UITTREKSEL VAN DAGVAARDING EX ARTIKEL 1018C LID 2 RV
UITTREKSEL VAN DAGVAARDING EX ARTIKEL 1018C LID 2 RV
EISERES
x
de stichting STICHTING DATA BESCHERMING NEDERLAND, met statutaire zetel te en met
inschrijving onder nummer in het handelsregister, te dezer zake woonplaats kiezende te (3072
AP) Rotterdam aan de Xxxxxxxxxxxxxx 0 ten kantore van AKD N.V., van welk kantoor xx. X. Xxxx als advocaat wordt gesteld;
GEDAAGDEN
1. de vennootschap naar Luxemburgs recht AMAZON EUROPE CORE S.À R.L., ingeschreven in het handelsregister van met nummer , van wie geen kantooradres of woonplaats van een bestuurder in Nederland bekend is, kantoorhoudende te aan het adres ,
2. de vennootschap naar Luxemburgs recht AMAZON EU S.À R.L., ingeschreven in het handelsregister van met nummer , van wie geen kantooradres of woonplaats van een bestuurder in Nederland bekend is, kantoorhoudende te aan het adres
,
3. de vennootschap naar Luxemburgs recht AMAZON MEDIA EU S.À R.L., ingeschreven in het handelsregister van met nummer , van wie geen kantooradres of woonplaats van een bestuurder in Nederland bekend is, kantoorhoudende te aan het adres ,
4. de vennootschap naar Luxemburgs recht AMAZON SERVICES EUROPE S.À R.L., ingeschreven in het handelsregister van met nummer , van wie geen kantooradres of woonplaats van een bestuurder in Nederland bekend is, kantoorhoudende te aan het adres ,
5. de vennootschap naar het recht van Delaware (Verenigde Staten) XXXXXX.XXX, INC., ingeschreven in het register van met nummer , van wie geen kantooradres of woonplaats van een bestuurder in Nederland bekend is, kantoorhoudende te
x
aan het adres ,
OPROEPINGSDATUM
woensdag 31 (eenendertig) januari 2024 (tweeduizend vierentwintig) om 10:00 uur in de ochtend niet in persoon maar vertegenwoordigd door een advocaat in het geding te verschijnen bij de rechtbank Rotterdam, locatie Rotterdam, zitting houdende te (3072 AK) Rotterdam aan het Xxxxxxxxxxxxxxx 000-000;
I. INLEIDING
1. Op 23 juni 2023 zond SDBN aangetekende brieven aan Amazon, waarin zij Amazon uitnodigde om in overleg te treden teneinde een redelijke oplossing te vinden voor hun geschil met de Benadeelden. De advocaten van Amazon hebben daarop aangegeven dat zij open staan voor een gesprek. Dat gesprek heeft plaatsgevonden op 12 september 2023. Partijen hebben geen minnelijke regeling weten te bereiken.
2. Dat heeft SDBN doen besluiten om de onderhavige dagvaarding uit te brengen. SDBN stelt met deze dagvaarding een collectieve vordering in onder de WAMCA tegen Amazon met betrekking tot de grootschalige privacy schendingen door Amazon. Dit doet zij ten behoeve van de Benadeelden.
3. Doel van de door SDBN ingestelde collectieve vorderingen is om de tot op de dag van vandaag voortdurende ernstige schendingen van de privacy van Xxxxxxxxxxx door Amazon een halt toe te roepen en om voor alle Benadeelden op een efficiënte en laagdrempelige wijze een gedegen collectieve oplossing te bereiken voor het door hen als gevolg van die privacy schendingen geleden nadeel.
4. Amazon is de grootste online retailer ter wereld. Consumenten hebben toegang tot een grote hoeveelheid producten die door Amazon zelf worden aangeboden of worden aangeboden door Resellers die aangesloten zijn bij een Amazon Marketplace.
5. Amazon biedt naast fysieke producten ook mediaproducten en diensten aan zoals Amazon Games, Amazon Music en Amazon Prime Video. Daarnaast verkoopt Amazon apparaten waarop de Alexa-stem assistent, zoals de Amazon Echo en Echo Dot, is geïnstalleerd. Ook is Amazon eigenaar van Twitch, een interactieve livestreaming dienst gericht op, met name, gaming en het bedrijf Ring, een videodeurbel- systeem waarmee eveneens persoonsgegevens worden verzameld. Tenslotte is er het onderdeel Amazon Web Services dat zich met name richt op cloud computing.
6. Het bedrijfsmodel van Amazon bestond initieel uit het genereren van omzet door het online verkopen van producten. Amazon is inmiddels uitgegroeid tot data-gedreven bedrijf in plaats van een bedrijf dat producten verkoopt. De oneindige hoeveelheid data van haar klanten vormt de grondstof voor het meest winstgevende deel van het Amazon concern. De data die Amazon verwerkt, middels al haar platformen, zijn
persoonsgegevens die op grote schaal door haar worden opgeslagen in profielen. De profielen worden – zonder dat een Accounthouder dit zelf beseft – verrijkt aan de hand van verschillen soorten informatie die Amazon buiten haar platformen verzamelt.
7. Deze profielen worden door Amazon vervolgens ingezet voor Amazon's advertising business. Op basis van datapunten die zijn opgenomen in de door Amazon gecreëerde profielen van Accounthouders, biedt Amazon de mogelijkheid aan bedrijven, zowel aan Resellers als aan andere derde partijen, gepersonaliseerde advertenties (in woord, geluid en beeld) te plaatsen niet alleen op de Amazon Platforms, Amazon streaming-diensten of Amazon muziek apps, maar ook bij derden die advertentieruimte aanbieden. In 2022 genereerde Amazon met deze activiteiten een wereldwijde omzet van meer dan USD 37,5 miljard, een groei van 25% ten opzichte van één jaar eerder. In haar meest recente kwartaalrapportage over Q1 2023 bevestigt Amazon dat deze robuuste groei zich verder doorzet.
8. De hoeveelheid data die door Amazon wordt verwerkt is nauwelijks voor het menselijk brein te bevatten. Het onder controle houden van al deze data binnen een wereldwijd opererende onderneming waar zo'n 1,5 miljoen werknemers actief zijn is, zoals onder meer uit diverse mediapublicaties (waarin ook (ex)medewerkers van Amazon zijn geïnterviewd) blijkt, voor Amazon een onmogelijke opdracht gebleken. Deze publicaties (en dan met name de (ex)medewerkers) onthullen dat binnen het concern een cultuur heerst waarbij kostenbesparingen en winstoptimalisatie voorrang krijgen boven het naleven van wetgeving op het gebied van de verwerking van persoonsgegevens.
9. In de zomer van 2021 heeft de Luxemburgse gegevensbeschermingsautoriteit Commission Nationale de la Protection des Donnees (CNPD) Amazon Europe Core een recordboete van EUR 746 miljoen opgelegd, omdat de verwerking van persoonsgegevens door Amazon niet in overeenstemming met de AVG was. Onder meer bleek Amazon voor veel verwerkingen geen geldige grondslag te hebben en werden Accounthouders onvoldoende over (de aard en reikwijdte van) de verwerking van hun persoonsgegevens geïnformeerd. CNPD stelt dat Amazon Europe Core de artikelen 6(1), 12, 13, 14, 15, 16, 17 en 21 AVG heeft overtreden.
10. SDBN komt op voor de belangen van de Benadeelden in Nederland, meer in het bijzonder voor hun rechten op databescherming. SDBN heeft door middel van onderzoek vastgesteld dat het gedrag van Amazon zelfs naar aanleiding van de CNPD-Boete niet of nauwelijks is veranderd. In haar meest recente jaarverslag meldt Amazon dat zij zich tegen de CNPD-Boete zal verzetten.
11. SDBN heeft met eigen onderzoek ontdekt dat de schendingen van het privacyrecht door Amazon nog veel verder gaan dan reeds door de CNPD vastgesteld.
12. Hoewel Amazon haar Accounthouders de suggestie van controle over hun persoonsgegevens geeft – binnen enkele klikken kan de Accounthouder immers vinden welke persoonsgegevens Amazon stelt te verwerken – is de werkelijkheid een volstrekt andere. Amazon verzamelt en verwerkt heimelijk veel meer persoonsgegevens dan zij aan Accounthouders meldt, zowel binnen als buiten haar platforms. Zonder dat Accounthouders dit verwachten, zonder dat ze daarover deugdelijk geïnformeerd zijn en bovendien zonder dat zij de hiervoor benodigde expliciete geïnformeerde toestemming hebben gegeven, volgt Amazon het gedrag van de Accounthouders (en anderen) op het internet. Amazon slaat de daarmee onrechtmatig verkregen informatie voor eigen gebruik op. Deze onrechtmatige vorm van digital surveillance en data harvesting leidt tot een zeer gedetailleerde Profilering en verwerking van soms uiterst gevoelige persoonsgegevens die bovendien zonder passende waarborgen worden doorgegeven naar de Verenigde Staten. In de belangenafweging tussen enerzijds de bescherming van de (grond)rechten van de Accounthouders en anderzijds winstoptimalisatie, kiest Amazon volmondig voor haar eigen commercieel gewin.
13. Amazon plaatst voorts in veel gevallen Cookies ongeacht of deze worden geaccepteerd of geweigerd, dus zonder dat er interactie is met een Cookie-banner. Zelfs internetgebruikers (waaronder uiteraard Accounthouders) die de discipline op kunnen brengen om bij iedere Cookie-banner waarmee ze bij het gebruik van het internet worden geconfronteerd toestemming te weigeren, zijn dus niet veilig voor de datahonger van Amazon. Amazon weet dat (of had hier in ieder geval bekend mee moeten zijn), maar ze doet er niets aan. Zelfs haar eigen websites voldoen niet. Deze ernstige schending van de AVG en de Tw maakt voor zover bekend geen onderdeel uit van de zaak bij het CNPD. Indien wel toestemming wordt gevraagd om Cookies te plaatsen dan voldoet de gevraagde toestemming veelal niet aan de eisen van de AVG. Met de onrechtmatig verkregen persoonsgegevens worden de profielen van de Accounthouders verder verrijkt.
