Uitspraak
vonnis
RECHTBANK ROTTERDAM
Team handel en haven
zaaknummer / rolnummer: C/10/677340 / HA ZA 24-317
Vonnis van 19 november 2025
in de zaak van
de rechtspersoon naar buitenlands recht
CRITEO SA,
gevestigd te Parijs, Frankrijk,
eiseres in conventie,
verweerster in reconventie,
advocaat mr. H.J. Pot te Amsterdam,
tegen
[persoon A],
wonende te [woonplaats] ,
gedaagde in conventie,
eiser in reconventie,
advocaat mr. M.H.L. Hemmer te Rotterdam.
Partijen zullen hierna Criteo en [persoon A] genoemd worden.
1.De procedure
1.1.
Het verloop van de procedure blijkt uit:
- de dagvaarding van 4 april 2024;
- de akte houdende overlegging producties van Criteo, met producties 1 tot en met 22;
- de conclusie van antwoord tevens eis in reconventie, met producties 1 tot en met 25;
- de conclusie van antwoord in reconventie, tevens repliek in conventie en vermeerdering van eis, met producties 23 tot en met 43;
- de conclusie van dupliek in conventie tevens conclusie van repliek in reconventie alsmede wijziging eis in reconventie, met producties 26 tot en met 42;
- de conclusie van dupliek in reconventie, met producties 44 en 45;
- de akte van [persoon A] naar aanleiding van producties 44 en 45 van Criteo;
- de akte van Criteo met producties 46-49;
- de akte van [persoon A] met producties 43-50;
- de mondelinge behandeling van 10 juli 2025;
- de spreekaantekeningen van Criteo;
- de spreekaantekeningen van [persoon A] .
1.2.
Bij een bericht van 25 september 2024 van de rechtbank zijn partijen erover geïnformeerd dat de eerder op 9 oktober 2024 bepaalde mondelinge behandeling geen doorgang zou vinden en zijn partijen nader geïnstrueerd met betrekking tot het processuele vervolg van de procedure. Partijen hebben doorgeprocedeerd tot en met conclusie van dupliek in reconventie. Bij brief van 6 februari 2025 van de rechtbank zijn partijen opgeroepen voor de nader op 10 juli 2025 bepaalde mondelinge behandeling.
1.3.
Ten slotte is vonnis bepaald.
2.De feiten
2.1.
[persoon A] is een Nederlandse natuurlijke persoon. Criteo is een rechtspersoon die deel uitmaakt van het Criteo-concern, een wereldwijd technologiebedrijf in de media- en entertainmentbranche, met hoofdkantoor in Parijs. Criteo is genoteerd aan de Amerikaanse beurs Nasdaq. Criteo houdt zich onder andere bezig met digitale marketing,
media advertisingen real time advertentie-veilingen. De verschillende technologieën die vraag naar online advertentieruimte van adverteerders en aanbod daarvan door website-eigenaren (publishers) bij elkaar brengen worden ook wel aangeduid met de term ‘AdTech’. Criteo is een belangrijke internationale speler in de AdTech-industrie.
media advertisingen real time advertentie-veilingen. De verschillende technologieën die vraag naar online advertentieruimte van adverteerders en aanbod daarvan door website-eigenaren (publishers) bij elkaar brengen worden ook wel aangeduid met de term ‘AdTech’. Criteo is een belangrijke internationale speler in de AdTech-industrie.
2.2.
Criteo plaatst, via websites van derden, zogeheten ‘tracking cookies’ (waaronder in ieder geval de zogenaamde ‘uid’ (unieke identificatie)-cookie) op computers en/of andere (mobiele) apparaten. Tracking cookies bevatten een uniek ID, een willekeurige lijst van karakters, die wordt toegewezen aan de browser van een websitebezoeker. Bij iedere website die een link heeft met Criteo en die met een geïdentificeerde browser wordt bezocht, wordt dezelfde tracking cookie uitgelezen. Doel is om surfgedrag, interesses en/of andere gegevens van internetgebruikers te verzamelen en te analyseren voor commerciële doeleinden.
2.3.
Criteo gebruikt de tracking cookies voor ‘targeted advertising’, het afstemmen van advertenties op de interesses van individuele gebruikers. Dat gebeurt door het herkennen van gebruikers als zij het internet bezoeken en het opstellen van gebruikersprofielen. Binnen een fractie van een seconde wordt door middel van het Real Time Bidding (RTB)-systeem een internetgebruiker herkend en een op de betreffende gebruiker afgestemde advertentie getoond. Tracking cookies spelen daarbij een essentiële rol. Real Time Bidding is een geautomatiseerd digitaal veilingsysteem waarbij advertentieruimte per individuele impressie (de weergave van een stuk digitale inhoud in de browser van een individuele gebruiker) door publishers aan adverteerders wordt verkocht in milliseconden, nog vóórdat een webpagina of app volledig is geladen.
2.4.
Criteo heeft zogenoemde ‘partners’. Daarmee worden ondernemingen bedoeld die ervoor kiezen de technologie van Criteo te integreren in hun websites. Criteo komt met haar partners overeen dat zij rechtsgeldige toestemming dienen te verkrijgen van gebruikers voordat zij via hun eigen websites Criteo-cookies doen plaatsen. Deze verplichting is vastgelegd in een overeenkomst, de Criteo Data Protection Agreement (CDPA).
2.5.
Op 15 juni 2023 heeft de
Commission Nationale de Informatique et des Libertés(CNIL), de Franse privacy-toezichthouder, een boete van € 40.000.000,-- opgelegd aan Criteo voor overtreding van verschillende bepalingen van de Algemene verordening gegevensbescherming (AVG). Volgens het persbericht van de CNIL was dit “
in particular for failing to verify that the persons from whom it processed data had given their consent”.
Commission Nationale de Informatique et des Libertés(CNIL), de Franse privacy-toezichthouder, een boete van € 40.000.000,-- opgelegd aan Criteo voor overtreding van verschillende bepalingen van de Algemene verordening gegevensbescherming (AVG). Volgens het persbericht van de CNIL was dit “
in particular for failing to verify that the persons from whom it processed data had given their consent”.
2.6.
