Niederländische Datenschutzbehörde verhängt 290 Millionen Euro Strafe gegen Uber wegen Übermittlung von Fahrerdaten in die USA
(autoriteitpersoonsgegevens.nl)- Die niederländische Datenschutzbehörde (DPA) sieht darin einen schweren Verstoß gegen die DSGVO, weil Uber personenbezogene Daten europäischer Taxifahrer in die USA übermittelt hat, ohne die erforderlichen Schutzmaßnahmen zu treffen
- Zu den übermittelten Informationen gehörten Kontodaten und Taxilizenzen, Standortdaten, Fotos, Zahlungsinformationen, Ausweisdokumente sowie bei einigen Fahrern sogar strafrechtliche und medizinische Daten
- Uber übermittelte die Daten mehr als zwei Jahre lang an seine US-Zentrale; da das Unternehmen seit August 2021 keine Standard Contractual Clauses mehr nutzte, wurde festgestellt, dass der Schutz der Daten von EU-Fahrern nicht ausreichend war
- Die Untersuchung begann mit Beschwerden von mehr als 170 französischen Fahrern; da Ubers europäischer Hauptsitz in den Niederlanden liegt, koordinierte sich die niederländische DPA mit der französischen DPA und weiteren europäischen Datenschutzbehörden
- Uber hat den Verstoß beendet und nutzt seit Ende vergangenen Jahres den Nachfolger des Privacy Shield, kündigte jedoch an, gegen die Geldbuße von 290 Millionen Euro Einspruch einzulegen
Ubers festgestellter DSGVO-Verstoß
- Die niederländische DPA kam zu dem Schluss, dass Uber bei der Übermittlung personenbezogener Daten europäischer Taxifahrer in die USA nicht das von der DSGVO geforderte Schutzniveau gewährleistet hat
- Die betroffenen Daten wurden auf US-Servern gespeichert und gingen weit über allgemeine Kontodaten hinaus
- Kontodaten und Taxilizenzen
- Standortdaten, Fotos, Zahlungsinformationen, Ausweisdokumente
- Strafrechtliche Daten und medizinische Daten einiger Fahrer
- Aleid Wolfsen, Vorsitzender der niederländischen DPA, erklärte, dass Datenschutz außerhalb Europas nicht selbstverständlich sei und Unternehmen, die personenbezogene Daten von Europäern außerhalb der EU speichern, in der Regel zusätzliche Maßnahmen ergreifen müssten
- Uber hat den Verstoß im Zusammenhang mit der Übermittlung in die USA inzwischen beendet
Regeln für internationale Datenübermittlungen und Ablauf der Untersuchung
- Uber übermittelte Fahrerdaten mehr als zwei Jahre lang an seine US-Zentrale, ohne transfer tools zu nutzen; deshalb wurde festgestellt, dass der Datenschutz nicht ausreichend war
- Der Gerichtshof der Europäischen Union erklärte 2020 den EU-US Privacy Shield für ungültig
- Standard Contractual Clauses können als Grundlage für Datenübermittlungen in Länder außerhalb der EU dienen
- Allerdings muss dabei tatsächlich ein gleichwertiges Schutzniveau gewährleistet werden können
- Uber nutzte seit August 2021 keine Standard Contractual Clauses mehr und verwendet seit Ende vergangenen Jahres den Nachfolger des Privacy Shield
- Die Untersuchung begann, nachdem mehr als 170 französische Fahrer Beschwerden bei der französischen Menschenrechtsorganisation Ligue des droits de l’Homme (LDH) eingereicht hatten und LDH anschließend eine Beschwerde bei der französischen DPA einreichte
- Nach dem One-Stop-Shop-Prinzip der DSGVO haben Unternehmen, die Daten in mehreren EU-Mitgliedstaaten verarbeiten, mit der DPA des Landes zu tun, in dem sich ihre Hauptniederlassung befindet
- Ubers europäischer Hauptsitz befindet sich in den Niederlanden
- Die niederländische DPA arbeitete eng mit der französischen DPA zusammen und koordinierte ihre Entscheidung mit anderen europäischen DPAs
Höhe der Geldbuße und frühere Sanktionen gegen Uber
- Unternehmensgeldbußen europäischer DPAs werden nach einheitlichen Kriterien berechnet; die Obergrenze liegt bei 4 % des weltweiten Jahresumsatzes eines Unternehmens
- Ubers weltweiter Umsatz im Jahr 2023 lag bei rund 34,5 Milliarden Euro
- Uber kündigte an, gegen diese Geldbuße von 290 Millionen Euro Einspruch einzulegen
- Dies ist die dritte Geldbuße, die die niederländische DPA gegen Uber verhängt hat
- 2018 verhängte sie im Zusammenhang mit einem Datenleck eine Geldbuße von 600.000 Euro
- 2023 verhängte sie wegen Verstößen gegen Datenschutzvorschriften eine Geldbuße von 10 Millionen Euro; Uber legte auch gegen diese Geldbuße Einspruch ein
1 Kommentare
Hacker-News-Kommentare
Interessant ist, dass zumindest im Bankensektor US-Daten fast immer von Personen außerhalb der USA verwaltet werden.
