DATENSCHUTZVERSTOß

UBER MUSS 290 MILLIONEN EURO STRAFE ZAHLEN

Die Niederländische Datenschutzbehörde AP hat eine Rekordstrafe von 290 Millionen Euro gegen Uber wegen der illegalen Weitergabe europäischer Fahrerdaten in die USA verhängt. Die will Uber nicht bezahlen.

Nach Angaben der niederländischen Datenschutzbehörde Autoriteit Persoonsgegevens (AP) wurden Daten von europäischen Uber-Fahrern unrechtmäßig in die USA übermittelt. Das Unternehmen muss daher eine Geldstrafe von 290 Millionen Euro zahlen. Es handelt sich um die höchste Geldbuße, die jemals in den Niederlanden im Zusammenhang mit dem Datenschutzgesetz verhängt wurde. Die Europäische Zentrale von Uber befindet sich in den Niederlanden, in Amsterdam. Deswegen landete auch eine frühere Datenschutzklage von Französischen Fahrern bei der AP. Die Datenschutzbehörde arbeitete schon längere Zeit mit den französischen Kollegen zusammen.

Die europäische Datenschutz-Grundverordnung (DSGVO) schreibt vor, dass Daten nur dann in die USA zur Speicherung auf Servern gesendet werden dürfen, wenn entsprechende Sicherheitsvorkehrungen getroffen werden. Im Fall von Uber habe man sich dabei nicht an die Regeln gehalten, so die AP.

Uber sammelte viele sensible Informationen von Fahrern und leitete sie an seine Zentrale in den USA weiter. Dabei handelte es sich beispielsweise um Taxilizenzen, Personalausweise und Kontodaten, aber auch um Standortdaten, Fotos, Zahlungsdaten und teilweise sogar Strafdaten und medizinische Daten von Fahrern. Uber hat diese Daten mehr als zwei Jahre lang an die Uber-Zentrale in den USA übertragen, ohne ein Übertragungstool zu verwenden. Der Schutz personenbezogener Daten war daher nicht ausreichend. Der Konzern hätte in einem Vertrag festlegen müssen, wie er die Verarbeitung der Daten in den USA mit den europäischen Regeln in Einklang bringen würde. Das Unternehmen hat dies zwei Jahre lang versäumt, obwohl es sich nun an die Regeln hält.

Der Gerichtshof der EU erklärte das EU-US Privacy Shield im Jahr 2020 für ungültig. Nach Ansicht des Gerichts könnten Musterverträge weiterhin eine gültige Grundlage für die Übermittlung von Daten in Länder außerhalb der EU bieten, allerdings nur, wenn in der Praxis ein gleichwertiges Schutzniveau gewährleistet werden kann. Da Uber ab August 2021 keinen Mustervertrag mehr nutzte, waren die Daten der EU-Fahrer laut AP nicht ausreichend geschützt. Uber nutzt seit Ende letzten Jahres den Nachfolger des Privacy Shield.

Laut AP hat Uber einen „schwerwiegenden Verstoß“ begangen (Uber hat den Verstoß inzwischen beendet). Dies spiegelt sich in der Strafsumme von 290 Millionen Euro wider, die in den Niederlanden noch nie so hoch war. Das Bußgeld entspricht 0,8 Prozent des Jahresumsatzes von rund 34,5 Milliarden Euro. Die Höchststrafe, die die AP für solche Verstöße verhängen kann, beträgt 4 Prozent des weltweiten Jahresumsatzes.

„In Europa schützt die DSGVO die Grundrechte der Menschen, indem sie Unternehmen und Regierungen zum sorgfältigen Umgang mit personenbezogenen Daten verpflichtet“, sagt AP-Präsident Aleid Wolfsen. „Aber leider ist das außerhalb Europas keine Selbstverständlichkeit. Denken Sie an Regierungen, die Daten in großem Umfang abgreifen können. Deshalb sind Unternehmen in der Regel verpflichtet, zusätzliche Maßnahmen zu ergreifen, wenn sie personenbezogene Daten von Europäern außerhalb der Europäischen Union speichern. Uber hat nicht das von der DSGVO geforderte Schutzniveau für Fahrer bei Datenübertragungen in die USA gewährleistet. Das ist sehr schwerwiegend.“

Uber erhebt – keine Überraschung – Einspruch und sagt, man werde notfalls vor Gericht gehen. Das Unternehmen argumentiert, es habe jahrelang Verwirrung über die Regeln gegeben, nachdem der Europäische Gerichtshof im Jahr 2020 ein umfassendes Datenschutzabkommen zwischen der EU und den USA abgelehnt hatte. Unternehmen mussten dann einen sogenannten Mustervertrag nutzen, in dem die EU die Standardregeln für die korrekte Übermittlung von Daten außerhalb der EU festlegte.

Nach eigenen Angaben durfte Uber als Nicht-EU-Unternehmen dies nicht nutzen und musste zusätzliche Maßnahmen ergreifen. Die AP lieferte jedoch keine Klarheit darüber, welche Maßnahmen dies hätten sein sollen. Als im Jahr 2023 ein neues Gesamtabkommen zwischen der EU und den USA zur Datenübermittlung geschlossen wurde, sei die Unklarheit erst gelöst worden, sagt Uber, und behauptet auch, dass man in all den Jahren nichts am eigentlichen Datenübermittlungsprozess ändern musste.

Der Verstoß kam ans Licht, nachdem 170 französische Fahrer eine Beschwerde bei einer französischen Menschenrechtsorganisation eingereicht hatten. Die niederländische AP war für die Bearbeitung der Beschwerde zuständig, da sich die europäische Zentrale von Uber in den Niederlanden befindet. Es gab eine Koordinierung zwischen anderen europäischen Aufsichtsbehörden und der AP.

Es ist nicht das erste Mal, dass die AP Uber kritisiert. Im Jahr 2018 wurde das Unternehmen mit einer Geldstrafe von 600.000 Euro belegt, weil die AP nach einem Datenverstoß nicht schnell genug informiert wurde. Anfang dieses Jahres wurde dem Unternehmen eine Geldstrafe von 10 Millionen Euro auferlegt, nachdem es nicht offen genug dargelegt hatte, wie lange die Daten der Fahrer gespeichert werden und wo sie außerhalb Europas landen. Selbst gegen diese vergleichsweise geringe Geldbuße hat Uber Berufung eingelegt. Wf/Taxi Times