14. Het gedrag van Amazon staat haaks op de beginselen en doelstellingen van de AVG. De AVG beoogt in de kern natuurlijke personen controle te geven over de verwerking van hun persoonsgegevens. Amazon heeft lak aan die doelstelling. De onrechtmatige verwerking van persoonsgegevens door Amazon is schadelijk voor iedereen die hiermee wordt geconfronteerd. Accounthouders worden beïnvloed en geëxploiteerd zonder dat zij dit weten.
15. SDBN wenst dat dit onrechtmatige gedrag van Amazon jegens de Accounthouders door middel van deze procedure tot een einde komt en zij wenst de Benadeelden in staat te stellen financiële genoegdoening te krijgen voor het feit dat Amazon al jarenlang hun persoonsgegevens uit louter winstbejag onrechtmatig exploiteert en daarbij Benadeelden zonder dat zij dat weten aan steeds grotere risico’s zoals verlies van controle over data blootstelt. Het gaat daarbij om vergoeding van materiële en immateriële schade. Daar hebben de individuele betrokkenen recht op en belang bij, maar tevens acht SDBN dit in het belang van de
maatschappij als geheel, omdat vastgesteld kan worden dat tech-giganten, zoals Amazon, zich in onvoldoende mate laten sturen door handhavingsautoriteiten.
16. Voor de grootschalige internetsurveillance die de afgelopen decennia is ontstaan bestaat ook geen maatschappelijke rechtvaardiging. Een verdienmodel gebaseerd op advertentie-inkomsten, kan prima functioneren zonder Behavioural Advertising onder andere door de inzet van Contextual Advertising
17. Bedrijven als Amazon die hun expansie grotendeels hebben gebaseerd op het oogsten van mega- hoeveelheden persoonlijke data en het met die data opbouwen van gedetailleerde profielen van hun gebruikers en bovendien zwaar hebben geïnvesteerd in technologie gebaseerd op Behavioural Advertising, blijken echter niet bereid om vrijwillig dit pad te verlaten. De Accounthouders hebben er dan ook recht op en belang bij dat Amazon haar onrechtmatige handelwijze staakt en gestaakt houdt. Alleen met een uitspraak van de rechter is dat af te dwingen.
Opzet van deze samenvatting en leeswijzer
18. Hoofdstuk II en Hoofdstuk III bevatten een introductie van de procespartijen en een beschrijving van de Benadeelden voor wiens belangen SDBN in deze collectieve procedure opkomt.
19. In Hoofdstuk IV staat SDBN stil bij het belang van privacybescherming.
20. Hoofdstuk V zet het wettelijk kader (en de ontwikkeling daarvan) op het gebied van privacyrecht uiteen.
21. Hoofdstuk VI wordt de (onrechtmatige) handelwijze van Amazon beschreven.
22. Hoofdstuk VII bevat een nadere onderbouwing van de niet-contractuele grondslagen waarop SDBN haar collectieve vorderingen jegens Amazon baseert.
23. Hoofdstuk VIII ziet op de schade en het overig nadeel dat de Benadeelden als gevolg van het onrechtmatig handelen van Amazon hebben ondervonden en (zullen) ondervinden.
24. In Hoofdstuk IX legt SDBN uit dat de WAMCA van toepassing is op haar vorderingen en dat zij ontvankelijk is ingevolge artikel 3:305a BW.
25. Hoofdstuk X ziet op de bekende verweren van Amazon
26. Hoofdstuk XI gaat in op de bevoegdheid van de Nederlandse rechter, de relatieve bevoegdheid en naar welk recht de vorderingen moeten worden beoordeeld.
27. Hoofdstuk XII besluit met de eis.
II. PARTIJEN IN DEZE PROCEDURE
Eiseres
28. SDBN is op 20 december 2021 opgericht. Zij is een belangenbehartiger zoals bedoeld in artikel 3:305a BW. SDBN heeft onder meer ten doel om de belangen te behartigen van alle personen die zijn geschaad of benadeeld als gevolg van een privacy schending of gerelateerde onrechtmatige handelspraktijken.
29. SDBN houdt zich al sinds haar oprichting in 2021 bezig met het behartigen van de belangen van haar statutaire achterban, zowel binnen als buiten rechte. Daarbij richt zij zich vooral op partijen die actief zijn in het ecosysteem rond Behavioural Advertising en de Adtech-industrie en zij tracht partijen die hun businessmodel daarom heen hebben opgebouwd tot gedragsverandering te bewegen. In de onderhavige procedure blijkt dit duidelijk uit haar vorderingen jegens Amazon, waarmee SDBN behalve schadevergoeding voor de Benadeelden ook gedragsveranderingen bij Amazon tracht af te dwingen.
30. SDBN is een gedegen initiatief en zet de belangen van haar achterban op de eerste plaats. SDBN beschikt over professionele en vakbekwame leden van de raden van bestuur en toezicht, heeft geen winstoogmerk en heeft haar governance dusdanig ingericht dat vrees voor financiële wanpraktijken is uitgesloten. SDBN voldoet bovendien aan de principes van de Claimcode. SDBN heeft alle expertise en ervaring in huis om deze collectieve actieprocedure tegen Amazon ten behoeve van de Benadeelden succesvol te doorlopen.
Gedaagden
31. De Amazon groep bestaat uit een groot aantal vennootschappen in vele verschillende jurisdicties met het in de Verenigde Staten gevestigde Amazon Inc aan het hoofd.
32. Amazon Europe Core is verantwoordelijk voor de technische werking van de Amazon websites in Europa, waaronder de website xxxxxx.xx. Amazon EU heeft een in Nederland bij de Kamer van Koophandel geregistreerde nevenvestiging: Amazon EU Dutch Branch. Amazon EU is de verkoper van producten en diensten zoals aangeboden op Amazon Marketplace. Amazon Media EU is de verkoper van de digitale content. Daaronder vallen bijvoorbeeld Amazon's streaming dienst Prime Video, Echo en Alexa. Amazon Services is verantwoordelijk voor en verleent diensten (services) die betrekking hebben op onder andere de Amazon Marketplace.
33. Amazon Europe Core, Amazon EU, Amazon Media EU en Amazon Services zijn verwerkingsverantwoordelijke in de zin van de AVG. Dit wordt tevens bevestigd in de Privacyverklaring.
34. Amazon Inc is een vennootschap opgericht naar het recht van Delaware en gevestigd in de Verenigde Staten. Amazon Inc is de topholding van de wereldwijde Amazon groep en is aan de Amerikaanse beurs NASDAQ genoteerd. Ook Amazon Inc dient als (gezamenlijk) verwerkingsverantwoordelijke te worden aangemerkt.
III. DE BENADEELDEN VOOR WIE SDBN IN DEZE PROCEDURE OPKOMT
35. SDBN voert deze procedure namens de Benadeelden. Zij vormen de nauw omschreven groep zoals bedoeld in artikel 1018c lid 1 Rv.
36. De groep Benadeelden is temporeel en territoriaal beperkt tot natuurlijke personen die in de periode vanaf 25 mei 2018 (de dag waarop de AVG in werking is getreden) op een moment gedurende deze periode dat zij in Nederland woonden, Accounthouder1 zijn (of waren).2 In Nederland zijn op dit moment naar schatting ten minste 5.000.000 Accounthouders.
37. Niet valt uit te sluiten dat sommige Benadeelden over de jaren mogelijk uit Nederland zijn geëmigreerd. Voor die (beperkte) groep Benadeelden verzoekt SDBN de rechtbank met het oog op artikel 1018f lid 5 laatste volzin Rv te bepalen dat deze procedure ook voor hen leidt tot gebondenheid op basis van ‘opt-out’ (in overeenstemming met artikel 1018f lid 1 Rv).
38. Iedere Xxxxxxxxxx heeft een vordering jegens Amazon als gevolg van één of meer schendingen van de AVG en/of TW door Amazon, als ook van de Wet OHP en afdeling 6.5.2B BW.
39. SDBN komt krachtens haar Statuten op voor de belangen van de Benadeelden. De doelomschrijving van SDBN is opgenomen in artikel 2 van haar Statuten en de daarin gebezigde begrippen. Kortgezegd stelt SDBN zich ten doel om de belangen van de Benadeelden te behartigen, waarbij “Benadeelden” in de Statuten is gedefinieerd als:
“alle natuurlijke en (rechts)personen die direct of indirect, op welke manier dan ook, zijn geschaad of benadeeld als gevolg van een Privacy Schending, een en ander in de ruimste zin van het woord;”
1 Een Accounthouder is een natuurlijke persoon met een account bij een (of meerdere) Amazon Marketplace(s) en/of Amazon Prime Video. Een Amazon Marketplace betreft alle websites van Amazon waar Amazon en Resellers goederen ter verkoop aanbieden, waaronder maar niet beperkt tot Xxxxxx.xx, Xxxxxx.xx.xx, Xxxxxx.xx, Xxxxxx.xx etc.
2 In essentie worden alle internetgebruikers benadeeld door de handelwijze van Amazon, maar SDBN kiest er bewust om de groep te beperken tot natuurlijke personen die een Amazon-account hebben of hebben gehad in de relevante periode.
het begrip “Privacy Schending” als:
“i. Privacy Schending: een schending van het recht op bescherming van privacy of het
recht op bescherming van Persoonsgegevens, waaronder begrepen, maar niet beperkt tot, de onrechtmatige verwerking van deze Persoonsgegevens, een en ander in de ruimste zin van het woord;”
waarbij het begrip “Persoonsgegevens” is gedefinieerd als:
“g. Persoonsgegevens: alle informatie die kan worden gebruikt om een persoon (direct of
indirect) te identificeren, aan de hand van (i) een naam, (ii) een identificatienummer, (iii) locatiegegevens, (iv) of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van een persoon, of anderszins;”
40. Alle Benadeelden voor wiens belangen SDBN in de onderhavige procedure opkomt, vallen binnen deze doelomschrijving. De statutaire doelomschrijving van SDBN is daarmee toereikend.
41. Sinds haar oprichting tot op heden heeft SDBN voldoende feitelijke werkzaamheden verricht om te concluderen dat zij de belangen van haar statutaire achterban, waaronder de Benadeelden, behartigt. SDBN voldoet derhalve ook aan het statutenvereiste ex artikel 3:305a lid 1 BW.
