lagen.
EU-domstolen

Tribunalens dom (sjätte avdelningen i utökad sammansättning) den 8 januari 2025 [Text rättad genom beslut av den 3 juni 2025]

CELEX
62022TJ0354
Typ
EU-domstolen
ECLI
ECLI:EU:T:2025:4

Källa

Behandling av personuppgifterSkydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråerFörordning (EU) 2018/1725Begreppet ’överföring av personuppgifter till ett tredjeland’Överföring av personuppgifter vid besök på en webbplatsEU LoginTalan om ogiltigförklaringRättsakt mot vilken talan inte kan väckasAvvisningPassivitetstalanStällningstagande som innebär att passiviteten ska anses ha upphörtAnledning saknas att döma i sakenSkadeståndstalanTillräckligt klar överträdelse av en rättsregel som ger enskilda rättigheterOrsakssambandIdeell skada

I mål T‑354/22,

TRIBUNALEN (sjätte avdelningen i utökad sammansättning), sammansatt av ordföranden M.J. Costeira (referent), samt domarna M. Kancheva, U. Öberg, P. Zilgalvis och E. Tichy-Fisslberger, justitiesekreterare: handläggaren S. Jund,

efter den skriftliga delen av förfarandet,

med beaktande av åtgärden för processledning av den 21 juli 2023 och kommissionens och sökandens svar som inkom till tribunalens kansli den 7 respektive den 8 september 2023,

efter förhandlingen den 17 oktober 2023,

med beaktande av åtgärden för processledning av den 9 februari 2024 och kommissionens och sökandens svar som inkom till tribunalens kansli den 12 respektive den 13 mars 2024,

följande

Dom

Bakgrund till tvisten och omständigheter som inträffat sedan talan väcktes

Parternas yrkanden

Rättslig bedömning

Inledande anmärkningar om unionens institutioners, organs och byråers skydd av personuppgifter

Upptagande till prövning

Huruvida talan om ogiltigförklaring kan tas upp till prövning

Upptagande till prövning av passivitetstalan

Skadeståndstalan

Inledande synpunkter om villkoren för unionens utomobligatoriska ansvar inom ramen för förordning 2018/1725

Det första skadeståndsyrkandet: Ersättning för ideell skada till följd av åsidosättande av rätten att få tillgång till information

Det andra skadeståndsyrkandet: Ersättning för ideell skada till följd av de omtvistade överföringarna

– Inledande överväganden om bestämmelserna om överföring av personuppgifter till ett tredjeland
– Verksamheten vid Amazon CloudFront inom ramen för Konferensens webbplats
– Den omtvistade överföringen vid besök på Konferensens webbplats den 30 mars 2022
– Den omtvistade överföringen vid sökningar på Konferensens webbplats den 8 juni 2022
– Den omtvistade överföringen vid anslutningen till EU Login den 30 mars 2022

Rättegångskostnader

1 Thomas Bindl har genom sin talan med stöd av artiklarna 263, 265 och 268 FEUF yrkat att tribunalen för det första ska ogiltigförklara överföringen av hans personuppgifter till tredjeländer som inte har en adekvat skyddsnivå, för det andra ska fastställa att Europeiska kommissionen rättsstridigt underlåtit att ta ställning till hans begäran om uppgifter av den 1 april 2022 och, för det tredje, ska ersätta den ideella skada som han påstår sig ha lidit till följd av dels ett åsidosättande av hans rätt att få tillgång till uppgifter, dels överföringen av hans personuppgifter.

2 Sökanden är en tysk medborgare som är intresserad av ämnen inom områdena informationsteknik och skydd av personuppgifter.

3 Kommissionens generaldirektorat för kommunikation ansvarar för behandlingen av personuppgifter på webbplatsen för Konferensen om Europas framtid på adressen https://futureu.europa.eu (nedan kallad Konferensens webbplats).

4 Sökanden besökte Konferensens webbplats vid flera tillfällen under åren 2021 och 2022. Han besökte bland annat webbplatsen den 30 mars 2022 och anmälde sig till det där angivna evenemanget GoGreen med hjälp av sitt Facebook-konto. Den 8 juni 2022 besökte han på nytt webbplatsen.

5 Genom ett e‑postmeddelande av den 9 november 2021 (nedan kallad begäran om uppgifter av den 9 november 2021) ansökte sökanden hos kommissionens dataskyddsombud om att erhålla uppgifter enligt Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 2018, s. 39).

6 I nämnda e‑postmeddelande angav sökanden, för det första, att han hade uppmärksammat att en anslutning med utomstående leverantörer, såsom det amerikanska företaget Amazon Web Services, hade aktiverats när han kopplade upp sig mot Konferensens webbplats. För det andra begärde han att få veta vilka personuppgifter som rörde honom som hade behandlats eller lagrats och vilka, i förekommande fall, hade överförts till tredje man. För det tredje begärde han uppgifter om den rättsliga grunden för en sådan överföring och om eventuella skyddsåtgärder med avseende på överföring till tredjeländer som inte har en adekvat skyddsnivå.

7 Genom e‑postmeddelande av den 3 december 2021 översände kommissionens generaldirektorat för kommunikation en elektronisk länk till sökanden och informerade honom om att den länken gjorde det möjligt för honom att direkt upprätta en förteckning över de personuppgifter som hade behandlats vid besök på Konferensens webbplats. Kommissionen påpekade dessutom för sökanden dels att hans personuppgifter inte hade överförts till mottagare utanför Europeiska unionen, dels att de lagrades och behandlades på Konferensens webbplats, vilken använde ett nätverk för leverans av innehåll som förvaltades av Amazon Web Services EMEA SARL (nedan kallat AWS EMEA), med hemvist i Luxemburg (Luxemburg). Kommissionen preciserade dessutom att den personuppgiftsansvarige inom ramen för de avtal som ingåtts mellan kommissionen och AWS EMEA inte använde sig av tjänster som krävde en överföring av uppgifter till AWS EMEA:s partner i Förenta staterna och att överföring av uppgifter utanför unionens territorium i princip inte var tillåten.

8 [I rättad lydelse enligt beslut av den 3 juni 2025] Genom e‑postmeddelande av den 1 april 2022 begärde sökanden, med stöd av förordning 2018/1725, att kommissionen skulle lämna uppgifter om behandlingen av hans uppgifter (nedan kallad begäran om uppgifter av den 1 april 2022). För det första angav sökanden att han hade uppmärksammat att det hade etablerats en anslutning till utomstående leverantörer såsom AWS EMEA när han kopplade upp sig mot Konferensens webbplats och att en anslutning till företaget Meta Platforms hade upprättats när han använde sina Facebook-inloggningsuppgifter för att registrera sig på denna webbplats. För det andra begärde han att få veta vilka personuppgifter som rörde honom som hade behandlats eller lagrats och vilka, i förekommande fall, hade överförts till tredje man. För det tredje begärde han uppgifter om den rättsliga grunden för en sådan överföring och om eventuella skyddsåtgärder med avseende på överföring till tredjeländer som inte har en adekvat skyddsnivå. För det fjärde begärde han en kopia av sina uppgifter, inklusive dem som lagrats eller behandlats av tredje man, såsom Facebook.

9 Genom e‑postmeddelanden av den 22 april och den 2 maj 2022 insisterade sökanden på att kommissionen skulle besvara begäran om uppgifter av den 1 april 2022.

10 Sökanden har väckt förevarande talan genom ansökan som inkom till tribunalens kansli den 9 juni 2022.

11 Genom e‑postmeddelande av den 30 juni 2022 underrättade kommissionen sökanden om att den ansåg att begäran om uppgifter av den 1 april 2022 var nästan identisk med begäran om uppgifter av den 9 november 2021 och att den redan hade besvarat sistnämnda begäran genom ett e‑postmeddelande av den 3 december 2021.

12 Amazon Web Services är ett företag med hemvist i Förenta staterna och AWS EMEA är ett företag med hemvist i Luxemburg. Båda företagen är dotterbolag till det företaget Amazon.com, Inc., som är bildat enligt amerikansk rätt.

13 Sökanden har yrkat att tribunalen ska

14 Kommissionen har yrkat att tribunalen ska

15 I artikel 16.1 FEUF och artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan) föreskrivs att var och en har rätt till skydd av de personuppgifter som rör honom eller henne.

16 I Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1) fastställs bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter och om det fria flödet av personuppgifter (artikel 1.1 i förordning 2016/679).

17 I förordning 2018/1725 fastställs bestämmelser om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionsinstitutioner och unionsorgan samt bestämmelser om det fria flödet av personuppgifter mellan dem eller till andra mottagare som är etablerade i unionen (artikel 1.1 i förordning 2018/1725). Denna förordning skyddar fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter (artikel 1.2 i förordning 2018/1725). Denna förordning är tillämplig på alla unionsinstitutioners och unionsorgans behandling av personuppgifter (artikel 2.1 i förordning 2018/1725).

18 I skäl 5 i förordning 2018/1725 erinras om att när en bestämmelse i förordning 2018/1725 följer samma principer som en bestämmelse i förordning 2016/679, bör dessa båda bestämmelser, enligt rättspraxis från domstolen, tolkas enhetligt, särskilt eftersom den systematik som förordning 2018/1725 bygger på bör uppfattas som en motsvarighet till systematiken i förordning 2016/679. Det framgår även av artikel 2.3 i förordning 2016/679 jämförd med artikel 99 i förordning 2018/1725 att sistnämnda förordning är anpassad till principerna och bestämmelserna i förordning 2016/679.

19 Sökanden har genom sitt första yrkande yrkat ogiltigförklaring av de överföringar av hans personuppgifter till tredjeländer som inte har en adekvat skyddsnivå som ägde rum den 30 mars och den 8 juni 2022 (nedan kallade de omtvistade överföringarna).

20 Kommissionen har i sitt svaromål gjort gällande att detta yrkande om ogiltigförklaring inte kan tas upp till prövning, eftersom det inte avser en rättsakt mot vilken talan kan väckas, i den mening som avses i artikel 263 FEUF, utan syftar till att ett föreläggande riktas till kommissionen.

21 Sökanden har gjort gällande att yrkandet om ogiltigförklaring kan tas upp till prövning. Han har gjort gällande att de omtvistade överföringarna är rättsakter som har bindande rättsverkningar och som påverkar hans rättsliga ställning genom att de innebär en kränkning av hans grundläggande rätt till skydd av personuppgifter, vilken garanteras i artikel 8 i stadgan. Alla andra tolkningar skulle vara oförenliga med den grundläggande rätten till ett effektivt domstolsskydd, en rätt som uttryckligen erkänns i artikel 64.1 i förordning 2018/1725.

22 Såsom det erinras om i artikel 64.1 och skäl 79 i förordning 2018/1725 bör alla registrerade ha rätt till ett effektivt rättsmedel inför Europeiska unionens domstol i enlighet med fördragen, om den registrerade anser att hans eller hennes rättigheter enligt den förordningen har kränkts.

23 Härav följer att alla registrerade, inom ramen för förordning 2018/1725, bland annat har rätt att väcka talan om ogiltigförklaring på de villkor som föreskrivs i artikel 263 FEUF.

24 Enligt fast rättspraxis kan en talan om ogiltigförklaring enligt artikel 263 FEUF väckas mot varje rättsakt från institutionerna, oavsett dess form, som är avsedd att ha sådana bindande rättsverkningar som kan påverka sökandens intressen, genom att klart förändra dennes rättsliga ställning (se dom av den 19 januari 2017, kommissionen/Total och Elf Aquitaine, C‑351/15 P, EU:C:2017:27, punkterna 35 och 36 och där angiven rättspraxis, och dom av den 16 juli 2020, Inclusion Alliance for Europe/kommissionen, C‑378/16 P, EU:C:2020:575, punkt 71 och där angiven rättspraxis).

