Uber und der Datenschutz

Uber statt Taxi – Sparen auf Kosten des Datenschutzes?

Trotz der zunehmenden Steuerung globaler Wirtschaftsbeziehungen durch Datenübermittlungen gab es laut des Verbands Deutsches Reisemanagement e.V. im vorvergangenen Jahr 11,2 Mio. Geschäftsreisende. Die Kosten umfassten hierbei ein Volumen von 52,5 Milliarden Euro. Aus diesem Grund versuchen Unternehmen immer mehr, neue Lösungswege im Mobilitätsmanagement aufzutun. Ein Kostenpunkt, der bei Geschäftsreisen regelmäßig anfällt, sind erforderliche Taxifahrten. Eine jedenfalls kostengünstige Alternative hierzu bietet der auch in deutschen Großstädten präsente Fahrdienstvermittler Uber an.

Der folgende Beitrag soll die von Uber angebotenen Dienste allerdings nicht aus ökonomischer Sicht beleuchten oder die Frage beantworten wie Uber gesamtrechtlich einzuordnen ist, sondern erörtern, inwiefern aus datenschutzrechtlicher Perspektive ein angemessenes Schutzniveau seitens Uber (nicht) gewährleistet wird und welche Konsequenzen sich hieraus für die Nutzung Uber im unternehmerischen Kontext ergeben.

 

Umfährt Uber den europäischen Datenschutz?

Vergangenes Jahr geriet Uber unfreiwillig in die Schlagzeilen, nachdem herauskam, dass Uber einem Hackerangriff zum Opfer gefallen ist. Nun war die Tatsache, dass die Hacker Zugriff auf die Daten von 50 Millionen Fahrgästen und 7 Millionen Fahrern erlangt hatten schon in hohem Maße besorgniserregend. Für noch mehr Unbehagen dürfte allerdings die Berichterstattung über den Umgang von Uber mit diesem Datenschutzvorfall gesorgt haben. Statt seiner in Art. 33 und 34 DSGVO niedergelegten Melde- und Benachrichtigungspflicht gegenüber den Aufsichtsbehörden und den betroffenen Personen zu genügen, entschied sich Uber dafür, den Cyber-Angreifern die Summe von 100.000 US-Dollar zu überweisen und darauf zu vertrauen, dass es hiermit sein Bewenden haben werde. Die niederländische Datenschutzaufsichtsbehörde hat in der Folge eine Geldbuße i.H.v. 600.000 € gegen Uber verhängt. Nun haben sich diese Vorgänge in den Jahren 2017 und 2018 ereignet, sodass sich die Frage stellt, ob im Anschluss an diese Ereignisse die notwendigen Maßnahmen ergriffen wurden, um diesen Dienst ohne datenschutzrechtliche Bedenken nutzen zu können. Schwerpunkt des vorliegenden Artikels bilden die durch Uber stattfindende Übermittlung von personenbezogenen Daten in die USA und die in der DSGVO enthaltene Pflicht, die betroffenen Personen über bestimmte Aspekte der Datenverarbeitung zu informieren.

Drittstaatentransfer

Wie bereits angesprochen und von Uber in seiner Datenschutzrichtlinie selbst bestätigt, findet ein Datentransfer in die USA statt. Warum ist die Übermittlung von Nutzerdaten in die USA problematisch? Die USA sind als Nichtmitgliedstaat der EU ein sog. Drittstaat. Damit eine Übermittlung von personenbezogenen Daten in einen Drittstaat erfolgen kann, müssen besondere Voraussetzungen erfüllt sein, damit der in der EU vorgesehene Schutz aufrechterhalten wird. Diese Voraussetzungen finden sich in den Art. 44 ff. DSGVO. Eine Grundlage für einen Drittstaatentransfer ist ein sog. Angemessenheitsbeschluss nach Art. 45 DSGVO. Ein solcher kommt zustande, wenn die Kommission beschlossen hat, dass das betreffende Drittland ein angemessenes Schutzniveau bietet.