IV. BELANG VAN PRIVACYBESCHERMING
42. De industrie waarin onlineadvertenties worden aangeboden via internet en mobiele apparaten (Adtech- industrie) heeft zich razendsnel ontwikkeld. Advertentie-inkomsten bleken gemaximaliseerd te kunnen worden door advertenties zoveel mogelijk op het gedrag van de individuele internetgebruiker af te stemmen: dit wordt ‘Behavioural Advertising’ genoemd. Hierdoor ontstond de wens bij advertentiebedrijven om zo gedetailleerd mogelijke persoonlijke profielen van hun gebruikers samen te stellen.
43. Vanwege de continue druk die er bestaat om persoonsgegevens (die mogelijk voor andere doeleinden verzameld zijn) te exploiteren, vaak ten koste van betrokkenen, stelt het privacyrecht strenge eisen ten aanzien van transparantie, dataminimalisatie en doelbinding. Op basis van die eisen nemen Betrokkenen redelijkerwijs aan dat hun gegevens niet worden ingezet voor een ander doel dan het doel waarvoor de gegevens oorspronkelijk zijn verzameld en dat de gegevens worden verwijderd zodra ze niet meer nodig zijn, teneinde verlies van controle te voorkomen.
44. Hoe meer data wordt opgeslagen, hoe lastiger de taak om de controle over deze data te behouden. Het verzamelen van grote hoeveelheden persoonsgegevens creëert ook risico's, waaronder het risico op identiteitsdiefstal, financiële fraude, discriminatie, hacking en cyberaanvallen.
46. Vanwege de ernstige risico’s van het bewaren van grote hoeveelheden data is één van de kernbeginselen van privacywetgeving, zoals gezegd, de plicht tot dataminimalisatie. Bedrijven als Amazon hebben echter geen belang bij dataminimalisatie. Hoe meer gegevens, hoe gedetailleerder de Profilering, hoe gerichter Resellers en Amazon producten kunnen aanbieden en hoe hoger de advertentie-inkomsten die kunnen worden gegenereerd.
AVG
47. Begin 2012 stelde de Europese Commissie een grondige hervorming voor van de EU- gegevensbeschermingsregels zoals neergelegd in de Privacyrichtlijn om de online privacy beter te waarborgen en de digitale economie in Europa te stimuleren.
48. De destijds door de Europese Commissie voorgestelde nieuwe gegevensbeschermingswetgeving had tot doel de rechtsbescherming te versterken, mensen de beschikking te geven over doeltreffende middelen om zich ervan te verzekeren dat zij volledig geïnformeerd worden over wat er met hun persoonsgegevens gebeurt en hen in staat te stellen hun rechten effectiever uit te oefenen. Uiteindelijk heeft dit geresulteerd in de huidige tekst van de AVG3, welke sinds 25 mei 2018 rechtstreeks van toepassing is in de gehele Europese Unie.
49. Om de hiervoor beschreven doelen te kunnen verwezenlijken, bevat de AVG verplichtingen en principes waar bedrijven zich aan moeten houden bij de verwerking van persoonsgegevens.
3 In het Engels wordt ook wel gerefereerd aan de GDPR.
Beginselen
50. In artikel 5 AVG zijn zeven beginselen neergelegd die te allen tijde door de verwerkingsverantwoordelijke in acht dienen te worden genomen bij de verwerking van persoonsgegevens. Een overtreding van één of meerdere beginselen is een overtreding van de AVG. Het betreft de volgende beginselen:
1. Rechtmatigheid, behoorlijkheid en transparantie: alle verwerkingen moeten plaatsvinden in overeenstemming met de geldende wet- en regelgeving en betrokkenen dienen adequaat op de hoogte te worden gesteld van het feit dát er een verwerking plaatsvindt.
2. Doelbinding: persoonsgegevens mogen alleen worden verzameld en verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.
3. Minimale gegevensverwerking / dataminimalisatie: het aantal (categorieën) persoonsgegevens tot een strikt minimum wordt beperkt.
4. Juistheid: de te verwerken persoonsgegevens moeten juist en actueel zijn om van een rechtmatige verwerking te kunnen spreken.4
5. Opslagbeperking: de bewaartermijn dient te worden beperkt tot het noodzakelijke.5
6. Integriteit en vertrouwelijkheid: de te verwerken persoonsgegevens dienen op passende wijze te worden beveiligd teneinde deze te beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.
7. Verantwoordingsplicht: de verantwoordelijke moet in staat zijn om aan te tonen dat zijn organisatie voldoet aan de eisen die de AVG stelt.
Grondslagen
51. De AVG kent een limitatief aantal van zes grondslagen om persoonsgegeven te mogen verwerken. Om te kunnen spreken van een rechtmatige verwerking dient een verwerking te kunnen worden gebaseerd op één van deze grondslagen.6 Is dat niet het geval, dan is de betreffende verwerking onrechtmatig. Voor deze procedure zijn uitsluitend de grondslagen “toestemming” (artikel 6 lid 1 sub a AVG), “uitvoering van een overeenkomst” (artikel 6 lid 1 sub b AVG) en “gerechtvaardigd belang” (artikel 6 lid 1 sub f AVG) mogelijk relevant.
4 Artikel 5 lid 1 sub d AVG.
5 Artikel 5 lid 1 sub e AVG.
6 Artikel 6 lid 1 AVG.
Rechten van betrokkenen
52. In het kader van een goede en effectieve bescherming van persoonsgegevens bevat de AVG diverse rechten die kunnen worden ingeroepen door de betrokkene ten opzichte van de betreffende verantwoordelijke(n). Op grond van de artikelen 13 en 14 AVG moeten betrokkenen actief worden geïnformeerd over de verwerkingsactiviteiten die plaatsvinden ten aanzien van hun persoonsgegevens. Betrokkenen moeten immers in staat worden gesteld de reikwijdte en gevolgen van de beoogde verwerkingen te kunnen bepalen, opdat zij niet worden verrast door bepaalde verwerkingen die worden uitgevoerd door de verantwoordelijke. Het recht op inzage houdt in dat de betrokkene het recht heeft de van hem verwerkte persoonsgegevens in te zien.7 Indien de persoonsgegevens die worden verwerkt onjuist of onvolledig zijn kan de betrokkene de verantwoordelijke verzoeken om deze fouten of onvolledigheden aan te passen.8 Op grond van de AVG kunnen betrokkenen in een aantal situaties verlangen dat hun persoonsgegevens worden verwijderd. 9 In bepaalde gevallen kunnen betrokkenen bezwaar maken tegen de verwerking van hun persoonsgegevens, zo volgt uit artikel 19 AVG.
Tw en cookies
53. Artikel 11.7a Tw vormt het relevante wettelijke kader ten aanzien van de inzet van Cookies. Dit artikel betreft de Nederlandse implementatie van artikel 5(3) van de ePrivacyrichtlijn.
54. Op grond van artikel 11.7a lid 1 Tw is het gebruik van Cookies en andersoortige middelen die vallen binnen de definitie slechts toelaatbaar indien en voor zover (i) voldoende en passende informatie is verstrekt in overeenstemming met artikel 13 en 14 AVG en (ii) de betrokkene daartoe toestemming heeft gegeven.
Conclusie wettelijk kader
55. Het wettelijk kader ten aanzien van de verwerking van persoonsgegevens is duidelijk. Persoonsgegevens mogen niet ongelimiteerd worden verwerkt. Er moet telkens een duidelijk doel voor de verwerking bestaan en betrokkenen dienen hierover op een passende en begrijpelijke wijze te worden geïnformeerd zodat zij controle kunnen houden over de verwerking. Welke grondslagen voor de verwerking kunnen worden ingeroepen, is afhankelijk van het doel van de verwerking.
7 Artikel 15 AVG.
8 Artikel 16 AVG.
9 Artikel 17 lid 1 AVG.
VI. DE BETROKKENHEID VAN AMAZON BIJ DIVERSE SCHENDINGEN VAN HET (E-)PRIVACYRECHT
Inleiding
56. Amazon Marketplace is de poort naar een enorme hoeveelheid producten die door Accounthouders besteld kunnen worden. Een deel van de producten wordt door Amazon zelf verkocht, de meeste producten worden echter aangeboden door Resellers die op Amazon Marketplace actief zijn.
57. Amazon creëert profielen op basis waarvan Behavioural Advertising geautomatiseerd kan worden ingezet. De gedetailleerde profielen van Accounthouders zijn daarom, en dat in steeds grotere mate, de echte “cash cow” van Amazon. Profielen worden niet alleen ingezet in de Amazon Marketplace, maar met name ook in de advertentietak.
58. De verzameling van persoonsgegevens ten behoeve van Profilering van haar Accounthouders door Amazon kan worden onderscheiden in twee hoofdonderdelen, verzameling binnen en buiten het Amazon Platform.
59. De dataverzameling binnen het Amazon Platform omvat naast gegevens zoals identiteitsgegevens, betaalgegevens, kijkgeschiedenis etc. ook detailgegevens over het surfgedrag van Accounthouders. Het kan daarbij gaan om een breed scala aan datapunten. Aan de hand van al dit soort elementen kan het gedrag van de Accounthouder voorspeld worden. Deze vorm van dataverzameling, welke niet duidelijk naar voren komt in de privacy policies van Amazon, gaat veel verder dan de redelijke verwachting van de Accounthouder.
60. Amazon verzamelt echter ook grote hoeveelheden persoonsgegevens buiten het Amazon Platform. Die laatste verwerkingen liggen voor een gemiddelde Accounthouder nog veel minder voor de hand dan de vergaande verwerkingen binnen het platform. De profielen van een Accounthouder worden dus verrijkt met de browse- en locatiegeschiedenis (buiten het Amazon-platform) van de Accounthouder, terwijl de Accounthouder websites van derden bezoekt en apps van derden gebruikt. Amazon doet dit op grote schaal zelfs wanneer de toestemming daartoe expliciet is geweigerd door de Accounthouder.
Wat zegt Amazon zelf over de verwerking van persoonsgegevens?
