Rechtbank Amsterdam, eerste aanleg - meervoudig civiel recht overig

Het verloop van de procedure blijkt uit:

- het vonnis in incident van 30 juni 2021 (Voetnoot 1) (hierna: het vonnis in incident) en de daarin genoemde processtukken,

Ten slotte is vonnis bepaald.

Voor zover relevant voor de te nemen beslissingen wordt dit vonnis gewezen met inachtneming van de opmerkingen op het proces-verbaal.

Deze zaak is een collectieve actie (naar oud recht (Voetnoot 2)) die is aangespannen door de Stichting tegen Facebook c.s. De Stichting komt op voor de belangen van Nederlandse gebruikers van de Facebookdienst. Het gaat in deze procedure in de kern om de vraag of Facebook c.s. onrechtmatig heeft gehandeld bij de verwerking van persoonsgegevens van Nederlandse Facebookgebruikers in de periode van 1 april 2010 tot 1 januari 2020 (hierna ook: de relevante periode). Daarbij is van belang dat Facebook c.s. persoonsgegevens van gebruikers van de Facebookdienst niet alleen verwerkte om het sociale netwerk aan te bieden, maar ook voor advertentiedoeleinden.

Het oordeel van de rechtbank is dat Facebook Ierland onrechtmatig heeft gehandeld in de manier waarop zij met de persoonsgegevens van Nederlandse Facebookgebruikers is omgegaan. De rechtbank beperkt de veroordeling tot het handelen van Facebook Ierland omdat alleen zij verantwoordelijk is voor de verwerking van persoonsgegevens van Nederlandse Facebookgebruikers.

De wijze waarop Facebook Ierland de persoonsgegevens van Nederlandse Facebookgebruikers verwerkte voor advertentiedoeleinden was in de relevante periode niet alleen in strijd met de privacywetgeving, maar vormde ook een oneerlijke handelspraktijk. Het onvoldoende voorlichten van de Facebookgebruiker als consument over het gebruik van persoonsgegevens voor commerciële doeleinden was misleidend. De gemiddelde consument kon namelijk geen goed geïnformeerd besluit nemen over het deelnemen aan de Facebookdienst.

Facebook Ierland heeft niet onrechtmatig gehandeld door het plaatsen van cookies op websites van derden, omdat Facebook Ierland de verplichting om gebruikers over het plaatsen van cookies te informeren en toestemming te vragen, overdroeg en mocht overdragen aan de betreffende website exploitant. Ook is in de procedure niet komen vast te staan dat Facebook Ierland ongerechtvaardigd is verrijkt. De reden daarvoor is dat onvoldoende is gebleken dat het ongeoorloofd voor advertentiedoeleinden verwerken van persoonsgegevens door Facebook Ierland heeft geleid tot daadwerkelijke aantasting van het vermogen van de Facebookgebruiker.

De door de Stichting gevraagde verklaringen voor recht zullen gedeeltelijk worden toegewezen. In hoeverre individuele Nederlandse Facebookgebruikers recht hebben op schadevergoeding op grond van het vastgestelde onrechtmatig handelen door Facebook Ierland is een vraag die in deze procedure niet voorligt.

Dit vonnis is vanaf hier als volgt opgebouwd:

Voor de leesbaarheid van het vonnis zijn vaststaande feiten die op specifieke onderwerpen betrekking hebben bij de beoordeling van de betreffende onderwerpen vermeld.

Facebook Inc. is opgericht op 4 februari 2004 en heeft haar hoofdkantoor in de Verenigde Staten. Facebook Ierland is een op 6 oktober 2008 opgerichte dochteronderneming van Facebook Inc. Facebook Ierland treedt op als contractspartij voor het aanbieden van de Facebookdienst aan de gebruikers in Nederland (en Europa). Daarnaast verkoopt Facebook Ierland ook advertenties via een zelfserviceadvertentieplatform. Facebook Nederland is opgericht op 25 november 2010. De (uiteindelijke) moedermaatschappij van Facebook Nederland is Facebook Inc. Facebook Nederland verleent diensten met betrekking tot marketing en verkoopondersteuning, gerelateerd aan advertentieverkoop, aan het Facebookconcern. In dat kader houdt Facebook Nederland zich onder meer bezig met het adviseren over en het bevorderen van de verkoop van advertentieruimte op de Facebookdienst en overige advertentieproducten.

De Stichting is een op 25 februari 2019 opgerichte collectieve claimstichting. Zij heeft onder meer als doel het behartigen van de belangen van gedupeerden die in Nederland wonen en jegens wie op enig moment een privacyschending heeft plaatsgevonden.

De Facebookdienst is een gepersonaliseerde dienst. Deze personalisatie werkt door in de inhoud van wat een gebruiker te zien krijgt. Om tot een gepersonaliseerde gebruikerservaring te komen worden persoonsgegevens gebruikt.

Bij het registreren voor de Facebookdienst moet een gebruiker akkoord gaan met de Gebruikersvoorwaarden. In de Gebruikersvoorwaarden staat dat Facebook Ierland de contractspartij is voor Facebookgebruikers in Europa. In de periode 2010 tot en met 2020 hebben die voorwaarden verschillende benamingen gehad en zijn verschillende versies daarvan van kracht geweest.

Daarnaast hanteert Facebook Ierland voor het gebruik van de Facebookdienst Gegevensbeleid dat te raadplegen is op de website en in de app. Ook hiervan hebben in de periode tussen 2010 en 2020 verschillende versies bestaan.

Eind 2014 heeft (de rechtsvoorganger van) de Autoriteit Persoonsgegevens (AP), de toezichthouder in Nederland op het gebied van gegevensbescherming, een onderzoek ingesteld naar het verwerken van persoonsgegevens van betrokkenen in Nederland door het Facebookconcern. In een rapport van 21 februari 2017, gepubliceerd op 16 mei 2017, heeft de AP verslag gedaan van de bevindingen. Daarin is geconcludeerd dat het Facebookconcern op meerdere punten in strijd handelt met de Wet bescherming persoonsgegevens (Wbp) als het gaat om het verstrekken van informatie over de verwerking van persoonsgegevens voor advertentiedoeleinden. Dit rapport heeft niet tot handhavingsbesluiten van de toezichthouder geleid.

In het vonnis in incident is beslist dat Nederlands recht van toepassing is op deze zaak.

De Stichting vordert dat de rechtbank bij vonnis, voor zover mogelijk uitvoerbaar bij voorraad:

a. voor recht verklaart dat Facebook Nederland, Facebook Ierland en Facebook Inc., gezamenlijk en/of elk voor zich, vanaf 1 april 2010 tot 1 januari 2020, althans gedurende de in randnummer 156 van de dagvaarding per afzonderlijke schending vermelde periode, althans gedurende een door de rechtbank in goede justitie te bepalen periode, jegens de Achterban van de Stichting toerekenbaar onrechtmatig heeft gehandeld en/of hebben gehandeld omdat zij:

i. de (privacy)rechten van de Achterban heeft/hebben geschonden door in strijd met de (informatie)plichten van artikelen 33 en 34 Wbp en/of artikelen 12, 13 en 14 Algemene verordening gegevensbescherming (Voetnoot 3) (AVG):

de (privacy)rechten van de Achterban heeft/hebben geschonden door:

jegens de Achterban van de Stichting handelspraktijken heeft/hebben verricht die oneerlijk zijn in de zin van artikel 6:193b lid 1 Burgerlijk Wetboek (BW) en/of misleidend zijn in de zin van artikel 6:193c, 193d en 193g BW, door:

voor recht verklaart dat dat Facebook Nederland, Facebook Ierland en Facebook Inc., gezamenlijk en/of elk voor zich vanaf 1 april 2010 tot 1 januari 2020, althans gedurende de in randnummer 156 van de dagvaarding per afzonderlijke schending vermelde periode, althans gedurende een door de rechtbank in goede justitie te bepalen periode, jegens de Achterban toerekenbaar onrechtmatig hebben gehandeld door, via de Achterban, ook de gegevens van vrienden van de Achterban op de hiervoor onder a.i.1., a.i.2., a.i.3., a.ii.1. en a.ii.3 bedoelde onrechtmatige wijze te hebben verwerkt;

voor recht verklaart dat Facebook Nederland, Facebook Ierland en Facebook Inc., gezamenlijk en/of elk voor zich ongerechtvaardigd is en/of zijn verrijkt ten koste van de Achterban in de periode vanaf 1 april 2010 tot 1 januari 2020, althans een door de rechtbank in goede justitie te bepalen periode;

Facebook Nederland, Facebook Ierland en Facebook Inc. hoofdelijk veroordeelt tot betaling van de door de Stichting gemaakte proceskosten, te vermeerderen met nakosten en wettelijke rente over de proces- en nakosten.

Het in de vordering gebruikte woord “Achterban” definieert de Stichting, kort gezegd, als (voormalige) gebruikers van de Facebookdienst op enig moment in de periode van 1 april 2010 tot 1 januari 2020 (en/of hun wettelijke verzorgers) voor zover zij ten tijde van dat gebruik in Nederland woonden, niet handelend in de uitoefening van een beroep of bedrijf, en voor wie de Stichting krachtens haar doelomschrijving opkomt, en jegens wie op enig moment een Privacyschending (als bedoeld in de statuten) heeft plaatsgevonden.

Facebook c.s. voert verweer en concludeert tot niet-ontvankelijkverklaring dan wel afwijzing van de vorderingen, met veroordeling van de Stichting in de proceskosten.

Op de stellingen van partijen wordt hierna onder de beoordeling, voor zover van belang, ingegaan.

De Stichting heeft tijdens de mondelinge behandeling naar voren gebracht dat Facebook c.s. in de conclusie van dupliek alleen argumenten heeft ingenomen namens Facebook Ierland en dat Facebook Nederland en Facebook Inc. daarom hun recht op verweer tegen de stellingen van de Stichting hebben verspeeld.

Hierin wordt de Stichting niet gevolgd. Facebook c.s. heeft in deze procedure verweer gevoerd namens de drie Facebookentiteiten en in dat verband onder meer verschillende processtukken waaronder een conclusie van dupliek ingediend. Een van de argumenten van Facebook c.s. is dat alleen Facebook Ierland de verantwoordelijke partij is voor het in deze procedure aan de orde zijnde handelen. In dat licht heeft Facebook c.s. het in de conclusie van dupliek inderdaad veelvuldig over Facebook Ierland, omdat dat in haar ogen de enige relevante partij is. Daaruit kan (vanzelfsprekend) niet worden afgeleid dat het verweer van Facebook c.s. in deze procedure is beperkt tot een verweer van Facebook Ierland. Tijdens de mondelinge behandeling is namens Facebook c.s. bevestigd dat het verweer in deze procedure namens de drie Facebookentiteiten is gevoerd.

De Stichting heeft gesteld dat zij voldoende belang heeft bij haar vorderingen. Zij heeft daartoe onder meer het volgende aangevoerd. Inbreuken op privacy kunnen zowel materiële als immateriële schade veroorzaken. Daarmee is de mogelijkheid van schade aannemelijk. In de voorheen geldende Privacyrichtlijn (Voetnoot 5) en in de op dit moment geldende AVG is een ruim schadebegrip gehanteerd. Daarin is ook uitdrukkelijk erin voorzien dat een benadeelde aanspraak kan maken op een vergoeding voor immateriële schade. De schade van de Achterban als gevolg van de schending van privacyregelgeving bestaat in elk geval uit verlies van controle over persoonsgegevens en/of de verhindering om controle te kunnen uitoefenen. De Achterban heeft meer dan louter ergernis ondervonden van de doorlopende schendingen van zijn gegevensbeschermingsrechten. De schending van privacyrechtelijke bepalingen kan worden aangemerkt als een aantasting in de persoon als bedoeld in artikel 6:106, aanhef en onder b, BW. Een dergelijke aantasting geeft aanspraak op vergoeding van immateriële schade. De casus die aan de orde is in de zaak UI/Österreichische Post is volgens de Stichting niet vergelijkbaar met haar collectieve actie tegen Facebook c.s.

De rechtbank overweegt als volgt.

Artikel 3:303 BW bepaalt dat zonder voldoende belang niemand een rechtsvordering toekomt. Met “voldoende belang” wordt bedoeld genoeg belang om een procedure te rechtvaardigen. In beginsel mag worden verondersteld dat voldoende belang bij een vordering bestaat. De rechter moet terughoudend zijn met het oordeel dat onvoldoende belang bestaat bij een rechtsvordering. Indien een verklaring voor recht wordt gevorderd dat aansprakelijkheid bestaat voor schade of dat onrechtmatig is gehandeld, moet de rechter ervan uitgaan dat de eisende partij daarbij belang heeft als de mogelijkheid van schade aannemelijk is. (Voetnoot 6) Dat geldt ook als niet tevens een veroordeling tot schadevergoeding of tot verwijzing naar de schadestaatprocedure wordt gevorderd.

De Stichting vordert in deze procedure verklaringen voor recht dat Facebook c.s. onrechtmatig heeft gehandeld en ongerechtvaardigd is verrijkt. Daaraan legt de Stichting in de kern het verwijt ten grondslag dat Facebook c.s. gedurende de periode van 2010 tot 2020 onrechtmatig persoonsgegevens van de Achterban heeft verwerkt. De Stichting beoogt met de toewijzing van de gevorderde verklaringen voor recht uiteindelijk een schadevergoeding te verkrijgen voor de Achterban.

In het kader van de vraag naar het belang van de Stichting bij haar vorderingen moet de rechtbank beoordelen of de mogelijkheid van schade aannemelijk is indien één of meer van de door de Stichting gemaakte verwijten terecht zijn. Voor de beantwoording van de vraag of de mogelijkheid van schade aannemelijk is, is het niet nodig de uitspraak van het HvJ EU over de uitleg van het schadebegrip in artikel 82 van de AVG af te wachten. Ook als wordt uitgegaan van de uitleg van het begrip immateriële schade volgens de huidige stand van de rechtspraak (en meer in het bijzonder de eisen die worden gesteld aan het begrip ‘aantasting in de persoon op andere wijze’ als bedoeld in artikel 6:106 BW) is naar het oordeel van de rechtbank de mogelijkheid van schade als gevolg van de door de Stichting gemaakte verwijten in dit geval aannemelijk. Daartoe is het volgende redengevend.

Bij een collectieve actie als de onderhavige past, onder andere ten aanzien van de belangvraag, een zekere abstracte toetsing. Dat betekent dat de vraag of de mogelijkheid van schade aannemelijk is, in algemene zin moet worden beantwoord, dat wil zeggen geabstraheerd van individuele omstandigheden van leden van de Achterban. Weliswaar kan niet worden gezegd dat de door de Stichting gestelde privacyschendingen en oneerlijke handelspraktijken zonder meer tot schade leiden, maar daar staat tegenover dat de mogelijkheid van schade ook niet op voorhand en in algemene zin is uitgesloten. Het is immers goed denkbaar dat de door de Stichting gestelde privacyschendingen onder bepaalde omstandigheden tot materiële en/of immateriële schade (kunnen) hebben geleid. Die mogelijkheid is in het kader van deze collectieve actie voldoende voor de vaststelling dat de mogelijkheid van schade aannemelijk is. Of en wanneer dergelijke omstandigheden zich daadwerkelijk voordoen, behoeft daarbij in het kader van deze procedure geen beantwoording.

Aangezien de mogelijkheid van schade aannemelijk is, heeft de Stichting voldoende belang bij de door haar gevorderde verklaringen voor recht.

Facebook c.s. heeft betoogd dat de vorderingen van de Stichting, voor zover die betrekking hebben op gebeurtenissen van vóór 30 december 2014, zijn verjaard op grond van artikel 3:310 BW. Daartoe heeft Facebook c.s. het volgende aangevoerd. Vijf jaar vóór 30 december 2019, het moment van het aanhangig maken van deze procedure door de Stichting, waren de Stichting en de Achterban redelijkerwijs al bekend, althans hadden zij bekend moeten zijn, met de door de Stichting beweerde schendingen, de vermeende schade en de daarvoor aansprakelijke persoon. De Facebookgebruikers waren namelijk al vóór 30 december 2014 op de hoogte van de gegevensverwerking die relevant is voor de vorderingen van de Stichting. Vóór die datum was er al een wijdverspreide discussie in de media over de verwerking van persoonsgegevens ten behoeve van gepersonaliseerd adverteren. Verwezen wordt naar een selectie van nieuwsartikelen die in de loop van 2014 in Nederlandse nieuwsmedia zijn verschenen. Dit toont aan dat het grote publiek, onder wie Nederlandse Facebookgebruikers, zich ervan bewust was dat gegevensverwerking voor het leveren van een gepersonaliseerde dienst (inclusief gepersonaliseerde reclame) tot de kern van de Facebookdienst behoort. Iedereen wist ook dat advertenties zijn toegesneden op eigen zoek- en surfgedrag op internet. Facebookgebruikers waren in elk geval voldoende op de hoogte om verder onderzoek te moeten doen naar hun mogelijke schade of de aansprakelijke persoon. Dat de Achterban al in 2014 in staat was om vorderingen in te stellen, blijkt ook uit de omstandigheid dat enkele honderden Nederlandse Facebookgebruikers in 2014 hebben geprobeerd zich aan te sluiten bij een door [naam 2] in Oostenrijk aangespannen procedure.

De Stichting bestrijdt dat de Achterban al vóór 30 december 2014 bekend was met de schade en de daarvoor aansprakelijke persoon en zij voert daartoe het volgende aan. Zonder diepgravende onderzoeken, zoals die van de AP, hadden Facebookgebruikers niet op de hoogte kunnen komen van wat er met hun data gebeurde en met de onvolledige en misleidende wijze waarop Facebook c.s. de gebruikers daarover informeerde. De perspublicaties waarnaar Facebook c.s. heeft verwezen, zijn onvoldoende om daarop de daadwerkelijke bekendheid met zowel de schade als de aansprakelijke persoon te kunnen baseren. Van gedupeerden hoeft ook niet te worden verwacht dat zij op krantenartikelen afgaan. Er was geen onderzoeksplicht voor de gebruikers van de Facebookdienst. De AP heeft in de periode november 2014 tot en met 21 februari 2017 onderzoek gedaan naar de werking van de Facebookdienst. Pas na de publicatie van dat onderzoek in 2017 zou gezegd kunnen worden dat de Achterban bekend kon zijn met de bevindingen van de AP, aldus de Stichting.

De rechtbank overweegt als volgt. Gelet op de vorderingen van de Stichting moeten als de gestelde schadeveroorzakende gebeurtenissen worden aangemerkt de verwerking van persoonsgegevens van de Achterban door Facebook c.s. van 2010 tot 2020 en de informatie die Facebook c.s. in die periode daarover en over de Facebookdienst heeft verstrekt. Het beroep op verjaring van Facebook c.s. is gericht op de vorderingen, voor zover die zien op gebeurtenissen van vóór 30 december 2014.

Op grond van artikel 3:310 lid 1 BW begint de daarin genoemde verjaringstermijn van vijf jaar te lopen op de dag volgende op die waarop de benadeelde zowel met de schade als met de daarvoor aansprakelijke persoon bekend is geworden. Volgens vaste rechtspraak (Voetnoot 7) moet de eis dat de benadeelde bekend is geworden met zowel de schade als de daarvoor aansprakelijke persoon aldus worden opgevat dat het hier gaat om een daadwerkelijke bekendheid, zodat het enkele vermoeden van het bestaan van schade dan wel het enkele vermoeden welke persoon voor de schade aansprakelijk is, niet volstaat. De korte verjaringstermijn van artikel 3:310 lid 1 BW begint pas te lopen op de dag na die waarop de benadeelde daadwerkelijk in staat is een rechtsvordering tot vergoeding van de door hem geleden schade in te stellen. Daarvan zal sprake zijn als de benadeelde voldoende zekerheid – die niet een absolute zekerheid behoeft te zijn – heeft verkregen dat schade is veroorzaakt door tekortschietend of foutief handelen van de betrokken persoon. Het antwoord op de vraag op welk tijdstip de verjaringstermijn is gaan lopen, is afhankelijk van de relevante omstandigheden van het geval.

