Am 26. August 2024 verhängte die niederländische Datenschutzbehörde ein Bußgeld von 290 Millionen Euro gegen den Fahrtenvermittler Uber. Der Grund hierfür war die unzulässige Übermittlung personenbezogener Daten von Kunden aus Europa in die USA, ohne dass angemessene Datenschutzgarantien vorhanden waren. Dieser Blogpost beleuchtet die gesetzlichen Bestimmungen, die Probleme bei der Datenübertragung in diesem speziellen Fall und gibt Hinweise, worauf Unternehmen im internationalen Datenverkehr achten sollten.
Die Übermittlung personenbezogener Daten durch Uber
Uber, ein global tätiger Fahrdienstleister mit Hauptsitz in San Francisco und europäischem Hauptsitz in Amsterdam, erhebt bei der Registrierung von Fahrern im Europäischen Wirtschaftsraum (EWR) personenbezogene Daten. Diese Daten sind Name, E-Mail-Adresse, Telefonnummer und in einigen Fällen auch Informationen zu Straftaten oder Gesundheitsdaten. Diese Daten wurden dann ohne ausreichende Schutzmaßnahmen an die Muttergesellschaft in den USA übermittelt. Zwischen Uber B.V. (UBV) und Uber Technologies Incorporated (UTI) besteht eine Vereinbarung zur gemeinsamen Verantwortlichkeit gemäß Artikel 26 DSGVO.
Die Problemstellung
Das Hauptproblem in diesem Fall war der Zeitraum von August 2021 bis November 2023, als der Angemessenheitsbeschluss zwischen der EU und den USA außer Kraft war. Uber hatte während dieser Zeit weder die Standardvertragsklauseln (SCC) der Europäischen Kommission genutzt noch zusätzliche Maßnahmen zum Schutz der Daten implementiert. Stattdessen berief sich Uber auf die Ausnahmeregelungen des Artikels 49 Absatz 1 lit. b und c DSGVO, was die niederländische Datenschutzbehörde als unzureichend einstufte. Uber rechtfertigte sein Vorgehen damit, dass die EU-SCC für das Unternehmen nicht anwendbar seien, da der Datenimporteur UTI gemäß Artikel 3 DSGVO selbst der DSGVO unterliege.
Die Position von Uber und der niederländischen Datenschutzbehörde
Uber argumentierte, dass die Fahrer ihre personenbezogenen Daten eigenständig auf der Uber-Plattform eingeben und somit selber als Datenexporteure agierten. Es handele sich daher nicht um eine internationale Datenübermittlung im Sinne von Kapitel V DSGVO. Uber betrachtete sich selbst als nicht verantwortlich für die Datenübermittlung an die UTI. Die niederländische Datenschutzbehörde sah dies anders: Sie betrachtete die Übermittlung als nicht isoliert, sondern als integralen Bestandteil der Dienstleistungen von Uber, für deren Datenschutz das Unternehmen voll verantwortlich ist.
Konsequenzen und Lehren für Unternehmen
Die niederländische Datenschutzbehörde stellte klar, dass Vorschriften aus Kapitel V der DSGVO selbst dann angewandt werden müssen, wenn der Datenimporteur der DSGVO unterliegt. Diese Entscheidung bedeutet für Unternehmen, dass sie stets sicherstellen müssen, dass angemessene Schutzmaßnahmen für internationale Datenübermittlungen vorhanden sind. Andernfalls können empfindliche Bußgelder verhängt werden.
Fazit
Der Fall Uber zeigt exemplarisch die Herausforderungen und Fallstricke bei internationalen Datenübermittlungen. Multinationale Unternehmen sollten sorgfältig prüfen, ob ihre Datenübertragungen den Anforderungen der DSGVO entsprechen und ob zusätzliche Schutzmaßnahmen erforderlich sind. Eine fundierte Beratung durch Datenschutzexperten, wie sie die legitimis GmbH anbietet, kann dabei helfen, rechtliche Risiken zu minimieren und ein rechtssicheres Datenschutzkonzept zu implementieren.
Bußgelder wie im Fall von Uber unterstreichen die Bedeutung eines umfassenden Datenschutzmanagements und machen deutlich, wie wichtig die Einhaltung internationaler Datenschutzstandards ist.