Arrest van het Gerecht (Zesde kamer – uitgebreid) van 8 januari 2025

– Inleidende overwegingen over de bepalingen betreffende de doorgifte van persoonsgegevens naar een derde land

90 In de eerste plaats moet worden opgemerkt dat verordening 2018/1725 volgens artikel 2, lid 5, ervan van toepassing is op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

91 In de tweede plaats moet het begrip „persoonsgegevens” aldus worden uitgelegd dat het betrekking heeft op iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, overeenkomstig artikel 3, punt 1, van verordening 2018/1725.

92 In de derde plaats moet worden opgemerkt dat de doorgifte van persoonsgegevens een „verwerking” van gegevens in de zin van artikel 3, punt 3, van verordening 2018/1725 vormt.

93 In de vierde plaats zij opgemerkt dat de „doorgifte van persoonsgegevens naar derde landen of aan internationale organisaties” wordt geregeld in hoofdstuk V van verordening 2018/1725, dat deze handeling evenwel niet definieert.

94 Uit overweging 63 van verordening 2018/1725 blijkt echter dat de in hoofdstuk V van die verordening bedoelde doorgiften betrekking hebben op persoonsgegevens die vanuit de instellingen en organen van de Unie aan verwerkingsverantwoordelijken, verwerkers of andere ontvangers in derde landen of aan internationale organisaties worden doorgegeven.

95 Bovendien volgt uit een systematische uitlegging van verordening 2018/1725 dat de doorgifte van persoonsgegevens naar derde landen, in de zin van artikel 46 van die verordening, aan de volgende voorwaarden moet voldoen: ten eerste moet de verantwoordelijke voor de verwerking van de betrokken gegevens tot een instelling of orgaan van de Unie behoren en dus onder die verordening vallen (artikel 1 van verordening 2018/1725); ten tweede moet de verwerkingsverantwoordelijke de persoonsgegevens doorgeven of op andere wijze ter beschikking stellen van een ontvanger, met name een andere natuurlijke of rechtspersoon (artikel 3, punten 3 en 13, van verordening 2018/1725), en ten derde moet die ontvanger in een derde land gevestigd zijn (artikel 46 van verordening 2018/1725), dat wil zeggen een land dat geen lid is van de Unie of van de Europese Economische Ruimte (EER).

96 In de vijfde plaats moet worden vastgesteld dat de bepalingen van hoofdstuk V van verordening 2018/1725, overeenkomstig overweging 63 ervan, tot doel hebben om bij de doorgifte van persoonsgegevens naar derde landen of aan internationale organisaties het beschermingsniveau te waarborgen waarvan natuurlijke personen in de Unie door deze verordening verzekerd zijn.

97 In de zesde plaats is in artikel 46 van verordening 2018/1725 een algemeen beginsel neergelegd dat persoonsgegevens slechts aan een derde land of een internationale organisatie mogen worden doorgegeven indien, onverminderd de overige bepalingen van deze verordening, de verwerkingsverantwoordelijke en de verwerker aan de in hoofdstuk V neergelegde voorwaarden hebben voldaan.

98 In de zevende plaats moet met betrekking tot de voorwaarden van hoofdstuk V van verordening 2018/1725 worden opgemerkt dat artikel 47, lid 1, van die verordening bepaalt dat de doorgifte van persoonsgegevens naar een derde land of aan een internationale organisatie kan plaatsvinden als de Commissie met name op grond van artikel 45, lid 3, van verordening 2016/679 bij een adequaatheidsbesluit heeft beslist dat het derde land of de internationale organisatie in kwestie een adequaat beschermingsniveau waarborgt, en als de persoonsgegevens uitsluitend worden doorgegeven om de uitvoering van onder de bevoegdheid van de verwerkingsverantwoordelijke vallende taken mogelijk te maken.

99 In dit verband zij eraan herinnerd dat de twee adequaatheidsbesluiten van de Commissie betreffende de Verenigde Staten ongeldig zijn verklaard. Het Hof heeft bij arrest van 6 oktober 2015, Schrems (C‑362/14, EU:C:2015:650 ), beschikking 2000/520/EG van de Commissie van 26 juli 2000 overeenkomstig richtlijn 95/46/EG van het Europees Parlement en de Raad, betreffende de gepastheid van de bescherming geboden door de Veiligehavenbeginselen voor de bescherming van de persoonlijke levenssfeer en de daarmee verband houdende Vaak gestelde vragen, die door het ministerie van Handel van de Verenigde Staten zijn gepubliceerd (PB 2000, L 215, blz. 7) ongeldig verklaard. Voorts heeft het Hof bij het arrest Schrems II, uitvoeringsbesluit (EU) 2016/1250 van de Commissie van 12 juli 2016 overeenkomstig richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming (PB 2016, L 207, blz. 1) ongeldig verklaard.

100 Hieruit volgt dat er op de datum van de litigieuze doorgiften geen adequaatheidsbesluit in de zin van artikel 47 van verordening 2018/1725 bestond voor de Verenigde Staten.

101 Bij gebreke van een adequaatheidsbesluit van de Commissie met betrekking tot de Verenigde Staten, is artikel 48, lid 1, van verordening 2018/1725 – dat bepaalt dat persoonsgegevens alleen aan een derde land of een internationale organisatie mogen worden doorgegeven als de verwerkingsverantwoordelijke of de verwerker passende waarborgen biedt en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken – van toepassing.

102 De in artikel 48, lid 1, van verordening 2018/1725 bedoelde passende waarborgen, die in artikel 48, leden 2 en 3, van die verordening worden opgesomd, kunnen met name worden geboden door middel van standaardbepalingen inzake gegevensbescherming die door de Commissie overeenkomstig artikel 48, lid 2, onder b), van die verordening zijn vastgesteld.

103 De standaardbepalingen inzake gegevensbescherming van artikel 48, lid 2, onder b), van verordening 2018/1725 kunnen echter vereisen dat aanvullende maatregelen worden om een passend beschermingsniveau overeenkomstig het Unierecht te waarborgen (zie naar analogie arrest Schrems II, punten 133 en 134).

104 Bovendien kunnen de in artikel 48, lid 1, van verordening 2018/1725 bedoelde passende waarborgen, onder voorbehoud van de toestemming van de EDPS, worden geboden door met name contractbepalingen tussen de verwerkingsverantwoordelijke of de verwerker, enerzijds, en de verwerkingsverantwoordelijke, de verwerker of de ontvanger van de persoonsgegevens in het derde land, anderzijds, als bedoeld in artikel 48, lid 3, onder a), van die verordening.

105 Voorts zij eraan herinnerd dat de artikelen 7, 8 en 47 van het Handvest voorzien in respectievelijk het recht op eerbiediging van het privéleven, het recht op bescherming van persoonsgegevens en het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht.

106 In casu moet om te beginnen worden opgemerkt dat verzoekers tweede schadevordering is gebaseerd op schending door de Commissie van artikel 46 en artikel 48, lid 1, en lid 2, onder b), van verordening 2018/1725 en van de artikelen 7, 8 en 47 van het Handvest. Uit de punten 91 tot en met 105 hierboven volgt dat die bepalingen van verordening 2018/1725 concrete invulling geven aan grondrechten zoals die welke zijn neergelegd in de artikelen 7 en 8 van het Handvest, en in hun geheel beogen de continuïteit te waarborgen van het hoog niveau van bescherming van persoonsgegevens in geval van doorgifte van die gegevens naar derde landen of aan internationale organisaties.

