EU-domstolen har fällt EU-kommissionen för ett brott mot GDPR, rapporterar Gizmodo. Kommissionen hade stämts av den tyska medborgaren Thomas Bindl, som anklagade den för att ha skickat hans personuppgifter vidare till Meta i USA.

Fallet, som demonstrerar hur komplicerad GDPR-lagen är, handlar om att EU-kommissionen vid ett tillfälle höll en konferens till vilken deltagare kunde anmäla sig på kommissionens webbplats. För att göra det behövde de logga in, och ett av alternativen var ”logga in med Facebook”-funktionen. När någon klickade på den knappen skickade webbplatsen uppgifter som IP-adress, webbläsare och operativsystem till Meta via Amazon Web Services (AWS).

Thomas Bindl påstod att det skedde till en server i Seattle och att kommissionen därför hade skickat hans personuppgifter till tredje land utan rättslig grund.

I sitt beslut skriver domstolen att den inte fann några bevis för att AWS eller Meta skickade personuppgifterna i fråga vidare till USA från den server i München dit de först skickades, men att kommissionen trots det har brutit mot GDPR genom att inte ha kunnat garantera att de inte gör det. Thomas Bindl har därmed åsamkats icke-materiell skada genom denna osäkerhet kring hur hans personuppgifter har behandlats.

Kommissionen döms därför att betala 400 euro i skadestånd till Thomas Bindl. Eftersom domstolen dömde till kommissionens fördel på ett par av punkterna i stämningsansökan ska kommissionen stå för sina egna rättegångskostnader samt halva Thomas Bindls kostnader. Han får själv betala den andra hälften, till vilket 400 euro förmodligen inte räcker.