Die niederländische Datenschutzbehörde (DPA) hat gegen Uber ein Bußgeld in Höhe von 290 Millionen Euro verhängt. Die DPA stellte fest, dass Uber personenbezogene DatenAlle Auskünfte, die sich auf eine bestimmte oder bestimmbare natürliche Person („betroffene ... von europäischen Fahrerinnen und Fahrern in die USA übermittelt und es versäumt hatte, die Daten bei dieser Übermittlung angemessen zu schützen. Die niederländischen Datenschutzbehörde ist der Ansicht, dass dies einen schweren Verstoß gegen die Datenschutz-Grundverordnung (DSGVO)Verordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitu... More darstellt. Mittlerweile hat Uber den Verstoß eingestellt.

„In Europa schützt die Datenschutz-Grundverordnung die Grundrechte der Menschen, indem sie Unternehmen und Regierungen dazu verpflichtet, mit personenbezogenen Daten sorgfältig umzugehen“, sagt der Vorsitzende der niederländischen Datenschutzbehörde, Aleid Wolfsen. „Aber leider ist das außerhalb Europas keine Selbstverständlichkeit. Denken Sie nur an Regierungen, die Daten in großem Umfang sammeln können. Deshalb müssen Unternehmen in der Regel zusätzliche Maßnahmen ergreifen, wenn sie personenbezogene DatenAlle Auskünfte, die sich auf eine bestimmte oder bestimmbare natürliche Person („betroffene ... von Europäern außerhalb der Europäischen Union speichern. Uber hat die Anforderungen der Datenschutz-Grundverordnung nicht erfüllt, um das Datenschutzniveau bei der Übermittlung in die USA zu gewährleisten. Das ist sehr ernst.“

Auch sensible Daten wurden übermittelt

Die niederländische Datenschutzbehörde hatte festgestellt, dass Uber unter anderem sensible DatenPersonenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, re... gemäß Art. 9 DSGVO von europäischen Fahrerinnen und Fahrern gesammelt und auf Servern in den USA gespeichert hat. Dazu gehören Kontodaten und Taxilizenzen, aber auch StandortdatenÜberall auf der Welt stehen Funkmasten, die ein bestimmtes Gebiet mit Handyempfang versorgen. S..., Fotos, Zahlungsdaten, Ausweispapiere und in einigen Fällen sogar strafrechtliche und medizinische Daten der Fahrer.

Schrems II und die Standardvertragsklauseln

Zwischen 2021 und 2023, über einen Zeitraum von mehr als zwei Jahren, übermittelte Uber diese Daten an die Konzern-Zentrale in den USA, ohne dabei auf angemessen sichere Übermittlungsinstrumente zurückzugreifen. Folglich konnte der Schutz personenbezogener Daten nicht ausreichend gewährleistet werden.

Dabei gilt zu beachten, dass zuvor der Europäische Gerichtshof das EU-US-Datenschutzabkommen Privacy Shield mit dem Schrems II Urteil für ungültig erklärt hatte. Allerdings können nach Ansicht des Gerichtshofs Standardvertragsklauseln weiterhin eine gültige Grundlage für die Übermittlung von Daten in Länder außerhalb der EU darstellen, vorausgesetzt, dass in der Praxis ein gleichwertiges Schutzniveau gewährleistet werden kann.

Da Uber ab August 2021 keine Standardvertragsklauseln mehr verwendete, waren die betroffenen Daten aus der EU nach Ansicht der niederländischen Datenschutzbehörde nicht ausreichend geschützt. Seit 2023 gibt es ein neues Datenschutzabkommen zwischen der EU und den USA, welches von Uber verwendet wird.

Proteste kamen aus Frankreich

Die niederländische Datenschutzbehörde leitete die Untersuchung gegen Uber ein, nachdem sich mehr als 170 französische Fahrerinnen und Fahrer bei der französischen Menschenrechtsorganisation Ligue des droits de l’Homme (LDH) beschwert hatten, die daraufhin eine Beschwerde bei der französischen Datenschutzbehörde einreichte.

Zuständige Behörde hängt vom Hauptsitz ab

Gemäß der DSGVOVerordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitu... More müssen sich Unternehmen, die Daten in mehreren EU-Mitgliedstaaten verarbeiten, an eine einzige Datenschutzbehörde wenden: die Behörde des Landes, in dem das Unternehmen seinen Hauptsitz hat. Die europäische Hauptniederlassung von Uber befindet sich in den Niederlanden. Während der Untersuchung arbeitete die niederländische Datenschutzbehörde eng mit der französischen Datenschutzbehörde zusammen und koordinierte ihre Entscheidung mit anderen europäischen Datenschutzbehörden.

Alle Datenschutzbehörden in Europa berechnen die Höhe der Bußgelder für Unternehmen auf die gleiche Weise. Diese Bußgelder belaufen sich auf maximal 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens. Uber hatte im Jahr 2023 einen weltweiten Umsatz von rund 34,5 Milliarden Euro. Uber hat angekündigt, gegen die Geldbuße Rechtsmittel einzulegen.

Uber sammelt weiter Bußgelder

Dies ist bereits das dritte Bußgeld, das die niederländische Datenschutzbehörde gegen Uber verhängt hat. Die niederländische Datenschutzbehörde verhängte 2018 eine Geldbuße in Höhe von 600.000 Euro und 2023 eine Geldbuße in Höhe von 10 Millionen Euro gegen Uber. Das US-Unternehmen hat bereits gegen die letztgenannte Geldbuße Berufung eingelegt.