107 Hieruit volgt dat de bepalingen waarvan verzoeker schending aanvoert ter ondersteuning van zijn tweede schadevordering, ertoe strekken het individuele belang van de betrokken personen te beschermen en derhalve rechtsregels zijn die ertoe strekken aan particulieren rechten toe te kennen in de zin van de in punt 50 hierboven in herinnering gebrachte rechtspraak.

108 Thans moet worden onderzocht of voor elk van de drie in punt 87 hierboven genoemde litigieuze doorgiften is voldaan aan de voorwaarden voor de niet-contractuele aansprakelijkheid van de Commissie.

109 Aangezien de in de punten 26 en 28 hierboven vermelde litigieuze doorgiften hebben plaatsgevonden doordat door de CTE-website gebruik werd gemaakt van het CDN genaamd Amazon CloudFront (hierna: „dienst Amazon CloudFront”), moet eerst worden onderzocht hoe deze dienst in het kader van die website functioneert.

– Werking van de dienst Amazon CloudFront in het kader van de CTE-website

110 In casu staat vast dat de CTE-website het CDN Amazon CloudFront gebruikt en dat dit netwerk wordt geactiveerd bij elk bezoek aan die website door een gebruiker.

111 Uit het dossier, met name uit de antwoorden van partijen op de maatregel tot organisatie van de procesgang van 21 juli 2023 en uit de pleidooien en de antwoorden ter terechtzitting van 17 oktober 2023, blijkt in de eerste plaats dat de dienst Amazon CloudFront een internetdienst is die ervoor zorgt dat gebruikers sneller toegang krijgen tot webcontent, in casu de inhoud van de CTE-website. De dienst Amazon CloudFront verspreidt de inhoud via een wereldwijd netwerk van servers of datacentra die „perifere locaties” of „perifere servers” worden genoemd.

112 In de tweede plaats is de dienst Amazon CloudFront gebaseerd op een routingmechanisme dat de aanvraag van een gebruiker van de CTE-website stuurt naar de perifere server die volgens een beginsel van nabijheid van het toestel van de gebruiker de laagste latentietijd biedt, zodat de inhoud onder de best mogelijke omstandigheden naar de gebruiker wordt toegezonden. Indien met name wegens technische moeilijkheden de perifere server met de laagste latentietijd niet beschikbaar is, wordt de verbinding tot stand gebracht met de server met de op één na laagste latentietijd, enzovoort.

113 In de derde plaats wordt de dienst Amazon CloudFront gebruikt voor de CTE-website op basis van overeenkomst nr. 2020‑1742 tussen de Commissie en AWS EMEA, die een dochteronderneming is van de onderneming naar Amerikaans recht Amazon.com en haar zetel in Luxemburg heeft (zie punt 12 hierboven).

114 In de vierde plaats heeft de Commissie in het kader van deze overeenkomst voor de CTE-website gekozen voor het geografische gebied „Noord-Amerika (Verenigde Staten, Mexico, Canada), Europa en Israël”. Dit betekent dat de inhoud van deze website niet via het wereldwijde netwerk van perifere locaties van Amazon CloudFront wordt verspreid, maar enkel via de locaties die zich in bovengenoemde geografische gebieden bevinden, te weten de Verenigde Staten, Mexico, Canada, Europa en Israël.

115 In de vijfde plaats worden de aanvragen van gebruikers uit de Unie om de CTE-website te bezoeken wegens het in punt 112 hierboven vermelde nabijheidsbeginsel gewoonlijk verstuurd naar perifere servers van de dienst Amazon CloudFront op dat grondgebied, terwijl die aanvragen slechts zelden naar servers buiten de Unie worden gestuurd.

116 In de zesde plaats wordt de infrastructuur van het netwerk van perifere locaties van Amazon CloudFront blijkens het dossier verzorgd door een aantal ondernemingen, waarvan sommige tot de Amazon-groep behoren en andere derde ondernemingen zijn, en waarvan de naar geografisch gebied geordende lijst op de website van Amazon Web Services kan worden geraadpleegd. In het geografische gebied „Noord-Amerika (Verenigde Staten, Mexico, Canada), Europa en Israël” zijn de betrokken ondernemingen zowel gevestigd in lidstaten van de Unie als daarbuiten, met name in de Verenigde Staten, Israël, Mexico, Zwitserland of het Verenigd Koninkrijk. Elke onderneming exploiteert servers in het land waar zij is gevestigd. Bijgevolg hangt de geografische locatie van de servers die bij de verrichting van de dienst Amazon CloudFront betrokken zijn ook af van de locatie van de betrokken ondernemingen.

117 In de zevende plaats bepaalt de overeenkomst tussen de Commissie en AWS EMEA onder meer het volgende:

• AWS EMEA moet kunnen waarborgen dat de gegevens op het grondgebied van de EER blijven, en dit zowel wanneer zij worden doorgegeven als wanneer zij zijn opgeslagen (afdeling 11.2 van de overeenkomst);

• AWS EMEA mag de locatie van de gegevensverwerking niet wijzigen zonder voorafgaande toestemming van de Commissie [afdeling 12.2.3, onder a), van de overeenkomst];

• elke doorgifte van persoonsgegevens in het kader van de overeenkomst naar derde landen of aan internationale organisaties moet volledig in overeenstemming zijn met de vereisten van hoofdstuk V van verordening 2018/1725 [afdeling 12.2.3, onder b), van de overeenkomst];

• AWS EMEA mag geen persoonsgegevens doorgeven aan een land buiten de EER, tenzij de Commissie vooraf schriftelijke toestemming voor een dergelijke doorgifte heeft gegeven en de doorgifte met inachtneming van de voorwaarden van hoofdstuk V plaatsvindt (afdeling 1.8.9 van de overeenkomst);

• AWS EMEA moet de Commissie kennisgeven van elk verzoek om toegang tot persoonsgegevens en moet gebruikmaken van alle beschikbare rechtsmiddelen tegen deze verzoeken (afdelingen 1.8.3, 1.8.4 en 1.8.5 van de overeenkomst);

• AWS EMEA moet ervoor zorgen dat deze maatregelen ook worden toegepast wanneer een beroep wordt gedaan op verwerkers (punt 1.8.8 van de overeenkomst).

118 In de achtste plaats heeft de Commissie de EDPS geraadpleegd over bovengenoemde contractuele bepalingen, maar de EDPS heeft voor deze bepalingen geen formele toestemming verleend op grond van artikel 48, lid 3, onder a), van verordening 2018/1725.

