Die niederländische Behörde für Datenschutz – Autoriteit Persoonsgegevens (AP) – hat Uber zur Zahlung einer Rekordstrafe von 290 Millionen Euro aufgefordert. Das entspricht vier Prozent des Jahresumsatzes des Konzerns, der 2023 rund 34,5 Milliarden Euro betrug. Nach Auffassung der Datenschützer hat die Plattform gegen die Maßgaben der Europäischen Datenschutz-Grundverordnung (DSGVO) verstoßen. Vorausgegangen waren Beschwerden von mehr als 170 französischen Uber-Fahrern bei der Menschenrechtsorganisation “Ligue des droits de l’Homme et du citoyen” (LDH).
Uber versendet Daten ohne ausreichenden Schutz
Die mussten feststellen, dass ihr Auftraggeber teils sensible Daten zur Weiterverarbeitung in die USA weiterleitete. Darunter waren Informationen zu Lizenzen, Ortsdaten, Ausweisdokumente, Zahlungsdetails, teilweise medizinische Daten sowie Daten aus Strafregistern. Die zuständige niederländische Behörde – Uber hat seinen Sitz in dem EU-Mitgliedsland – leitete eine Untersuchung ein.
Dabei wurde letztlich nicht der Datentransfer selbst moniert. Vielmehr hat Uber gegen die DSGVO verstoßen, weil der Tech-Konzern über zwei Jahre hinweg auf Werkzeuge für einen sicheren Datentransfer verzichtete. Erst seit Beginn dieses Jahres hat Uber wieder eine Übertragungstechnologie implementiert, die den Datenschutzanforderungen der EU genügt.
EU will Datenzugriff amerikanischer Geheimdienste verhindern
Die Höhe der Strafe hängt offenbar auch damit zusammen, dass Uber die europäischen Maßgaben des Datenschutzes bisher einen zu geringen Stellenwert beigemessen hat. Die Beschwerde der Uber-Fahrer zieht bereits die zweite Strafzahlung nach sich. Zu Beginn musste der Fahrdienstleiter eine Strafzahlung von 10 Millionen Euro auferlegt. Nach Auffassung der AP verstieß er gegen die allgemeine Auskunftspflicht. Insbesondere beim Umgang mit den gespeicherten Fahrerdaten wurde zu wenig Transparenz geboten.
Die niederländischen Datenschützer berufen sich bei ihrer Entscheidung auf ein Urteil des obersten Gerichtshofs der EU (EuGH). Dieser hatte in einem Urteil vom 16. Juli 2020 hatte das Privacy-Shield-Abkommen, in dem der Datenaustausch zwischen der EU und den USA geregelt werden sollte, für ungültig erklärt. Die Richter störten sich daran, dass die US-amerikanischen Rechtsvorschriften die Überwachungsprogramme der Geheimdienste nicht so weit begrenzen, dass sie den Anforderungen der europäischen DSGVO genügen. Die Richter sahen die Grundrechte europäischer Bürger in Gefahr. Der EuGH kritisierte die fehlenden Möglichkeiten, sich gegen Datenzugriffe von US-Behörden zu wehren. Die Behörden können bei Nicht-US-Bürgern die elektronische Kommunikation auch ohne richterlichen Beschluss einsehen.