Die Server können in den USA stehen, aber die zugreifenden Personen sitzen wahrscheinlich in Europa oder Indien.
Während des Zugriffs befinden sich die Daten vorübergehend dort; daher brauchen auch die USA in diesem Bereich strengere Gesetze.
Ich mochte die Zeit, als sich das frühe Internet wie ein weltweites Computernetz anfühlte, in dem Grenzen kaum eine Rolle spielten; deshalb wirkt es etwas ungewohnt, die Annahme einfach hinzunehmen, dass Grenzen am Ende auch im Internet wichtig sind.
Die Erklärung von 0x62 war hilfreich: https://news.ycombinator.com/item?id=41357888
An die rekursiv verflochtene Struktur von Anbietern hatte ich nicht gedacht.
Selbst wenn man völlig unschuldig ist.
Soweit ich weiß, betrifft die DSGVO diese Daten nicht, daher ist auch ein Grenzübertritt unproblematisch.
Das Problem sind durch die DSGVO geschützte Daten von EU-Bürgern; außer bei bestimmten Ausnahmen wie Strafverfolgung dürfen sie keine Nicht-EU-Grenzen überschreiten.
Wenn ein Mitarbeiter in Indien Daten ansieht, die in den USA gespeichert sind, erreichen die Daten zwar offensichtlich Indien, sobald sie auf dem Bildschirm erscheinen; formal muss das aber nicht als Übermittlung von den USA nach Indien gelten.
Entscheidend ist, welcher rechtlichen Zuständigkeit der Controller oder Verarbeiter unterliegt; wenn Daten zu einem Verarbeiter in einer anderen Jurisdiktion verschoben werden, ist das eine Übermittlung.
In einem anderen Artikel (https://nos.nl/l/2534629, Niederländisch) behauptet Uber, mit der Autoriteit Persoonsgegevens über „unklare Gesetze“ gesprochen zu haben.
Laut iOS-Übersetzung erklärte ein Uber-Sprecher, man habe wegen der Unklarheit der Datenschutzregeln direkt Kontakt zur AP aufgenommen und die Aufsichtsbehörde habe damals nicht gesagt, dass Uber gegen die Regeln verstoße.
Aber wenn ein wohlhabendes Unternehmen mit gut aufgestellter Rechtsabteilung nicht sicher ist, ob etwas erlaubt ist, wird daraus kein Recht, es trotzdem zu tun.
Die Strafe muss auch in dieser Größenordnung liegen. Sie darf nicht einfach zu Geschäftskosten werden; die Einhaltung der Grenzen muss im Interesse aller sein, von den Aktionären abwärts.
Wenn es heißt, „seit Ende letzten Jahres nutzt Uber das Nachfolgesystem von Privacy Shield“, vermute ich angesichts der Tatsache, dass solche Regelungen immer wieder gescheitert sind, dass es später erneut zu einer Verurteilung kommen wird.
Die EU-Kommission macht diesen Teil nicht richtig.
Außerdem hat sie mit der „Zertifizierung“ der Einhaltung dieses Frameworks begonnen: https://www.dataprivacyframework.gov/list
Deshalb könnten die einzelnen Datenschutzbehörden bei diesem neuen Framework der Auslegung der Kommission zur Angemessenheit nach DSGVO folgen.
Allerdings hat Schrems bereits angekündigt, dieses Framework anzufechten, daher ist die Unsicherheit groß.
Die einzige ohne Unsicherheit „sichere“ Option scheint zu sein, alle Systeme so zu entwerfen, dass Daten nicht durch die USA laufen und auch nicht in die Speicherung bei einer Tochtergesellschaft unter einer US-Muttergesellschaft gelangen.
Es ist etwas witzig, dass Uber in den Niederlanden die Strafe bekommen hat. Vor Ort sieht man Uber kaum, weil normale Taxis geschützt werden.
