290 Millionen Euro – so viel Strafe muss Uber wegen Verstößen gegen die DS-GVO zahlen. Der Grund: Über zwei Jahre lang hat Uber Daten seiner Fahrer:innen ohne entsprechende Sicherheitsvorkehrungen an die USA übermittelt.
Verhängt wurde die Strafe von der niederländischen Datenschutzbehörde DPA. Der Fahrdienst habe unrechtmäßig und ohne angemessene Schutzmaßnahmen personenbezogene Daten von Fahrer:innen an Server in die USA weitergeleitet. Die betroffenen Daten schließen Kontodaten, Taxilizenzen, Standortdaten, Fotos, Zahlungsinformationen, Ausweisdokumente und sogar medizinische und strafrechtliche Informationen mit ein. Das sei ein erheblicher Verstoß gegen die DS-GVO.
Die Untersuchung, die letztlich zur Strafe führte, wurde durch eine Beschwerde von mehr als 170 Fahrer:innen aus Frankreich angestoßen, die bei der französischen Liga für Menschenrechte eingereicht wurde. Die Entscheidung zur Strafe wurde eng mit mehreren europäischen Datenschutzbehörden, inklusive der französischen, abgestimmt. In der Entscheidung verweist die niederländische Datenschutzaufsicht auf eine Entscheidung des EuGH von 2020, die besagt, dass das damalige Datenschutzabkommen Privacy Shield für den Datenaustausch mit den USA unzureichend sei. Nach diesem Abkommen habe Uber wohl gehandelt.
Mit entsprechenden Klauseln hätte Uber eine gültige Grundlage für die Datenweitergabe außerhalb der EU schaffen können, sofern ein gleichwertiges Schutzlevel zur DS-GVO eingehalten wurde. Allerdings hat das Unternehmen seit 2021 diese sog. Standardvertragsklauseln nicht genutzt – so waren die Daten der Fahrer:innen nicht ausreichend geschützt.
Der Verstoß endete 2023 als Uber auf den Nachfolger des alten Privacy Shields, dem neuen EU-US Data Privacy Framework, umstieg. Gegen die Strafe will Uber vorgehen und Rechtsmittel einlegen.
(Bild: MOZCO Mat Szymanski)