Wat is de situatie?
Thomas Bindl, een Duitse burger, bezocht in 2021 en 2022 de website van de Conferentie over de Toekomst van Europa (CTE-website). Tijdens zijn bezoek ontdekte hij dat zijn IP-adres werd gedeeld met Amazon Web Services (AWS) en Meta Platforms. Bindl diende daarop twee inzageverzoeken in bij de Europese Commissie om duidelijkheid te krijgen over de doorgifte van persoonsgegevens naar de VS. De Commissie stelde echter dat er geen gegevens buiten de EU waren doorgegeven.
Bindl liet het hier niet bij en stapte naar het Europese Gerecht, dat in dit geval oordeelt over het handelen van een Europese instelling zoals de Commissie. Hoewel de zaak niet direct op basis van de AVG is beoordeeld, biedt deze uitspraak waardevolle inzichten voor de commerciële praktijk.
Doorgifte-regels en gebruik van Amerikaanse dienstverleners
Bij het delen van data met partijen buiten de Europese Unie gelden aanvullende eisen: de doorgifte-regels. In essentie stelt Bindl dat er sprake is van een ‘illegale’ doorgifte van zijn persoonsgegevens naar de VS. In 2021-2023 was er door de Schrems II-uitspraak geen adequaatheidsbesluit voor doorgifte naar de VS. In Schrems II oordeelde het Hof van Justitie van de EU dat het destijds geldende Privacy Shield niet voldeed aan de vereisten voor doorgifte naar de VS. Inmiddels is dit door de komst van het Data Privacy Framework (DPF) geen issue meer, maar dat kan in de toekomst zomaar weer veranderen. Dit geldt met name als een president, zoals Donald Trump, bepaalde elementen aanpast die essentieel zijn voor het DPF, zoals de onafhankelijke positie van het klachtenmechanisme.
De uitspraak bevat een aantal belangrijke lessen voor marketeers die samenwerken met internationale techbedrijven.
Oordeel 1: Facebook Login resulteert wél in doorgifte
De Europese rechter heeft geoordeeld dat het gebruik van Facebook Login leidde tot een doorgifte van persoonsgegevens naar de VS. Dit komt doordat gebruikers bij aanmelding hun IP-adres en andere informatie deelden met servers van Meta Platforms in de VS.
Bovendien is de Europese Commissie, samen met Meta, gezamenlijk verwerkingsverantwoordelijk voor het plaatsen van deze inlogknop op de website. Om deze reden heeft de rechter Bindl een schadevergoeding van 400 euro toegekend.
Oordeel 2: AWS Cloudfront resulteert niet in doorgifte
De CTE-website maakte, net als veel andere websites, gebruik van het content delivery network (CDN) CloudFront van het in Luxemburg gevestigde AWS. Een CDN zorgt ervoor dat webcontent, zoals afbeeldingen, video’s en (marketing)scripts, sneller en efficiënter wordt geleverd via een wereldwijd netwerk van servers. Dit verkort de laadtijd van websites en verbetert de gebruikerservaring door content te serveren vanaf de dichtstbijzijnde serverlocatie in plaats van een centrale server. Dit betekent dat voor Europese gebruikers het IP-adres wordt gedeeld met Europese CDN-servers, bijvoorbeeld in München.
De rechter oordeelt allereerst dat het enkele risico op een schending van de doorgifte-regels niet voldoende is. Met andere woorden: Bindl moet aantonen dat zijn IP-adres daadwerkelijk is doorgegeven aan de VS (of een ander land buiten de EU). Ook is het niet voldoende om te stellen dat AWS Luxemburg verplicht zou kunnen worden om gegevens te delen vanwege de CLOUD Act, enkel omdat de moederorganisatie van AWS in de VS is gevestigd.
Daarnaast is het interessant dat Bindl zichzelf via een VPN-verbinding in andere landen heeft gelokaliseerd. Hierdoor werden, vanwege de technische werking van het CloudFront CDN, wél persoonsgegevens doorgegeven naar onder meer de VS. De Europese rechter concludeert dat deze omstandigheid aanBindl zelf valt toe te rekenen. Eventuele schade en een schending van de doorgifte-regels kunnen daarom niet aan de Commissie worden toegerekend.
Wat betekent dit voor de marketingpraktijk?
Op dit moment is de impact van deze uitspraak nog beperkt, omdat we voorlopig kunnen uitgaan van het Data Privacy Framework (DPF). Hierdoor vormt het compliant delen van data met de VS momenteel geen probleem. Mocht dit in de toekomst veranderen, dan zijn er een aantal belangrijke lessen te trekken:
- Controleer je website-integraties
Door een script, zoals Facebook Login – maar bijvoorbeeld ook de Facebook Pixel – op je website te integreren, kunnen persoonsgegevens worden doorgegeven. Bepaal daarom zorgvuldig of dit het geval is. Dit kun je controleren aan de hand van de voorwaarden van de betreffende dienst. De Europese rechter verwijst in deze zaak bijvoorbeeld expliciet naar de terms and conditions of the Facebook Platform.
- Er geldt mogelijk toch geen risico-gebaseerde aanpak voor doorgiftes
Het enkele risico op doorgifte door een Europese organisatie (bijv. AWS Luxemburg) aan een Amerikaanse organisatie (bijv. AWS VS) is niet voldoende. Er moet daadwerkelijk sprake zijn van doorgifte om in strijd te zijn met de regels. Deze uitkomst lijkt af te wijken van die van de EDPB (Europese privacykoepel van toezichthouders), die juist een risico-gebaseerde benadering hanteert en zich richt op het voorkomen van mogelijke doorgifte. Het valt nog te bezien hoe baanbrekend deze uitkomst is, aangezien de uitspraak niet onder de AVG is gewezen. Toch kan dezelfde redenering waarschijnlijk ook worden toegepast op doorgiftes onder de AVG.
Laten we hopen dat het DPF nog lang standhoudt, al weten we dat de politieke situatie tussen de EU en de VS onzeker blijft. Wil je op de hoogte blijven van de ontwikkelingen in dit dossier? Houd dan onze updates in de gaten.
Frank de Vries
Ook interessantOok interessant
Jongeren targeten op social media: waar let je op?
Heatmap en session recording tools: hoe houd je rekening met gebruikersprivacy?