Aangezien verjaring een bevrijdend verweer is, is het aan Facebook c.s. om feiten en omstandigheden te stellen, en zo nodig te bewijzen, die nodig zijn om te kunnen concluderen dat in 2014 sprake was van daadwerkelijke bekendheid bij de Achterban met de schade en de aansprakelijke persoon.

Dat betekent dat in 2014 van daadwerkelijke bekendheid bij de Achterban met de schade als gevolg van de gestelde schadeveroorzakende gebeurtenissen van vóór 30 december 2014 nog geen sprake was. Het beroep van Facebook c.s. op verjaring moet in deze procedure daarom worden verworpen. De rechtbank geeft daarmee geen oordeel over de vraag of in een individueel geval mogelijk sprake is van verjaring.

Facebook c.s. voert aan dat bij het HvJ EU op dit moment verschillende procedures (Voetnoot 8) aanhangig zijn die betrekking hebben op dezelfde vragen als in de onderhavige procedure en dat de onderhavige procedure moet worden aangehouden in afwachting van de uitkomst van die procedures bij het HvJ EU. Facebook c.s. wijst erop dat die zaken zien op de grondslagen toestemming en contractuele noodzaak en de kwalificatie van bijzondere persoonsgegevens.

De rechtbank heeft hiervoor al geoordeeld dat er geen reden bestaat om de uitkomst in de zaak UI/Österreichische Post af te wachten. De rechtbank ziet ook in de andere aanhangige prejudiciële procedures onvoldoende aanleiding om deze zaak aan te houden in afwachting van de uitkomst van de aanhangige prejudiciële procedures. Weliswaar zien de door Facebook c.s. aangehaalde procedures ook op onderwerpen die in deze zaak aan de orde zijn, maar daarmee is niet gegeven dat met de beslissingen van het HvJ EU ook één op één de vragen die voorliggen in deze procedure zullen zijn beantwoord. Bovendien is onduidelijk wanneer het HvJ EU in de genoemde zaken uitspraak zal doen. Omdat de rechtbank (op grond van artikel 20 Rv) is gehouden onredelijke vertraging te voorkomen, is aanhouding van deze zaak ook uit het oogpunt van proceseconomie onwenselijk. Dit kan immers mogelijk tot een aanzienlijke aanhouding leiden in een inmiddels al langlopende zaak in de eerste aanleg, terwijl geen zekerheid bestaat of die aanhouding tot nadere duidelijkheid gaat leiden.

De vraag is wie van Facebook c.s. voor de gegevensverwerking die in deze zaak aan de orde is als verantwoordelijke in de zin van de Wbp respectievelijk verwerkingsverantwoordelijke in de zin van de AVG kan worden aangemerkt.

Op grond van artikel 1 onder d Wbp, dat de implementatie vormt van artikel 2 onder d van de Privacyrichtlijn, wordt onder verantwoordelijke onder meer verstaan de rechtspersoon die, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. In de memorie van toelichting bij de Wbp staat hierover onder meer het volgende: (Voetnoot 9)

Op grond van artikel 4 onder 7 van de AVG wordt onder verwerkingsverantwoordelijke onder meer verstaan de rechtspersoon die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Daarbij moet beoordeeld worden of deze rechtspersoon in staat is om zelfstandig te bepalen voor welk doel en met welke middelen de gegevens worden verwerkt. Het kan van belang zijn dat deze rechtspersoon daartoe juridisch bevoegd is maar dat is geen vereiste. Het gaat om een functioneel begrip dat beoogt de verantwoordelijkheid daar te leggen waar de feitelijke zeggenschap of invloed met betrekking tot de gegevensverwerkingen ligt. (Voetnoot 10)

Het gaat er bij de (verwerkings)verantwoordelijke dus om dat de betrokken persoon invloed uitoefent op de betreffende verwerking van persoonsgegevens en daardoor deelneemt aan de vaststelling van het doel en de middelen voor deze verwerking. (Voetnoot 11) Het HvJ EU heeft geoordeeld dat het bestaan van een gezamenlijke verantwoordelijkheid zich niet noodzakelijkerwijs uit in een gelijkwaardige verantwoordelijkheid. Personen kunnen juist in verschillende stadia en in verschillende mate bij de verwerking betrokken zijn. Dat betekent volgens het HvJ EU dat het niveau van verantwoordelijkheid van elk van hen moet worden betrokken in het licht van alle relevante omstandigheden van het geval. (Voetnoot 12) Een persoon kan voor bewerkingen die verband houden met de verwerking van persoonsgegevens slechts gezamenlijk met anderen verantwoordelijk zijn, wanneer hij samen met die anderen het doel van en de middelen voor die bewerkingen heeft vastgesteld. Deze persoon kan, onverminderd een eventuele civielrechtelijke aansprakelijkheid waarin het nationale recht voorziet, niet worden geacht verantwoordelijk te zijn voor bewerkingen die vroeger of later in de verwerkingsketen plaatsvinden en waarvan respectievelijk waarvoor hij niet het doel en de middelen vaststelt. (Voetnoot 13) Een en ander betekent dat concreet moet worden gemaakt welke Facebookentiteit voor welke verwerking het doel en de middelen vaststelt.

In ieder geval kan Facebook Ierland als verwerker respectievelijk verwerkingsverantwoordelijke worden aangemerkt. Facebook Ierland moet immers worden beschouwd als degene die primair het doel van en de middelen voor de verwerking van de persoonsgegevens van de Nederlandse Facebookgebruikers vaststelt. Dat volgt ook uit verschillende (beleids)documenten en overeenkomsten. Dat Facebook Ierland deze rol heeft is tussen partijen niet in geschil.

De Stichting stelt dat ook Facebook Inc. en Facebook Nederland mede(verwerkings)verantwoordelijke zijn. Zij brengt daarvoor, onder verwijzing naar het rapport van de AP, onder meer het volgende naar voren:

Facebook c.s. betwist gemotiveerd dat Facebook Inc. en Facebook Nederland mede(verwerkings)verantwoordelijken zijn en voert aan dat deze vennootschappen niet beslissen over de doeleinden van verwerkingen zoals bepaald in het gegevensbeleid. Volgens Facebook c.s. gaat de Stichting uit van onjuiste omstandigheden en is alleen Facebook Ierland de verwerkingsverantwoordelijke voor gebruikers in Europa. Facebook c.s. wijst erop dat Facebook Nederland alleen marketing- en verkoopactiviteiten verricht en bijvoorbeeld geen advertenties personaliseert.

Naar het oordeel van de rechtbank volgt uit de door de Stichting aangevoerde omstandigheden niet dat Facebook Inc. en Facebook Nederland mede(verwerkings)verantwoordelijken voor de in het geding zijnde periode zijn. Uit al deze algemene stellingen blijkt namelijk onvoldoende duidelijk op welke concrete verwerkingen de Stichting het oog heeft en op welke wijze Facebook Inc. respectievelijk Facebook Nederland voor de betreffende verwerkingen dan (mede) de middelen en het doel vaststelt. Een voldoende concretisering van de Stichting hierover ontbreekt. Dat Facebook Inc. de Facebookdienst heeft geïnitieerd en als moedervennootschap de (uiteindelijke) financiële zeggenschap heeft binnen het concern is daarbij evenmin van doorslaggevende betekenis. Zoals in de parlementaire geschiedenis is toegelicht, is de feitelijke macht of invloed van een andere rechtspersoon binnen een concern niet relevant. De interne regeling binnen het concern brengt in dit geval mee dat Facebook Ierland als de bevoegde rechtspersoon is aangewezen, zodat de verantwoordelijkheid voor de hier aan de orde zijnde gegevensverwerking is toe te rekenen aan deze rechtspersoon. Van een in de memorie van toelichting bij de Wbp (Voetnoot 14) of het advies van de Groep Gegevensbescherming artikel 29 (Voetnoot 15) beschreven situatie van verschillende actoren waarbij de juridische bevoegdheid onvoldoende helder is geregeld of waarbij de verplichtingen en verantwoordelijkheden niet duidelijk zijn belegd is in dit geval geen sprake.

De rechtbank komt tot de conclusie dat uitsluitend Facebook Ierland voor de relevante periode als de (verwerkings)verantwoordelijke is aan te merken.

Aangezien Facebook Ierland (verwerkings)verantwoordelijke is, zal de rechtbank haar verdere beoordeling over de Wbp en de AVG toespitsen op Facebook Ierland. Hoewel de stellingen van partijen ook golden voor Facebook Inc. en Facebook Nederland, is vermelding van die twee partijen voor het vervolg van de beoordeling in zoverre niet langer relevant.

De Stichting verwijt Facebook Ierland ten eerste (zie vordering a.i.1 tot en met a.i.4, zoals hiervoor onder 5.1 weergegeven) dat Facebook Ierland de Achterban niet goed heeft geïnformeerd over een viertal specifieke verwerkingen van persoonsgegevens van de Achterban. Deze vordering is toegespitst op en beperkt tot de vermeende toegang van externe ontwikkelaars, het bedrijf Cambridge Analytica en integrated partners van Facebook c.s. tot persoonsgegevens van de Achterban, alsmede het gebruik van telefoonnummers van de Achterban, verstrekt in het kader van twee-factor-authenticatie, voor advertentie-doeleinden.

Partijen hebben daarnaast uitvoerig gedebatteerd over de vraag of Facebook Ierland in algemene zin de Achterban goed heeft geïnformeerd in de zin van de artikelen 33 en 34 Wbp en de artikelen 12, 13 en 14 AVG over de verwerking van persoonsgegevens (voor advertentiedoeleinden). Die vraag hoeft de rechtbank echter niet in algemene zin te beantwoorden, omdat de Stichting daaraan geen (algemene) vordering heeft verbonden, maar haar vordering a.i. heeft beperkt tot de vier daar genoemde specifieke verwerkingen. Het in algemene zin tussen partijen gevoerde debat over de informatieverplichtingen zal dus alleen worden besproken, voor zover dat van belang is in het kader van concrete vorderingen.

De verwijten van de Stichting bestrijken de periode van 1 april 2010 tot 1 januari 2020. Van 1 april 2010 tot 25 mei 2018 was de Wbp (als implementatie van de Privacyrichtlijn, de voorganger van de AVG) van toepassing. Vanaf 25 mei 2018 is de AVG van toepassing. Dit onderscheid tussen de toepassing van de Wbp en de AVG is in deze procedure voor de beoordeling van de vraag of Facebook Ierland aan haar informatieverplichting heeft voldaan, niet van belang. De informatieverplichtingen zijn onder de AVG weliswaar aangescherpt, maar in essentie is de informatieverplichting hetzelfde onder beide wettelijke regelingen en de verwijten van de Stichting hebben betrekking op verplichtingen die ook al bestonden onder de Wbp.

Artikel 6 van de Privacyrichtlijn luidt als volgt:

1. De Lid-Staten bepalen dat de persoonsgegevens:

a. a) eerlijk en rechtmatig moeten worden verwerkt;

b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verkregen en vervolgens niet worden verwerkt op een wijze de onverenigbaar is met die doeleinden. Verdere verwerking van de gegevens voor historische, statistische of wetenschappelijke doeleinden wordt niet als onverenigbaar beschouwd, mits de Lid-Staten passende garanties bieden;

c) toereikend, ter zake dienend en niet bovenmatig moeten zijn, uitgaande van de doeleinden waarvoor zij worden verzameld of waarvoor zij vervolgens worden verwerkt;

d) nauwkeurig dienen te zijn en, zo nodig, dienen te worden bijgewerkt; alle redelijke maatregelen dienen te worden getroffen om de gegevens die, uitgaande van de doeleinden waarvoor zij worden verzameld of waarvoor zij vervolgens worden verwerkt, onnauwkeurig of onvolledig zijn, uit te wissen of te corrigeren;

e) in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer mogen worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, noodzakelijk is. De Lid-Staten voorzien in passende waarborgen voor persoonsgegevens die langer dan hierboven bepaald voor historische, statistische of wetenschappelijke doeleinden worden bewaard.

2. Op de voor de verwerking verantwoordelijke rust de plicht om voor de naleving van het bepaalde in lid 1 zorg te dragen.

Op grond van artikel 6 van de Wbp worden persoonsgegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.

Artikel 33 Wbp, dat een uitwerking vormt van artikel 6 Wbp en van het transparantiebeginsel, luidt als volgt:

1. Indien persoonsgegevens worden verkregen bij de betrokkene, deelt de verantwoordelijke vóór het moment van de verkrijging de betrokkene de informatie mede, bedoeld in het tweede en derde lid, tenzij de betrokkene daarvan reeds op de hoogte is.

2. De verantwoordelijke deelt de betrokkene zijn identiteit en de doeleinden van de verwerking waarvoor de gegevens zijn bestemd, mede.

3. De verantwoordelijke verstrekt nadere informatie voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt, nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen.

De AVG kent vergelijkbare bepalingen. Zo schrijft artikel 5 lid 1 aanhef en onder a van de AVG voor dat persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is. Artikel 5 lid 2 AVG bepaalt: de verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen (”verantwoordingsplicht”).

Artikel 12 lid 1, eerste volzin, van de AVG bepaalt, voor zover hier van belang, dat de verwerkingsverantwoordelijke passende maatregelen neemt opdat de betrokkene de in de artikelen 13 en 14 bedoelde informatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt.

Artikel 13 lid 1 aanhef en onder c van de AVG luidt als volgt:

De gedachte achter het informeren van de betrokkene is de transparantie van de gegevensverwerking. De (verwerkings)verantwoordelijke moet actief en ongevraagd de betrokkene van de gegevensverwerking op de hoogte stellen, tenzij deze reeds op de hoogte is. Op die manier is de betrokkene in staat te volgen hoe gegevens over hem worden verwerkt en bepaalde vormen van verwerking of onrechtmatig gedrag van de verwerkingsverantwoordelijke in rechte aan te vechten. Een verwerking van persoonsgegevens waarover de (verwerkings)verantwoordelijke de betrokkene niet goed heeft geïnformeerd, is onrechtmatig. (Voetnoot 16)

De (verwerkings)verantwoordelijke kan in het algemeen niet volstaan met het mededelen van zijn identiteit en de doeleinden van de verwerking. Hij zal de betrokkene in veel gevallen nader moeten informeren voor zover dat nodig is om een behoorlijke en zorgvuldige verwerking mogelijk te maken (zie ook het hiervoor onder r.o. 11.6 geciteerde artikel 33 lid 3 Wbp). De aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat daarvan wordt gemaakt, bepalen of deze nadere informatie nodig is. De verantwoordelijke zal zich telkens moeten afvragen of deze omstandigheden meebrengen dat verwacht mag worden dat de betrokkene een reëel belang heeft bij nadere informatie en zo ja wat de omvang van deze informatie is.

De omvang van de informatieverplichting is mede afhankelijk van de wijze waarop het contact tot stand komt. In beginsel zal op de (verwerkings)verantwoordelijke een extra verantwoordelijkheid tot informeren rusten als hij zelf het initiatief neemt tot het contact met de betrokkene. De betrokkene die de verantwoordelijke zelf benadert, zal veelal reeds op de hoogte zijn van diens identiteit en oogmerken. In dat geval moet nog wel het concrete doel van de gegevensverwerking en eventueel aanvullende informatie worden verstrekt.

In de Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679 van 11 april 2018 van de Groep Gegevensbescherming artikel 29 is over de informatieverplichting in de digitale context onder meer het volgende vermeld:

10. Een van de kernelementen van het transparantiebeginsel zoals bedoeld in deze bepalingen is dat betrokkenen van tevoren de reikwijdte en de gevolgen van de verwerking moeten kunnen bepalen en later niet verrast worden door andere manieren waarop hun persoonsgegevens zijn gebruikt. Dit is ook een belangrijk aspect van het beginsel van behoorlijkheid overeenkomstig artikel 5, lid 1, van de AVG, en houdt ook verband met overweging 39, waarin wordt verklaard dat “[n]atuurlijke personen […] bewust [moeten] worden gemaakt van de risico's, regels, waarborgen en rechten in verband met de verwerking van persoonsgegevens”. Met betrekking tot complexe, technische of onverwachte gegevensverwerkingen is het standpunt van de WP29 dat verwerkingsverantwoordelijken, behalve de door artikel 13 en 14 voorgeschreven informatie (die later in deze richtsnoeren zal worden behandeld) te verstrekken, ook afzonderlijk, in ondubbelzinnige taal, zouden moeten uitleggen wat de belangrijkste gevolgen van de verwerking zullen zijn. Met andere woorden, welk effect zal de specifieke verwerking die in de privacyverklaring/mededeling wordt beschreven hebben op een betrokkene?

(...)

35. In de digitale context, en in het licht van het volume aan informatie dat aan de betrokkene moet worden verstrekt, kunnen verwerkingsverantwoordelijken een gelaagde aanpak volgen wanneer zij ervoor kiezen om een combinatie van methoden te gebruiken om transparantie te waarborgen. De WP29 beveelt in het bijzonder aan, teneinde informatiemoeheid te voorkomen, om gelaagde privacyverklaringen/mededelingen te gebruiken en daarin links te plaatsen naar de verschillende categorieën informatie die aan de betrokkene moeten worden verstrekt, in plaats van alle informatie in één enkele mededeling op het scherm weer te geven. (...) Opgemerkt zij dat gelaagde privacyverklaringen/mededelingen niet louter ingebedde pagina's zijn waarop gebruikers meerdere keren moeten klikken om bij de desbetreffende informatie te komen. Het ontwerp en de layout van de eerste laag van de privacyverklaring/mededeling dienen zodanig te zijn dat de betrokkene een duidelijk overzicht heeft van de informatie over de verwerking van zijn of haar persoonsgegevens die aan hem of haar beschikbaar is gesteld en van de plaats waar/de wijze waarop hij of zij die gedetailleerde informatie kan vinden binnen de lagen van de privacyverklaring/mededeling. Ook is het belangrijk dat de informatie in de verschillende lagen van een gelaagde privacyverklaring/mededeling met elkaar in overeenstemming is en dat in de verschillende lagen geen met elkaar strijdige informatie wordt gegeven.

36. Met betrekking (...) tot de inhoud van de eerste laag van een gelaagde privacyverklaring/mededeling, beveelt de WP29 aan dat in de eerste laag/regeling details van het doel van de verwerking, de identiteit van de verwerkingsverantwoordelijke en een beschrijving van de rechten van de betrokkene worden gegeven. (Bovendien dient deze informatie bij het verzamelen van de persoonsgegevens rechtstreeks onder de aandacht van de betrokkene te worden gebracht, bijvoorbeeld door de informatie weer te geven wanneer een betrokkene een onlineformulier invult.) (...) De betrokkene zou uit de informatie in de eerste laag/regeling moeten kunnen begrijpen wat de gevolgen van de verwerking in kwestie voor hem of haar zullen zijn (...).

Op grond van artikel 150 Wetboek van Burgerlijke Rechtsvordering (Rv) draagt de partij die zich beroept op de rechtsgevolgen van door haar gestelde feiten of rechten de bewijslast van die feiten of rechten, tenzij uit enige bijzondere regel of uit de eisen van redelijkheid en billijkheid een andere verdeling van de bewijslast voortvloeit.

Toepassing van de hoofdregel van artikel 150 Rv brengt mee dat – in het kader van de bijzondere verwerkingen als bedoeld in de vorderingen a.i.1 tot en met a.i.4 – in beginsel op de Stichting de bewijslast rust dat Facebook Ierland de informatieverplichtingen van de artikelen 33 en 34 Wbp en de artikelen 12, 13 en 14 AVG niet heeft nageleefd.

Partijen verschillen erover van mening of uit de Wbp en de AVG een andere bewijslastverdeling volgt.

Artikel 6 lid 2 van de Privacyrichtlijn bepaalt dat op de voor de verwerking verantwoordelijke de plicht rust om voor de naleving van het bepaalde in lid 1 (kort gezegd: een rechtmatige verwerking van persoonsgegevens) zorg te dragen. Dit volgt eveneens uit artikel 15 Wbp in samenhang gelezen met artikel 6 Wbp.

In de memorie van toelichting bij de Wbp staat onder meer (Voetnoot 17):

Ingevolge artikel 5 lid 1 en 2 AVG moet de verwerkingsverantwoordelijke kunnen aantonen dat de gegevensverwerking rechtmatig, behoorlijk en transparant is. In artikel 24 lid 1 AVG is bepaald, kort gezegd, dat de verwerkingsverantwoordelijke passende maatregelen moet treffen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met de AVG wordt uitgevoerd.