[persoon A] , althans zijn advocaat, heeft Criteo in augustus 2023 aangeschreven en in september 2023 een kort geding aanhangig gemaakt tegen Criteo (en een Nederlandse dochter van Criteo, Criteo BV) voor de voorzieningenrechter van de rechtbank Amsterdam. In dat kort geding vorderde [persoon A] – kort gezegd – een gebod tot het staken van het (doen) plaatsen van cookies op zijn apparaten zonder zijn toestemming, alsmede inzage in verwerkte persoonsgegevens, verwijdering van verwerkte persoonsgegevens, en informatie over derde partijen die de persoonsgegevens zouden hebben ontvangen. Volgens [persoon A] handelt Criteo in strijd met de AVG en de Telecommunicatiewet (Tw) door cookies op zijn apparaten te (doen) plaatsen zonder dat hij daarvoor rechtsgeldige toestemming heeft gegeven. Het plaatsen van cookies zonder toestemming zou gebeuren bij het bezoeken van een aantal Criteo-partnerwebsites.
2.7.
In eerste aanleg heeft de voorzieningenrechter van de rechtbank Amsterdam bij vonnis van 18 oktober 2023 (ECLI:NL:RBAMS:2023:6530) de vorderingen van [persoon A] grotendeels toegewezen. Het gerechtshof Amsterdam heeft bij arrest van 5 december 2023 (ECLI:NL:GHAMS:2023:2971) het vonnis vernietigd en het volgende gebod uitgesproken:
“gebiedt Criteo SA het onrechtmatig handelen per ommegaande te (doen) staken en gestaakt te (doen) houden door niet langer, al dan niet via third-party websites, tracking cookies op de computer en/of apparaten van [persoon A] te (doen) plaatsen alvorens [persoon A] rechtsgeldige toestemming heeft gegeven voor het plaatsen van deze tracking cookies, op straffe van een dwangsom van € 250 per dag of dagdeel dat tracking cookies worden of blijven geplaatst na betekening van dit arrest, tot een maximum van € 25.000.”
Het arrest is aan dit vonnis gehecht en maakt onderdeel uit van de vaststelling van de feiten en omstandigheden in deze zaak.
2.8.
Bij vonnis van de voorzieningenrechter van de rechtbank Amsterdam van 22 april 2024 (ECLI:NL:RBAMS:2024:3095) is de door het gerechtshof Amsterdam opgelegde dwangsom verhoogd naar € 500 met een maximum van € 50.000.
3.Het geschil
in conventie
3.1.
Criteo vordert na eisvermeerdering dat de rechtbank, voor zover mogelijk bij uitvoerbaar bij voorraad te verklaren vonnis:
- het door het Gerechtshof Amsterdam bij arrest van 5 december 2023 aan Criteo opgelegde verbod opheft; en/althans
verstaat dat het door het Gerechtshof Amsterdam bij arrest van 5 december 2023 aan Criteo opgelegde verbod per de datum van het in dezen te wijzen vonnis komt te vervallen;
verstaat dat het door het Gerechtshof Amsterdam bij arrest van 5 december 2023 aan Criteo opgelegde verbod per de datum van het in dezen te wijzen vonnis komt te vervallen;
- [persoon A] beveelt de advocaten van Criteo afschrift te verschaffen van de (alle) overeenkomst(en) die [persoon A] met derden heeft gesloten aangaande het dragen van de kosten van deze procedure en/of ter afdekking van het aansprakelijkheidsrisico daarvan (voor schadevergoeding en/of proceskosten) en/of over de beslissingsbevoegdheid over het instellen van procedures en het voeren van verweer in lopende procedures;
- [persoon A] veroordeelt in de proceskosten.
3.2.
[persoon A] voert verweer en concludeert tot afwijzing van de vorderingen van Criteo, althans tot niet-ontvankelijkverklaring van Criteo daarin, en veroordeling van Criteo in de proceskosten bij uitvoerbaar bij voorraad te verklaren vonnis, te vermeerderen met de nakosten, een en ander te voldoen binnen veertien dagen na dagtekening van het in dezen te wijzen vonnis, en – voor het geval voldoening van de (na)kosten niet binnen de gestelde termijn plaatsvindt – te vermeerderen met de wettelijke rente over de (na)kosten vanaf bedoelde termijn voor voldoening.
3.3.
Op de stellingen van partijen wordt hierna, voor zover van belang, nader ingegaan.
in reconventie
3.4.
[persoon A] vordert na wijziging en verduidelijking van eis, voor zover mogelijk bij uitvoerbaar bij voorraad te verklaren vonnis:
“A. Verklaring voor recht
voor recht te verklaren dat:
- Criteo onrechtmatig heeft gehandeld jegens [persoon A] ;
- Criteo aansprakelijk is voor vergoeding van de door [persoon A] geleden en nog te lijden schade.
B. Vordering tot schadevergoeding
Criteo te veroordelen aan [persoon A] de immateriële schade te vergoeden die hij heeft geleden, door middel van betaling aan hem van een nader in goede justitie door de rechtbank vast te stellen schadevergoeding, te vermeerderen met de wettelijke rente vanaf de dag van de dagvaarding.
C. Bevelen / geboden
1. Criteo te bevelen om, binnen 1 maand na de betekening van het vonnis, maatregelen te nemen door (i) de overtredingen van de AVG en/of de Tw met en/of op basis van in het verleden verzamelde gegevens jegens [persoon A] te beëindigen, als ook (ii) alle persoonsgegevens van [persoon A] die in strijd met de AVG en/of de Tw zijn verwerkt te vernietigen en daarvan bewijs te verstrekken aan [persoon A] .
2. ( Primair)
Criteo te gebieden, na betekening van het vonnis, niet langer, al dan niet via third-party websites, Tracking Cookies op de computer en/of apparaten van [persoon A] te (doen) plaatsen dan wel vanaf daar uit te lezen en/of cookie-informatie aangaande [persoon A] uit te wisselen met derden zolang geen volledige informatie wordt verstrekt over de informatie waar Criteo en/of partners waar zij mee uitwisselt reeds over beschikken ten aanzien van [persoon A] en zolang de mogelijkheid tot het intrekken van toestemming niet op effectieve wijze wordt geboden.
