1 Punkte von GN⁺ 2024-08-27 | 1 Kommentare | Auf WhatsApp teilen
  • Die niederländische Datenschutzbehörde (DPA) sieht darin einen schweren Verstoß gegen die DSGVO, weil Uber personenbezogene Daten europäischer Taxifahrer in die USA übermittelt hat, ohne die erforderlichen Schutzmaßnahmen zu treffen
  • Zu den übermittelten Informationen gehörten Kontodaten und Taxilizenzen, Standortdaten, Fotos, Zahlungsinformationen, Ausweisdokumente sowie bei einigen Fahrern sogar strafrechtliche und medizinische Daten
  • Uber übermittelte die Daten mehr als zwei Jahre lang an seine US-Zentrale; da das Unternehmen seit August 2021 keine Standard Contractual Clauses mehr nutzte, wurde festgestellt, dass der Schutz der Daten von EU-Fahrern nicht ausreichend war
  • Die Untersuchung begann mit Beschwerden von mehr als 170 französischen Fahrern; da Ubers europäischer Hauptsitz in den Niederlanden liegt, koordinierte sich die niederländische DPA mit der französischen DPA und weiteren europäischen Datenschutzbehörden
  • Uber hat den Verstoß beendet und nutzt seit Ende vergangenen Jahres den Nachfolger des Privacy Shield, kündigte jedoch an, gegen die Geldbuße von 290 Millionen Euro Einspruch einzulegen

Ubers festgestellter DSGVO-Verstoß

  • Die niederländische DPA kam zu dem Schluss, dass Uber bei der Übermittlung personenbezogener Daten europäischer Taxifahrer in die USA nicht das von der DSGVO geforderte Schutzniveau gewährleistet hat
  • Die betroffenen Daten wurden auf US-Servern gespeichert und gingen weit über allgemeine Kontodaten hinaus
    • Kontodaten und Taxilizenzen
    • Standortdaten, Fotos, Zahlungsinformationen, Ausweisdokumente
    • Strafrechtliche Daten und medizinische Daten einiger Fahrer
  • Aleid Wolfsen, Vorsitzender der niederländischen DPA, erklärte, dass Datenschutz außerhalb Europas nicht selbstverständlich sei und Unternehmen, die personenbezogene Daten von Europäern außerhalb der EU speichern, in der Regel zusätzliche Maßnahmen ergreifen müssten
  • Uber hat den Verstoß im Zusammenhang mit der Übermittlung in die USA inzwischen beendet

Regeln für internationale Datenübermittlungen und Ablauf der Untersuchung

  • Uber übermittelte Fahrerdaten mehr als zwei Jahre lang an seine US-Zentrale, ohne transfer tools zu nutzen; deshalb wurde festgestellt, dass der Datenschutz nicht ausreichend war
  • Der Gerichtshof der Europäischen Union erklärte 2020 den EU-US Privacy Shield für ungültig
    • Standard Contractual Clauses können als Grundlage für Datenübermittlungen in Länder außerhalb der EU dienen
    • Allerdings muss dabei tatsächlich ein gleichwertiges Schutzniveau gewährleistet werden können
  • Uber nutzte seit August 2021 keine Standard Contractual Clauses mehr und verwendet seit Ende vergangenen Jahres den Nachfolger des Privacy Shield
  • Die Untersuchung begann, nachdem mehr als 170 französische Fahrer Beschwerden bei der französischen Menschenrechtsorganisation Ligue des droits de l’Homme (LDH) eingereicht hatten und LDH anschließend eine Beschwerde bei der französischen DPA einreichte
  • Nach dem One-Stop-Shop-Prinzip der DSGVO haben Unternehmen, die Daten in mehreren EU-Mitgliedstaaten verarbeiten, mit der DPA des Landes zu tun, in dem sich ihre Hauptniederlassung befindet
    • Ubers europäischer Hauptsitz befindet sich in den Niederlanden
    • Die niederländische DPA arbeitete eng mit der französischen DPA zusammen und koordinierte ihre Entscheidung mit anderen europäischen DPAs