10 Zie paragraaf 53 e.v.
grootschalige verwerking van persoonsgegevens, aangenomen dat alle componenten daarvan op een rechtmatige wijze zijn uitgevoerd, niet gepaard gaat met verlies van controle door de betrokkenen en/of het ontnemen van een reële bezwaar- of klachtmogelijkheid.
62. Amazon poogt invulling te geven aan deze informatieplicht door middel van een privacy policy. Met het hebben van een privacy policy alleen wordt de informatieplicht echter niet vervuld. Een privacy policy valt of staat immers met de wijze waarop de informatie aan betrokkenen wordt gepresenteerd en in hoeverre die wijze aansluit bij de beginselen van de AVG, waaronder maar niet beperkt tot het beginsel van rechtmatigheid en behoorlijkheid. Of Amazon Accounthouders op een passende wijze informeert, wordt primair beoordeeld aan de hand van de meest recente privacyverklaring daterend van oktober 2022.
63. In de Privacyverklaring worden, onder meer, Amazon Europe Core, Amazon EU, Amazon Services en Amazon Media EU aangemerkt als verantwoordelijken. Ook Amazon Inc dient als (gezamenlijk) verwerkingsverantwoordelijk te worden aangemerkt.
64. Amazon erkent in de Privacyverklaring dat (i) zij een grote hoeveelheid persoonsgegevens verwerkt, (ii) deze gegevens op veel verschillende gelegenheden verwerkt en (iii) dat derden op veel verschillende wijzen toegang krijgen tot de door Amazon verwerkte persoonsgegevens.
65. Uit de Privacyverklaring blijkt dat Amazon een breed scala aan persoonsgegevens van Accounthouders verzamelt, verwerkt en “analyseert”. Deze gegevens worden voor een groot deel automatisch verzameld en geanalyseerd. Uit de Privacyverklaring blijkt voorts dat Amazon bij veel verschillende gelegenheden de persoonsgegevens verzamelt en verwerkt, bijvoorbeeld als een Accounthouder zoekt naar producten en diensten in de Amazon winkels een item toevoegt aan of verwijdert uit een winkelmandje, een bestelling plaatst via Amazon Services of gebruik maakt van Amazon Services.
66. Tevens is opgenomen dat persoonsgegevens worden verwerkt door middel van Cookies. Een en ander wordt verder uitgewerkt door Amazon in haar Cookie-verklaring. Die pagina legt vrij beknopt uit wat het verschil is tussen operationele Cookies en advertentie-Cookies.
11 Waaronder ook Accounthouders moeten worden begrepen.
niet tot de activiteiten van Amazon behoort. Uit de Privacyverklaring blijkt echter ook dat Amazon de door haar verzamelde, verwerkte en geanalyseerde gegevens wel op grote schaal deelt met derden.
68. Bij de bespreking van Amazon's inbreuken op de AVG zal duidelijk worden dat het beeld dat Amazon in haar Privacyverklaring schetst ten aanzien van het delen van persoonsgegevens bepaald onvolledig en misleidend te noemen is.
Overzicht inbreuken AVG / Tw door Amazon
- Amazon handelt in strijd met haar informatieverplichtingen en daarmee het transparantiebeginsel (artikel 5 lid 1 sub a, juncto artikel 12-14 AVG) door Accounthouders ondeugdelijk te informeren over (de omvang van) haar verwerkingen. Hiermee overtreedt zij de AVG en de Tw. De verstrekte informatie is namelijk onvolledig en misleidend:
- De verwerkingen van Amazon gericht op Profileren zijn onrechtmatig (artikel 4 lid 4 AVG);
- Amazon handelt in strijd met het rechtmatigheidsbeginsel (artikel 5 lid 1 sub a, juncto artikel 6 en 7 AVG) doordat zij geen geldige grondslag heeft voor veel van haar verwerkingen. Dit levert ook een schending van het bepaalde in de Tw op;
- Amazon verwerkt in strijd met het verwerkingsverbod (artikel 9 lid 1 AVG) bijzondere persoonsgegevens zoals gegevens ten aanzien van gezondheid, politieke voorkeur of religie;
- Amazon doet niet aan dataminimalisatie en draagt onvoldoende zorg voor integriteit en vertrouwelijkheid van de gegevens (artikel 5 lid 1 sub c en f juncto artikel 32 - 35 AVG). Ook is Amazon niet in staat gebleken een adequaat beschermingsniveau te creëren voor de door haar verwerkte persoonsgegevens en daarmee voor haar Accounthouders (onder meer de artikelen 24 en 32 AVG);
- Amazon geeft op grote schaal persoonsgegevens door aan de Verenigde Staten zonder aan de daarvoor geldende voorwaarden te voldoen;
- Amazon respecteert de rechten van Accounthouders (waaronder het inzagerecht) niet (artikel 15
– 22 AVG);
- Amazon handelt in strijd met het doelbindingsbeginsel doordat de grootschalige verwerking van gegevens niet plaatsvindt op grond van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden (artikel 5 lid 1 sub b, juncto artikel 6 lid 4 AVG) en in strijd met het behoorlijkheidsbeginsel (artikel 5 lid 1 sub a AVG) onder andere doordat het lichtvaardig de betrokkenen aan grote privacyrechtelijke risico’s blootstelt en doordat het betrokkenen misleidt over de omvang van de verwerkingen.
70. De bovenstaande schendingen zullen in dit hoofdstuk nader worden toegelicht. Als startpunt zal worden genomen een analyse van wat Amazon, zoals hierboven ook al deels beschreven, zelf in haar Privacyverklaring stelt. De Privacyverklaring is niet in overeenstemming met de AVG, zelfs al zou de Privacyverklaring een volledig en deugdelijk overzicht van alle verwerkingen geven. Hetgeen dus niet het geval is.
Schending informatieverplichtingen en transparantiebeginsel (artikel 5 lid 1 sub a juncto artikelen 12-14 AVG)
71. In de Relevante Periode heeft Amazon de artikelen 12, 13 en 14 AVG overtreden en deze overtreding duurt nog altijd voort.
Amazon is vaag over doeleinden en onderliggende grondslagen
72. Amazon is in de Privacyverklaring vaag over (i) de doeleinden voor de verwerking in die zin dat niet- concrete en abstracte termen worden gebruikt en (ii) de grondslagen voor de verwerking die per doel van toepassing zijn. Deze onduidelijkheden zijn problematisch aangezien betrokkenen hierdoor niet in staat worden gesteld om de reikwijdte en de gevolgen van de verwerkingen van hun persoonsgegevens te bepalen. Amazon handelt in dit kader dus in strijd met artikel 12 lid 1 AVG, nu de informatie niet op een transparante en begrijpelijke manier wordt verstrekt aan Accounthouders.
Informatie over relevante grondslag per doeleinde voor de verwerking
73. Amazon laat in haar Privacyverklaring na om per doeleinde de relevante rechtsgrondslag te noemen. Vanwege het gebrek aan een concrete “koppeling” tussen het doel en de grondslag kan een Accounthouder niet voldoende bepalen of de verwerking rechtmatig is. Het ontbreken van een duidelijke koppeling tussen doelen en grondslagen voor de verwerking is een overtreding van artikel 13 lid 1 sub c en artikel 14 lid 1 sub c AVG.
Gebrek aan informatie over de afwegingen ten aanzien van de grondslag ‘gerechtvaardigd belang’: artikel 13 van de Privacyverklaring
74. Wanneer een verwerking wordt gebaseerd op de grondslag “gerechtvaardigd belang”, moeten de belangen die in dat kader door de verantwoordelijke worden ingeroepen, duidelijk kenbaar worden gemaakt. De Privacyverklaring van Amazon rept hier niet over. Ook de verplichte afweging van belangen ten opzichte van de belangen van Accounthouders ontbreekt. De conclusie is dat Amazon in strijd handelt met artikel 13 lid 1 sub d en artikel 14 lid 2 sub b AVG.
Onduidelijkheid en dubbelzinnigheid ten aanzien van advertentie-Cookie
75. In artikel 7 van de Privacyverklaring wordt ingegaan op het gebruik van advertenties. Om Accounthouders te informeren over Amazon-advertenties wordt in de Privacyverklaring verwezen naar een specifieke pagina op de website. Op voornoemde pagina wordt verwezen naar een tweetal links naar andere pagina’s op de website van Amazon. Buiten dat de informatie zoals beschreven op de verschillende pagina’s in algemene zin onduidelijk is voor de gemiddelde Accounthouder is de informatie ook misleidend en tegenstrijdig.
76. Allereerst wordt op de pagina’s gebruik gemaakt van verschillende “actieknoppen” die op verschillende wijzen zijn vormgegeven. De knoppen waarmee Amazon toegang krijgt tot (meer) persoonsgegevens van Accounthouders, zoals de knop die leidt tot het accepteren van (alle) Cookies, vallen door de gele kleur aanzienlijk meer op dan knoppen die worden ingezet voor meer formele handelingen zoals het opslaan van instellingen of het verwijderen van persoonsgegevens.
77. Tevens wordt het publiek op misleidende wijze gestuurd doordat het weigeren van Cookies niet even gemakkelijk is als het aanvaarden van Cookies. Een dergelijke wijze van presentatie is niet toegestaan zoals ook volgt uit boetes die door de Franse toezichthouder aan Facebook en Google zijn opgelegd.
78. Het fenomeen zoals hiervoor beschreven, namelijk het gebruik van verschillende kleuren en ontwerpen om Accounthouders tot een bepaalde actie te bewegen, wordt door de EDPB ook wel een “deceptive design pattern” genoemd. Volgens de EDPB is het toepassen van bovengenoemde ontwerpen in strijd met het beginsel van transparantie en derhalve in strijd met artikel 12 lid 1 AVG.
79. De Accounthouder kan op de pagina “Op interesses gebaseerde advertenties” klikken op “advertentievoorkeuren”. Het lijkt er sterk op dat Amazon gewoon advertenties toont en daarmee persoonsgegevens verwerkt in dat kader, aangezien in artikel 9 van de Privacyverklaring wordt gesteld dat wanneer de Accounthouder geen gerichte advertenties wil zien, de advertentievoorkeuren kunnen worden aangepast. Hierbij wordt dus gewezen op het uitvoeren van een actieve handeling om advertenties te voorkomen (opt-out), in plaats van het uitvoeren van een actieve handeling voor het toestaan van advertenties (opt-in).
