Mit <kes>+ lesen

Uber wegen DSGVO-Verstößen zu Rekordstrafe verurteilt

Die niederländische Datenschutzbehörde (DPA) hat Uber mit einer Rekordstrafe von 290 Millionen Euro belegt. Grund ist der angebliche Verstoß gegen EU-Datenschutzstandards bei der Übermittlung sensibler Fahrerdaten in die USA.

THNSecurity-Management
Lesezeit 4 Min.

Die niederländische Datenschutzbehörde hat festgestellt, dass Uber personenbezogene Daten von europäischen Taxifahrern in die USA übermittelt hat, ohne dabei ausreichende Schutzmaßnahmen zu ergreifen. Konkret bedeutet dies, dass Uber die sensiblen Informationen, die es über die Fahrer gesammelt hat, nicht in einer Weise geschützt hat, wie es die Vorschriften der Europäischen Union (EU) verlangen. Die gesammelten Daten umfassten nicht nur grundlegende Informationen wie Kontodaten, Taxilizenzen und Standortdaten, sondern auch besonders sensible Daten wie Fotos, Zahlungsinformationen, Ausweispapiere und in einigen Fällen sogar strafrechtliche und medizinische Daten der Fahrer.

Die Datenschutzaufsichtsbehörde bewertete dieses Verhalten als einen „schwerwiegenden“ Verstoß gegen die Datenschutzgrundverordnung (DSGVO). Die DSGVO stellt sicher, dass personenbezogene Daten innerhalb der EU nach strengen Standards geschützt werden, insbesondere wenn diese Daten in Länder außerhalb der EU, wie die USA, übertragen werden. Das Ziel der DSGVO ist es, die Privatsphäre und die Sicherheit der Daten europäischer Bürger zu gewährleisten, egal wo sich diese Daten befinden.

Im Jahr 2020 erklärte der Europäische Gerichtshof das sogenannte EU-US-Datenschutzschild für ungültig. Dieses Abkommen hatte es ermöglicht, personenbezogene Daten zwischen der EU und den USA auszutauschen, solange bestimmte Datenschutzstandards eingehalten wurden. Nach der Aufhebung dieses Abkommens waren Unternehmen, die Daten zwischen der EU und den USA transferieren, verpflichtet, alternative Schutzmechanismen wie Standardvertragsklauseln zu verwenden. Diese Klauseln dienen dazu, einen angemessenen Schutz der Daten auch in Ländern sicherzustellen, die nicht denselben Datenschutzstandards wie die EU unterliegen.

Die niederländische Datenschutzbehörde kritisierte jedoch, dass Uber ab August 2021 keine dieser Standardvertragsklauseln mehr verwendete. Dadurch waren die Daten der EU-Fahrer, die in die USA übertragen wurden, nach Ansicht der Behörde unzureichend geschützt. Dies stellte eine direkte Verletzung der DSGVO dar.

Als Reaktion auf diese Kritik hat Uber seine Praxis der ungeschützten Datenübertragungen beendet. Seit Ende 2023 verwendet das Unternehmen das neue E.U.-U.S. Data Privacy Framework, das im Juli 2023 als Ersatz für das ungültige Datenschutzschild eingeführt wurde. Dieses neue Abkommen soll den Datenschutz bei der Übertragung von Daten zwischen der EU und den USA wiederherstellen und den Anforderungen der DSGVO gerecht werden.

In einer Erklärung gegenüber Bloomberg reagierte Uber auf das von der niederländischen Datenschutzbehörde verhängte Bußgeld und bezeichnete es als „völlig ungerechtfertigt“. Uber plant, gegen die Entscheidung vorzugehen, da das Unternehmen der Ansicht ist, dass sein grenzüberschreitender Datentransferprozess im Einklang mit der Datenschutzgrundverordnung steht. Diese Verordnung regelt den Schutz personenbezogener Daten in der EU, insbesondere bei deren Übertragung in Drittländer wie die USA.

Bereits Anfang des Jahres wurde Uber von der niederländischen Datenschutzbehörde zu einer Geldstrafe von 10 Millionen Euro verurteilt. Der Grund war, dass das Unternehmen es versäumt hatte, die Aufbewahrungsfristen für die Daten europäischer Fahrer klar offenzulegen. Außerdem gab Uber nicht an, in welche außereuropäischen Länder es diese Daten überträgt. Dies sind wesentliche Informationen, die Unternehmen gemäß der DSGVO bereitstellen müssen, um Transparenz und Schutz der Daten zu gewährleisten.

Die Datenschutzbehörde kritisierte ebenfalls, dass Uber es den Fahrern unnötig schwer gemacht habe, Anfragen zur Einsicht oder zum Erhalt von Kopien ihrer personenbezogenen Daten zu stellen. Laut DSGVO haben Betroffene das Recht, Zugang zu ihren Daten zu erhalten und zu erfahren, wie diese verwendet werden. Uber habe jedoch diesen Prozess kompliziert gestaltet, was den Fahrern den Zugang zu ihren eigenen Informationen erschwerte.

Darüber hinaus bemängelte die Behörde, dass Ubers Datenschutzrichtlinien unzureichend waren. Konkret wurde kritisiert, dass Uber nicht angab, wie lange es die personenbezogenen Daten seiner Fahrer speichert. Ebenso fehlten klare Informationen darüber, welche Sicherheitsmaßnahmen ergriffen werden, wenn Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden. Dies ist besonders wichtig, da Datenübertragungen in Länder außerhalb der EU strengen Anforderungen unterliegen, um sicherzustellen, dass die Daten dort genauso gut geschützt sind wie innerhalb der EU.

Diese Probleme sind Teil eines größeren Musters, bei dem US-Unternehmen ins Visier der EU-Datenschutzbehörden geraten. Der Grund liegt darin, dass die Datenschutzstandards in den USA oft nicht mit den strengen Anforderungen der DSGVO übereinstimmen. Es besteht die Befürchtung, dass personenbezogene Daten von Europäern in den USA nicht ausreichend geschützt werden und möglicherweise in Überwachungsprogramme der US-Regierung einfließen könnten.

Ein weiteres Beispiel dafür ist die Entscheidung österreichischer und französischer Datenschutzbehörden im Jahr 2022. Sie stellten fest, dass die Übertragung von Google-Analytics-Daten in die USA gegen die DSGVO verstößt, da auch hier der Schutz europäischer Daten nicht ausreichend gewährleistet war.

Der Vorsitzende der niederländischen Datenschutzbehörde, Aleid Wolfsen, betonte die Notwendigkeit zusätzlicher Maßnahmen bei der Übertragung von Daten außerhalb der EU. Regierungen in einigen Ländern, wie den USA, könnten Daten in großem Umfang abgreifen. Deshalb müssen Unternehmen, die personenbezogene Daten von EU-Bürgern in solche Länder übermitteln, besondere Vorkehrungen treffen, um die Sicherheit dieser Daten zu gewährleisten.