100 Millionen Euro Bußgeld gegen Yango

Die niederländische Datenschutzaufsichtsbehörde Autoriteit Persoonsgegevens (AP) hat gegen MLU B.V., den europäischen Betreiber der Taxi-App Yango, ein Bußgeld in Höhe von 100 Millionen Euro verhängt. Nach Auffassung der Behörde wurden personenbezogene Daten von Fahrgästen und Fahrern aus Finnland und Norwegen nach Russland übermittelt, ohne dass ein mit der DSGVO vereinbares Schutzniveau gewährleistet werden konnte.

Der Fall ist aus datenschutzrechtlicher Sicht vor allem deshalb bemerkenswert, weil er zentrale Fragen internationaler Datentransfers berührt. Er verdeutlicht, welche Anforderungen Unternehmen erfüllen müssen, wenn personenbezogene Daten in Staaten außerhalb des Europäischen Wirtschaftsraums übermittelt werden und dort staatliche Zugriffsrechte bestehen, die mit den europäischen Datenschutzstandards nur schwer vereinbar sind.

Hintergrund der Sanktion

Ausgangspunkt des Verfahrens waren Bedenken der Datenschutzbehörden in Finnland und Norwegen. Bereits 2023 hatte die finnische Aufsicht vorläufige Maßnahmen gegen Datenübermittlungen im Zusammenhang mit Yango ergriffen.

Im weiteren Verlauf wurde der Sachverhalt im Rahmen des europäischen Kooperationsmechanismus der DSGVO untersucht. Da die für die europäische Datenverarbeitung verantwortliche Gesellschaft MLU B.V. ihren Sitz in den Niederlanden hat, übernahm die niederländische Autoriteit Persoonsgegevens die Rolle der federführenden Aufsichtsbehörde.

Der Fall zeigt damit anschaulich die Funktionsweise des sogenannten One-Stop-Shop-Mechanismus nach Art. 56 DSGVO: Auch wenn die betroffenen Nutzerinnen und Nutzer in Finnland und Norwegen ansässig waren, lag die Zuständigkeit für die endgültige Entscheidung bei der Aufsichtsbehörde am Sitz der Hauptniederlassung des Verantwortlichen.

Neben dem Bußgeld ordnete die AP an, die Übermittlung personenbezogener Daten von Nutzern aus Finnland und Norwegen nach Russland einzustellen.

Welche Daten waren betroffen?

Nach den Feststellungen der niederländischen Aufsicht umfassten die Datenübermittlungen eine Vielzahl personenbezogener Informationen sowohl der App-Nutzenden als auch der Fahrer. Hierzu gehörten unter anderem:

• Namen und Kontaktdaten,
• Standortdaten,
• Informationen über Fahrten einschließlich Start- und Zielorten,
• Kommunikationsinhalte innerhalb der App,
• Fotos,
• Ausweisdokumente,
• Führerscheindaten,
• Zahlungsinformationen und Bankverbindungen.

Gerade die Kombination dieser Datenkategorien ermöglicht weitreichende Rückschlüsse auf das Privat- und Berufsleben der betroffenen Personen. Bewegungsprofile können Aufenthaltsorte, Gewohnheiten, soziale Kontakte und berufliche Routinen offenlegen. Entsprechend hoch sind die Anforderungen an den Schutz solcher Informationen. Zudem waren sensible Daten im Sinne des Art. 9 DSGVO betroffen.

Sind Drittland-Daten-Transfers immer problematisch?

Der Kern des Verfahrens lag nicht darin, dass personenbezogene Daten überhaupt nach Russland übermittelt wurden. Die DSGVO verbietet Drittlandtransfers nicht pauschal. Vielmehr dürfen personenbezogene Daten auch in Staaten außerhalb des Europäischen Wirtschaftsraums übermittelt werden, sofern die Anforderungen von Kapitel V DSGVO erfüllt sind. Ohne weitere Voraussetzungen ist dies nach Art. 45 DSGVO nur möglich, wenn entsprechender Angemessenheitsbeschluss der Europäischen Kommission besteht. Fehlt ein solcher – wie im Fall Russlands – , müssen Verantwortliche im Regelfall geeignete Garantien und deren Wirksamkeit nachweisen nachweisen, Art. 46 Abs. 1 DSGVO.

Nach Auffassung der AP konnte MLU jedoch nicht ausreichend belegen, dass die übermittelten Daten vor einem Zugriff russischer Behörden wirksam geschützt waren. Die Behörde kam zu dem Ergebnis, dass die eingesetzten Schutzmaßnahmen nicht ausreichten, um ein mit den Anforderungen der DSGVO vergleichbares Schutzniveau sicherzustellen.

Formale Vertragsmechanismen genügen nicht

Damit knüpft die Entscheidung an einen zentralen Grundsatz der europäischen Rechtsprechung an: Es genügt nicht, vertragliche Garantien vorzusehen. Verantwortliche müssen zusätzlich prüfen, ob diese Garantien unter den tatsächlichen rechtlichen Bedingungen des Empfängerstaats überhaupt wirksam umgesetzt werden können.

Die AP stellt klar, dass Unternehmen bei Drittlandtransfers nicht allein auf formale Vertragsmechanismen vertrauen dürfen. Vielmehr müssen sie nachweisen können, dass die personenbezogenen Daten auch im Empfängerland tatsächlich wirksam geschützt werden. Bestehen dort staatliche Zugriffsmöglichkeiten, die den Garantien der DSGVO entgegenstehen, reichen Standardvertragsklauseln allein nicht aus.

Der Fall knüpft damit unmittelbar an die Grundsätze an, die der Europäische Gerichtshof mit seiner Schrems-II-Entscheidung für internationale Datentransfers aufgestellt hat.

Die Entscheidung macht deutlich, dass Aufsichtsbehörden von Unternehmen eine belastbare Dokumentation ihrer Transfer-Folgenabschätzungen erwarten. Wer Daten in Staaten mit weitreichenden staatlichen Zugriffsbefugnissen übermittelt, muss nachvollziehbar darlegen können, weshalb dennoch ein hinreichendes Datenschutzniveau gewährleistet ist.

Fazit

Der Fall Yango ist weit mehr als eine weitere hohe DSGVO-Sanktion. Die Entscheidung verdeutlicht, dass internationale Datentransfers weiterhin zu den anspruchsvollsten Bereichen des europäischen Datenschutzrechts gehören.

Für Unternehmen ist die zentrale Botschaft klar: Standardvertragsklauseln allein schaffen keine Rechtssicherheit. Entscheidend ist vielmehr, ob die tatsächlichen rechtlichen und technischen Rahmenbedingungen im Empfängerland den Schutz personenbezogener Daten gewährleisten können.

Insbesondere bei Datenübermittlungen in Staaten mit weitreichenden staatlichen Zugriffsmöglichkeiten müssen Verantwortliche die Risiken sorgfältig analysieren, geeignete zusätzliche Schutzmaßnahmen implementieren und deren Wirksamkeit dokumentieren. Andernfalls drohen nicht nur erhebliche Bußgelder, sondern auch behördliche Anordnungen, laufende Datenübermittlungen einzustellen.