Op 28 juli 2016 velde het Hof van Justitie een arrest (C-191/15) in een zaak van een Oostenrijkse consumentenorganisatie tegen Amazon EU over haar algemene voorwaarden inzake de verwerking van persoonsgegevens. Het Hof besliste – in lijn met eerdere rechtspraak – dat het gegevensbeschermingsrecht van een andere lidstaat van toepassing is op een e-commercebedrijf als de verwerking van persoonsgegevens gebeurt in het kader van de activiteiten van de vestiging van dat bedrijf in die lidstaat.
Wat waren de onderliggende feiten?
Amazon EU is een in Luxemburg gevestigde onderneming. Ze heeft geen dochteronderneming of bijkantoor in Oostenrijk, maar richt zich met haar Duitstalige website amazon.de op consumenten in Oostenrijk. In haar algemene voorwaarden bepaalt Amazon EU onder meer dat zij persoonsgegevens van klanten (zoals product reviews) kan gebruiken en duidt zij het Luxemburgse recht als het toepasselijke recht aan.
Een Oostenrijkse consumentenvereniging diende over die algemene voorwaarden een klacht in, omdat ze van oordeel was dat ze in strijd waren met wettelijke verboden en goede handelspraktijken.
Wat besliste het Hof van Justitie precies?
Het Hof van Justitie moest zich onder meer uitspreken over de vraag of een e-commerce-onderneming die overeenkomsten sluit met consumenten in een andere lidstaat, uitsluitend rekening moet houden met het gegevensbeschermingsrecht van de lidstaat waar zij is gevestigd (voor Amazon EU is dat Luxemburg), dan wel of zij ook rekening moet houden met het recht van de lidstaten waarop zij haar activiteiten richt (voor Amazon EU gaat het om Oostenrijk en/of Duitsland).
Volgens het Hof van Justitie is dat laatste het geval. Het Hof bracht zijn Weltimmo-rechtspraak (C-230/14) in herinnering en oordeelde dat:
- het feit dat een bedrijf geen dochteronderneming of bijkantoor in een lidstaat heeft, niet uitsluit dat zij toch een vestiging in de zin van het gegevensbeschermingsrecht in die lidstaat kan hebben;
- een dergelijke vestiging slaat op iedere vorm van – zelfs geringe – reële en daadwerkelijke activiteit die via een duurzame vestiging wordt uitgeoefend;
- er zowel wordt gekeken naar de mate van duurzaamheid van de vestiging, als het daadwerkelijk uitoefenen van de activiteiten in die andere lidstaat, waarbij er rekening wordt gehouden met de specifieke aard van de bedrijfsuitoefening en de betrokken dienstverlening;
- de activiteiten niet hoeven te worden verricht "door" de vestiging zelf, maar dat het volstaat dat ze "in het kader" van de activiteiten van de vestiging gebeuren; en
- een vestiging niet bestaat door het enkele feit dat een website van een bedrijf in een lidstaat toegankelijk is.
De vraag of dit voor Amazon EU het geval is, liet het Hof over aan de nationale rechter.
Hoe is dit arrest relevant voor uw onderneming?
Uit het voorgaande volgen twee belangrijke lessen:
- e-Commercebedrijven die over de Europese landsgrenzen heen opereren, hoeven in principe niet te vrezen dat ze het gegevensbeschermingsrecht moeten toepassen van elke lidstaat waar hun website louter toegankelijk is.
- De afwezigheid van een dochteronderneming of een bijkantoor in een lidstaat is vaak geen geldig excuus om het gegevensbeschermingsrecht van die lidstaat niet toe te passen.