Höhe der Geldbuße und frühere Sanktionen gegen Uber

  • Unternehmensgeldbußen europäischer DPAs werden nach einheitlichen Kriterien berechnet; die Obergrenze liegt bei 4 % des weltweiten Jahresumsatzes eines Unternehmens
    • Ubers weltweiter Umsatz im Jahr 2023 lag bei rund 34,5 Milliarden Euro
    • Uber kündigte an, gegen diese Geldbuße von 290 Millionen Euro Einspruch einzulegen
  • Dies ist die dritte Geldbuße, die die niederländische DPA gegen Uber verhängt hat

1 Kommentare

 
GN⁺ 2024-08-27
Hacker-News-Kommentare
  • Interessant ist, dass zumindest im Bankensektor US-Daten fast immer von Personen außerhalb der USA verwaltet werden.
    Die Server können in den USA stehen, aber die zugreifenden Personen sitzen wahrscheinlich in Europa oder Indien.
    Während des Zugriffs befinden sich die Daten vorübergehend dort; daher brauchen auch die USA in diesem Bereich strengere Gesetze.

    • Ich verstehe nicht so recht, warum der physische Ort, an dem Daten gespeichert sind, so wichtig ist.
      Ich mochte die Zeit, als sich das frühe Internet wie ein weltweites Computernetz anfühlte, in dem Grenzen kaum eine Rolle spielten; deshalb wirkt es etwas ungewohnt, die Annahme einfach hinzunehmen, dass Grenzen am Ende auch im Internet wichtig sind.
      Die Erklärung von 0x62 war hilfreich: https://news.ycombinator.com/item?id=41357888
      An die rekursiv verflochtene Struktur von Anbietern hatte ich nicht gedacht.
    • Auf Daten, die auf Servern von Apple oder Google gespeichert sind, können US-Behörden bei Bedarf ohne Zustimmung zugreifen.
      Selbst wenn man völlig unschuldig ist.
    • Dass Europäer auf US-Daten von US-Bürgern zugreifen oder sie verarbeiten, muss nicht unbedingt ein Problem sein.
      Soweit ich weiß, betrifft die DSGVO diese Daten nicht, daher ist auch ein Grenzübertritt unproblematisch.
      Das Problem sind durch die DSGVO geschützte Daten von EU-Bürgern; außer bei bestimmten Ausnahmen wie Strafverfolgung dürfen sie keine Nicht-EU-Grenzen überschreiten.
    • Ich bin kein Jurist, aber meines Wissens gibt es in der DSGVO eine Ausnahme für Fernzugriff.
      Wenn ein Mitarbeiter in Indien Daten ansieht, die in den USA gespeichert sind, erreichen die Daten zwar offensichtlich Indien, sobald sie auf dem Bildschirm erscheinen; formal muss das aber nicht als Übermittlung von den USA nach Indien gelten.
    • Eine Datenübermittlung im Sinne der DSGVO hat keinen direkten Bezug zum geografischen Standort.
      Entscheidend ist, welcher rechtlichen Zuständigkeit der Controller oder Verarbeiter unterliegt; wenn Daten zu einem Verarbeiter in einer anderen Jurisdiktion verschoben werden, ist das eine Übermittlung.
  • In einem anderen Artikel (https://nos.nl/l/2534629, Niederländisch) behauptet Uber, mit der Autoriteit Persoonsgegevens über „unklare Gesetze“ gesprochen zu haben.
    Laut iOS-Übersetzung erklärte ein Uber-Sprecher, man habe wegen der Unklarheit der Datenschutzregeln direkt Kontakt zur AP aufgenommen und die Aufsichtsbehörde habe damals nicht gesagt, dass Uber gegen die Regeln verstoße.
    Aber wenn ein wohlhabendes Unternehmen mit gut aufgestellter Rechtsabteilung nicht sicher ist, ob etwas erlaubt ist, wird daraus kein Recht, es trotzdem zu tun.
    Die Strafe muss auch in dieser Größenordnung liegen. Sie darf nicht einfach zu Geschäftskosten werden; die Einhaltung der Grenzen muss im Interesse aller sein, von den Aktionären abwärts.

  • Wenn es heißt, „seit Ende letzten Jahres nutzt Uber das Nachfolgesystem von Privacy Shield“, vermute ich angesichts der Tatsache, dass solche Regelungen immer wieder gescheitert sind, dass es später erneut zu einer Verurteilung kommen wird.
    Die EU-Kommission macht diesen Teil nicht richtig.

