290 Millionen Euro Bußgeld für Uber
Laut Mitteilung vom 26.08.2024 hat die niederländische Datenschutzbehörde ein Bußgeld in Höhe von 290 Millionen Euro gegen Uber verhängt. Grund hierfür ist, dass der Fahrdienstvermittler entgegen der Datenschutzgrundverordnung (DSGVO) über einen Zeitraum von mehr als zwei Jahren personenbezogene Daten europäischer Fahrer in die USA übermittelt haben soll.
170 Beschwerden von französischen Fahrern
Die Untersuchung der niederländischen Datenschutzbehörde, Autoriteit Persoonsgegevens (AP) wurde durch Beschwerden von mehr als 170 französischen Uber-Fahrern ausgelöst, die von der Menschenrechtsorganisation Ligue des droits de l’Homme (LDH) an die französische Datenschutzbehörde weitergeleitet wurden. Diese stimmte das Verfahren in enger Koordination mit der AP und anderen europäischen Datenschutzbehörden ab. Zuvor war in diesem Fall bereits im Januar ein Bußgeld in Höhe von 10 Millionen Euro verhängt worden. Das aktuelle Bußgeld übertrifft zudem sogar das Rekordbußgeld gegen den Fahrtenvermittler in Höhe von 126 Millionen Euro aus dem Jahre 2018.
Ungeschützte Datenübertragung in die USA
Laut ihrer Pressemitteilung hat die AP, am 22.07.2024 ein Bußgeld in Höhe von 290 Millionen Euro für Uber verhängt. Das Unternehmen soll von europäischen Fahrern gesammelte Daten, darunter Kontodaten, Standortinformationen, Zahlungsdetails und sogar strafrechtliche sowie medizinische Informationen ohne die nach der DSGVO vorgeschriebenen Schutzvorkehrungen in die USA übertragen und auf Servern gespeichert haben. Etwa hätte nach Aufhebung des EU-US Privacy Shields im Jahr 2020 das alternative rechtliche Instrumente einer Standardvertragsklausel ein gleichwertiges Schutzniveau absichern können. Aleid Wolfsen, Vorsitzender der AP, erklärt, dass Uber seine Fahrer so der Gefahr ausgesetzt habe, die von Regierungen ausgehe, „die Daten in großem Umfang abfangen können“. Für einen tieferen Einblick in die US-amerikanische Datenschutzlandschaft empfehlen wir unsere kürzlich erschienene Beitragsreihe.
Höhe der Geldstrafe
Der europäische Standard sieht bei Geldbußen eine maximale Höhe von 4 % des weltweiten Jahresumsatzes eines Unternehmens vor. Bezogen auf den Gesamtumsatz von 34,5 Milliarden Euro in 2023 entspricht die Strafe von 290 Millionen Euro knapp 1 % dieses Betrags.
Ubers Reaktion
Uber hat bereits erklärt, gegen diese Entscheidung Rechtsmittel einzulegen, was auf die bisherige Praxis des Unternehmens hindeutet, Bußgelder anzufechten und die Verfahren in die Länge zu ziehen. Die unerlaubte Datenübermittlung ist zumindest mittlerweile eingestellt.
Fazit
Die hohe Summe der Geldstrafe zeigt erneut, wie enorm die Konsequenzen von Datenschutzverstöße im Ernstfall sein können. Unabhängig davon, wie der Einspruch von Uber ausgehen wird, ist gerade international agierenden Unternehmen dringend zu empfehlen, die europäischen Datenschutzbestimmungen gesetzeskonform einzuhalten. Dabei helfen wir Ihnen als Externe Datenschutzbeauftragte gerne weiter.