(Subsidiair)
Criteo te gebieden niet langer, na betekening van het vonnis, al dan niet via third-party websites, Tracking Cookies op de computer en/of apparaten van [persoon A] te (doen) plaatsen dan wel vanaf daar uit te lezen en/of cookie-informatie aangaande [persoon A] uit te wisselen met derden indien op de websites via welke de cookies worden geplaatst of gelezen dan wel cookie-informatie wordt uitgewisseld, een cookiebanner wordt gehanteerd die het weigeren van cookies moeilijker maakt dan het accepteren daarvan, bijvoorbeeld doordat toestemming reeds is aangevinkt, door te verwijzen naar een pagina met ‘meer informatie’ (in plaats van een directe mogelijkheid tot wijzigen) of door het toepassen van (andere) dark patterns en in gevallen waarin een toestemmingssignaal niet wordt afgewacht of toestemming is geweigerd.
(Meer subsidiair)
Criteo te gebieden niet langer, al dan niet via third-party websites, Tracking Cookies op de computer en/of apparaten van [persoon A] te (doen) plaatsen dan wel vanaf daar uit te lezen en/of cookie-informatie aangaande [persoon A] uit te wisselen met derden alvorens [persoon A] door middel van een actieve handeling toestemming heeft gegeven voor het plaatsen en uitlezen van deze Tracking Cookies.
te bepalen dat de geboden en verboden sub 1 en 2 worden opgelegd onder verbeurte van een dwangsom van EUR 1.000,00 per overtreding dan wel – naar keuze van [persoon A] – EUR 5.000,- per dag (of een gedeelte daarvan) waarop Criteo in gebreke blijft aan deze veroordeling te voldoen en/of in strijd blijft handelen met het gebod/verbod, tot een maximum van EUR 500.000,--, althans een door de rechtbank in goede justitie te bepalen dwangsom.
D. Inzagevordering
Criteo te veroordelen ex artikel 843a Rv tot verstrekking van afschrift van documentatie dan wel subsidiair inzage in documentatie (contracten, partnerlijsten, facturen, correspondentie) waaruit een volledig overzicht volgt van:
a. wie de Criteo-partners zijn met de bijbehorende partnerwebsites via welke cookies worden geplaatst danwel uitgelezen en onder welke commerciële voorwaarden dit is gebeurd;
b. wie de Criteo-partners zijn met wie Criteo door middel van Cookie-syncing cookie-informatie uitwisselt (door verstrekking van Cookie-ID’s van [persoon A] , dan wel door het ontvangen van Cookie-ID’s die door deze partners aan [persoon A] zijn toegekend) en onder welke commerciële voorwaarden dit is gebeurd;
c. welke Criteo-partners door Criteo zijn aangeschreven door Criteo naar aanleiding van audits en de partners met wie de samenwerking door Criteo is beëindigd vanwege het niet voldoen aan de contractuele compliance-eisen,
op straffe van een dwangsom van EUR 10.000,- per dag (of een gedeelte daarvan) waarop Criteo in gebreke blijft aan deze veroordeling te voldoen.
Met veroordeling van Criteo in de kosten van dit geding, te vermeerderen met de nakosten, een en ander te voldoen binnen veertien dagen na dagtekening van het te dezen te wijzen vonnis, en – voor het geval voldoening van de (na)kosten niet binnen de gestelde termijn plaatsvindt – te vermeerderen met de wettelijke rente over de (na)kosten te rekenen vanaf bedoelde termijn voor voldoening.”
3.5.
Criteo voert verweer en concludeert tot afwijzing van de vorderingen van [persoon A] , met veroordeling van [persoon A] in de proceskosten bij uitvoerbaar bij voorraad te verklaren vonnis.
3.6.
Op de stellingen van partijen wordt hierna, voor zover van belang, nader ingegaan.
4.De beoordeling
in conventie en in reconventie
Rechtsmacht en toepasselijk recht
4.1.
Hier is sprake van een internationale zaak, omdat Criteo buiten Nederland haar woonplaats heeft. De rechtbank moet daarom ambtshalve onderzoeken of zij internationaal bevoegd is en, zo ja, welk recht van toepassing is.
4.2.
Bevoegdheidsverweren zijn in deze zaak niet gevoerd, zodat de rechtbank zowel in conventie als in reconventie (onder meer) op grond van een stilzwijgende forumkeuze internationaal bevoegd is (artikel 26 Brussel I bis).
4.3.
Op de vorderingen in conventie is Nederlands recht van toepassing op grond van artikel 10:3 BW. De reconventionele vorderingen worden beheerst door Nederlands recht op grond van artikel 4 lid 1 Rome II.
Toepasselijke regelgeving
4.4.
De AVG luidt, aangehaald voor zover hier relevant:
Artikel 1 (Onderwerp en doelstellingen)
1. Bij deze verordening worden regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens.
2. Deze verordening beschermt de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens.
[…]
Artikel 4 (Definities)
Voor de toepassing van deze verordening wordt verstaan onder:
1. persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
2. „ verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
[…]
7. „ verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;
8. „ verwerker”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt;
[…]
Artikel 5 (Beginselen inzake verwerking van persoonsgegevens)
1. Persoonsgegevens moeten:
a. a) worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is (‚rechtmatigheid, behoorlijkheid en transparantie’);
[...]
f) door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (‚integriteit en vertrouwelijkheid’).
2. De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen (‚verantwoordingsplicht’).
Artikel 6 (Rechtmatigheid van de verwerking)
1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:
a. a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
[…]
Artikel 7 (Voorwaarden voor toestemming)
1. Wanneer de verwerking berust op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.
2. Indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft, wordt het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden. Wanneer een gedeelte van een dergelijke verklaring een inbreuk vormt op deze verordening, is dit gedeelte niet bindend.
3. De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet. Alvorens de betrokkene zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het intrekken van de toestemming is even eenvoudig als het geven ervan.
4. Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.
Artikel 26 (Gezamenlijke verwerkingsverantwoordelijken)
1. Wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken. Zij stellen op transparante wijze hun respectieve verantwoordelijkheden voor de nakoming van de verplichtingen uit hoofde van deze verordening vast, met name met betrekking tot de uitoefening van de rechten van de betrokkene en hun respectieve verplichtingen om de in de artikelen 13 en 14 bedoelde informatie te verstrekken, door middel van een onderlinge regeling, tenzij en voor zover de respectieve verantwoordelijkheden van de verwerkingsverantwoordelijken zijn vastgesteld bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de verwerkingsverantwoordelijken van toepassing is. In de regeling kan een contactpunt voor betrokkenen worden aangewezen.
