EU-Gerecht: Commissie moet schadevergoeding aan bezoeker CotFE-website betalen vanwege overdracht persoonsgegevens aan VS
Nieuwsbericht | 16-01-2025
Het gaat om het arrest van het Gerecht van 8 januari 2025 in zaak T-354/22 (Bindl/Commissie).
Achtergrond Een in Duitsland wonende burger (Bindl) klaagde dat de Europese Commissie zijn recht op bescherming van zijn persoonsgegevens had geschonden toen hij in 2021 en 2022 de website van de Conferentie over de toekomst van Europa (de CotFE) bezocht, die door de Commissie wordt beheerd. Via die website had hij zich ingeschreven voor het “GoGreen”-evenement met behulp van de authenticatiedienst EU Login van de Commissie, nadat hij de optie had geselecteerd om zich aan te melden met zijn Facebook-account.
Volgens de klager werden tijdens zijn bezoeken aan die CotFE-website zijn persoonsgegevens, waaronder zijn IP-adres en informatie over zijn browser en terminal, doorgegeven aan ontvangers in de Verenigde Staten. De gegevens werden volgens hem doorgegeven aan de Amerikaanse onderneming Amazon Web Services, in haar hoedanigheid van beheerder van het content delivery network Amazon CloudFront, dat door de betrokken website werd gebruikt. Toen hij zich via zijn Facebook-account inschreef voor het “GoGreen”-evenement, werden zijn persoonsgegevens bovendien doorgegeven aan de Amerikaanse onderneming Meta Platforms, Inc.
Volgens de betrokken klager is er in de Verenigde Staten echter geen sprake van een passend beschermingsniveau. Hij beweert dat deze overdrachten het risico met zich meebrachten dat zijn gegevens zouden worden ingezien door de Amerikaanse veiligheids- en inlichtingendiensten. De Europese Commissie had geen enkele passende waarborg aangegeven die deze doorgiften zou kunnen rechtvaardigen (zoals bepaald in hoofdstuk V van verordening (EU) 2018/1725 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens).
Op die grondslag vordert hij betaling van 400 euro ter vergoeding van de immateriële schade die hij stelt te hebben geleden als gevolg van de litigieuze doorgiften. Tevens vordert hij nietigverklaring van de overdracht van zijn persoonsgegevens, vaststelling dat de Commissie onrechtmatig heeft nagelaten haar standpunt te bepalen over een verzoek om informatie en veroordeling van de Commissie tot betaling van een bedrag van 800 euro ter vergoeding van de immateriële schade die hij stelt te hebben geleden door de schending van zijn recht op toegang tot informatie.
EU-Gerecht Het Gerecht verklaart het beroep tot nietigverklaring niet-ontvankelijk en oordeelt dat op de vordering tot vaststelling van nalaten niet meer behoeft te worden beslist. Het Gerecht wijst ook de vordering tot schadevergoeding wegens schending van het recht op toegang tot informatie af, op grond dat er geen sprake is van de gestelde immateriële schade.
Wat de vordering tot schadevergoeding op basis van de betwiste doorgifte van gegevens betreft, wijst het Gerecht deze vordering af met betrekking tot de doorgifte van gegevens via Amazon CloudFront.
Het Gerecht stelt vast dat tijdens éé n van de litigieuze verbindingen gegevens zijn overgedragen volgens het nabijheidsbeginsel (de Amazon CloudFront-dienst is gebaseerd op een routeringsmechanisme dat verzoeken van gebruikers van de website “Conferentie over de toekomst van Europa” doorstuurt naar de edge server met de laagste latentie, volgens het principe van nabijheid tot de terminal van de gebruiker, zodat de inhoud in de best mogelijke omstandigheden aan de gebruikers wordt geleverd), naar een server in München/ Duitsland (de server in kwestie behoort tot een Duitse onderneming die deel uitmaakt van het Amazon CloudFront-netwerk van edge-locaties), en niet naar de Verenigde Staten. Volgens de overeenkomst tussen de Europese Commissie en de Luxemburgse onderneming Amazon Web Services, die Amazon CloudFront beheert, moest Amazon Web Services ervoor zorgen dat de gegevens zowel in rust als in transit in Europa bleven.
In het geval van een andere verbinding was de betrokkene verantwoordelijk voor de omleiding ervan, via het routeringsmechanisme van Amazon CloudFront, naar servers in de Verenigde Staten. Als gevolg van een technische aanpassing bleek hij zich in de Verenigde Staten te bevinden.
Wat de inschrijving van deze persoon voor het “GoGreen”-evenement betreft, stelt het Gerecht echter vast dat de Commissie door middel van de hyperlink “Sign in with Facebook” op de EU-webpagina “Login” de voorwaarden heeft gecreëerd voor de overdracht van zijn IP-adres aan Facebook. Dit IP-adres vormt een persoonsgegeven dat via deze hyperlink is doorgegeven aan Meta Platforms, een in de Verenigde Staten gevestigde onderneming. Deze doorgifte moet aan de Commissie worden toegerekend.
Ten tijde van deze doorgifte, op 30 maart 2022, bestond er geen besluit van de Commissie waarbij werd vastgesteld dat de Verenigde Staten een passend beschermingsniveau garandeerden voor de persoonsgegevens van EU-burgers. Bovendien heeft de Commissie niet aangetoond of beweerd dat er een passende waarborg was, met name een standaardclausule inzake gegevensbescherming of een contractuele clausule (vastgesteld overeenkomstig de voorwaarden van artikel 48, leden 2 en 3, van Verordening 2018/1725). De weergave van de hyperlink “Aanmelden met Facebook” op de EU-loginwebsite viel volledig onder de algemene voorwaarden van het Facebook-platform.
De Europese Commissie voldeed volgens het Gerecht dus niet aan de voorwaarden die het Unierecht stelt aan de doorgifte van persoonsgegevens door een instelling, orgaan of instantie van de EU aan een derde land.
Het Gerecht is van oordeel dat de Commissie een voldoende gekwalificeerde schending heeft begaan van een rechtsregel die ertoe strekt aan particulieren rechten toe te kennen. De betrokkene heeft immateriële schade geleden, aangezien hij zich in een situatie van onzekerheid heeft bevonden met betrekking tot de verwerking van zijn persoonsgegevens, in het bijzonder zijn IP-adres. Bovendien bestaat er een voldoende rechtstreeks causaal verband tussen de inbreuk van de Commissie en de immateriële schade die de betrokkene heeft geleden. Aangezien is voldaan aan de voorwaarden voor niet-contractuele aansprakelijkheid van de Europese Unie, veroordeelt het Gerecht de Commissie tot betaling aan de betrokkene van het gevorderde bedrag van 400 euro.
Meer informatie: Persbericht Curia ECER-dossier: Privacy ECER-dossier: Digitalisering
