Internationale Datenübermittlung: 290 Millionen Euro Strafe für Uber
Am 26. August 2024 verhängte die niederländische Datenschutzbehörde eine Geldstrafe von 290 Millionen Euro gegen den Fahrdienstvermittler Uber. Der Grund: Die unerlaubte Weitergabe personenbezogener Daten europäischer Nutzer in die USA, ohne dass dabei angemessene Schutzvorkehrungen getroffen wurden. Dieser Artikel beleuchtet die rechtlichen Hintergründe, die Problemstellungen bei Datenübermittlungen in diesem Fall und zeigt auf, worauf internationale Unternehmen bei der Übertragung von Daten besonders achten sollten.
Ubers Datenübertragung in die USA
Als weltweit agierender Fahrdienstleister mit Hauptsitz in San Francisco (Uber Technologies Inc., UTI) betreibt Uber seinen europäischen Hauptsitz in Amsterdam (Uber B.V., UBV). Fahrer im Europäischen Wirtschaftsraum (EWR) müssen, um auf der Plattform tätig zu sein, einen Vertrag mit der niederländischen UBV abschließen.
Bei der Registrierung erhebt Uber zahlreiche personenbezogene Daten von Fahrern, darunter Name, E-Mail-Adresse, Telefonnummer sowie in bestimmten Fällen auch strafrechtliche oder gesundheitsbezogene Informationen. Diese Daten werden dann an die amerikanische Muttergesellschaft UTI weitergeleitet und dort zentral gespeichert.
Zwischen der UBV und UTI existiert eine Vereinbarung zur gemeinsamen Verantwortlichkeit gemäß Artikel 26 der Datenschutz-Grundverordnung (DSGVO).
Die Problematik der Datenübertragung
Den Auslöser für die Untersuchungen der niederländischen Datenschutzbehörde (Autoriteit Persoonsgegevens, AP) bildeten Beschwerden von 172 Uber-Fahrern aus Frankreich. Der Vorwurf lautete, Uber habe personenbezogene Daten während der Registrierung und bei Auskunftsersuchen unzureichend gesichert an die Muttergesellschaft in die USA weitergeleitet.
Der kritische Zeitraum erstreckt sich vom 6. August 2021 bis zum 27. November 2023 – ein Zeitraum, in dem der Angemessenheitsbeschluss zwischen der EU und den USA aufgrund von Urteilen europäischer Gerichte außer Kraft gesetzt war.
Ab August 2021 nutzte Uber nicht mehr die Standardvertragsklauseln (SCC) der EU-Kommission, die nach der Aufhebung des EU-US Privacy Shield 2020 als Grundlage dienten. Zudem ergriff das Unternehmen keine zusätzlichen Maßnahmen zum Schutz der Daten. Uber argumentierte, die SCC seien nicht anwendbar, da der Datenempfänger (UTI) gemäß Artikel 3 DSGVO selbst der Verordnung unterliege. Stattdessen berief sich Uber auf Ausnahmeregelungen des Artikels 49 Abs. 1 lit. b und c DSGVO.
Ende 2023 begann Uber dann, sich wieder auf das „Data Privacy Framework“ der EU-Kommission für die USA zu stützen.
Ubers Verteidigung: Kapitel V der DSGVO nicht anwendbar?
Uber stellt die Entscheidung der niederländischen Behörde in Frage und bezeichnet die Höhe der Strafe als „völlig ungerechtfertigt“. Das Unternehmen argumentiert, dass die Fahrer ihre Daten eigenständig über die Plattform eingeben, und UBV somit keine aktive Rolle bei der Übermittlung der Daten an die USA spiele. Aus Sicht von Uber agieren die Fahrer selbst als "Datenexporteure", während UBV keinen Einfluss auf den Transfer der Daten habe.
Weiterhin vertritt Uber die Ansicht, dass sowohl UBV als auch UTI der DSGVO unterliegen und daher die Regelungen zu internationalen Datenübermittlungen aus Kapitel V der DSGVO nicht anzuwenden seien. Artikel 3 der DSGVO solle in diesem Fall Vorrang haben.
Was gilt als internationale Übermittlung?
Der Begriff „internationale Übermittlung“ wird in der DSGVO nicht eindeutig definiert. Die Europäischen Datenschutzaufsichtsbehörden (EDSA) haben jedoch im Jahr 2023 Leitlinien herausgegeben, die drei Kriterien festlegen:
- Der Exporteur unterliegt der DSGVO.
- Eine Übermittlung erfolgt, indem personenbezogene Daten offengelegt werden.
- Der Importeur befindet sich in einem Drittland, auch wenn er der DSGVO unterliegt.
Da diese Leitlinien erst nach dem relevanten Zeitraum der Übermittlungen veröffentlicht wurden, argumentierte Uber, dass damals große Unsicherheit über rechtmäßige Datenübertragungen bestand.
Sicht der niederländischen Datenschutzbehörde
Die niederländische Aufsichtsbehörde hält jedoch daran fest, dass sowohl Artikel 3 DSGVO als auch die Vorschriften zu internationalen Datenübermittlungen aus Kapitel V gleichzeitig Anwendung finden müssen. Dies solle sicherstellen, dass das Schutzniveau der DSGVO auch dann gewahrt bleibt, wenn Daten außerhalb des EWR verarbeitet werden.
Die Behörde führt aus, dass auch wenn die Fahrer ihre Daten selbst an UTI übermitteln, dies als internationale Übermittlung gemäß Kapitel V anzusehen sei. Da die Fahrer zur Nutzung der Plattform gezwungen seien, um als Fahrer tätig zu sein, sei dies keine freiwillige Entscheidung.
Uber könne sich nach Auffassung der Behörde auch nicht auf die Ausnahmeregelungen des Artikels 49 Abs. 1 DSGVO stützen, da diese nur für gelegentliche und nicht wiederholte Übermittlungen anwendbar seien.
Zukünftige Änderungen bei den Standardvertragsklauseln
Uber argumentierte außerdem, dass die aktuellen Standardvertragsklauseln (SCC) nicht für Unternehmen gelten, die der DSGVO unterliegen. Die niederländische Behörde stellte jedoch klar, dass dies nicht bedeute, dass SCC in diesem Fall nicht erforderlich seien.
Die Europäische Kommission plant derzeit eine Erweiterung der bestehenden SCC, um auch Fälle zu regeln, in denen der Datenempfänger in einem Drittland ansässig ist, aber dennoch der DSGVO unterliegt. Eine öffentliche Konsultation ist für Ende 2024 geplant, die Annahme der neuen SCC soll Mitte 2025 erfolgen.
Fazit: Ein komplexer Fall internationaler Datenübermittlung
Ob das Bußgeld gerechtfertigt ist, bleibt abzuwarten. Der Fall verdeutlicht jedoch, wie sensibel internationale Datenübermittlungen sind. Unternehmen müssen sicherstellen, dass alle Regelungen aus Kapitel V der DSGVO eingehalten werden, insbesondere wenn Daten in Drittländer übertragen werden. Internationale Konzerne sollten stets prüfen, ob geeignete Garantien vorliegen und der Schutz personenbezogener Daten gewährleistet ist – vor allem in Hinblick auf mögliche zukünftige Änderungen der Gesetzeslage.
Bildrechte: kostenloses Bild von Pixabay: Uber Isst Lieferung Kurier - Kostenloses Foto auf Pixabay
Inhaltslizenz: Zusammenfassung der Inhaltslizenz (pixabay.com)