Die niederländische Datenschutzbehörde, die Autoriteit Persoonsgegevens (AP), hat gegen das US-Unternehmen Uber eine Geldstrafe von 290 Millionen Euro verhängt. Grund dafür ist die unerlaubte Übermittlung von persönlichen Daten europäischer Uber-Fahrer in die USA.
Worum geht es und was macht Uber?
Uber ist ein Unternehmen aus San Francisco, das weltweit Fahrdienste vermittelt. In Deutschland vermittelt Uber heute nur noch Fahrten an lizenzierte Mietwagenunternehmen. Früher wurden auch Privatpersonen als Fahrer zugelassen, doch das ist inzwischen gerichtlich verboten.
Uber sagt über sich selbst: „Wir haben unser Angebot von Fahrten auf vier Rädern auf zwei Räder, Güterlieferungen auf 18 Rädern und vieles mehr erweitert. Egal, ob Mahlzeiten zum Mitnehmen, Alltagsprodukte oder verschreibungspflichtige Medikamente – wir liefern fast alles. Außerdem kannst du mit uns Geld verdienen, zum Beispiel als Fahrer. Sicherheit ist dabei unser oberstes Ziel, dank Überprüfungen und Echtzeit-Verifizierungen.“
Was ist passiert?
Die niederländische Behörde AP hat festgestellt, dass Uber über zwei Jahre hinweg Daten europäischer Fahrer in die USA übermittelt und dort gespeichert hat, ohne die erforderlichen Schutzmaßnahmen nach Artikel 46 der Datenschutz-Grundverordnung (DSGVO) zu ergreifen. Nachdem der Europäische Gerichtshof im Jahr 2020 den „EU-US Privacy Shield“ für ungültig erklärt hatte, durfte Uber ab August 2021 seine Datentransfers nicht mehr auf diese Regelung stützen.
Uber sammelte dabei viele persönliche Daten: Kontodaten, Taxilizenzen, Standortdaten, Fotos, Zahlungsinformationen, Identitätsnachweise, persönliche Bewertungen und sogar sensible Daten wie strafrechtliche und medizinische Informationen.
Warum wurde die niederländische Datenschutzbehörde aktiv?
170 französische Taxifahrer hatten sich bei der französischen Menschenrechtsorganisation „Ligue des droits de l’Homme“ (LDH) über den Missbrauch ihrer Daten beschwert. Diese Organisation reichte die Beschwerde bei der französischen Datenschutzbehörde ein. Da Uber seinen europäischen Hauptsitz in den Niederlanden hat, war die niederländische AP für den Fall zuständig.
Obwohl Uber den Verstoß inzwischen beendet hat und jetzt den neuen „EU-US Data Privacy Framework“ nutzt, entschied die AP, eine hohe Strafe zu verhängen. Die Strafe soll deutlich machen, dass die DSGVO ernst genommen wird und als Abschreckung für andere Unternehmen dienen, die mit personenbezogenen Daten nicht verantwortungsvoll umgehen.
Was bedeutet das für Unternehmen in der Praxis?
Personenbezogene Daten dürfen nur dann in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden, wenn ein entsprechender Angemessenheitsbeschluss besteht oder geeignete Garantien zum Schutz der Daten vertraglich festgelegt sind.
Für die USA wurde ein solcher Beschluss am 10. Juli 2023 im Rahmen des „EU-US Data Privacy Framework“ in Kraft gesetzt. US-Unternehmen, die personenbezogene Daten aus der EU erhalten oder verarbeiten wollen, müssen sich nach diesem Rahmen zertifizieren lassen. Eine Liste der zertifizierten Unternehmen wird vom US-Handelsministerium veröffentlicht.
Was sollten Unternehmen jetzt tun?
Unternehmen sollten überprüfen, ob ihre Partner in den USA die notwendigen Zertifikate besitzen. Außerdem ist sicherzustellen, dass keiner der Dienstleister in Drittländern arbeitet, die nicht den Datenschutzvorgaben der EU entsprechen. Geeignete Garantien, wie Standardvertragsklauseln oder verbindliche Unternehmensregelungen (Binding Corporate Rules), sind notwendig, um den Datenschutz zu sichern.
Wir unterstützen Sie gerne bei der Überprüfung Ihrer Verträge und der Absicherung Ihrer Datenübermittlung. Sprechen Sie uns an!