Bußgeld gegen Uber wegen rechtswidriger Datenübermittlung

Die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens (AP) hat gegen Uber eine Geldbuße von 290 Millionen Euro verhängt. Uber soll zwischen 2021 und 2023 Daten seiner Fahrer aus dem europäischen Wirtschaftsraum (EWR) ohne hinreichenden Schutz an Server in den USA übermittelt haben. Es handelt sich bereits um das dritte Bußgeld, das die AP wegen Datenschutzverstößen gegen Uber verhängt: 2018 wurde Uber bereits mit einem Bußgeld von 600.000 Euro sowie 2023 mit einem Bußgeld von 10 Millionen Euro sanktioniert.

Vorwurf rechtswidriger Datenübermittlung in die USA

Die AP wirft Uber in ihrem Beschluss zwei unterschiedliche Datenschutzverstöße vor, die auf der Zusammenarbeit zwischen der US-amerikanischen Uber Technologies, Inc. (UTI) und deren niederländischen Tochterfirma Uber B.V. (UBV) basieren. Kern des Problems ist, dass UBV bezüglich der Verarbeitung bzw. Speicherung von Daten von Personen aus dem EWR auf Server der UTI zurückgreift, die sich wiederum in den USA und damit außerhalb des Geltungsbereichs der DSGVO befinden.

Zum einen sollen über die Fahrer-App personenbezogene Daten von Fahrern aus dem EWR an ebenjene Server übertragen und dort gespeichert worden sein. Die Daten sollen sich dabei nicht nur auf Standorte, Konten, Zahlungsbelege und Bewertungen der Fahrer bezogen haben. Vielmehr seien auch deutlich sensiblere Daten wie Identitätsnachweise sowie medizinische oder strafrechtliche Daten betroffen gewesen, die nach Art. 9, 10 DSGVO unter besonderem Schutz stehen. Zum anderen soll zwischen UBV und UTI auch für die Verarbeitung von Anfragen von Fahrern bezüglich ihrer Rechte nach der DSGVO ein struktureller Datenaustausch über US-amerikanische Server stattgefunden haben.

Für die Übermittlung von Daten in ein Land außerhalb des EWR stellen die Art. 44 ff. DSGVO besondere Schutzanforderungen auf, da der Datenschutz nicht durch den Export der Daten in ein Drittland umgangen werden darf. Damit muss UBV als Exporteur der Daten die Einhaltung dieser Anforderungen gewährleisten. Nachdem der EuGH die Privacy-Shield-Vereinbarung zwischen der EU und den USA 2020 in seiner Schrems-II-Entscheidung (Urt. v. 16.7.2020 – C-311/18) für ungültig erklärt hat, wären zur Einhaltung der Schutzvorschriften Standardschutzklauseln zwischen UBV und UBI erforderlich gewesen. Derartige Vereinbarungen sollen zwischen den Parteien jedoch nicht bestanden haben.

Seit 2023 können Unternehmen nunmehr Datenübermittlungen in die USA auf das sog. EU-US Data Privacy Framework stützen, das zumindest gegenwärtig eine sichere Rechtsgrundlage darstellt. Die Entscheidung der AP ist trotz dieser geänderten Rechtslage sehr beachtenswert, da die Behörde sowohl zum Verschulden von Uber als auch bei der Bußgeldbemessung lesenswerte Ausführungen vornimmt.

Verschuldensnachweis im AP-Beschluss

Der Beschluss der AP ist umfangreich und sorgfältig begründet. Bezüglich der Verschuldensfrage bleibt die Entscheidung jedoch oberflächlich, sodass sich ein näherer Blick lohnt. Ein objektiver Verstoß gegen Vorgaben der DSGVO reicht für sich genommen nämlich noch nicht aus, um ein Bußgeld nach Art. 83 DSGVO zu verhängen. Hinzukommen muss, dass der Verantwortliche oder Auftragsverarbeiter  schuldhaft, d. h. vorsätzlich oder fahrlässig, gehandelt hat – dies gilt sowohl für natürliche Personen, aber auch für juristische Personen, wenn Sie die datenschutzrechtliche Verantwortlichkeit tragen (EuGH, Urt. v. 5.12.2023 – C-807/21, „Deutsche Wohnen SE“, Rn. 61 ff.). Die AP prüft das Verschulden nur kursorisch und verweist darauf, dass Uber in Anbetracht der DSGVO und der EuGH-Rechtsprechung wissen musste, dass für die Datenübermittlung in die USA gewisse Schutzanforderungen einzuhalten gewesen seien. Der Verschuldensnachweis beschränkt sich damit auf die Feststellung der objektiven Erkennbarkeit des Datenschutzverstoßes. Ob eine solcher abstrakter Verweis auf die EuGH-Rechtsprechung den Anforderungen an den Verschuldensnachweise genügen kann, ist fraglich. Wann ein Verschulden einer juristischen Personen anzunehmen ist, ist eine der zentralen Frage bei der Begründung von Datenschutzbußgeldern, die die AP hier leider nicht befriedigend beantwortet.

