Verplichte aanspreektitel bij online aankoop in strijd met AVG
HvJ EU 9 januari 2025, IT 4735; ECLI:EU:C:2025:2 (Mousse) Mousse is van mening dat het verplicht vragen naar de aanspreektitel (de heer of mevrouw) in strijd is met de AVG, met name de beginselen van rechtmatigheid en minimale gegevensverwerking. Mousse stelde dat het verzamelen van deze gegevens niet noodzakelijk is voor de uitvoering van een vervoersovereenkomst, noch voor de gerechtvaardigde belangen van SNCF Connect. De CNIL (nationale commissie voor informatica en vrijheden) wees het bezwaar van Mousse af. Mousse heeft vervolgens beroep aangetekend bij de Conseil d’État (hoogste bestuursrechter, Frankrijk) tegen de afwijzing van de CNIL. De Conseil d’État vroeg het Hof of bij de beoordeling van de noodzaak van het verzamelen van aanspreektitels, rekening gehouden mag worden met gangbare praktijken in commerciële communicatie, en of dit in overeenstemming is met het principe van minimale gegevensverwerking. Daarnaast vroeg de Conseil d'État of er rekening mee moet worden gehouden dat klanten bezwaar kunnen maken tegen de verwerking van hun aanspreektitel op basis van artikel 21 AVG, en of dit van invloed is op de beoordeling van de noodzaak van de verplichte gegevensverzameling.
Europese Commissie veroordeeld tot schadevergoeding na IP-adres doorgifte via Facebook
Gerecht EU 8 januari 2025, IT 4733; ECLI:EU:T:2025:4 (Bindl tegen Europese Commissie) Een Duits staatsburger, Bindl, heeft de website van de 'Conference on the Future of Europe' bezocht en zich geregistreerd voor een evenement met zijn Facebookaccount via de EU Login-dienst. Hierdoor is zijn IP-adres overgedragen aan Meta Platforms in de Verenigde Staten. Bindl klaagt de Europese Commissie aan, omdat hij van mening is dat zijn recht op bescherming van persoonsgegevens is geschonden. Hij vordert de nietigverklaring van de doorgifte van zijn persoonsgegevens naar derde landen en schadevergoeding voor de geleden immateriële schade, inclusief een vergoeding voor de schending van zijn recht op toegang tot informatie. Daarnaast vraagt hij om vast te stellen dat de Commissie heeft verzuimd een standpunt in te nemen over zijn verzoek om informatie.
HvJ EU over gegevensverwerking in het kader van de arbeidsverhouding
HvJ EU 19 december 2024, IT 4731; ECLI:EU:C:2024:1051 (MK tegen K GmbH) K GmbH heeft in 2017 een nieuw cloudgebaseerd softwareprogramma, Workday, ingevoerd en daarbij persoonsgegevens van haar werknemers, waaronder MK, van een ander systeem (SAP) naar servers in de VS overgebracht. Hoewel een bedrijfsovereenkomst is gesloten over de invoering van Workday, stelt MK dat er meer gegevens zijn overgedragen dan is afgesproken en dat deze overdracht niet noodzakelijk is. MK claimt immateriële schade te hebben geleden als gevolg van deze vermeende onrechtmatige verwerking van zijn persoonsgegevens vanaf het moment dat de AVG van toepassing werd tot het einde van het eerste kwartaal van 2019. Het Bundesarbeitsgericht twijfelde vervolgens of de nationale bepaling die deze verwerking regelt in overeenstemming is met de AVG. Dit leidde tot prejudiciële vragen aan het Hof over de interpretatie van artikel 88 AVG en de verhouding tot andere bepalingen van deze verordening, met name artikel 5, 6 en 9.
