EU-domstolens tribunal har dömt EU-kommissionen till att betala en man 400 euro i skadestånd för olaglig överföring av hans ip-adress till Facebook i USA. Mannen hade besökt en av kommissionens webbplatser för att registrera sitt deltagande i ett evenemang och i detta syfte använt funktionen ”logga in via Facebook” som hade integrerats i webbplatsen, vilket föranledde överföringen. Detta ägde rum under åren 2021 och 2022, kort efter att EU-domstolen ogiltigförklarat Privacy Shield, ett ramverk för överföring av personuppgifter till USA, i det så kallade Schrems II-målet.
Mannen hävdade att hans personuppgifter, inklusive hans ip-adress, hade överförts till företaget Meta Platforms Inc (Meta) som äger Facebook och Amazon Web Services (AWS) i USA i samband med hans besök på webbplatsen. Avseende AWS gjorde han gällande att personuppgifterna behandlats av tjänsten AWS CloudFront, en tjänst för content delivery. Vidare hävdade han bland annat att avsaknaden av ett adekvat skydd för personuppgifter i USA (som följd av Schrems II-målet) innebar en risk för att hans personuppgifter hade överförts till amerikanska underrättelsetjänster.
Mannen yrkade bland annat att tribunalen skulle förplikta kommissionen att ersätta honom med 400 euro för den ideella skada som han lidit till följd av överföringarna.
Överföring till Meta
I sitt beslut erinrar tribunalen inledningsvis om att en ip-adress utgör en personuppgift och konstaterar att kommissionen skapade förutsättningarna för överföringen av mannens ip-adress till Facebook genom att placera funktionen ”logga in via Facebook” på webbplatsen. Vidare ansåg tribunalen att denna överföring utgjorde en överföring av personuppgifter till ett tredjeland enligt förordning 2018/1725 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer (EU-institutionernas motsvarighet till den allmänna dataskyddsförordningen (GDPR).
Tribunalen konstaterade att det vid tidpunkten för överföringen (30 mars 2022) inte förelåg något beslut om adekvat skyddsnivå i den mening som avses i förordning 2018/1725 vad gäller USA och att kommissionen inte heller hade vidtagit lämpliga skyddsåtgärder i enlighet med regelverket. Tribunalen slog fast att kommissionen följaktligen skapat förutsättningarna för en överföring av mannens personuppgifter till ett tredjeland utan att uppfylla villkoren för en sådan överföring enligt förordning 2018/1725.
Gällande frågan om ideell skada som uppstått till följd av överföringen påpekade tribunalen att rätten till ersättning inte bara gäller för ekonomisk skada, utan även för den ideella skada som lidits till följd av ett åsidosättande av förordning 2018/1725. Tribunalen förtydligade att detta gäller utan att det krävs bevis på en viss allvarlighetsgrad och hänvisade till EU-domstolens dom C-300/21 (Österreichische Post) för ett liknande resonemang.
Tribunalen ansåg att den ideella skada som mannen åberopat ska anses vara faktisk och säker eftersom den omtvistade överföringen har försatt honom i en osäker situation vad gäller behandlingen av hans personuppgifter. Vidare ansåg tribunalen att det dessutom finns ett tillräckligt direkt orsakssamband mellan kommissionens åsidosättande av reglerna för tredjelandsöverföringar och den ideella skada som mannen lidit. Tribunalen förpliktade kommissionen att utge 400 euro i ersättning till mannen för den ideella skada som han lidit till följd av den omtvistade överföringen.
Överföringar till AWS Cloud Front
För en av de omtvistade överföringarna till AWS Cloud Front konstaterade tribunalen att tjänstens utformning visserligen möjliggjorde att mannens ip-adress upprättade anslutningar till AWS Cloud Front servrar i USA, men att detta berodde på en teknisk inställning som mannen hade gjort för att ändra sin synbara plats. Tribunalen konstaterade att det således är mannens handlande som skapat de nödvändiga förutsättningarna för att anslutningar till servrar i USA ska upprättas genom AWS CloudFronts funktionssätt, även om kommissionens användning av tjänsten är en nödvändig förutsättning för att överföring skulle vara möjlig. Enligt tribunalen saknades således ett tillräckligt orsakssamband mellan kommissionens handlade och kommissionens påstådda rättsstridiga handlande. Därför ogillade tribunalen yrkandet på skadestånd för denna överföring. Samtidigt påminde tribunalen om att prövningen inte avsåg lagenligheten av kommissionens beslut att använda tjänsten CloudFront utan endast bedömningen för villkoren för skadeståndsansvar.
Gällande den andra omtvistade överföringen till AWS CloudFront konstaterade tribunalen att mannens personuppgifter överfördes till en server i München som tillhörde ett företag med hemvist i Tyskland. Tribunalen konstaterade att även om det antas att sökandens personuppgifter inte har lämnat unionens territorium, har dessa uppgifter ändå överförts till en server som tillhör tjänsten AWS CloudFronts nätverk för perifera platser, vilket omfattar ett nätverk av perifera platser som inte är begränsade till EES. Tribunalen ansåg emellertid att detta inte visar att det skett en överföring av personuppgifter till mottagare med hemvist utanför EES, varför den omtvistade överföringen inte utgjorde en överföring av personuppgifter till ett tredjeland i den mening som avses i förordning 2018/1725. En sådan överföring kräver att personuppgifterna görs tillgängliga för en mottagare som är etablerad utanför EES. Därför ogillade tribunalen yrkandet på skadestånd även för denna överföring.