EU-US Privacy Shield

Für einen Datentransfer in die USA wurde nach dem Scheitern des Safe-Harbor-Abkommens das EU-US Privacy-Shield aus der Taufe gehoben. Hierbei handelt es sich um einen Angemessenheitsbeschluss, der allerdings in seiner Reichweite auf Stellen beschränkt ist, die vom US-Handelsministerium entsprechend zertifiziert wurden. Eine entsprechende Privacy-Shield-Zertifizierung besteht momentan für Uber nicht, sodass von einem dem europäischen Datenschutzniveau vergleichbaren Standard bei Uber jedenfalls nicht aufgrund einer solchen Zertifizierung ausgegangen werden kann. Vor dem Hintergrund des im Oktober 2018 abgeschlossenen Vergleichs zwischen dem US-Handelsministerium und Uber, der mit sehr tiefreichenden Kontrollrechten des Ministeriums verbunden ist, scheint eine baldige Zertifizierung auch nicht eben wahrscheinlich. Möglicherweise stünden einer Zertifizierung auch die Entscheidungen europäischer Aufsichtsbehörden bzgl. hoher Geldbußen ggü. Uber vom November 2018 entgegen, die infolge der o.g. Datenschutzverletzungen erforderlich wurden. Die Pressemitteilungen der britischen, niederländischen und französischen Aufsichtsbehörde finden Sie hier und hier und hier. Selbst bei Vorliegen einer entsprechenden Zertifizierung wäre die grundsätzliche Frage zu stellen, ob dieser in hinreichendem Maß Vertrauen geschenkt und mithin davon ausgegangen werden kann, das Datenschutzniveau befinde sich auf einem angemessenen, d.h. DSGVO-konformen, Stand. Schon zu Zeiten von Safe Harbour bestanden an dem Mechanismus grundsätzliche Zweifel, war doch die Zertifizierung von US-amerikanischen Unternehmen alleine durch eine Selbstauskunft und Registrierung des jeweiligen Unternehmens möglich.

Nachdem Safe-Harbour fiel, steht nun auch eine Entscheidung des EuGH zur rechtlichen (Un-)Bedenklichkeit des Privacy-Shields aus. Der Ausgang des von Max Schrems und der irischen Datenschutzaufsicht angestrengten Verfahrens ist ungewiss, könnte aber sehr gravierende Folgen für Unternehmen zeitigen, die sich an Datenübermittlungen in die USA beteiligen.

Der bloße Hinweis von Uber, die Übermittlung von „Daten von Nutzern außerhalb der USA werden von Uber mithilfe von nach geltendem Recht zulässigen Verfahren übermittelt“, erscheint vor dem Hintergrund der fehlenden Zertifizierung sowie dem fehlenden Hinweis bzgl. etwaiger anderer Rechtsgrundlagen wie z.B. Binding Corporate Rules oder Standardvertragsklauseln bloß deklaratorischer Natur zu sein.

Zu berücksichtigen bleibt selbstverständlich, dass ein Drittstaatentransfer auch auf Grundlage der Ausnahmen des Art. 49 DSGVO erfolgen kann. Der Ausnahmecharakter der Norm indiziert allerdings eine restriktive Auslegung, die gerade keine Hintertür für die „normale“ Anwendung der bekannten Erlaubnistatbestände gewährleisten soll. Dementsprechend ist hiervon abzuraten.

Informationspflichten

Mit Einführung der DSGVO wurden auch die Betroffenenrechte gestärkt, denen Pflichten der Verantwortlichen korrespondieren. Eine dieser Pflichten findet sich in Art. 13 DSGVO: die Informationspflicht. Beim Besuch der App Stores (Google Play Store, Windows Store, App Store) stellt sich heraus, dass für Android wie iOS auf dieselbe Datenschutzrichtlinie verlinkt wird, ohne hierbei App-spezifische Verarbeitungen wie z.B. die Übertragung von Daten an den Store-Betreiber in Rechnung zu stellen bzw. überhaupt hierüber zu informieren.[1] Die von Uber zur Verfügung gestellten Informationen betreffend den Datenschutz ergeben sich aus drei Quellen, wenn man die nur für die USA relevanten privacy policies außer Acht lässt:

  1. Datenschutzrichtlinie
  2. Sog. Privacy overview
  3. Uber-Richtlinien zu Datenanfragen durch Dritte und Zustellung von Rechtsdokumenten, die fälschlicherweise in der deutschen Version mit Impressum betitelt werden.