Naar het oordeel van de rechtbank volgt hieruit dat de Wbp en de AVG een van de hoofdregel van artikel 150 Rv afwijkende regel van bewijslast bevatten, ook op het punt van het al dan niet voldoen aan de informatieplichten van de artikelen 33 en 34 Wbp en de artikelen 12, 13 en 14 AVG. Alhoewel dit in de Wbp minder expliciet is verwoord dan in de AVG, volgt dit ook uit het transparantievereiste. De betrokkene kan alleen dan zijn rechten onder de wet verwezenlijken indien hij op de hoogte is van de verwerking. Het is aan de verwerkingsverantwoordelijke om te bewijzen dat de gegevensverwerking rechtmatig is. Daartoe behoort ook dat de betrokkene vooraf voldoende geïnformeerd wordt over de gegevensverwerking. Op Facebook Ierland – in wier domein zich de betreffende feitelijke gegevens ook hoofdzakelijk bevinden – rust dus de bewijslast dat zij heeft voldaan aan haar informatieverplichtingen.

Hierna zal worden ingegaan op de vier specifieke gegevensverwerkingen waarvan de Stichting stelt dat Facebook Ierland de Achterban daarover niet (goed) heeft geïnformeerd.

Vanaf april 2010 maakte Facebook c.s. gebruik van een application programming interface (API) met de naam Graph API versie 1. Een API maakt het mogelijk dat verschillende soorten (software)systemen met elkaar communiceren en informatie uitwisselen. Met de Graph API konden externe ontwikkelaars, zoals bouwers van een applicatie of websitebeheerders, hun applicatie aansluiten op de Facebookdienst. Het ging daarbij bijvoorbeeld om een applicatie in de vorm van een game of quiz. Ook kon een Facebookgebruiker dankzij de API-technologie de inlogfunctie van de Facebookdienst gebruiken om zich aan te melden bij de dienst van een derde partij.

Voorafgaand aan het eerste gebruik of de installatie van een applicatie van een externe ontwikkelaar werd de Facebookgebruiker om toestemming gevraagd. Daarna verkreeg de externe ontwikkelaar via Graph API versie 1 toegang tot (persoons)gegevens van de betreffende Facebookgebruiker en daarnaast ook toegang tot bepaalde (persoons)gegevens van de Facebookvrienden van die Facebookgebruiker. Die toegang bood de externe ontwikkelaar ook de mogelijkheid om voornoemde gegevens te verzamelen.

In april 2014 is de Graph API versie 1 (deels) vervangen door Graph API versie 2. Met deze tweede versie werd externe ontwikkelaars niet langer toegang geboden tot de (persoons)gegevens van Facebookvrienden. Voor bestaande applicaties van externe ontwikkelaars, dat wil zeggen applicaties die vóór 30 april 2014 al toegang hadden tot Graph API versie 1, gold een overgangsperiode. Zij behielden tot en met 30 april 2015 de toegang tot Graph API versie 1. Na laatstgenoemde datum gold een gedwongen migratie naar versie 2, maar – als onvoldoende betwist staat vast dat – meerdere zogeheten whitelisted developers met toestemming van Facebook Ierland ook na 30 april 2015 nog gebruik konden maken van Graph API versie 1. In juni 2018 is het gebruik van Graph API versie 1 voor de laatste externe ontwikkelaars afgesloten.

In de kern is het verwijt van de Stichting bij deze vordering dat Facebook Ierland de Achterban gedurende de gehele relevante periode niet, althans niet duidelijk, heeft geïnformeerd over de toegang die Facebook Ierland (via Graph API) aan externe ontwikkelaars verleende tot persoonsgegevens van Nederlandse Facebookgebruikers en hun Facebookvrienden.

Facebook Ierland stelt zich op het standpunt dat zij daarover wel naar behoren heeft geïnformeerd. Volgens Facebook Ierland staat in de Gebruikersvoorwaarden en het Gegevensbeleid hoe externe ontwikkelaars in staat waren informatie van gebruikers te verzamelen, met inbegrip van informatie van secundaire gebruikers (Facebookvrienden).

Verder heeft Facebook Ierland als meest verstrekkend argument naar voren gebracht dat de Stichting, afgezien van de GSR-applicatie van [naam 1] (die hierna in het kader van vordering a.i.2. afzonderlijk aan de orde komt), geen enkele applicatie van een externe ontwikkelaar heeft geïdentificeerd die door de Achterban is gebruikt. Volgens Facebook Ierland staat dus niet vast dat gegevens van Facebookgebruikers in Nederland zijn verwerkt door externe ontwikkelaars, laat staan dat die gegevens op onoorbare wijze zijn verwerkt.

De rechtbank verwerpt dat argument. Vast staat dat vele duizenden applicaties van externe ontwikkelaars in de relevante periode aangesloten zijn geweest op de Facebookdienst. Daaronder bevonden zich ook applicaties van grote en wereldwijd opererende bedrijven, zoals AirBnB, Netflix en Spotify. Gelet hierop kan ervan uit worden gegaan dat ook (een deel van de) Nederlandse Facebookgebruikers in de relevante periode gebruik hebben gemaakt van één of meer applicaties van externe ontwikkelaars. Aan Facebook Ierlands blote stelling, dat niet vast zou staan dat externe ontwikkelaars via de API-technologie ook toegang hebben gehad tot persoonsgegevens van Nederlandse Facebookgebruikers, gaat de rechtbank daarom als niet (voldoende) onderbouwd voorbij.

Over de inhoudelijke vraag of voldaan is aan de wettelijke informatieplichten overweegt de rechtbank als volgt.

Niet in geschil is dat Facebook Ierland via API Graph versie 1 en 2 externe ontwikkelaars toegang verleende tot persoonsgegevens van Facebookgebruikers en dat die externe ontwikkelaars daarbij ook de mogelijkheid hadden die gegevens te verzamelen. Via API Graph versie 1 werd externe ontwikkelaars daarnaast ook toegang verleend tot (persoons)gegevens van Facebookvrienden. Het hiervoor omschreven verschaffen van toegang is in dit verband de relevante gegevensverwerking waarvoor Facebook Ierland is aan te merken als de (verwerkings)verantwoordelijke.

Aangezien Facebook Ierland tegenover de Achterban de (verwerkings)verantwoordelijke is als het gaat om voornoemde gegevensverwerking, rust op haar de verplichting om te voldoen aan de wettelijke informatieverplichtingen. Zij kan zich er dus niet op beroepen dat de externe ontwikkelaar informatie moet verschaffen bij het eerste gebruik of de installatie van een applicatie. De omstandigheid dat gebruikers in de relevante periode in hun instellingen binnen hun Facebookprofiel konden bepalen welke gegevens werden gedeeld met apps van externe ontwikkelaars is in dit verband evenmin doorslaggevend. Het gaat immers erom of de gebruiker vooraf is geïnformeerd dat persoonsgegevens konden worden gedeeld.

De rechtbank gaat hierna in op vijf afzonderlijke verwijten die de Stichting maakt:

1. Facebook Ierland heeft niet geïnformeerd dát zij persoonsgegevens van Facebookgebruikers deelde met externe ontwikkelaars;

2. Facebook Ierland heeft niet geïnformeerd over de doeleinden van de gegevensverwerking;

3. Facebook Ierland heeft er niet (goed) over geïnformeerd welke soorten persoonsgegevens met externe ontwikkelaars werden gedeeld;

4. Facebook Ierland heeft er niet (goed) over geïnformeerd dat Graph API versie 1 het ook mogelijk maakte dat persoonsgegevens van Facebookgebruikers via Facebookvrienden met externe ontwikkelaars werden gedeeld;

5. Facebook Ierland heeft er niet over geïnformeerd dat de whitelisted developers gebruik konden blijven van Graph API versie 1 en dat zij daardoor ook na de introductie van Graph API versie 2 toegang behielden tot gegevens van Facebookvrienden.

Als eerste moet worden beoordeeld of Facebook Ierland de Achterban heeft geïnformeerd over het delen van persoonsgegevens van de Achterban met externe ontwikkelaars. Facebook Ierland heeft naar voren gebracht dat de Achterban hierover is geïnformeerd via het pop-upvenster dat een Facebookgebruiker te zien kreeg voorafgaand aan het downloaden en installeren van een externe applicatie.

Het (voorbeeld) pop-upvenster waarnaar Facebook Ierland verwijst, zag er als volgt uit:

Niet ter discussie staat dat een Facebookgebruiker een pop-upvenster te zien kreeg voorafgaand aan de installatie van een applicatie van een externe ontwikkelaar. Hoe het pop-upvenster eruit zag, verschilde per applicatie. Elk pop-upvenster, zo heeft Facebook Ierland onweersproken toegelicht, toonde een lijst met soorten data waartoe de applicatie toegang zou krijgen nadat de Facebookgebruiker daarvoor toestemming gaf. Facebook Ierland heeft dat geïllustreerd aan de hand van het door haar overgelegde voorbeeld van een pop-upvenster.

Het door Facebook Ierland overgelegde voorbeeld pop-upvenster is in de Engelse taal. De taal van een dergelijke mededeling speelt een rol bij de vraag of de tekst voldoende begrijpelijk is voor de gemiddelde gebruiker. In de procedure is niet duidelijk geworden of het getoonde voorbeeld ook voor de Nederlandse Facebookgebruiker werd gebruikt of dat daarvoor een Nederlandse variant was gemaakt. Omdat het getoonde pop-upvenster in ieder geval (ook in het Engels) voldoende duidelijk maakt dat de externe ontwikkelaar toegang zal krijgen tot de in dat venster getoonde lijst met soorten data en voor de gemiddelde gebruiker daarmee voldoende duidelijk is dát Facebook Ierland de (persoons)gegevens, behorend tot de in het pop-upvenster genoemde informatiecategorieën, zal delen met de externe ontwikkelaar, zal de rechtbank het antwoord op de vraag in hoeverre het gebruik van de Engelse taal in dit geval tot minder duidelijkheid leidt, in het midden laten. Over de gegevensverwerking als zodanig is de Achterban dus geïnformeerd. Dat betekent dat het eerste verwijt van de Stichting niet terecht is.

Als tweede zal worden beoordeeld of Facebook Ierland de Achterban heeft geïnformeerd over de doeleinden waarvoor zij externe ontwikkelaars toegang gaf tot de persoonsgegevens van Facebookgebruikers. Volgens Facebook Ierland heeft zij daarover geïnformeerd via het pop-upvenster dat een Facebookgebruiker te zien kreeg voorafgaand aan de installatie van een externe applicatie en via het Gegevensbeleid van Facebook Ierland.

Op basis van het (voorbeeld) pop-upvenster stelt de rechtbank vast dat aan de Facebookgebruiker toestemming werd gevraagd om de applicatie van de externe ontwikkelaar toegang te geven tot verschillende categorieën informatie over de Facebookgebruiker. Voor zover de rechtbank kan nagaan (Voetnoot 18), blijkt uit het pop-upvenster echter niet dat daarin is vermeld met welk doel de applicatie toegang zal krijgen tot die informatiecategorieën. Dat betekent dat ervan uit moet worden gegaan dat de Facebookgebruiker in het pop-upvenster niet is geïnformeerd over de doeleinden van die gegevensverwerking.

Uit het voorgaande volgt dat Facebook Ierland de Achterban niet heeft geïnformeerd over de doeleinden waarvoor Facebook Ierland externe ontwikkelaars toegang gaf tot hun persoonsgegevens.

Overigens heeft Facebook Ierland in deze procedure ook niet concreet toegelicht voor welk(e) doeleinde(n) precies zij aan externe ontwikkelaars toegang gaf tot persoonsgegevens van Facebookgebruikers. Uit de uiteenzetting over de werking van API Graph maakt de rechtbank op dat het doel van genoemde toegang ten dele technisch-functioneel was, in die zin dat met behulp van de API-technologie een Facebookgebruiker in staat werd gesteld de inlogfunctie van de Facebookdienst te gebruiken om zich aan te melden bij de dienst van een derde partij. Er is echter niet gesteld of gebleken dat de toegang van de externe ontwikkelaars tot de persoonsgegevens van Facebookgebruikers beperkt bleef tot uitsluitend die persoonsgegevens die nodig waren voor de technisch-functionele werking van de API-functionaliteit. Uit de informatie in het hiervoor in r.o. 11.34 opgenomen pop-upvenster blijkt dat een Facebookgebruiker toestemming verleent voor toegang tot een breed scala aan informatie en (persoons)gegevens. Voor een groot deel van die informatie en (persoons)gegevens valt zonder nadere toelichting, die ontbreekt, niet in te zien waarom de toegang daartoe noodzakelijk is voor de technisch-functionele werking van de API-functionaliteit.

Als derde moet worden beoordeeld of Facebookgebruikers er door Facebook Ierland naar behoren over zijn geïnformeerd welke soorten persoonsgegevens met externe ontwikkelaars werden gedeeld.

Volgens de Stichting hadden externe ontwikkelaars vrijwel onbeperkt toegang tot de persoonsgegevens van de Achterban en informeerde Facebook Ierland daar niet over in de eerste informatielaag. Uit het Gegevensbeleid bleek volgens de Stichting ook niet tot welke soorten persoonsgegevens externe ontwikkelaars toegang hadden; dat stond verstopt in de privacy-instellingen.

Naar het oordeel van de rechtbank was op basis van de in het pop-upvenster getoonde lijst met soorten data voor een gemiddelde gebruiker voldoende duidelijk tot welke categorieën informatie toegang werd verleend. Gegeven de omschrijving van die categorieën (zoals Access posts in my News Feed, Access my data any time, Access my profile information en Acces my friends’ information, zie het voorbeeld pop-upvenster in r.o. 11.34) was voor de gemiddelde gebruiker ook voldoende duidelijk dat de te geven toestemming een (zeer) ruim bereik had en dat dat dus alle (soorten) persoonsgegevens omvatte binnen de opgesomde informatiecategorieën waarop de gevraagde toestemming zag.

In het pop-upvenster is dus toereikend geïnformeerd over de soorten persoonsgegevens waartoe de applicatie van een externe ontwikkelaar toegang werd verleend. Daarmee is niet meer van belang of de Gebruikersvoorwaarden of het Gegevensbeleid daarover voldoende informatie bevatten.

In het kader van de vraag of aan de wettelijke informatieverplichtingen is voldaan, komt aan de stelling van de Stichting dat externe ontwikkelaars vrijwel onbeperkt toegang hadden tot persoonsgegevens van de Achterban, geen zelfstandige betekenis toe. Voor zover in die stelling een ander, zelfstandig verwijt besloten ligt, moet dat worden verworpen, omdat de Stichting – tegenover het standpunt van Facebook Ierland dat de persoonsgegevens waartoe een externe applicatie toegang kon krijgen beperkt was tot die informatie waarvoor een Facebookgebruiker toestemming had gegeven – niet (gemotiveerd) heeft gesteld dat externe ontwikkelaars in de praktijk toegang hebben gekregen tot meer informatiecategorieën dan die waren vermeld in het betreffende pop-upvenster en waarvoor de Facebookgebruikers toestemming hadden gegeven.

Als vierde moet worden beoordeeld of Facebook Ierland erover heeft geïnformeerd dat Graph API versie 1 het mogelijk maakte dat persoonsgegevens van Facebookgebruikers via Facebookvrienden werden gedeeld met externe ontwikkelaars. Volgens de Stichting heeft Facebook Ierland ook op dit punt niet aan haar informatieverplichting voldaan.

Facebook Ierland betoogt dat zij de gebruikers van de Facebookdienst in de Gebruikersvoorwaarden en het Gegevensbeleid erover heeft geïnformeerd dat en hoe de persoonsgegevens van gebruikers, afhankelijk van hun individuele privacy-instellingen, door hun Facebookvrienden konden worden gedeeld met de applicaties waarvan deze vrienden op de Facebookdienst gebruik maakten. Facebook Ierland verwijst daartoe met name naar de volgende passages:

- in de Gebruikersvoorwaarden van 8 juni 2012, 11 december 2012 en 15 november 2013:

- in het Gegevensbeleid van 15 november 2013:

- in het Gegevensbeleid van 30 januari 2015 en 29 september 2016:

Met Graph API versie 1 verkreeg een externe ontwikkelaar niet alleen toegang tot (persoons)gegevens van de betreffende Facebookgebruiker, maar ook toegang tot bepaalde (persoons)gegevens van de Facebookvrienden van de betreffende Facebookgebruiker. Over dat laatste heeft Facebook Ierland haar gebruikers naar het oordeel van de rechtbank onvoldoende geïnformeerd. Daartoe is het volgende redengevend.

Op grond van het karakter van de Facebookdienst hoefde een gemiddelde Facebookgebruiker er bij registratie niet op bedacht te zijn dat via een applicatie van een derde partij, die door een Facebookvriend zou worden geïnstalleerd, een externe ontwikkelaar ook toegang zou krijgen tot de persoonsgegevens van de Facebookgebruiker. Over een dergelijke specifieke en voor de gemiddelde gebruiker niet voorziene vorm van gegevensverwerking moet dus duidelijk worden geïnformeerd. Uit de door Facebook Ierland genoemde passages in de Gebruikersvoorwaarden blijkt niet dat de persoonsgegevens van gebruikers door hun Facebookvrienden konden worden gedeeld met externe applicaties. Voor het eerst in het Gegevensbeleid van 15 november 2013 is enige informatie te vinden waaruit een dergelijke gegevensverwerking indirect kan worden opgemaakt. Dat is echter niet in voldoende duidelijke en begrijpelijke bewoordingen gebeurd. Bovendien is het Gegevensbeleid van 15 november 2013 zeer omvangrijk; dat beslaat bijna dertig pagina’s aan informatie. Geconcludeerd moet dan ook worden dat op dit punt sprake is van mededelingen in verhuld taalgebruik tussen een grote hoeveelheid andere gedetailleerde informatie in een onderliggende informatielaag (het Gegevensbeleid). Dergelijke mededelingen voldoen niet aan de eisen van transparant, begrijpelijk en in gemakkelijk toegankelijke vorm informeren over een relevante gegevensverwerking. In het nadien gewijzigde Gegevensbeleid van 30 januari 2015 en 29 september 2016 is de informatievoorziening qua omvang en inhoud anders. Daar is de betreffende informatie zeer beknopt. Uit de door Facebook Ierland aangehaalde passage blijkt echter opnieuw niet dat de persoonsgegevens van gebruikers door hun Facebookvrienden konden worden gedeeld met externe applicaties.

In de laatste plaats moet worden beoordeeld of Facebook Ierland erover heeft geïnformeerd dat de whitelisted developers ook na de introductie van Graph API versie 2 toegang behielden tot gegevens van Facebookvrienden. De rechtbank is van oordeel dat Facebook Ierland ook op dit punt haar informatieverplichting heeft geschonden. De rechtbank licht dat als volgt toe.

Facebook Ierland heeft de in dit verband door de Stichting gestelde gang van zaken niet (voldoende) weersproken. Dat betekent dat van het volgende kan worden uitgegaan. Eind april 2014 heeft Facebook c.s. bij de lancering van Graph API versie 2 publiekelijk aangekondigd dat externe ontwikkelaars met deze API geen toegang meer zouden krijgen tot de gegevens van Facebookvrienden. Facebook c.s. heeft daar niet bij gezegd dat bestaande applicaties in elk geval tot en met 30 april 2015 toegang behielden via Graph API versie 1, met inbegrip van toegang tot de gegevens van Facebookvrienden. Verder zijn Facebookgebruikers er nooit van op de hoogte gesteld dat zogeheten whitelisted developers ook na 30 april 2015 gebruik konden blijven maken van Graph API versie 1 en op die manier toegang behielden tot informatie en persoonsgegevens van Facebookvrienden, terwijl Graph API versie 1 op 30 april 2015 beweerdelijk formeel was afgesloten. De whitelisted developers waren gezamenlijk verantwoordelijk voor 5.200 verschillende Facebookapplicaties. In juni 2018 heeft Facebook c.s. het gebruik van Graph API versie 1 voor de laatste externe ontwikkelaars afgesloten.

