Die niederländische Datenschutzbehörde (AP) hat gegen den Taxidienst Uber eine Geldstrafe von nicht weniger als 290 Millionen Euro verhängt, die höchste Datenschutzstrafe, die jemals in den Niederlanden verhängt wurde.
Diese Entscheidung folgt auf schwerwiegende Verstöße gegen die Datenschutz-Grundverordnung (DSGVO), bei der Uber personenbezogene Daten europäischer Fahrer ohne den erforderlichen Schutz in die USA übermittelte. Laut AP hat Uber die persönlichen Daten Tausender Fahrer aus der Europäischen Union fahrlässig auf Server in den USA verschoben. Dies geschah ohne angemessene Sicherheitsvorkehrungen, wodurch die Daten anfällig für unbefugten Zugriff und Missbrauch wurden. Die Regulierungsbehörde betont, dass Uber gegen die DSGVO verstoßen hat, die strenge Regeln für den Schutz personenbezogener Daten vorschreibt, insbesondere bei der Übermittlung in Länder außerhalb des Europäischen Wirtschaftsraums (EWR).
Garantien
Der AP setzt ihr Bericht dass Uber es versäumt hat, ausreichende technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der Daten zu gewährleisten. „Dies ist eine schwerwiegende Verletzung der Privatsphäre europäischer Bürger“, sagte der AP-Präsident. „Unternehmen, die in Europa tätig sind, müssen strenge Regeln einhalten, um die Privatsphäre unserer Bürger zu schützen. Das Bußgeld spiegelt die Schwere des Vergehens wider und sollte eine klare Botschaft an alle Unternehmen senden, die glauben, ohne Konsequenzen handeln zu können.“
„In Europa schützt die DSGVO die Grundrechte der Menschen, indem sie Unternehmen und Regierungen zum sorgfältigen Umgang mit personenbezogenen Daten verpflichtet“, sagt AP-Präsident Aleid Wolfsen. Aber leider ist das außerhalb Europas keine Selbstverständlichkeit. Denken Sie an Regierungen, die Daten in großem Umfang abgreifen können.“
Laut AP sammelte Uber über einen Zeitraum von mehr als zwei Jahren verschiedene sensible Daten von Fahrern und speicherte sie auf Servern in den USA. Dabei ging es nicht nur um Kontodaten und Taxilizenzen, sondern auch um Standortdaten, Fotos, Zahlungsdetails und Ausweise. Was den Fall noch gravierender macht, ist, dass Uber auch strafrechtliche und medizinische Daten von Fahrern in die USA übermittelt hat, ohne ein entsprechendes Übertragungstool zu nutzen. Dadurch könnten die Daten Risiken wie unbefugtem Zugriff und Missbrauch ausgesetzt sein.
Der AP Richter dass Uber schwerwiegend gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen hat, die strenge Anforderungen an den Schutz personenbezogener Daten stellt. Das Gesetz schreibt vor, dass bei der Übermittlung von Daten von EU-Bürgern in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) angemessene Maßnahmen zum Schutz der Daten getroffen werden müssen. Dies kann beispielsweise durch die Nutzung von Standardvertragsklauseln oder anderen von der Europäischen Kommission genehmigten Übertragungsinstrumenten erfolgen. Im Fall von Uber fehlten diese Maßnahmen, was zu gravierenden Mängeln beim Schutz personenbezogener Daten führte.
Diskussion
Der nun möglicherweise folgende Rechtsstreit könnte die Aufmerksamkeit auf eine breitere Diskussion über die Einhaltung des Datenschutzes durch große internationale Unternehmen lenken. Experten weisen darauf hin, dass dies nicht das erste Mal ist, dass Uber wegen seines Umgangs mit Datenschutzproblemen in die Kritik gerät. Im Jahr 2018 wurde das Unternehmen von der AP wegen einer Datenschutzverletzung im Jahr 600.000, bei der die Daten von 2016 Millionen Nutzern, darunter 57 Niederländern, offengelegt wurden, mit einer Geldstrafe von 174.000 Euro belegt. Dieser neue Vorfall verstärkt die Besorgnis darüber, wie Technologieunternehmen mit der Privatsphäre ihrer Benutzer umgehen, und wirft Fragen zur Wirksamkeit der aktuellen Vorschriften auf.
Die AP leitete eine Untersuchung gegen Uber ein, nachdem mehr als 170 französische Fahrer eine Beschwerde bei der Ligue des droits de l'Homme (LDH), einer französischen Menschenrechtsorganisation, eingereicht hatten. LDH reichte daraufhin eine Beschwerde bei der französischen Datenschutzbehörde ein.
Die Europäische Union hat ihre Datenschutzgesetze in den letzten Jahren verschärft, wobei die DSGVO eine der drastischsten Maßnahmen darstellt. Die DSGVO verpflichtet Unternehmen zu strengen Vorsichtsmaßnahmen bei der Verarbeitung personenbezogener Daten und sieht bei Verstößen hohe Bußgelder vor.
EER
Das Urteil der AP könnte auch umfassendere Auswirkungen auf andere in Europa tätige Technologieunternehmen haben. Unternehmen, die Daten von EU-Bürgern verarbeiten, müssen sicherstellen, dass sie die DSGVO einhalten, auch wenn diese Daten in Länder außerhalb des EWR übertragen werden. Dieser Vorfall unterstreicht die Bedeutung robuster Sicherheitsmaßnahmen und die Notwendigkeit, transparent darüber zu sein, wie Daten verwaltet und geschützt werden.
Obwohl sich Uber gegen die Geldbuße wehrt, besteht eine gute Chance, dass es sich um einen langen Rechtsstreit handelt. Sollte das Bußgeld Bestand haben, könnte es einen Präzedenzfall für künftige Durchsetzungsmaßnahmen gegen andere Unternehmen schaffen, die sich nicht an die DSGVO halten. Der Ausgang dieses Falles wird sowohl von der Technologiebranche als auch von Datenschutzaktivisten mit großem Interesse verfolgt.
