Fahrer-Daten auf US-Server übermittelt: Uber muss 290 Millionen Euro Strafe zahlen
Die niederländische Datenschutzbehörde hat gegen den amerikanischen Fahrten Vermittungsdienst Uber eine Geldbuße verhängt. 290 Millionen Euro soll das Unternehmen für illegale Datenübermittlung zahlen. Das Verfahren folgte Beschwerden von über 170 französischen Kunden.
Uber ist als Vermittlungsplattform für Privatfahrten inzwischen weltweit bekannt. Auch in Deutschland ist es in sechzehn Städten möglich, „sich ein Uber zu bestellen“. Den europäischen Sitz hat Uber in den Niederlanden – und so ist es die dortige Datenschutzbehörde Autoriteit Persoonsgegevens, die nun eine weitere Strafe gegen Uber verhing.
290 Millionen Euro soll das Unternehmen nun zahlen, weil die Daten der Kunden bei der Übermittlung an die US-amerikanische Zentrale nicht hinreichend geschützt worden seien. Das entspricht 0,8 Prozent des Jahresumsatzes. Möglich wäre sogar eine Sanktion von bis zu 4 Prozent gewesen. Zuvor hatte Uber bereits 2018 eine Rekordstrafe von 126 Millionen Euro an US-Behörden hingenommen. Auch die niederländische Behörde war Uber bereits bekannt – zuletzt war hier 2023 eine Geldbuße von 10 Millionen Euro verhängt worden, wogegen Uber allerdings Widerspruch eingelegt hatte.
Auf die Server der US-Zentrale wurden laut der niederländischen Datenschutzbehörde eine ganze Breite an Daten übermittelt: Identitätsnachweise, Fahrerlizenzen, Fotos, Standortdaten, Zahlungsdetails und unter Umständen weitere persönliche Angaben der Fahrer (etwa medizinische oder strafrechtliche Informationen). Die fehlerhafte Übermittlung habe über zwei Jahre angedauert.
Die DSGVO aber fordert von Unternehmen und Regierungen, persönliche Daten sorgfältig zu behandeln. Leider ist dies außerhalb Europas nicht immer der Fall. So kann manch eine Nicht-EU-Regierungen in großem Umfang auf Daten zugreifen. Aus diesem Grund müssen Unternehmen zusätzliche Maßnahmen ergreifen, wenn sie die Daten von Europäern außerhalb der EU speichern.
Keine hinreichenden Schutzmaßnahmen
Über 170 Uber-Fahrer aus Frankreich sowie die niederländische Datenschutzbehörde werfen Uber konkret vor, gegen Art. 44 der Datenschutzgrundverordnung verstoßen zu haben. Der Artikel schreibt vor, dass jedwede Übermittlung personenbezogener Daten bei der Übermittlung an ein Drittland nur dann zulässig ist, wenn die entsprechenden Vorschriften der DSGVO eingehalten wurden. Demnach hätte Uber für die Übermittlung der Daten ein datensicheres Übertragungstool benutzen müssen, was nach Angabe der Behörden nicht der Fall gewesen sei. Zudem hätte der Konzern schon im Vorfeld vertraglich festlegen müssen, wie die Verarbeitung mit der DSGVO in Einklang zu bringen sei.
Nähere Regeln zum technischen Stand von Datenübertragungen stelle die DSGVO etwa in ihrem Artikel 32 auf. Dieser fordert eine risikobasierte Betrachtung und daraus folgend bestimmte Maßnahmen, soweit diese erforderlich sind. Das kann die Pseudonymisierung und Verschlüsselung der Daten ebenso wie die Benutzung eines zugriffssicheren Tools meinen.
Uber legt Widerspruch ein
Laut der niederländischen Datenschutzbehörde habe Uber den DSGVO-Verstoß gegen die DSGVO inzwischen beendet und seine Datenübermittlung auf eine angemessene Grundlage gestellt.
Uber will offenbar nun gegen das Bußgeld vorgehen und die Streitigkeit notfalls auch vor Gericht ausfechten. Das Unternehmen beruft sich auf eine langjährige Rechtsunsicherheit zu den nötigen Datenschutzmaßnahmen, und zwar seit der Ablehnung des EU-US-Privacy-Shield-Abkommens durch den Europäischen Gerichtshof im Jahr 2020. Uber habe einen für diesen Fall vorgesehenen DSGVO-konformen Standardvertrag nicht nutzen dürfen. Infolgedessen sei nicht klar gewesen, welche sonstigen zusätzlichen Maßnahmen man hätte ergreifen sollen. Eine Aufklärung hierzu habe es erst im Jahr 2023 gegeben, als ein neues EU-US-Abkommen zur Datenübermittlung geschlossen wurde. Womöglich wird in dem Fall noch ein Gericht entscheiden müssen.
Es ist zudem nicht die erste Strafe für Uber in den Niederlanden. Bereits 2018 wurde Uber eine Strafe in Höhe von 600 000 Euro auferlegt und 2023 eine weitere in Höhe von zehn Millionen Euro. Gegen die zuletzt genannte Strafe hatte Uber allerdings Einspruch eingelegt.
• www.wbs.legal