80. In het kader van de informatieplicht handelt Amazon ten aanzien van het voorgaande opnieuw in strijd met artikel 12 lid 1 AVG.
Bewaartermijnen, rechten van betrokkenen en verwerking van persoonsgegevens buiten de EU
81. De Privacyverklaring bevat slechts beperkte informatie over de bewaartermijnen die Amazon hanteert. Dat is evident in strijd met artikel 13 lid 2 sub a en artikel 14 lid 2 sub a AVG. Buiten het zeer summiere stuk tekst zoals opgenomen in artikel 11 van de Privacyverklaring rept de Privacyverklaring niet over de uitoefening van de rechten van Accounthouders. Dat is in strijd met artikel 13 lid 2 sub b, c en d, alsook artikel 14 lid 2 sub c, d en e AVG. Verantwoordelijken zijn verplicht om details de verstrekken over doorgiften naar derde landen, waaronder in elk geval de toepasselijke mechanismen en waarborgen die maken dat de betreffende doorgifte rechtmatig kan worden geacht. De Privacyverklaring voldoet daar niet aan. Amazon handelt gezien het voorgaande in strijd met artikel 13 lid 1 sub e en artikel 14 lid 1 sub f AVG.
De informatievoorziening is onvolledig
82. Amazon verwerkt veel meer dan zij beschrijft. Amazon schendt artikel 12 lid 1 AVG door Accounthouders niet adequaat te informeren over:
• het plaatsen van cookies via websites van derden;
• dat zij als DSP actief is in het RTB-Systeem;
• dat Amazon gebruikt maakt van Cookie Syncing; en,
• Software Development Kits (SDK) die zij verstrekt aan third-party app ontwikkelaars en door middel waarvan Amazon persoonsgegevens van Accounthouders (en anderen) verwerkt;
Informatieverschaffing bij verwerkingen op websites van derden
83. Bij tal van populaire Nederlandse websites wordt de Accounthouder geconfronteerd met een Cookie-banner die – afhankelijk van het gebruikte CMP kan verschillen, maar – in de kern dezelfde basisstructuur kent. Als men verder klikt binnen de schermen van het CMP treft de bezoeker een lijst aan met honderden van deze derde-partijen (waaronder vaak Amazon) die gegevens wensen te verwerken op basis van “toestemming” en/of “gerechtvaardigd belang”.
84. Zoals uit de beslissing van de Belgische Gegevensbeschermingsautoriteit blijkt, is deze poging om websitebezoekers een geïnformeerde vrije keuze te laten maken niet geslaagd.12 Afhankelijk van het gebruikte CMP is de informatie bovendien misleidend. Vastgesteld kan worden dat Amazon Accounthouders niet op een passende wijze wenst (te) of kan informeren over de verwerking van persoonsgegevens door middel van Cookies. Zonder passende informatieverstrekking kan niet worden
12 Gegevensbeschermingsautoriteit – Geschillenkamer, Beslissing ten gronde 21/2022, 2 februari 2022, dossiernummer DOS-2019-01377
gesproken van rechtmatige toestemming. Zonder rechtmatige toestemming is de verwerking van persoonsgegevens door middel van Cookies niet rechtmatig en derhalve niet toelaatbaar.
Conclusie informatieverstrekking
85. Amazon gebruikt in haar privacy documentatie veel woorden maar schept geen duidelijkheid over de kern van haar verwerkingsactiviteiten binnen en buiten het Amazon Platform, namelijk het opbouwen van een zo gedetailleerd mogelijk profiel van Accounthouders dat zij voor commerciële doeleinden kan aanwenden. SDBN concludeert op basis van het voorgaande dat Amazon in strijd handelt met de AVG en de Tw.
Verwerkingen door Amazon gericht op Profilering zijn onrechtmatig (artikel 4(4) AVG)
86. Amazon maakt veelvuldig gebruik van Profilering ten behoeve van haar bedrijfsvoering. Amazon verwerkt zeer grote aantallen persoonsgegevens, knoopt deze informatie vervolgens aan elkaar, destilleert hier persoonskenmerken uit en komt op deze manier tot een gedetailleerd profiel van internetgebruikers, waaronder alle Accounthouders. Deze activiteiten van Amazon kwalificeren als Profilering in de zin van artikel 4(4) AVG.
87. De verwerking van persoonsgegevens door Amazon ten behoeve of door middel van Profilering vindt niet rechtmatig plaats. Amazon kan immers geen passende grondslag inroepen ten aanzien van de vergaring van informatie ten behoeve van Profilering. Een beroep op de grondslag “gerechtvaardigd belang” voert vanwege de impact die de verwerkingen hebben op de betrokkenen te ver. Op de grondslag “toestemming” kan in casu ook geen geldig beroep worden gedaan. Voor zover al toestemming wordt gevraagd voor het verwerken van persoonsgegevens, wordt toestemming niet op een rechtsgeldige wijze verkregen. Het is voor Accounthouders immers geenszins duidelijk waarvoor toestemming wordt gegeven en wat voor impact de verwerkingen kunnen hebben op hun recht op bescherming van persoonsgegevens.
88. In aanvulling hierop concludeert SDBN dat in bepaalde gevallen sprake is van een onrechtmatige verwerking nu de inzet van automatische besluitvorming (artikel 22 AVG) door Amazon niet toelaatbaar is.
Schending artikel 6 en 7 AVG: gebrek aan een passende grondslag voor het plaatsen van Cookies
89. Een essentieel instrument voor Amazon om haar Profileringsactiviteiten te kunnen ontplooien is het plaatsen van Cookies. Om te kunnen spreken van een rechtmatige verwerking dient deze te kunnen worden gebaseerd op een van de grondslagen van artikel 6 AVG. Is dat niet het geval, dan is de betreffende verwerking onrechtmatig. Ten aanzien van Cookies zijn uitsluitend de grondslagen ‘toestemming’ (artikel 6 lid 1 sub a AVG) en ‘gerechtvaardigd belang’ (artikel 6 lid 1 sub f AVG) in het kader van deze procedure
relevant. Amazon kan in de meeste gevallen geen passende grondslag kan inroepen. Daarmee is Amazon in overtreding op artikel 6 en 7 AVG, alsook artikel 11.7a Tw.
Toestemming
90. Accounthouders die de Amazon Marketplace bezoeken, worden direct geconfronteerd met een grote Cookie-banner onder in het beeldscherm. Zoals uiteengezet in paragraaf 78 e.v. is het gebruik van voornoemde vormgeving aan te merken als een misleidend ontwerp. Dit soort ontwerpen zijn niet alleen strijdig met artikel 12 lid 1 AVG, maar ook met artikel 7 juncto artikel 4(11) AVG omdat de vrije toestemming in het geding komt.
91. Op voornoemde pagina krijgt de Accounthouder een korte uitleg over de aard en functie van de verschillende soorten Cookies. Klikt de Accounthouder verder op de link ‘advertentievoorkeuren’, dan staan de Amazon-advertenties op deze pagina op “aan”, zonder dat de Accounthouder een actieve handeling heeft moeten uitvoeren. Dat is in strijd met artikel 7 lid 1 AVG.
92. Toestemming moet geïnformeerd zijn, zo volgt uit artikel 4(11) AVG. Zoals hiervoor aan de orde gekomen, overtreedt Amazon op verschillende punten haar informatieverplichtingen vanwege de verschillende geïdentificeerde gebreken in haar Privacyverklaring. De Privacyverklaring moet worden gezien als de voornaamste bron van informatie voor Accounthouders, ook wanneer toestemming wordt gevraagd. De Cookie-banners op zichzelf bevatten zeer weinig informatie.
93. Samengevat moet worden geconcludeerd dat Amazon ten aanzien van het inroepen van toestemming voor wat betreft de verwerking van persoonsgegevens middels Cookies op haar eigen website in strijd handelt met artikel 7 lid 1 en 2 juncto artikel 4(11) AVG.
94. Amazon maakt gebruik van CMP’s voor het verkrijgen van toestemming voor het plaatsen van Amazon- Cookies op websites van derden. De toestemming die hiermee wordt verkregen, kan echter niet worden aangemerkt als rechtsgeldige toestemming zoals bedoeld in artikel 7 AVG. Dit is een evidente overtreding van artikel 6 lid 1 en artikel 7 AVG, als ook artikel 11.7a lid 1 Tw. Allereerst geldt voor deze websites dat ze, in algemene zin, het weigeren van niet-essentiële Cookies niet even eenvoudig maken als het accepteren van Cookies. Bovendien heeft de Belgische Gegevensbeschermingsautoriteit bepaald dat de inzet van een CMP niet per se hoeft te leiden tot een geldige toestemming.
95. Onderzoeken van SDBN en andere partijen tonen bovendien aan dat Amazon in veel gevallen ook Tracking Cookies plaatst, reeds voordat enige interactie met een CMP heeft plaatsgevonden. Reeds voordat een Accounthouder die niet gevolgd wenst te worden Cookies kan weigeren, is informatie over het website- bezoek aan Amazon verzonden. Deze praktijk illustreert de totale minachting van Amazon voor het recht
op privacy van de Accounthouders en andere betrokkenen. De Accounthouder krijgt een CMP consent protocol in een Cookie-banner voorgeschoteld met tal van buttons en keuzemogelijkheden, maar zelfs al voordat de CMP in beeld verschijnt is het kwaad al geschied. Het indrukken van welke knop dan ook die tot privacybescherming zou moeten leiden blijkt compleet zinledig. Het onderzoek dat in opdracht van SDBN is uitgevoerd toont niet alleen de grootschalige (onrechtmatige) plaatsing van Cookies aan. Het maakt ook duidelijk dat onmiddellijk nadat een webpagina wordt bezocht, wederom zonder dat enige interactie met een CMP heeft plaatsgevonden, het proces van Cookie Syncing in werking wordt gesteld.
96. Amazon combineert de gegevens die zij middels Cookies en de surveillancetechnieken op de Amazon Marketplace verzamelt met gegevens uit andere bronnen. In ieder geval waar deze gegevens toegevoegd worden aan het profiel van Accounthouders, is daarvoor toestemming de enige rechtsgeldig in te roepen grondslag, om dezelfde redenen als hiervoor genoemd. Die toestemming wordt niet gevraagd.
