Am 26.08.2024 verhängte die niederländische Datenschutzbehörde ein Bußgeld in Höhe von 290 Millionen Euro gegen den Fahrtenvermittler Uber. Grund dafür war die unerlaubte Übermittlung von personenbezogenen Daten von Europäern in die USA, ohne dass dabei angemessene Garantien eingehalten wurden. Dieser Artikel bietet einen Überblick über die Rechtslage, die Problematiken der Datenübermittlungen in diesem Fall und gibt Hinweise darauf, worauf internationale Konzerne bei Datenübermittlungen achten sollten.
Der Inhalt im Überblick
- Datenübermittlung in die USA von Uber
- Was ist das Problem?
- Widerstand von Uber: Kapitel V der DSGVO nicht anwendbar?
- Was ist eine Internationale Übermittelung nach Kapitel V?
- Was sagt die niederländische Aufsichtsbehörde
- EU-SCC in diesem Fall nicht anwendbar?
- EU-Kommission: Initiative zur Erweiterung der SCC
- Internationale Datenübermittelung: Ein heikles Thema
Datenübermittlung in die USA von Uber
Uber ist ein amerikanischer Fahrtenvermittler mit Sitz in San Francisco (Uber Technologies Incorporated, UTI). Der europäische Hauptsitz des Unternehmens befindet sich in Amsterdam (Uber B.V., UBV). Fahrer, die im Europäischen Wirtschaftsraum (EWR) ansässig sind, müssen einen Vertrag mit der niederländischen UBV unterzeichnen, um als Fahrer auf der Uber-Plattform registriert zu werden.
Bei der Kontoerstellung sammelt Uber personenbezogene Daten von Fahrern, darunter Name, E-Mail-Adresse, Telefonnummer und in einigen Fällen auch Informationen zu Straftaten oder Gesundheitsdaten. Diese Daten werden direkt an die amerikanische Muttergesellschaft (UTI) übermittelt und auf deren zentralen Servern gespeichert.
Zwischen UBV und UTI besteht eine Vereinbarung gemeinsamer Verantwortlichkeit gemäß Art. 26 DSGVO.
Was ist das Problem?
Ausgangspunkt der Ermittlungen der niederländischen Datenschutzbehörde Autoriteit Persoonsgegevens (AP) waren Beschwerden von 172 Uber-Fahrern aus Frankreich. Die AP wirft Uber vor, personenbezogene Daten bei der Registrierung und der Bearbeitung von Auskunftsersuchen ohne ausreichende Schutzmaßnahmen an die Muttergesellschaft in die USA übermittelt zu haben.
Betroffen ist der Zeitraum zwischen dem 6. August 2021 und dem 27. November 2023, als der Angemessenheitsbeschluss zwischen der EU und den USA aufgrund europäischer Gerichtsentscheidungen außer Kraft gesetzt war.
Ab August 2021 nutzte Uber nicht mehr die Standardvertragsklauseln (SCC) der Europäischen Kommission, die nach der Aufhebung des EU-US Privacy Shield im Jahr 2020 als gültige Grundlage dienten. Uber implementierte auch keine zusätzlichen Maßnahmen zum Schutz der Daten. Uber argumentierte, dass die EU-SCC für das Unternehmen nicht anwendbar seien, da der Datenimporteur (UTI) gemäß Art. 3 DSGVO selbst der DSGVO unterliege. Stattdessen stützte Uber sich auf die Ausnahmeregelungen des Art. 49 Abs. 1 lit. b und c DSGVO.
Erst Ende 2023 berief sich Uber wieder auf den Angemessenheitsbeschluss der Europäischen Kommission für die USA, das sogenannte Data Privacy Framework.
Uber hat die Verstöße inzwischen eingestellt und angekündigt, gegen das Bußgeld Berufung einzulegen.
Widerstand von Uber: Kapitel V der DSGVO nicht anwendbar?
Uber hält die Entscheidung der niederländischen Behörde für fehlerhaft und bezeichnet das außerordentlich hohe Bußgeld als „völlig unberechtigt“.
Uber sei kein Datenexporteuer
Uber argumentierte, dass die Fahrer ihre personenbezogenen Daten über ihre eigenen Geräte direkt auf der Uber-Plattform eingeben, ohne dass die UBV aktiv an der Übermittlung der Daten an die UTI in den USA beteiligt sei. Uber betrachtete die Fahrer als „Datenexporteure“, die für ihre Daten verantwortlich seien, ohne Kontrolle durch die UBV.
Keine internationale Übermittelung?
Uber argumentierte außerdem, dass die Verarbeitung der Daten durch die UTI im Rahmen der Tätigkeiten der EU-Niederlassung UBV erfolge und daher die DSGVO Anwendung finde. Da sowohl UBV als auch UTI der DSGVO unterliegen, seien die Bestimmungen von Kapitel V der DSGVO, die internationale Datenübermittlungen regeln, nicht anwendbar. Der Art. 3 der DSGVO solle Vorrang vor den Bestimmungen von Kapitel V haben.