    • Die Kommission hat für das neue EU–US Data Privacy Framework einen „Angemessenheitsbeschluss“ erlassen: https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae6...
      Außerdem hat sie mit der „Zertifizierung“ der Einhaltung dieses Frameworks begonnen: https://www.dataprivacyframework.gov/list
      Deshalb könnten die einzelnen Datenschutzbehörden bei diesem neuen Framework der Auslegung der Kommission zur Angemessenheit nach DSGVO folgen.
      Allerdings hat Schrems bereits angekündigt, dieses Framework anzufechten, daher ist die Unsicherheit groß.
      Die einzige ohne Unsicherheit „sichere“ Option scheint zu sein, alle Systeme so zu entwerfen, dass Daten nicht durch die USA laufen und auch nicht in die Speicherung bei einer Tochtergesellschaft unter einer US-Muttergesellschaft gelangen.
  • Es ist etwas witzig, dass Uber in den Niederlanden die Strafe bekommen hat. Vor Ort sieht man Uber kaum, weil normale Taxis geschützt werden.
    Ich habe keine genauen Daten, aber wenn es mindestens etwa 15 Euro pro Einwohner sind, ist das eine sehr hohe Strafe; pro Fahrer könnten es vielleicht um die 25.000 Euro sein.
    Es wirkt, als würde die niederländische Regulierungsbehörde sagen: „Könntet ihr nicht einfach gehen?“, und Uber dürfte das ähnlich empfinden.

    • Uber Europe hat seinen Sitz in den Niederlanden, deshalb wurde die Strafe dort verhängt.
      Eine bei der französischen Datenschutzaufsicht eingegangene Beschwerde wurde an die niederländische Seite weitergereicht.
    • Ich weiß nicht, ob du Niederländer bist, aber hier ist es ausführlicher erklärt: https://tweakers.net/nieuws/225768/uber-krijgt-van-ap-avg-bo...
      Die Strafe kam von der niederländischen Regulierungsbehörde, aber die Untersuchung begann in Frankreich: Im Juni 2020 wandten sich 21 französische Uber-Fahrer an die Menschenrechtsorganisation Ligue Des Droits De L'homme Et Du Citoyen.
      Später schlossen sich weitere 151 Uber-Fahrer der Beschwerde an; die LDH brachte sie zur französischen Datenschutzbehörde CNIL, und diese leitete sie im Januar 2021 an die niederländische Datenschutzbehörde weiter, weil Ubers europäischer Hauptsitz in den Niederlanden liegt.
    • Ubers Hauptsitz ist in den Niederlanden.
      Weil ihnen das Steuersystem dort gefällt.
    • Die Strafe wird bis zum Ende des Berufungsverfahrens ausgesetzt.
      Laut DPA wird das Berufungsverfahren etwa vier Jahre dauern; tatsächlich wird es also eine vierjährige Berufung.
    • Diese Strafe ist kein Schadensersatz, sondern eine Sanktion.
      Alle europäischen Datenschutzbehörden berechnen Bußgelder gegen Unternehmen auf dieselbe Weise und können bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens verhängen.
  • Auslöser dafür, dass die niederländische Datenschutzbehörde (DPA) eine Untersuchung gegen Uber einleitete, war, dass mehr als 170 französische Fahrer Beschwerde bei der französischen Menschenrechtsorganisation LDH einlegten und LDH diese bei der französischen DPA einreichte.
    Ich frage mich, auf welcher Grundlage die Fahrer ursprünglich Verdacht schöpften.

    • Sie könnten es sich mit gesundem Menschenverstand zusammengereimt haben, oder die App könnte sich direkt mit US-Servern verbunden haben.
    • Es könnte auch einfach Nachlässigkeit aufseiten von Uber gewesen sein.
      Ich hatte persönlich vor langer Zeit einmal mit einer US-Organisation zu tun und das danach völlig vergessen.
      Fast 15 Jahre später begann von der Adresse der Zentrale in Washington E-Mail-Spam zu kommen; ich bat darum, das einzustellen, aber es hörte nicht auf.
      Als ich mit rechtlichen Schritten nach der DSGVO drohte und die Löschung verlangte, antworteten sie, sie hätten dem entsprochen, doch ein Jahr später kam von derselben Adresse wieder Spam.
      So erfuhr ich, dass sie meine Daten nicht gelöscht hatten und sie in den USA gespeichert waren.
  • Ich frage mich, wie diese Sache mit dem EU–US Data Privacy Framework zusammenhängt.
    Ich hatte verstanden, dass dieses Framework als Ersatz für den EU–US Privacy Shield solche Übermittlungen erlauben sollte; vor 2020, also zur Zeit des Privacy Shield, wäre das vermutlich kein Problem gewesen.
    Verstehe ich da etwas falsch?