2. Uit de in lid 1 bedoelde regeling blijkt duidelijk welke rol de gezamenlijke verwerkingsverantwoordelijken respectievelijk vervullen, en wat hun respectieve verhouding met de betrokkenen is. De wezenlijke inhoud van de regeling wordt aan de betrokkene beschikbaar gesteld.
3. Ongeacht de voorwaarden van de in lid 1 bedoelde regeling, kan de betrokkene zijn rechten uit hoofde van deze verordening met betrekking tot en jegens iedere verwerkingsverantwoordelijke uitoefenen.
Artikel 79 (Recht om een doeltreffende voorziening in rechte in te stellen tegen een verwerkingsverantwoordelijke of een verwerker)1. Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, waaronder het recht uit hoofde van artikel 77 een klacht in te dienen bij een toezichthoudende autoriteit, heeft elke betrokkene het recht een doeltreffende voorziening in rechte in te stellen indien hij van mening is dat zijn rechten uit hoofde van deze verordening geschonden zijn ten gevolge van een verwerking van zijn persoonsgegevens die niet aan deze verordening voldoet.
[…]
Artikel 82 (Recht op schadevergoeding en aansprakelijkheid)
1. Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.
[…]
4.5.
De Telecommunicatiewet (Tw) luidt, aangehaald voor zover hier relevant:
Artikel 11.7a Telecommunicatiewet (duidelijke volledige informatie overeenkomstig de AVG en toestemming)
1. Onverminderd de Algemene verordening gegevensbescherming is het via een elektronisch communicatienetwerk opslaan van of toegang verkrijgen tot informatie in de randapparatuur van een gebruiker, alleen toegestaan op voorwaarde dat de betrokken gebruiker:
a. is voorzien van duidelijke en volledige informatie overeenkomstig de Algemene verordening gegevensbescherming, in ieder geval over de doeleinden waarvoor deze informatie wordt gebruikt, en
b. daarvoor toestemming heeft verleend
[…]
4. Een handeling als bedoeld in het eerste lid, die tot doel heeft gegevens over het gebruik van verschillende diensten van de informatiemaatschappij door de gebruiker of de abonnee te verzamelen, combineren of analyseren zodat de betrokken gebruiker of abonnee anders behandeld kan worden, wordt vermoed een verwerking van persoonsgegevens te zijn.
[…]
voorts in conventie
Eisvermeerdering
4.6.
[persoon A] heeft geen bezwaar gemaakt tegen de eisvermeerdering. De rechtbank is van oordeel dat de eisvermeerdering ook geen strijd oplevert met de eisen van een goede procesorde. Daarom zal de rechtbank recht doen op de vermeerderde eis, zoals weergegeven onder 3.1 hierboven.
Vorderingen 1(a) en 1(b)
4.7.
Met deze vorderingen beoogt Criteo een eind te maken aan het door het gerechtshof Amsterdam bij het arrest van 5 december 2023 in kort geding aan haar opgelegde gebod, zoals weergegeven onder 2.7 hierboven.
4.8.
In de kortgedingprocedure heeft [persoon A] zich op het standpunt gesteld dat Criteo in strijd handelt met de AVG en de Tw door cookies op zijn apparaten te (doen) plaatsen zonder dat hij daarvoor rechtsgeldige toestemming heeft gegeven. Criteo, op haar beurt, heeft dat in de kortgedingprocedure betwist en betwist dat nog steeds in de onderhavige bodemprocedure.
Criteo legt aan vorderingen 1(a) en 1(b) ten grondslag dat zij haar verplichtingen onder de AVG en de Tw wél is nagekomen. Bovendien heeft [persoon A] volgens Criteo geen belang bij het gebod. Daarvoor heeft Criteo drie argumenten:
- [persoon A] bezoekt de niet-compliant websites niet werkelijk;
- [persoon A] kan Criteo-cookies eenvoudig uitschakelen voor alle partnerwebsites;
- [persoon A] kan Criteo-cookies eenvoudig uitschakelen voor alle partnerwebsites;
- Cookies zijn eenvoudig te blokkeren door de keuze van de browser en de browserinstellingen.
4.9.
[persoon A] heeft deze argumenten van Criteo weersproken.
4.10.
Ten aanzien van vordering 1(a) overweegt de rechtbank als volgt.
Dat Criteo slechts tracking cookies op de computer en/of apparaten van [persoon A] mag plaatsen nadat
de gebruikervan die computer en/of apparaten – in die zin begrijpt de rechtbank het gebod – daartoe rechtsgeldige toestemming heeft gegeven, vloeit eenvoudigweg voort uit de AVG en de Tw. Dat wordt door Criteo ook niet betwist. Evenmin wordt door Criteo betwist dat het in het verleden is voorgekomen dat zij zonder dat daartoe rechtsgeldige toestemming was gegeven tracking cookies heeft geplaatst. Door Criteo wordt zelfs gesteld dat het voor haar ook nu en in de voorzienbare toekomst in praktische zin onmogelijk is om dat te allen tijde te voorkomen. De visie van Criteo dat een gebod als door het hof Amsterdam uitgesproken niet op zijn plaats is met name omdat zij dit niet altijd kan voorkomen acht de rechtbank niet juist. De bescherming van natuurlijke personen bij verwerking van persoonsgegevens is een grondrecht als aangegeven in artikel 1 van de AVG. Krachtens artikel 8 lid 1 van het Handvest van de grondrechten van de Europese Unie en artikel 16 lid 1 van het Verdrag betreffende de werking van de Europese Unie heeft eenieder recht op bescherming van zijn persoonsgegevens. [persoon A] heeft uit de aard van dat recht voldoende belang om in rechte vorderingen in stellen die verband houden met een (gestelde) inbreuk op zijn grondrechten. Daar komt bij dat Criteo in deze kwestie heeft erkend dat zij in het verleden zonder voorafgaande toestemming persoonsgegevens heeft verwerkt.