Was ist eine Internationale Übermittelung nach Kapitel V?
Der Begriff „internationale Übermittlung“ wird in der DSGVO nicht eindeutig definiert. Die EDSA hat in ihren Leitlinien von 2023 jedoch drei Kriterien zur Abgrenzung solcher Übermittlungen festgelegt:
- Exporteur: Der Verantwortliche oder Auftragsverarbeiter unterliegt für die betreffende Verarbeitung der DSGVO.
- Übermittlung: Der Exporteur legt personenbezogene Daten, die Gegenstand dieser Verarbeitung sind, durch Übertragung oder auf andere Weise, gegenüber einem anderen Verantwortlichen, gemeinsam Verantwortlichen oder Auftragsverarbeiter („Importeur“) offen.
- Importeuer: Der Importeur befindet sich in einem Drittland, unabhängig davon, ob er für die betreffende Verarbeitung gemäß Art. 3 DSGVO unterliegt, oder er ist eine internationale Organisation.
Diese Leitlinien wurden jedoch erst nach den Datenübermittlungen von Uber veröffentlicht. Uber behauptete, der betreffende Zeitraum sei von immenser Unsicherheit bezüglich rechtssicherer Datenübertragungsmöglichkeiten geprägt gewesen.
Was sagt die niederländische Aufsichtsbehörde
Die AP hält dafür, dass Art. 3 DSGVO und die Bestimmungen zu internationalen Übermittlungen gemäß Kapitel V gemeinsam anwendbar seien. Das bedeutet, dass die Vorschriften von Kapitel V erfüllt sein müssten, auch wenn die Muttergesellschaft in den USA der DSGVO unterliege. Dies solle sicherstellen, dass das durch die DSGVO garantierte Schutzniveau für natürliche Personen nicht beeinträchtigt werde, wenn personenbezogene Daten außerhalb des EWR verarbeitet würden.
Die AP ist der Auffassung, dass selbst wenn die Fahrer (selber) ihre Daten direkt an UTI in die USA übermitteln, dies als internationale Datenübermittlung nach Kapitel V zu betrachten sei. UBV habe das Verhalten der Fahrer beeinflusst und die Datenübermittlung sei für die Fahrer keine freiwillige Entscheidung, da sie die Daten auf der Plattform eingeben müssen, um die Dienste von Uber zu nutzen.
Uber könne die Übermittlung nach Ansicht der Behörde auch nicht auf die Ausnahmeregelungen des Art. 49 Abs. 1 lit. b und c DSGVO stützen, da diese Ausnahmen nur für ‚gelegentliche‘ und ‚nicht wiederholte‘ Übermittlungen gelten würden.
EU-SCC in diesem Fall nicht anwendbar?
Uber behauptete, dass die aktuellen EU-Standardvertragsklauseln (SCC) nach den Q&A der EU-Kommission für Importeure, die gemäß Art. 3 DSGVO der Verordnung unterliegen, nicht anwendbar seien. Aus diesem Grund hat Uber ab 2021 auf die Nutzung der EU-SCC verzichtet.
Die AP ist der Ansicht, dass aus dieser Erklärung jedoch nicht abgeleitet werden könne, dass in diesem Fall keine SCC erforderlich seien. Die konkreten Gründe dafür wurden jedoch nicht erläutert.
EU-Kommission: Initiative zur Erweiterung der SCC
Die Europäische Kommission plant, die bestehenden SCC zu erweitern. Diese sollen nun auch für den Fall gelten, dass ein Datenimporteur in einem Drittland ansässig ist, aber unmittelbar der DSGVO unterliegt.
Öffentliche Konsultationen sind für das vierte Quartal 2024 geplant, die Annahme durch die Kommission ist für das zweite Quartal 2025 vorgesehen.
Internationale Datenübermittelung: Ein heikles Thema
War das Bußgeld gerechtfertigt oder unberechtigt? Eine endgültige Entscheidung bleibt abzuwarten. Internationale Datenübermittlungen sind jedoch für multinationale Unternehmen immer ein heikles Thema. Unternehmen sollten sorgfältig prüfen, ob internationale Datenübermittlungen stattfinden und ob die Bestimmungen des Kapitels V der DSGVO eingehalten werden. Falls ein Datenimporteur in einem Drittland ansässig ist aber der DSGVO unterliegt, müssen geeignete Garantien gewährleistet sein. Die Entscheidung der Aufsichtsbehörde sollte für den Fall in Erinnerung bleiben, sollte es zu einer Aufhebung des Data Privacy Framework kommen.