitlezen van tracking cookies en andere cookies waarvoor toestemming vereist is.
Tot slot nog de nabrander van de Amsterdamse rechter jegens gedaagden (1):
“Het is onbegrijpelijk dat gedaagden het belang van eisers blijven bagatelliseren door, evenals in vorige procedures over deze kwestie, te stellen dat eisers zelf maatregelen tegen de cookies kunnen nemen. Gedaagde miskennen daarmee dat de wetgever heeft gekozen voor een opt-in en niet voor een opt-out. Nog los van het feit dat eisers om – begrijpelijke – redenen bezwaar hebben tegen het voorstel van gedaagden om bijvoorbeeld integrale cookieblockers te installeren, zijn het gedaagden die het schenden van (grond)rechten dienen te staken en daartoe maatregelen dienen te nemen, niet eisers.”
Voetnoten:
(1) R.o. 4.33.
Bron: Rechtbank Amsterdam, ECLI:NL:RBAMS:2025:885 (Eisers tegen Microsoft en Xandr).