Uit de uitspraak van de rechtbank blijkt dat Facebook tussen 1 april 2010 en 1 januari 2020 de Nederlandse wet heeft overtreden. De zaak was aangespannen door de Data Privacy Stichting (DPS), een claimstichting die een collectieve schadevergoeding wil eisen.

Volgens de uitspraak heeft Facebook persoonsgegevens voor advertentiedoeleinden verwerkt zonder dat daar een juridische grondslag voor was. Die grondslag ontbrak ook bij de verwerking van bijzondere persoonsgegevens voor advertentiedoeleinden. Het gaat daarbij om bijvoorbeeld seksuele voorkeur of religie.

De rechter oordeelt verder dat Facebook zijn gebruikers onvoldoende heeft geïnformeerd over het delen van hun persoonsgegevens met andere partijen. Hierbij zijn volgens de rechter niet alleen persoonsgegevens van de gebruikers zelf gedeeld, maar ook persoonsgegevens van hun Facebook-vrienden.

Een derde claim over cookies is afgewezen. De rechtbank oordeelt dat het plaatsen van cookies op websites van derden niet onrechtmatig is. Volgens de rechter is niet Facebook, maar de exploitant van de website daarvoor verantwoordelijk. Websites moeten hun bezoekers vragen of ze cookies mogen plaatsen.

In deze zaak kon nog geen schadevergoeding worden geëist. Maar de claimstichting kan met deze uitspraak in de hand wel een schadevergoeding eisen in een nieuwe rechtszaak.

"Met deze uitspraak kunnen consumenten compensatie krijgen voor de jarenlange privacyschendingen door Facebook", zegt Dick Bouma, voorzitter van DPS. "Het is nu aan Facebook om die te bieden. Daarover willen we in gesprek met het bedrijf."

Een woordvoerder van Facebook-moederbedrijf Meta zegt tegen NU.nl dat het bedrijf van plan is tegen de uitspraak in hoger beroep te gaan.