– Litigieuze doorgifte bij het bezoek aan de CTE-website van 30 maart 2022

119 Verzoeker betoogt in wezen dat hij bij het bezoek aan de CTE-website van 30 maart 2022 heeft vastgesteld dat bepaalde van zijn persoonsgegevens, in het bijzonder zijn IP‑adres en informatie over zijn browser en zijn toestel, naar de Verenigde Staten waren doorgegeven. Ten eerste maakte de genoemde website gebruik van een CDN genaamd Amazon CloudFront, dat wordt geëxploiteerd door Amazon Web Services, een Amerikaanse dochteronderneming van Amazon.com. Ten tweede zijn tijdens dat bezoek persoonsgegevens van verzoeker naar de dienst Amazon CloudFront gezonden, meer bepaald naar de server van Amazon.com in Seattle (Washington, Verenigde Staten) met IP‑adres 18.66.192.74. Ten derde werd de door de CTE-website gebruikte beveiligingssleutel („SSL-certificaat”) door Amazon verstrekt, zodat moet worden aangenomen dat deze onderneming de mogelijkheid had om alle persoonsgegevens van verzoeker die naar haar servers werden doorgestuurd, met inbegrip van zijn standpunten over de toekomst van Europa, te ontsleutelen. Ten vierde is de onderneming die de dienst Amazon CloudFront aanbiedt, onderworpen aan de Amerikaanse wetten en dus verplicht om informatie te verstrekken aan de veiligheids‑ en inlichtingendiensten van de Verenigde Staten, zelfs indien de servers zich buiten dat land bevinden. Bovendien heeft de Commissie geen „aanvullende maatregelen” in de zin van het arrest Schrems II vastgesteld om een adequaat beschermingsniveau te waarborgen voor de naar de Verenigde Staten doorgegeven gegevens.

120 De Commissie betwist deze argumenten.

121 Wat betreft het bezoek aan de CTE-website van 30 maart 2022, blijkt uit het dossier dat verzoeker deze website op die datum heeft bezocht (zie punt 3 hierboven) en dat bij dat bezoek zijn IP‑adres alsmede informatie over zijn browser en zijn toestel werden doorgezonden.

122 In dit verband zij opgemerkt dat het IP‑adres moet worden aangemerkt als persoonsgegeven in de zin van artikel 3, punt 1, van verordening 2018/1725, aangezien het aan de twee daarin gestelde voorwaarden voldoet. Ten eerste heeft deze informatie betrekking op een natuurlijke persoon en ten tweede heeft zij betrekking op een geïdentificeerde of identificeerbare persoon, in casu verzoeker (arrest van 26 april 2023, GAR/EDPS, T‑557/20, EU:T:2023:219, punt 59 , waartegen hogere voorziening is ingesteld; zie in die zin en naar analogie ook arresten van 24 november 2011, Scarlet Extended, C‑70/10, EU:C:2011:771, punt 51 , en  19 oktober 2016, Breyer, C‑582/14, EU:C:2016:779, punt 49 ). Zelfs „dynamische” IP‑adressen, die naar hun aard veranderlijk zijn, stemmen namelijk overeen met een precieze identiteit op een gegeven tijdstip, dat in casu samenvalt met het tijdstip van het bezoek aan de CTE-website.

123 Ook is aangetoond dat de in punt 121 hierboven vermelde doorgifte van persoonsgegevens door de CTE-website is geïnitieerd en dat daarbij via de dienst Amazon CloudFront gegevens werden doorgegeven aan een server met IP‑adres 18.66.192.74.

124 Daarnaast is aangetoond dat het IP‑adres 18.66.192.74 ten tijde van de feiten was toegewezen aan een server in München (Duitsland) en dat deze server eigendom was van de in Duitsland gevestigde onderneming A 100 ROW GmbH, die in de in punt 116 hierboven vermelde lijst van ondernemingen was opgenomen.

125 Hieruit volgt dat er bij het bezoek aan de CTE-website van 30 maart 2022 inderdaad een doorgifte van verzoekers persoonsgegevens in de zin van artikel 3, punt 1, van verordening 2018/1725, met name van zijn IP‑adres, heeft plaatsgevonden.

126 In casu is echter niet aangetoond dat er bij het bezoek aan de CTE-website van 30 maart 2022 een doorgifte van verzoekers persoonsgegevens naar een derde land, meer bepaald de Verenigde Staten, heeft plaatsgevonden.

127 Uit de punten 121 tot en met 124 hierboven blijkt daarentegen dat bij het bezoek aan de CTE-website van 30 maart 2022, de doorgifte van verzoekers persoonsgegevens door de CTE-website is geïnitieerd, en dat daarbij gegevens via de dienst Amazon CloudFront zijn doorgegeven aan een server in München. Die server was eigendom van een in Duitsland gevestigde onderneming die deel uitmaakte van het netwerk van infrastructuurbeheerders van de dienst Amazon CloudFront, die aan de Commissie wordt verleend op basis van een overeenkomst met AWS EMEA, een in Luxemburg gevestigde onderneming.

128 Hieruit volgt dat de persoonsgegevens van verzoeker bij het bezoek aan de CTE-website van 30 maart 2022 werden doorgegeven aan een in de Unie gevestigde ontvanger.

129 Verzoekers persoonsgegevens zijn echter, zelfs indien wordt aangenomen dat deze het grondgebied van de Unie niet hebben verlaten, wel doorgegeven aan een server van het netwerk van perifere locaties van de dienst Amazon CloudFront, die – wat de verspreiding van de inhoud van de CTE-website betreft – een netwerk van perifere locaties omvat dat niet beperkt is tot het grondgebied van de EER, maar ruimer is (zie punt 116 hierboven).

130 De in punt 127 hierboven beschreven concrete omstandigheden tonen echter niet aan dat er persoonsgegevens werden doorgegeven aan ontvangers die buiten het grondgebied van de EER, met name in de Verenigde Staten, zijn gevestigd.

131 De litigieuze doorgifte bij het bezoek aan de CTE-website van 30 maart 2022 vormt dus geen doorgifte van persoonsgegevens naar een derde land in de zin van artikel 46 van verordening 2018/1725, aangezien het begrip „doorgifte naar een derde land” vereist dat de persoonsgegevens ter beschikking worden gesteld van een buiten de EER gevestigde ontvanger (zie punt 93 hierboven).

132 Aan deze conclusie wordt niet afgedaan door verzoekers argument dat AWS EMEA als dochteronderneming van een Amerikaanse onderneming verplicht is om persoonsgegevens aan de Amerikaanse autoriteiten over te dragen, ook al zijn deze persoonsgegevens op het grondgebied van de Unie opgeslagen.

133 Hoewel het zeker juist is dat de toegang tot in de EER verwerkte persoonsgegevens door de autoriteiten van een derde land, krachtens de wetgeving van dat land, een doorgifte van persoonsgegevens naar een derde land in de zin van artikel 46 van verordening 2018/1725 vormt, neemt dit niet weg dat in casu niet is aangetoond dat een dergelijke toegang heeft plaatsgevonden. Verzoeker heeft namelijk niet aangetoond of aangevoerd dat hem betreffende persoonsgegevens aan de Amerikaanse autoriteiten zijn overgedragen, en evenmin het bestaan aangetoond of aangevoerd van een verzoek van die autoriteiten met betrekking tot de persoonsgegevens die zijn overgedragen aan de server van Amazon CloudFront, die zich in München bevindt.

134 Het argument van verzoeker heeft dus geen betrekking op een rechtstreekse schending van hoofdstuk V van verordening 2018/1725, maar enkel op het risico van een dergelijke schending ingeval AWS EMEA zich, wegens haar status van dochteronderneming van een Amerikaanse onderneming, niet zou kunnen verzetten tegen een verzoek van de Amerikaanse autoriteiten om toegang tot gegevens die zijn opgeslagen op servers die zich op het grondgebied van de EER bevinden.