25 För att avgöra huruvida en rättsakt har bindande rättsverkningar är det enligt domstolens fasta praxis nödvändigt att se till rättsaktens innebörd och att bedöma dessa verkningar mot bakgrund av objektiva kriterier, såsom rättsaktens innehåll, i förekommande fall med beaktande av det sammanhang i vilket den antogs och den antagande unionsinstitutionens befogenheter (se dom av den 15 juli 2021, FBF, C‑911/19, EU:C:2021:599, punkt 38 och där angiven rättspraxis).

26 I förevarande fall har sökanden yrkat att de omtvistade överföringarna, som han anser har ägt rum vid tre tillfällen, ska ogiltigförklaras. För det första överfördes, i samband med hans besök på Konferensens webbplats den 30 mars 2022 (nedan kallad den omtvistade överföringen vid besöket på Konferensens webbplats den 30 mars 2022), personuppgifter som tillhörde honom, bland annat hans ip-adress samt uppgifter om hans webbläsare och terminal, till det amerikanska företaget Amazon Web Services, i dess egenskap av operatör av det nätverk för leverans av innehåll med namnet Amazon CloudFront som används på nämnda webbplats.

27 För det andra överfördes sökandens personuppgifter, bland annat hans ip-adress och uppgifter om hans webbläsare och terminal, till det amerikanska företaget Meta Platforms, Inc., under den anslutning som sökanden upprättade den 30 mars 2022 med EU Logins autentiseringstjänst med hjälp av sitt Facebook-konto, för att anmäla sig till evenemanget GoGreen på Konferensens webbplats (nedan kallad den omtvistade överföringen i samband med anslutningen till EU Login av den 30 mars 2022).

28 För det tredje överfördes, i samband med att sökanden gjorde sökningar på Konferensens webbplats den 8 juni 2022 (nedan kallad den omtvistade överföringen vid sökningar på Konferensens webbplats den 8 juni 2022), sökandens personuppgifter till en server tillhörande Amazon CloudFront i Newark (New Jersey, Förenta staterna).

29 Sökanden har dessutom i sin ansökan nämnt att han gick in på Konferensens webbplats den 9 november 2021 och att han samma dag registrerade sig på Konferensens webbplats med hjälp av sitt Facebook-konto. Han har emellertid inte åberopat någon konkret omständighet som gör det möjligt att dra slutsatsen att dessa omständigheter omfattas av hans yrkande om ogiltigförklaring av de omtvistade överföringarna. Således ska endast de omtvistade överföringar som nämns i punkterna 26–28 ovan beaktas.

30 Det ska påpekas att de omtvistade överföringar som sökanden har yrkat ska ogiltigförklaras och som nämns i punkterna 26–28 ovan, enligt sökanden själv motsvarar dataöverföring av uppgifter som har gjorts av kommissionens datasystem eller IT‑tjänster, bland annat Konferensens webbplats, till servrar som tillhör utomstående företag som är etablerade utanför unionen.

31 Det är visserligen riktigt att åtgärden att låta överföra personuppgifter från en unionsinstitution eller ett unionsorgan till ett tredjeland i sig utgör en behandling av personuppgifter, i den mening som avses i artikel 3 led 3 i förordning 2018/1725, som utförs inom unionen och på vilken denna förordning är tillämplig enligt artikel 2.5 i förordningen (se, analogt, dom av den 16 juli 2020, Facebook Ireland och Schrems, C‑311/18, nedan kallad domen Schrems II, EU:C:2020:559, punkt 83).

32 Alla åtgärder som kan leda till en överföring av personuppgifter, i den mening som avses i artikel 3 led 3 i förordning 2018/1725, utgör emellertid inte akter mot vilka talan kan väckas, i den mening som avses i artikel 263 FEUF, såsom den tolkats i den rättspraxis som det erinrats om i punkt 24 ovan.

33 Även om det i förevarande fall antas att de omtvistade överföringarna är styrkta, kan det konstateras att de utgör materiella åtgärder och inte rättsakter. De omtvistade överföringarna, såsom de beskrivits i ansökan, utgör nämligen dataöverföringar av uppgifter från en terminal eller från en server till en annan, vilka är en följd av interaktionen mellan sökanden och kommissionens datasystem eller IT‑tjänster, i samband med att sökanden gjorde sökningar på Konferensens webbplats eller använde sig av tjänsten EU Login. De omtvistade överföringarna är däremot inte rättsakter från kommissionen som har bindande rättsverkningar, det vill säga de har inte till syfte att reglera ett rättsläge och kommissionen har, såsom framgår av deras beskaffenhet, inte på något sätt haft för avsikt att ge dem sådana verkningar.

34 De omtvistade överföringarna kan följaktligen inte ha bindande rättsverkningar som kan påverka sökandens intressen genom att klart förändra hans rättsliga ställning, i enlighet med den rättspraxis som det erinrats om i punkt 24 ovan. Det rör sig således inte om rättsakter mot vilka talan kan väckas i den mening som avses i artikel 263 FEUF.

35 Av detta följer att sökandens talan om ogiltigförklaring ska avvisas.

36 Sökanden har genom sitt andra yrkande begärt att tribunalen ska fastställa att kommissionen rättsstridigt har underlåtit att ta ställning till begäran om uppgifter av den 1 april 2022.

37 Kommissionen har i sitt svaromål gjort gällande att passivitetstalan inte kan tas upp till prövning, eftersom det saknas en anmodan att vidta åtgärder i den mening som avses i artikel 265 andra stycket FEUF. Kommissionen har i andra hand gjort gällande att det inte längre finns anledning att pröva passivitetstalan, med hänsyn till kommissionens svar till sökanden i e‑postmeddelandet av den 30 juni 2022.

38 Sökanden har i huvudsak gjort gällande att kommissionen fortfarande är skyldig att besvara begäran om uppgifter av den 1 april 2022, eftersom de uppgifter som kommissionen lämnade i sitt e‑postmeddelande av den 30 juni 2022 är otillräckliga och felaktiga.

39 Enligt fast rättspraxis grundar sig det rättsmedel som föreskrivs i artikel 265 FEUF på tanken att det vid rättsstridig passivitet från den berörda institutionens sida ska vara möjligt att väcka talan vid unionsdomstolen för att få fastställt att underlåtenheten att vidta åtgärder strider mot fördraget, när den berörda institutionen inte har avhjälpt denna underlåtenhet (dom av den 12 juli 1988, parlamentet/rådet, 377/87, EU:C:1988:387, punkt 9; se även dom av den 16 december 2015, Sverige/kommissionen, T‑521/14, ej publicerad, EU:T:2015:976, punkt 33 och där angiven rättspraxis).

40 Om den underlåtna åtgärd som är föremål för tvisten har vidtagits efter det att talan har väckts men innan dom har avkunnats, kan en förklaring från domstolen som fastställer att den ursprungliga underlåtenheten är rättsstridig inte längre få de följder som föreskrivs i artikel 266 FEUF. Av detta följer att talan i ett sådant fall inte längre har något föremål, varför det inte längre finns anledning att döma i saken (dom av den 12 juli 1988, parlamentet/rådet, 377/87, EU:C:1988:387, punkterna 10 och 11; se även beslut av den 13 december 2000, Sodima/kommissionen, C‑44/00 P, EU:C:2000:686, punkt 83 och där angiven rättspraxis).

41 I förevarande fall besvarade kommissionen begäran om uppgifter av den 1 april 2022 genom sitt e‑postmeddelande av den 30 juni 2022 (se punkt 11 ovan). Kommissionen upphörde således med den passivitet som sökanden gjort gällande inom ramen för förevarande talan, efter det att denna talan hade väckts. Det andra yrkandet om fastställelse, med stöd av artikel 265 FEUF, av kommissionens passivitet i avsaknad av svar på begäran om uppgifter av den 1 april 2022 har således förlorat sitt föremål.

42 Den omständigheten att innehållet i kommissionens e‑postmeddelande av den 30 juni 2022 inte överensstämmer med det svar som sökanden önskade saknar betydelse i detta avseende. Den omständigheten att sökanden inte anser att institutionens ställningstagande är tillfredsställande saknar i detta hänseende betydelse, eftersom artikel 265 FEUF avser passivitet som består i underlåtenhet att vidta åtgärder eller att ta ställning och inte i antagandet av en annan rättsakt än den som sökanden skulle ha funnit önskvärd eller nödvändig (se beslut av den 6 april 2017, Brancheforeningen for Regulerkraft i Danmark/kommissionen, T‑203/16, ej publicerat, EU:T:2017:279, punkt 22 och där angiven rättspraxis).

43 Av detta följer att det inte längre finns anledning att pröva sökandens passivitetstalan och att det saknas anledning att pröva kommissionens invändning om att talan inte kan tas upp till prövning.

44 Sökanden har inom ramen för sitt tredje yrkande framställt två skadeståndsyrkanden. För det första har han yrkat om 800 euro i ersättning för den ideella skada som han påstår sig ha lidit till följd av att kommissionen inte har iakttagit hans rätt att få tillgång till uppgifter, i strid med artikel 14.3 och 14.4 samt artikel 17.1 och 17.2 i förordning 2018/1725 samt principen om öppenhet i artikel 4.1 a i samma förordning. För det andra har han yrkat om 400 euro i ersättning för den ideella skada som han påstår sig ha lidit till följd av de omtvistade överföringarna, vilka skett i strid med artiklarna 46, 48.1 och 48.2 b i förordning 2018/1725.

45 Kommissionen har yrkat att skadeståndstalan ska ogillas.

46 I artikel 65 i förordning 2018/1725 anges att varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från unionsinstitutionen eller unionsorganet för den uppkomna skadan, med förbehåll för de villkor som anges i fördragen.

47 Artikel 65 i förordning nr 2018/1725 ska tolkas så, att den föreskriver att rätt till ersättning från unionsinstitutionen eller unionsorganet för skada till följd av en överträdelse av denna förordning är underkastad villkoren i artikel 340 andra stycket FEUF. I sistnämnda artikel anges att unionen ska ersätta skada som orsakats av dess institutioner eller av dess anställda under tjänsteutövning i enlighet med de allmänna principer som är gemensamma för medlemsstaternas rättsordningar.

48 Enligt fast rättspraxis förutsätter unionens utomobligatoriska skadeståndsansvar att flera villkor är uppfyllda, nämligen att det handlande som läggs institutionen till last är rättsstridigt, att det verkligen föreligger en skada och att det finns ett orsakssamband mellan handlandet och den åberopade skadan (se, för ett liknande resonemang, dom av den 4 juli 2000, Bergaderm och Goupil/kommissionen, C‑352/98 P, EU:C:2000:361, punkterna 39–42, och dom av den 28 oktober 2021, Vialto Consulting/kommissionen, C‑650/19 P, EU:C:2021:879, punkt 138).

49 Villkorens kumulativa karaktär innebär att talan ska ogillas i sin helhet när ett av dessa villkor inte är uppfyllt, utan att det är nödvändigt att pröva de andra villkoren för nämnda ansvar (dom av den 9 september 1999, Lucaccioni/kommissionen, C‑257/98 P, EU:C:1999:402, punkterna 14 och 63; se, även, dom av den 25 februari 2021, Dalli/kommissionen, C‑615/19 P, EU:C:2021:133, punkt 42 och där angiven rättspraxis).

