Unzureichender Datenschutz: 290 Millionen Euro Bußgeld gegen Uber

Wegen unzureichender Schutzmaßnahmen im Datenschutz wurde gegen Uber ein hohes Bußgeld verhängt.
Kategorien:

Die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens (AP) hat gegen den Fahrdienst Uber ein Bußgeld in Höhe von 290 Millionen Euro verhängt. Grund für die Strafe: Unzureichender Schutz personenbezogener Daten von europäischen Taxifahrern, die an den US-Hauptsitz von Uber übermittelt wurden.

Französische Uber-Fahrer reichen Beschwerde ein

Die Untersuchung der Datenschutzbehörde erfolgte nach Beschwerden von mehr als 170 französischen Uber-Fahrern. Diese hatten sich bei der französischen Menschenrechtsorganisation Ligue des droits de l’Homme (LDH) über die Datenschutzpraktiken von Uber beschwert. Die LDH reichte daraufhin eine Beschwerde bei der französischen Datenschutzbehörde ein. Da sich der europäische Hauptsitz von Uber in den Niederlanden befindet, war die niederländische Datenschutzbehörde für die Untersuchung zuständig.

Uber hatte unter anderem sensible Informationen wie Konto- und Führerscheindaten, Standortdaten, Fotos, Zahlungsinformationen, Ausweisdokumente und in einigen Fällen auch strafrechtliche und medizinische Daten von Fahrern aus Europa gesammelt und auf Servern in den USA gespeichert.

Die Übertragung dieser sensiblen Daten fand über einen Zeitraum von mehr als zwei Jahren statt. Dabei wurden keine notwendigen Schutzmaßnahmen durchgeführt, die durch die DSGVO vorgeschrieben sind.

Die Datenschutzbehörde stuft den Verstoß von Uber als schwerwiegend ein.

Lese-Tipp: Die fünf höchsten Bußgelder im Juli 2024

Uber setzt keine Standardvertragsklauseln ein

Diese Übertragungen wurden ohne den Einsatz von Standardvertragsklauseln (SCCs) oder anderen geeigneten Instrumenten durchgeführt, die gemäß der DSGVO erforderlich sind.

Das EU-US Privacy Shield, das bisher als Rechtsgrundlage für den Datentransfer in die USA diente, wurde 2020 vom Europäischen Gerichtshof (EuGH) in der Schrems-II-Entscheidung für ungültig erklärt. Der EuGH stellte klar, dass Unternehmen bei der Übermittlung personenbezogener Daten in Länder außerhalb der EU ein gleichwertiges Schutzniveau gewährleisten müssen.

Uber hatte jedoch seit August 2021 auf die Verwendung dieser Standardvertragsklauseln verzichtet. Dadurch waren die Daten von EU-Fahrern nach Ansicht der AP nicht ausreichend geschützt. Erst Ende letzten Jahres begann Uber mit der Nutzung von Standardvertragsklauseln.

Dritte Bußgeld gegen Uber wegen Verstöße gegen DSGVO

Dies ist bereits das dritte Bußgeld, das die AP gegen Uber verhängt hat. Zuvor wurde das Unternehmen 2018 mit einer Strafe von 600.000 Euro und 2023 mit einer Strafe von 10 Millionen Euro belegt. 

Das aktuelle Bußgeld gegen Uber in Höhe von 290 Millionen Euro richtet sich nach dem weltweiten Jahresumsatz des Unternehmens. Bei einem weltweiten Umsatz von 34,5 Milliarden Euro im Jahr 2023 könnte die Strafe für Uber bis zu 4 Prozent dieses Betrags ausmachen. 

„In Europa schützt die DSGVO die Grundrechte der Menschen, indem es Unternehmen und Regierungen dazu verpflichtet, sorgfältig mit persönlichen Daten umzugehen. Aber außerhalb Europas sei das leider nicht selbstverständlich“, sagt der AP-Vorsitzende Aleid Wolfsen.

„Deshalb sind Unternehmen in der Regel verpflichtet, zusätzliche Maßnahmen zu ergreifen, wenn sie personenbezogene Daten von Europäern außerhalb der Europäischen Union speichern. Uber hat das in der DSGVO geforderte Schutzniveau für Fahrer bei der Übermittlung von Daten in die USA nicht gewährleistet. Das ist sehr bedenklich“, fasst der oberste Datenschützer der Niederlande die Entscheidung der Aufsichtsbehörde zusammen.

Uber selbst hat angekündigt, gegen den aktuellen Bußgeldbescheid Berufung einzulegen.

Quelle: Bußgeldbescheid der Autoriteit Persoonsgegevens gegen Uber

Tags:
Share this post :
de_DEGerman