De Europese Commissie moet een bezoeker van een van haar websites een schadevergoeding betalen wegens inbreuk op de eigen regels voor databescherming. Dat heeft het Gerecht van het Europese Hof van Justitie woensdag bepaald. Gegevens van de bezoeker gingen naar de VS, terwijl op dat moment niet vaststond of die daar goed waren beschermd.

Hoewel het schadebedrag van €400 niet hoog lijkt, moet de relevantie ervan niet onderschat worden, zegt de Oostenrijkse advocaat en privacyactivist Max Schrems in een reactie. ‘Het is voor het eerst dat de rechter een benchmark vaststelt voor niet-materiële schade onder de algemene verordening gegeven.’

Hij wijst bovendien op de optie van massaclaims die nu openstaat. ‘Als zo’n claim namens een miljoen mensen wordt opgesteld, heb je het opeens over €400 mln.’

De website waar het om draait was die van de Conferentie over de Toekomst van Europa. Voor dit initiatief nodigde de EU 800 ingezetenen uit om mee te denken over de richting van het landenblok. Via de website konden ook andere burgers hun ideeën inbrengen.

Er was op de website een ‘sign in with Facebook’-optie om in te loggen. Het IP-adres, met de persoonlijke data van de gebruiker, ging vervolgens naar Facebooks moederconcern Meta in de VS.

Op dat moment — maart 2022 — stond niet vast of de data in de VS voldoende bescherming genoten. Als gevolg daarvan voldeed de Commissie niet aan de Europese datawet, oordeelt de rechter.

‘Het individu in kwestie leed niet-materiële schade, omdat hij zich in een positie van onzekerheid bevond over de wijze waarop met zijn data werd omgegaan’, stelt de Europese rechter in een persbericht bij het vonnis. ‘Er is bovendien een voldoende causaal verband tussen de inbreuk van de Commissie en die schade.’

De Duitser Thomas Bindl, die een belangengroepering voor databescherming heeft opgericht, was de klager in deze zaak. Hij laat weten het oordeel te bestuderen alvorens een inschatting te maken over vervolgstappen.