50 Såvitt avser det första villkoret krävs enligt rättspraxis att det har skett en tillräckligt klar överträdelse av en rättsregel som syftar till att ge enskilda rättigheter (se dom av den 4 juli 2000, Bergaderm och Goupil/kommissionen, C‑352/98 P, EU:C:2000:361, punkt 42 och där angiven rättspraxis).

51 Kravet på en tillräckligt klar överträdelse av unionsrätten, oberoende av den aktuella rättsstridiga åtgärdens natur, avser att förhindra att risken för att institutionen ska behöva ersätta de skador som har åberopats av de berörda personerna ska utgöra ett hinder för institutionens möjlighet att till fullo utöva sina befogenheter i allmänhetens intresse, såväl inom ramen för sin normgivande verksamhet eller verksamhet som innebär ekonomiskt-politiska val, som inom ramen för sina administrativa befogenheter, utan att enskilda därigenom tvingas bära konsekvenserna av flagranta och oursäktliga brister (se, för ett liknande resonemang, dom av den 14 december 2018, East West Consulting/kommissionen, T‑298/16, EU:T:2018:967, punkt 124 och där angiven rättspraxis).

52 Det avgörande kriteriet för att en överträdelse av unionsrätten ska anses vara tillräckligt klar är att unionsinstitutionen eller unionsorganet uppenbart och allvarligt har överskridit gränserna för sitt utrymme för skönsmässig bedömning. Om institutionen eller organet endast förfogar över ett i hög grad begränsat, eller till och med obefintligt, utrymme för skönsmässig bedömning, kan redan den omständigheten att unionsrätten har åsidosatts i sig räcka för att det ska vara fråga om en tillräckligt klar överträdelse (se dom av den 10 december 2002, kommissionen/Camar och Tico, C‑312/00 P, EU:C:2002:736, punkt 54 och där angiven rättspraxis). Denna rättspraxis innebär emellertid inte att det automatiskt ska anses föreligga en tillräckligt klar överträdelse av unionsrätten när den berörda institutionen saknar utrymme för skönsmässig bedömning (dom av den 3 mars 2010, Artegodan/kommissionen, T‑429/05, EU:T:2010:60, punkt 59). Även om omfattningen av den berörda institutionens utrymme för skönsmässig bedömning är av avgörande betydelse är det inte det enda kriteriet. Domstolen har genomgående erinrat om att enligt det system som den har utarbetat vad avser artikel 340 andra stycket FEUF ska dessutom även komplexiteten hos de situationer som ska regleras och svårigheterna att tillämpa eller att tolka rättsakter beaktas (se dom av den 23 november 2011, Sison/rådet, T‑341/07, EU:T:2011:687, punkterna 36 och 37 samt där angiven rättspraxis) eller, mer allmänt, det område, de villkor och det sammanhang i vilket den åsidosatta regeln gäller för den berörda unionsinstitutionen eller det berörda unionsorganet (se dom av den 4 april 2017, ombudsmannen/Staelen, C‑337/15 P, EU:C:2017:256, punkt 40 och där angiven rättspraxis).

53 När en oegentlighet konstateras, vilken under liknande omständigheter inte skulle ha begåtts av en normalt försiktig och aktsam administration, kan unionen följaktligen ådra sig skadeståndsansvar. Det ankommer således på unionsdomstolen att, efter att ha fastställt huruvida den berörda institutionen förfogade över ett utrymme för skönsmässig bedömning, beakta komplexiteten hos den situation som skulle regleras, svårigheterna att tillämpa eller att tolka rättsakter, den överträdda regelns grad av klarhet och precision samt huruvida misstaget var avsiktligt eller oursäktligt (dom av den 3 mars 2010, Artegodan/kommissionen, T‑429/05, EU:T:2010:60, punkt 62).

54 Vad gäller villkoret att det verkligen föreligger en skada, ska skadan vara faktisk och säker, vilket det ankommer på sökanden att bevisa (se dom av den 9 november 2006, Agraz m.fl./kommissionen, C‑243/05 P, EU:C:2006:708, punkt 27 och där angiven rättspraxis). En skada som endast är hypotetisk och obestämd ger däremot ingen rätt till skadestånd (se dom av den 26 oktober 2011, Dufour/ECB, T‑436/09, EU:T:2011:634, punkt 192 och där angiven rättspraxis).

55 Vad beträffar villkoret avseende ett orsakssamband, rör det förekomsten av ett tillräckligt direkt orsakssamband mellan unionsinstitutionernas handlande och skadan – ett samband som det ankommer på sökanden att bevisa – på så sätt att det handlande som institutionen påstås ha gjort sig skyldig till är den avgörande orsaken till skadan (se dom av den 13 december 2018, Europeiska unionen/ASPLA och Armando Álvarez, C‑174/17 P och C‑222/17 P, EU:C:2018:1015, punkt 23 och där angiven rättspraxis).

56 Det ska dessutom erinras om att en skadeståndstalan, grundad på artikel 340 andra stycket FEUF, har inrättats som en självständig form av talan, som har en särskild funktion i rättsmedelssystemet och som är underkastad villkor som utformats med hänsyn till dess särskilda syfte, så att förklaringen om att talan inte kan tas upp till prövning inte automatiskt leder till att begäran om ersättning avvisas (se dom av den 5 september 2019, Europeiska unionen/Guardian Europe och Guardian Europe/Europeiska unionen, C‑447/17 P och C‑479/17 P, EU:C:2019:672, punkt 49 och där angiven rättspraxis).

57 Härav följer att den omständigheten att talan om ogiltigförklaring avvisas och passivitetstalan ogillas i enlighet med punkterna 35 och 43 ovan inte innebär att skadeståndstalan som nämns i punkt 44 ovan ska avvisas.

58 Det är mot bakgrund av dessa överväganden som tribunalen ska pröva de anmärkningar som sökanden har framfört inom ramen för sina skadeståndsyrkanden.

59 Sökanden har genom sitt första skadeståndsyrkande yrkat att kommissionen ska förpliktas att till honom utge 800 euro i ersättning för den ideella skada han lidit till följd av att hans rätt att få tillgång till information har åsidosatts.

60 Sökanden har för det första kritiserat kommissionen för att inte ha besvarat begäran om uppgifter av den 1 april 2022 inom den föreskrivna fristen och för att inte ha underrättat honom om skälen för dess passivitet, vilket strider mot artikel 14.3 och 14.4 samt artikel 17.1 och 17.2 i förordning 2018/1725 samt mot principen om öppenhet i artikel 4.1 a i samma förordning. Enligt sökanden har kommissionen inte heller iakttagit artikel 17.1 c och 17.2 i förordning 2018/1725, eftersom förklaringen om skydd för privatlivet, som finns på Konferensens webbplats, inte innehåller några uppgifter om överföring av personuppgifter till tredjeländer eller om eventuella lämpliga skyddsåtgärder för nämnda överföring, såsom krävs enligt artikel 48 i förordningen. I e‑postmeddelandet av den 3 december 2021 lämnade kommissionen dessutom felaktiga uppgifter, eftersom den förnekade överföringen av sökandens personuppgifter till mottagare i Förenta staterna.

61 Sökanden har vidare hävdat att kommissionens ansvarsgrundande passivitet hindrade honom från att kontrollera behandlingen av hans personuppgifter, vilket utgör en ideell skada i den mening som avses i skäl 46 i förordning 2018/1725. Slutligen har sökanden gjort gällande att denna ideella skada, som han uppskattar till 800 euro, är en direkt följd av kommissionens felaktiga handlande.

62 Kommissionen har bestritt dessa argument och gjort gällande att inget av villkoren för utomobligatoriskt skadeståndsansvar är uppfyllt i förevarande fall.

63 Vad för det första gäller villkoret att det kritiserade handlandet ska vara rättsstridigt, ska det prövas huruvida sökanden har åberopat en överträdelse av rättsregler som har till syfte att ge enskilda rättigheter.

64 Det ska härvidlag framhållas att det i artikel 17.1 c i förordning 2018/1725 fastställs en rätt för den registrerade att få tillgång till information om de mottagare till vilka hans eller hennes personuppgifter har lämnats ut, särskilt mottagare i tredjeländer. I denna bestämmelse konkretiseras således den princip som slås fast i artikel 4.1 a i förordning 2018/1725, enligt vilken all information och all kommunikation som rör behandling av personuppgifter ska vara lättillgänglig.

65 I artikel 14.3 i förordning 2018/1725 fastställs dessutom en tidsfrist på en månad inom vilken den personuppgiftsansvarige ska besvara en begäran om uppgifter. Enligt artikel 14.4 i förordningen ska den personuppgiftsansvarige dessutom, om han eller hon beslutar att inte vidta åtgärder på den registrerades begäran, inom en månad informera sökanden om orsaken till att åtgärder inte vidtas och om möjligheten att lämna in ett klagomål till Europeiska datatillsynsmannen och begära rättslig prövning. Dessa bestämmelser är således förvaltningsprocessrättsliga regler som bidrar till att genomföra rätten att få tillgång till information om den registrerades personuppgifter, genom att konkretisera och anpassa denna rätt. Dessa bestämmelser bidrar dessutom till att konkretisera den rätt som tillkommer enskilda enligt artikel 41 i stadgan att få sina angelägenheter behandlade inom skälig tid av unionens institutioner och organ.

66 Bestämmelserna i artikel 4.1 a, artikel 14.3 och 14.4 samt artikel 17.1 c i förordning 2018/1725, jämförda med varandra, utgör följaktligen rättsregler som har till syfte att ge enskilda rättigheter i den mening som avses i den rättspraxis som anges i punkt 50 ovan.

67 Det ska därefter prövas huruvida det är styrkt att kommissionen har åsidosatt dessa bestämmelser i förevarande fall.

68 Sökanden har för det första gjort gällande att kommissionen har åsidosatt artikel 17.1 c och 17.2 i förordning 2018/1725, eftersom förklaringen om skydd för privatlivet på Konferensens webbplats inte innehåller någon information om överföring av personuppgifter till mottagare i tredjeländer, om eventuella lämpliga skyddsåtgärder i samband med denna överföring eller om identifieringen av avtalsparter såsom mottagare av dessa uppgifter.

69 Såsom anges i punkt 64 ovan föreskrivs i artikel 17.1 c och 17.2 i förordning 2018/1725 att den registrerade bland annat ska ha rätt att få information om de mottagare i tredjeländer till vilka personuppgifterna har lämnats ut och om lämpliga skyddsåtgärder som vidtagits vid överföringen av uppgifter till dessa mottagare.

70 Av detta följer att det i dessa bestämmelser föreskrivs att den registrerade har rätt att få tillgång till vissa uppgifter, men det anges inte att dessa uppgifter med nödvändighet måste anges i en viss handling eller till och med i en förklaring om skydd för privatlivet, såsom den som finns på Konferensens webbplats. Med andra ord följer det inte av dessa bestämmelser att de aktuella uppgifterna ska lämnas ut genom nämnda förklaring. Sökanden bibehåller emellertid, i likhet med alla registrerade, rätten att erhålla sådana uppgifter genom att utöva sin rätt att få tillgång till information, vilken fastställs i artikel 17.1 c och 17.2 i förordning 2018/1725. Denna fråga går utöver omfattningen av den rättsstridighet som sökanden har lagt kommissionen till last, vilken är begränsad till innehållet i förklaringen om skydd för privatlivet (se punkt 68 ovan).