de gebruikervan die computer en/of apparaten – in die zin begrijpt de rechtbank het gebod – daartoe rechtsgeldige toestemming heeft gegeven, vloeit eenvoudigweg voort uit de AVG en de Tw. Dat wordt door Criteo ook niet betwist. Evenmin wordt door Criteo betwist dat het in het verleden is voorgekomen dat zij zonder dat daartoe rechtsgeldige toestemming was gegeven tracking cookies heeft geplaatst. Door Criteo wordt zelfs gesteld dat het voor haar ook nu en in de voorzienbare toekomst in praktische zin onmogelijk is om dat te allen tijde te voorkomen. De visie van Criteo dat een gebod als door het hof Amsterdam uitgesproken niet op zijn plaats is met name omdat zij dit niet altijd kan voorkomen acht de rechtbank niet juist. De bescherming van natuurlijke personen bij verwerking van persoonsgegevens is een grondrecht als aangegeven in artikel 1 van de AVG. Krachtens artikel 8 lid 1 van het Handvest van de grondrechten van de Europese Unie en artikel 16 lid 1 van het Verdrag betreffende de werking van de Europese Unie heeft eenieder recht op bescherming van zijn persoonsgegevens. [persoon A] heeft uit de aard van dat recht voldoende belang om in rechte vorderingen in stellen die verband houden met een (gestelde) inbreuk op zijn grondrechten. Daar komt bij dat Criteo in deze kwestie heeft erkend dat zij in het verleden zonder voorafgaande toestemming persoonsgegevens heeft verwerkt.
4.11.
Criteo beroept zich er op dat zij voor het volledige correct naleven van de geldende regels mede afhankelijk is van het correct naleven door Criteo-partners van wat Criteo bindend met hen is overeengekomen. Criteo heeft geen directe invloed op de inrichting en correcte werking van de websites van haar partners. En er bestaat volgens Criteo altijd het risico van menselijke fouten.
Dit doet naar het oordeel van de rechtbank echter niet af aan de verantwoordelijkheid van Criteo als verwerkingsverantwoordelijke zoals die voortvloeit uit de AVG en de Tw. Die verantwoordelijkheid strekt zich ook uit tot taken die Criteo contractueel heeft toegedeeld aan zogenoemde Criteo-partners en verantwoordelijkheden die Criteo met hen deelt.
4.12.
Criteo heeft er op gewezen dat op zichzelf juist is dat zij in het verleden door de Franse toezichthouder is aangesproken op een onjuiste wijze van omgaan met haar verplichtingen uit de AVG. Dat heeft geleid tot oplegging van een boete van substantiële omvang. Criteo wijst er echter op dat zij sindsdien zodanige aanpassingen in bedrijfsvoering heeft doorgevoerd dat er thans geen geschil meer bestaat met de Franse toezichthouder. Criteo voert gemotiveerd aan zich binnen de technische en praktische mogelijkheden maximaal in te spannen om aan alle regelgeving te voldoen, maar wijst er op dat 100%- waterdichtheid niet haalbaar is vanwege de afhankelijkheid van derden en het risico van menselijke fouten.
4.12.1.
Meer concreet wijst Criteo (onder andere) op de volgende maatregelen die zij heeft genomen:
Criteo heeft de verplichting voor partners om toestemming te vragen op duidelijke wijze weergegeven in de CDPA;
Criteo plaatst op haar website en in documentatie tips en
best practicesom partners op weg te helpen bij het naleven van hun verplichtingen; ook in de contractuele informatie wordt hiernaar verwezen;
best practicesom partners op weg te helpen bij het naleven van hun verplichtingen; ook in de contractuele informatie wordt hiernaar verwezen;
Voordat Criteo een overeenkomst aangaat met een nieuwe partner, gaat een externe partij in opdracht van Criteo na of de partner voldoet aan de belangrijkste wettelijke vereisten;
Indien Criteo er op wordt gewezen dat een partner haar verplichtingen niet nakomt, controleert Criteo of dat inderdaad het geval is en neemt Criteo zo nodig passende maatregelen;
Criteo heeft er voor gezorgd dat de organisatie die de toestemming verzamelt bewijs levert van die toestemming;
Criteo biedt betrokkenen de mogelijkheid een verleende toestemming in te trekken en het verdere gebruik van Criteo-diensten daarmee te blokkeren; deze mogelijkheid is toegelicht op de website van Criteo;
Criteo heeft volgens de CNIL toereikende technische en organisatorische maatregelen getroffen om te voorkomen dat tracking cookies zonder toestemming worden geplaatst of gelezen.
4.13.
[persoon A] stelt hier – samengevat – het volgende tegenover.
Om er voor te zorgen dat door middel van de door artikel 26 AVG voorgeschreven onderlinge regeling volledige naleving van de AVG kan worden bewerkstelligd, is het uitvoeren van actieve controle één van de maatregelen die Criteo zou moeten nemen. Duidelijk is immers dat het enkel opleggen van contractuele verplichtingen en het uitvoeren van de andere maatregelen niet voldoende is (gebleken) om onrechtmatige plaatsing van tracking cookies te voorkomen. Dit is gebleken in het eerder door [persoon A] gevoerde kort geding, maar ook reeds door het boetebesluit van de CNIL. Zo heeft de CNIL geoordeeld dat Criteo geen maatregelen had genomen om er voor te zorgen dat alleen persoonsgegevens werden verwerkt na verkregen toestemming. Criteo had maatregelen moeten nemen in de vorm van actieve audits om naleving van de AVG en de Tw te bewerkstelligen. Bovendien heeft Criteo niet (voldoende) aangetoond dat de door haar opgesomde maatregelen daadwerkelijk worden genomen.
4.14.
Voorgaande overwegingen leiden tot de conclusie dat er geen reden is om het gebod op te heffen. Vastgesteld moet immers worden dat er geen ‘100%-waterdichtheid’ is en er nog steeds zonder toestemming tracking cookies worden geplaatst, zodat er recht en belang is bij (handhaving van) het gebod bedoeld onrechtmatig handelen te (doen) staken en gestaakt te (doen) houden.
4.15.
In het door het hof gegeven gebod is voor wat betreft het toestemmingsvereiste opgenomen dat die toestemming van [persoon A] dient te zijn. Artikel 6 van de AVG spreekt van toestemming van de betrokkenen (zijnde een natuurlijk persoon op wie de persoonsgegevens betrekking hebben), artikel 11.7a Tw spreekt over toestemming van de betrokken gebruiker (natuurlijk persoon of rechtspersoon die gebruik maakt van een openbare elektronische communicatiedienst). Vanwege de aard van de onderhavige handelingen van Criteo – het plaatsen van cookies op een computer/apparaat – moet naar het oordeel van de rechtbank het toestemmingsvereiste in het door het hof gegeven gebod zo worden begrepen dat dit niet specifiek ziet op [persoon A] maar op ‘de gebruiker’ van die computer/dat apparaat.
