Uber: Niederländische Datenschutzbehörde verhängt rekordverdächtige Geldstrafe
Die niederländische Datenschutzbehörde hat Uber zu einer rekordverdächtigen Geldstrafe verurteilt. Das Unternehmen hat über zwei Jahre hinweg personenbezogene Daten europäischer Taxifahrer ohne angemessenen Schutz in die USA übermittelt und damit gegen die EU-Datenschutzgrundverordnung verstoßen.
Die niederländische Datenschutzbehörde hat Uber zu einer rekordverdächtigen Geldstrafe verurteilt. Das Unternehmen hat über zwei Jahre hinweg personenbezogene Daten europäischer Taxifahrer ohne angemessenen Schutz in die USA übermittelt und damit gegen die EU-Datenschutzgrundverordnung verstoßen.
Uber wurde zu einer historischen Geldstrafe in Höhe von 290 Millionen Euro verurteilt, was fast vier Prozent seines weltweiten Umsatzes von 34,5 Milliarden Euro im Jahr 2023 entspricht. Dies ist die dritte Geldstrafe, die das Unternehmen von der niederländischen Datenschutzbehörde erhält. Bereits 2018 wurde eine Geldstrafe in Höhe von 600.000 Euro und 2023 in Höhe von zehn Millionen Euro verhängt, gegen die Uber Einspruch erhoben hat.
„Es handelt sich eindeutig um die höchste Geldstrafe, die jemals gegen Uber in der EU verhängt wurde, und tatsächlich um die höchste Geldstrafe, die jemals von der niederländischen Datenschutzbehörde verhängt wurde“, sagte Maartje de Graaf, Anwältin bei der Nichtregierungsorganisation Noyb, dem European Center for Digital Rights, gegenüber Euractiv.
Am Montag (26. August), teilte die niederländische Behörde mit, dass zu den Daten, die ohne angemessenen Schutz in die USA übermittelt wurden, sensible Informationen wie Kontodaten, Taxilizenzen, Standortdaten, Fotos, Zahlungsdaten, Ausweispapiere sowie Straf- und Krankenakten gehören.
Der Vorsitzende der niederländischen Datenschutzbehörde, Aleid Wolfsen sagte, dass die Datenschutz-Grundverordnung zwar einen starken Schutz personenbezogener Daten innerhalb Europas gewährleiste, dass diese Garantien jedoch außerhalb der EU nicht gewährleistet seien. Das gilt insbesondere in Ländern, in denen die Regierungen weitreichenden Zugriff auf die Daten hätten.
Ein Kommissionssprecher erklärte jedoch gegenüber Euractiv, dass von allen in der EU tätigen Unternehmen erwartet werde, dass sie die EU-Datenschutzvorschriften vollständig einhalten.
Dies liegt daran, dass die Datenschutz-Grundverordnung (DSGVO) für jedes Unternehmen gilt, das personenbezogene Daten von EU-Bürgern verarbeitet, selbst wenn das Unternehmen außerhalb der EU ansässig ist, wie beispielsweise Uber, das seinen Hauptsitz in den USA hat. Darüber hinaus verlangt die Verordnung von den Unternehmen, personenbezogene Daten zu schützen und rechtliche Schutzmaßnahmen für die Übermittlung außerhalb der EU zu ergreifen. Bei Nichteinhaltung drohen Geldstrafen von bis zu vier Prozent des weltweiten Umsatzes.
Die niederländische Aufsichtsbehörde begann 2021, gegen Uber zu ermitteln. Dem ging eine Beschwerde von über 170 französische Fahrer bei der Menschenrechtsgruppe Ligue des droits de l’Homme voraus, die daraufhin eine Beschwerde bei der französischen Aufsichtsbehörde einreichte. Die französische Behörde leitete diese Beschwerden an ihr niederländisches Amtskollegen weiter, die Uber beaufsichtigt, da sich der europäische Hauptsitz des Unternehmens in den Niederlanden befindet.