Grundlage der Bußgeldbemessung durch die AP

Bei der Bußgeldbemessung stützt sich die AP ausdrücklich auf die EDSA-Leitlinien 04/2022 für die Berechnung von Geldbußen im Sinne der DSGVO (Rn. 142 f. des Beschlusses). Diese sehen ein fünfstufiges Bemessungsverfahren vor:

  1. Ermittlung der Verarbeitungsvorgänge und ggf. Anwendung von Art. 83 Abs. 3 DSGVO
  2. Ermittlung des Ausgangspunkts durch Einordnung innerhalb des Art. 83 DSGVO und Einschätzung der Schwere des Verstoßes
  3. Bewertung anderer erschwerender oder mildernder Umstände
  4. Ermittlung der einschlägigen gesetzlichen Höchstmaße für die verschiedenen Verarbeitungsvorgänge
  5. Prüfung, ob der errechnete Betrag die Anforderungen an Wirksamkeit, Abschreckung und Verhältnismäßigkeit erfüllt

Dieses Schema geht die AP geradezu lehrbuchartig durch, wobei die Tiefe der inhaltlichen Ausführungen jedoch schwankt.

Konkretisierung des Anknüpfungspunkts der Sanktionsentscheidung

Im ersten Schritt konkretisiert die AP, was überhaupt als Tatverhalten für eine etwaige Sanktionierung in Betracht kommt. Wie oben dargelegt, werden Uber zwei verschiedene Verarbeitungsvorgänge vorgeworfen, die abstrakt betrachtet jedoch am selben Mangel leiden, namentlich an einer rechtswidrigen Datenübermittlung (Art. 44 DSGVO). Dies und den engen zeitlichen Zusammenhang nahm die AP wohl auch zum Anlass, beide Verstöße als ein einheitliches Geschehen zu betrachten und nur von einer einzigen Tat auszugehen, die beide Verstöße beinhaltet. Damit wird nur ein einziges Bußgeld verhängt, wobei die Behörde auch hier eher das Ergebnis feststellt und auf eine tiefergehende Prüfung der durchaus komplexen Konkurrenzproblematik verzichtet (Rn. 146 des Beschlusses).

Bestimmung des Bußgeldrahmens und grobe Verortung innerhalb des Rahmens

Da Art. 83 DSGVO für unterschiedliche Verstöße abweichende Bußgelder vorsieht und eine Reihe unterschiedlicher Bemessungsfaktoren auflistet, muss der Fall innerhalb der Norm eingeordnet werden. Nachdem ein Verstoß gegen Art. 44 DSGVO in Rede steht, geht die AP von einem Bußgeldhöchstmaß von 20 Millionen Euro bzw. 4 Prozent des gesamten weltweiten Umsatzes des Vorjahres aus, je nachdem, welcher Betrag höher ist (Art. 83 Abs. 5 lit. b DSGVO).

Innerhalb dieses abstrakten Bußgeldrahmens muss nun eine konkrete Bußgeldbemessung stattfinden. Die relevanten Bemessungsfaktoren werden von der AP dabei durchaus detailliert beleuchtet (Rn. 152 ff. des Beschlusses). Insoweit stellt die AP insbesondere dar, dass mit zunehmender Nähe des Datenverarbeitungsvorgangs zur „Kerntätigkeit“ des Unternehmens auch die Schwere des einschlägigen Verstoßes steige. Dahinter steht die Erwägung, dass dann umso mehr vom Betroffenen verlangt werden kann, sich vertieft mit Datenschutzfragen auseinanderzusetzen. Im konkreten Fall differenziert die Behörde: Die Datenübermittlung im Rahmen der Fahrten sei besonders schwerwiegend, weil diese für Uber den Kern der wirtschaftlichen Tätigkeit darstelle. Die Datenübermittlung im Rahmen von DSGVO-Auskunftsersuchen treffe Uber hingegen wie jedes andere Unternehmen auch; ein erschwerender Kernbereichsbezug liege nicht vor. Weiterhin nimmt die Behörde Bezug auf die Art der übertragenen Daten. Diese seien teilweise sensibler Natur, was sich insbesondere bei den medizinischen und strafrechtlichen Daten zeige, da diese in Art. 9, 10 DSGVO besonderen Schutz erfahren würden. Besonders hebt die AP die Übermittlung strafrechtlicher Daten hervor, da bekannt gewesen sei, dass die US-Behörden Zugang zu diesen Daten hätten erhalten können und damit kein angemessenes Schutzniveau habe gewährleistet werden können.