4.16.
Wat hiervoor is overwogen brengt mee dat de rechtbank zowel vordering tot opheffing van het door het gerechtshof Amsterdam opgelegde verbod (de rechtbank begrijpt: gebod), als de vordering dat de rechtbank verstaat dat dit komt te vervallen, afwijst.
Vordering 2
4.17.
Ten aanzien van vordering 2 overweegt de rechtbank als volgt.
4.18.
Criteo vordert [persoon A] te bevelen de advocaten van Criteo afschrift te verschaffen van alle overeenkomsten die [persoon A] met derden heeft gesloten aangaande het dragen van de kosten van deze procedure en/of ter afdekking van het aansprakelijkheidsrisico daarvan (voor schadevergoeding en/of proceskosten) en/of over de beslissingsbevoegdheid over het instellen van procedures en het voeren van verweer in lopende procedures. Criteo vermoedt dat [persoon A] slechts als stroman fungeert. Zij voert aan dat zij recht en belang heeft bij informatie over de identiteit van de daadwerkelijke initiatiefnemer en over de met deze gemaakte afspraken in het kader van het voeren van deze procedure, omdat zij ook vermoedt dat bedoelde achterliggende partij mogelijk onrechtmatig handelt jegens Criteo.
4.19.
De rechtbank wijst ook deze vordering af. Ter zitting is door [persoon A] en zijn advocaten kenbaar gemaakt dat het in deze procedure gaat om de persoonlijke belangen van [persoon A] , kort gezegd bestaande in het verschoond blijven van cookies waarvoor geen toestemming is verleend. De rechtbank dient uit te gaan van het bestaan van dit gestelde persoonlijke belang.
Vordering 3: proceskosten
4.20.
Als de in conventie in het ongelijk gestelde partij zal Criteo worden veroordeeld in de proceskosten in conventie. Deze kosten worden aan de zijde van [persoon A] tot aan deze uitspraak begroot op:
griffierecht € 320,00
salaris advocaat € 1.842,00 (drie punten in liquidatietarief II)
nakosten € 178,00 (met de verhoging als vermeld in de beslissing)
Totaal € 2.340,00.
4.21.
Tegen de over de proceskosten en nakosten gevorderde wettelijke rente is geen afzonderlijk verweer gevoerd. Deze zal worden toegewezen zoals vermeld in de beslissing.
voorts in reconventie
Eiswijziging
4.22.
Criteo heeft geen bezwaar gemaakt tegen de eiswijziging. De rechtbank is van oordeel dat de eiswijziging ook geen strijd oplevert met de eisen van een goede procesorde. Daarom zal de rechtbank recht doen op de gewijzigde eis, zoals weergegeven onder 3.4 hierboven.
Vordering A (verklaring voor recht)
4.23.
[persoon A] vordert een verklaring voor recht dat Criteo onrechtmatig heeft gehandeld jegens [persoon A] .
4.24.
Zoals [persoon A] terecht aanvoert, moet Criteo beschikken over een geldige grondslag voor de verwerking van persoonsgegevens en moet zij in dat kader maatregelen nemen om er voor te zorgen dat zij enkel persoonsgegevens verwerkt waarvoor geldige toestemming is verkregen. Volgens [persoon A] houdt Criteo zich daar niet aan. Daartoe voert hij (onder andere) de volgende omstandigheden aan:
Het komt voor dat cookies reeds geplaatst of gelezen worden voordat een websitebezoeker een button van een cookiebanner heeft aangeraakt;
Ook komt het voor dat een op een cookiebanner geplaatste cookieweigering wordt genegeerd;
Ook zijn er gevallen waarin de websitegebruiker weliswaar akkoord is gegaan met cookies maar het de vraag is of de daarmee verkregen toestemming wel een ‘geïnformeerde’, ‘vrije’ toestemming is;
Daarnaast komt het vaak voor dat de cookiebanner niet aan de daarvoor gestelde eisen voldoet. Dat komt dan bijvoorbeeld omdat toestemming met cookies niet even gemakkelijk kan worden geweigerd als gegeven.
4.25.
Tot haar verweer voert Criteo – samengevat – het volgende aan.
[persoon A] onderbouwt niet of onvoldoende dat de beweerdelijk bezochte websites niet voldoen. [persoon A] stelt dat hem is gebleken dat cookiebanners regelmatig niet werkten. Er wordt echter niet gesteld dat [persoon A] de betreffende websites heeft bezocht. Alle screenshots die in productie VE22 zijn opgenomen, bevatten in de balk bovenaan een map met favorieten getiteld “AKD Favourites”. Het heeft er dus alle schijn van dat de advocaat van [persoon A] zelf heeft gezocht naar websites die in strijd met de AVG zouden handelen. Criteo handelt niet reeds onrechtmatig jegens [persoon A] enkel omdat het zich kan voordoen dat bij het bezoek van een website van een derde Criteo-cookies worden
geplaatst c.q. persoonsgegevens worden verwerkt terwijl achteraf blijkt dat daarvoor geen toestemming is gegeven. Die onrechtmatigheid kan Criteo althans niet worden toegerekend. Of Criteo toerekenbaar onrechtmatig heeft gehandeld of niet, zal afhangen van alle omstandigheden van het geval. In het bijzonder is van belang welke technische en organisatorische maatregelen Criteo heeft getroffen om dit risico tegen te gaan en moet worden beoordeeld welke verplichtingen Criteo als gezamenlijk verantwoordelijke heeft.
4.26.
De rechtbank zal deze vordering toewijzen, in die zin dat voor recht zal worden verklaard dat Criteo onrechtmatig heeft gehandeld door zonder toestemming third party cookies te plaatsen op apparaten van [persoon A] . Dit is immers op zichzelf niet betwist door Criteo, daargelaten wat zij aanvoert over de mate waarin dit is gebeurd. Voor zover deze gevorderde verklaring voor recht een ruimere strekking heeft, heeft Criteo terecht aangevoerd dat deze onvoldoende is gespecificeerd.