Gerechtvaardigd belang
97. Gerechtvaardigd belang kan in de meeste gevallen niet dienen als grondslag voor de verwerking van persoonsgegevens middels Cookies. De hoofdregel is immers dat toestemming moet worden verkregen, aldus artikel 11.7a lid 1 Tw.
98. De inzet van Cookies via CMP’s kan in algemene zin niet plaatsvinden op basis van de grondslag “gerechtvaardigd belang” omdat het gaat om niet-noodzakelijke Third Party Cookies. De wetgever is hier duidelijk over.13 Een en ander volgt ook duidelijk uit het hiervoor aangehaalde boetebesluit van de Belgische toezichthouder.
Uitvoering overeenkomst
99. Amazon’s Gebruiks- en verkoopvoorwaarden zouden de indruk kunnen geven dat Amazon de grondslag “uitvoering van de overeenkomst” zou willen gebruiken voor het bepalen van voorkeuren en het personaliseren van ervaringen (al dan niet aan de hand van een profiel). Deze grondslag kan niet worden aangewend voor gegevensverzameling in verband met Profilering en het tonen van gepersonaliseerde advertenties.
Artikel 6 en 7 AVG: gebrek aan een passende grondslag voor gegevensverzameling op andere wijzen
100. Ook voor informatieverzameling binnen het Amazon Platform heeft Amazon in veel gevallen geen geldige grondslag. Uit de eigen Privacyverklaring en overige uitlatingen van Amazon volgt dat bezoekers van het
13 Kamerstukken II 2010/11, 32549, nr. 3.
Amazon Platform tot in detail worden gevolgd. Met de combinatie van al de (persoons)gegevens is Amazon in staat om het gedrag van de Accounthouder in hoge mate te voorspellen. Tevens kunnen Accounthouders met deze gegevens over het internet worden gevolgd door Amazon.
101. De genoemde gegevensverzameling op het Amazon Platform zelf draagt bij aan de Profilering door Amazon. Hierboven is reeds aangegeven dat in ieder geval voor zover sprake is van Profilering, uitsluitend toestemming als grondslag voor verwerking kan worden bereikt en die toestemming wordt niet verkregen van de Accounthouders.
Conclusie ten aanzien van grondslagen
102. Amazon heeft voor Profilering en de verwerkingen gericht op Profilering geen geldige grondslag. Dit betekent dat Amazon bij al deze grootschalige verwerkingen in strijd met de AVG handelt. Dit geldt ten aanzien van verwerkingen op het Amazon Platform en voor de verzameling van persoonsgegevens buiten het Amazon Platform, middels Tracking Cookies, SDK's of anderszins en ongeacht of voor de verzameling middels Third Party Cookies een poging is gedaan tot het verkrijgen van (geldige) toestemming. Zonder grondslag is een verwerking in alle gevallen onrechtmatig. Derhalve wordt artikel 6 AVG overtreden. Aangezien uit het voorgaande volgt dat Amazon geen geldige toestemming verkrijgt of heeft verkregen ten aanzien van de verwerking van persoonsgegevens middels Tracking Cookies, is naast de overtreding op artikel 6 en 7 AVG ook sprake van een schending van artikel 11.7a lid 1 sub b Tw.
Verbod op verwerking van bijzondere persoonsgegevens
103. De bovenstaande conclusie geldt reeds ten aanzien van gewone persoonsgegevens. Ten aanzien van het verwerken van bijzondere persoonsgegevens gelden zwaardere eisen.
104. Op grond van artikel 9 AVG is het verwerken van bijzondere persoonsgegevens verboden, tenzij – in combinatie met een van de grondslagen uit artikel 6 AVG - een uitzondering uit het tweede lid van artikel 9 rechtsgeldig kan worden ingeroepen waarmee het verwerkingsverbod kan worden doorbroken. Bijzondere persoonsgegevens zijn persoonsgegevens die vanwege hun aard extra gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden en specifieke bescherming verdienen aangezien de context van de verwerking ervan significante risico’s kan meebrengen voor de grondrechten en fundamentele vrijheden.14 Het gaat hierbij om gegevens waaruit bijvoorbeeld ras of etnische afkomst blijkt, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen.
00 Xxxxxxxxxx 00 XXX.
105. Het verwerkingsverbod als bedoeld in artikel 9 AVG geldt niet alleen wanneer direct bijzondere persoonsgegevens worden verzameld, maar volgens de WP29 ook in het geval profielen worden gemaakt die een combinatie van gegevens bevatten waaruit bijzondere persoonsgegevens kunnen worden afgeleid. Daarnaast is door de EDPB aangegeven dat veronderstellingen of afleidingen met betrekking tot gegevens van bijzondere categorieën, eveneens een bijzondere categorie van persoonsgegevens kunnen vormen.
106. Uit het door SDBN in opdracht uitgevoerde onderzoek volgt dat onder de websites waarop Amazon zonder (een poging tot) toestemming van gebruikers reeds Tracking Cookies plaatst die leiden tot de verwerking van bijzondere persoonsgegevens als bedoeld in artikel 9 AVG. Echter, Amazon kan zich niet beroepen op een van de uitzonderingen op het verwerkingsverbod van bijzondere persoonsgegevens. Hierdoor vindt er door Amazon geen rechtsgeldige verwerking van bijzondere persoonsgegevens plaats.
Amazon doet niet aan dataminimalisatie en draagt onvoldoende zorg voor de integriteit en vertrouwelijkheid van de gegevens en een adequaat beschermingsniveau (artikel 5 lid 1 sub c en f juncto artikel 32 - 35 AVG)
107. Amazon heeft – anders dan zij moet doen – geen adequaat beschermingsniveau gecreëerd voor de door haar verwerkte persoonsgegevens en daarmee voor de Accounthouders. Daardoor ontstaat het risico dat de persoonsgegevens ongeoorloofd openbaar worden gemaakt, in handen van (nog meer) ongeautoriseerde derden komen en door hen op ongepaste en/of illegale wijze worden gebruikt. Dat risico heeft zich – zoals hiervoor reeds gebleken15 – inmiddels ook een aantal keer verwezenlijkt. Amazon schendt daarmee onder meer de artikelen 24 en 32 tot en met 35 AVG.
108. Uit rapportages van en andere voormalig
(hooggeplaatste) medewerkers van het
(geweest) om al deze persoonsgegevens adequaat te beveiligen.
, blijkt dat Amazon niet in staat is
109. SDBN heeft voornoemde berichtgeving door middel van eigen onderzoek naar de beschikbaarheid van persoonsgegevens die zijn verwerkt door Amazon op dark web-marktplaatsen gevalideerd. Uit het onderzoek van SDBN blijkt dat gestolen, dan wel gelekte persoonsgegevens van Accounthouders op grote schaal te koop worden aangeboden op dark web-marktplaatsen. Het gaat dan bijvoorbeeld om inloggegevens, e-mailadressen en zelfs creditcardgegevens.
110. Conclusie is dat Amazon geen adequaat beschermingsniveau weet te creëren of behouden voor de door haar verwerkte persoonsgegevens en daarmee voor haar gebruikers. Er zijn geen aanwijzingen dat beveiliging van Amazon inmiddels wel op orde is. Conclusie is dat dat Amazon eveneens de artikelen 24 en 32 van de AVG schendt.
Amazon geeft op grote schaal persoonsgegevens door aan de VS zonder aan de daarvoor geldende voorwaarden te voldoen
111. Amazon geeft naar eigen zeggen persoonsgegevens door naar de Verenigde Staten. Dat kan worden afgeleid uit de Privacyverklaring. Uit de Privacyverklaring volgt dat Amazon deze doorgifte met een beroep op haar deelname aan het Privacy Shield tracht te rechtvaardigen.
112. Het Privacy Shield is in 2020 echter ongeldig verklaard door het HvJ EU.16 Aangezien niet blijkt dat Amazon persoonsgegevens nu, vanwege het wegvallen van het Privacy Shield, op basis van een ander wettelijk doorgiftemechanisme persoonsgegevens deelt met Amazon Inc, verwerkt Amazon dus persoonsgegevens buiten de EU in strijd met artikel 44 en 46 AVG. Dat een dergelijke handelwijze als onrechtmatig wordt beschouwd, volgt ook wel uit de recente boete die Meta van de Ierse autoriteit in dit kader heeft ontvangen: EUR 1,200,000,000.
Gebrekkige reactie inzageverzoeken, schending artikel 15 AVG en overige rechten betrokkenen
113. SDBN heeft in het kader van het onderzoek naar de inbreuken van Amazon een aantal Accounthouders inzageverzoeken laten doen bij Amazon. Deze personen hebben naast de standaard-informatie expliciet om informatie gevraagd gebaseerd op de gegevensverzameling die Amazon middels Cookies verricht en alle overige informatie die Amazon verplicht is om te verstrekken op grond van artikel 15 AVG zoals de partijen waarmee gegevens zijn gedeeld.
114. Amazon heeft tot op heden echter geen enkele reactie gegeven op deze verzoeken die specifiek gericht zijn op informatie die Amazon verzamelt door middel van Cookies. In alle gevallen reageerde Amazon met het standaard overzicht “All Data Categories”. Dat bestand bevat echter geen informatie die is verzameld door middel van het plaatsen van Cookies of het gebruik van de Amazon advertising SDK.
115. Op basis van bovenstaande dient geconcludeerd te worden dat Amazon niet voldoet aan de verplichtingen die zij heeft op grond van artikel 15 AVG.
Algemene conclusie schending AVG en Tw
116. Op basis van bovenstaande kan geconcludeerd worden dat Amazon vrijwel alle beginselen uit artikel 5 AVG met voeten treedt.
16 HvJ EU 16 juli 2020, C-311/18, ECLI:EU:C:2020:559 (Facebook Ireland/Xxxxxxx).
117. Als verantwoordelijken hun verplichtingen op grond van de AVG nakomen, dan kan een evenwicht worden bereikt tussen de belangen van verantwoordelijken en betrokkenen mede omdat betrokkenen in staat zijn controle uit te oefenen. Zoals hierboven vastgesteld worden Accounthouders in het geheel niet in staat gesteld om deze essentiële controle uit te oefenen. Zij worden niet deugdelijk geïnformeerd, hun gegevens worden op grote schaal gedeeld met derden waarvan de identiteit niet meer kan worden achterhaald en verzoeken om inzage, die dienen om ontbrekende informatie te verkrijgen, worden op een vage en ontoereikende wijze beantwoord. Dit terwijl hun persoonsgegevens op grote schaal worden gebruikt voor het bouwen van diepgaande profielen die Amazon commercieel inzet.