71 I förevarande fall framgår det under alla omständigheter av ordalydelsen i nämnda förklaring om skydd för privatlivet, vilken bifogats ansökan, att den innehåller uppgifter om de mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats ut eller ska lämnas ut. Det anges bland annat i punkt 7 i nämnda förklaring att tillgång till uppgifterna ges till behörig personal vid [kommissionen] och dess uppdragstagare som har till uppgift att utföra den aktuella behandlingen, i enlighet med principen om behov av kännedom. Sökandens argument att nämnda förklaring inte innehåller någon information om överföringen av personuppgifter till mottagare i tredjeländer grundar sig dessutom på antagandet att ett besök på Konferensens webbplats innebär en överföring av användarnas personuppgifter till ett tredjeland. Förevarande skadeståndsyrkande grundar sig emellertid på ett åsidosättande av rätten att få tillgång till information och inte på åsidosättandet av bestämmelserna om överföring av personuppgifter till tredjeländer, vilket för övrigt ligger till grund för det andra skadeståndsyrkandet.

72 Det har i förevarande fall således inte visats att kommissionen har åsidosatt artikel 17.1 c och 17.2 i förordning 2018/1725 vad gäller förklaringen om skydd för privatlivet på Konferensens webbplats.

73 Vidare har sökanden kritiserat kommissionen för att inte ha besvarat begäran om uppgifter av den 1 april 2022 inom den föreskrivna fristen och för att inte ha informerat sökanden om skälen till dess passivitet, vilket strider mot artikel 14.3 och 14.4 samt artikel 17.1 och 17.2 i förordning 2018/1725 samt principen om öppenhet. Enligt sökanden lämnade kommissionen dessutom felaktiga uppgifter i e‑postmeddelandet av den 3 december 2021.

74 Det ska inledningsvis påpekas att sökanden inte har anfört något konkret argument till stöd för ett åsidosättande av öppenhetsprincipen. Detta argument har således inte något självständigt innehåll i förhållande till invändningen om att tidsfristen för att besvara begäran om uppgifter och skyldigheten att meddela skälen till att tidsfristen överskridits inte har iakttagits.

75 Sökandens argument att artikel 17.1 och 17.2 i förordning 2018/1725 har åsidosatts och att kommissionen lämnade felaktiga uppgifter i e‑postmeddelandet av den 3 december 2021 grundar sig dessutom på antagandet att ett besök på Konferensens webbplats innebär en överföring av användarnas personuppgifter till ett tredjeland. Såsom anges i punkt 71 ovan grundar sig förevarande skadeståndsyrkande på åsidosättandet av rätten att få tillgång till information och inte på åsidosättandet av de bestämmelser om överföring av personuppgifter till tredjeländer som ligger till grund för det andra skadeståndsyrkandet.

76 Det har i förevarande fall följaktligen inte visats att kommissionen har åsidosatt artikel 17.1 och 17.2 i förordning 2018/1725.

77 När det gäller sökandens invändning om åsidosättande av artikel 14.3 och 14.4 i förordning 2018/1725, framgår det av handlingarna i målet att kommissionen besvarade begäran om uppgifter av den 9 november 2021 inom den frist på en månad som anges i artikel 14.3 i förordning 2018/1725 (se punkterna 5 och 7 ovan). När det gäller begäran om uppgifter av den 1 april 2022 underrättade kommissionen sökanden, genom e‑postmeddelande av den 30 juni 2022, om att den ansåg att begäran om uppgifter av den 1 april 2022 var nästan identisk med begäran om uppgifter av den 9 november 2021 och att den redan hade besvarat denna begäran genom ett e‑postmeddelande av den 3 december 2021 (se punkt 11 ovan).

78 Härav följer att kommissionen, vad gäller begäran om uppgifter av den 1 april 2022, inte iakttog den frist på en månad som föreskrivs i artikel 14.4 i förordning 2018/1725 (se punkt 65 ovan).

79 Det följer av punkterna 68–78 ovan att den enda rättsstridighet som har lagts kommissionen till last och som har fastställts i förevarande fall är att kommissionen inte iakttagit den frist som föreskrivs i artikel 14.4 i förordning 2018/1725.

80 Under dessa omständigheter, och oberoende av frågan huruvida kommissionens underlåtenhet att iaktta nämnda frist utgör en tillräckligt klar överträdelse av en rättsregel, ska det först prövas huruvida underlåtenheten att iaktta denna frist har orsakat sökanden en faktisk och säker ideell skada i den mening som avses i den rättspraxis som det erinrats om i punkt 54 ovan.

81 Beträffande huruvida den påstådda ideella skadan är faktisk, ska det erinras om att även om förebringandet av bevis eller bevisuppgifter inte nödvändigtvis ska betraktas som ett villkor för erkännande av en sådan skada, ankommer det åtminstone på sökanden att fastställa att det handlande som lagts institutionen till last var av sådan art att det orsakade sökanden en sådan skada (dom av den 16 juli 2009, SELEX Sistemi Integrati/kommissionen, C‑481/07 P, ej publicerad, EU:C:2009:461, punkt 38; se, även, dom av den 2 juli 2019, Fulmen/rådet, T‑405/15, EU:T:2019:469, punkt 188 och där angiven rättspraxis).

82 I förevarande fall har sökanden yrkat ersättning för ideell skada med ett belopp på 800 euro, med hänvisning till att det handlande som lagts kommissionen till last hindrade honom från att kontrollera behandlingen av hans personuppgifter.

83 Det kan emellertid konstateras att någon sådan ideell skada inte har visats i förevarande fall. Den enda rättsstridighet som har konstaterats i förevarande fall är nämligen att kommissionen inte iakttagit den frist på en månad som föreskrivs i artikel 14.4 i förordning 2018/1725 (se punkt 79 ovan). Denna frist har emellertid inte överskridits med mer än två månader (se punkt 77 ovan). Dessutom var begäran om uppgifter av den 9 november 2021 och begäran av den 1 april 2022 i huvudsak desamma (se punkterna 5 och 8 ovan), vilket innebär att sökanden redan hade fått svar på åtminstone en del av sin begäran om uppgifter av den 3 december 2021, då kommissionen besvarade begäran om uppgifter av den 9 november 2021 (se punkt 7 ovan).

84 Vidare vad beträffar sökandens argument om att felaktiga uppgifter meddelats (se punkt 75 ovan) rör det frågan huruvida uppgifterna är välgrundade och inte huruvida den förfaranderegel vars åsidosättande har fastställts i punkt 78 ovan har iakttagits och är således inte relevant för att styrka den åberopade ideella skadan.

85 Härav följer att det inte har visats att kommissionens underlåtenhet att iaktta den frist som föreskrivs i artikel 14.4 i förordning 2018/1725 kunde orsaka sökanden den påstådda ideella skadan.

86 Eftersom ett av de kumulativa villkoren för unionens utomobligatoriska skadeståndsansvar i artikel 340 andra stycket FEUF inte är uppfyllt, ska sökandens första skadeståndsyrkande ogillas.

87 Sökanden har genom sitt andra skadeståndsyrkande yrkat ersättning med 400 euro för den ideella skada som han påstår sig ha lidit till följd av de omtvistade överföringarna som nämns i punkterna 26–28 ovan, det vill säga den omtvistade överföringen vid besöket på Konferensens webbplats den 30 mars 2022, den omtvistade överföringen vid anslutningen till EU Login den 30 mars 2022 och den omtvistade överföringen vid sökningar på Konferensens webbplats den 8 juni 2022.

88 Sökanden har i huvudsak gjort gällande att de omtvistade överföringarna ägde rum till mottagare i Förenta staterna, ett land som inte har en adekvat skyddsnivå. Kommissionen har inte hänvisat till någon av de lämpliga skyddsåtgärder som kan motivera dessa överföringar, vilka föreskrivs i kapitel V i förordning 2018/1725, och har således åsidosatt artiklarna 46, 48.1 och 48.2 b i denna förordning samt artiklarna 7, 8 och 47 i stadgan. De omtvistade överföringarna gav upphov till en risk för att säkerhets- och underrättelsetjänsterna i det landet skulle få tillgång till sökandens uppgifter och följaktligen orsaka honom en ideell skada, i den mening som avses i skäl 46 i förordning 2018/1725, eftersom han fråntogs sina rättigheter och friheter och hindrades från att utöva kontroll över sina uppgifter.

89 Kommissionen har bestritt dessa argument och i huvudsak gjort gällande att villkoren för utomobligatoriskt skadeståndsansvar inte är uppfyllda i förevarande fall.

90 Det ska för det första framhållas att enligt artikel 2.5 i förordning 2018/1725 ska förordningen tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

91 För det andra ska begreppet personuppgifter tolkas som varje upplysning som avser en identifierad eller identifierbar fysisk person i enlighet med artikel 3 led 1 i förordning 2018/1725.

92 För det tredje ska det påpekas att överföringen av uppgifter utgör en behandling av uppgifter i den mening som avses i artikel 3 led 3 i förordning 2018/1725.

93 För det fjärde regleras överföring av personuppgifter till tredjeländer eller internationella organisationer i kapitel V i förordning 2018/1725, i vilket de emellertid inte definieras.

94 Det framgår emellertid av skäl 63 i förordning 2018/1725 att de överföringar som avses i bestämmelserna i kapitel V i förordningen avser personuppgifter som överförs från unionsinstitutioner och unionsorgan till personuppgiftsansvariga, personuppgiftsbiträden eller andra mottagare i tredjeländer eller internationella organisationer.

95 Det följer dessutom av en systematisk tolkning av förordning 2018/1725 att följande ska vara uppfyllt vad gäller överföringen av personuppgifter till tredjeländer, i den mening som avses i artikel 46 i förordningen: För det första krävs det att den personuppgiftsansvarige tillhör en unionsinstitution eller ett unionsorgan och således omfattas av nämnda förordning (artikel 1 i förordning 2018/1725). För det andra ska den personuppgiftsansvarige genom överföring eller på annat sätt tillhandahålla personuppgifter till en mottagare, bland annat en annan fysisk eller juridisk person (artikel 3 leden 3 och 13 i förordning 2018/1725). För det tredje ska mottagaren vara etablerad i ett tredjeland (artikel 46 i förordning 2018/1725), det vill säga ett land som varken är medlem i unionen eller Europeiska ekonomiska samarbetsområdet (EES).

96 För det femte ska det konstateras att bestämmelserna i kapitel V i förordning 2018/1725 syftar till att, vid överföring av personuppgifter till tredjeländer eller internationella organisationer, garantera den skyddsnivå som säkerställs för fysiska personer inom unionen, i enlighet med det mål som anges i skäl 63 i förordningen.

97 För det sjätte föreskrivs i artikel 46 i förordning 2018/1725 en allmän princip enligt vilken en överföring av personuppgifter till ett tredjeland eller en internationell organisation endast får ske om den personuppgiftsansvarige och personuppgiftsbiträdet uppfyller villkoren i kapitel V i förordningen, med förbehåll för övriga bestämmelser i förordningen.

98 Vad för det sjunde gäller de villkor som anges i kapitel V i förordning 2018/1725, ska det påpekas att det i artikel 47.1 i denna förordning föreskrivs att personuppgifter får överföras till ett tredjeland eller en internationell organisation om kommissionen, genom ett beslut om adekvat skyddsnivå som antagits med stöd av bland annat artikel 45.3 i förordning 2016/679, har fastställt att landet eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå och att överföringen av personuppgifter sker uteslutande för att göra det möjligt att utföra uppgifter som omfattas av den personuppgiftsansvariges behörighet.