4.27.
[persoon A] vordert een verklaring voor recht dat Criteo aansprakelijk is voor vergoeding van de door [persoon A] geleden en nog te lijden schade.
4.28.
[persoon A] stelt immateriële schade te hebben geleden. Het gaat daarbij uitsluitend om immateriële schade die het gevolg is van het verlies door [persoon A] van de controle over zijn persoonsgegevens. Volgens [persoon A] is Criteo voor de immateriële schade die hij heeft geleden aansprakelijk. Voor het vaststellen van de omvang van de schade als gevolg van het onrechtmatig handelen is volgens [persoon A] inzage nodig in de reikwijdte en de ernst van het onrechtmatig handelen. Volgens [persoon A] is evident dat de ernst van de inbreuk voldoende is om aantasting in de persoon aan te nemen en ligt zijn vordering tot schadevergoeding voor toewijzing gereed. Ter vergelijking voert [persoon A] aan dat in een Duitse bodemprocedure over cookieplaatsing zonder toestemming een schadevergoeding van € 1.500,-- is toegewezen. [persoon A] meent dat hem op basis van de op dit moment beschikbare informatie reeds minimaal eenzelfde bedrag aan immateriële schadevergoeding zou toekomen. Een volledige begroting van zijn schade zal naar zijn mening echter pas kunnen plaatsvinden als de omvang van de inbreuk zoals die ook in het verleden heeft plaatsgevonden duidelijker wordt. Daar kan pas een goed beeld van worden verkregen na toewijzing van zijn artikel 843a Rv-vordering, aldus [persoon A] .
4.29.
De rechtbank zal deze vordering afwijzen op de navolgende gronden.
4.29.1.
[persoon A] heeft in het licht van de betwisting door Criteo onvoldoende geconcretiseerd dat hij door onrechtmatig handelen of nalaten van Criteo en/of concrete inbreuken door Criteo op zijn privacy-rechten daadwerkelijk schade heeft geleden.
4.29.2.
De rechtbank begrijpt van [persoon A] dat hij gevoelens van onbehagen heeft vanwege schending van zijn privacy. Die privacy-schending is volgens [persoon A] een gevolg van het Real Time Bidding-systeem. Dat systeem als geheel werkt namelijk onrechtmatig, aldus [persoon A] , omdat hierdoor tracking cookies (kunnen) worden geplaatst zonder daarvoor correct verkregen toestemming. Dat rechtvaardigt volgens [persoon A] toekenning aan hem van een bedrag aan immateriële schadevergoeding ten laste van Criteo.
4.29.3.
Voor toekenning van schadevergoeding aan [persoon A] als individuele eiser ten laste van Criteo kan echter slechts sprake zijn als daarvoor een voldoende juridische en feitelijke grond aannemelijk is gemaakt. Dat is in deze procedure niet het geval.
4.29.4.
De AVG is rechtstreeks toepasselijk in Nederland (artikel 99 AVG en artikel 288 VWEU). Artikel 82 AVG bepaalt dat iedereen die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op de AVG, het recht heeft om van de verwerker schadevergoeding te ontvangen voor de geleden schade. Uit overweging 85 van de considerans van de AVG volgt dat daarbij onder meer kan worden gedacht aan: verlies van controle over persoonsgegevens, identiteitsdiefstal of -fraude, reputatieschade, of enig ander aanzienlijk economisch of maatschappelijk nadeel voor de persoon in kwestie. Overweging 146 licht toe dat het begrip „schade” ruim moet worden uitgelegd in het licht van de rechtspraak van het Hof van Justitie, op een wijze die ten volle recht doet aan de doelstellingen van deze verordening. Verder volgt uit die overweging dat de betrokkenen volledige en daadwerkelijke vergoeding van door hen geleden schade dienen te ontvangen. Uit de voornoemde wetsbepaling en de toelichting daarbij volgt dat het schadebegrip gemeenschapsautonoom dient te worden uitgelegd.
4.29.5.
[persoon A] heeft gesteld noch bewezen dat hij daadwerkelijke immateriële schade heeft geleden. [persoon A] stelt enkel dat hij een verlies van controle over zijn persoonsgegevens heeft ervaren. Dit verlies van controle zou [persoon A] hebben gestemd tot “grote zorg” en geleid hebben tot "narigheid" en een “unheimisch gevoel”. Deze abstracte en niet-onderbouwde gevoelens kwalificeren niet als daadwerkelijk geleden schade. Dergelijke gevoelens kunnen leiden tot schade maar dat moet wel nader en concreet gemotiveerd en onderbouwd worden. Aan dat vereiste is niet voldaan. [persoon A] heeft zelfs de mogelijkheid van schade als gevolg van onrechtmatig handelen of nalaten jegens hem door Criteo niet aannemelijk gemaakt, zodat ook niet is voldaan aan de ondergrens voor toewijzing van de vordering Criteo te veroordelen tot schadevergoeding op te maken bij staat.
Vordering B (schadevergoeding)
4.30.
Uit het voorgaande vloeit voort dat ook de vordering zal worden afgewezen om Criteo te veroordelen tot vergoeding van de immateriële schade die [persoon A] stelt te hebben geleden.
Vordering C (bevelen/geboden)
4.31.
[persoon A] vordert verder om Criteo te bevelen maatregelen te nemen om de overtredingen van de AVG en/of de Tw met en/of op basis van in het verleden verzamelde gegevens jegens [persoon A] te beëindigen, alsmede om alle persoonsgegevens van [persoon A] die in strijd met de AVG en/of de Telecommunicatiewet zijn verwerkt te vernietigen en daarvan bewijs te verstrekken aan [persoon A] .
De rechtbank zal die vordering afwijzen. Criteo heeft aangevoerd dat het voor haar niet mogelijk is om te bepalen welke eventuele persoonsgegevens [persoon A] betreffen. Dat zou slechts mogelijk zijn als [persoon A] zou opgeven welke concrete apparaten hij heeft gebruikt. Tracking cookies zijn, naar volgt uit de stellingen van Criteo, voor Criteo niet herleidbaar tot een individu maar slechts tot identificerende gegevens betreffende het apparaat waarmee de website is benaderd die tot plaatsing van de betreffende tracking cookie van Criteo heeft geleid. [persoon A] heeft die stelling niet weersproken. [persoon A] heeft zich niet bereid verklaard om de informatie te verschaffen die Criteo stelt in elk geval nodig te hebben om te kunnen bepalen welke eventuele persoonsgegevens [persoon A] betreffen. Dat brengt mee dat het voor Criteo in praktische zin niet mogelijk zou zijn om zelfs maar gedeeltelijk aan het gevorderde bevel te voldoen.
