Die niederländische Datenschutzbehörde (DPA) teilt in einer aktuellen Pressemitteilung mit, dass sie dem Unternehmen Uber eine DSGVO-Strafe von 290 Mio. EUR auferlegt hat, weil es persönliche Daten europäischer Fahrer in die USA übermittelt hat, ohne ausreichende Schutzmaßnahmen gemäß der DSGVO zu ergreifen. Dies betrifft sensible Informationen wie Standortdaten, Zahlungsdetails und medizinische Daten.
Die DPA stellte fest, dass Uber die Anforderungen zum Schutz der Daten nicht erfüllt hat, was eine schwere Verletzung der DSGVO darstellt. Uber hat diese Praxis inzwischen eingestellt.
Aus der Pressemitteilung:
"In Europe, the GDPR protects the fundamental rights of people, by requiring businesses and governments to handle personal data with due care", Dutch DPA chairman Aleid Wolfsen says. "But sadly, this is not self-evident outside Europe. Think of governments that can tap data on a large scale. That is why businesses are usually obliged to take additional measures if they store personal data of Europeans outside the European Union. Uber did not meet the requirements of the GDPR to ensure the level of protection to the data with regard to transfers to the US. That is very serious."
Und zur Höhe der Strafe:
"All DPAs in Europe calculate the amount of fines for businesses in the same manner. Those fines amount to a maximum of 4% of the worldwide annual turnover of a business. Uber had a worldwide turnover of around 34.5 billion euro in 2023. Uber has indicated its intent to object to the fine.
This is the third fine that the Dutch DPA imposes on Uber. The Dutch DPA imposed a fine of 600,000 euro on Uber in 2018, and a fine of 10 million euro in 2023. Uber has objected to this last fine."
Die vollständigen schriftlichen Entscheidungsgründe gibt es hier zum Nachlesen (auf niederländisch).