99 Det ska i detta hänseende erinras om att kommissionens två beslut om adekvat skyddsnivå avseende Förenta staterna har förklarats ogiltiga. Genom domen av den 6 oktober 2015, Schrems ( C‑362/14, EU:C:2015:650), ogiltigförklarade domstolen kommissionens beslut 2000/520/EG av den 26 juli 2000 med stöd av Europaparlamentets och rådets direktiv 95/46 om huruvida ett adekvat skydd säkerställs genom de principer om integritetsskydd (Safe Harbor Privacy Principles) i kombination med frågor och svar som Förenta staternas handelsministerium utfärdat (EGT L 215, 2000, s. 7). Vidare ogiltigförklarade domstolen, genom domen i målet Schrems II, kommissionens genomförandebeslut (EU) 2016/1250 av den 12 juli 2016 enligt Europaparlamentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och Förenta staterna (EUT L 207, 2016, s. 1).

100 Härav följer att det vid tidpunkten för de omtvistade överföringarna inte fanns något beslut om adekvat skyddsnivå, i den mening som avses i artikel 47 i förordning 2018/1725, med avseende på Förenta staterna.

101 I avsaknad av ett kommissionsbeslut om adekvat skyddsnivå avseende Förenta staterna är artikel 48.1 i förordning 2018/1725 tillämplig, enligt vilken en personuppgiftsansvarig eller ett personuppgiftsbiträde får överföra personuppgifter till ett tredjeland eller en internationell organisation endast efter att ha vidtagit lämpliga skyddsåtgärder, och på villkor att lagstadgade rättigheter för registrerade och effektiva rättsmedel för registrerade finns tillgängliga.

102 De lämpliga skyddsåtgärder som avses i artikel 48.1 i förordning 2018/1725, vilka räknas upp i artikel 48.2 och 48.3 i förordningen, kan bland annat tillhandahållas genom standardiserade dataskyddsbestämmelser som antas av kommissionen i enlighet med artikel 48.2 b i förordningen.

103 De standardiserade dataskyddsbestämmelserna i artikel 48.2 b i förordning 2018/1725 kan emellertid kräva att ytterligare åtgärder vidtas för att säkerställa iakttagandet av den lämpliga skyddsnivån, mot bakgrund av unionsrätten (se, analogt, domen i målet Schrems II, punkterna 133 och 134).

104 De lämpliga skyddsåtgärder som avses i artikel 48.1 i förordning 2018/1725 kan dessutom bland annat tillhandahållas genom avtalsklausuler som föreskrivs i artikel 48.3 a i förordningen och som ingås mellan, å ena sidan, den personuppgiftsansvarige eller personuppgiftsbiträdet och, å andra sidan, den personuppgiftsansvarige, personuppgiftsbiträdet eller mottagaren av personuppgifterna i tredjelandet, med förbehåll för Europeiska datatillsynsmannens godkännande.

105 Det ska dessutom erinras om att artiklarna 7, 8 och 47 i stadgan fastställer rätten till respekt för privatlivet, rätten till skydd av personuppgifter och rätten till ett effektivt rättsmedel och till en opartisk domstol.

106 I förevarande fall ska det inledningsvis påpekas att sökandens andra skadeståndsyrkande grundar sig på att kommissionen har åsidosatt bestämmelserna i artikel 46, artikel 48.1 och 48.2 b i förordning 2018/1725 samt artiklarna 7, 8 och 47 i stadgan. Det framgår emellertid av punkterna 91–105 ovan att dessa bestämmelser i förordning 2018/1725 konkretiserar grundläggande rättigheter, såsom de som fastställs i artiklarna 7 och 8 i stadgan, och att de i sin helhet syftar till att säkerställa att den höga skyddsnivån för personuppgifter upprätthålls vid överföring av dessa uppgifter till tredjeländer eller internationella organisationer.

107 Av detta följer att de bestämmelser som sökanden har åberopat till stöd för sitt andra skadeståndsyrkande syftar till att skydda de registrerades enskilda intressen och således utgör rättsregler som har till syfte att ge enskilda rättigheter i den mening som avses i den rättspraxis som det erinrats om i punkt 50 ovan.

108 Det ska nu prövas huruvida villkoren för kommissionens utomobligatoriska skadeståndsansvar är uppfyllda för var och en av de tre omtvistade överföringarna som nämns i punkt 87 ovan.

109 Eftersom de omtvistade överföringar som nämns i punkterna 26 och 28 ovan ägde rum på grund av att Konferensens webbplats använde nätverket för leverans av innehåll (på engelska content delivery network eller CDN) kallat Amazon CloudFront (nedan kallat tjänsten Amazon CloudFront), är det lämpligt att först undersöka hur denna tjänst fungerar inom ramen för denna webbplats.

110 I förevarande fall är det utrett att Konferensens webbplats använder nätverket för leverans av innehåll Amazon CloudFront och att detta nätverk aktiveras varje gång en användare besöker webbplatsen.

111 Det framgår av handlingarna i målet, bland annat av parternas svar på åtgärden för processledning av den 21 juli 2023 samt av deras framställningar och svar vid förhandlingen den 17 oktober 2023, att tjänsten Amazon CloudFront för det första är en internettjänst som påskyndar spridningen av internetinnehåll, i förevarande fall innehållet på Konferensens webbplats, till användarna. Tjänsten Amazon CloudFront sprider innehållet via ett globalt nätverk av servrar eller datacentraler som kallas perifera platser eller perifera servrar.

112 För det andra grundar sig tjänsten Amazon CloudFront på en rotationsmekanism som leder förfrågan från en användare av Konferensens webbplats till den perifera server som tillhandahåller den kortaste latenstiden, enligt en princip om närhet till användarens terminal, så att innehållet överförs till användaren under bästa möjliga förhållanden. Om, bland annat på grund av tekniska svårigheter, den perifera server som har den kortaste latensen inte är tillgänglig, upprättas anslutningen till den med den näst kortaste latensen och så vidare.

113 För det tredje används tjänsten Amazon CloudFront för Konferensens webbplats på grundval av avtal nr 2020–1742, som ingåtts mellan kommissionen och AWS EMEA. AWS EMEA är ett dotterbolag som ägs av företaget Amazon.com, bildat enligt amerikansk rätt och med hemvist i Luxemburg.

114 För det fjärde valde kommissionen, vad gäller Konferensens webbplats, inom ramen för detta avtal det geografiska området Nordamerika (Förenta staterna, Mexiko, Kanada), Europa och Israel. Detta innebär att innehållet på denna webbplats inte sprids via Amazon CloudFronts globala nätverk av perifera platser, utan endast via dem som är belägna i ovannämnda geografiska områden, nämligen Förenta staterna, Mexiko, Kanada, Europa och Israel.

115 För det femte styrs, på grund av den närhetsprincip som nämnts ovan i punkt 112, unionsanvändarnas begäran om att få besöka Konferensens webbplats vanligtvis till perifera servrar i Amazon CloudFront som är belägna i detta område, medan det är ovanligt att sådana begäranden styrs till servrar utanför unionen.

116 Vad för det sjätte gäller infrastrukturen i Amazon CloudFronts nätverk av perifera platser, framgår det av handlingarna i målet att den tillhandahålls av ett antal företag, varav vissa tillhör Amazon-koncernen och andra är utomstående företag. En förteckning över dessa företag finns på Amazon Web Services webbplats, beroende på det berörda geografiska området. När det gäller det geografiska området Nordamerika (Förenta staterna, Mexiko, Kanada), Europa och Israel är de berörda företagen etablerade både i unionens medlemsstater och utanför unionen, bland annat Förenta staterna, Israel, Mexiko, Schweiz och Förenade kungariket. Varje företag driver servrar i det land där det är etablerat och följaktligen beror även den geografiska placeringen av de servrar som är inblandade i tillhandahållandet av tjänsten Amazon CloudFront på var de berörda företagen är belägna.

117 För det sjunde föreskrivs bland annat följande i avtalet mellan kommissionen och AWS EMEA:

118 För det åttonde samrådde kommissionen med Europeiska datatillsynsmannen om ovannämnda avtalsklausuler, men de blev inte föremål för något formellt tillstånd från densamme enligt artikel 48.3 a i förordning 2018/1725.

119 [I rättad lydelse enligt beslut av den 3 juni 2025] Sökanden har i huvudsak gjort gällande att han vid besöket på Konferensens webbplats den 30 mars 2022 konstaterade att vissa av hans personuppgifter, särskilt hans ip-adress och uppgifter om webbläsaren och hans terminal, hade överförts till Förenta staterna. För det första används nämligen på nämnda webbplats ett nätverk för leverans av innehåll kallat Amazon CloudFront, vars operatör är Amazon Web Services, ett amerikanskt dotterbolag till det amerikanska företaget Amazon.com. För det andra skickades sökandens personuppgifter vid besöket till tjänsten Amazon CloudFront, närmare bestämt servern för Amazon.com, med säte i Seattle (Washington, Förenta staterna), vars ip-adress är 18.66.192.74. För det tredje tillhandahöll Amazon den säkerhetsnyckel som användes på Konferensens webbplats (SSL-certifikat), varför det ska antas att Amazon hade möjlighet att dekryptera samtliga personuppgifter om sökanden som överförts till dess servrar, inbegripet dennes åsikter om Europas framtid. För det fjärde omfattas det företag som tillhandahåller tjänsten Amazon CloudFront av amerikansk lagstiftning och är således skyldigt att lämna information till Förenta staternas säkerhets- och tillsynsmyndigheter, även om servrarna är belägna utanför Förenta staterna. Kommissionen har inte heller vidtagit några ytterligare åtgärder, i den mening som avses i domen Schrems II, för att säkerställa en adekvat skyddsnivå för uppgifter som överförs till Förenta staterna.

120 Kommissionen har bestritt dessa påståenden.

121 Vad beträffar besöket på Konferensens webbplats den 30 mars 2022, följer det av handlingarna i målet att sökanden besökte den webbplatsen vid den tidpunkten (se punkt 3 ovan) och att det skedde en överföring av hans ip-adress samt uppgifter om hans webbläsare och terminal vid det besöket.

122 Det ska i detta hänseende konstateras att ip-adressen ska anses utgöra en personuppgift i den mening som avses i artikel 3 led 1 i förordning 2018/1725, eftersom den uppfyller de båda villkor som anges där. Dels avser denna information en fysisk person, dels avser den en identifierad eller identifierbar person, i förevarande fall sökanden (dom av den 26 april 2023, SRB/Europeiska datatillsynsmannen, T‑557/20, överklagad, EU:T:2023:219, punkt 59; se även, för ett liknande resonemang och analogt, dom av den 24 november 2011, Scarlet Extended, C‑70/10, EU:C:2011:771, punkt 51, och dom av den 19 oktober 2016, Breyer, C‑582/14, EU:C:2016:779, punkt 49). Även så kallade dynamiska ip-adresser, som till sin natur är växlande, motsvarar nämligen en exakt identitet vid en viss tidpunkt, vilken i förevarande fall sammanfaller med den tidpunkt då Konferensens webbplats besöktes.

123 Det har även visats att den överföring av uppgifter som nämns i punkt 121 ovan inleddes på Konferensens webbplats och genomfördes via tjänsten Amazon CloudFront till en server med ip-adress 18.66.192.74.

124 Det har vidare visats att ip-adressen 18.66.192.74, vid tidpunkten för de faktiska omständigheterna, hade tilldelats en server i München (Tyskland) och att servern tillhörde företaget A 100 ROW GmbH, med hemvist i Tyskland och som ingick i den ovan i punkt 116 nämnda förteckningen över företag.

125 Av detta följer att det visserligen skedde en överföring av sökandens personuppgifter, i den mening som avses i artikel 3.1 i förordning 2018/1725, bland annat dennes ip-adress, när han besökte Konferensens webbplats den 30 mars 2022.

