Uber soll 290 Millionen Euro Strafe wegen Datenschutzverstößen zahlen
Die niederländische Datenschutzaufsichtsbehörde Dutch Data Protection Authority (DPA) hat eine hohe Millionenstrafe gegen den Fahrdienstvermittler Uber verhängt. Weil das US-Unternehmen personenbezogene Daten ohne Rechtsgrundlage aus Europa in die USA übertragen habe, soll es nun 290 Millionen Euro Strafe zahlen. Das teilte die Datenschutzbehörde am Montag mit.
Uber soll demnach zwei Jahre lang personenbezogene Daten europäischer Fahrer ohne angemessenen Schutz und ohne rechtliche Grundlage an seinen Hauptsitz in den USA übermittelt haben, hieß es von der Behörde. Dabei habe es sich um Kontodaten und Taxilizenzen sowie Standortdaten, Fotos, Zahlungsinformationen, Ausweisdokumente und in einigen Fällen gar um strafrechtliche und medizinische Informationen der Fahrer gehandelt.
Der Konzern habe mit seinem Verhalten gegen Artikel 44 der Datenschutz-Grundverordnung (DSGVO) verstoßen. “Uber hat die Anforderungen der Datenschutz-Grundverordnung (DSGVO) nicht erfüllt, um das Schutzniveau für die Daten bei der Übermittlung in die USA zu gewährleisten. Das ist sehr ernst”, erklärte der DPA-Vorsitzende Aleid Wolfsen. In Europa schütze die DSGVO die Grundrechte der Menschen, indem sie Unternehmen und Regierungen dazu verpflichtet, mit personenbezogenen Daten sorgfältig umzugehen.
Uber ist der Ansicht, das Problem sei aufgrund der Entscheidung des Europäischen Gerichtshofes entstanden, der 2020 das EU-US-Privacy-Shield-Abkommen (Schrems II-Urteil) für ungültig erklärt hatte – und den damit verbundenen “großen Unsicherheiten”. Die Behörde weist jedoch darauf hin, dass Uber den Datentransfer mithilfe von Standardvertragsklauseln hätte absichern müssen, um ein vergleichbares Datenschutzniveau wie in der EU zu schaffen.
Laut DPA hat Uber den Verstoß gegen die DSGVO inzwischen beendet und seine Datenübermittlung auf eine angemessene Grundlage gestellt.
Fahrer suchten sich Hilfe
Auslöser für die Untersuchung der Datenschutzbehörde waren Beschwerden von 170 Uber-Fahrern aus Frankreich. Sie hatten sich an die französische Menschenrechtsorganisation Ligue des droits de l’Homme (LDH) gewandt, die daraufhin eine Beschwerde bei der französischen Datenschutzbehörde einreichte. Diese leitete die Beschwerde an die zuständigen niederländischen Amtskollegen weiter.
Der Konzern verarbeitet Daten aus verschiedenen EU-Mitgliedsstaaten. Zuständig ist gemäß DSGVO aber die niederländische Datenschutzbehörde, da das Unternehmen seinen europäischen Hauptsitz in Amsterdam hat. Die DPA habe eng mit der französischen Datenschutzbehörde zusammengearbeitet und ihre Entscheidung mit anderen Datenschutzbehörden der EU abgestimmt.
Keine Einsicht seitens Uber
Uber teilte auf Anfrage mit, man halte die Entscheidung für fehlerhaft und die Geldstrafe für “völlig ungerechtfertigt”. "Wir werden Berufung einlegen und sind zuversichtlich, dass sich der gesunde Menschenverstand durchsetzen wird“, so der Konzern weiter.
Es ist bereits die dritte Geldstrafe, die die niederländische Datenschutzbehörde dem Unternehmen auferlegt. 2018 ordnete die DPA eine Strafe von 600.000 Euro und 2023 von 10 Millionen Euro an. Gegen diese letzte Geldbuße hat das Unternehmen ebenfalls Einspruch erhoben. Die DPA hatte in dem Fall festgestellt, dass Uber nicht schnell genug auf Datenanfragen seiner Fahrer reagiert hat und in seiner Datenschutzerklärung unvollständige Informationen darüber gab, wie das Unternehmen Daten in die USA übermittelt.
Die Menschenrechtsorganisation LDH zeigte sich am Montag erfreut über die verhängte Geldstrafe. Ihre außergewöhnliche Höhe sei der Schwere der Taten angemessen, teilte sie mit. Die Organisation kündigte an, zusammen mit der Gewerkschaft INV-FO eine Sammelklage gegen Uber einzuleiten, um Entschädigungen für die 40.000 bis 50.000 betroffenen Fahrer in Frankreich einzufordern. (hcz)