135 Het enkele risico van toegang tot persoonsgegevens door een derde land kan echter niet worden beschouwd als een doorgifte van persoonsgegevens in de zin van artikel 46 van verordening 2018/1725, zoals uitgelegd in punt 93 hierboven, aangezien niet is aangetoond dat er persoonsgegevens van verzoeker zijn doorgegeven of op andere wijze ter beschikking zijn gesteld van een in een derde land gevestigde ontvanger. Het risico van schending van artikel 46 kan met andere woorden niet worden gelijkgesteld met een rechtstreekse schending van deze bepaling.

136 Voorts zij eraan herinnerd dat het onderzoek van het Gerecht in het kader van de onderhavige vordering tot schadevergoeding betrekking heeft op de verificatie van de voorwaarden voor de niet-contractuele aansprakelijkheid van de Commissie en in het bijzonder op de voorwaarde betreffende de onrechtmatigheid van het gedrag van de Commissie, die vereist dat een voldoende gekwalificeerde schending van de door verzoeker aangevoerde bepalingen van verordening 2018/1725 en van het Handvest wordt aangetoond.

137 In dit verband volstaat het enkele gevaar voor schending van de bepalingen van hoofdstuk V van verordening 2018/1725 hoe dan ook niet om een onrechtmatig handelen van de Commissie aan te tonen dat neerkomt op een voldoende gekwalificeerde schending van deze bepalingen.

138 Aan deze conclusie wordt niet afgedaan door het argument dat verzoeker ontleent aan het arrest Schrems II. In dat arrest heeft het Hof zich namelijk uitgesproken over enkele van de voorwaarden waaronder persoonsgegevens naar de Verenigde Staten kunnen worden doorgegeven, en niet over de voorwaarden waaronder dergelijke gegevens op het grondgebied van de EER kunnen worden verwerkt door dochterondernemingen van vennootschappen naar Amerikaans recht, zoals AWS EMEA.

139 Uit het voorgaande volgt dat verzoeker met betrekking tot de litigieuze doorgifte bij het bezoek aan de CTE-website van 30 maart 2022 niet heeft aangetoond dat de Commissie een voldoende gekwalificeerde schending – in de zin van de in punt 50 hierboven in herinnering gebrachte rechtspraak – heeft begaan van artikel 46 en artikel 48, lid 1 en lid 2, onder b), van verordening 2018/1725 en van de artikelen 7, 8 en 47 van het Handvest.

140 Aangezien dus niet is voldaan aan een van de cumulatieve voorwaarden voor niet-contractuele aansprakelijkheid van de Unie als bedoeld in artikel 340, tweede alinea, VWEU, moet de tweede schadevordering worden afgewezen wat de litigieuze doorgifte bij het bezoek aan de CTE-website van 30 maart 2022 betreft, zonder dat verzoekers overige argumenten hoeven te worden onderzocht.

– Litigieuze doorgifte bij het bezoek aan de CTE-website van 8 juni 2022

141 Verzoeker betoogt dat zijn persoonsgegevens, waaronder zijn IP‑adres, bij de bezoeken aan de CTE-website van 8 juni 2022 aan servers van Amazon CloudFront in de Verenigde Staten werden doorgegeven. Volgens verzoeker vloeien deze doorgiften niet voort uit zijn activiteit als gebruiker van de website, maar zijn zij het gevolg van de werking van de dienst Amazon CloudFront, waarbij het risico dat persoonsgegevens naar de Verenigde Staten worden doorgegeven inherent is aan de wereldwijde infrastructuur waarop die dienst berust. Verzoekers situatie verschilt niet van die van een EU-onderdaan die de CTE-website bezoekt tijdens, bijvoorbeeld, een zakenreis naar de Verenigde Staten. De Commissie legt volgens verzoeker niet de nodige zorgvuldigheid aan de dag om de doorgifte van persoonsgegevens naar de Verenigde Staten te voorkomen aangezien zij heeft gekozen voor een CDN op basis van een mondiale structuur, in plaats van voor een zuiver Europese hostoplossing.

142 Volgens verzoeker heeft deze doorgifte van persoonsgegevens hem immateriële schade berokkend in de zin van overweging 46 van verordening 2018/1725, aangezien hij de controle over zijn persoonsgegevens – die naar de Verenigde Staten zijn doorgegeven en blootgesteld waren aan een onrechtmatige controle door de Amerikaanse autoriteiten – heeft verloren, en hij van zijn rechten en vrijheden is beroofd.

143 De Commissie betwist deze argumenten.

144 Om te beginnen en gelet op verzoekers betoog, zij eraan herinnerd dat het onderzoek van het Gerecht in het kader van de onderhavige schadevordering niet rechtstreeks betrekking heeft op de rechtmatigheid van de beslissing van de Commissie om de dienst Amazon CloudFront te gebruiken voor de verspreiding van de inhoud van de CTE-website, maar op de verificatie van de voorwaarden voor de niet-contractuele aansprakelijkheid van de Commissie in verband met de litigieuze doorgifte bij de bezoeken aan de CTE-website van 8 juni 2022.

145 In casu acht het Gerecht het wenselijk om eerst de voorwaarde inzake het bestaan van een causaal verband tussen het vermeend onrechtmatige gedrag van de Commissie en de aangevoerde immateriële schade te behandelen.

146 Uit de in punt 55 hierboven in herinnering gebrachte rechtspraak blijkt dat de voorwaarde van een causaal verband betrekking heeft op het bestaan van een voldoende direct oorzakelijk verband tussen het aan de instelling verweten gedrag en de schade, welk verband door de verzoeker dient te worden bewezen, en wel in die zin dat het verweten gedrag de doorslaggevende oorzaak van de schade moet zijn.

147 Bovendien volgt uit de rechtspraak dat het voor de niet-contractuele aansprakelijkheid van de Unie in de zin van artikel 340, tweede alinea, VWEU vereiste causaal verband aanwezig is wanneer de schade het rechtstreekse gevolg van de betrokken onrechtmatige handeling is (arrest van 28 juni 2007, Internationaler Hilfsfonds/Commissie, C‑331/05 P, EU:C:2007:390, punt 23 ).

148 Wat het rechtstreekse karakter van het causaal verband betreft, heeft het Gerecht al geoordeeld dat de schade rechtstreeks moet voortvloeien uit de aangevoerde onrechtmatigheid, en niet uit een keuze van de verzoeker om op een bepaalde wijze op de beweerdelijk onrechtmatige handeling te reageren. Zo is beslist dat het enkele feit dat het onrechtmatige gedrag een noodzakelijke voorwaarde (conditio sine qua non) was voor het ontstaan van de schade, in die zin dat de schade zonder dit gedrag zich niet zou hebben voorgedaan, niet voldoende is voor de vaststelling van een causaal verband in de zin van de rechtspraak van de Unierechter (zie in die zin en naar analogie arresten van 30 november 2011, Transnational Company „Kazchrome” en ENRC Marketing/Raad en Commissie, T‑107/08, EU:T:2011:704, punt 80 en aldaar aangehaalde rechtspraak, en  23 mei 2019, Remag Metallhandel en Jaschinsky/Commissie, T‑631/16, niet gepubliceerd, EU:T:2019:352, punt 52 en aldaar aangehaalde rechtspraak).

