Zum Inhalt springen
Home » Datenschutz-News » Aktuelle Rekordstrafe für Uber in den Niederlanden: 290 Millionen Euro Bußgeld

Aktuelle Rekordstrafe für Uber in den Niederlanden: 290 Millionen Euro Bußgeld

Uber ist der selbsternannte revolutionäre Mobilitätsdienst, der das Reisen in Städten weltweit neu definiert hat. Mit nur einem Fingertipp bringt Uber innerhalb von Minuten ein Auto direkt zu seinen Kunden, egal wo diese sind. Was Uber in den letzten Jahren aber weniger definiert hat, ist der unternehmensinterne Datenschutz.

Ein aktueller Fall gibt Anlass, die Datenspeicherungs- und Übertragungspraktiken von Uber zu beleuchten.

Das Taxiunternehmen sieht sich derzeit einem Rekordbußgeld von 290 Millionen EUR gegenüber. Der Grund: Uber hat personenbezogene Daten europäischer Taxifahrer in die USA transferiert, ohne dabei die notwendigen Sicherheitsmaßnahmen im Rahmen dieser Übertragungen zu gewährleisten.

Lange Historie der Datenschutzverstöße

Der aktuelle Fall ist bereits die dritte hohe Geldbuße des Unternehmens in nur wenigen Jahren. Diese wurden jeweils von der niederländischen Aufsichtsbehörde (DPA) verhängt. Bereits 2018 erteilte die niederländische Behörde ein Bußgeld über 600.000 EUR und im Jahr 2023 ein weiteres Bußgeld über 10 Millionen EUR. Beide Fälle betrafen damals Verstöße gegen die Sicherheitsbestimmungen bei der Datenübertragung. Betroffene waren auch jeweils die Fahrer von Uber.

Wie es scheint hat Uber jedoch aus den vorherigen Bußgeldern keine Lehren gezogen und seine Datenschutzstandards nicht auf die der europäischen DSGVO angepasst. Auch im vorliegenden Fall hat Uber Daten seiner Fahrer unberechtigt an Server in den USA übertragen und dort speichern lassen.

Der Vorsitzende der niederländischen DPA ist empört

„In Europa schützt die DSGVO die Grundrechte der Menschen, indem sie Unternehmen und Behörden verpflichtet, personenbezogene Daten sorgfältig zu behandeln“, erklärt Aleid Wolfsen, Vorsitzender der niederländischen DPA.

„Leider ist dies außerhalb Europas nicht selbstverständlich. Man denke nur an Regierungen, die Daten in großem Umfang abgreifen können. Deshalb sind Unternehmen in der Regel verpflichtet, zusätzliche Maßnahmen zu ergreifen, wenn sie personenbezogene Daten von Europäern außerhalb der Europäischen Union speichern. Uber hat die Anforderungen der DSGVO nicht erfüllt, um das Schutzniveau der Daten bei Übertragungen in die USA sicherzustellen. Das ist sehr ernst.“

Verstoß gegen die DSGVO

Die niederländische DPA stellte fest, dass Uber in den Jahren 2021 – 2023 unter anderem sensible Informationen von Fahrern aus Europa sammelte und auf Servern in den USA speicherte. Dazu gehörten Kontodaten und Taxi-Lizenzen, aber auch Standortdaten, Fotos, Zahlungsdaten, Identitätsdokumente und in einigen Fällen sogar strafrechtliche und medizinische Daten der Fahrer. Damit sind neben „normalen“ personenbezogenen Daten gem. Art. 4 Nr. 1 DSGVO, auch besonders sensible Daten aus Art. 9 DSGVO betroffen.

Keine geeignete Rechtsgrundlage

Nach Art. 9 DSGVO dürfen beispielsweise solche personenbezogenen Daten, die eine rassische und ethnische Herkunft preisgeben oder genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person sowie Gesundheitsdaten nicht verarbeitet werden. Die Ausnahmen in Art. 9 Abs. 2 DSGVO sind sehr eng gefasst und griffen in dem vorliegenden Fall nicht. Für die Datenverarbeitung lag daher keine geeignete Rechtsgrundlage vor.

Keine Garantien nach Artt. 44 ff. DSGVO

Über einen Zeitraum von mehr als zwei Jahren übermittelte Uber diese Daten an den Hauptsitz in den USA, ohne geeignete Übertragungsinstrumente zu verwenden. Dadurch war der Schutz der personenbezogenen Daten nicht ausreichend gewährleistet und verstieß damit gegen die DSGVO.

