Bußgeld gegen Uber: 290 Mio. Euro und jede Menge Rechtsunsicherheit
290 Millionen Euro Bußgeld gegen Uber wegen Datenübermittlung in die USA
Laut Pressemitteilung vom 26. August 2024 hat die niederländische Datenschutzbehörde ein Bußgeld in Höhe von EUR 290 Millionen gegen den Fahrdienstvermittler Uber verhängt. Uber soll über einen Zeitraum von mehr als zwei Jahren personenbezogene Daten europäischer Fahrer in die USA übermittelt haben und dabei gegen die Vorgaben der DSGVO verstoßen haben. Bemerkenswert dabei ist, dass sich Uber an einer Stellungnahme der EU-Kommission orientiert hat und dennoch mit einem Bußgeld belegt wurde.
Was ist passiert?
Das Verfahren gegen Uber wurde in enger Koordination mit anderen europäischen Datenschutzbehörden, insbesondere der französischen Aufsichtsbehörde CNIL, abgestimmt, nachdem es durch die Beschwerden von mehr als 170 französischen Uber-Fahrern ausgelöst worden war.
Dem Unternehmen wird in dem Verfahren vorgeworfen, Daten von europäischen Fahrern „ungeschützt“, d. h. ohne die in der DSGVO vorgeschriebenen Transfermechanismen, an die Konzern-Zentrale in den USA übermittelt und dort auf Servern gespeichert zu haben. Bei den Daten handelt es sich um Kontodaten, Taxilizenzen, Standortdaten, Fotos, Zahlungsdaten, Ausweispapiere und in einigen Fällen sogar um Angaben zu strafrechtlichen Verurteilungen und medizinische Daten der Fahrer.
Nach der DSGVO müssen Datenübermittlungen in ein Drittland durch geeignete Garantien abgesichert werden. Zum fraglichen Zeitpunkt der Datenübermittlungen in die USA war das EU-US Privacy Shield durch den EuGH im Jahr 2020 für ungültig erklärt worden, so dass die Übermittlung durch geeignete Übertragungsinstrumente, wie den EU-Standardvertragsklauseln („SCC“), hätte abgesichert werden müssen. Uber hat aber bewusst keine SCC mit seiner US-amerikanischen Konzernmutter abgeschlossen.
Die niederländische Aufsichtsbehörde hat das Bußgeld gegen Uber am 22. Juli 2024 verhängt. Das Unternehmen hat daraufhin erklärt, gegen die Entscheidung Rechtsmittel einzulegen. Die fragliche Datenübermittlung hat Uber mittlerweile eingestellt. Bereits im Januar 2024 war in diesem Fall wegen der erschwerten Geltendmachung von Auskunftsrechten und unklarer Angaben zu Datenverarbeitungen gegen das Unternehmen ein Bußgeld in Höhe von EUR 10 Millionen verhängt worden. Die Pressemitteilung der niederländischen Datenschutzbehörde zu dem im Januar verhängten Bußgeld finden Sie hier. Auch ansonsten ist der Fahrdienstvermittler kein unbeschriebenes Blatt. Bereits im Jahr 2018 musste Uber ein Rekord-Bußgeld in Höhe von EUR 126 Millionen zahlen. Damals ging es um die Nichtmeldung eines Datenschutzvorfalles.
Uneinige Behörden. Rechtsunsicherheit für Unternehmen
Besonders interessant ist dieser Fall aber, da man sich bei Uber augenscheinlich Gedanken über die Datenübertragungen zur US-Mutter gemacht hat. Und da diese, weil sie Verbraucher in der EU im Blick hat, gem. Art. 3 DSGVO direkt in den Anwendungsbereich der DSGVO fällt, ging Uber davon aus, dass die SCC gar nicht angewendet werden müssen. Diesbezüglich bezieht sich das Unternehmen auf die FAQ der Kommission zu den neuen SCC. Dort heißt es wörtlich:
„Can these SCCs be used for data transfers to controllers or processors whose processing operations are directly subject to the GDPR?