149 Uit de rechtspraak volgt dus dat een dergelijk causaal verband niet is aangetoond wanneer de gestelde schade het rechtstreekse gevolg is van de eigen beslissing of de vrije keuze van de verzoeker en dus niet ten laste van de betrokken instelling of de betrokken instantie kan worden gelegd (zie in die zin en naar analogie arresten van 28 juni 2007, Internationaler Hilfsfonds/Commissie, C‑331/05 P, EU:C:2007:390, punten 22‑29 ; 17 februari 2017, Novar/EUIPO, T‑726/14, EU:T:2017:99, punten 31 en 32 , en  28 februari 2018, Vakakis kai Synergates/Commissie, T‑292/15, EU:T:2018:103, punt 173 en aldaar aangehaalde rechtspraak).

150 In casu moet dus worden onderzocht of het aan de Commissie verweten gedrag, met name het gebruik van de dienst Amazon CloudFront als netwerk voor de verspreiding van content van de CTE-website, de rechtstreekse oorzaak is van de aangevoerde immateriële schade, die bestaat in het verlies van de controle over de persoonsgegevens van verzoeker die bij het bezoek aan die website van 8 juni 2022 naar de Verenigde Staten zouden zijn doorgegeven.

151 In dit verband blijkt ten eerste uit het dossier en uit de antwoorden van partijen op de ter terechtzitting gestelde vragen dat verzoeker op 8 juni 2022 in München was en dat hij meermaals de CTE-website heeft bezocht. Tijdens deze bezoeken werden met het IP‑adres van verzoeker opeenvolgende verbindingen tot stand gebracht met verschillende servers van de dienst Amazon CloudFront, die zich geografisch zeer ver van elkaar bevonden. Zo werden met dat IP‑adres de volgende verbindingen tot stand gebracht: om 7.13 uur verbonden met een server in München, om 11.13 uur met een server in Londen (Verenigd Koninkrijk), om 12.56 uur met een server in Hillsboro (Oregon, Verenigde Staten), om 13.05 uur met een server in Newark en om 19.12 uur met een server in Frankfurt am Main (Duitsland).

152 Ten tweede blijkt uit het dossier dat verzoekers IP‑adres is doorgegeven aan de verschillende in punt 151 hierboven vermelde servers van de dienst Amazon CloudFront, met inbegrip van de servers in de Verenigde Staten.

153 Ten derde zij eraan herinnerd dat verzoekers IP‑adres een persoonsgegeven is.

154 Ten vierde moet worden opgemerkt dat de CTE-website op 8 juni 2022 in totaal 4 548 keer is bezocht en dat op die datum 18 verschillende IP‑adressen zijn geregistreerd. Van al deze IP‑adressen is slechts voor één IP‑adres, namelijk dat van verzoeker, een verbinding tot stand gebracht met servers buiten de Unie, te weten de Verenigde Staten en het Verenigd Koninkrijk. In dit verband zij opgemerkt dat niet is aangetoond of zelfs maar gesteld dat de dienst Amazon CloudFront voor de CTE-website op 8 juni 2022 technische problemen of problemen van een andere aard zou hebben ondervonden, hetgeen in de weg stond aan de normale werking van het routingmechanisme volgens het nabijheidsbeginsel, volgens hetwelk de aanvragen van de gebruikers van de CTE-website worden gestuurd naar de perifere server die naargelang van de geografische locatie van de gebruiker de laagste latentietijd biedt (zie punt 112 hierboven).

155 Wat ten vijfde de omstandigheden rondom de door verzoekers IP‑adres tot stand gebrachte verbindingen met servers in de Verenigde Staten betreft, blijkt uit het dossier en uit de antwoorden van partijen ter terechtzitting dat verzoeker betoogt dat deze verbindingen het resultaat waren van de werking van Amazon CloudFront en niet van enige manipulatie die hij zou hebben uitgevoerd. Voorts merkt de Commissie op dat deze verbindingen atypisch waren en alleen kunnen worden verklaard door een technische manipulatie door verzoeker.

156 In dit verband moet worden vastgesteld dat de in punt 151 hierboven beschreven omstandigheden aantonen dat de verschillende locaties van de servers waarmee verzoekers IP‑adres een verbinding tot stand heeft gebracht, niet het gevolg konden zijn van verzoekers fysieke verplaatsingen op dezelfde dag, die – gelet op de betrokken afstanden en tijdintervallen – onmogelijk zijn. Bovendien is er geen disfunctie van de dienst Amazon CloudFront aangetoond of zelfs maar aangevoerd, zodat kan worden vastgesteld dat die dienst op 8 juni 2022 functioneerde volgens het beginsel van nabijheid van het toestel van de gebruiker, waarbij zijn routingmechanisme de aanvragen van de gebruikers van de CTE-website stuurde naar de perifere server die de laagste latentietijd bood (zie punt 154 hierboven).

157 In die omstandigheden kunnen de verbindingen van verzoekers IP‑adres met servers die zich in de Verenigde Staten bevinden, terwijl hijzelf in Duitsland was, niet voortvloeien uit de normale werking van de dienst Amazon CloudFront, maar veeleer uit een door verzoeker verrichte technische aanpassing om zijn werkelijke locatie te wijzigen, waarbij hij zich in het digitale domein aanmeldt alsof hij zich op dezelfde dag achtereenvolgens op plaatsen nabij München, Londen, Hillsboro, Newark en Frankfurt am Main bevond.

158 Hieruit volgt dat de werking van de dienst Amazon CloudFront – met zijn routingmechanisme dat volgens het nabijheidsbeginsel functioneert en betrekking heeft op een ruimer geografisch gebied dan het grondgebied van de EER, dat met name de Verenigde Staten omvat (zie punten 112 en 114 hierboven) – het inderdaad mogelijk heeft gemaakt dat bij de bezoeken aan de CTE-website via het IP‑adres van verzoeker verbindingen tot stand zijn gebracht met servers van Amazon CloudFront die zich in de Verenigde Staten bevinden.

159 Hoewel het gebruik door de Commissie van de dienst Amazon CloudFront een noodzakelijke voorwaarde is voor de in punt 152 bedoelde doorgiften van persoonsgegevens naar de Verenigde Staten, volstaat dit in de omstandigheden van het onderhavige geval echter niet om te kunnen spreken van een voldoende rechtstreeks causaal verband tussen de door verzoeker aangevoerde immateriële schade en het vermeende onrechtmatige gedrag van de Commissie, dat bestaat in het gebruik van die dienst in strijd met de bepalingen van hoofdstuk V van verordening 2018/1725.

160 De rechtstreekse en onmiddellijke oorzaak van de gestelde immateriële schade moet namelijk worden geacht het gedrag van verzoeker te zijn, en niet de fout die de Commissie zou hebben begaan door de dienst Amazon CloudFront te gebruiken.

161 Zo heeft verzoeker de noodzakelijke voorwaarden gecreëerd om via de werking van de dienst Amazon CloudFront verbindingen tot stand te brengen met servers in de Verenigde Staten. Verzoekers gedrag heeft ertoe geleid dat het routingmechanisme van de dienst Amazon CloudFront zijn verzoeken om de CTE-website te bezoeken heeft gestuurd naar servers in de Verenigde Staten, aangezien deze servers de laagste latentietijd boden voor verzoekers schijnbare digitale locatie, terwijl die locatie niet met zijn werkelijke locatie overeenstemde.