126 I förevarande fall har det emellertid inte visats att det vid besöket på Konferensens webbplats den 30 mars 2022 skedde en överföring av sökandens personuppgifter till ett tredjeland, och i synnerhet till Förenta staterna.

127 Det framgår däremot av punkterna 121–124 ovan att överföringen av sökandens personuppgifter, vid besöket på Konferensens webbplats den 30 mars 2022, inleddes på Konferensens webbplats och genomfördes via tjänsten Amazon CloudFront till en server i München. Servern tillhörde ett företag med hemvist i Tyskland som ingick i nätverket av leverantörer av infrastrukturen för tjänsten Amazon CloudFront, som tillhandahålls kommissionen på grundval av ett avtal med AWS EMEA, ett företag med hemvist i Luxemburg.

128 Av detta följer att sökandens personuppgifter, i samband med besöket på Konferensens webbplats den 30 mars 2022, överfördes till en mottagare med hemvist i unionen.

129 Även om det antas att sökandens personuppgifter inte har lämnat unionens territorium, har dessa uppgifter ändå överförts till en server som tillhör tjänsten Amazon CloudFronts nätverk för perifera platser, vilket, vad gäller spridningen av innehållet på Konferensens webbplats, omfattar ett nätverk av perifera platser som inte är begränsat till EES, utan går utöver detta (se punkt 116 ovan).

130 De konkreta omständigheter som beskrivs i punkt 127 ovan visar emellertid inte att det skett en överföring av personuppgifter till mottagare med hemvist utanför EES, bland annat Förenta staterna.

131 Den omtvistade överföringen i samband med besöket på Konferensens webbplats den 30 mars 2022 motsvarar således inte en överföring av personuppgifter till ett tredjeland i den mening som avses i artikel 46 i förordning 2018/1725, eftersom begreppet överföring till ett tredjeland kräver att personuppgifterna görs tillgängliga för en mottagare som är etablerad utanför EES (se punkt 93 ovan).

132 Sökandens argument att AWS EMEA, i egenskap av dotterbolag till ett amerikanskt företag, är skyldigt att överföra personuppgifter till de amerikanska myndigheterna, även när dessa uppgifter lagras på unionens territorium, påverkar inte denna slutsats.

133 Det är visserligen riktigt att tillgång till personuppgifter som behandlas inom EES av myndigheterna i ett tredjeland enligt lagstiftningen i det landet utgör en överföring av personuppgifter till ett tredjeland i den mening som avses i artikel 46 i förordning 2018/1725. I förevarande fall har det emellertid inte visats att det har getts sådan tillgång till nämnda personuppgifter. Sökanden har nämligen varken visat eller påstått att någon av hans personliga uppgifter har överförts till de amerikanska myndigheterna, eller visat eller påstått att det föreligger en begäran från dessa myndigheter om de uppgifter som har överförts till Amazon CloudFronts server, i München.

134 Sökandens argument avser således inte ett direkt åsidosättande av bestämmelserna i kapitel V i förordning 2018/1725, utan endast risken för ett sådant åsidosättande, för det fall AWS EMEA, på grund av sin egenskap av dotterbolag till ett amerikanskt företag, inte skulle kunna motsätta sig en begäran från amerikanska myndigheter om tillgång till uppgifter lagrade på servrar som är belägna inom EES.

135 Enbart risken för att ett tredjeland får tillgång till personuppgifter kan emellertid inte anses motsvara en överföring av uppgifter i den mening som avses i artikel 46 i förordning 2018/1725, såsom den tolkats i punkt 93 ovan, eftersom det inte har visats att sökandens personuppgifter har överförts till eller gjorts tillgängliga för en mottagare som är etablerad i ett tredjeland. Med andra ord kan risken för ett åsidosättande av artikel 46 inte likställas med ett direkt åsidosättande av denna bestämmelse.

136 Det ska dessutom erinras om att tribunalens prövning, inom ramen för förevarande skadeståndsyrkande, avser en prövning av villkoren för att kommissionen ska ådra sig utomobligatoriskt skadeståndsansvar och särskilt villkoret att kommissionens handlande ska vara rättsstridigt, vilket innebär att det ska visas att det föreligger en tillräckligt klar överträdelse av de bestämmelser i förordning 2018/1725 och stadgan som sökanden har åberopat.

137 Enbart risken för ett åsidosättande av bestämmelserna i kapitel V i förordning 2018/1725 är under alla omständigheter inte tillräcklig för att visa att kommissionen har handlat felaktigt och att det utgör en tillräckligt klar överträdelse av dessa bestämmelser.

138 Denna slutsats påverkas inte av sökandens argument som grundas på domen i målet Schrems II. Det ska nämligen påpekas att domstolen i den domen uttalade sig om vissa av de villkor under vilka personuppgifter får överföras till Förenta staterna och inte om under vilka villkor sådana uppgifter får behandlas inom EES av dotterbolag till bolag bildade enligt amerikansk rätt, såsom AWS EMEA.

139 Av det ovan anförda följer att sökanden, vad gäller den omtvistade överföringen vid besöket på Konferensens webbplats den 30 mars 2022, inte har visat att kommissionen gjort sig skyldig till en tillräckligt klar överträdelse, i den mening som avses i den rättspraxis som det erinrats om i punkt 50 ovan, av bestämmelserna i artiklarna 46, 48.1 och 48.2 b i förordning 2018/1725 samt artiklarna 7, 8 och 47 i stadgan.

140 Eftersom ett av de kumulativa villkoren i artikel 340 andra stycket FEUF för att unionen ska ådra sig utomobligatoriskt skadeståndsansvar inte är uppfyllt, ska det andra skadeståndsyrkandet avseende den omtvistade överföringen vid besöket på Konferensens webbplats den 30 mars 2022 ogillas, utan att det är nödvändigt att pröva sökandens övriga argument.

141 Sökanden har gjort gällande att det vid sökningar på Konferensens webbplats den 8 juni 2022 skedde en överföring av hans personuppgifter, bland annat hans ip-adress, till Amazon CloudFronts servrar i Förenta staterna. Enligt sökanden är dessa överföringar inte en följd av hans agerande som användare av webbplatsen, utan är ett resultat av hur tjänsten Amazon CloudFront fungerar, inom ramen för vilken risken för överföring av uppgifter till Förenta staterna är inneboende i den globala infrastruktur som tjänsten bygger på. Sökandens situation skiljer sig inte från situationen för en unionsmedborgare som besöker Konferensens webbplats vid exempelvis en tjänsteresa till Förenta staterna. Kommissionen har inte iakttagit all vederbörlig omsorg för att undvika överföring av uppgifter till Förenta staterna, eftersom den har valt ett nätverk för leverans av innehåll som bygger på en global struktur, i stället för en rent europeisk serverlösning.

142 Enligt sökanden har denna överföring av personuppgifter orsakat honom ideell skada i den mening som avses i skäl 46 i förordning 2018/1725. Han har nämligen förlorat kontrollen över sina uppgifter, vilka har överförts till Förenta staterna och varit föremål för olaglig övervakning av de amerikanska myndigheterna, och fråntagits sina rättigheter och friheter.

143 Kommissionen har bestritt dessa påståenden.

144 Med beaktande av sökandens argument ska det inledningsvis erinras om att tribunalens prövning, inom ramen för förevarande skadeståndsyrkande, inte direkt avser lagenligheten av kommissionens beslut att använda tjänsten Amazon CloudFront för leverans av innehållet på Konferensens webbplats, utan bedömningen av villkoren för att kommissionen ska ådra sig utomobligatoriskt skadeståndsansvar med avseende på den omtvistade överföringen i samband med sökningarna på Konferensens webbplats den 8 juni 2022.

145 I förevarande fall anser tribunalen att det är lämpligt att först behandla villkoret att det ska finnas ett orsakssamband mellan kommissionens påstått felaktiga handlande och den åberopade ideella skadan.

146 Det följer av den rättspraxis som det erinrats om i punkt 55 ovan att villkoret avseende orsakssambandet avser förekomsten av ett tillräckligt direkt orsakssamband mellan unionsinstitutionernas handlande och skadan, på så sätt att det påtalade handlandet är den avgörande orsaken till skadan. Det ankommer på sökanden att visa förekomsten av ett sådant samband.

147 Det följer dessutom av rättspraxis att det orsakssamband som krävs för att unionen ska ådra sig utomobligatoriskt skadeståndsansvar i den mening som avses i artikel 340 andra stycket FEUF föreligger när skadan är en direkt följd av det felaktiga handlandet i fråga (dom av den 28 juni 2007, Internationaler Hilfsfonds/kommissionen, C‑331/05, EU:C:2007:390, punkt 23).

148 Vad beträffar den omständigheten att det ska föreligga ett direkt orsakssamband, har tribunalen redan slagit fast att skadan ska vara en direkt följd av den åberopade rättsstridigheten och inte följa av hur sökanden väljer att reagera på det påstått rättsstridiga beteendet. Det har sålunda fastslagits att blott det faktum att det rättsstridiga handlandet var en nödvändig förutsättning för att skadan ska uppstå, i så måtto att skadan inte skulle ha uppstått om detta handlande inte förelåg, inte räcker för att det ska anses att det finns ett tillräckligt direkt orsakssamband i den mening som avses i unionsrätten (se, för ett liknande resonemang och analogt, dom av den 30 november 2011, Transnational Company Kazchrome och ENRC Marketing/rådet och kommissionen, T‑107/08, EU:T:2011:704, punkt 80 och där angiven rättspraxis, och dom av den 23 maj 2019, Remag Metallhandel och Jaschinsky/kommissionen, T‑631/16, ej publicerad, EU:T:2019:352, punkt 52 och där angiven rättspraxis).

149 Det följer således av rättspraxis att ett sådant orsakssamband inte har visats när den åberopade skadan är en direkt följd av sökandens eget beslut eller fria val och följaktligen inte kan tillskrivas den berörda institutionen eller det berörda organet (se, för ett liknande resonemang och analogt, dom av den 28 juni 2007, Internationaler Hilfsfonds/kommissionen, C‑331/05 P, EU:C:2007:390, punkterna 22–29; dom av den 17 februari 2017, Novar/EUIPO, T‑726/14, EU:T:2017:99, punkterna 31 och 32, och dom av den 28 februari 2018, Vakakis kai Synergates/kommissionen, T‑292/15, EU:T:2018:103, punkt 173 och där angiven rättspraxis).

150 I förevarande fall ska det således undersökas huruvida det handlande som läggs kommissionen till last, det vill säga användningen av tjänsten Amazon CloudFront som nätverk för leverans av innehållet på Konferensens webbplats, är den direkta orsaken till den åberopade ideella skadan, vilken består i förlorad kontroll över sökandens personuppgifter som överförts till Förenta staterna vid dennes sökningar på nämnda webbplats den 8 juni 2022.

151 För det första framgår det av handlingarna i målet och av parternas svar på de frågor som ställdes vid förhandlingen att sökanden var i München den 8 juni 2022 och att han flera gånger besökte Konferensens webbplats. Vid dessa besök upprättade sökandens ip-adress på varandra följande anslutningar till olika servrar hos tjänsten Amazon CloudFront, vilka geografiskt ligger mycket långt från varandra. Ip-adressen kopplades upp mot en server i München kl. 7.13, en server i London (Förenade kungariket) kl.11.13, en server i Hillsboro (Oregon, Förenta staterna) kl. 12.56, en server i Newark kl. 13.05 och en server i Frankfurt am Main (Tyskland) kl. 19.12.