Ich habe keine genauen Daten, aber wenn es mindestens etwa 15 Euro pro Einwohner sind, ist das eine sehr hohe Strafe; pro Fahrer könnten es vielleicht um die 25.000 Euro sein.
Es wirkt, als würde die niederländische Regulierungsbehörde sagen: „Könntet ihr nicht einfach gehen?“, und Uber dürfte das ähnlich empfinden.
Eine bei der französischen Datenschutzaufsicht eingegangene Beschwerde wurde an die niederländische Seite weitergereicht.
Die Strafe kam von der niederländischen Regulierungsbehörde, aber die Untersuchung begann in Frankreich: Im Juni 2020 wandten sich 21 französische Uber-Fahrer an die Menschenrechtsorganisation Ligue Des Droits De L'homme Et Du Citoyen.
Später schlossen sich weitere 151 Uber-Fahrer der Beschwerde an; die LDH brachte sie zur französischen Datenschutzbehörde CNIL, und diese leitete sie im Januar 2021 an die niederländische Datenschutzbehörde weiter, weil Ubers europäischer Hauptsitz in den Niederlanden liegt.
Weil ihnen das Steuersystem dort gefällt.
Laut DPA wird das Berufungsverfahren etwa vier Jahre dauern; tatsächlich wird es also eine vierjährige Berufung.
Alle europäischen Datenschutzbehörden berechnen Bußgelder gegen Unternehmen auf dieselbe Weise und können bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens verhängen.
Auslöser dafür, dass die niederländische Datenschutzbehörde (DPA) eine Untersuchung gegen Uber einleitete, war, dass mehr als 170 französische Fahrer Beschwerde bei der französischen Menschenrechtsorganisation LDH einlegten und LDH diese bei der französischen DPA einreichte.
Ich frage mich, auf welcher Grundlage die Fahrer ursprünglich Verdacht schöpften.
Ich hatte persönlich vor langer Zeit einmal mit einer US-Organisation zu tun und das danach völlig vergessen.
Fast 15 Jahre später begann von der Adresse der Zentrale in Washington E-Mail-Spam zu kommen; ich bat darum, das einzustellen, aber es hörte nicht auf.
Als ich mit rechtlichen Schritten nach der DSGVO drohte und die Löschung verlangte, antworteten sie, sie hätten dem entsprochen, doch ein Jahr später kam von derselben Adresse wieder Spam.
So erfuhr ich, dass sie meine Daten nicht gelöscht hatten und sie in den USA gespeichert waren.
Ich frage mich, wie diese Sache mit dem EU–US Data Privacy Framework zusammenhängt.
Ich hatte verstanden, dass dieses Framework als Ersatz für den EU–US Privacy Shield solche Übermittlungen erlauben sollte; vor 2020, also zur Zeit des Privacy Shield, wäre das vermutlich kein Problem gewesen.
Verstehe ich da etwas falsch?
Der Privacy Shield wurde 2020 für ungültig erklärt, und als gültiges Mittel für Übermittlungen blieben nur die Standardvertragsklauseln übrig.
Uber stellte im August 2021, also vor Einführung des neuen Privacy Framework im Jahr 2023, die Nutzung der Standardvertragsklauseln ein und übermittelte zwei Jahre lang hochsensible Informationen ohne gültige Grundlage.
[1]: https://www.autoriteitpersoonsgegevens.nl/en/current/dutch-d...
Im Grunde ist auch das Framework, wie zuvor der Shield, ein Versuch der Kommission zu zeigen: „Seht her, wir haben es repariert.“
Leider hat der EuGH in den beiden vorherigen Fällen im Nachhinein jeweils festgestellt, dass sich die Defizite des US-Datenschutzrechts durch kein Framework beheben lassen und dass auch der Shield, ebenso wie sein Vorgänger, die behaupteten Befugnisse tatsächlich nicht einräumte.
Dieses Framework wurde vom EuGH noch nicht geprüft, aber da sich das US-Recht nicht wesentlich geändert hat, scheint das Ergebnis absehbar.
Wir hatten Glück, eine kurze Zeit erlebt zu haben, in der das Internet wirklich ein weltweites Netzwerk war
Jemand in den Niederlanden oder Nigeria[1] konnte die besten Tech-Services der Welt nutzen, und Menschen konnten über Grenzen hinweg relativ frei miteinander interagieren
Aber das geht nun zu Ende. Da jedes Lehen seinen Anteil und ein Mitspracherecht will, wird es immer schwieriger, das Internet als globales Netzwerk zu erhalten
Schön war’s, solange es dauerte
[1]: https://www.reuters.com/technology/nigerias-consumer-watchdo...