162 Bovendien is verzoeker niet gerechtigd een gedraging te stellen die erop gericht is een bepaald resultaat te bereiken (te weten de doorgifte van zijn persoonsgegevens naar een derde land) en vervolgens vergoeding te vorderen van de schade die hij beweert te hebben geleden als gevolg van dit resultaat, waarvan zijn gedrag de rechtstreekse oorzaak was. Anders dan verzoeker stelt, kan in het kader van een beroep tot schadevergoeding zoals in casu, zijn situatie dus niet op soortgelijke wijze worden beoordeeld als die van een gebruiker die zich daadwerkelijk naar de Verenigde Staten zou hebben begeven en derhalve vanuit dat land de CTE-website zou hebben bezocht.

163 Uit het voorgaande volgt dat, wat de litigieuze doorgifte bij de bezoeken aan de CTE-website van 8 juni 2022 betreft, niet is aangetoond dat er sprake is van een voldoende rechtstreeks causaal verband tussen het vermeende onrechtmatige gedrag van de Commissie en de aangevoerde immateriële schade.

164 Aangezien niet is voldaan aan een van de cumulatieve voorwaarden voor niet-contractuele aansprakelijkheid van de Unie, moet de tweede schadevordering worden afgewezen met betrekking tot de litigieuze doorgifte bij de bezoeken aan de CTE-website van 8 juni 2022, zonder dat de overige voorwaarden voor niet-contractuele aansprakelijkheid hoeven te worden onderzocht.

– Litigieuze doorgifte bij de aanmelding op EU Login van 30 maart 2022

165 Verzoeker betoogt dat op 30 maart 2022, toen hij zich registreerde voor het „GoGreen”-evenement op de CTE-website, zijn IP‑adres en informatie over zijn browser en toestel zijn doorgegeven aan de onderneming Meta Platforms, de in de Verenigde Staten gevestigde eigenaar van het sociale netwerk Facebook. Bij die registratie is verzoeker namelijk verder geleid naar EU Login, de authenticatiedienst van de Unie, die de mogelijkheid biedt om zich via verschillende sociale netwerken aan te melden. Verzoeker heeft ervoor gekozen om zich via zijn Facebookaccount aan te melden. Toen hij op de hyperlink klikte die hem naar Facebook doorverwees, heeft deze link geleid tot doorzending van zijn IP‑adres naar Facebook. Verzoeker heeft enkel de „essentiële cookies” van Facebook aanvaard. Andere persoonsgegevens van verzoeker, te weten zijn e‑mailadres, naam en voornaam en profielfoto, zijn door Facebook verzameld met behulp van cookies, met name de „sb”-cookie, en aan de servers van Meta Platforms doorgegeven. Uit de rechtspraak blijkt dat beheerders van websites die Facebook op hun websites gebruiken, zoals de Commissie, samen met Facebook verantwoordelijk zijn voor de naleving van het Unierecht inzake gegevensbescherming. De Commissie is dus medeverantwoordelijk voor het plaatsen van de door Facebook opgeslagen cookies. Verzoeker heeft de controle verloren over de persoonsgegevens die aan Facebook zijn doorgegeven en is van zijn rechten en vrijheden beroofd, hetgeen immateriële schade vormt in de zin van overweging 46 van verordening 2018/1725.

166 De Commissie betwist deze argumenten. Zij voert in wezen aan dat zij geen gegevens aan Meta Platforms heeft doorgegeven noch dergelijke overdrachten heeft geïnitieerd. Er bestond geen verplichting om zich via EU Login te registreren voor het „GoGreen”-evenement. Zelfs bij gebruik van EU Login beschikte verzoeker over verschillende mogelijkheden om zich te authenticeren, die niet allemaal het gebruik van een account op sociale media vereisten. Het is dus de keuze geweest van verzoeker om zich met zijn Facebookaccount op de EU Login gebruikersauthenticatiedienst aan te melden, zodat hij – en niet de Commissie – de verbinding met de website van Facebook heeft geïnitieerd. Bovendien vindt op technisch vlak de keuze om zich via Facebook te authenticeren plaats door middel van de hyperlink op de website van EU Login, die geen persoonsgegevens van de gebruiker bevat. Anders dan verzoeker betoogt, worden de gegevens die worden verzameld door de door Facebook gebruikte cookies niet aan de Commissie doorgegeven wanneer er met EU Login wordt aangemeld, en vallen die gegevens niet onder de verantwoordelijkheid van die instelling. Deze cookies zijn het resultaat van de uitwisselingen tussen Facebook en verzoeker, op basis van de door hem gegeven toestemmingen, en de Commissie is bij deze uitwisselingen niet betrokken. Voorts betoogt de Commissie dat de door verzoeker aangehaalde rechtspraak in casu niet van toepassing is en dat het argument van verzoeker, dat de Commissie en Meta Platforms gezamenlijk aansprakelijk zijn, hoe dan ook een nieuw middel is dat voor het eerst in repliek is aangevoerd, zodat het niet-ontvankelijk is.

167 In casu moet eerst het feitelijke kader worden onderzocht waarbinnen de litigieuze doorgifte bij de aanmelding bij EU Login van 30 maart 2022 plaatsvond, waarbij rekening moet worden gehouden met de elementen die blijken uit het dossier almede met de antwoorden van partijen op de door het Gerecht ter terechtzitting gestelde vragen en de maatregel tot organisatie van de procesgang van 9 februari 2024.

168 In dit verband moet worden opgemerkt dat het „GoGreen”-evenement, dat door een in Nederland gevestigde instantie werd georganiseerd, op de CTE-website werd aangekondigd. Registratie voor dit evenement was onder meer mogelijk op de CTE-website, via de EU Login-authenticatiedienst.

169 Verzoeker heeft ervoor gekozen om zich met EU Login op de CTE-website te registreren.

170 EU Login is de gebruikersauthenticatiedienst van de Commissie die honderden websites en toepassingen van de Unie beschermt. In casu had de aanmelding bij EU Login met het oog op de registratie voor het „GoGreen”-evenement tot doel ervoor te zorgen dat die registratie met een geverifieerd e‑mailadres gebeurde en tegelijkertijd de risico’s op registratie van valse gebruikers of identiteitsdiefstal te beperken.

171 EU Login biedt op haar webpagina verschillende mogelijkheden aan om zich aan te melden. De eerste mogelijkheid is een rechtstreekse aanmelding bij EU Login, hetzij door de inloggegevens voor een reeds bestaand EU Login-account in te vullen, hetzij door een account voor deze authenticatiedienst te creëren. De tweede mogelijkheid is het gebruik van een „e-ID” elektronische identiteitskaart, die voor burgers van bepaalde lidstaten beschikbaar is. De derde mogelijkheid – die slechts voor een beperkt aantal diensten beschikbaar is – bestaat erin een door de gebruiker reeds aangemaakt Facebook-, Twitter-, of Googleaccount te gebruiken door te klikken op de overeenkomstige hyperlink die op de website van EU Login wordt weergegeven.

