Millionenbußgeld gegen Uber – warum der US-Fahrtendienstleister sanktioniert wird
Nicht das erste Bußgeld
Nachdem dem US-Fahrtendienstleister Uber zuletzt im Januar 2024 ein Bußgeld in Höhe von 10 Millionen EUR aufgrund von Verstößen gegen das Auskunftsrecht ausgesprochen wurde, schlägt nun die niederländische Datenschutzbehörde wieder zu. Die niederländische Datenschutzaufsichtsbehörde Autoriteit Persoonsgegevens (AP) hat am 26. August 2024 ein Bußgeld von satten 290 Millionen EUR für die unrechtmäßige Speicherung personenbezogener Daten außerhalb der Europäischen Union verhängt. Dies ist nun insgesamt das dritte und mit Abstand das höchste Bußgeld, das gegen Uber ausgesprochen wurde.
Hintergrund der Entscheidung
Die Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums ist aufgrund der Regeln der DSGVO erschwert. Hintergrund ist das einheitliche Datenschutzniveau, das durch die europäische Gesetzgebung für Europa gewährleistet werden kann, nicht aber für Rechtsordnungen in sogenannten Drittländern. Sofern die Empfängerländer allerdings gleichwertige Datenschutzregeln etabliert haben, kann eine Datenübermittlung dennoch erfolgen.
Eine besondere Aufmerksamkeit genießt hierbei die USA: Durch mehrere Entscheidungen des Europäischen Gerichtshofs (EuGH) wurde die Gleichwertigkeit des Datenschutzes in den USA aberkannt (Stichwort: Schrems I- und II-Entscheidungen). Seit Mitte letzten Jahres (2023) hat die EU-Kommission Änderungen des US-Rechts anerkannt und einen Angemessenheitsbeschluss (Data Privacy Framework) veröffentlicht. Auch wir als Bitkom Consult hatten dazu berichtet.
Das „Data Privacy Framework“ (DPF) soll als Grundlage dienen, um personenbezogene Daten in die USA übermitteln zu können, ohne weitere Maßnahmen treffen zu müssen. Eine solche Datenübermittlung ist besonders relevant, da der Großteil aller Tech-Produkte aus den USA kommt und eine Nutzung nur unter Übermittlung von Daten in die USA möglich ist. Ohne DPF war es notwendig, andere Maßnahmen zu treffen, z.B. der Abschluss von sogenannten Standarddatenschutzklauseln mit den betreffenden Dienstleistern oder die Einholung einer Einwilligung.
Was hat Uber also falsch gemacht?
Die AP wirft Uber vor, personenbezogene Daten von Fahrerinnen – von Gesundheitsdaten über Abrechnungsdaten und Identitätsdokumenten bis hin zu Standortdaten – ohne entsprechende Schutzmaßnahmen und ohne rechtliche Grundlage auf Servern in den USA gespeichert zu haben. Dies bezieht sich auf Datenübermittlungen vor der Veröffentlichung des „Data Privacy Framework“ im Sommer 2023. Auf die Verwendung von Standardvertragsklauseln habe Uber allerdings schon ab 2021 verzichtet. Uber ist seit November 2023 nach dem DPF-Standard zertifiziert, wie ein Eintrag bei der zuständigen Federal Trade Commission der USA zeigt.
Spannenderweise trat der Sachverhalt durch den Einsatz von über 170 französischen Uber-Fahrern zutage, die sich bei einer französischen Menschenrechtsorganisation beschwert hatten. Diese leitete entsprechend eine Beschwerde an die französische Aufsichtsbehörde weiter. Zuständig für Uber ist allerdings aufgrund der Niederlassung die niederländische Aufsichtsbehörde.
