Thought Leadership
Die niederländische DPA hat Ubers Einspruch gegen die Millionenstrafe wegen DSGVO-Verstößen abgewiesen. Fahrer wurden bei ihren Auskunftsrechten behindert.
Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens, AP) hat am Montag eine weitreichende Entscheidung im Streit um die Fahrerrechte beim Fahrdienstleister Uber getroffen. Der Einspruch des US-Unternehmens gegen eine im Januar 2024 verhängte Geldstrafe in Höhe von 10 Millionen Euro wurde als unbegründet zurückgewiesen. Damit bestätigt die Aufsichtsbehörde ihre ursprüngliche Auffassung, dass Uber systematisch gegen die Transparenzpflichten der Datenschutz-Grundverordnung (DSGVO) verstoßen und die Auskunftsrechte seiner Fahrer erschwert hat.
Systematische Behinderung der Auskunftsrechte
Im Kern der Untersuchung, die bereits vor über zwei Jahren zu der Rekordstrafe führte, standen die Hürden, die Uber seinen Fahrern bei der Abfrage ihrer personenbezogenen Daten in den Weg legte. Gemäß Artikel 15 der DSGVO hat jede betroffene Person das Recht, eine Kopie der über sie gespeicherten Daten zu erhalten. Uber stellte hierfür zwar ein digitales Formular innerhalb der App zur Verfügung, doch die Ermittler der DPA stellten fest, dass dieses für die Fahrer kaum auffindbar war.
Das Formular war tief in den Untermenüs der App vergraben und über verschiedene Bereiche verstreut. Für die Fahrer war es somit unnötig kompliziert, ihr Recht auf Datenzugriff wahrzunehmen. Die Aufsichtsbehörde wertete dies als gezielte Barriere. Aleid Wolfsen, Vorsitzender der niederländischen DPA, betonte bereits in der ursprünglichen Urteilsbegründung, dass Uber die Fahrer hätte unterstützen müssen, statt ihnen Hindernisse in den Weg zu legen. Dieses Verhalten sei „inakzeptabel“ und widerspreche dem Geist des Gesetzes, welches eine einfache Wahrnehmung der Betroffenenrechte vorschreibt.
Mängel in der Informationspflicht und Transparenz
Ein weiterer schwerwiegender Punkt der Entscheidung betrifft die Art und Weise, wie Uber über die Verarbeitung der Fahrerdaten informierte. Die Behörde rügte, dass wesentliche Unternehmensdokumente und interne Richtlinien für die Fahrer in einer unverständlichen Sprache verfasst waren. Eine klare und leicht verständliche Kommunikation ist jedoch nach Artikel 12 der DSGVO zwingend erforderlich, um eine informierte Einwilligung oder Kenntnisnahme zu ermöglichen.
Zudem wies die Datenschutzerklärung von Uber signifikante Lücken auf:
- Speicherdauer: Es fehlten präzise Angaben darüber, wie lange die Daten der Fahrer gespeichert bleiben.
- Internationale Datentransfers: Uber lieferte unzureichende Informationen darüber, in welche Länder außerhalb der Europäischen Union die Daten übermittelt werden und welche Sicherheitsgarantien dabei greifen.
Diese Intransparenz verhinderte, dass Fahrer ein klares Bild davon erhielten, was mit ihren Bewegungsprofilen, Bewertungen und Verdienstdaten geschieht, sobald diese von der Plattform verarbeitet werden.
Erfolgloser Einspruch und Bestätigung der Strafhöhe
Gegen den ursprünglichen Bescheid aus dem Januar 2024 hatte Uber unmittelbar Widerspruch eingelegt. In dem nun abgeschlossenen Einspruchsverfahren argumentierte der Konzern, dass seine Datenschutzpraktiken im Einklang mit der DSGVO stünden. Zudem verwies Uber darauf, dass man seit dem ursprünglichen Urteil zahlreiche Verbesserungen an der App-Oberfläche und der Datenschutzerklärung vorgenommen habe, um die Transparenz zu erhöhen.
Die niederländische Aufsichtsbehörde ließ diese Argumentation jedoch nicht gelten. In der heutigen Entscheidung stellt die DPA klar, dass nachträgliche Korrekturen die in der Vergangenheit begangenen Verstöße nicht ungeschehen machen. Die Behörde bleibt daher bei ihrer Einschätzung, dass die Schwere und Dauer der Verstöße die Strafhöhe von 10 Millionen Euro rechtfertigen. Mit der Zurückweisung des Einspruchs ist das Verwaltungsverfahren innerhalb der Behörde nun abgeschlossen.
Uber zeigt sich uneinsichtig
Trotz der klaren Entscheidung der Aufsichtsbehörde zeigt sich Uber weiterhin uneinsichtig. Das Unternehmen kündigte unmittelbar nach Bekanntgabe der Entscheidung an, den Fall vor Gericht zu bringen. Damit tritt der Rechtsstreit in eine neue Phase ein, in der die niederländischen Zivilgerichte die Rechtmäßigkeit der DPA-Entscheidung sowie die Angemessenheit der Bußgeldhöhe überprüfen müssen.
Branchenexperten sehen in diesem Fall ein wichtiges Signal für die gesamte Plattformökonomie. Es geht um die fundamentale Frage, wie Tech-Konzerne, deren Geschäftsmodell auf der Auswertung von Nutzer- und Mitarbeiterdaten basiert, die Kontrollrechte der Betroffenen gewährleisten müssen. Das Urteil verdeutlicht, dass „Dark Patterns“, also Design-Entscheidungen, die Nutzer an der Wahrnehmung ihrer Rechte hindern, im Bereich des Datenschutzes konsequent sanktioniert werden.
Für die tausenden Uber-Fahrer in den Niederlanden und Europa bedeutet die Bestätigung der Strafe vorerst eine Stärkung ihrer Position. Die Entscheidung stellt klar, dass Unternehmen in der Pflicht stehen, Auskunftsprozesse proaktiv und nutzerfreundlich zu gestalten. Sollte Uber auch vor Gericht scheitern, könnte dies eine Welle ähnlicher Verfahren gegen andere Plattformbetreiber auslösen, die ebenfalls intransparente Datenstrukturen nutzen.