Met de Stichting is de rechtbank van oordeel dat Facebook Ierland erover had moeten informeren dat de whitelisted developers ook na de introductie van Graph API versie 2 toegang behielden tot gegevens van Facebookvrienden, omdat dit informatie is waarvan het, gelet op de omstandigheden waaronder de gegevens van de Facebookvrienden door de whitelisted developers werden verkregen, nodig is om een behoorlijke en zorgvuldige verwerking te waarborgen. Door daar niet over te informeren, heeft Facebook Ierland de verplichting in artikel 33 lid 3 Wbp geschonden.

De conclusie is dat Facebook Ierland de Achterban gedurende de gehele relevante periode niet heeft geïnformeerd over de doeleinden van de gegevensverwerking (het verlenen van toegang aan de externe ontwikkelaars tot persoonsgegevens van Facebookgebruikers), dat Facebook Ierland de Achterban in de periode van 1 april 2010 tot juni 2018 niet behoorlijk heeft geïnformeerd dat Graph API versie 1 het ook mogelijk maakte dat persoonsgegevens van Facebookgebruikers via Facebookvrienden met externe ontwikkelaars werden gedeeld en dat Facebook Ierland in de periode van april 2014 tot juni 2018 de Achterban niet heeft geïnformeerd dat de whitelisted developers ook na de introductie van Graph API versie 2 gebruik konden blijven maken van Graph API versie 1 en daardoor toegang behielden tot gegevens van Facebookvrienden. Daarmee heeft Facebook Ierland de informatieverplichtingen van artikel 33 leden 2 en 3 Wbp respectievelijk artikel 13 lid 1 AVG geschonden. Aangezien over deze verwerkingen niet goed is geïnformeerd, zijn die verwerkingen onrechtmatig. De door de Stichting gevorderde verklaring voor recht is toewijsbaar als hiervoor omschreven.

Vordering a.i.2 heeft betrekking op het door Facebook Ierland toestaan dat onder andere [naam 1] en diens onderneming Global Science Research Ltd (hierna: GSR) toegang hadden tot persoonsgegevens van de Achterban. Volgens de Stichting heeft Facebook Ierland de Achterban niet (duidelijk) geïnformeerd over die toegang. Volgens de Stichting zijn de persoonsgegevens van de Achterban vervolgens door [naam 1] en/of GSR overgedragen aan Cambridge Analytica. Facebook Ierland betoogt dat er geen bewijs is dat gegevens van Nederlandse Facebookgebruikers betrokken waren bij de overdracht door [naam 1] aan Cambridge Analytica. Volgens haar zijn door [naam 1] aan Cambridge Analytica geen gegevens overgedragen van Facebookgebruikers die zich buiten de Verenigde Staten bevonden. Verder verwijst Facebook Ierland naar het door haar gevoerde verweer tegen vordering a.i.1.

[naam 1] en GSR boden een applicatie aan (hierna: de GSR-applicatie (Voetnoot 19)) die via de Graph API versie 1 was aangesloten op de Facebookdienst. De Stichting heeft niet betwist dat de GSR-applicatie was onderworpen aan dezelfde voorwaarden en beperkingen als de applicaties van andere externe ontwikkelaars. De GSR-applicatie was actief van mei 2014 tot oktober 2015. Facebook Ierland heeft niet weersproken dat ook gegevens van Nederlandse Facebookgebruikers zijn gedeeld met [naam 1] /GSR.

Niet in geschil is dat de GSR-applicatie een applicatie van een externe ontwikkelaar is zoals bedoeld in vordering a.i.1. Hetgeen hiervoor is overwogen en geoordeeld over de verwijten 1 tot en met 4 als genoemd in r.o. 11.32 (in het kader van de vraag of Facebook Ierland de Achterban heeft geïnformeerd over de toegang tot hun persoonsgegevens door externe ontwikkelaars) geldt daarmee ook voor de GSR-applicatie. Dat betekent dat vordering a.i.2. ten aanzien van [naam 1] en GSR op dezelfde wijze toewijsbaar is als vordering a.i.1., met dien verstande dat de GSR-applicatie volgens de Stichting alleen actief was van mei 2014 tot oktober 2015, zodat de verklaring voor recht beperkt is tot die periode. Daarmee is dus op dit punt alleen sprake van een schending van de Wbp.

Ten aanzien van Cambridge Analytica Ltd., Cambridge Analytica LLC en SCLE Elections Ltd (hierna samen: Cambridge Analytica c.s.) is vordering a.i.2. niet toewijsbaar. Voor de beoordeling in deze procedure is niet relevant of persoonsgegevens van leden van de Achterban ook bij Cambridge Analytica c.s. terecht zijn gekomen. Ook als dat laatste het geval zou zijn, rustte op Facebook Ierland op dit punt namelijk geen informatieverplichting als bedoeld in artikel 33 of 34 Wbp. Facebook Ierland heeft geen zeggenschap gehad over een eventuele toegang van Cambridge Analytica c.s. tot de persoonsgegevens van de Achterban. Op het moment dat Facebook Ierland de persoonsgegevens verwerkte en [naam 1] /GSR daar toegang toe verleende, wist zij niet dat dergelijke gegevens in de toekomst (ongeoorloofd) door [naam 1] /GSR aan een derde zouden worden verstrekt. Voor een dergelijke verdere verwerking bepaalde Facebook Ierland dus niet het doel en de middelen. Daarvoor kan zij om die reden niet als (verwerkings)verantwoordelijke worden aangemerkt, zodat daar voor Facebook Ierland geen informatieverplichting voor gold als bedoeld in artikel 33 of 34 Wbp.

Vordering a.i.3 heeft betrekking op het voor advertentiedoeleinden gebruiken van telefoonnummers die zijn verstrekt in het kader van twee-factor-authenticatie.

Twee-factor-authenticatie (hierna: 2FA) is een beveiligingsmethode om gebruikers te beschermen tegen onbevoegde toegang tot hun accounts. Met 2FA vindt een (extra) verificatie plaats van de identiteit van de gebruiker die op een website of applicatie wil inloggen.

De Stichting stelt dat Facebook Ierland de Achterban er niet (goed) over heeft geïnformeerd dat de door de Achterban ten behoeve van 2FA verstrekte telefoonnummers ook werden gebruikt voor het plaatsen van gerichte advertenties. Facebook Ierland stelt zich op het standpunt dat zij de Achterban wel altijd adequaat heeft geïnformeerd dat die telefoonnummers ook konden worden verwerkt voor het aanbieden van gepersonaliseerde advertenties.

Niet ter discussie staat dat Facebook Ierland aan haar verstrekte telefoonnummers mede heeft verwerkt voor advertentiedoeleinden. Naar het oordeel van de rechtbank heeft de Stichting geen zelfstandig belang meer bij een oordeel over de vraag of Facebook Ierland op dit punt de Achterban naar behoren heeft geïnformeerd. De reden daarvoor is dat de rechtbank in dit vonnis (zie hoofdstuk 12) tot het oordeel komt dat Facebook Ierland gedurende de gehele relevante periode geen rechtsgeldige grondslag had om persoonsgegevens van de Achterban voor advertentiedoeleinden te verwerken. Aangezien een telefoonnummer is aan te merken als een persoonsgegeven, geldt dat in hoofdstuk 12 gegeven oordeel ook voor de in het kader van 2FA verstrekte telefoonnummers. Facebook Ierland heeft ook niet gesteld dat zij zich voor de verwerking van die telefoonnummers voor advertentiedoeleinden op een andere rechtsgeldige grondslag kan beroepen. In het bijzonder heeft Facebook Ierland niet gesteld dat zij toestemming heeft verkregen om de in het kader van 2FA verstrekt telefoonnummers voor advertentiedoeleinden te gebruiken. Een dergelijke toestemming blijkt ook niet uit de module die een Facebookgebruiker doorliep in de situatie van keuze 1 of die van keuze 2.

Vordering a.i.3 moet dus bij gebrek aan belang worden afgewezen.

Vordering a.i.4 heeft betrekking op gegevensverstrekking door Facebook Ierland aan zogeheten integrated partners.

Integratiepartners zijn bedrijven waarmee Facebook Ierland een samenwerking is aangegaan, waaronder fabrikanten van mobiele telefoons, met als doel om Facebookgebruikers toegang te geven tot de Facebookdienst op uiteenlopende apparaten, besturingsplatforms en besturingssystemen in de periode waarin nog geen apps voor mobiele telefoons beschikbaar waren via app stores van bijvoorbeeld Apple en Google. In de begindagen van het mobiele-telefoontijdperk was er een grote verscheidenheid aan mobiele telefoons. Facebook Ierland had niet de mogelijkheid om versies van de Facebookapplicatie te bouwen die op elke type telefoon en besturingssysteem konden worden gebruikt. Daarom schakelde zij fabrikanten van apparaten in, zoals Blackberry, Samsung, Microsoft en Sony, om apparaat- en platformintegraties te bouwen. Facebook Ierland verleende aan de integratiepartners rechten voor het gebruik van application programming interfaces (API’s) om applicaties en functionaliteiten voor de Facebookdienst te kunnen bouwen. Met behulp van die API’s konden Facebookgebruikers bijvoorbeeld op hun mobiele telefoon toegang krijgen tot de (belangrijkste functionaliteiten van de) Facebookdienst. Telkens wanneer een Facebookgebruiker een applicatie van een integratiepartner gebruikte, had het apparaat van de Facebookgebruiker noodzakelijkerwijs interactie via een API. De integratiepartners hadden via die API toegang tot de (persoons)gegevens van die Facebookgebruiker en hun Facebookvrienden. Vanaf 2015 hadden de integratiepartners niet langer toegang (met uitzondering van Blackberry) tot de informatie van Facebookvrienden.

De Stichting stelt dat Facebook Ierland de Achterban niet (duidelijk) heeft geïnformeerd over het integration partnership-programma en de daarmee verband houdende verwerkingen van de persoonsgegevens van de Achterban. Zij voert daartoe het volgende aan. Uit onderzoek van The New York Times blijkt dat integratiepartners op gelijke wijze als externe ontwikkelaars toegang hadden tot de persoonsgegevens van Facebookgebruikers die van het partnerschap gebruik maakten, met inbegrip van toegang tot de gegevens van hun Facebookvrienden. Voor het beschikbaar maken van de Facebookdienst op de apparaten van de Facebookgebruikers was het bovendien niet nodig dat integratiepartners toegang kregen tot de persoonsgegevens van Facebookvrienden van een gebruiker. Gelet op de omvang van het delen van persoonsgegevens met de integratiepartners had Facebook Ierland hierover in de eerste informatielaag moeten informeren, maar dat heeft zij niet gedaan. Voor zover het Gegevensbeleid als eerste informatielaag zou moeten worden aangemerkt, bevat dat beleid onvolledige informatie. Daarin is niet geïnformeerd over de doeleinden van de verwerking en welke persoonsgegevens worden verwerkt. Ten slotte plaatst de Stichting vraagtekens bij het standpunt van Facebook Ierland, dat Facebook Ierland met de integratiepartners is overeengekomen dat de door hen ontvangen persoonsgegevens niet voor eigen doeleinden mogen gebruiken. Die overeenkomst is niet overgelegd, zodat onzeker is of het standpunt van Facebook Ierland waar is. Om die reden betwist de Stichting dat standpunt.

Facebook Ierland stelt zich op het standpunt dat zij Facebookgebruikers goed heeft geïnformeerd over het integration partnership-programma en de omstandigheid dat gegevens konden worden gedeeld met integratiepartners. Zij voert daartoe het volgende aan. Gedurende de gehele relevante periode heeft Facebook Ierland duidelijk geïnformeerd over alle aspecten van deze gegevensverwerking. Dat heeft zij gedaan in de verschillende versies van haar Gegevensbeleid. Op de inhoud daarvan zijn Facebookgebruikers gewezen voordat zij zich registreerden bij de Facebookdienst. Verder benadrukt Facebook Ierland dat het integratiepartners niet was toegestaan om de data die zij ontvingen via de API’s voor andere, eigen doeleinden te gebruiken zonder de toestemming van de Facebookgebruiker. De integratiepartners verbonden zich tegenover Facebook Ierland er contractueel ook toe dat zij de gegevens waartoe zij toegang hadden alleen te gebruiken voor het aanbieden van een Facebookervaring.

De rechtbank stelt voorop dat, net als bij de externe ontwikkelaars, onderscheid moet worden gemaakt tussen de gegevensverwerking door Facebook Ierland en de (verdere) gegevensverwerking door de integratiepartners. Voor wat betreft het verlenen van toegang aan integratiepartners tot persoonsgegevens van Facebookgebruikers is Facebook Ierland (verwerkings)verantwoordelijk. Zij bepaalt daarvoor immers (mede) het doel en de middelen. Het verlenen van die toegang is in het kader van vordering a.i.4 dan ook aan te merken als de relevante gegevensverwerking. Op die gegevensverwerking hebben de informatieplichten betrekking. Eventuele verdere gegevensverwerking door de integratiepartners valt buiten de (verwerkings)verantwoordelijkheid van Facebook Ierland. De Stichting heeft namelijk geen relevante feiten of omstandigheden gesteld op basis waarvan kan worden vastgesteld dat Facebook Ierland (mede) doel en middelen bepaalt van eventuele verdere (zelfstandige) gegevensverwerking door de integratiepartners.

In het verlengde van het voorgaande is in deze procedure evenmin van belang of Facebook Ierland in de overeenkomsten met de integratiepartners beperkingen heeft opgelegd waarvoor de verkregen persoonsgegevens mogen worden gebruikt. Weliswaar heeft Facebook Ierland in algemene zin een verplichting om zorgvuldig met de persoonsgegevens van haar gebruikers om te gaan en brengt dat onder omstandigheden een verplichting mee om maatregelen te nemen om de (verdere) verwerking van persoonsgegevens aan wie die gegevens worden verstrekt te beperken, maar de Stichting heeft schending van een dergelijke verplichting niet ten grondslag gelegd aan haar vorderingen. Voornoemde verplichting kan ook niet worden geschaard onder de informatieverplichtingen van de artikelen 33 en 34 Wbp of de artikelen 12, 13 en 14 van de AVG, terwijl de door de Stichting gevorderde verklaring voor recht op de schending van die informatieverplichtingen is gebaseerd.

Daarmee komt de rechtbank toe aan de vraag of Facebook Ierland haar gebruikers naar behoren heeft geïnformeerd over de toegang die integratiepartners hadden tot de gegevens van Facebookgebruikers en hun Facebookvrienden.

Uitgangspunt is dat de (verwerkings)verantwoordelijke de relevante informatie over gegevensverwerking aan de betrokkene verstrekt op het moment dat het kennisnemen van die informatie voor de betrokkene het meest relevant is. Dat is in dit geval het moment waarop de Facebookgebruiker de software van de integratiepartner installeert of activeert en vervolgens op de betreffende integratie inlogt in de Facebookapp. Dan is informatie over die gegevensverwerking immers actueel en relevant. Facebook Ierland heeft niet gesteld of, en zo ja hoe, op dat moment aan de Facebookgebruiker informatie is verstrekt over de toegang van de integratiepartner tot de persoonsgegevens van de Facebookgebruiker en diens Facebookvrienden. Dat betekent dat de rechtbank hierover niets kan vaststellen, zodat moet worden geconcludeerd dat Facebook Ierland op dat moment in het geheel niet heeft geïnformeerd over deze gegevensverwerking. In het midden kan blijven of het Gegevensbeleid over die gegevensverwerking (voldoende concrete) informatie bevatte. omdat gesteld noch gebleken is dat bij het voor het eerst inloggen met gebruikmaking van de integratie van de integratiepartner is verwezen naar het Gegevensbeleid van Facebook Ierland. De omstandigheid dat de Facebookgebruiker bij eerste registratie en aanmelding voor de Facebookdienst is geattendeerd op het bestaan van Gegevensbeleid, is niet van belang, omdat op dat moment de gegevensverwerking waar het hier om gaat nog niet noodzakelijkerwijs aan de orde is, zodat dat dat niet het geëigende moment is om te informeren. Een algemene verwijzing naar Gegevensbeleid ten tijde van de registratie bij de Facebookdienst kan daarom in de gegeven omstandigheden niet worden aangemerkt als het voldoen aan de wettelijke informatieverplichting ter zake van deze gegevensverwerking.

Het voorgaande betekent dat het betoog van de Stichting slaagt. Facebook Ierland heeft de Achterban niet geïnformeerd over de toegang van integratiepartners tot persoonsgegevens van Facebookgebruikers en hun Facebookvrienden. Daarmee heeft Facebook Ierland de informatieverplichtingen van artikel 33 leden 2 en 3 Wbp respectievelijk artikel 13 lid 1 AVG geschonden. Aangezien over voornoemde gegevensverwerkingen niet goed is geïnformeerd, zijn die verwerkingen onrechtmatig.

Voor wat betreft de periode waarin de schending van deze informatieverplichtingen zich heeft voorgedaan, geldt het volgende. De Stichting heeft gesteld dat Facebook Ierland gedurende de gehele relevante periode de Achterban niet heeft geïnformeerd over de gegevensverstrekking aan integratiepartners. Door Facebook Ierland is niet weersproken dat zij gedurende de gehele relevante periode samenwerkingen heeft gehad met integratiepartners en dat die partners gedurende die gehele periode toegang hadden tot persoonsgegevens van Facebookgebruikers die gebruik maakten van een API-functionaliteit van een integratiepartner. Ook staat vast dat de integratiepartners tot 2015 op die manier eveneens toegang hadden tot de persoonsgegevens van de Facebookvrienden van die Facebookgebruikers. Vanaf 2015 was Blackberry de enige integratiepartner die nog toegang had tot de gegevens van Facebookvrienden. Daarmee staat vast de schending van de informatieverplichting zich over de gehele relevante periode heeft voorgedaan.

Met inachtneming van het voorgaande is de gevorderde verklaring voor recht toewijsbaar.

De Stichting betoogt dat Facebook Ierland geen rechtsgeldige grondslag had voor de verwerking van persoonsgegevens van de Achterban voor advertentiedoeleinden. Door die persoonsgegevens niettemin voor advertentiedoeleinden te verwerken, heeft Facebook Ierland volgens de Stichting de privacyrechten van de Achterban geschonden. Op dit verwijt heeft vordering a.ii.1 betrekking (zie hiervoor r.o. 5.1).

Zowel artikel 8 Wbp (dat de implementatie was van artikel 7 Privacyrichtlijn) als artikel 6 AVG bevat een limitatieve opsomming van de gronden die een gegevensverwerking rechtvaardigen.

Bescherming van persoonsgegevens is een grondrecht dat onder meer wordt beschermd door artikel 8 EVRM. (Voetnoot 20) Bij elke gegevensverwerking, zowel onder de Wbp als onder de AVG, moet zijn voldaan aan de beginselen van proportionaliteit en subsidiariteit. Dit brengt mee dat de inbreuk op de belangen van een betrokkene niet onevenredig mag zijn in verhouding tot het met de verwerking te dienen doel, en dat dit doel in redelijkheid niet op een andere, voor de betrokkene minder nadelige, wijze kan worden verwerkelijkt. (Voetnoot 21)

Zowel onder de Wbp als onder de AVG is het aan de (verwerkings)verantwoordelijke om aan te tonen dat de gegevensverwerking rechtmatig is. (Voetnoot 22) Op Facebook Ierland rust dus de bewijslast dat zij over een geldige grondslag beschikte voor de verwerking van persoonsgegevens van Facebookgebruikers voor advertentiedoeleinden.

Voor dat deel van de relevante periode dat de AVG van toepassing was, beroept Facebook Ierland zich in zijn algemeenheid (uitsluitend) op de grondslag contractuele noodzaak (artikel 6 onder b AVG). Voor een aantal specifieke situaties beroept Facebook Ierland zich onder de AVG op toestemming (artikel 6 onder a AVG). Of in die specifieke situaties voldaan is aan de vereisten voor toestemming, ligt in deze procedure niet ter beoordeling voor, met uitzondering van de verwerking van bijzondere persoonsgegevens (zie hierna hoofdstuk 13 van dit vonnis).