Bei der Berechnung der konkreten Bußgeldhöchstgrenze stellt die AP zutreffend auf den Umsatz der Muttergesellschaft UTI ab und nicht auf den der UBV. Betrachtungsobjekt ist im Rahmen der DSGVO-Bußgeldbemessung nicht die (natürliche oder juristische) Person, die den Verstoß unmittelbar begangen hat, sondern die übergreifende wirtschaftliche Einheit. Da UBV eine hundertprozentige Tochterfirma von UTI ist, wird vermutet, dass Letztere bestimmenden Einfluss auf die Tätigkeit von UBV hat (Akzo-Vermutung, s. EuGH, Urt. v. 10.9.2009 – C-97/08 P, Rn. 58 ff.). Diese Vermutung wurde vorliegend nicht widerlegt, sodass zur Berechnung der Höchstgrenze der weltweite Umsatz von UTI heranzuziehen ist. Dieser betrug 2023 34,235 Milliarden Euro, sodass maximal ein Bußgeld von 1,369 Milliarden Euro (4 Prozent des Gesamtumsatzes) verhängt werden konnte.

In der Gesamtschau schätzt die AP den Schweregrad der Verstöße als hoch ein. Die EDSA-Leitlinien sehen für diesen Schweregrad eine Bußgeldhöhe von 20 bis 100 Prozent des Höchstbetrags vor. Innerhalb dieses Korridors bewertet die AP die Verstöße jedoch nicht als derart schwerwiegend, dass die Höchstgrenze als Orientierungspunkt dienen müsse. Vielmehr sei zu berücksichtigen, dass die Datenschutzverstöße mittlerweile beendet seien. Daher hält sie grundsätzlich ein Bußgeld von 290 Millionen Euro für angemessen (Rn. 165 ff. des Beschlusses), was ca. 21 Prozent der Bußgeldhöchstgrenze entspricht, also nur unwesentlich über dem vorgesehenen Mindestmaß liegt.

Sonstige relevante Bemessungsfaktoren

Weiter müssen die restlichen in Art. 83 DSGVO genannten Umstände bewertet und unrechtserleichternd oder -erschwerend mitberücksichtigt werden. In diesem Schritt behandelt die AP lediglich die Art und Weise, wie die Behörde von den Verstößen Kenntnis erlangt hat. Hätte Uber die Verstöße den Datenschutzbehörden selbst gemeldet, würde dies strafmildernd wirken. Vorliegend basiert das Verfahren jedoch auf Beschwerden durch Betroffene, was die AP in Übereinstimmung mit den EDSA-Leitlinien als neutral bewertet (Rn. 169 des Beschlusses).

Anforderungen an Wirksamkeit, Abschreckung und Verhältnismäßigkeit

Die AP kommt abschließend zu dem Ergebnis, dass die Geldbuße in Höhe von 290 Millionen Euro wirksam, abschreckend und verhältnismäßig ist. Dabei folgt sie explizit nicht der Argumentation Ubers, dass die Geldbuße unzumutbare Auswirkungen auf den Aktienkurs des Unternehmens habe. Eine etwaige Beeinflussung des Aktienkurses hält die AP zwar für möglich, aber nicht für derart schwerwiegend, dass sie nicht mehr zumutbar wäre (Rn. 174 des Beschlusses). Dem ist im Ergebnis zuzustimmen, da der Verstoß und damit auch die Bußgeldverhängung in der Sphäre von Uber selbst liegt und das Unternehmen nicht allein deswegen einen höheren Schutz genießen kann, weil es börsennotiert ist.

Ausblick

Der AP-Beschluss unterstreicht die Bedeutsamkeit eines wirksamen Datenschutzmanagementsystems. In Anbetracht der erheblichen Bußgeldhöhe darf es nicht überraschen, dass Uber bereits angekündigt hat, gegen die Bußgeldentscheidung vorzugehen. Nachdem das Vakuum, das die Unwirksamkeit der Privacy-Shield-Vereinbarung hinterlassen hat, 2023 durch das EU-US Data Privacy Framework ausgefüllt wurde, steht die Datenübermittlung in die USA aktuell zumindest auf einer sicheren Rechtsgrundlage.

Sie haben Fragen zum Thema? Sprechen Sie uns gerne direkt an.