VII. COLLECTIEVE VORDERINGEN VAN SDBN EN DE GRONDEN DAARVAN
Inleiding
119. In deze dagvaarding stelt SDBN jegens Amazon meerdere voorderingen in. Deze vorderingen zijn gebaseerd op niet-contractuele aansprakelijkheid. SDBN beoogt hiermee te realiseren dat Amazon haar onrechtmatige gedragingen jegens Benadeelden staakt en dat Benadeelden het door hen geleden nadeel als gevolg van het handelen van Amazon vergoed krijgen.
120. De aansprakelijkheid van Amazon wordt gebaseerd op onder meer de AVG, artikel 6:162 BW (onrechtmatige daad) en artikel 6:212 BW (ongerechtvaardigde verrijking).
Aansprakelijkheid op grond van de AVG
121. Artikel 82 AVG biedt een rechtstreekse en zelfstandige grondslag voor aansprakelijkheid en de toekenning van materiële en immateriële schadevergoeding als gevolg van een inbreuk op de AVG.
122. SDBN heeft hiervoor uiteengezet dat Amazon op een structurele, ernstige en omvangrijke manier de rechten van de Benadeelden onder de AVG / Tw schendt.
Aansprakelijkheid op grond van onrechtmatige daad
123. Ingevolge artikel 6:162 lid 2 BW kwalificeert een doen of nalaten in strijd met een wettelijke plicht of met hetgeen volgens ongeschreven recht in het maatschappelijk verkeer geldt, als een onrechtmatige daad.
Deze onrechtmatige daad wordt aan de dader toegerekend indien zij te wijten is aan zijn schuld of aan een oorzaak die krachtens verkeersopvattingen voor zijn rekening komt.
124. In deze paragraaf wordt stilgestaan bij de diverse onrechtmatige gedragingen van Amazon. Deze onrechtmatige gedragingen zijn gestoeld op de volgende grondslagen:
• Amazon handelt in strijd met de AVG;
• Amazon handelt in strijd met de Tw;
• Amazon heeft in strijd gehandeld met de Wet OHP; en
• Amazon handelt in strijd met afdeling 6.5.2B BW.
125. Dit zijn wettelijke plichten in de zin van artikel 6:162 lid 2 BW. Daarnaast schendt Amazon de ongeschreven regels van het maatschappelijk verkeer.
126. Amazon schendt structureel en stelselmatig de (hoofdbeginselen van de) AVG, de Tw, de Wet OHP en afdeling 6.5.2B BW door zonder (geldige) grondslag op grote schaal persoonsgegevens van Xxxxxxxxxxx te verwerken, Benadeelden te Profileren en Benadeelden daarover niet op adequate wijze te informeren. Daarnaast schendt Amazon onder meer de artikelen 7 en 8 van het Handvest en artikel 10 van de Grondwet.
127. Dat betekent dat Amazon (ook) zonder meer in strijd heeft gehandeld met hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt.
Ongerechtvaardigde verrijking
128. SDBN doet daarnaast een beroep op ongerechtvaardigde verrijking ex artikel 6:212 BW. SDBN kan een geslaagd beroep op ongerechtvaardigde verrijking doen omdat aan volgende vier vereisten is voldaan.
1. Amazon is verrijkt;
2. Xxxxxxxxxxx zijn verarmd;
3. de verrijking van Amazon is ten koste gegaan van Benadeelden (tussen de verrijking en verarming bestaat een voldoende verband); en,
4. de verrijking van Amazon is ongerechtvaardigd.
Inleiding
129. Uit het voorgaande volgt dat Amazon vanaf de inwerkingtreding van de AVG tot op de dag van vandaag structureel en stelselmatig onrechtmatig handelt jegens de Benadeelden door overtreding van wettelijke normen die strekken ter bescherming van de Benadeelden, dat Amazon dit onrechtmatig handelen kan worden toegerekend en dat er een causaal verband bestaat tussen dit onrechtmatig handelen en de door Benadeelden geleden en te lijden schade.
130. Het voorgaande betekent dat Amazon (onder meer) de fundamentele rechten van Benadeelden en de AVG, de Tw en de Wet OHP schendt. Amazon dient de schade die de Benadeelden als gevolg daarvan hebben geleden te vergoeden. Er bestaat een conditio sine qua non (causaal) verband tussen het handelen van Amazon en de door Benadeelden c.s. geleden schade: immers, indien het handelen van Amazon wordt weggedacht, zouden de Benadeelden geen schade hebben geleden. Ook aan de relativiteitseis is voldaan: de AVG strekt tot de bescherming van de schade zoals Benadeelden deze hebben geleden. Hetzelfde geldt voor de schendingen van de Tw, de maatschappelijke zorgvuldigheid en de Wet OHP: deze regels zijn gecreëerd om de Benadeelden te beschermen tegen de schade zoals zij deze hebben geleden door toedoen van Amazon.
131. De Benadeelden hebben recht op een vergoeding van de door hen geleden schade. Die schade bestaat uit immateriële schade en materiële schade. De Benadeelden hebben zowel op grond van artikel 82 AVG als op basis van de het Nederlandse recht aanspraak op schadevergoeding.
132. Artikel 82 lid 1 AVG geeft een betrokkene een recht op schadevergoeding als hij materiële of immateriële schade lijdt als gevolg van een inbreuk op de AVG. Artikel 82 AVG biedt een rechtstreekse en zelfstandige grondslag voor materiële en immateriële schadevergoeding. Ook op basis van het Nederlandse recht hebben de Benadeelden recht op immateriële en materiële schadevergoeding.
Immateriële schade
133. Amazon schendt de AVG en de Tw structureel en stelselmatig (zie hiervoor paragraaf 70 - 119). Amazon schendt niet alleen structureel en stelselmatig de AVG en de Tw maar ook de fundamentele rechten van Benadeelden, de wet OHP, afdeling 6.5.2B BW, en de ongeschreven regels van het maatschappelijk verkeer. Daardoor zijn Benadeelden de controle over hun persoonsgegevens verloren.
134. Deze in paragraaf 69 - 118 beschreven feiten omstandigheden maken dat Xxxxxxxxxxx de controle over hun persoonsgegevens zijn verloren, waardoor een toekenning van immateriële schade op zijn plaats is.
Dat volgt – zoals gezegd – expliciet uit de overwegingen 85 en 75 van de AVG en de Nederlandse civiele rechtspraak. Het voorgaande is des te kwalijker nu (i) Amazon de Benadeelden bewust in de waan laat en ten onrechte de schijn wekt dat Xxxxxxxxxxx de controle hebben over hun persoonsgegevens en (ii) Amazon dit alles doet louter voor haar eigen commercieel gewin.
135. Ook de aard en ernst van de schendingen brengen mee dat Xxxxxxxxxxx recht hebben op immateriële schadevergoeding. Een normschending is ernstiger als deze een fundamenteel recht betreft, zoals hier aan de orde. Deze normschendingen vinden reeds over een lange periode consequent plaats en duren voort. De inbreuken raken een grote groep Nederlandse burgers. Onder meer de feiten – dat sprake is van onrechtmatige Profilering en de verwerking van een grote hoeveelheid persoonsgegevens van een groot aantal Benadeelden terwijl een geldige grondslag ontbreekt – maken dat de schending als bijzonder ernstig dient te worden aangemerkt. Uit het voorgaande volgt dat de aard en ernst van deze schendingen zodanig zijn dat ten aanzien van Xxxxxxxxxxx geldt dat de nadelige gevolgen voor zich spreken en dat aantasting in de persoon kan worden aangenomen.
136. SDBN stelt voor om het debat over de hoogte van de schadevergoeding in een later stadium van deze procedure te voeren, nadat SDBN de beschikking heeft over de door Amazon in dat kader verstrekte relevante informatie. Dit sluit ook aan bij het stelsel van de WAMCA, waarin de rechtbank zich pas in een later stadium van de procedure zal buigen over de mogelijke wijzen van schadeafwikkeling en partijen in de gelegenheid kan stellen om hun visie op een dergelijke schadeafwikkeling met de rechtbank te delen (artikel 1018i Rv).
Materiële schadevergoeding
137. Benadeelden hebben naast een recht op immateriële schadevergoeding ook recht op materiële schadevergoeding als gevolg van Amazon’s inbreuken. Benadeelden kunnen een beroep doen op zowel artikel 82 AVG, die expliciet bepaalt dat eenieder die materiële schade heeft geleden ten gevolge van een inbreuk op de AVG recht heeft op schadevergoeding, als het Nederlandse recht (artikel 6:95 e.v. BW).
138. Aan de door Amazon onrechtmatige verwerkte persoonsgegevens, en de op basis daarvan gebouwde profielen, kan een monetaire waarde worden toegekend: de persoonsgegevens hebben in het economische verkeer een waarde. Door de handelwijze van Amazon zijn Benadeelden de controle over hun persoonsgegevens verloren. Dat betekent dat de aan deze persoonsgegevens toe te kennen waarde aan Xxxxxxxxxxx is ontnomen en Benadeelden aldus materiële schade hebben geleden. Deze schade moet door Amazon worden vergoed.
139. SDBN doet in het kader van de begroting van de materiële schade primair een beroep op artikel 6:104 BW en subsidiair op artikel 6:97 BW. SDBN meent dat – net als met betrekking tot de omvang van de
immateriële schadevergoeding – het efficiënter is om het debat over de hoogte van de materiële schadevergoeding in een later stadium van deze procedure te voeren.
IX. ONTVANKELIJKHEID SDBN EN TOEPASSELIJKHEID WAMCA
Inleiding
140. SDBN is opgericht op 20 december 2021. Sinds haar oprichting behartigt zij de belangen van gedupeerden (waaronder de Benadeelden ten behoeve waarvan SDBN in deze procedure opkomt) die (direct of indirect) zijn geschaad als gevolg van de schending van hun privacy. In dit verband is SDBN eerder een collectieve actie tegen Twitter (thans: X) gestart.