De rechtbank zal hierna eerst de door Facebook Ierland aangevoerde grondslag van contractuele noodzaak (artikel 8 aanhef en onder a Wbp; artikel 6 lid 1 onder a AVG) beoordelen, omdat deze grondslag voor de gehele relevante periode is ingeroepen.

Facebook Ierland stelt zich op het standpunt dat de verwerking van persoonsgegevens voor advertentiedoeleinden noodzakelijk was om uitvoering te geven aan de overeenkomst. Zij voert daartoe het volgende aan. De Facebookdienst is in de kern een gepersonaliseerde dienst, hetgeen ook blijkt uit de Gebruikersvoorwaarden. Het aanbieden van gepersonaliseerde inhoud omvatte ook (gerichte) advertenties. In de Gebruikersvoorwaarden, waarmee een gebruiker instemt bij registratie, zijn de rechten en plichten van partijen vastgelegd. In het kader van die voorwaarden heeft Facebook Ierland zich ertoe verbonden de Facebookdienst te verlenen. De Gebruikersvoorwaarden bevatten ten tijde van de Wbp steeds een onderdeel met de titel “Over advertenties en andere commerciële inhoud die worden geboden of verbeterd door Facebook”. Daarin werd beschreven dat de advertenties waardevol voor gebruikers moesten zijn. Ook ten tijde van de AVG is in de voorwaarden aan gebruikers duidelijk gemaakt dat zij reclame te zien krijgen die op hun interesses is afgestemd. De verwerking van persoonsgegevens voor het kunnen aanbieden van gepersonaliseerde inhoud, waaronder advertenties, behoorde dus tot de kern van de dienst die Facebook Ierland aanbood en leverde. Daarom was deze verwerking voor Facebook Ierland volgens haar noodzakelijk om haar contractuele verplichtingen na te kunnen komen.

De Stichting bestrijdt dat de verwerking van persoonsgegevens voor advertentiedoeleinden noodzakelijk was voor de uitvoering van de gebruikersovereenkomst tussen Facebook Ierland en de leden van de Achterban. Daartoe voert de Stichting aan dat voor een gebruiker de personalisatie van advertenties niet de reden is om zich aan te melden voor de Facebookdienst. De kerngedachte van de Facebookdienst is het aanbieden van een sociaal netwerk waarmee gebruikers in staat zijn contacten met anderen te kunnen onderhouden. Gebruikers hoefden ook niet te verwachten dat hen gerichte en gepersonaliseerde advertenties worden aangeboden. De Stichting verwijst naar richtsnoeren van de EDPB uit 2019 over de toepassing van de AVG. Daaruit staat dat de verwerking van persoonsgegevens voor ‘behavioural advertising’ niet noodzakelijk is voor de uitvoering van een overeenkomst. Volgens de Stichting kan een sociaal netwerk, zoals de Facebookdienst, overigens ook worden aangeboden zonder persoonsgegevens te verwerken voor commerciële of advertentiedoeleinden.

De rechtbank overweegt als volgt.

Voor de door Facebook Ierland ingeroepen grond van contractuele noodzaak is vereist dat de verwerking van persoonsgegevens voor advertentiedoeleinden noodzakelijk is voor de uitvoering van de overeenkomst tussen Facebook Ierland en de gebruiker van de Facebookdienst. Er is, mede gelet op hetgeen hierna in r.o. 12.13 wordt overwogen, geen reden om deze grondslag onder de Wbp anders uit te leggen dan onder de AVG. Qua bewoordingen stemmen artikel 8 Wbp en artikel 6 AVG op dit punt bovendien overeen.

Uit de rechtspraak van het HvJ EU volgt dat het begrip ‘noodzakelijk’ in de verschillende onderdelen van artikel 7 van de Privacyrichtlijn en artikel 6 AVG een autonoom begrip van het Unierecht is. (Voetnoot 23)Over de uitleg van het criterium “noodzakelijk voor de uitvoering van de overeenkomst” heeft het HvJ EU zich nog niet uitgelaten.

Voor de uitleg van de grondslag ‘contractuele noodzaak’ acht de rechtbank mede van belang de adviezen en richtsnoeren van de Werkgroep Gegevensbescherming Artikel 29 (hierna ook: WP29) en van de European Data Protection Board (hierna: EDPB). WP29 was ten tijde van de Wbp het onafhankelijke advies- en overlegorgaan van Europese privacy-toezichthouders en bestond uit de nationale privacy-toezichthouders van de EU-lidstaten en de European Data Protection Supervisor (EDPS). De EDPS houdt toezicht op de verwerking van persoonsgegevens bij de instellingen en organen van de EU. WP29 had een onafhankelijk en raadgevend karakter (artikel 29 lid 1 Privacyrichtlijn) en haar belangrijkste taak was het bevorderen van een uniforme toepassing van de principes uit de Privacyrichtlijn (artikel 30 lid 1, onderdeel a, Privacyrichtlijn). EDPB is sinds de inwerkingtreding van de AVG de opvolger van WP29.

Uit het voorgaande volgt dat de verwerkingsgrond van contractuele noodzaak strikt moet worden geïnterpreteerd, waarbij het van belang is om vast te stellen of de verwerking daadwerkelijk en objectief noodzakelijk is voor de uitvoering van de overeenkomst. Daarbij speelt ook een rol wat de gebruiker redelijkerwijs mocht verwachten.

Het meest wezenlijke kenmerk van de overeenkomst die een gebruiker van de Facebookdienst aangaat met Facebook Ierland is naar het oordeel van de rechtbank het aanbieden van (een profiel op) een sociaal netwerk. Dat is ook wat een gemiddelde gebruiker als de belangrijkste doelstelling van de gebruikersovereenkomst mocht begrijpen. De Facebookdienst presenteert zich immers als een sociaal media-platform en een sociaal netwerk. Zo staat, voorafgaand aan registratie of aanmelding, op het startscherm van de website van de Facebookdienst in grote letters: “Met Facebook ben je verbonden en deel je alles met iedereen in je leven.” Dat de nadruk ligt op het karakter van sociaal netwerk en het onderhouden van contacten met anderen, blijkt ook uit de manier waarop (een profiel op) het Facebookplatform is ingericht, met prominente aandacht voor (het zoeken van) vrienden en het delen van informatie. Dat Facebook Ierland haar gebruikers daarnaast gepersonaliseerde advertenties toont en zich daartoe naar eigen zeggen heeft verplicht in de gebruikersovereenkomst, is in zoverre van ondergeschikt belang en zodoende niet beslissend.

Aangezien de belangrijkste en wederzijds begrepen doelstelling van de gebruikersovereenkomst het aanbieden van een profiel op een sociaal netwerk is, moet de vraag naar de noodzakelijkheid in het licht van die doelstelling worden beoordeeld. Gesteld noch gebleken is dat het aanbieden van een profiel op het sociale netwerk feitelijk niet kan worden uitgevoerd als de verwerking van persoonsgegevens voor advertentiedoeleinden niet plaatsvindt. Dat dat niet zou kunnen, staat dus niet vast. Voor het aanbieden van een profiel op het sociale netwerk van het Facebookplatform is dus niet objectief en daadwerkelijk noodzakelijk dat Facebook Ierland persoonsgegevens van een gebruiker verwerkt voor advertentiedoeleinden.

De conclusie is daarom dat de verwerking van persoonsgegevens voor advertentiedoeleinden niet noodzakelijk is voor de uitvoering van de overeenkomst tussen Facebook Ierland en een gebruiker van de Facebookdienst. Facebook Ierland kan dus noch onder de Wbp, noch onder de AVG een geslaagd beroep doen op contractuele noodzaak (als bedoeld in artikel 8 aanhef en onder b Wbp respectievelijk artikel 6 lid 1 onder b AVG) als verwerkingsgrondslag.

Dat betekent dat gedurende het deel van de relevante periode dat de AVG gold er geen rechtsgeldige grondslag was voor verwerking door Facebook Ierland van (algemene) persoonsgegevens van gebruikers voor advertentiedoeleinden.

Voor de periode dat de Wbp van toepassing was, zullen hierna de twee andere door Facebook Ierland aangevoerde grondslagen (toestemming en gerechtvaardigd belang) nog worden beoordeeld.

Bij de betekenis en uitleg van het begrip toestemming neemt de rechtbank het volgende in aanmerking.

Toestemming moet voorafgaand aan de gegevensverwerking worden verkregen.

In artikel 1 aanhef en onder i Wbp (als implementatie van artikel 2 onder h van de Privacyrichtlijn) is het begrip toestemming als volgt gedefinieerd: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt. In artikel 8 aanhef en onder a Wbp is bepaald dat de toestemming ondubbelzinnig moet zijn verleend.

Dit betekent dat een wilsuiting aan de volgende eisen moet voldoen, voordat sprake is van toestemming als bedoeld in artikel 8 Wbp. De wilsuiting moet 1) vrij, 2) specifiek, 3) geïnformeerd en 4) ondubbelzinnig zijn. Daarnaast moet de wilsuiting gericht zijn op aanvaarding van de verwerking van de betrokkene betreffende persoonsgegevens.

De rechtbank acht voor de uitleg van het begrip toestemming in de Privacyrichtlijn ook de adviezen van WP29 van belang. Aangezien het in deze procedure gaat om dienstverlening die online plaatsvindt, betrekt de rechtbank daarnaast ook de richtsnoeren van EDPB daarbij, voor zover die richtsnoeren zien op informatieverplichtingen in de digitale context.

In 2011 heeft WP29 een uitgebreid advies uitgebracht over de definitie van het begrip toestemming in de Privacyrichtlijn. In dat advies staat onder meer het volgende (Voetnoot 29):

In dit verband zijn ook relevant de hiervoor onder 11.13 vermelde Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679 van 11 april 2018 van de Groep Gegevensbescherming artikel 29 over gelaagde privacyverklaringen in de digitale context.

Gedurende de tijd dat de Wbp van toepassing was, is de informatieverstrekking door Facebook Ierland en de manier waarop zij toestemming vroeg voor de verwerking van persoonsgegevens, verschillend geweest. Zo verschilde in de loop der tijd het registratieproces en hanteerde Facebook Ierland achtereenvolgens verschillende Gebruikersvoorwaarden en Gegevensbeleid. In navolging van partijen zal de rechtbank daarom bij de beoordeling onderscheid maken tussen drie tijdvakken (periodes A, B en C).

Facebook Ierland heeft onweersproken toegelicht dat de accountregistratie van een nieuwe gebruiker in deze periode uit twee stappen bestond en als volgt verliep. Nadat de nieuwe gebruiker zijn eerste gegevens, zoals naam, e-mailadres en wachtwoord had ingevuld, werd hij doorgestuurd naar een tweede pagina. Op die tweede pagina kon hij op een knop ‘Registreren’ klikken. Daarbij was vermeld, dat door op de knop ‘Registreren’ te klikken de gebruiker bevestigde dat hij akkoord ging met de voorwaarden en dat hij het Gegevensbeleid had gelezen. Deze tekst bevatte een hyperlink naar de Gebruikersvoorwaarden en het Gegevensbeleid.

De toen geldende versies van het (in het Engels gestelde) Gegevensbeleid (getiteld: Privacy Policy) besloegen steeds vier of vijf pagina’s in een relatief klein lettertype. In de versie van het Gegevensbeleid van 22 december 2010 stond onder meer het volgende:

De andere versies van het Gegevensbeleid die in deze periode van kracht waren, bevatten in dezelfde of vergelijkbare bewoordingen informatie over hoe Facebook Ierland de informatie van haar gebruikers gebruikt.

De vraag die moet worden beantwoord, is of de leesbevestiging die Facebook Ierland in periode A bij registratie van haar gebruikers heeft verkregen, kan worden aangemerkt als een rechtsgeldige toestemming voor de verwerking van persoonsgegevens voor advertentiedoeleinden. De rechtbank beantwoordt die vraag ontkennend.

Voor zover Facebook Ierland heeft bedoeld te betogen dat de leesbevestiging bij registratie in combinatie met het gebruik van de Facebookdienst als zodanig als een geldige toestemming kwalificeert vanwege de verwachtingen die de gebruiker mocht hebben, verwerpt de rechtbank dat standpunt. Een gebruiker die zich aanmeldt voor de Facebookdienst mag verwachten dat zijn persoonsgegevens door Facebook Ierland worden verwerkt met het oog op het door Facebook Ierland faciliteren van de deelname van de gebruiker aan het sociale netwerk dat het Facebookplatform biedt. Naar het oordeel van de rechtbank hoeft een gemiddelde gebruiker er daarentegen – anders dan Facebook Ierland heeft betoogd – niet bedacht op te zijn dat zijn persoonsgegevens ook voor andere doeleinden worden verwerkt, zoals de door Facebook Ierland gebezigde advertentiedoeleinden. Om die reden kan ook niet worden gezegd dat op de gebruiker op dit punt een onderzoeksplicht rustte. In dit geval ligt in het gebruik van de Facebookdienst dus niet een (ondubbelzinnige) toestemming besloten voor de verwerking van persoonsgegevens voor advertentiedoeleinden.

De omstandigheid dat gebruikers (op andere via het Gegevensbeleid te bereiken pagina’s) binnen het Facebookplatform zelf konden instellen hoe Facebook Ierland hun persoonsgegevens mocht verwerken voor advertentiedoeleinden, is niet van belang. Het gaat immers erom dat de gebruiker vooraf moet worden geïnformeerd over die gegevensverwerking en dat daar vooraf toestemming voor moet worden verkregen.

Het voorgaande betekent dat Facebook Ierland zich voor de vereiste toestemming voor de verwerking van persoonsgegevens voor advertentiedoeleinden niet kan beroepen op de leesbevestiging van het Gegevensbeleid bij registratie.

Verder heeft Facebook Ierland nog verwezen naar latere akkoordverklaringen die bestaande gebruikers volgens Facebook Ierland gaven wanneer wijzigingen in het Gegevensbeleid waren aangebracht. Ook dit kan Facebook Ierland niet baten. In die gevallen kreeg een gebruiker een bericht of notificatie waarin was vermeld dat door gebruik te blijven maken van de diensten van Facebook Ierland de gebruiker akkoord ging met bijgewerkte Gebruikersvoorwaarden, Gegevensbeleid en cookiebeleid. Het voortgezette gebruik na kennisname van een dergelijke mededeling kan niet worden beschouwd als een specifieke, op informatie berustende en ondubbelzinnige wilsuiting voor de verwerking van persoonsgegevens voor advertentiedoeleinden. De voor die verwerking relevante informatie werd immers niet verstrekt in het bericht of de notificatie en de enkele daarin opgenomen verwijzing naar gewijzigde Gebruikersvoorwaarden en/of Gegevensbeleid voldoet niet aan de daaraan te stellen eisen.

Niet gesteld of gebleken is dat Facebook Ierland, naast hetgeen hiervoor is besproken, nog op een andere manier toestemming heeft geprobeerd te vragen en te verkrijgen voor het verwerken van persoonsgegevens voor advertentiedoeleinden.

De conclusie is daarom dat Facebook Ierland in periode A geen rechtsgeldige toestemming heeft verkregen van de Achterban voor gegevensverwerking voor advertentiedoeleinden.

Facebook Ierland heeft onweersproken toegelicht dat een nieuwe gebruiker die zich in deze periode bij de Facebookdienst wilde registreren, het volgende te zien kreeg:

De in deze periode geldende versies van het (in het Nederlandse gestelde) Gegevensbeleid besloegen ongeveer zeven pagina’s in een relatief klein lettertype. In de versie van het Gegevensbeleid van 8 juni 2012 stond onder meer het volgende:

De andere versies van het Gegevensbeleid die in deze periode van kracht waren, bevatten in dezelfde of vergelijkbare bewoordingen informatie over hoe Facebook Ierland de informatie van haar gebruikers gebruikt.

Naar het oordeel van de rechtbank waren in periode B de wijze van registratie, de leesbevestiging door de gebruiker en de inhoud en wijze van informatieverstrekking door Facebook Ierland niet wezenlijk verschillend ten opzichte van periode A. Hetgeen de rechtbank hiervoor in r.o. 12.33-12.39 heeft overwogen over periode A geldt daarom eveneens voor periode B. Dat betekent dat de vereiste toestemming ook voor periode B niet kan worden gebaseerd op de leesbevestiging bij registratie of op latere akkoordverklaring bij wijzigingen van het Gegevensbeleid.

Ook in periode B heeft Facebook dus geen rechtsgeldige toestemming verkregen van de Achterban voor gegevensverwerking voor advertentiedoeleinden.

Facebook Ierland heeft onweersproken toegelicht dat een nieuwe gebruiker die zich in deze periode bij de Facebookdienst wilde registreren, het volgende te zien kreeg:

De in deze periode geldende versie (van 30 januari 2015) van de (in het Nederlands gestelde) Gebruikersvoorwaarden (getiteld: Verklaring van rechten en verantwoordelijkheden) besloeg vier pagina’s in een relatief klein lettertype en bevatte 18 verschillende bepalingen. Aan het slot van de Gebruikersvoorwaarden stond (vetgedrukt):

De in deze periode geldende versies van het (in het Nederlands gestelde) Gegevensbeleid besloegen ongeveer twee pagina’s in een relatief klein lettertype. In de versie van 30 januari 2015 van het Gegevensbeleid staat onder meer het volgende:

De andere versie van het Gegevensbeleid dat in deze periode van kracht was, bevatte in dezelfde of vergelijkbare bewoordingen informatie over hoe Facebook Ierland de informatie van haar gebruikers gebruikt en hoe deze wordt gedeeld.

Beoordeeld moet worden of Facebook Ierland in periode C bij het registratieproces van een nieuwe gebruiker rechtsgeldig toestemming heeft verkregen voor de verwerking van persoonsgegevens voor advertentiedoeleinden.

Vast staat dat de informatie bij de knop “Registreren” in periode C hetzelfde was als in de periodes A en B. De gebruiker werd bij de knop “Registreren” ook in de periode C erop gewezen dat hij akkoord ging met de Gebruikersvoorwaarden. Als het gaat om het Gegevensbeleid bevestigde de gebruiker uitsluitend dat hij dat beleid had gelezen. Facebook Ierland heeft naar voren gebracht dat de gebruiker niettemin heeft ingestemd met het Gegevensbeleid, doordat die instemming in periode C in de Gebruikersvoorwaarden stond. De rechtbank is van oordeel dat deze getrapte vorm van het verkrijgen van instemming in dit geval niet voldoet aan de eisen die worden gesteld aan toestemming in de zin van artikel 7 Privacyrichtlijn. Daartoe is het volgende redengevend.

De gebruiker is in het registratiescherm weliswaar gevraagd akkoord te gaan met de Gebruikersvoorwaarden, maar om te zien waarmee hij akkoord ging, moest hij doorklikken en de Gebruikersvoorwaarden raadplegen. Dat is op zichzelf niet een ontoelaatbare wijze van het verkrijgen van toestemming, maar dan moet dat document wel de belangrijkste informatie over gegevensverwerking bevatten. Dat was hier niet het geval. Gesteld noch gebleken is dat de Gebruikersvoorwaarden (adequate) informatie over gegevensverwerking voor advertentiedoeleinden bevatten. Aan het slot van de Gebruikersvoorwaarden stond dat de gebruiker, door Facebookdiensten te gebruiken of te openen, ermee instemt dat Facebook Ierland deze inhoud en informatie kunnen gebruiken en verzamelen in overeenstemming met het Gegevensbeleid. Een dergelijke in Gebruikersvoorwaarden verstopte ‘instemming’, die bovendien op zijn beurt weer verwijst naar een andere informatielaag, is te indirect om te kunnen worden aangemerkt als een ondubbelzinnige wilsuiting. Een gemiddelde gebruiker zal zich er bij het aanklikken van de knop “Registreren”, ook na raadpleging van de Gebruikersvoorwaarden, redelijkerwijs niet bewust van zijn voor welke gegevensverwerkingen hij geacht wordt zijn instemming te hebben gegeven.