    • In diesem Beitrag[1] der niederländischen DPA stehen Details dazu.
      Der Privacy Shield wurde 2020 für ungültig erklärt, und als gültiges Mittel für Übermittlungen blieben nur die Standardvertragsklauseln übrig.
      Uber stellte im August 2021, also vor Einführung des neuen Privacy Framework im Jahr 2023, die Nutzung der Standardvertragsklauseln ein und übermittelte zwei Jahre lang hochsensible Informationen ohne gültige Grundlage.
      [1]: https://www.autoriteitpersoonsgegevens.nl/en/current/dutch-d...
    • Dieses Verständnis ist falsch.
      Im Grunde ist auch das Framework, wie zuvor der Shield, ein Versuch der Kommission zu zeigen: „Seht her, wir haben es repariert.“
      Leider hat der EuGH in den beiden vorherigen Fällen im Nachhinein jeweils festgestellt, dass sich die Defizite des US-Datenschutzrechts durch kein Framework beheben lassen und dass auch der Shield, ebenso wie sein Vorgänger, die behaupteten Befugnisse tatsächlich nicht einräumte.
      Dieses Framework wurde vom EuGH noch nicht geprüft, aber da sich das US-Recht nicht wesentlich geändert hat, scheint das Ergebnis absehbar.
  • Wir hatten Glück, eine kurze Zeit erlebt zu haben, in der das Internet wirklich ein weltweites Netzwerk war
    Jemand in den Niederlanden oder Nigeria[1] konnte die besten Tech-Services der Welt nutzen, und Menschen konnten über Grenzen hinweg relativ frei miteinander interagieren
    Aber das geht nun zu Ende. Da jedes Lehen seinen Anteil und ein Mitspracherecht will, wird es immer schwieriger, das Internet als globales Netzwerk zu erhalten
    Schön war’s, solange es dauerte
    [1]: https://www.reuters.com/technology/nigerias-consumer-watchdo...