Onrechtmatige Facebook uitlatingen moeten gerectificeerd worden
Vzr. Rb. Noord-Nederland 6 december 2024, IT 4729; ECLI:NL:RBNNE:2024:4801 (AB tegen CD) De Rechtbank Noord-Nederland heeft in een kort geding geoordeeld over onrechtmatige uitlatingen van buren (CD) over hun buren (AB) op sociale media. De zaak betrof beschuldigingen van kindermishandeling, illegale evenementen en problemen in eerdere woonplaatsen, die CD via Facebook en andere kanalen had verspreid. De voorzieningenrechter heeft vastgesteld dat deze uitingen onrechtmatig zijn, omdat ze gebaseerd zijn op onjuiste aannames en AB schade berokkenen. D is veroordeeld om alle berichten over AB van sociale media, zoals Facebook, te verwijderen en rectificaties te plaatsen waarin wordt verklaard dat de beschuldigingen ongegrond en onrechtmatig waren. Verder moet D brieven sturen naar degenen aan wie zij deze beschuldigingen heeft gecommuniceerd en is haar verboden om in de toekomst opnieuw vergelijkbare grievende uitlatingen te doen. Naast de rectificatieplicht heeft de rechtbank geoordeeld dat de camera’s die CD had geplaatst en gericht op het erf van AB een onrechtmatige inbreuk maken op de privacy van AB. CD is daarom verplicht deze camera’s te verwijderen of zodanig aan te passen dat zij geen zicht verschaffen op het perceel van AB.
HvJ EU over elektronische handtekening
HvJ EU 17 oktober 2024, IT 4721; ECLI:EU:C:2024:905 (Marek Jarocki) Een Poolse man heeft een verzoek tot tenuitvoerlegging ingediend bij de Sąd Rejonowy Katowice – Wschód in Katowice, Polen, door middel van een e-mail met een elektronische handtekening. De rechtbank accepteerde dit verzoek niet, omdat het niet met de hand was ondertekend en via een geschikt ICT-systeem was ingediend, wat volgens de nationale wetgeving vereist is. De man diende daarop een verzoek in tot uitsluiting van de gerechtsreferendaris, stellende dat het Unierecht was geschonden. De Poolse rechter heeft vervolgens een prejudiciële vraag aan het Hof van Justitie gesteld over de interpretatie van de EU-verordening betreffende elektronische identificatie en vertrouwensdiensten. Het Hof oordeelt dat de EU-verordening betreffende elektronische identificatie en vertrouwensdiensten, met name artikel 25 lid 1, zich niet verzet tegen een nationale regeling die vereist dat een gerecht over een geschikt ICT-systeem moet beschikken om elektronisch ondertekende processtukken te kunnen accepteren. Het Hof stelt vast dat het weigeren van een elektronisch ondertekend document niet alleen gebaseerd mag zijn op het feit dat het elektronisch is of niet voldoet aan de vereisten voor een gekwalificeerde elektronische handtekening, maar wel als de indiening niet via een geschikt ICT-systeem van de rechtbank is gedaan. De verordening beïnvloedt niet de nationale vormvoorschriften voor het indienen van processtukken. Het Hof benadrukt dat de aanmelding van elektronische identificatiesystemen bij de Commissie niet relevant is voor de toepasbaarheid van de bepalingen betreffende elektronische handtekeningen. Het rechtsgevolg van een elektronische handtekening wordt dus bepaald door de nationale wetgeving, zolang er geen sprake is van pure discriminatie op basis van het elektronische karakter van de handtekening.