Deze indirecte en verhulde manier van het trachten te verkrijgen van instemming voldoet ook niet aan de eisen dat de gevraagde toestemming voldoende specifiek en op informatie gebaseerd moet zijn. De algemeen geformuleerde ‘instemming’ aan het slot van de Gebruikersvoorwaarden is eenvoudigweg niet specifiek genoeg. Ook is de informatie over gegevensverwerking niet rechtstreeks verstrekt op de plek waar om toestemming is gevraagd (in het scherm om zich te registreren of in de Gebruikersvoorwaarden), maar op een andere plaats, namelijk in het Gegevensbeleid. Facebook Ierland heeft het op deze manier te moeilijk gemaakt voor de gemiddelde gebruiker om op een adequate manier op de hoogte te worden gebracht van de relevante informatie over de gegevensverwerking. Een gemiddelde gebruiker heeft dus niet kunnen begrijpen wat de volle omvang van de gevolgen van de gegevensverwerking zou zijn.

Bij de registratie van een nieuwe gebruiker heeft Facebook Ierland dus geen toestemming verkregen voor de gegevensverwerking voor advertentiedoeleinden. Ook is niet op andere wijze toestemming verkregen. In dit verband geldt hetzelfde als hiervoor in r.o. 12.36, 12.38 en 12.39 is geoordeeld.

Ook in periode C heeft Facebook dus geen rechtsgeldige toestemming verkregen van de Achterban voor gegevensverwerking voor advertentiedoeleinden.

Facebook Ierland stelt zich op het standpunt dat zij onder de Wbp een gerechtvaardigd belang had om persoonsgegevens te verwerken voor advertentiedoeleinden. Zij voert daartoe het volgende aan. Facebook Ierland heeft gebruikers altijd een gratis dienst kunnen aanbieden dankzij advertenties. Het bedrijfsmodel van Facebook Ierland is gebaseerd op de verkoop van gepersonaliseerde advertentieruimte op het Facebookplatform. Een dergelijk ‘advertentiegedreven’ bedrijfsmodel is gemeengoed geworden onder onlinedienstverleners en bij dat model bestaat ook een legitiem economisch belang. Zonder de inkomsten uit gepersonaliseerde advertenties zou Facebook Ierland haar gebruikers geen gratis dienst kunnen aanbieden. Het gerechtvaardigde belang van Facebook Ierland om een gepersonaliseerde ervaring te kunnen bieden, heeft geen afbreuk gedaan aan de belangen of de fundamentele rechten en vrijheden van de gebruikers. Integendeel, zowel Facebook Ierland als de gebruikers hebben er baat bij dat personalisatie de gebruikers een betere ervaring op het Facebookplatform biedt. Als er al rechten of belangen van betrokkenen in het geding zouden zijn geweest, valt niet in te zien waarom die prevaleerden boven het gerechtvaardigde belang van Facebook Ierland. Gebruikers konden namelijk redelijkerwijs verwachten dat de Facebookdienst kosteloos zou worden verstrekt en dat hun persoonsgegevens zouden worden verwerkt voor advertentiedoeleinden en gepersonaliseerde advertenties. Bovendien hadden de gebruikers verschillende mogelijkheden om via de privacy-instellingen controle uit te oefenen over hun gegevensverwerking en advertentievoorkeuren.

De Stichting bestrijdt dat Facebook Ierland voor de verwerking van persoonsgegevens voor advertentiedoeleinden gebruik kan maken van de grondslag ‘gerechtvaardigd belang’. Daartoe voert zij het volgende aan. De commercialisering van een zogenaamd gratis aangeboden dienst is geen gerechtvaardigd belang. Daarnaast is de verwerking ook niet noodzakelijk om dat belang te behartigen. Het aanbieden van gepersonaliseerde advertenties is namelijk niet noodzakelijk om de Facebookdienst aan te bieden; de Facebookdienst werkt ook zonder gepersonaliseerde advertenties. Bij het noodzakelijkheidsvereiste is ook van belang dat Facebook Ierland haar gebruikers niet op transparante wijze heeft geïnformeerd. Dat betekent dat hetzelfde doel met minder inbreukmakende middelen had kunnen worden bereikt. Ten slotte is niet voldaan aan de eis dat de belangen of fundamentele rechten van de gebruikers niet onevenredig worden aangetast, omdat Facebook Ierland geen concrete belangenafweging heeft gemaakt. De door Facebook Ierland gemaakte abstracte belangenafweging volstaat niet.

Bij de beoordeling van de vraag of de gegevensverwerking voor advertentiedoeleinden noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke slaat de rechtbank niet alleen acht op de rechtspraak van het HvJ EU maar ook op de adviezen van WP29.

Volgens vaste rechtspraak (Voetnoot 30) van het HvJ moet aan drie cumulatieve voorwaarden worden voldaan om persoonsgegevens op basis van de grondslag van gerechtvaardigd belang te kunnen verwerken:

Uit de rechtspraak van het HvJ blijkt dat een gerechtvaardigd belang (de eerste voorwaarde) op de datum van de verwerking bestaand, actueel en niet van hypothetische aard moet zijn. (Voetnoot 31)

WP29 heeft een advies uitgebracht over het begrip gerechtvaardigd belang in artikel 7 van de Privacyrichtlijn (waarvan artikel 8 Wbp de implementatie vormde). In dat advies staat onder meer het volgende (Voetnoot 32):

- rechtmatig zijn (d.w.z. in overeenstemming met toepasselijk EU- en nationaal recht);

- voldoende duidelijk zijn verwoord om de afweging uit te kunnen voeren met de belangen en fundamentele rechten van de betrokkene (d.w.z. voldoende specifiek);

- een werkelijk en aanwezig belang vertegenwoordigen (d.w.z. niet speculatief zijn).

Met betrekking tot de tweede voorwaarde – dat de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke – geldt volgens vaste rechtspraak van het HvJ EU dat de uitzonderingen op de bescherming van persoonsgegevens en de beperkingen ervan binnen de grenzen van het strikt noodzakelijke moeten blijven. (Voetnoot 33)

In het advies van WP29 uit 2014 (Voetnoot 34) is over de tweede voorwaarde onder meer het volgende opgenomen:

Bij de vraag of aan het noodzakelijkheidsvereiste is voldaan moet met name worden getoetst aan de eisen van proportionaliteit en subsidiariteit. Het proportionaliteitsbeginsel houdt in dat de inbreuk op de belangen van de betrokkene niet onevenredig mag zijn in verhouding tot het met de verwerking te dienen doel. Ingevolge het subsidiariteitsbeginsel mag het doel waarvoor de persoonsgegevens worden verwerkt in redelijkheid niet op een andere, voor de betrokkene minder nadelige wijze kunnen worden verwerkelijkt.

Met betrekking tot de derde voorwaarde – de (nadere) afweging van de betrokken rechten en belangen – geldt volgens vaste rechtspraak van het HvJ dat die afweging en de uitkomst daarvan in beginsel afhangt van de bijzondere omstandigheden van een concreet geval.  (Voetnoot 35)

In het advies van WP29 uit 2014 (Voetnoot 36) staat over de derde voorwaarde onder meer het volgende:

- de omstandigheid dat de gegevensverwerking al of niet noodzakelijk is voor de uitoefening van een fundamenteel recht, of

- anderszins in het algemeen belang is of in de desbetreffende gemeenschap sociaal, cultureel of in wet- of regelgeving is erkend;

- de aard van de gegevens, zoals de omstandigheid dat de verwerking al of niet betrekking heeft op gegevens die als gevoelig kunnen worden beschouwd of die zijn verkregen uit openbaar beschikbare bronnen,

- de manier waarop de gegevens worden verwerkt, waaronder de omstandigheid dat de gegevens al of niet openbaar zijn gemaakt of anderszins toegankelijk zijn gemaakt voor een groot aantal personen of dat grote hoeveelheden persoonsgegevens worden verwerkt in combinatie met andere gegevens (bv. in het geval van profilering, ten behoeve van commerciële, wetshandhavings- of andere doeleinden),

- de redelijke verwachtingen van de betrokkene, met name met betrekking tot het gebruik en de openbaarmaking van de gegevens in de desbetreffende context,

- de status van de voor de verwerking verantwoordelijke en de betrokkene, waaronder het machtsevenwicht tussen de betrokkene en de voor de gegevensverwerking verantwoordelijke en de factor of de betrokkene een kind is of anderszins behoort tot een kwetsbaarder segment van de bevolking;

- gegevensminimalisering (bv. strikte beperking van de verzameling van gegevens, of de onmiddellijke verwijdering van gegevens na het gebruik),

- technische en organisatorische maatregelen om te verzekeren dat de gegevens niet kunnen worden gebruikt om besluiten te nemen of andere acties te ondernemen ten aanzien van personen ("functionele scheiding"),

- uitgebreid gebruik van anonimiseringstechnieken, gegevensaggregatie, privacyverbeterende technologieën, "Privacy by Design", privacy- en gegevensbeschermingseffectbeoordelingen,

- verbeterde transparantie, een algemeen en onvoorwaardelijk recht op opt-out, gegevensoverdraagbaarheid en verwante maatregelen om betrokkenen meer controle te bieden.

- het bestaan van sommige, en de mogelijke behoefte aan, aanvullende maatregelen ter verbetering van de transparantie en verantwoording;

- het recht van verzet van de betrokkene tegen de verwerking, en verdergaand dan dat verzet, de beschikbaarheid van een opt-outmogelijkheid zonder de noodzaak van een nadere rechtvaardiging;

- het betrokkenen meer controle geven: gegevensoverdraagbaarheid en de beschikbaarheid van bruikbare mechanismen voor de betrokkene om toegang te krijgen tot zijn eigen gegevens en deze te wijzigen, verwijderen, over te dragen of anderszins verder te verwerken (of derden deze verder te laten verwerken).

In het kader van de eerste voorwaarde moet worden beoordeeld of Facebook Ierland een gerechtvaardigd belang heeft bij het verwerken van persoonsgegevens voor advertentiedoeleinden. Het belang dat Facebook Ierland stelt na te streven met die verwerking houdt verband met het door haar gehanteerde bedrijfsmodel, dat gebaseerd is op de verkoop van gepersonaliseerde advertentieruimte, en bestaat er mede uit dat aan de gebruikers een gepersonaliseerde ervaring kan worden geboden. Zonder de inkomsten uit gepersonaliseerde reclame, zo stelt Facebook Ierland, zou zij haar gebruikers geen gratis dienst kunnen aanbieden. Hieruit blijkt dat commerciële belangen voor Facebook Ierland een belangrijke rol spelen bij de verwerking van persoonsgegevens voor advertentiedoeleinden.

Als tweede voorwaarde geldt dat voldaan moet zijn aan het noodzakelijkheidsvereiste. Dit vergt een toetsing aan de eisen van proportionaliteit en subsidiariteit. Om die toetsing mogelijk te maken, moet Facebook Ierland – op wie de bewijslast van een rechtmatige gegevensverwerking rust – inzicht geven in de door haar gemaakte afweging en voldoende relevante feitelijke gegevens verschaffen. Dat heeft zij onvoldoende gedaan. Facebook Ierland is in haar stellingname niet kenbaar ingegaan op de eisen van proportionaliteit en subsidiariteit. Zij heeft slechts gesteld dat haar belangen en die van haar gebruikers parallel lopen, omdat ook gebruikers baat hebben bij personalisatie. Daarmee miskent Facebook Ierland dat gebruikers recht hebben op en belang hebben bij bescherming van hun persoonlijke levenssfeer en hun persoonsgegevens, en dat de verwerking van persoonsgegevens voor advertentiedoeleinden daar afbreuk aan kan doen. Verder moet de (verwerkings)verantwoordelijke rekening houden met de redelijke verwachtingen van betrokkenen. Niet gebleken is dat Facebook Ierland dat daadwerkelijk heeft gedaan. Zij heeft slechts gesteld dat gebruikers van de Facebookdienst redelijkerwijs verwachtten dat hun persoonsgegevens zouden worden verwerkt, omdat zij daarover duidelijk waren geïnformeerd. De rechtbank volgt Facebook Ierland hierin niet. Voor de vraag of in dit verband voldoende duidelijk is geïnformeerd, moet er rekening mee worden gehouden dat gebruikers van een dienst die als gratis wordt gepresenteerd zich vaak niet volledig bewust zijn van de mate waarin hun persoonsgegevens worden verwerkt en hun activiteiten worden bijgehouden. De (verwerkings)verantwoordelijke dient daarom transparant te zijn over die verwerking en over zijn bedrijfsmodel. Dat betekent dat aan gebruikers ook duidelijk moet worden gemaakt dat tegenover het als gratis aanbieden van de dienst staat dat de persoonsgegevens van gebruikers voor advertentiedoeleinden worden verwerkt. Facebook Ierland is daarover in haar voorwaarden en gegevensbeleid onvoldoende transparant geweest. Ook als het gaat om de mogelijkheden die Facebook Ierland zegt te hebben geboden aan gebruikers om controle uit te oefenen over de verwerking van hun persoonsgegevens en advertentievoorkeuren middels de diverse privacy-instellingen, heeft te gelden dat die instellingen verspreid waren over allerlei verschillende onderdelen en webpagina’s van het Facebookplatform en daarmee weinig overzichtelijk waren. Daarnaast geldt nog dat het vragen van toestemming voor gegevensverwerking als minder inbreukmakend heeft te gelden. De door Facebook Ierland gevraagde toestemming voldeed niet aan de daaraan te stellen eisen. Door niet op een geldige manier toestemming te vragen waar dat wel had gekund, is dus evenmin voldaan aan de eisen van proportionaliteit en subsidiariteit.

Aan het voorgaande kan ten slotte nog worden toegevoegd dat Facebook Ierland het standpunt van de Stichting niet heeft weersproken, dat Facebook Ierland ook kan volstaan met de verkoop van advertenties die niet of minder gepersonaliseerd zijn. Daarmee kunnen eveneens reclame-inkomsten worden gegenereerd. Gesteld noch gebleken is dat in zo’n geval het gratis aanbieden van de Facebookdienst niet mogelijk zou zijn. Dat betekent dat ervan uit moeten worden gegaan dat het doel waarvoor de persoonsgegevens werden verwerkt ook in dit opzicht op een andere, voor de betrokkene minder nadelige wijze, kon worden verwerkelijkt.

Hetgeen hiervoor is geoordeeld, betekent dat Facebook Ierland niet heeft aangetoond dat haar gegevensverwerking voor advertentiedoeleinden voldoet aan de eisen van proportionaliteit en subsidiariteit. Nu niet voldaan is aan de tweede voorwaarde van artikel 8 aanhef en onder f Wbp behoeft de derde voorwaarde geen bespreking meer.

De conclusie is dat niet is komen vast te staan dat de verwerking van persoonsgegevens voor advertentiedoeleinden noodzakelijk was voor een gerechtvaardigd belang van Facebook Ierland. Voor een dergelijke verwerking kan gedurende de Wbp-periode dus ook het bepaalde in artikel 8 aanhef en onder f Wbp niet dienen als verwerkingsgrondslag.

De slotsom is dat Facebook Ierland zich op geen van de door haar aangevoerde verwerkingsgrondslagen kan beroepen voor de verwerking van persoonsgegevens voor advertentiedoeleinden. Gesteld noch gebleken is dat voor die verwerking een andere verwerkingsgrondslag in aanmerking komt. Dat betekent dat de verwerking van persoonsgegevens van de Achterban voor advertentiedoeleinden in de gehele periode van 1 april 2010 tot 1 januari 2020 niet geoorloofd was. Door die persoonsgegevens wel te verwerken voor advertentiedoeleinden, zonder dat daarvoor een wettelijke grondslag was, heeft Facebook Ierland inbreuk gemaakt op het door onder meer artikel 8 EVRM beschermde grondrecht van bescherming van persoonsgegevens van de Achterban. Daarmee heeft Facebook Ierland (toerekenbaar) onrechtmatig gehandeld tegenover de leden van de Achterban. De door de Stichting als a.ii.1 gevorderde verklaring voor recht is daarmee toewijsbaar voor de gehele periode van 1 april 2010 tot 1 januari 2020.

Krachtens artikel 16 Wbp en artikel 9 AVG is het verwerken van bijzondere persoonsgegevens verboden, behoudens in de wet genoemde uitzonderingen. Als bijzondere persoonsgegevens worden onder meer aangemerkt gegevens betreffende iemands godsdienst, levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven en lidmaatschap van een vakvereniging. Na inwerkingtreding van de AVG vallen ook genetische en biometrische gegevens onder het verbod.

Een van de belangrijkste uitzonderingsgronden op grond waarvan het wel is toegestaan bijzondere persoonsgegevens te verwerken, is het verkrijgen van uitdrukkelijke toestemming. De bewijslast dat uitdrukkelijk toestemming is gegeven rust zowel onder de Wbp, als de AVG op de partij die de bijzondere persoonsgegevens verwerkt.

De Stichting stelt dat Facebook Ierland het verwerkingsverbod voor bijzondere persoonsgegevens heeft geschonden door in de relevante periode zonder toestemming dergelijke gegevens van de Achterban te gebruiken voor advertentiedoeleinden.

Facebook Ierland betwist de gestelde schending. Facebook Ierland voert aan dat zij geen bijzondere persoonsgegevens voor advertentiedoeleinden gebruikt. Facebook Ierland kijkt alleen naar likes en op welke advertenties een gebruiker klikt. De advertentie-interessecategorieën van Facebook Ierland die met die informatie worden samengesteld, zijn geen bijzondere persoonsgegevens en Facebook Ierland had ook niet het oogmerk om deze hieruit af te leiden. Deze interessecategorieën geven alleen interesses weer, betreffen geen persoonlijke kenmerken en onthullen deze evenmin. Verder gebruikt Facebook Ierland een ondubbelzinnige “gebruikerstoestemmingsmodule” die van gebruikers uitdrukkelijk toestemming vereist voordat Facebook Ierland bijzondere persoonsgegevens van die gebruikers verwerkt. De documenten waarnaar de Stichting ter ondersteuning van haar stellingen verwijst, zien op de periode vóór invoering van de AVG en volstaan niet als onderbouwing.

Het meest verstrekkende standpunt van Facebook Ierland is dat zij überhaupt geen bijzondere persoonsgegevens verwerkt voor advertentiedoeleinden. Partijen maken in het debat hierover onderscheid tussen (i) gegevens die Facebook Ierland verkrijgt doordat gebruikers bij het aanmelden voor de Facebookdienst (onverplicht) bijzondere gegevens kunnen invullen in de profielvelden en (ii) gegevens die Facebook Ierland verkrijgt doordat zij het surfgedrag van gebruikers volgt en daaruit bepaalde interesses afleidt.

De Stichting stelt dat Facebook Ierland de uit de profielvelden verkregen bijzondere gegevens gebruikt voor advertentiedoeleinden en baseert zich daarbij met name op het AP-rapport. Facebook Ierland betwist de stelling van de Stichting en voert aan dat zij ingevulde gegevens in de profielvelden van een gebruiker niet verwerkt voor het aanbieden van gepersonaliseerde advertenties.

De rechtbank volgt het standpunt van Facebook Ierland niet. Uit het AP-rapport blijkt dat de AP eigen onderzoek heeft verricht waarbij zij gebruik heeft gemaakt van een fictieve gebruiker van de Facebookdienst en een fictieve website. Op grond van dat onderzoek concludeert de AP dat het Facebookconcern (waar Facebook Ierland toe behoort) bijzondere gegevens van seksuele geaardheid verwerkt voor advertentiedoeleinden. Volgens de AP stelt het Facebookconcern adverteerders in staat om gerichte advertenties te tonen aan mensen in Nederland op grond van hun seksuele geaardheid zoals zij die zelf hebben aangegeven in hun profiel. De AP heeft naar aanleiding van het argument dat Facebook Ierland geen gegevens uit de inhoud van de profielen gebruikt, nader onderzoek verricht. De AP heeft aan de hand van tien aangemaakte accounts (waarmee vervolgens geen activiteiten werden verricht) vastgesteld dat er wel informatie uit de profielvelden werd gebruikt, omdat een deel van deze accounts advertenties ontvingen gerelateerd aan hun profiel. Facebook Ierland heeft de bevindingen en uitkomsten van het onderzoek van de AP onvoldoende concreet betwist. Zij is niet met een logische verklaring voor deze bevindingen gekomen. Zij volstaat met het argument dat de rechtbank niet gebonden is aan de inhoud van het rapport en dat, nu er geen sancties zijn opgelegd naar aanleiding van het rapport, Facebook Ierland niet in de gelegenheid is geweest de inhoud van het rapport aan te vechten. Gezien de uitkomsten van het onderzoek in het AP-rapport, kan Facebook Ierland echter niet volstaan met een blote betwisting. Daargelaten dat uit het rapport blijkt dat Facebook c.s. gelegenheid is gegeven tot een reactie en dat dit niet tot een andere conclusie heeft geleid, heeft Facebook Ierland in de onderhavige procedure de concrete uitkomsten van het AP onderzoek zelf, niet concreet en onderbouwd betwist.