Die niederländische Behörde hat in Zusammenarbeit mit der französischen und anderen europäischen Behörden beschlossen, Uber in diesem Jahr mit einer Geldstrafe zu belegen. An dieser Entscheidung waren alle Aufsichtsbehörden der EU, Norwegens und der Schweiz beteiligt. Ausgenommen sind die Aufsichtsbehörden in Bulgarien, Zypern, Island, Lettland, Liechtenstein, Luxemburg und Slowenien.
Die niederländische Entscheidung „öffnet die Büchse der Pandora“, sagte Brahim Ben Ali, ein ehemaliger Uber-Fahrer, der die Beschwerde der 170 französischen Uber-Fahrer anführte, gegenüber Euractiv. Er argumentierte, dass die Einhaltung der DSGVO und das Datenmanagement „die Achillesferse von Uber sind.“
„Die Geldstrafe könnte Auswirkungen auf andere multinationale Tech-Unternehmen haben, die Daten zwischen den USA und der EU übertragen.“
Drei weitere Beschwerden der gleichen 170 Fahrer, darunter eine über automatische Uber-Kontentrennungen, werden derzeit in Amsterdam geprüft.
EU-US-Datenschutzrahmen
Die Nachricht über den Verstoß von Uber gegen die Datenschutz-Grundverordnung wirft auch Fragen über die Übermittlung personenbezogener Daten aus der EU in die USA auf.
Das EU-US Privacy Shield aus dem Jahr 2016 war ein Rahmenwerk, das es Unternehmen ermöglichte, personenbezogene Daten aus der EU in die USA zu übermitteln und dabei den Schutz zu gewährleisten. Es sollte das frühere Safe-Harbor-Abkommen ersetzen.
Im Jahr 2020 erklärte der Europäische Gerichtshof das Privacy Shield in einem als Schrems II bekannten Urteil jedoch für ungültig. Es wurde festgestellt, dass die US-Gesetze nicht das gleiche Datenschutzniveau bieten, wie es die EU-Standards verlangen. Das Urteil wurde nach dem Aktivisten und Rechtsanwalt Max Schrems und seiner Organisation Noyb benannt, die die Angemessenheit des Datenschutzes im Rahmen des Privacy Shields infrage gestellt hatten.
Nach diesem Urteil wurde das Privacy Shield im Jahr 2023 durch den EU-US-Datenschutzrahmen ersetzt. Damit sollten Bedenken ausgeräumt und Unternehmen, die sensible Daten übermitteln, rechtlich abgesichert werden.
Aber auch vor diesem neuen Rahmen konnten Unternehmen die Standardvertragsklauseln (SCC) als rechtliche Vereinbarung zum Schutz personenbezogener Daten nutzen, die aus der EU in Nicht-EU-Länder übermittelt wurden, die den EU-Datenschutzstandards folgen.
Uber hat jedoch im August 2021 aufgehört, die Standardvertragsklauseln zu verwenden, was zu einem unzureichenden Datenschutz führte. Die niederländische Datenschutzbehörde stellte dies bei ihrer Untersuchung fest und verhängte daraufhin eine Geldstrafe.
Nach der Verhängung des Bußgeldes gab Uber eine Erklärung ab, in der es die Entscheidung als „fehlerhaft“ und „völlig ungerechtfertigt“ bezeichnete. Es bestätigte, dass es gegen das Bußgeld Berufung einlegen werde. Diese Berufung würde die Geldstrafe bis zu einer neuen Entscheidung aussetzen, was bis zu vier Jahre dauern kann.
Ein Sprecher des Unternehmens mit Hauptsitz in Kalifornien erklärte gegenüber Euractiv, dass die Datenübermittlung zwischen den USA und der EU auch nach der Ungültigkeitserklärung des Privacy Shields weiterhin der Datenschutz-Grundverordnung entspreche.
Die Verabschiedung des Datenschutzrahmens 2023 habe zu keinerlei Änderungen im Umgang mit persönlichen Daten geführt, was das robuste Datenmanagement des Unternehmens bestätige.
[Bearbeitet von Júlia Tar/Martina Monti/Kjeld Neubert]
