Die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens (AP) hat gegen den Fahrdienstvermittler Uber eine Geldstrafe von 290 Millionen Euro verhängt (Pressemitteilung hier). Grund dafür ist die unerlaubte Übermittlung personenbezogener Daten europäischer Uber-Fahrer in die Vereinigten Staaten ohne ausreichenden Schutz, was einen schweren Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) darstellt. Uber hat die Verstöße inzwischen eingestellt, kündigte jedoch an, gegen die Strafe Einspruch einzulegen.

Verletzung der DSGVO durch ungeschützte Datenübertragung

Uber sammelte über einen Zeitraum von mehr als zwei Jahren eine Vielzahl sensibler Daten von europäischen Fahrern und speicherte diese auf Servern in den USA. Zu den betroffenen Informationen gehörten unter anderem Kontodaten, Taxilizenzen, Standortdaten, Fotos, Zahlungsinformationen, Identitätsnachweise sowie in einigen Fällen sogar strafrechtliche und medizinische Daten.

Trotz der Sensibilität dieser Informationen verzichtete Uber ab August 2021 auf die Nutzung geeigneter rechtlicher Instrumente zur Datenübertragung, wie beispielsweise Standartvertragsklauseln, die nach der Aufhebung des EU-US Privacy Shield im Jahr 2020 als gültige Grundlage dienten, sofern ein gleichwertiges Schutzniveau gewährleistet werden konnte. Dadurch waren die personenbezogenen Daten der Fahrer unzureichend geschützt und anfällig für unbefugten Zugriff.

Stellungnahme der AP

Aleid Wolfsen, Vorsitzender der AP, betonte die Bedeutung des Datenschutzes innerhalb Europas:

„In Europa schützt die DSGVO die Grundrechte der Menschen, indem sie von Unternehmen und Behörden einen sorgfältigen Umgang mit personenbezogenen Daten verlangt. Außerhalb Europas ist dies leider nicht selbstverständlich, insbesondere angesichts von Regierungen, die Daten in großem Umfang abfangen können. Unternehmen sind daher in der Regel verpflichtet, zusätzliche Maßnahmen zu ergreifen, wenn sie personenbezogene Daten von Europäern außerhalb der Europäischen Union speichern. Uber hat dieses erforderliche Schutzniveau für die Fahrer nicht gewährleistet, was äußerst gravierend ist.“

Auslöser und Zusammenarbeit der Datenschutzbehörden

Die Untersuchung der AP wurde initiiert, nachdem über 170 französische Fahrer Beschwerden bei der Ligue des droits de l’Homme (LDH) eingereicht hatten, einer französischen Menschenrechtsorganisation. Die LDH leitete diese Beschwerden an die französische Datenschutzbehörde weiter, die in enger Zusammenarbeit mit der AP und anderen europäischen Aufsichtsbehörden das Verfahren koordinierte. Da Ubers europäischer Hauptsitz in den Niederlanden liegt, fiel die Zuständigkeit für die Untersuchung gemäß der DSGVO auf die niederländische AP.

Höhe der Geldstrafe

Die Berechnung der Geldstrafe erfolgte nach einheitlichen europäischen Standards, die eine maximale Strafe von 4 % des weltweiten Jahresumsatzes eines Unternehmens vorsehen. Mit einem globalen Umsatz von rund 34,5 Milliarden Euro im Jahr 2023 entspricht die Strafe von 290 Millionen Euro etwas weniger als 1 % dieses Umsatzes. Uber hat angekündigt, gegen diese Entscheidung Rechtsmittel einzulegen.

Die Reihe der Bußgelder setzt sich damit fort

Gegen Uber ergingen früher bereits eine Reihe von Bußgeldern wegen Datenschutzverletzungen, sowohl in der EU als auch in den USA. Erst Ende 2023 erließ ebenfalls die AP ein Bußgeld in Höhe von 10 Millionen Euro. Schwerpunkt der Vorwürfe waren hier fehlende Transparenz gegenüber den Mitarbeitern über die sie betreffenden Datenverarbeitungen und dass die Geltendmachung von Betroffenenrechten wesentlich erschwert wurde. So war die Möglichkeit zur Einreichung des Auskunftsersuchens gem. Art. 15 DSGVO in der App von Uber nur sehr schwer aufzufinden und „tief in Menüunterpunkten“ verborgen. Ähnlich verhielt es sich, wenn ein Auskunftsersuchen beantwortet wurde. Die Aufsichtsbehörde kritisierte, dass diese Daten in einer unübersichtlichen Art und Weise wiedergegeben wurden. Uber hatte auch gegen dieses Bußgeld Rechtsmittel eingelegt. Eine Entscheidung steht derzeit noch aus. Laut der AP hat Uber allerdings bereits verbessernde Maßnahmen ergriffen.

Das Bußgeld aus 2018 bezog sich auf einen Cyberangriff gegen Uber aus 2016 und betrug 600.000 Euro. Von dem Datenleck waren rund 60 Millionen Mitarbeiter- und Kundendaten betroffen. Da zu dem Zeitpunkt die DSGVO zwar erlassen, jedoch noch nicht in Kraft war, richtete sich das Bußgeld allein nach nationalem Recht, dem Wet bescherming persoonsgegevens (niederländisches Gesetz über den Schutz personenbezogener Daten). Auch nach diesem war Uber verpflichtet, innerhalb von 72 Stunden eine Datenschutzverletzung an die Aufsichtsbehörden zu melden, so wie es die DSGVO heute in Art. 33 Abs. 1 S. 2 DSGVO vorsieht. Als Uber im November 2016 von der Schwachstelle erfuhr, hat das Unternehmen den Hackern 100.000 US-Dollar gezahlt, um den Cyberangriff geheim zu halten, anstatt die Behörden oder die Betroffenen zu informieren. Der Vorfall wurde erst am im November 2017 an die niederländische Aufsichtsbehörde gemeldet. Im Jahr 2018 akzeptierte Uber in einem Verfahren in den USA wegen des gleichen Vorfalls ein Bußgeld in Höhe von 148 Millionen Dollar. Auch dort unterblieb eine Meldung an die Behörden.

Für dieses Verhalten ist Uber schon bekannt: Bereits 2015 hatte Uber monatelang eine Datenpanne aus 2014 verschwiegen (wir berichteten).

Ob das Unternehmen diesmal mit seinem Einspruch Erfolg hat, bleibt abzuwarten. Wir halten Sie auf dem Laufenden.