    • Diese Gesetze wurden aus guten Gründen geschaffen, und US-Tech-Unternehmen haben die Datenschutzrechte der Menschen lange nach Belieben mit Füßen getreten
      Wenn ein Unternehmen ehrenhaft handelt, hat es nichts zu befürchten und kann problemlos weltweit Geschäfte machen
      Probleme entstehen, wenn man dubiose Dinge tut, die von Anfang an illegal hätten sein sollen
      Der Kern ist, dass US-Recht am laxesten ist und große Eingriffe in die Privatsphäre der Bürger zulässt, weshalb Unternehmen nun das Gefühl haben, unnötig eingeschränkt zu werden
      Wären die US-Gesetze strenger, wäre das kein Problem, und niemand würde darüber reden
      Sich nur auf die Freiheit von Unternehmen zu konzentrieren, tun zu können, was sie wollen, ist sehr kurzsichtig und US-zentriert. Was ist mit der Freiheit der Nutzer, ohne Überwachung zu leben?
      Die Netzwerkeffekte sind so stark, dass die freie-Marktwirtschaft-Logik von „Wenn es dir nicht gefällt, geh woandershin“ nicht wirklich passt, und weil von außen schwer zu erkennen ist, wie Daten verarbeitet werden, gibt es auch ein großes Transparenzproblem
      Zumal jedes Unternehmen Daten wie sein Eigentum und eine Cashcow behandelt
    • Physische Produkte müssen beim Export in andere Länder lokale Gesetze einhalten; ich sehe nicht, warum Online-Services davon ausgenommen sein sollten
      Nennt man auch das „Lehen wollen ihren Anteil und ein Mitspracherecht“? Ist man gegen das Konzept von Gesetzen an sich?
    • „Wir hatten das Glück, eine kurze Zeit erlebt zu haben, in der die Welt wirklich ein globales Handelsnetz war. Briten hatten Zugang zum besten Tee der Welt, und Menschen konnten über Grenzen hinweg relativ frei Handel treiben. Aber das geht nun zu Ende. Da jedes Lehen seinen Anteil und ein Mitspracherecht will, wird es immer schwieriger, die Welt als globales Netzwerk zu erhalten. Schön war’s, solange es dauerte.“
      Vermutlich hätte auch irgendein ahnungsloser Mensch am Ende des Britischen Empire so geredet
    • Könnte es nicht sein, dass das Zentrum dieses „weltweiten Netzwerks“ es in ein Werkzeug für Einfluss und Überwachung verwandelt hat?[1]
      Oder dass die Unternehmen, die an diesem Netzwerk teilnahmen, ein Interesse daran entwickelten, das Netzwerk hinter Mauern einzusperren?[2][3]
      Oder dass dieses globale Netzwerk von einigen dominanten Akteuren so stark umgestaltet wurde, dass externe Regulierung nötig wurde?[4][5]
      Natürlich nicht. Es ist keine Reaktion auf massiven Missbrauch durch die Industrie, sondern nur der Versuch regionaler Fürsten, ein bisschen Macht zusammenzukratzen
      [1]: https://en.wikipedia.org/wiki/PRISM
      [2]: https://www.eff.org/fr/deeplinks/2013/05/google-abandons-ope...
      [3]: https://blockthrough.com/blog/the-walled-gardens-of-the-ad-t...
      [4]: https://www.theverge.com/c/23998379/google-search-seo-algori...
      [5]: https://en.wikipedia.org/wiki/Facebook%E2%80%93Cambridge_Ana...
    • Ubers Recht, zu tun, was es will, endet bei meinem Recht, Informationen über mich zu kontrollieren
      Was ist Freiheit? GPL oder BSD? Die Faust zu schwingen oder nicht auf die Nase getroffen zu werden?
  • Wenn das Berufungsverfahren etwa vier Jahre dauert und die Geldbuße bis zum Ausschöpfen aller Rechtsmittel ausgesetzt wird, werden wir von dieser Sache wohl in vier Jahren wieder hören

  • Uber wird das als „Kosten des Geschäfts in Europa“ verbuchen und als Markup auf die Preise aufschlagen

  • In den letzten Jahren summieren sich die von der EU gegen US-Tech-Unternehmen verhängten Geldbußen auf 14,8 Milliarden US-Dollar: https://loeber.substack.com/p/20-no-more-eu-fines-for-big-te...
    Dieses Substack ist ziemlich gut und zeigt deutlich, dass US-Tech-Unternehmen Europa zwar nicht so bald verlassen werden, in der Beziehung aber deutlich mehr Macht haben
    Die Regulierer überreizen ihr Blatt

    • Ich sehe nicht, inwiefern sie ihr Blatt genau überreizen
      Selbst wenn US-Big-Tech sich aus Europa zurückzieht, könnte das, abgesehen von der kurzen Frist, für den regionalen Markt sogar gut sein
      Mit ihnen zu konkurrieren ist extrem schwierig, und das gilt auch auf dem US-Heimatmarkt
      Wenn sie aus einem so großen Markt wie der EU verschwinden, dürfte das Wettbewerb anstoßen
    • Was passiert dann? Es entsteht eine Lücke, und niemand kann sie füllen?
      Selbst wenn man annimmt, die EU hätte keinerlei Fähigkeiten, ist diese Annahme angesichts der Tatsache, dass das derzeit beste Bildgenerierungsmodell und ziemlich gute Open-Source-LLMs aus der EU stammen, sehr unrealistisch
      Außerdem gibt es in vielen europäischen Ländern, besonders in Osteuropa, hervorragende Tech-Talente, und chinesische Unternehmen würden sofort einsteigen
    • Das Gegenargument zu diesem Artikel ist einfach: US-Big-Tech kann Geldbußen vollständig vermeiden, indem es EU-Recht einhält
    • Vielmehr scheint es zu bedeuten, dass sie mit europäischen Kunden so enorm viel Geld verdienen, dass sie solche Geldbußen verkraften können
      Für Europa ist es deshalb immer noch ein miserabler Deal