152 För det andra framgår det av handlingarna i målet att sökandens ip-adress överfördes till de olika servrar som tillhör tjänsten Amazon CloudFront som nämns i punkt 151 ovan, inbegripet de servrar som är belägna i Förenta staterna.

153 För det tredje ska det erinras om att sökandens ip-adress utgör en personuppgift.

154 För det fjärde registrerades 4548 besök av 18 olika ip-adresser på Konferensens webbplats den 8 juni 2022. Bland dessa har en enda ip-adress, nämligen sökandens adress, upprättat anslutningar till servrar utanför unionen, nämligen i Förenta staterna och Förenade kungariket. Det ska i detta hänseende påpekas att det inte har visats eller ens påståtts att tjänsten Amazon CloudFront, med avseende på Konferensens webbplats, den 8 juni 2022 skulle ha haft tekniska eller andra problem, som kunde hindra dess rotationsmekanism från att fungera normalt enligt närhetsprincipen, vilken leder begäran från användarna av Konferensens webbplats till den perifera server som tillhandahåller den kortaste latensen beroende på användarens geografiska läge (se punkt 112 ovan).

155 Vad för det femte gäller omständigheterna kring de anslutningar som sökandens ip-adress har upprättat till servrar i Förenta staterna, framgår det av handlingarna i målet och av parternas svar vid förhandlingen att sökanden har hävdat att dessa anslutningar var resultatet av Amazon CloudFront funktionssätt och inte av någon manipulation som sökanden gjort. Kommissionen har vidare påpekat att dessa anslutningar var atypiska och endast kan förklaras av en teknisk manipulation från sökandens sida.

156 Tribunalen konstaterar att de omständigheter som beskrivs i punkt 151 ovan visar att de olika servrar, belägna på olika platser, till vilka sökandens ip-adress har anslutits inte kan följa av sökandens fysiska resor samma dag. Det är omöjligt med hänsyn till de aktuella avstånden och tidsintervallen. Dessutom har det inte visats eller ens påståtts att tjänsten Amazon CloudFront var bristfällig, vilket gör det möjligt att dra slutsatsen att denna tjänst, den 8 juni 2022, fungerade enligt principen om närhet till användarens terminal, eftersom dess rotationsmekanism ledde begäran från användarna av Konferensens webbplats till den perifera server som tillhandahöll den kortaste latenstiden (se punkt 154 ovan).

157 Under dessa omständigheter kan sökandens ip-adress anslutningar till servrar i Förenta staterna när han befann sig i Tyskland inte vara en följd av att tjänsten Amazon CloudFront fungerar normalt, utan snarare av en teknisk inställning som sökanden gjort för att ändra sin synbara plats genom att i den digitala världen låta påskina att han under en och samma dag befann sig på platser nära München, London, Hillsboro, Newark och Frankfurt am Main.

158 Av detta följer att det visserligen är funktionen hos tjänsten Amazon CloudFront, med dess rotationsmekanism som fungerar enligt närhetsprincipen och som omfattar ett större geografiskt område än EES, vilket bland annat omfattar Förenta staterna (se punkterna 112 och 114 ovan), som möjliggjorde att sökandens ip-adress, vid besöken på Konferensens webbplats, upprättade anslutningar till Amazons CloudFronts servrar i Förenta staterna.

159 Även om kommissionens användning av tjänsten Amazon CloudFront är en nödvändig förutsättning för att överföringar av personuppgifter till Förenta staterna ska ske, vilka nämns i punkt 152 ovan, är denna omständighet, under omständigheterna i förevarande fall, emellertid inte tillräcklig för att fastställa ett tillräckligt direkt orsakssamband mellan den ideella skada som sökanden har åberopat och kommissionens påstått rättsstridiga handlande, bestående i att en sådan tjänst används i strid med bestämmelserna i kapitel V i förordning 2018/1725.

160 Det är nämligen sökandens handlande som ska anses utgöra den direkta och omedelbara orsaken till den påstådda ideella skadan och inte det fel som kommissionen påstås ha begått genom att använda sig av tjänsten Amazon CloudFront.

161 Det är således sökanden som har skapat de nödvändiga förutsättningarna för att anslutningar till servrar i Förenta staterna ska upprättas genom tjänsten Amazon CloudFronts funktionssätt. Det var sökandens handlande som orsakade att tjänsten Amazon CloudFronts rotationsmekanism återförvisade hans begäran om besök på Konferensens webbplats till servrar i Förenta staterna, eftersom det var dessa servrar som hade den kortaste latensen i förhållande till sökandens synbara plats i den digitala världen, trots att denna inte motsvarade sökandens faktiska plats.

162 Vidare har sökanden inte fog för att agera i syfte att åstadkomma ett visst resultat (nämligen överföringen av hans personuppgifter till ett tredjeland) och därefter begära ersättning för den skada som han påstår sig ha lidit till följd av detta resultat, när det är hans handlande som var den direkta orsaken till resultatet. I motsats till vad sökanden har gjort gällande kan hans situation, inom ramen för en sådan skadeståndstalan som den i förevarande mål, således inte bedömas på ett liknande sätt som situationen för en användare som faktiskt har begett sig till Förenta staterna och som följaktligen har fått tillträde till Konferensens webbplats från detta land.

163 Av det ovan anförda följer att det inte har visats att det föreligger ett tillräckligt direkt orsakssamband mellan kommissionens påstått rättsstridiga handlande och den åberopade ideella skadan när det gäller den omtvistade överföringen vid sökningar på Konferensens webbplats den 8 juni 2022.

164 Eftersom ett av de kumulativa villkoren för att unionen ska ådra sig utomobligatoriskt skadeståndsansvar inte är uppfyllt, ska skadeståndsyrkandet avseende den omtvistade överföringen vid sökningarna på Konferensens webbplats den 8 juni 2022 ogillas, utan att det är nödvändigt att pröva de övriga villkoren för nämnda ansvar.

165 Sökanden har gjort gällande att hans ip-adress samt information om hans webbläsare och terminal den 30 mars 2022 överfördes till företaget Meta Platforms, som har sin hemvist i Förenta staterna och som äger det sociala nätverket Facebook, när han anmälde sig till evenemanget GoGreen som var tillgängligt på Konferensens webbplats. När sökanden anmälde sig leddes han nämligen till EU Logins autentiseringstjänst, vilken bland annat erbjuder möjligheten att ansluta sig via olika sociala nätverk. Sökanden valde att ansluta sig via sitt Facebook-konto och, när han klickade på hyperlänken som omdirigerade honom till Facebook, innebar detta att hans ip-adress överfördes till Facebook. Sökanden har endast godtagit Facebooks väsentliga kakor. Andra personuppgifter avseende sökanden, nämligen hans e‑postadress, för- och efternamn och profilfoto, samlades in av Facebook med hjälp av kakor, bland annat en kaka med beteckningen sb, och överfördes till Meta Platforms servrar. Det framgår av rättspraxis att de som driver webbplatser och som använder Facebook på sina webbplatser, såsom är fallet med kommissionen, tillsammans med Facebook är ansvariga för efterlevnaden av unionsrätten om skydd av personuppgifter. Kommissionen är således medansvarig för placeringen av de kakor som lagras av Facebook. Sökanden har förlorat kontrollen över sina personuppgifter som överförts till Facebook och har fråntagits sina rättigheter och friheter, vilket utgör en ideell skada i den mening som avses i skäl 46 i förordning 2018/1725.

166 Kommissionen har bestritt dessa påståenden. Kommissionen har i huvudsak gjort gällande att den varken har genomfört eller inlett någon överföring av uppgifter till Meta Platforms. Det var inte nödvändigt att anmäla sig via EU Login för att delta i evenemanget GoGreen och, även vid användning av EU Login, hade sökanden olika autentiseringsmöjligheter, däribland möjligheter som inte kräver att ett konto på ett socialt nätverk används. Det var således sökandens val att ansluta sig till EU Logins tjänst med sitt Facebook-konto och det var således sökanden, och inte kommissionen, som tog initiativ till åtkomsten till Facebooks webbplats. Ur teknisk synvinkel används dessutom vid autentiseringsalternativet via Facebook en hyperlänk som visas på webbplatsen EU Login, som inte innehåller användarens personuppgifter. I motsats till vad sökanden har hävdat överförs de uppgifter som samlats in genom kakor som Facebook använder inte till kommissionen vid anslutningen till EU Login och omfattas inte av kommissionens ansvar. Dessa kakor var en följd av informationsutbytet mellan Facebook och sökanden på grundval av dennes samtycke, eftersom kommissionen inte var inblandad i dessa utbyten. Kommissionen har dessutom hävdat att den rättspraxis som sökanden har åberopat inte är tillämplig i förevarande fall och att sökandens argument att kommissionen och Meta Platforms har ett gemensamt ansvar under alla omständigheter utgör en ny grund som åberopats för första gången i repliken och som följaktligen inte kan tas upp till prövning.

167 I förevarande fall ska tribunalen först pröva de faktiska omständigheter som låg till grund för den omtvistade överföringen vid anslutningen till EU Login av den 30 mars 2022, med beaktande av de uppgifter som framgår av handlingarna i målet samt parternas svar på de frågor som tribunalen ställde vid förhandlingen och genom åtgärden för processledning av den 9 februari 2024.

168 Tribunalen konstaterar att evenemanget GoGreen, som anordnades av ett organ etablerat i Nederländerna, tillkännagavs på Konferensens webbplats. Anmälan till evenemanget kunde bland annat göras på Konferensens webbplats genom tjänsten EU Login.

169 Sökanden valde att anmäla sig på Konferensens webbplats med hjälp av EU Login.

170 EU Login är kommissionens tjänst för autentisering av användare, som skyddar flera hundra EU-relaterade webbplatser och applikationer. I förevarande fall var syftet med anslutningen till EU Login, för att anmäla sig till evenemanget GoGreen, att säkerställa att denna anmälan gjordes med hjälp av en kontrollerad e‑postadress, genom att minska de risker som är förenade med anmälan av falska användare eller identitetsstölder.

171 EU Login visar flera anslutningsalternativ på sin webbsida. Det första alternativet är att ansluta sig direkt till EU Login, antingen genom att fylla i uppkopplingsuppgifter för ett redan befintligt EU Login-konto eller genom att skapa ett konto för denna tjänst. Det andra alternativet är att använda ett elektroniskt identitetskort, ett så kallat eID, som är tillgängligt för medborgare i vissa medlemsstater. Det tredje alternativet, som är tillgängligt för ett begränsat antal tjänster, består i att använda ett konto som användaren redan har på Facebook, Twitter eller Google genom att klicka på motsvarande hyperlänk som visas på EU Logins webbplats.

172 Möjligheten att ansluta sig till EU Login via ett Facebook-konto beror på att kommissionen ansåg att användarna bör ges möjlighet att ansluta sig till EU Login genom redan befintliga konton på plattformar, för att ge dem enklare och snabbare åtkomst och möjlighet att autentisera sig utan att behöva skapa ett EU Login-konto och därigenom att undvika att ha alltför många konton och enheter med vilka användarna måste dela sina personuppgifter. Kommissionen ansåg dessutom att Facebook var tillförlitligt vad gäller kontroll av användarnas e‑postadresser, med hänsyn till de åtgärder som Facebook vidtagit. Den hyperlänk som gör det möjligt att logga in via ett redan befintligt Facebook-konto finns dock endast tillgänglig på EU Login för webbplatser eller applikationer som endast kräver en grundläggande säkerhetsnivå.