4.32.
[persoon A] vordert verder primair, subsidiair en meer subsidiair om Criteo te gebieden – tot de kern teruggebracht – geen tracking cookies op de apparaten van [persoon A] te doen plaatsen en gebruiken indien [persoon A] niet (naar aanleiding van tevoren op correcte wijze gevraagde toestemming) door middel van een actieve handeling zijn toestemming heeft gegeven.
Toewijsbaar is een aan Criteo op te leggen verbod om cookies te plaatsen op apparaten van [persoon A] zonder dat de gebruiker daarvan, naar aanleiding van op correcte wijze gevraagde toestemming, daarvoor door middel van een actieve handeling toestemming heeft gegeven. Dit vloeit immers voort uit de toepasselijke regelgeving, zoals hiervoor besproken. Voor zover de vorderingen een ruimere strekking hebben, zullen deze worden afgewezen.
4.33.
De dwangsomvordering van [persoon A] ten aanzien van het aan Criteo opgelegde/op te leggen gebod/verbod zal worden afgewezen. Er is geen grond is voor oplegging van – aanvullende – dwangsommen aan Criteo. Het belang van [persoon A] rechtvaardigt dat niet. Als een dwangsom wordt opgelegd, dient deze zinvol te kunnen zijn als een in de gegeven omstandigheden passende prikkel tot nakoming. Dat is hier op dit moment niet het geval. Van belang is dat Criteo gemotiveerd heeft aangevoerd dat zij inspanningen heeft geleverd en maatregelen heeft getroffen voor zover die mogelijk waren om onrechtmatige plaatsing van cookies te voorkomen, welke inspanningen en maatregelen [persoon A] onvoldoende gemotiveerd heeft weersproken. Hierbij neemt de rechtbank in aanmerking dat de feitelijke afhankelijkheid van derden voor Criteo een vergaande plicht meebrengt die inspanningen te verrichten en maatregelen te treffen. Echter, deze zullen naar hun aard in elk geval ten dele reactief zijn, naar aanleiding van constateringen/meldingen van onrechtmatig geplaatste cookies. Oplegging van een dwangsom laat zich met die omstandigheid niet goed verenigen. Verder gelet op de omstandigheid dat niet is gesteld of gebleken dat op dit moment nog, of opnieuw, geschil of discussie bestaat met de Franse toezichthouder, is oplegging van een dwangsom nu niet passend te achten. Dit zou om dezelfde reden ook niet proportioneel zijn. Verder is meegewogen het risico van (geschillen over) het verschuldigd worden van dwangsommen in een situatie dat dit niet op voorhand als een door Criteo beheersbaar risico kan worden aangemerkt.
Vordering D (inzage)
4.34.
De door [persoon A] ingestelde inzagevordering zal worden afgewezen.
4.35.
[persoon A] stelt dat hij een rechtmatig belang heeft bij inzage in de hierboven onder 3.4 genoemde informatiebestanden. Hij wordt naar zijn zeggen namelijk stelselmatig jarenlang via het internet gevolgd door de plaatsing van cookies door Criteo, ongeacht of hij daarvoor toestemming heeft gegeven. Via de procedure van artikel 843 Rv kan hij dan de omvang van de schade bepalen en ook zijn positie met betrekking tot de talloze andere partijen die bij dit onrechtmatig handelen betrokken zijn (geweest) nader bepalen.
4.36.
Criteo betwist om verscheidene redenen dat [persoon A] een rechtmatig belang heeft bij zijn vordering. Zo valt volgens Criteo redelijkerwijs niet in te zien dat de gevorderde bescheiden op een rechtsbetrekking zien waarbij [persoon A] partij is.
4.37.
[persoon A] vordert een veelheid aan informatie waarbij hij geen rechtmatig belang heeft. Zo wenst [persoon A] onder meer inzage in commerciële voorwaarden die zijn overeengekomen tussen Criteo en Criteo-partners en andere bedrijfsgevoelige informatie. Hetgeen [persoon A] stelt ter onderbouwing van deze vordering levert naar het oordeel van de rechtbank geen rechtmatig belang op voor toewijzing van de inzagevordering.
Proceskosten
4.38.
Aangezien beide partijen over en weer deels in het ongelijk zijn gesteld, zullen de proceskosten worden gecompenseerd, in die zin dat iedere partij de eigen kosten draagt.
5.De beslissing
De rechtbank
in conventie
5.1.
wijst de vorderingen af;
5.2.
veroordeelt Criteo in de proceskosten ten bedrage van € 2.340,00, te betalen binnen veertien dagen na aanschrijving daartoe; als Criteo niet tijdig aan de veroordeling voldoet en het vonnis daarna wordt betekend, dan moet Criteo € 92,00 extra betalen, plus de kosten van betekening;
5.3.
veroordeelt Criteo in de wettelijke rente als bedoeld in artikel 6:119 BW over de proceskosten en de nakosten, als deze niet binnen veertien dagen na aanschrijving zijn voldaan;
5.4.
verklaart de veroordelingen uitvoerbaar bij voorraad;
in reconventie
5.5.
verklaart voor recht dat Criteo onrechtmatig jegens [persoon A] heeft gehandeld door zonder toestemming third party cookies te plaatsen op apparaten van [persoon A] ;
5.6.
verbiedt Criteo cookies te plaatsen op apparaten van [persoon A] tenzij de gebruiker daarvan, naar aanleiding van op correcte wijze gevraagde toestemming, daarvoor door middel van een actieve handeling toestemming heeft gegeven;
5.7.
compenseert de proceskosten, in die zin dat iedere partij de eigen kosten draagt;
5.8.
wijst het meer of anders gevorderde af.
Dit vonnis is gewezen door mr. C. Bouwman, mr. R.J.A.M. Cooijmans en mr. S.V. Hardonk en in het openbaar uitgesproken op 19 november 2025.
[901/1729/1694/3407]