Geeignete Übertragungsmechanismen waren zum Zeitpunkt der Datenübertragung u.a. Standardvertragsklauseln, die aber Uber nicht implementiert hatte. Auch hatte Uber keine vergleichbaren Mechanismen, wie Binding Corporate Rules, nach Art. 47 DSGVO.

Laut Gerichten und Datenschutzbehörden stellen Standardvertragsklauseln weiterhin eine gültige Grundlage für die Datenübermittlung in Länder außerhalb der EU dar, aber nur, wenn in der Praxis ein gleichwertiges Schutzniveau garantiert werden kann. Da Uber seit August 2021 keine Standardvertragsklauseln mehr verwendet hat, waren die Daten der Fahrer aus der EU laut der niederländischen DPA unzureichend geschützt.

Seit Ende letzten Jahres ist Uber über den Nachfolger des Privacy Shield – das EU-US Data Privacy Framework zertifiziert, welches im Juli 2023 in Kraft getreten ist. Nach dem Angemessenheitsbeschluss der EU, ist die Datenübertragung in die USA nunmehr auf eine Ebene mit dem Schutzniveau der DSGVO zu stellen. Nichtsdestotrotz empfehlen die Aufsichtsbehörden weiterhin einen Abschluss von Standardvertragsklauseln.

Beschwerden von Fahrern

Die Untersuchung gegen Uber wurde von der niederländischen DPA eingeleitet, nachdem mehr als 170 französische Fahrer Beschwerden bei der französischen Menschenrechtsorganisation „Ligue des droits de l’Homme“ (LDH) eingereicht hatten. Diese reichte daraufhin eine Beschwerde bei der französischen Datenschutzbehörde – der Commission Nationale de l’Informatique et des Libertés (CNIL) –  ein.

Gemäß Art. 3 DSGVO und Erwägungsgrund Nr. 22 der DSGVO müssen Unternehmen, die Daten in mehreren EU-Mitgliedstaaten verarbeiten, sich mit einer Datenschutzbehörde auseinandersetzen: der Behörde in dem Land, in dem das Unternehmen seine Hauptniederlassung hat. Ubers europäische Zentrale befindet sich in den Niederlanden. Während der Untersuchung arbeitete die niederländische DPA eng mit der französischen Datenschutzbehörde zusammen und stimmte die Entscheidung mit anderen europäischen Datenschutzbehörden ab.

Geldstrafe für Uber

Alle Datenschutzbehörden in Europa berechnen die Höhe der Geldstrafen für Unternehmen nach dem gleichen Schema. Diese Strafen können bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens betragen. Uber erzielte 2023 einen weltweiten Umsatz von etwa 34,5 Milliarden Euro. Uber hat bereits angekündigt, Einspruch gegen die Geldstrafe einzulegen, was die Rechtskraft der Entscheidung nur hinauszögern dürfte.

Fazit

Selbst große und globale Unternehmen wie Uber sind nicht vor den strengen Anforderungen der DSGVO nicht geschützt. Datenschutzverstöße, insbesondere bei der Übertragung personenbezogener Daten in Länder außerhalb der EU, können zu erheblichen finanziellen Strafen führen. Der Fall zeigt deutlich, wie wichtig es für Unternehmen ist, sich an die datenschutzrechtlichen Vorgaben zu halten und sicherzustellen, dass die Privatsphäre und der Schutz personenbezogener Daten jederzeit gewährleistet sind. Versäumnisse in diesem Bereich können nicht nur das Vertrauen der Nutzer beeinträchtigen. Sie können auch erhebliche rechtliche und finanzielle Konsequenzen nach sich ziehen.

Wir helfen Ihnen gern bei der Umsetzung Ihrer Unternehmens-Compliance im Bereich des Datenschutzes zur Vorbeugung etwaiger Bußgelder. Kontaktieren Sie uns dazu gerne.

Bildnachweis: KI generiert

AUTOR

Christoph Möx ist ein erfahrener Rechtsanwalt im Bereich IT-Recht und Datenschutz bei der renommierten Kanzlei Bette Westenberger Brink in Erfurt. Mit Fachwissen und praktischer Erfahrung berät er Unternehmen in allen Fragen des Datenschutzes und der IT-Compliance. Darüber hinaus arbeitet Christoph Möx als Datenschutzberater bei der RMPrivacy GmbH und unterstützt Mandanten dabei, datenschutzrechtliche Anforderungen effizient und rechtskonform umzusetzen.