Wenn ein Unternehmen ehrenhaft handelt, hat es nichts zu befürchten und kann problemlos weltweit Geschäfte machen
Probleme entstehen, wenn man dubiose Dinge tut, die von Anfang an illegal hätten sein sollen
Der Kern ist, dass US-Recht am laxesten ist und große Eingriffe in die Privatsphäre der Bürger zulässt, weshalb Unternehmen nun das Gefühl haben, unnötig eingeschränkt zu werden
Wären die US-Gesetze strenger, wäre das kein Problem, und niemand würde darüber reden
Sich nur auf die Freiheit von Unternehmen zu konzentrieren, tun zu können, was sie wollen, ist sehr kurzsichtig und US-zentriert. Was ist mit der Freiheit der Nutzer, ohne Überwachung zu leben?
Die Netzwerkeffekte sind so stark, dass die freie-Marktwirtschaft-Logik von „Wenn es dir nicht gefällt, geh woandershin“ nicht wirklich passt, und weil von außen schwer zu erkennen ist, wie Daten verarbeitet werden, gibt es auch ein großes Transparenzproblem
Zumal jedes Unternehmen Daten wie sein Eigentum und eine Cashcow behandelt
Nennt man auch das „Lehen wollen ihren Anteil und ein Mitspracherecht“? Ist man gegen das Konzept von Gesetzen an sich?
Vermutlich hätte auch irgendein ahnungsloser Mensch am Ende des Britischen Empire so geredet
Oder dass die Unternehmen, die an diesem Netzwerk teilnahmen, ein Interesse daran entwickelten, das Netzwerk hinter Mauern einzusperren?[2][3]
Oder dass dieses globale Netzwerk von einigen dominanten Akteuren so stark umgestaltet wurde, dass externe Regulierung nötig wurde?[4][5]
Natürlich nicht. Es ist keine Reaktion auf massiven Missbrauch durch die Industrie, sondern nur der Versuch regionaler Fürsten, ein bisschen Macht zusammenzukratzen
[1]: https://en.wikipedia.org/wiki/PRISM
[2]: https://www.eff.org/fr/deeplinks/2013/05/google-abandons-ope...
[3]: https://blockthrough.com/blog/the-walled-gardens-of-the-ad-t...
[4]: https://www.theverge.com/c/23998379/google-search-seo-algori...
[5]: https://en.wikipedia.org/wiki/Facebook%E2%80%93Cambridge_Ana...
Was ist Freiheit? GPL oder BSD? Die Faust zu schwingen oder nicht auf die Nase getroffen zu werden?
Wenn das Berufungsverfahren etwa vier Jahre dauert und die Geldbuße bis zum Ausschöpfen aller Rechtsmittel ausgesetzt wird, werden wir von dieser Sache wohl in vier Jahren wieder hören
Uber wird das als „Kosten des Geschäfts in Europa“ verbuchen und als Markup auf die Preise aufschlagen
In den letzten Jahren summieren sich die von der EU gegen US-Tech-Unternehmen verhängten Geldbußen auf 14,8 Milliarden US-Dollar: https://loeber.substack.com/p/20-no-more-eu-fines-for-big-te...
Dieses Substack ist ziemlich gut und zeigt deutlich, dass US-Tech-Unternehmen Europa zwar nicht so bald verlassen werden, in der Beziehung aber deutlich mehr Macht haben
Die Regulierer überreizen ihr Blatt
Selbst wenn US-Big-Tech sich aus Europa zurückzieht, könnte das, abgesehen von der kurzen Frist, für den regionalen Markt sogar gut sein
Mit ihnen zu konkurrieren ist extrem schwierig, und das gilt auch auf dem US-Heimatmarkt
Wenn sie aus einem so großen Markt wie der EU verschwinden, dürfte das Wettbewerb anstoßen
Selbst wenn man annimmt, die EU hätte keinerlei Fähigkeiten, ist diese Annahme angesichts der Tatsache, dass das derzeit beste Bildgenerierungsmodell und ziemlich gute Open-Source-LLMs aus der EU stammen, sehr unrealistisch
Außerdem gibt es in vielen europäischen Ländern, besonders in Osteuropa, hervorragende Tech-Talente, und chinesische Unternehmen würden sofort einsteigen
Für Europa ist es deshalb immer noch ein miserabler Deal