No […] They do not work for importers whose processing operations are subject to the GDPR pursuant to Article 3, as they would duplicate and, in part, deviate from the obligations that already follow directly from the GDPR.“
Ausweislich der Begründung der niederländischen Behörde hätte Uber hieraus aber keineswegs folgern können, dass es die SCC nicht für die fraglichen Transfers hätte verwenden müssen. Eine nachvollziehbare Begründung für diese Ansicht lässt die (automatisiert übersetzte) Entscheidung vermissen. Das ist bitter, denn offenbar hat sich ein Unternehmen rechtlich ausführlich mit der Thematik auseinandergesetzt und nachvollziehbar eine Entscheidung getroffen. Dennoch wird ein erhebliches Bußgeld verhängt. Uber wird sich hiergegen gerichtlich zur Wehr setzen. Wir sind gespannt, wie dies ausgehen wird.
Konsequenzen für die Praxis
Bei der Übermittlung personenbezogener Daten in ein Drittland ist darauf zu achten, dass angemessene Garantien für ein gleichwertiges Datenschutzniveau im Drittstaat vorliegen und damit eine datenschutzkonforme Datenübermittlung in das Drittland gewährleistet ist. Hierzu zählen insbesondere das Vorliegen eines Angemessenheitsbeschlusses oder die Nutzung von Standardvertragsklauseln.
Die SCC regeln den Umgang mit personenbezogenen Daten durch Auftragsverarbeiter in Drittländern und können nach Auswahl des geeigneten Moduls als Vorlage verwendet werden. Der Text der aktuellen SCC der EU, die seit Mitte 2021 Anwendung finden, kann im Anhang des Durchführungsbeschluss (EU) 2021/914 der Kommission gefunden werden.
Der Datentransfer in die USA kann aktuell auf der Grundlage des Angemessenheitsbeschlusses der EU-Kommission erfolgen, wenn der Empfänger der Daten eine Zertifizierung nach dem EU-US Data Privacy Framework (DPF) vorweisen kann. Ob eine solche Zertifizierung vorliegt, ist anhand der vom US-Handelsministerium unterhaltenen und veröffentlichten Übersicht „Data Privacy Framework List“ zu überprüfen. Dort werden diejenigen US‐Organisationen aufgelistet, die ihre Selbstzertifizierung unter dem DPF abgeschlossen haben. Hier werden u. a. auch die Kategorien der personenbezogenen Daten aufgeführt, die von der Zertifizierung erfasst werden.
Fehlt es an einer ausreichenden oder vollständigen Zertifizierung des US-Empfängers nach dem DPF, kann die Übermittlung der Daten nicht auf der Grundlage des Angemessenheitsbeschlusses der EU-Kommission erfolgen, so dass auf geeignete Garantien wie die SCC zurückgegriffen werden muss.
Zusätzlich muss dann ein sogenanntes Transfer Impact Assessment (TIA) zum US-Recht durchgeführt werden, bei dem eventuell eingesetzte zusätzliche technische Sicherheitsmaßnahmen dokumentiert werden müssen.
Laut des 13. Tätigkeitsbericht des Bayerischen Landesamts für Datenschutzaufsicht für das Jahr 2023 in Kapitel 15 auf der Seite 70 f. kann der Datenexporteur sich bei der Erstellung des TIA grundsätzlich auf diejenigen Feststellungen berufen, auf deren Grundlage die EU-Kommission ihren Angemessenheitsbeschluss getroffen hat und damit zu einem gleichen Bewertungsergebnis gelangen. Die Dokumentation der angestellten Überlegungen einschließlich der Bezugnahme auf die Feststellungen der EU-Kommission stellt dann das TIA dar.
Fazit
Das Bußgeld gegen Uber verdeutlicht, dass in international vernetzten Geschäftsbereichen auf eine Einhaltung der europäischen Datenschutzbestimmungen bei der Übermittlung personenbezogener Daten in Drittländer zu achten ist. Gleichzeitig zeigt der Fall leider erneut, wie komplex das für Unternehmen sein kann, selbst wenn diese sich nach bestem Gewissen bemühen und sich auf behördliche Verlautbarungen verlassen. Wir sind gespannt, wie sich dieser Fall weiter entwickeln wird.
Bei konkreten Fragen, wie Sie personenbezogene Daten sicher und datenschutzkonform in Drittländer übermitteln und wie die aktuelle Rechtslage nach dem Datenschutzabkommen mit den USA aussieht, sind wir Ihnen gerne mit unserer Expertise behilflich. Abonnieren Sie auch gerne unseren Newsletter, um bei den Entwicklungen im Datenschutz immer auf dem aktuellen Stand zu sein.