Domeinnaamfraude: Geen schadevergoeding, wel gedeeltelijke ontbinding
Hof Amsterdam 19 november 2024, IEF 22460, IT 4727; ECLI:NL:GHAMS:2024:3205 (Stands4 LTD tegen Undeveloped B.V.). Het Gerechtshof oordeelt over een geschil tussen Stands4, een Israëlisch bedrijf, en Undeveloped, een Nederlands handelsplatform voor domeinnamen. Stands4 vordert schadevergoeding van Undeveloped nadat bleek dat een via het platform aangekochte domeinnaam mogelijk door een onbevoegde derde was verkocht. De rechtbank Amsterdam wees de vordering eerder af, waarop Stands4 in hoger beroep ging. In hoger beroep stelt het hof vast dat Undeveloped tekortgeschoten is in haar verplichting om de identiteit van de verkoper zorgvuldig te verifiëren. Hoewel Undeveloped enkele verificatiestappen had ondernomen, zoals controle van WHOIS-gegevens en het opvragen van identificatiedocumenten, acht het hof deze maatregelen onvoldoende. Het platform had volgens het hof aanvullende verificatiestappen moeten nemen, zoals het vragen om een foto van de verkoper met zijn identiteitsbewijs. Ondanks dit oordeel concludeert het hof dat de tekortkoming van Undeveloped geen causaal verband heeft met de door Stands4 geleden schade. De fraude was professioneel uitgevoerd, en zelfs met een extra verificatiestap was het waarschijnlijk niet mogelijk geweest om de identiteit van de frauduleuze verkoper aan het licht te brengen. Dit leidt ertoe dat de primaire en subsidiaire vorderingen van Stands4 tot schadevergoeding worden afgewezen.
Geen schending aanbestedingsrecht en contractuele verplichtingen
Rb. Midden-Nederland 20 december 2024, IT 4726; ECLI:NL:RBMNE:2024:7097 (Helicon tegen Oasis en NA) Helicon is een bedrijf dat gespecialiseerd is in materiële voorbereiding van te scannen documenten en heeft een samenwerkingsovereenkomst gesloten met Oasis, een bedrijf dat archieven digitaliseert. Oasis had van het Nationaal Archief (NA) een opdracht gekregen voor de digitalisering van een deel van het Centraal Archief Bijzondere Rechtspleging (CABR). Helicon was als onderaannemer betrokken voor de materiële voorbereiding. Toen het NA een vervolgopdracht gunde aan Oasis, besloot Oasis om Helicon niet langer in te schakelen en de werkzaamheden door een andere onderaannemer, 2dA, te laten uitvoeren. Helicon stelt dat Oasis en het NA hiermee in strijd handelen met de aanbestedingsregels en contractuele afspraken. Helicon vordert dat het NA de opdracht met Helicon als onderaannemer wordt voortgezet en dat Oasis de samenwerkingsovereenkomst nakomt en Helicon zal blijven inschakelen. Verder eist Helicon een verbod op het wijzigen van de opdracht en exclusieve samenwerking.
Voorzieningenrechter bevestigt sluiting verkoopaccounts op Bol.com na schending beleid door verkoper
Vzr. Rb. Midden-Nederland 13 augustus 2024, IT 4722, IEF 22459; ECLI:NL:RBMNE:2024:4823 (Eiser tegen Bol.com). Eiser heeft twee zakelijke verkoopaccounts gehad op Bol.com, die op 24 april 2024 door Bol zijn gesloten. Bol heeft deze accounts gesloten omdat eiser meerdere keren het beleid van Bol zou hebben overtreden. De overtredingen omvatten onder andere het schenden van intellectuele eigendomsrechten door merknamen in producttitels te gebruiken bij producten die niet van dat merk waren, het plaatsen van valse bestellingen en het schrijven van positieve reviews bij eigen producten. Eiser vordert in dit kort geding dat Bol word geboden om de twee verkoopaccounts binnen zeven dagen te heropenen, 100 beleidspunten toe te kennen en een verbod op te leggen aan Bol om de accounts opnieuw te sluiten of beleidspunten af te trekken om dezelfde redenen als die ten grondslag lagen aan de sluiting van 24 april 2024, op straffe van een dwangsom. Eiser stelt dat de algemene voorwaarden van Bol in strijd zijn met de Verordening EU/2019/1150 (P2B Verordening) en daarom nietig zijn. Subsidiair stelt eiser dat de algemene voorwaarden onredelijk bezwarend zijn in de zin van artikel 6:233 BW of naar maatstaven van redelijkheid en billijkheid onaanvaardbaar.
