Die Mitfahrplattform Uber wurde von der niederländischen Datenschutzbehörde wegen Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union mit einer Geldstrafe von 290 Millionen Euro – zum aktuellen Umrechnungskurs etwa 324 Millionen US-Dollar – belegt.
Die Strafe bezieht sich auf die Übermittlung personenbezogener Daten von Fahrern aus der Europäischen Union in die USA, wo Uber seinen Hauptgeschäftssitz hat. Die DSGVO sieht bei Verstößen Geldbußen von bis zu 4 % des weltweiten Jahresumsatzes vor.
Ubers Gesamtjahresumsatz für 2023 betrug rund 34,5 Milliarden Euro – die Höhe der Sanktionen liegt also deutlich unter diesem Höchstwert. Dennoch handelt es sich um einen bemerkenswerten Betrag, da es sich um eine der höchsten Strafen handelt, die seit Inkrafttreten der DSGVO im Jahr 2018 gegen ein Technologieunternehmen verhängt wurden.
Die Geldstrafe ist das Ergebnis einer Reihe von Beschwerden, die 2021 von mehr als 170 Uber-Fahrern in Frankreich eingereicht wurden. Die niederländische Regulierungsbehörde, die Autoriteit Persoonsgegevens (AP), ist federführend bei der DSGVO-Aufsicht von Uber, da das Unternehmen seinen EU-Hauptsitz in dem Land hat. Sie untersuchte Beschwerden darüber, wie das Unternehmen die personenbezogenen Daten der Fahrer verarbeitet. Die Beschwerden wurden über eine Menschenrechtsorganisation, die Ligue des droits de l’Homme (LDH), bei der französischen Datenschutzbehörde eingereicht und dann an die AP weitergeleitet.
In JanuarUber wurde mit einer Geldstrafe von 10 Millionen Euro belegt, weil es im Zusammenhang mit denselben Beschwerden Zugriff auf Daten hatte. Die neue Geldstrafe, die am Montag bekannt gegeben wurde, stellt die frühere Strafe jedoch in den Schatten – und sichert dem Unternehmen einen neuen Platz auf der Liste der Tech-Giganten, die mit den zehn höchsten Bußgeldern im Zusammenhang mit der DSGVO belegt wurden, knapp unter dem Mittelfeld.
Die Höhe der Strafe spiegele die Schwere des Verstoßes wider, so die AP, die in einem Pressemitteilung Uber habe es versäumt, die aus der EU übermittelten Daten „angemessen zu schützen“ – und bezeichnete dies als „schwerwiegenden Verstoß“.
Das Problem des Datenschutzes betrifft die Überwachungsprogramme des US-Geheimdienstes, die – nach den Enthüllungen des NSA-Whistleblowers Edward Snowden im Jahr 2013 – von europäischen Gerichten wiederholt als Risiko für den Datenschutz und die Privatsphäre der EU-Bürger eingestuft wurden. Dies ist ein Problem, da der Schutz der DSGVO eigentlich auch für die Daten der Europäer gelten soll.
US-Technologiegiganten, die einen Großteil des EU-US-Datenverkehrs steuern, sind im Grunde seit Jahren zwischen den Fronten dieses Konflikts gefangen. Geschäftsmodelle, die auf Data Mining (und damit auf unverschlüsselten Zugriff auf personenbezogene Daten) angewiesen sind, sind zudem besonders dem Datenschutzrisiko ausgesetzt.
„In Europa schützt die DSGVO die Grundrechte der Menschen, indem sie Unternehmen und Regierungen dazu verpflichtet, mit personenbezogenen Daten mit der gebotenen Sorgfalt umzugehen. Leider ist dies außerhalb Europas jedoch nicht selbstverständlich“, schrieb der niederländische DPA-Vorsitzende Aleid Wolfsen in einer Erklärung. „Denken Sie an Regierungen, die in großem Umfang Daten abgreifen können. Deshalb sind Unternehmen in der Regel verpflichtet, zusätzliche Maßnahmen zu ergreifen, wenn sie personenbezogene Daten von Europäern außerhalb der Europäischen Union speichern. Uber hat die Anforderungen der DSGVO nicht erfüllt, um das Schutzniveau der Daten im Hinblick auf Übertragungen in die USA zu gewährleisten. Das ist sehr ernst.“
Die Beschwerden gegen Uber wurden zu einer Zeit erhoben, als es zwischen der EU und den USA noch keinen Rahmen für den Datentransfer auf hoher Ebene gab. Im Juli 2020 hob das oberste Gericht des Blocks einen als Privacy Shield bekannten Mechanismus auf, auf den sich das Unternehmen und Tausende andere bei der Autorisierung ihrer Datenexporte verlassen hatten.
