Das US-Ridehail-Unternehmen Uber ist ins Visier der EU-Aufsichtsbehörde geraten und muss nun eine Geldstrafe in Höhe von umgerechnet 290 Millionen Euro zahlen. Uber soll die Daten seiner Fahrer:innen nicht “angemessen“ geschützt haben.

Eine der höchsten Strafen seit es die DSGVO gibt

Die Strafe wurde verhängt, weil Uber Personendaten seiner Fahrer:innen unzulässigerweise von der EU in die USA übermittelt hat. Konkret geht es darum, dass Uber sensible Informationen wie Kontodaten und Taxilizenzen sowie Standortdaten, Fotos, Zahlungsdaten und Ausweisdokumente auf US-amerikanischen Servern gespeichert hat. In einigen Fällen wurden laut der niederländischen Datenschutzbehörde auch strafrechtliche und medizinische Daten der Fahrer:innen übermittelt. Das Bußgeld wurde von der niederländischen Datenschutzbehörde (DPA) verhängt, weil sich der europäische Hauptsitz von Uber in den Niederlanden befindet und deshalb für die Ermittlungen zuständig ist.

Bei der 324 Millionen Dollar Strafe, umgerechnet 290 Millionen Euro, handelt es sich um eine der höchsten Strafen, die seit Einführung der Allgemeinen Datenschutzverordnung (DSGVO) der Europäischen Union verhängt wurden.

DPA: Der Fall ist “sehr ernst”

Uber habe laut DPA die personenbezogenen Daten europäischer Fahrer:innen ordnungsgemäß zu schützen und nicht in die Vereinigten Staaten zu übermitteln, so die Aussage der DPA. Außerdem: Uber soll die Daten übertragen haben, ohne Übertragungswerkzeuge zu verwenden, die den ausreichenden Schutz der Daten sicherstellen. „Das ist sehr ernst,“ heißt es in einer Erklärung. Uber hat diese Praxis inzwischen eingestellt, fügte die DPA hinzu. Darunter fallen rechtliche sowie technische Mechanismen wie etwa Standardvertragsklauseln (SCCs), Binding Corporate Rules (BCRs) oder Angemessenheitsbeschlüsse.

Die Untersuchung seitens der DPA wurde eingeleitet, nachdem sich 170 französische Uber-Fahrer:innen bei einer Menschenrechtsorganisation beschwert haben. Diese leitete den Fall zunächst an die französische Datenschutzbehörde weiter.

Uber will Berufung einlegen

Das Ridehail-Unternehmen will die Entscheidung nicht auf sich beruhen lassen. “Diese fehlerhafte Entscheidung und die außerordentliche Geldstrafe sind völlig ungerechtfertigt. Der grenzüberschreitende Datentransferprozess von Uber war während einer dreijährigen Periode großer Unsicherheit zwischen der EU und den USA konform mit der General Data Protection Regulation (GDPR). Wir werden Berufung einlegen und sind zuversichtlich, dass sich der gesunde Menschenverstand durchsetzen wird“, so der Unternehmenssprecher Caspar Nixon.

Eine ähnliche DSGVO-Verletzung wurde 2023 festgestellt: Die Facebook-Muttergesellschaft Meta musste dabei wegen eines vergleichbaren Verstoßes 1,2 Milliarden Euro bezahlen. Dies war die höchste Geldstrafe, die bis dahin wegen eines Datenschutzverstoßes verhängt wurde.