Bei der Durchsicht lässt sich jedenfalls konstatieren, dass Uber sich durchaus bemüht, umfassende Informationen zu den erfolgenden Datenverarbeitungen zur Verfügung zu stellen. Nichtsdestotrotz zeigen sich erhebliche Defizite bei der Angabe der Rechtsgrundlagen der jeweiligen Verarbeitung, die einen Pflichtbestandteil von Datenschutzhinweisen nach Art. 13 DSGVO bilden. Uber spricht an den einschlägigen Stellen von „rechtlichen Gründen“, vermischt aber die Zwecke der Verarbeitung und Rechtsgrundlagen. So ist z.B. die Aussage „[d]ie Verarbeitung ist notwendig, um die von dir angeforderten Dienste und Funktionen bereitzustellen“ als konkreter rechtlicher Grund angegeben, was in dieser Form schlichtweg falsch ist. Beim Durchlesen der Informationspflichten scheint es, als ob das Grundprinzip des europäischen Datenschutzes immer noch nicht erfasst wurde: das sog. Verbot mit Erlaubnisvorbehalt. Dieses Prinzip besagt, dass die Verarbeitung personenbezogener Daten verboten ist, es sei denn, es ist ausdrücklich erlaubt. Die entsprechenden Regelungen, unter welchen Voraussetzungen eine Verarbeitung erlaubt ist, richten sich primär nach Art. 6 DSGVO.  Die Tatsache, dass Uber an dieser Stelle mit sehr viel Unbestimmtheit glänzt, verspricht nichts Gutes im Hinblick auf eine geplante DSGVO-Compliance.

Ebenso defizitär sind die von Uber zur Verfügung gestellten Informationen bzgl. des Drittstaatentransfers. Dass die nach Art. 13 Abs. 1 lit. f DSGVO verpflichtend zu liefernden Informationen derart oberflächlich ausfallen liegt möglicherweise auch in der oben geschilderten Problemstellung begründet, da Uber hier vermutlich auch nicht über sonderlich viel informieren könnte, selbst wenn es wollte.

Fazit

Alles in allem ist eine Nutzung von Uber hinsichtlich der Verarbeitung personenbezogener Nutzerdaten insbesondere im beruflichen Kontext aus datenschutzrechtlicher Sicht nicht zu empfehlen. Bei der Verwendung der Uber Apps entstehen Informationen, die Uber umfangreiche Rückschlüsse auf das persönliche Umfeld des Nutzers (u.a. Fahr- und Bewegungsprofile) erlauben. Der Anbieter legt die Zwecke der Verarbeitung nur unzureichend dar und erklärt auch nicht hinreichend konkret, was mit den erhobenen Daten passiert – wobei Aspekte wie Datensparsamkeit, Löschfristen oder auch die technischen und organisatorischen Maßnahmen zu Datenschutz und Informationssicherheit noch gar nicht näher betrachtet wurden. Besondere Vorsicht sollte Unternehmen walten lassen, die Uber als kostengünstigere Alternative zum Taxi für ihre Beschäftigten anbieten wollen. Unabhängig davon, in welcher Konstellation die rechtlichen Beziehungen ausgestaltet würden, bestünde das Problem des unzulässigen Drittstaatentransfers, der den „großen Bußgeldrahmen“ nach Art. 82 Abs. 5 lit. c DSGVO auslösen würde.

 

Vgl. auch Lachenmann in Koreng/ders. (Hrsg.), Formularhandbuch Datenschutzrecht, 2. Auflage 2018, Kap. F.2 Rn.1.

Zurück