De rechtbank komt daarom tot het oordeel dat Facebook Ierland bijzondere persoonsgegevens heeft verwerkt voor advertentiedoeleinden die gebruikers hebben ingevuld in de profielvelden. Over de periode na de datum van het AP-rapport (21 februari 2017) heeft de Stichting geen concrete onderbouwing van haar stelling gegeven, zodat de rechtbank, gezien de betwisting door Facebook Ierland, niet kan vaststellen of zij ook in die periode bijzondere persoonsgegevens uit profielvelden verwerkte voor advertentiedoeleinden.

De Stichting stelt dat de interesses die Facebook Ierland afleidt uit de persoonsgegevens die zij verkrijgt door het volgen van het surfgedrag van leden van de Achterban, ook vallen onder bijzondere gegevens in de zin van artikel 16 Wbp en artikel 9 van de AVG. De Stichting wijst erop dat Facebook Ierland volgens het onderzoek van de AP in elk geval in de periode 8 juni 2012 tot 30 januari 2015 en in de periode 30 januari 2015 tot 19 april 2018 aan adverteerders de mogelijkheid bood om te selecteren op interesses die in hoofdcategorieën en subcategorieën waren onderverdeeld. Uit het rapport van de AP volgt dat adverteerders konden selecteren op bijvoorbeeld “gezondheid”, “islam” of “zwangerschap” of op seksuele voorkeuren.

Facebook Ierland betwist dit en voert aan dat uit de verkregen gegevens alleen mogelijke interesse van een gebruiker voor een bepaald thema blijkt. De interesses houden hooguit indirect verband met bijzondere persoonsgegevens en zijn geen verwerking daarvan in de zin van de wet. Ter illustratie; als een Facebookgebruiker een pagina over “zwangerschap” liket (op de vind-ik-leuk-knop klikt), betekent dit natuurlijk niet dat hij of zij zwanger is, het kan bijvoorbeeld ook gaan om een verloskundige. Er is geen rechtstreeks verband tussen de interesse in zwangerschap en bijzondere persoonsgegevens met betrekking tot iemands gezondheid.

De rechtbank volgt Facebook Ierland hierin niet. Anders dan Facebook Ierland betoogt, geldt bij de verwerking van bijzondere persoonsgegevens een zodanig hoog beschermingsniveau, dat een rechtstreeks verband tussen de interesse en de bijzondere persoonsgegevens van de gebruiker niet is vereist. Dat geldt zowel onder de Wbp als de AVG. Van belang is of bij de verwerking van gegevens bijzondere persoonsgegevens kunnen blijken. Dat niet bij alle verwerkingen die het gevolg zijn van het volgen van het surfgedrag van gebruikers bijzondere persoonsgegevens blijken - zoals in het hiervoor weergegeven, door Facebook Ierland aangehaalde voorbeeld - is juist, maar aangenomen kan worden dat het volgen van het surfgedrag en het indelen van gebruikers in interessecategorieën als bijvoorbeeld “interested in men” of “interested in women” wel kan leiden tot verwerking van bijzondere persoonsgegevens. Als die verwerking plaatsvindt ten behoeve van advertentiedoeleinden zonder dat daar toestemming voor is verkregen van de gebruiker, is dat zonder rechtsgrond en dus onrechtmatig. Anders dan Facebook Ierland betoogt, geldt bij de verwerking van bijzondere persoonsgegevens bovendien een zodanig hoog beschermingsniveau, dat de juistheid van de verzamelde gegevens of het oogmerk van de verzameling niet relevant is. De rechtbank ziet steun voor dit oordeel in het arrest van het HvJ EU van 1 augustus 2022 (OT/Vtec) (Voetnoot 38) waarin onder punt 127 is bepaald:

Het voorgaande volgt ook uit de EDPB Richtsnoeren 8/2020 betreffende de targeting van gebruikers van sociale media van 13 april 2021 waarin wordt geconcludeerd dat indien een aanbieder van sociale media gebruik maakt van gegevens van gebruikers en die indeelt in categorieën van persoonsgegevens als godsdienst, levensbeschouwing of politieke overtuiging, deze indeling “uiteraard” wordt beschouwd als een verwerking van bijzondere gegevens, zelfs indien die indeling onjuist is. Het is juist dat de EDPB geen bindende regels vaststelt, maar dat betekent niet dat de adviezen van dit onafhankelijke Europese orgaan betekenisloos zijn.

Gezien het hoge niveau van bescherming van bijzondere persoonsgegevens dat de Privacyrichtlijn beoogde te bieden, bestaat er geen aanleiding om te denken dat dit onder de Wbp wezenlijk anders was.

Facebook Ierland heeft niet (voldoende) betwist dat zij, zoals in het AP-rapport is vastgesteld, gedurende de gehele relevante periode hoofdcategorieën en subcategorieën aanbood van interessegebieden op het gebied van bijvoorbeeld gezondheid, religie en politieke of seksuele voorkeur aan adverteerders, waaruit volgt dat Facebook Ierland in ieder geval persoonsgegevens uit deze categorieën heeft aangewend voor advertentiedoeleinden. Daarmee staat voldoende vast dat Facebook Ierland ook door het volgen van het surfgedrag van gebruikers en het indelen van de aldus verkregen informatie in interesse categorieën, in de relevante periode, bijzondere persoonsgegevens van de Achterban verwerkte voor advertentiedoeleinden.

De volgende vraag die moet worden beantwoord, is of Facebook Ierland uitdrukkelijke toestemming heeft verkregen voor de verwerking van bijzondere persoonsgegevens voor advertentiedoeleinden en daarmee valt onder de wettelijke uitzondering.

Over de periode tot de invoering van de AVG is niet gesteld of gebleken dat uitdrukkelijke toestemming is gevraagd of verkregen voor het verwerken van bijzondere persoonsgegevens voor advertentiedoeleinden. Dit geldt voor zowel informatie afkomstig uit profielvelden, als informatie afgeleid uit het surfgedrag van gebruikers en gebruik voor het vaststellen van interessecategorieën.

Daarmee staat een inbreuk op artikel 16 Wbp en artikel 9 van de AVG vast.

Facebook Ierland voert aan dat de door de Stichting gevorderde verklaring voor recht niet toewijsbaar is omdat de door de Stichting gestelde inbreuk zich niet bij iedereen heeft voorgedaan. Facebook Ierland wijst daarbij ook op het vonnis in incident.

Dit betoog slaagt niet. In rechtsoverweging 7.13 van het vonnis in incident is hierover opgenomen:

In het vonnis in incident heeft de rechtbank geoordeeld dat voldaan is aan het gelijksoortigheidsvereiste uit artikel 3:305a BW (oud). Naar het oordeel van de rechtbank staat de omstandigheid dat niet elke Facebookgebruiker behoort tot de Achterban omdat hij geen profielvelden heeft ingevuld niet aan toewijzing van de verklaring voor recht in de weg (zie ook hierna onder 19.6). Het argument wordt verworpen.

Het gebruik van cookies is een technologie waarbij een partij een stukje software plaatst op apparaten van gebruikers van apps of websites, zoals een laptop of telefoon. Door middel van cookies wordt informatie opgeslagen op, en verkregen van die apparaten. Cookies kunnen voor verschillende doeleinden worden gebruikt, bijvoorbeeld het opslaan van een wachtwoord waardoor een bezoeker gemakkelijker toegang tot een bepaalde website krijgt of het onthouden van standaard instellingen. Dit soort cookies worden ook wel functionele cookies genoemd.

Er zijn ook cookies die het surfgedrag van de gebruiker volgen. Dat worden tracking-cookies genoemd. Een websitebeheerder die tracking cookies plaatst op het apparaat van de gebruiker kan de gebruiker volgen als die de website van de beheerder bezoekt. Er zijn ook tracking cookies met behulp waarvan de websitebeheerder de gebruiker ook op websites van derden kan volgen, ook wel genoemd “third-party” cookies. Dergelijke tracking cookies maken het mogelijk om op basis van het surfgedrag van de gebruiker een profiel samen te stellen waarmee specifiek op die gebruiker gerichte advertenties kunnen worden aangeboden.

Partijen die third-party cookies gebruiken moeten daarbij voldoen aan artikel 11.7a lid 1 van de Telecommunicatiewet (Tw). Deze bepaling is de implementatie van artikel 5 lid 3 van de E-Privacyrichtlijn (2002/58/EG). De E-Privacyrichtlijn beoogt de gebruiker te beschermen tegen inmenging in zijn privéleven, ongeacht of die inmenging betrekking heeft op persoonsgegevens. Dit betekent dat de door de richtlijn gegeven bescherming van toepassing is op alle informatie die is opgeslagen op eindapparatuur ongeacht of het gaat om persoonsgegevens. De richtlijn beoogt met name de gebruiker te beschermen tegen het risico dat verborgen identificatoren en andere soortgelijke programmatuur zonder zijn medeweten binnenkomt op zijn apparaat, ook genoemd “randapparatuur” (Voetnoot 39).

Artikel 11.7a lid 1 Tw bepaalt dat het opslaan of toegang verkrijgen tot informatie in de randapparatuur van een gebruiker alleen is toegestaan indien 1) een gebruiker duidelijk en volledig is geïnformeerd (in ieder geval over de doeleinden waarvoor de door cookies verkregen informatie wordt gebruikt) en 2) de gebruiker daarvoor toestemming heeft verleend. Informatie en toestemming dient overeenkomstig de Wbp, en (na invoering) de AVG, plaats te vinden.

Artikel 11.7a Tw is sinds 5 juni 2012 van kracht (en in 2013, 2015 en 2018 gewijzigd). Daarvóór gold artikel 4.1 van het Besluit universele dienstverlening en eindgebruikersbelangen (Bude) (dat artikel is ingetrokken per 5 juni 2012). Daarin was opgenomen dat de gebruiker vooraf geïnformeerd moest worden over de doeleinden van cookies en dat gelegenheid moest worden geboden om het plaatsen van cookies te weigeren.

De Stichting vordert, samengevat, een verklaring voor recht dat Facebook Ierland niet, althans onvoldoende heeft voldaan aan de informatieplicht en het toestemmingsvereiste door het niet, dan wel niet duidelijk of in voldoende mate en/of niet tijdig informeren van de Achterban over het met behulp van cookies en/of vergelijkbare technologie volgen van surfgedrag en appgebruik buiten de Facebookdienst en het gebruik van de aldus verkregen gegevens voor advertentiedoeleinden.

Facebook Ierland voert aan dat de vordering van de Stichting ziet op tracking cookies waarmee Facebook Ierland informatie verkrijgt via websites van derden. Het is niet Facebook Ierland, maar de exploitant/beheerder van de betreffende website die de door Facebook Ierland geleverde software installeert. Daarmee rusten op die exploitant de verplichtingen als bedoeld in artikel 11.7a lid 1 Tw en niet op Facebook Ierland, zodat de vordering reeds daarom strandt. Facebook Ierland beroept zich daarbij op het al eerder in dit vonnis vermelde arrest van het HvJ EU van 29 juli 2019 (Fashion ID (Voetnoot 40). Dat Facebook Ierland niet gehouden is te voldoen aan artikel 11.7a lid 1 Tw als zij persoonsgegevens via cookies op websites van derden ontvangt, volgt - voor wat betreft de periode van vóór de invoering van de AVG - ook uit de memorie van toelichting bij de Tw (Voetnoot 41) en mededelingen van de Autoriteit Consument en Markt (ACM). Bovendien verplicht Facebook Ierland de website-exploitant akkoord te gaan met de voorwaarden van de Facebook Business Tools (hierna: BTT) en haar Platformbeleid waarin is voorgeschreven dat de website-exploitant de nodige informatie verstrekt en toestemming verkrijgt van de gebruiker.

Facebook Ierland heeft de gebruikers verder te allen tijde duidelijke en passende informatie verstrekt over het gebruik van cookies en de gegevens die daarmee werden verkregen.

Verder is de Tw in de relevante periode vier keer herzien en is artikel 11.7a lid 1 Tw pas op 5 juni 2012 in werking getreden. Van een schending vóór die periode kan überhaupt geen sprake zijn. De door de Stichting aangehaalde niet bindende rapporten van de AP en de KU Leuven kunnen niet tot bewijs dienen. Het AP-rapport is bovendien afgerond op 21 februari 2017. Voor de periode na die datum is het rapport irrelevant. Bovendien is de vordering van de Stichting niet onderbouwd nu zij niets stelt over de periode na inwerkingtreding van de AVG.

Bij de beoordeling neemt de rechtbank als uitgangspunt dat de vordering van de Stichting ziet op cookies voor zover die worden geplaatst via websites van derden, de “third-party cookies”. Tijdens de mondelinge behandeling heeft de Stichting verklaard dat de vordering ook ziet op cookies die op de website van Facebook Ierland worden geplaatst waarmee de Achterban buiten de Facebookdienst wordt gevolgd. Voor zover de rechtbank moet begrijpen dat het hier om andere dan de hiervoor bedoelde third-party cookies zou gaan, gaat de rechtbank hieraan voorbij nu de feitelijke gang van zaken bij deze variant van cookies onvoldoende is toegelicht. Op dit punt heeft de Stichting dus niet aan haar stelplicht voldaan.

Zoals hiervoor onder 14.5 is toegelicht moest bij het gebruik van cookies vóór inwerkingtreding van artikel 11.7a lid 1 Tw worden voldaan aan artikel 4.1 Bude. Nu de vordering van de Stichting ziet op schending van artikel 11.7a lid 1 Tw, althans overeenkomstige bepalingen, gaat de rechtbank voorbij aan het argument van Facebook c.s. Ierland dat er voor inwerkingtreding van artikel 11.7a lid 1 Tw geen sprake kan zijn van een schending. Vóór invoering van de Tw was immers artikel 4.1 Bude van toepassing, waarin een vergelijkbare verplichting is opgenomen.

Verder is niet gebleken dat herziening van de Tw tot een andere beoordeling van de daarin genoemde relevante verplichtingen leidt, zodat de rechtbank ook aan dit argument voorbijgaat. Voor zover Facebook Ierland betoogt dat de vorderingen van de Stichting niet zien op de periode na invoering van de AVG, is dat betoog onjuist. De rechtbank is daarnaast van oordeel dat Facebook Ierland onvoldoende concreet heeft betwist dat zij na invoering van de AVG gebruik maakte van third-party cookies. Daartoe is relevant dat ook in haar eigen beleid in die periode wordt verwezen naar het gebruik van third-party cookies.

Het meest verstrekkende argument van Facebook Ierland is dat zij niet gebonden is aan de verplichtingen in artikel 11.7a lid 1 Tw als zij informatie ontvangt over de Achterban via cookies die worden geplaatst op websites van derden.

Niet in geschil is dat door het plaatsen van cookies op de website van derden informatie wordt uitgewisseld tussen de browser van de gebruiker en de server van Facebook. Volgens het AP-rapport bevatten in 2016 meer dan de helft van de 500 best bezochte websites in Nederland advertentiecookies van Facebook. De vraag is wie in die gevallen verantwoordelijk is voor de informatie- en toestemmingsverplichting uit hoofde van de Tw: de beheerder van de website die de gebruiker bezoekt en/of de adverteerder (in dit geval Facebook Ierland) van wie een cookie wordt geplaatst op het apparaat van de gebruiker.

De verplichtingen op grond van artikel 11.7a Tw rusten op degene die verantwoordelijk is voor het plaatsen van gegevens in de randapparatuur en het verkrijgen van toegang tot de in de randapparatuur opgeslagen gegevens. Ook in het geval van third-party cookies is Facebook Ierland verantwoordelijk. De cookies worden immers geplaatst op de website van de derde op haar verzoek. De adverteerder kan evenwel met de betreffende website-exploitant overeenkomen dat de verplichtingen uit hoofde van artikel 11.7a Tw door de websitebeheerder worden uitgeoefend (Voetnoot 42). De stelling van Facebook Ierland dat zij dergelijke overeenkomsten sluit met website-exploitanten en dat de website-exploitanten akkoord moeten gaan met de BTT en Platformbeleid van Facebook Ierland waarin is voorgeschreven dat de website-exploitant de nodige informatie verstrekt en toestemming verkrijgt, is door de Stichting onvoldoende weersproken. Dat betekent dat als de website-exploitant informatie verstrekt over en toestemming verkrijgt voor het plaatsen van cookies, Facebook Ierland dat niet óók hoeft te doen. Het had gelet op de betwisting van Facebook Ierland op de weg van de Stichting gelegen om concreet te maken dat Facebook Ierland geen overeenkomsten met website-exploitanten sluit, dan wel niet toeziet op de naleving daarvan, bijvoorbeeld door middel van voorbeelden van websites van derden waarop third-party cookies van Facebook Ierland worden geplaatst en waarbij de website beheerder niet heeft voldaan aan de verplichtingen in artikel 11.7a Tw. Nu de Stichting dit heeft nagelaten kan niet worden vastgesteld dat Facebook Ierland artikel 11.7a Tw (of artikel 4.1 Bude) heeft geschonden en zal de vordering a.ii.3 worden afgewezen.

Het voorgaande laat onverlet dat Facebook Ierland bij de verwerking van persoonsgegevens die zij krijgt door het gebruik van cookies moet voldoen aan de voorschriften van de AVG en de Wbp. Dat betekent dat voor die via cookies verkregen persoonsgegevens een rechtsgeldige verwerkingsgrondslag moet bestaan. Zoals hiervoor in de hoofdstukken 12 en 13 is geoordeeld, had Facebook Ierland geen geldige verwerkingsgrondslag voor de verwerking van (gewone en bijzondere) persoonsgegevens voor advertentiedoeleinden. Dat oordeel geldt ook voor zover die persoonsgegevens zijn verkregen en/of verwerkt door middel van cookies.

Vordering b heeft betrekking op vrienden van de Achterban. De Stichting stelt dat het aan Facebook c.s. verweten gedrag ter zake van gegevensverwerking zich ook heeft uitgestrekt tot de Facebookvrienden van Facebookgebruikers. Omdat deze vrienden ook Facebookgebruikers zijn, behoren zij, voor zover zij in de relevante periode in Nederland woonden, tot de Achterban. Indien een Facebookvriend in het buitenland woonde en niet zelf tot de Achterban behoort, dan is het zonder verwerkingsgrondslag verwerken van persoonsgegevens van vrienden niet alleen onrechtmatig jegens die vrienden, maar is dat ook onrechtmatig jegens de Facebookgebruiker met wie die vrienden bevriend zijn. Facebook c.s. heeft zich namelijk onrechtmatig de gegevens toegeëigend die een Facebookgebruiker op zijn account bewaarde over zijn vrienden, aldus de Stichting.

Facebook c.s. heeft hiertegen aangevoerd dat de grondslag voor deze vordering onduidelijk is en ontbreekt. De Wbp en AVG geven geen recht om vorderingen in te stellen die zien op de verwerking van persoonsgegevens van anderen. Het statutaire doel van de Stichting is beperkt tot Facebookgebruikers en de vorderingen draaien om vermeend handelen jegens de Achterban. Voor zover het om Facebookgebruikers gaat, zijn dergelijke vorderingen al ondergebracht in vordering a.i.1.