172 De mogelijkheid om zich aan te melden bij EU Login via een Facebookaccount vloeit voort uit het feit dat de Commissie van mening was dat gebruikers de keuze moeten krijgen om zich via reeds bestaande platformaccounts aan te melden bij EU Login, om hun gemakkelijker en sneller toegang te verlenen en hun de mogelijkheid te bieden om zich te authenticeren zonder dat zij een EU Login-account hoeven aan te maken en aldus te voorkomen dat het aantal accounts en entiteiten waarmee gebruikers hun persoonsgegevens moeten delen, steeds groter wordt. De Commissie was ook van mening dat zij mocht vertrouwen op Facebook voor de verificatie van de e‑mailadressen van de gebruikers, gezien de door deze onderneming genomen maatregelen. De hyperlink waarmee gebruikers via een reeds bestaand Facebookaccount verbinding kunnen maken, is op EU Login echter alleen beschikbaar voor websites of toepassingen die enkel een basisniveau van beveiliging vereisen.

173 Verzoeker heeft ervoor gekozen om zich via zijn Facebookaccount aan te melden bij EU Login, door gebruik te maken van de op de website van EU Login weergegeven hyperlink „aanmelden met Facebook” (hierna: „hyperlink ‚aanmelden met Facebook’”).

174 De hyperlink „aanmelden met Facebook” bevat een link naar een externe website. Wanneer deze hyperlink wordt geactiveerd door erop te klikken, geeft zij toegang tot een URL van de website van Facebook, dat wil zeggen tot een individueel adres van die website.

175 De toegang tot de URL van de website van Facebook brengt een communicatie tussen de browser van de gebruiker en die website tot stand, waarbij de browser het IP‑adres van de gebruiker naar de betrokken website doorzendt. Deze doorzending is vergelijkbaar met de doorzending die plaatsvindt wanneer een gebruiker de URL van om het even welke website rechtstreeks in zijn browser ingeeft, aangezien het IP‑adres noodzakelijkerwijs moet worden verstrekt door elke internetgebruiker die toegang tot een website wenst te verkrijgen.

176 Via de hyperlink „aanmelden met Facebook” stuurt EU Login bepaalde gegevens naar Facebook, die nodig zijn voor het authenticatieproces en er bijvoorbeeld uitzien als volgt:

177 Meer in het bijzonder bevat de hyperlink „aanmelden met Facebook” de volgende informatie:

• ten eerste bevat het onderdeel „client_id=1200572836629487” een „unieke identificatiecode” waarmee EU Login als toepassing wordt aangeduid. Dat identificatienummer is hetzelfde voor alle gebruikers die zich via Facebook willen aanmelden bij EU Login;

• ten tweede bevat het onderdeel „redirect_uri=https%3A%2F%2Fecas.ec.europa.eu%2Fcas%2FoAuthCallback” de algemene URL van EU Login; dit is het adres waarnaar Facebook de gebruiker moet doorverwijzen nadat hij ermee heeft ingestemd dat zijn persoonsgegevens door Facebook aan EU Login worden doorgezonden;

• ten derde bevat het onderdeel „scope=email” de gegevens die Facebook aan EU Login moet doorzenden om een succesvolle authenticatie van de gebruiker te waarborgen, met name het e‑mailadres van de gebruiker en de voor‑ en familienaam die op de website van Facebook zijn vermeld bij het aanmaken van een Facebookaccount;

• ten vierde geeft het onderdeel „state=useFacebook” aan dat de daaropvolgende lange reeks tekens een aselecte veiligheidswaarde is, die wordt gebruikt om beveiligingsaanvallen te voorkomen en die een beperkte geldigheidsduur heeft. Deze aselecte veiligheidswaarde wordt willekeurig gegenereerd door EU Login en vervult de functie van geheime zin, die Facebook bij de doorzending van gegevens aan EU Login moet herhalen, zodat EU Login kan weten dat het meegedeelde e‑mailadres en de meegedeelde voor‑ en familienaam de gebruiker betreffen die heeft gekozen voor de authenticatiemethode. Wanneer de termijn is verstreken of de gebruiker reeds is geauthenticeerd, kan de veiligheidswaarde niet meer worden gebruikt, en

• ten vijfde geeft het onderdeel „response_type=code” aan dat de doorzending van persoonsgegevens door Facebook aan EU Login ook nog vergezeld gaat van een unieke code. Deze unieke code bevat de hierboven vermelde aselecte veiligheidswaarde. De unieke code stemt overeen met een uniek registratienummer of een serienummer dat de door Facebook aan EU Login doorgezonden gegevens authenticeert.

178 Zodra de gebruiker de URL van Facebook opent, bevindt hij zich op die website, waar eerst een venster verschijnt waarin de gebruiker wordt gevraagd om het gebruik van „cookies” door Facebook te aanvaarden. Indien de cookies worden aanvaard, wordt vervolgens een ander venster geopend waarin de gebruikersnaam en het wachtwoord voor het Facebookaccount kunnen worden ingevuld. Ten slotte kan de gebruiker, eens hij is aangemeld op zijn Facebookaccount, Facebook toestemming geven om de cookies te gebruiken voor andere toepassingen en websites, door te antwoorden op de vraag „Allow Facebook to use cookies and similar technologies placed on other apps and websites?”. Indien de gebruiker met dit gebruik instemt, wordt hij vervolgens verzocht om ermee in te stemmen dat Facebook aan EU Login de aan zijn Facebookaccount gekoppelde voornaam, familienaam, profielfoto en e‑mailadres verstrekt. De gebruiker kan tijdens heel dit proces de authenticatie via zijn Facebookaccount onderbreken door de optie „Cancel” te kiezen. In dit geval wordt de gebruiker verder geleid naar de website van EU-login, waar de pagina met de aanmeldmogelijkheden opnieuw wordt weergegeven.

179 In casu heeft verzoeker, toen hij op de hyperlink „aanmelden met Facebook” klikte, via zijn browser een verbinding tot stand gebracht met de URL van de website van Facebook en bijgevolg zijn IP‑adres aan die website verstrekt. Vervolgens heeft verzoeker, toen hij zich op de website van Facebook bevond, de opties gekozen waarbij Facebook uitsluitend essentiële cookies mocht gebruiken. Daarna heeft hij zich aangemeld op zijn Facebookaccount en ten slotte heeft hij Facebook toestemming verleend om aan EU Login zijn voornaam, familienaam, profielfoto en e‑mailadres mee te delen zoals hij deze op zijn Facebookaccount had aangegeven.

180 Nadat verzoeker de voornoemde toestemmingen had verleend, heeft Facebook hem overeenkomstig de aanwijzingen in de hyperlink „aanmelden met Facebook” verder geleid naar de website van EU Login (zie punt 177, eerste en tweede streepje, hierboven).

181 Op hetzelfde ogenblik heeft Facebook aan EU Login de – in punt 177, vierde en vijfde streepje, hierboven, vermelde – aselecte veiligheidswaarde en unieke code verstrekt. Ten eerste heeft deze mededeling van Facebook EU Login in staat gesteld te weten dat de door Facebook verstrekte persoonsgegevens betrekking hadden op de gebruiker die het authenticatieproces had geïnitieerd, in casu verzoeker. Ten tweede heeft die mededeling EU Login gedurende een beperkte periode toegang verleend tot de in punt 177, derde streepje, hierboven, genoemde persoonsgegevens, met name de voornaam, familienaam en het e‑mailadres van verzoeker, zoals hij deze op zijn Facebookaccount heeft aangegeven. Facebook heeft deze gegevens via een versleutelde verbinding aan EU Login doorgezonden, waarop EU Login de door Facebook verstrekte gegevens heeft gebruikt om verzoekers e‑mailadres te authenticeren.