173 Sökanden valde alternativet att ansluta sig till EU Login via sitt Facebook-konto med hjälp av hyperlänken Sign in with Facebook som visas på EU Logins webbplats (nedan kallad hyperlänken logga in via Facebook).

174 Hyperlänken logga in via Facebook innehåller en länk till en webbplats som inte tillhör kommissionen. När hyperlänken aktiveras genom att man klickar på den ger den tillgång till en URL-adress på Facebooks webbplats, det vill säga till en individuell adress på denna webbplats.

175 Tillgången till URL-adressen på Facebooks webbplats ger upphov till kommunikation mellan användarens webbläsare och nämnda webbplats, genom vilken webbläsaren överför användarens ip-adress till den aktuella webbplatsen. Denna överföring liknar den som äger rum när användaren direkt anger URL-adressen till vilken webbplats som helst i sin webbläsare, eftersom ip-adressen nödvändigtvis måste förmedlas av varje internetanvändare som önskar logga in på en webbplats.

176 Genom hyperlänken logga in via Facebook skickar EU Login viss information till Facebook, som är nödvändig för autentiseringsprocessen och har utformats på följande sätt:

177 Närmare bestämt är den information som finns i hyperlänken logga in via Facebook följande:

178 När användaren väl har fått tillgång till Facebooks URL-adress finns han eller hon på denna webbplats, på vilken det först visas ett fönster där användaren uppmanas att godkänna Facebooks användning av kakor eller cookies. Om kakorna accepteras öppnas ett annat fönster som gör det möjligt att fylla i användarnamnet och lösenordet för användarens konto på Facebook. När användaren väl är ansluten till sitt Facebook-konto kan han eller hon slutligen tillåta Facebook att använda kakor på andra applikationer och webbplatser genom att besvara frågan Allow Facebook to use cookies and similar technologies placed on other apps and websites?. Om användaren samtycker till denna användning uppmanas han eller hon därefter att samtycka till att Facebook tillhandahåller EU Login förnamn, efternamn, profilfoto och e‑postadress som är kopplade till användarens Facebook-konto. Under hela denna process kan användaren för övrigt avbryta autentiseringen via sitt Facebook-konto genom att välja alternativet Cancel. I ett sådant fall omdirigeras användaren till EU Logins webbplats, där sidan med anslutningsalternativen visas på nytt.

179 När sökanden i förevarande fall klickade på hyperlänken logga in via Facebook fick hans webbläsare tillgång till URL-adressen för Facebooks webbplats och översände följaktligen sin ip-adress till denna webbplats. När sökanden befann sig på Facebooks webbplats valde han därefter de alternativ som gjorde det möjligt för Facebook att endast använda väsentliga kakor. Därefter anslöt han sig till sitt Facebook-konto och gav Facebook tillstånd att lämna ut hans förnamn, efternamn, profilfoto och e‑postadress till EU Login, såsom de hade angetts på hans Facebook-konto.

180 Efter det att sökanden beviljat dessa tillstånd hänvisade Facebook vidare honom till EU Logins webbplats, i enlighet med uppgifterna i hyperlänken logga in via Facebook (se punkt 177 första och andra strecksatserna ovan).

181 Samtidigt informerade Facebook EU Login om det slumpmässiga säkerhetsvärdet och den kod som nämns i punkt 177 fjärde och femte strecksatserna ovan. För det första gjorde denna information från Facebook det möjligt för EU Login att få kännedom om att de personuppgifter som Facebook ställde till dess förfogande avsåg den användare som hade inlett autentiseringsprocessen, det vill säga i förevarande fall sökanden. För det andra möjliggjorde den för EU Login att under en begränsad tid få tillgång till de personuppgifter som nämns i punkt 177 tredje strecksatsen ovan, det vill säga bland annat sökandens förnamn, efternamn och e‑postadress, såsom de hade angetts på hans Facebook-konto. Överföringen av dessa uppgifter från Facebook till EU Login skedde genom en krypterad anslutning mellan dem. Det är på grundval av de uppgifter som Facebook har tillhandahållit som EU Login har autentiserat sökandens e‑postadress.

182 Det ska för övrigt påpekas att det sociala nätverket Facebook ägs av Meta Platforms, ett företag med hemvist i Förenta staterna.

183 Tribunalen framhåller dessutom att visningen av denna hyperlänk på EU Logins webbplats regleras av Facebook-plattformens allmänna villkor, vilka offentliggörs på webbadressen https://developers.facebook.com/terms.

184 Det är mot bakgrund av dessa överväganden som det ska prövas huruvida villkoren för kommissionens utomobligatoriska skadeståndsansvar är uppfyllda.

185 Sökanden har i huvudsak gjort gällande att det vid anslutningen till EU Login den 30 mars 2022 skedde en överföring av hans personuppgifter, bland annat hans ip-adress, till servrar tillhörande det sociala nätverket Facebook, vars ägarbolag har sin hemvist i Förenta staterna. Sökanden anser att överföringen skedde i strid med artikel 46 i förordning 2018/1725 och orsakade sökanden en ideell skada bestående i att han förlorade kontrollen över sina uppgifter och fråntogs sina rättigheter och friheter.

186 Tribunalen erinrar inledningsvis om att, såsom framgår av punkt 95 ovan, en överföring av personuppgifter till ett tredjeland, i den mening som avses i artikel 46 i förordning 2018/1725, kräver att en unionsinstitution, en unionsbyrå eller ett unionsorgan, genom överföring eller på annat sätt, lämnar ut personuppgifter till en mottagare som är etablerad i ett tredjeland, det vill säga ett land som varken är medlem i unionen eller i EES.

187 I förevarande fall har det för det första visats att sökanden bland alternativen för anslutning till EU Login valde att ansluta sig via sitt Facebook-konto. För det andra innehåller hyperlänken logga in via Facebook en länk till en URL-adress på Facebooks webbplats. För det tredje, när sökanden aktiverade hyperlänken genom att klicka på den, fick hans webbläsare tillgång till URL-adressen för Facebooks webbplats och översände därefter hans ip-adress till Facebook (se punkterna 173–175 ovan).

188 Av detta följer att kommissionen, genom hyperlänken logga in via Facebook, som visas på EU Logins webbsida, har skapat förutsättningarna för att sökandens ip-adress ska översändas till Facebook. Ip-adressen utgör emellertid en personuppgift om sökanden (se punkt 122 ovan) – en uppgift som via hyperlänken översänts till Meta Platforms, som är ett bolag med hemvist i Förenta staterna. Denna överföring motsvarar således en överföring av personuppgifter till ett tredjeland i den mening som avses i artikel 46 i förordning 2018/1725.

189 I förevarande fall har det dessutom visats att det vid tidpunkten för denna överföring av uppgifter, det vill säga den 30 mars 2022, inte förelåg något beslut om adekvat skyddsnivå i den mening som avses i artikel 47 i förordning 2018/1725 vad gäller Förenta staterna (se punkt 100 ovan).

190 I avsaknad av ett kommissionsbeslut om adekvat skyddsnivå avseende Förenta staterna får en personuppgiftsansvarig eller ett personuppgiftsbiträde endast överföra personuppgifter till ett tredjeland eller en internationell organisation efter att ha vidtagit lämpliga skyddsåtgärder, och på villkor att lagstadgade rättigheter för registrerade och effektiva rättsmedel för registrerade finns tillgängliga, i enlighet med artikel 48.1 i förordning 2018/1725 (se punkt 101 ovan).

191 I förevarande fall har kommissionen inte visat eller ens påstått att det finns en lämplig garanti, bland annat en standardbestämmelse om uppgiftsskydd eller en avtalsklausul som antagits på de villkor som föreskrivs i artikel 48.2 och 48.3 i förordning 2018/1725 (se punkterna 102–104 ovan). Det har däremot visats att visningen av hyperlänken logga in via Facebook på EU Logins webbplats helt enkelt regleras av Facebook-plattformens allmänna villkor (se punkt 183 ovan).

192 Kommissionen har följaktligen skapat förutsättningarna för en överföring av sökandens personuppgifter till ett tredjeland, utan att för den skull uppfylla villkoren i artikel 46 i förordning 2018/1725.

193 Tribunalen finner således, utan att det är nödvändigt att pröva sökandens övriga argument, att kommissionen gjorde sig skyldig till en tillräckligt klar överträdelse, i den mening som avses i den rättspraxis som det erinrats om i punkt 50 ovan, av artikel 46 i förordning 2018/1725, vad gäller den omtvistade överföringen vid anslutningen till EU Login den 30 mars 2022.

194 Det ska således prövas huruvida de övriga villkoren för kommissionens utomobligatoriska skadeståndsansvar, avseende skadan och orsakssambandet, är uppfyllda i förevarande fall.

195 Sökanden har gjort gällande att den rättsstridiga överföringen av hans ip-adress till ett företag med hemvist i Förenta staterna har orsakat honom ideell skada genom att han förlorat kontrollen över sina uppgifter och fråntagits sina fri- och rättigheter.

196 Det ska härvidlag framhållas att artikel 65 i förordning nr 2018/1725 ger rätt till ersättning inte bara för ekonomisk skada, utan även för den ideella skada som lidits till följd av ett åsidosättande av denna förordning, utan att det krävs bevis på en viss allvarlighetsgrad (se, för ett liknande resonemang och analogt, dom av den 4 maj 2023, Österreichische Post (Ideell skada till följd av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkterna 45 och 51).

197 I förevarande fall ska den ideella skada som sökanden har åberopat anses vara faktisk och säker, i den mening som avses i den rättspraxis som det erinrats om i punkt 54 ovan, eftersom den överföring som nämns i punkt 188 ovan, och som genomförts med åsidosättande av artikel 46 i förordning 2018/1725, har försatt sökanden i en osäker situation vad gäller behandlingen av hans personuppgifter, bland annat hans ip-adress.

198 Det finns dessutom ett tillräckligt direkt orsakssamband, i den mening som avses i den rättspraxis som det erinrats om i punkt 55 ovan, mellan kommissionens åsidosättande av artikel 46 i förordning 2018/1725 och den ideella skada som sökanden lidit.

199 Mot bakgrund av omständigheterna i förevarande fall ska den ideella skada som kommissionen orsakat i överensstämmelse med rätt och billighet (ex aequo et bono) uppskattas till 400 euro.

200 Kommissionen ska följaktligen förpliktas att till sökanden utge 400 euro i ersättning för den ideella skada som han lidit till följd av den omtvistade överföringen i samband med anslutningen till EU Login den 30 mars 2022.

201 Enligt artikel 134.3 i tribunalens rättegångsregler ska vardera rättegångsdeltagaren bära sina rättegångskostnader, om deltagarna ömsom tappar målet på en eller flera punkter. Tribunalen får emellertid besluta att en rättegångsdeltagare – förutom att bära sina rättegångskostnader – delvis ska ersätta en annan deltagares rättegångskostnader, om det framstår som skäligt med hänsyn till omständigheterna i målet.

202 I förevarande fall har sökanden tappat målet såvitt avser det första och det andra yrkandet samt en del av det tredje yrkandet. Talan bifölls emellertid delvis såvitt avser det tredje yrkandet och kommissionen förpliktas att utge den ersättning som sökanden har begärt för den ideella skada som han lidit till följd av den omtvistade överföringen i samband med anslutningen till EU Login den 30 mars 2022. Under dessa omständigheter beslutar tribunalen att kommissionen ska bära sina rättegångskostnader och ersätta hälften av sökandens rättegångskostnader. Sökanden ska bära hälften av sina rättegångskostnader.

1 Rättegångsspråk: tyska.