De rechtbank is van oordeel dat vordering b niet kan worden toegewezen. Voor zover het verwijt betrekking heeft op een Facebookvriend die behoort tot de Achterban wordt dit handelen bestreken door de vordering onder a. De Stichting heeft onvoldoende toegelicht dat sprake is van een hiervan te onderscheiden, afzonderlijk onrechtmatig handelen jegens de Achterban. Voor zover het verwijt betrekking heeft op een Facebookvriend die niet behoort tot de Achterban kan, anders dan de Stichting stelt, een onrechtmatige verwerking van persoonsgegevens van een vriend niet als een onrechtmatig handelen jegens de Achterban worden aangemerkt. De verwerking betreft immers de persoonsgegevens van die vriend. Voor zover de Stichting bedoelt te stellen dat er ook onrechtmatig is gehandeld jegens vrienden van de Achterban die niet behoren tot de Achterban, heeft zij, gelet op de groep van personen voor wie de Stichting in deze collectieve actie volgens haar statutaire doelstelling opkomt, geen vorderingsrecht.

In haar processtukken heeft de Stichting gesteld dat Facebook Ierland aan de Achterban geen informatie, althans geen duidelijke informatie, heeft verstrekt over het gebruik en het verwerken van locatiegegevens van de Achterban die werden achterhaald via de vrienden van de Achterban. Volgens de Stichting bepaalde Facebook Ierland de locatie van leden van de Achterban mede op basis van locatiegegevens die zij via vrienden van de Achterban op de Facebookdienst achterhaalde en gebruikte die locatiegegevens voor advertentiedoeleinden.

De rechtbank stelt vast dat de Stichting geen afzonderlijke vordering heeft geformuleerd die specifiek is gericht op de verwerking van locatiegegevens. Kennelijk moet het betoog van de Stichting worden gelezen in het licht van haar vordering a.i. en/of haar vordering a.ii.1.

Voor zover de locatiegegevens zijn te scharen onder de gegevens over de verwerking waarvan Facebook Ierland de Achterban onvoldoende heeft geïnformeerd (zie het oordeel over vordering a.i.) en/of onder de gegevens die Facebook Ierland heeft verwerkt zonder geldige verwerkingsgrondslag (zie het oordeel over vordering a.ii.1), gelden die oordelen ook voor de locatiegegevens. In zoverre behoeft de verwerking van de locatiegegevens dus geen afzonderlijke bespreking. Voor het overige heeft de Stichting niet duidelijk gemaakt in het licht van welke andere vordering(en) een (afzonderlijk) oordeel over de locatiegegevens van belang is.

De Stichting stelt dat Facebook c.s. zich ook schuldig heeft gemaakt aan oneerlijke en/of misleidende handelspraktijken. Zij voert hiervoor samengevat het volgende aan.

- Facebook Inc., Facebook Ierland en Facebook Nederland zijn handelaren in de zin van de Richtlijn oneerlijke handelspraktijken (hierna ook: Richtlijn OHP) (Voetnoot 43).

- Facebook c.s. heeft als handelaar onrechtmatig gehandeld om de volgende redenen:

Facebook c.s. is het niet eens met de stellingen van de Stichting. Zij wijst erop dat de vorderingen a.iii.1 en a.iii.2 (zoals ook hiervoor in r.o. 17.1 onder 1 en 2 toegelicht) geheel dubbelop zijn met de vordering a.i. Zij voert in dit verband ook aan dat de vorderingen uit hoofde van oneerlijke handelspraktijken volledig zijn gebaseerd op een schending van het recht op gegevensbescherming terwijl het recht op gegevensbescherming een lex specialis is, waardoor er geen ruimte meer is voor vorderingen op grond van de Richtlijn OHP ten aanzien van de noodzakelijke informatieverstrekking aan gebruikers. Facebook c.s. betwist daarnaast dat Facebook Inc. en Facebook Nederland handelaren zijn. Zij hebben aan de Achterban geen mededelingen gedaan die relevant zijn voor de vorderingen op grond van deze grondslag. Ten slotte betwist Facebook c.s. dat sprake is van een oneerlijke handelspraktijk op de drie gestelde gronden. Facebook c.s. wijst in dat verband onder meer erop dat Facebook Ierland niet de gegevens van haar gebruikers verkoopt om inkomsten te genereren, maar dat zij inkomsten genereert door adverteerders de mogelijkheid te bieden hun advertenties te tonen aan een specifieke doelgroep (zonder informatie te delen die gebruikers persoonlijk identificeert). Zij is altijd transparant geweest over haar bedrijfsmodel en het feit dat gepersonaliseerde advertenties hiervan deel uitmaken. Facebook c.s. voert aan dat zij voldoende (en geen misleidende) informatie heeft verstrekt en dat de gratis-verklaring evenmin misleidend en oneerlijk is. Er ontbreekt bewijs dat een lid van de Achterban in zijn transactiebeslissing is beïnvloed.

Bij de beoordeling van de vraag of sprake is van een oneerlijke handelspraktijk is het volgende kader van belang. De Richtlijn OHP is geïmplementeerd in de artikelen 6:193a en verder BW.

Een handelaar handelt op grond van artikel 6:193b lid 1 BW onrechtmatig jegens een consument indien hij een handelspraktijk verricht die oneerlijk is. Een handelspraktijk is oneerlijk, zo staat in artikel 6:193b lid 2 BW, indien de handelaar handelt (a) in strijd met de vereisten van professionele toewijding, en (b) het vermogen van de gemiddelde consument om een geïnformeerd besluit te nemen merkbaar is beperkt of kan worden beperkt, waardoor deze consument een besluit over een overeenkomst neemt of kan nemen dat hij anders niet had genomen. De consument moet dus de gelegenheid krijgen om tot een geïnformeerd besluit te komen bij (in ieder geval) het aangaan van de overeenkomst. Voor een geslaagd beroep op artikel 6:193b lid 2 BW is vereist dat de gemiddelde consument zodanig beperkt wordt in zijn vermogen om een geïnformeerd besluit te nemen dat hij daardoor een besluit over een overeenkomst neemt of kan nemen dat hij anders niet had genomen. Een handelspraktijk is op grond van het derde lid van deze bepaling in het bijzonder oneerlijk indien een handelaar een misleidende handelspraktijk verricht als bedoeld in artikel 6:193c tot en met 193g BW.

Een handelspraktijk is op grond van artikel 6:193d BW bovendien misleidend indien sprake is van een misleidende omissie. Daarvan is volgens het tweede lid sprake wanneer essentiële informatie die de gemiddelde consument nodig heeft om een geïnformeerd besluit over een transactie te nemen wordt weggelaten, waardoor de gemiddelde consument een besluit over een overeenkomst neemt of kan nemen, dat hij anders niet had genomen. Van een misleidende omissie is volgens het derde lid ook sprake indien essentiële informatie als bedoeld in het tweede lid verborgen wordt gehouden of op onduidelijke, onbegrijpelijke, dubbelzinnige wijze of laat verstrekt wordt, of het commerciële oogmerk, indien dit niet al duidelijk uit de context blijkt, niet laat blijken.

Op grond van artikel 6:193a BW wordt onder het begrip “handelaar” voor zover relevant verstaan de rechtspersoon die handelt in de uitoefening van een beroep of bedrijf of degene die ten behoeve van hem handelt. Onder het begrip “handelspraktijk” wordt verstaan iedere handeling, omissie, gedraging, voorstelling van zaken of commerciële communicatie, met inbegrip van reclame en marketing, van een handelaar, die rechtstreeks verband houdt met de verkoopbevordering, verkoop of levering van een product aan consumenten.

De bewijslast ten aanzien van de oneerlijkheid van een handelspraktijk rust in beginsel op de consument. Alleen voor zover het gaat om de materiële juistheid en volledigheid van de verstrekte informatie, is sprake van een omgekeerde bewijslast (artikel 6:193j BW).

In de Richtsnoeren voor de tenuitvoerlegging/toepassing van Richtlijn 2005/29/EG betreffende oneerlijke handelspraktijken van de Europese Commissie van 25 mei 2016 – die alleen bedoeld zijn als leidraad – wordt het verbod om iets ten onrechte als gratis te verklaren als volgt toegelicht:

In deze Richtsnoeren uit 2016 heeft de Europese Commissie verder over de wisselwerking met het gegevensbeschermingsrecht het volgende toegelicht:

De Europese Commissie heeft op 29 december 2021 nieuwe richtsnoeren (Voetnoot 44) opgesteld in verband met de Moderniseringsrichtlijn (Voetnoot 45). De Moderniseringsrichtlijn heeft in 2022 de Richtlijn OHP en enkele andere richtlijnen gewijzigd en ziet dus niet op de periode die de rechtbank in deze zaak moet beoordelen. In deze Richtsnoeren is onder meer het volgende opgenomen:

Met de Moderniseringsrichtlijn is de situatie van het verstrekken van een digitale dienst in ruil voor het verstrekken van persoonsgegevens overigens niet expliciet in de Richtlijn OHP opgenomen.

De artikelen 6:193a en verder BW vormen de implementatie van de Richtlijn OHP. Deze richtlijn beoogt maximumharmonisatie. Dit betekent dat lidstaten de consument niet minder en ook niet meer bescherming mogen bieden dan in de richtlijn is bepaald. Artikel 3 lid 2 van de Richtlijn OHP bepaalt dat deze richtlijn het verbintenissenrecht en, in het bijzonder, de regels betreffende de geldigheid, de opstelling en de rechtsgevolgen van contracten onverlet laat. Daaruit kan worden afgeleid dat de consument in beginsel een keuzevrijheid toekomt als een situatie zowel onder het toepassingsbereik van de oneerlijke handelspraktijk als onder het toepassingsbereik van een andere regeling valt, een en ander behoudens de in artikel 3 lid 4 bedoelde – en hier niet aan de orde zijnde – situatie van specifieke communautaire wetsbepalingen betreffende specifieke aspecten van oneerlijke handelspraktijken. In gevallen van samenloop is het uitgangspunt dat beide regelingen naast elkaar van toepassing kunnen zijn, behoudens een andersluidende bepaling in de betreffende regeling. Er zijn geen aanknopingspunten te vinden waaruit kan worden afgeleid dat de Uniewetgever heeft beoogd om op dit punt de Privacyrichtlijn respectievelijk de AVG exclusief toepassing te laten vinden, integendeel. Het HvJ EU heeft in 2022 bevestigd dat de schending van een regel inzake de bescherming van persoonsgegevens tegelijkertijd kan leiden tot de schending van regels inzake consumentenbescherming of oneerlijke handelspraktijken. (Voetnoot 46) Het andersluidende standpunt van Facebook c.s., vindt dus geen steun in het recht en wordt daarom niet gevolgd. Dat betekent dat de rechtbank toekomt aan een beoordeling van de vorderingen van de Stichting over een oneerlijke handelspraktijk.

Voor wat betreft de vraag wie als handelaar kan worden aangemerkt, is de rechtbank van oordeel dat, in het licht van de gemotiveerde betwisting van Facebook c.s., niet is gebleken dat Facebook Inc. en Facebook Nederland informatie hebben verstrekt aan de Achterban die relevant is in het kader van oneerlijke handelspraktijken. Dat de gedragingen van Facebook Ierland aan Facebook Inc. en/of Facebook Nederland moeten worden toegerekend, is niet komen vast te staan. De door Facebook c.s. betwiste stelling, dat Facebook Inc. en Facebook Nederland bepaalde informatieverstrekkingen creëerden die Facebook Ierland vervolgens aan Facebookgebruikers liet zien, volstaat daarvoor in elk geval niet. Ook de door de Stichting naar voren gebrachte omstandigheid dat het bestuur van Facebook Nederland een overlap had met het bestuur van Facebook Ierland legt hiervoor geen doorslaggevend gewicht in de schaal. De rechtbank volgt de Stichting daarom niet in haar (onvoldoende onderbouwde) standpunt dat ook Facebook Inc. en Facebook Nederland ten opzichte van de Achterban als handelaar zijn aan te merken.

Vervolgens komt de rechtbank toe aan de kern: is sprake van een oneerlijke handelspraktijk door Facebook Ierland?

De Stichting maakt Facebook Ierland ook nog een verwijt over het niet informeren over de omvang en de schaalgrootte van de gegevensverwerking. Het is echter onduidelijk gebleven welke zelfstandige betekenis dit verwijt heeft ten opzichte van hetgeen hiervoor al is geoordeeld. Evenmin is voldoende duidelijk geworden wat de Stichting concreet bedoelt met “de omvang en de schaalgrootte” en “de ongekende omvang” in relatie tot de vraag of sprake is van een oneerlijke handelspraktijk. De Stichting heeft op dit punt dus ook niet aan haar stelplicht voldaan.

De conclusie is dat Facebook Ierland zich in de relevante periode schuldig heeft gemaakt aan een oneerlijke handelspraktijk (en daarmee onrechtmatig heeft gehandeld) zoals hiervoor in r.o. 17.17 omschreven.

De Stichting stelt dat Facebook c.s. zichzelf met de verwerking van de persoonsgegevens ten koste van de Achterban ongerechtvaardigd heeft verrijkt. De verwerking (en het verdere) gebruik van persoonsgegevens van Facebookgebruikers was vanwege het ontbreken van een grondslag ongeoorloofd. De persoonsgegevens vertegenwoordigen een economische waarde. Met de persoonsgegevens van de Achterban is het vermogen van Facebook c.s. toegenomen, waarmee de verrijking is gegeven. Het verdienmodel van Facebook c.s. is vrijwel geheel gebaseerd op het verzamelen van persoonsgegevens en deze tegen betaling ter beschikking stellen aan derden, zodat zij feitelijk toegang tot of gebruik van op geld waardeerbare persoonsgegevens verkoopt. Tegenover de verrijking van Facebook c.s. staat de verarming van de Achterban, omdat zij eigendom is verloren dat omvat het verlies van controle over de persoonsgegevens en het feit dat persoonsgegevens van ontoegankelijk toegankelijk zijn geworden.

Facebook c.s. betwist dat sprake is van verarming van de Achterban, van verrijking van Facebook c.s., alsmede dat sprake is van een causaal verband daartussen en dat de verrijking ongerechtvaardigd is. Zij voert onder meer aan dat het door de Stichting gestelde verlies van controle over persoonsgegevens niet tot materiële schade leidt en dat dit door de Stichting ook niet is toegelicht. Volgens Facebook c.s. bestond er tijdens de relevante periode geen markt voor individuele gebruikers om hun persoonsgegevens te verkopen en hebben deze gegevens, als dit anders zou zijn, geen concurrerend karakter. Het verwerken van dergelijke gegevens door Facebook c.s. zou dus niets veranderen aan de waarde van de gegevens van een individu.

Op grond van artikel 6:212 lid 1 BW is hij die ongerechtvaardigd is verrijkt ten koste van een ander, verplicht, voor zover dit redelijk is, diens schade te vergoeden tot het bedrag van zijn verrijking. Voor toewijzing van een vordering op grond van ongerechtvaardigde verrijking moet zijn voldaan aan vier vereisten: (1) verarming (schade), (2) verrijking (vermogensvermeerdering), (3) een verband tussen de verrijking en de verarming, en (4) de verrijking moet ongerechtvaardigd zijn in de zin dat er geen redelijke oorzaak of rechtvaardigingsgrond voor bestaat. Op de Stichting rust de last de feiten en omstandigheden te stellen en zo nodig te bewijzen die nodig zijn om te kunnen concluderen dat sprake is ongerechtvaardigde verrijking en dus van de vier hierboven genoemde aspecten daarvan. In rechtsoverweging 7.16 van het vonnis in incident is geoordeeld dat de omvang van de eventuele verrijking in het kader van deze collectieve procedure nog geen beantwoording behoeft maar dat uitsluitend moet worden beoordeeld óf sprake is van ongerechtvaardigde verrijking.

De vraag of sprake is van ongerechtvaardigde verrijking moet worden beantwoord aan de hand van artikel 6:212 BW. Eén van de vereisten is dat sprake is van verarming/schade. Dat betekent, anders dan de Stichting lijkt te stellen, dat de mogelijkheid van schade niet voldoende is voor toewijzing van de gevorderde verklaring voor recht dat Facebook c.s. ongerechtvaardigd is verrijkt. In zoverre geldt dus een andere norm dan voor de vorderingen die strekken tot verklaringen voor recht op de grond dat sprake is van onrechtmatige daad.

Partijen hebben uitgebreid gediscussieerd over de vraag of persoonsgegevens waarde vertegenwoordigen. Dat deze persoonsgegevens voor Facebook c.s. waarde hebben mag duidelijk zijn; haar dienst is hierop gebaseerd. Zij gebruikt dergelijke gegevens immers door deze op een bepaalde manier te verzamelen en de daaruit verkregen informatie te gebruiken om tot een personalisatie te komen. De Stichting heeft in het licht van de gemotiveerde betwisting van Facebook c.s. echter onvoldoende toegelicht dat de Facebookgebruiker van de Achterban door het gebruik van de persoonsgegevens door Facebook c.s. daadwerkelijk in zijn vermogen wordt aangetast en dus wordt verarmd. Hoe het verlies van controle leidt tot een onttrekking aan het vermogen van de Facebookgebruiker heeft de Stichting onvoldoende duidelijk gemaakt.

De conclusie is dat de op ongerechtvaardigde verrijking gebaseerde vordering niet toewijsbaar is. Hetgeen partijen hierover verder nog naar voren hebben gebracht, hoeft daarom geen bespreking meer.

Facebook Ierland zal als de overwegend in het ongelijk gestelde partij in de proceskosten van de Stichting worden veroordeeld. De rechtbank kent 4 punten toe aan de proceshandelingen van de Stichting (met 2 punten voor de mondelinge behandeling in verband met de uitgebreide behandeltijd). Vanwege de complexiteit en omvang van de zaak, alsmede de belangen die daarbij aan de orde zijn, acht de rechtbank het maximale forfaitaire tarief van € 4.247,00 per punt passend. De kosten aan de zijde van de Stichting worden met inachtneming van het voorgaande begroot op:

- dagvaarding € 99,01

- griffierecht € 656,00

- salaris advocaat € 16.988,00 (4 punten × tarief € 4.247,00)

Totaal € 17.743,01

In het geschil tussen de Stichting enerzijds en Facebook Nederland en Facebook Inc. anderzijds is de Stichting als de in het ongelijk gestelde partij aan te merken. Aangezien Facebook c.s. gezamenlijk verweer heeft gevoerd, terwijl dat verweer voor het overgrote deel van de geschilpunten hetzelfde was voor alle drie de gedaagden, en in zoverre niet is gebleken dat Facebook Nederland en Facebook Inc. afzonderlijk kosten hebben gemaakt, is er geen aanleiding om een proceskostenveroordeling ten laste van de Stichting ten gunste van Facebook Nederland en Facebook Inc. uit te spreken.

verklaart voor recht dat Facebook Ierland jegens de Achterban van de Stichting (toerekenbaar) onrechtmatig heeft gehandeld omdat Facebook Ierland de privacyrechten van de Achterban heeft geschonden op de wijze zoals is geoordeeld in hoofdstuk 11, hoofdstuk 12 en hoofdstuk 13 van dit vonnis,

verklaart voor recht dat Facebook Ierland jegens de Achterban van de Stichting (toerekenbaar) onrechtmatig heeft gehandeld omdat Facebook Ierland jegens de Achterban van de Stichting een handelspraktijk heeft verricht die oneerlijk is in de zin van artikel 6:193b lid 3 onder a BW in samenhang gelezen met artikel 6:193d BW als bedoeld in rechtsoverweging 17.17 van dit vonnis,

veroordeelt Facebook Ierland in de proceskosten, aan de zijde van de Stichting tot op heden begroot op € 17.743,01, te vermeerderen met de wettelijke rente als bedoeld in artikel 6:119 BW over dit bedrag met ingang van de veertiende dag na de datum van dit vonnis tot de dag van volledige betaling,

veroordeelt Facebook Ierland in de na dit vonnis ontstane kosten aan de zijde van de Stichting, begroot op € 173,00 aan salaris advocaat, te vermeerderen, onder de voorwaarde dat Facebook Ierland niet binnen veertien dagen na aanschrijving aan het vonnis heeft voldaan en er vervolgens betekening van de uitspraak heeft plaatsgevonden, met een bedrag van € 90,00 aan salaris advocaat en de explootkosten van betekening van de uitspraak, te vermeerderen met de wettelijke rente als bedoeld in artikel 6:119 BW met ingang van de veertiende dag na de betekening tot de dag van volledige betaling,

verklaart dit vonnis voor wat betreft de kostenveroordelingen uitvoerbaar bij voorraad,

wijst het meer of anders gevorderde af.