182 Tevens moet worden opgemerkt dat het sociale netwerk Facebook eigendom is van Meta Platforms, een in de Verenigde Staten gevestigde onderneming.

183 Bovendien moet worden opgemerkt dat de weergave van deze hyperlink op de website van EU Login wordt geregeld door de algemene voorwaarden van het Facebookplatform, die beschikbaar zijn op het internetadres „https://developers.facebook.com/terms”.

184 In het licht van deze overwegingen moet worden onderzocht of is voldaan aan de voorwaarden voor de niet-contractuele aansprakelijkheid van de Commissie.

185 Verzoeker betoogt in wezen dat bij zijn aanmelding bij EU Login van 30 maart 2022, hem betreffende persoonsgegevens, waaronder zijn IP‑adres, werden doorgegeven aan servers van het sociale netwerk Facebook, waarvan de eigenaar in de Verenigde Staten is gevestigd. Deze doorgifte is gebeurd in strijd met artikel 46 van verordening 2018/1725 en heeft verzoeker immateriële schade berokkend, bestaande in het verlies van de controle over zijn gegevens en in de ontneming van zijn rechten en vrijheden.

186 Om te beginnen zij eraan herinnerd dat, zoals blijkt uit punt 95 hierboven, een doorgifte van persoonsgegevens naar een derde land in de zin van artikel 46 van verordening 2018/1725 vereist dat een instelling, instantie of orgaan van de Unie persoonsgegevens doorgeeft of op andere wijze ter beschikking stelt van een ontvanger die is gevestigd in een derde land, dat wil zeggen een land dat noch lid is van de Unie, noch van de EER.

187 In casu is ten eerste aangetoond dat verzoeker, onder de mogelijkheden die hem werden geboden om aan te melden bij EU Login, ervoor heeft gekozen om zich met zijn Facebookaccount aan te melden. Ten tweede bevat de hyperlink „aanmelden met Facebook” een link naar een URL van de website van Facebook. Ten derde heeft verzoeker, toen hij deze hyperlink heeft geactiveerd door erop te klikken, via zijn browser een verbinding tot stand gebracht met de URL van de website van Facebook en vervolgens zijn IP‑adres naar Facebook doorgezonden (zie punten 173‑175 hierboven).

188 Hieruit volgt dat de Commissie via de op de webpagina van EU Login weergegeven hyperlink „aanmelden met Facebook” de voorwaarden heeft gecreëerd waaronder verzoekers IP‑adres aan Facebook kon worden doorgezonden. Dit IP‑adres valt echter onder verzoekers persoonsgegevens (zie punt 122 hierboven), dat via die hyperlink aan de in de Verenigde Staten gevestigde onderneming Meta Platforms werd doorgezonden. Deze doorzending komt dus neer op een doorgifte van persoonsgegevens naar een derde land in de zin van artikel 46 van verordening 2018/1725.

189 Bovendien is in casu aangetoond dat er ten tijde van die doorgifte van persoonsgegevens, te weten op 30 maart 2022, voor de Verenigde Staten geen adequaatheidsbesluit in de zin van artikel 47 van verordening 2018/1725 bestond (zie punt 100 hierboven).

190 Bij gebreke van een adequaatheidsbesluit van de Commissie met betrekking tot de Verenigde Staten, mogen persoonsgegevens overeenkomstig artikel 48, lid 1, van verordening 2018/1725 alleen aan een derde land of een internationale organisatie worden doorgegeven als de verwerkingsverantwoordelijke of de verwerker passende waarborgen biedt en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken (zie punt 101 hierboven).

191 In casu heeft de Commissie niet aangetoond of zelfs maar aangevoerd dat er sprake is van een passende waarborg, met name een standaardbepaling inzake gegevensbescherming of een contractuele bepaling die is vastgesteld onder de voorwaarden van artikel 48, leden 2 en 3, van verordening 2018/1725 (zie punten 102‑104 hierboven). Daarentegen is wel aangetoond dat de weergave van de hyperlink „aanmelden met Facebook” op de website van EU Login eenvoudigweg door de algemene voorwaarden van het Facebookplatform wordt geregeld (zie punt 183 hierboven).

192 Bijgevolg heeft de Commissie de voorwaarden gecreëerd voor een doorgifte van verzoekers persoonsgegevens naar een derde land, zonder evenwel aan de voorwaarden van artikel 46 van verordening 2018/1725 te voldoen.

193 Derhalve moet worden vastgesteld dat, zonder dat de andere argumenten van verzoeker moeten worden onderzocht, de Commissie met betrekking tot de litigieuze doorgifte bij de aanmelding bij EU Login van 30 maart 2022 een voldoende gekwalificeerde schending – in de zin van de in punt 50 hierboven in herinnering gebrachte rechtspraak – heeft begaan van artikel 46 van verordening 2018/1725.

194 Er moet dan ook worden onderzocht of in casu aan de andere voorwaarden voor de niet-contractuele aansprakelijkheid van de Commissie, met name de schade en het causaal verband, is voldaan.

195 Verzoeker stelt dat hij door de onrechtmatige doorgifte van zijn IP‑adres aan een in de Verenigde Staten gevestigde onderneming immateriële schade heeft geleden, bestaande in het verlies van de controle over zijn gegevens en in de ontneming van zijn rechten en vrijheden.

196 In dit verband moet worden overwogen dat artikel 65 van verordening 2018/1725 niet alleen recht geeft op vergoeding van de materiële schade, maar ook op vergoeding van de immateriële schade die ten gevolge van een inbreuk op die verordening is geleden, zonder dat een ernstcriterium hoeft te worden aangetoond [zie in die zin en naar analogie arrest van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punten 45 en 51 ].

197 In het onderhavige geval moet de door verzoeker aangevoerde immateriële schade als reëel en zeker worden beschouwd in de zin van de in punt 54 genoemde rechtspraak, aangezien de in punt 188 hierboven genoemde doorgifte, die in strijd met artikel 46 van verordening 2018/1725 is uitgevoerd, verzoeker in een situatie van onzekerheid heeft gebracht aangaande de verwerking van zijn persoonsgegevens, waaronder zijn IP‑adres.

198 Bovendien bestaat er een voldoende direct oorzakelijk verband in de zin van de in punt 55 hierboven in herinnering gebrachte rechtspraak tussen de schending door de Commissie van artikel 46 van verordening 2018/1725 en de door verzoeker geleden immateriële schade.

199 In de omstandigheden van het onderhavige geval moet het bedrag van de door de Commissie veroorzaakte immateriële schade ex aequo et bono worden begroot op 400 EUR.

200 Derhalve moet de Commissie worden veroordeeld tot betaling van het bedrag van 400 EUR aan verzoeker ter vergoeding van de immateriële schade die hij heeft geleden als gevolg van de litigieuze doorgifte bij de aanmelding bij EU Login van 30 maart 2022.