Vor kurzem hat die niederländische Aufsichtsbehörde Autoriteit Persoonsgegevens (AP) ein Bußgeld in Höhe von 290 Mio. Euro gegen Uber Technologies und Uber BV verhängt, da die Unternehmen in einem Zeitraum von über zwei Jahren unrechtmäßig Daten ihrer Fahrer in die USA übermittelt hatten.

Der Fall war publik geworden, weil sich 172 Fahrer aus Frankreich an die Menschenrechtsgesellschaft in ihrer Heimat gewandt hatten und der Fall von dort aus über die französische Datenschutzaufsichtsbehörde an die zuständige Autoriteit Persoonsgegevens weitergegeben wurde.

Zu den übertragenen Daten gehörten dabei Stammdaten, Führerscheine, Fahrerlizenzen, Standortdaten und Kontodaten. Außerdem wurden auch noch sensiblere Daten wie Vorstrafen sowie Gesundheitsdaten der Fahrer geteilt. Bei diesen Datenübertragungen hätte es keine Sicherungsmaßnahme im Sinne des Art. 44 ff. DSGVO (Allgemeine Grundsätze der Datenübermittlung) gegeben.

Das Unternehmen Uber war bis vor ca. zwei Jahren durch das Privacy Shield zertifiziert gewesen, hatte es aber nach der Ungültigkeitserklärung dessen aufgrund des Schrems II-Urteils versäumt, danach weitere Schutzmaßnahmen wie z.B. die Standardvertragsklauseln zu ergreifen. Im vergangenen Jahr, unmittelbar nach dem Inkrafttreten des neuen Data Privacy Framework (DPF) zwischen den EU und den USA, hat sich Uber wieder nach dem DPF zertifiziert.

Grundsätzlich ist bei jedem Datentransfer in die USA Vorsicht geboten, da bei weitem nicht jedes US-Unternehmen nach dem DPF zertifiziert ist. Die zertifizierten Unternehmen lassen sich in der folgenden Auflistung finden: https://www.dataprivacyframework.gov/list .

Doch auch wenn ein Unternehmen zertifiziert ist, dürfen keine Daten einfach sorglos übertragen werden. Auch hier hat der Verantwortliche durch das Ergreifen zusätzlicher Maßnahmen (z.B. AV-Verträge, TOMs, Standardvertragsklauseln, Audits, etc.) stets sicherzustellen, dass ein angemessenes Schutzniveau für die Daten vorliegt. [SRE]

Quellenangaben:

  • Artikel „Top 5 DSGVO-Bußgelder im August 2024 – Datentransfer in die USA ohne angemessene Schutzmaßnahmen“, abgerufen am 20.09.2024 unter: https://www.dr-datenschutz.de/top-5-dsgvo-bussgelder-im-august-2024/

Autorin:

Sabrina Reinecke [SRE], externe betriebliche Datenschutzbeauftragte (TÜV-Zertifizierung)