Inzage transactiegegevens na cryptofraude
Rb. Amsterdam 24 december 2024, IT 4715; ECLI:NL:RBAMS:2024:8186 (eisers tegen gedaagden) Eisers zijn slachtoffer van beleggingsfraude gepleegd door gedaagde 2 en een aan hem gelieerde vennootschap, waarbij hun pensioengelden via een nepaccountbij VKD Invest zijn weggesluisd. De door fraude verkregen gelden zijn via rekeningen bij ABN AMRO overgemaakt naar de cryptobeurzen van gedaagden 1 en 3, die opereren onder de naam Kraken. Eisers hebben eerder verstekvonnissen tegen gedaagde 2 verkregen voor een totaalbedrag van ruim €750.000, maar deze vonnissen zijn niet nagekomen. Eisers hebben een kort geding aangespannen om de cryptorekeningen van gedaagde 2 bij Kraken te laten bevriezen en transactiegegevens te verkrijgen, omdat de rekeningen kort voor de bevriezing zijn leeggehaald. Eisers verzoeken om inzage in de transactiesmet het oog op verhaal op derden die mogelijk profijt hebben getrokken uit de oplichting. De rechtbank oordeelt dat er een juridische grondslag was voor de ordemaatregel van 26 september 2024, ondanks dat de dagvaarding nog niet was uitgebracht. De rechtbank wijst de vordering tot inzage in de transactieoverzichten toe op grond van artikel 843a Rv, omdat eisers een rechtmatig belang hebben om te achterhalen waar hun geld is gebleven na de fraude. De vordering tot overdracht van de digitale activa wordt afgewezen, omdat de rekeningen van gedaagde bij de cryptobeurzen (nagenoeg) leeg zijn. Gedaagden 1 en 3 worden veroordeeld tot het verstrekken van de transactieoverzichten.
Geen tekortkoming in zorgplicht bij verlies cryptovaluta na hack klantaccount
Rb. Amsterdam 18 oktober 2024, IT 4711; ECLI:NL:RBAMS:2024:6485 (Eiser tegen Coin Meester B.V.). Coin Meester exploiteert een website voor de handel in cryptovaluta. Eiser verloor €15.818 aan cryptovaluta nadat zijn account via een wachtwoord-reset werd gehackt. Eiser vorderde schadevergoeding van Coin Meester, stellende dat zij tekort was geschoten in haar zorgplicht door onvoldoende beveiligingsmaatregelen te treffen. Coin Meester betwistte dit en voerde aan dat zij voldoende veiligheidsmaatregelen had genomen, waaronder het verplicht stellen van tweestapsverificatie (2FA) bij registratie, en dat zij klanten expliciet had gewezen op de veiligheidsvoordelen van Google Authenticator (GA) boven 2FA via e-mail. De rechtbank kwalificeert de rechtsverhouding tussen partijen als een overeenkomst van opdracht (artikel 7:400 BW) en oordeelt dat Coin Meester heeft voldaan aan de zorgplicht van een redelijk bekwaam en handelend opdrachtnemer. Coin Meester stelde 2FA verplicht, informeerde haar klanten uitgebreid over het gebruik van GA en de bijbehorende veiligheidsvoordelen, en handelde conform de destijds gangbare beveiligingsstandaarden. Verder oordeelt de rechtbank dat Coin Meester geen aanleiding had om aan te nemen dat het account van eiser was gehackt op het moment van de transacties. Het wijzigen van het wachtwoord en de overboeking van cryptovaluta naar een externe wallet zijn immers gebruikelijke handelingen in de cryptovalutahandel. Coin Meester had bovendien geen verplichting om externe wallets te verifiëren of accounts automatisch te blokkeren bij een wachtwoordwijziging, tenzij er concrete aanwijzingen van misbruik waren. De rechtbank acht Coin Meester niet aansprakelijk voor het verlies van de cryptovaluta. Om die reden wordt de vordering tot schadevergoeding afgewezen.