141. SDBN is een stichting in de zin van artikel 3:305a lid 1 BW. Zij streeft geen commerciële doeleinden na (en zij heeft geen winstoogmerk). Zij heeft haar governance structuur opgezet in overeenstemming met de principes van de Claimcode. SDBN beschikt over professionele en deskundige raden van bestuur en toezicht die haar in staat stellen om de belangen van Benadeelden adequaat te behartigen. Zij financiert haar procedures met behulp van extern aangetrokken financiering.
De WAMCA is van toepassing
142. Deze procedure van SDBN jegens Amazon valt onder het bereik van de WAMCA. De WAMCA is temporeel van toepassing op collectieve actieprocedures die aanhangig zijn gemaakt op of na het tijdstip waarop de WAMCA in werking trad (1 januari 2020) en die betrekking hebben op schadeveroorzakende gebeurtenissen die hebben plaatsgevonden op of na 15 november 2016. SDBN claimt schadevergoeding vanwege schending van de AVG die samenhangen met gebeurtenissen sinds 25 mei 2018, de dag waarop de AVG in werking trad, hebben plaatsgevonden. Er kan dan ook geen discussie zijn dat deze zaak binnen het temporeel bereik van de WAMCA valt. Sinds de inwerkingtreding van de AVG schendt Amazon de verplichtingen die uit dien hoofde op haar rusten, dan wel laat zij na de persoonsgegevens van Benadeelden AVG-conform te verwerken.
Ontvankelijkheidsvereisten ex artikel 3:305a BW
143. Om deze collectieve procedure te starten, stelt de wet aan SDBN diverse ontvankelijkheidseisen. SDBN voldoet aan de vereisten voor ontvankelijkheid:
a. SDBN is een stichting in de zin van artikel 3:305a lid 1 BW;
b. SDBN beschikt over een toereikende statutaire doelomschrijving;17
c. SDBN heeft in de gegeven omstandigheden voldoende te hebben getracht om het gevorderde door het voeren van overleg met Amazon te bereiken;
d. de belangen van de Benadeelden ten behoeve van wie SDBN deze rechtsvordering instelt zijn voldoende gewaarborgd;18
e. de collectieve vordering van SDBN heeft een voldoende nauwe band met de Nederlandse rechtssfeer;19
f. de belangen waarvoor SDBN in deze procedure opkomt zijn gelijksoortig en lenen zich voor bundeling;20
h. SDBN stelt een bestuursverslag en een jaarrekening op overeenkomstig artikel 2:300 BW en publiceert dit binnen acht dagen na vaststelling op haar algemeen toegankelijke website (xxx.xxxxxxxxxxxxxxxxxxxxxxxx.xx).22
X. BEKENDE VERWEREN VAN AMAZON
144. Amazon heeft tot op heden geen inhoudelijk verweer gevoerd.
XI. INTERNATIONALE BEVOEGDHEID NEDERLANDSE RECHTER, RELATIEVE BEVOEGDHEID RECHTBANK ROTTERDAM EN TOEPASSELIJK RECHT
145. De Nederlandse rechter (specifiek de rechtbank Rotterdam) komt internationale rechtsmacht toe om te oordelen over alle door SDBN jegens Amazon ingestelde vorderingen. Rechtsmacht kan worden gebaseerd op artikel 79 lid 2 AVG, artikel 7 lid 2 Brussel I bis-Vo en artikel 6 en 7 Rv.
146. De rechtbank Rotterdam heeft relatieve bevoegdheid ten aanzien van Amazon. De schade van Benadeelden is verspreid door Nederland ingetreden. SDBN stelt daarom dat in beginsel iedere rechtbank in Nederland relatieve bevoegdheid heeft. Deze stelling strookt met eerdere rechtspraak.23 Het feit dat SDBN haar statutaire zetel heeft in Rotterdam, vormt een bijzondere omstandigheid die een nauwe band tussen het geschil en de rechtbank Rotterdam aantoont.
17 Artikel 3:305a lid 1 BW.
18 Artikel 3:305a lid 1 en lid 2 BW.
19 Artikel 3:305a lid 3 sub b BW.
20 Artikel 3:305a lid 1 BW en artikel 1018c lid 1 sub c Rv.
21 Artikel 3:305a lid 3 sub a BW.
22 Artikel 3:305a lid 5 BW.
23 Rb. Amsterdam 22 juni 2022, ECLI:NL:RBAMS:2022:3586, r.o. 6.20.2
147. Op alle vorderingen van SDBN jegens Amazon is Nederlands recht van toepassing. Dit volgt uit artikel 4 lid 1 Rome II-Vo, artikel 10:159 BW en artikel 10 Rome II-Vo.
dat het de rechtbank behage bij vonnis, zoveel als mogelijk uitvoerbaar bij voorraad: Ontvankelijkheid en exclusieve belangenbehartiger
1. voor recht te verklaren dat SDBN ontvankelijk is in deze collectieve actieprocedure;
2. SDBN aan te wijzen als exclusieve belangenbehartiger in de zin van artikel 1018e lid 1 Rv; Opt out
3. te bepalen dat:
i. iedere Benadeelde met woonplaats of verblijf in Nederland gedurende een periode van drie maanden na de aankondiging van de uitspraak waarbij SDBN als exclusieve belangenbehartiger wordt aangewezen, de griffie van de rechtbank schriftelijk kan laten weten zich van de behartiging van diens belangen in deze collectieve vordering te onttrekken (opt-out, artikel 1018f lid 1 Rv);
ii. iedere Benadeelde zonder woonplaats of verblijfplaats in Nederland gedurende een periode van drie maanden na de aankondiging van de uitspraak waarbij SDBN als exclusieve belangenbehartiger wordt aangewezen, de griffie van de rechtbank schriftelijk kan laten weten zich van de behartiging van diens belangen in deze collectieve vordering te onttrekken (opt-out, artikel 1018f lid 5 slotzin Rv);
Verklaringen voor recht
4. voor recht te verklaren dat:
i. Amazon onrechtmatig hebben gehandeld jegens de Benadeelden;
ii. Amazon hoofdelijk aansprakelijk zijn voor vergoeding van de door de Benadeelden geleden en nog te lijden schade;
iii. Amazon over de aan de Benadeelden te betalen schadevergoeding wettelijke rente verschuldigd zal zijn vanaf de dag der dagvaarding;
Vordering tot schadevergoeding
5. Amazon hoofdelijk te veroordelen aan de Benadeelden de schade te vergoeden die zij hebben geleden, door middel van betaling aan hen van een nader in goede justitie door de rechtbank vast te stellen schadevergoeding, te vermeerderen met de wettelijke rente;
Collectieve schadeafwikkeling
6. te bepalen dat alle door Amazon aan Xxxxxxxxxxx verschuldigde vergoedingen aan SDBN zullen worden betaald onder nader door de rechtbank te stellen voorwaarden van collectieve schadeafwikkeling met inachtneming van het bepaalde in artikel 1018i lid 2 Rv;
Bevelen
7. Amazon te bevelen om binnen drie maanden na de datum van het te wijzen vonnis maatregelen te treffen in het bijzonder door:
a. de overtredingen van de AVG en de Tw te beëindigen,
b. een privacy-beleid op te stellen en te implementeren die in overeenstemming is met de eisen van de AVG en de Tw;
c. een systeem te implementeren om de adequate beveiliging van door Amazon verwerkte persoonsgegevens te waarborgen, en die in overeenstemming is met de eisen van de AVG, zodat de beveiligingsrisico’s zoals beschreven in Hoofdstuk 0 van deze dagvaarding niet langer bestaan;
d. alle persoonsgegevens die in strijd met de AVG en/of de Tw zijn verwerkt te vernietigen en daarvan bewijs te verstrekken aan SDBN;
8. Amazon te verbieden om persoonsgegevens die in strijd met de AVG en/of de Tw zijn verwerkt te gebruiken;
9. Te bepalen dat de geboden en verboden sub 7 en 8 worden opgelegd onder verbeurte van een dwangsom van EUR 1.000 per Benadeelde per overtreding en EUR 250 per dag dat de overtreding voortduurt met een maximum van EUR 30.000 per Benadeelde.
Buitengerechtelijke kosten en (proces)kosten (artikel 6:96 BW en artikel 1018l lid 2 Rv)
10. Amazon hoofdelijk te veroordelen tot vergoeding aan SDBN van:
i. de volledige door SDBN gemaakte buitengerechtelijke kosten, te vermeerderen met de wettelijke rente vanaf de datum van het in deze procedure te wijzen vonnis tot aan de dag van algehele voldoening;
ii. de volledige proceskosten van SDBN en andere kosten, waaronder de volledige kosten van haar procesfinancier, te vermeerderen met de wettelijke rente vanaf de datum van het in deze procedure te wijzen eindvonnis tot aan de dag van algehele voldoening;
iii. de kosten die SDBN zal maken in verband met de handelingen die SDBN in haar hoedanigheid van exclusieve belangenbehartiger tot aan het eindvonnis geacht zal worden uit te voeren, waaronder maar niet beperkt tot kosten ex artikel 1018f lid 3 BW;
iv. de volledige kosten van SDBN die zij in verband met de schadeafwikkeling zal maken vanaf het in deze procedure te wijzen eindvonnis, te vermeerderen met de wettelijke rente vanaf de datum van het in deze procedure te wijzen eindvonnis tot aan de dag van algehele voldoening; en,
v. de kosten die SDBN zal maken ter vaststelling van de schade en de aansprakelijkheid, te vermeerderen met de wettelijke rente vanaf de datum van het in deze procedure te wijzen eindvonnis tot aan de dag van algehele voldoening;
Inzake: Stichting Data Bescherming Nederland / Amazon. Deze zaak wordt behandeld door X. Xxxx, X. Xxxxxx en
X.X.X. xxx xx Xxxx, AKD N.V., Xxxxxxx 0000, 0000 XX Xxxxxxxxx. E-mail: xxxxx@xxx.xxxxxxxx: / xxxxxxx@xxx.xx