Ein neues Datentransferabkommen zwischen der EU und den USA wurde erst im Juli 2023 vereinbart und verabschiedet. Das bedeutet, dass es einen Zeitraum von drei Jahren mit großer Rechtsunsicherheit im Hinblick auf den Datenexport gab.
Angesichts der datengetriebenen Natur ihrer Geschäfte waren digitale Unternehmen in diesem Zeitraum besonders gefährdet. Und Uber ist nicht der einzige Tech-Gigant, der betroffen war: Meta wurde im Mai 2023 wegen desselben Kernproblems mit einer rekordverdächtigen DSGVO-Strafe von 1,2 Milliarden Euro belegt. Mehrere Datenschutzbehörden warnten auch vor der Verwendung von Google Analytics.
Im Fall von Uber erklärte die niederländische Datenschutzbehörde, dass die von ihr gesammelten und exportierten Daten „sensible“ Fahrerinformationen enthielten, darunter Kontodaten, Taxi-Lizenzen, Standortdaten, Fotos, Zahlungsdetails, Ausweisdokumente und in einigen Fällen sogar strafrechtliche und medizinische Daten der Fahrer.
„Über einen Zeitraum von mehr als zwei Jahren übertrug Uber diese Daten an die Uber-Zentrale in den USA, ohne Transferwerkzeuge„Aus diesem Grund sei der Schutz personenbezogener Daten nicht ausreichend“, heißt es in dem Bericht.
Uber ist mit der Strafe nicht zufrieden. Das Unternehmen bestreitet jegliche Verstöße und hat angekündigt, gegen die Strafe vor Gericht Berufung einzulegen.
Uber-Sprecher Caspar Nixon schickte Tech per E-Mail eine Stellungnahme, in der das Unternehmen schreibt: „Diese fehlerhafte Entscheidung und die außerordentliche Geldstrafe sind völlig ungerechtfertigt. Ubers grenzüberschreitender Datentransferprozess entsprach während eines dreijährigen Zeitraums enormer Unsicherheit zwischen der EU und den USA der DSGVO. Wir werden Berufung einlegen und sind weiterhin zuversichtlich, dass der gesunde Menschenverstand siegen wird.“
Das Unternehmen gibt an, es habe sich während der Zeit, in der es kein hochrangiges Datentransferabkommen zwischen der EU und den USA gab, an die AP gewandt, sagt jedoch, die Regulierungsbehörde habe ihm keine Klarheit darüber verschafft, dass es Probleme mit seinen Prozessen gebe.
Laut AP erfüllt Uber die Vorschriften seit Ende letzten Jahres, als das Unternehmen begann, den Nachfolger des Privacy Shield zu verwenden. Uber behauptet, dass die Prozesse, die nun im Rahmen dieses neuen Rahmens für Datenübertragungen als konform gelten, dieselben sind, die Uber zuvor verwendet hat. Das Argument lautet also im Wesentlichen, dass sich die rechtlichen Spielregeln geändert haben.
Als es jedoch noch kein hochrangiges Transferabkommen zwischen der EU und den USA gab, warnten die Datenschutzbehörden des Blocks die Unternehmen, dass sie dafür verantwortlich seien, sicherzustellen, dass alle Datenexporte den Vorschriften entsprächen.
Die Leitlinien des Europäischen Datenschutzausschusses aus dieser Zeit enthielten Informationen zu zusätzlichen Maßnahmen, die Unternehmen laut Angaben des Datenschutzbeauftragten möglicherweise ergreifen müssen, um das Schutzniveau bei Datenexporten zu erhöhen und so sicherzustellen, dass ihre Datenflüsse der DSGVO entsprechen. Dazu gehören etwa die Umstellung auf Datenlokalisierung oder die Anwendung von Formen der „Zero Access“-Verschlüsselung, die verhindern, dass auf die exportierten Daten zugegriffen werden kann.
Der Sprecher von Uber konnte nicht unmittelbar bestätigen, ob das Unternehmen im gleichen Zeitraum derartige zusätzliche Maßnahmen ergriffen hat.