290 Millionen € Bußgeld für Uber durch niederländische Aufsichtsbehörde

GDPR23.jpgDie niederländische Datenschutzaufsichtsbehörde hat gegen den Fahrdienstleister Uber ein Bußgeld in Höhe von 290 Millionen Euro verhängt. Grund dafür ist die unrechtmäßige Speicherung sensibler Daten außerhalb der Europäischen Union.

Dieser Blogbeitrag beleuchtet die Hintergründe der Entscheidung, die Zuständigkeit der niederländischen Aufsichtsbehörde und den weiteren Verlauf des Verfahrens.

 

Worum ging es in der Entscheidung der niederländischen Aufsichtsbehörde?

Die niederländische Datenschutzaufsichtsbehörde Autoriteit Persoonsgegevens (AP) hat gegen Uber wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) ein Bußgeld in Höhe von 290 Millionen Euro verhängt.

Die niederländische Datenschutzbehörde (DPA) stellte fest, dass Uber unter anderem sensible Informationen von Fahrern aus Europa sammelte und auf Servern in den USA speicherte. Dazu gehören Kontodaten und Taxilizenzen, aber auch Standortdaten, Fotos, Zahlungsdetails, Identitätsdokumente und in einigen Fällen sogar strafrechtliche und medizinische Daten der Fahrer. Über einen Zeitraum von mehr als zwei Jahren übermittelte Uber diese Daten an die US-Zentrale, ohne geeignete Übertragungsinstrumente zu verwenden. Dadurch war der Schutz der personenbezogenen Daten nicht ausreichend. Der Europäische Gerichtshof erklärte 2020 das EU-US-Datenschutzschild für ungültig.

Laut Gericht könnten Standardvertragsklauseln weiterhin eine gültige Grundlage für die Übermittlung von Daten in Länder außerhalb der EU bieten, jedoch nur, wenn ein gleichwertiges Schutzniveau in der Praxis gewährleistet werden kann. Da Uber ab August 2021 keine Standardvertragsklauseln mehr verwendete, waren die Daten der Fahrer aus der EU laut der niederländischen DPA unzureichend geschützt. Seit Ende letzten Jahres verwendet Uber den Nachfolger des Data Privacy Frameworks.

Warum ist überhaupt die niederländische Aufsichtsbehörde zuständig?

Die niederländische Datenschutzaufsichtsbehörde ist für Uber zuständig, da das Unternehmen seinen europäischen Hauptsitz in Amsterdam hat. Gemäß der DSGVO ist die Datenschutzaufsichtsbehörde des Landes zuständig, in dem ein Unternehmen seinen Hauptsitz innerhalb der EU hat. In diesem Fall ist es die Autoriteit Persoonsgegevens in den Niederlanden.

Beide Parteien hatten in der Vergangenheit bereits öfter miteinander zu tun. So wurden 2018 und 2023 bereits Bußgeld verhängt. 2018 wurde ein Bußgeld in Höhe von 600.000 € aufgrund eines Datenlecks verhängt (vgl. https://www.autoriteitpersoonsgegevens.nl/en/current/dutch-dpa-fine-for-data-breach-uber). 2023 wurde ein 10 Millionen € Bußgeld (https://www.autoriteitpersoonsgegevens.nl/en/current/uber-fined-eu10-million-for-infringement-of-privacy-regulations) verhängt, da das Unternehmen die Aufbewahrungsfristen für Fahrerdaten nicht vollständig offengelegt hatte und die Länder, in denen es diese Daten teilt, nicht benannt hat.

Wie geht das Verfahren jetzt weiter?

Uber hat angekündigt, gegen die Entscheidung der niederländischen Aufsichtsbehörde vorzugehen. Das Unternehmen argumentiert, dass der Zeitraum, in dem die Verstöße stattfanden, von Unsicherheit bezüglich der rechtssicheren Datenübertragungsmöglichkeiten geprägt war. Uber plant, die Entscheidung anzufechten und das Bußgeld als unberechtigt anzusehen. Es bleibt abzuwarten, wie die Gerichte in den Niederlanden über den Einspruch von Uber entscheiden werden.

Autor
Benjamin Schmidt
Benjamin Schmidt
Counsel - Dipl. Jur. - Externer Datenschutzbeauftragter (TÜV)
Herr Schmidt gehört der DURY GRUPPE bereits seit Juni 2015 an und ist seit Januar 2016 Mitarbeiter bei DURY LEGAL. Neben seiner juristischen Ausbildung ist Herr Schmidt auch zertifizierter externer Datenschutzbeauftragter (TÜV). In dieser Funktion betreut er unsere Mandanten im Bereich E-Commerce, Datenschutz und IT-Recht.