anonym.legal
Zurück zum BlogDSGVO & Compliance

Niederländische AP: Die €290M Uber-Strafe und warum grenzüberschreitende Datenübertragungen Amsterdams Durchsetzungspriorität sind

Die niederländische AP verhängte die größte individuelle Geldstrafe für Datenübertragungen der EU — €290M gegen Uber im Jahr 2024. Hier sind die Anforderungen an die Einhaltung der grenzüberschreitenden Übertragung für in den Niederlanden ansässige Organisationen.

March 7, 20267 min Lesezeit
Dutch APNetherlands GDPRUber GDPR finecross-border data transferEU data transfer

Die niederländische AP und der Uber-Präzedenzfall

Die niederländische Autoriteit Persoonsgegevens (AP) etablierte im August 2024 den bedeutendsten Durchsetzungspräzedenzfall für Datenübertragungen der EU: eine Geldstrafe von €290M gegen Uber Technologies wegen der unbefugten Übertragung persönlicher Daten europäischer Fahrer an Server in den Vereinigten Staaten.

Die Durchsetzungsmaßnahme gegen Uber umfasste:

  • Daten europäischer Fahrer (Taxi-Lizenzen, strafrechtliche Überprüfungen, medizinische Unterlagen, Reiseverläufe), die auf US-amerikanischen Servern gespeichert waren
  • Datenübertragung nach der Ungültigkeit des EU-US Privacy Shield durch Schrems II (Juli 2020)
  • Fortsetzung der Übertragungen ohne Implementierung von Standardvertragsklauseln oder anderen Datenschutzgarantien gemäß Artikel 46 der DSGVO für etwa zwei Jahre nach Schrems II

Die Geldstrafe von €290M ist die höchste individuelle Geldstrafe der EU für Verstöße gegen Datenübertragungen und die dritthöchste insgesamt im Rahmen der DSGVO. Sie stellt fest, dass Verstöße gegen grenzüberschreitende Übertragungen — nicht nur Datenverletzungen — katastrophale finanzielle Folgen haben.

Die Durchsetzungsprioritäten der niederländischen AP

Die niederländische AP erhielt 2023 über 21.400 DSGVO-Beschwerden und setzte Durchsetzungsressourcen gemäß einer veröffentlichten Prioritätenmatrix ein. Die drei Prioritätskategorien:

Priorität 1 — Mitarbeitersurveillance (43% der Durchsetzungsfälle): In den Niederlanden ansässige Unternehmen erhielten wiederholt Durchsetzungsmaßnahmen der AP wegen Mitarbeiterüberwachung: verdeckte Überwachung, unverhältnismäßige E-Mail-Überwachung und Geolokalisierung ohne angemessene Benachrichtigung. Das niederländische Arbeitsrecht (Arbeidstijdenwet) bietet zusätzlichen Schutz über die DSGVO hinaus.

Priorität 2 — Grenzüberschreitende Datenübertragungen (31% der Durchsetzungsfälle): Nach Uber und der gemeinsamen Untersuchung der niederländischen AP mit der irischen DPC zu Cloudflare (2023) hat die AP den Fokus auf die Einhaltung der Datenübertragung erhöht. Die Konzentration des Technologie-Hubs in Amsterdam — insbesondere Cloud-Dienste, Fintech und Scale-ups — schafft ein hohes Risiko für Organisationen, die Daten in Nicht-EU-Länder übertragen.

Priorität 3 — Marketing und Verhaltensprofiling (26% der Durchsetzungsfälle): Cookie-Zustimmung, Verhaltenswerbung und Compliance im Direktmarketing. Die Richtlinien der niederländischen AP zu "legitimen Interessen" für Marketing sind strenger als einige EU-Äquivalente — die AP verlangt dokumentierte Abwägungstests mit spezifischen Nachweisen, dass das legitime Interesse die Rechte der betroffenen Personen überwiegt.

Anforderungen an grenzüberschreitende Übertragungen nach Uber

Die Durchsetzung gegen Uber legt praktische Anforderungen für Organisationen fest, die personenbezogene Daten aus den Niederlanden übertragen:

Transfer Impact Assessments (TIAs): Nach Schrems II verlangt der EDPB TIAs für alle Übertragungen in Drittländer, um zu bewerten, ob die rechtlichen Schutzmaßnahmen im Zielland "im Wesentlichen gleichwertig" zu den EU-Schutzmaßnahmen sind. Die Richtlinien der niederländischen AP nach Uber machen ausdrücklich klar, dass TIAs bewerten müssen:

  • Die Gesetze zum Zugang der Regierung im Zielland
  • Die Fähigkeiten der Geheimdienste im Zielland
  • Die Erfolgsbilanz von Regierungsanfragen an den Datenimporteur
  • Verfügbare rechtliche Mittel für betroffene Personen

Standardvertragsklauseln (SCCs) — allein nicht ausreichend: Die Durchsetzungsnotiz der AP zu Uber stellt klar, dass SCCs allein Artikel 46 nicht erfüllen, wenn die TIA zeigt, dass das Recht des Ziellandes den Zugang der Regierung zu den übertragenen Daten ermöglicht. Zusätzliche ergänzende Maßnahmen sind erforderlich, wenn SCCs unzureichend sind.

Ergänzende technische Maßnahmen, die von der niederländischen AP akzeptiert werden:

  • Verschlüsselung, wenn der Datenimporteur keine Entschlüsselungsschlüssel hält
  • Pseudonymisierung vor der Übertragung (Ersetzung von Identifikatoren), wenn eine Re-Identifizierung durch den Datenimporteur nicht möglich ist
  • Datenminimierung vor der Übertragung (Entfernung von Datenkategorien, die vom Importeur nicht benötigt werden)

Die Offline-Desktop-App-Architektur — die alle Daten lokal verarbeitet und niemals an Server überträgt — beseitigt die Frage der grenzüberschreitenden Übertragung für diese Verarbeitungsaktivität vollständig.

Mitarbeiterdaten und niederländisches Arbeitsrecht

Der Anteil von 43% der Durchsetzungsmaßnahmen der niederländischen AP zur Mitarbeitersurveillance spiegelt die Wechselwirkung zwischen der DSGVO und dem niederländischen Arbeitsrecht (Wet bescherming persoonsgegevens arbeidsverhoudingen — das Datenschutzgesetz für Arbeitsverhältnisse) wider.

Wesentliche niederländische Anforderungen für Mitarbeiterdaten:

  • Betriebsratsanhörung: Niederländische Organisationen mit Betriebsräten (Ondernemingsraad) müssen den Betriebsrat konsultieren, bevor sie ein Mitarbeiterüberwachungssystem implementieren. Dazu gehören KI-Leistungsüberwachung, Kommunikationsüberwachung und Anwesenheitssysteme.
  • Verhältnismäßigkeitsbewertung: Die Mitarbeiterüberwachung muss strikt verhältnismäßig zum angegebenen Zweck sein. Verdeckte Überwachung ist im Allgemeinen verboten; offene Überwachung muss die am wenigsten intrusive Methode sein, die verfügbar ist.
  • Verarbeitungsbeschränkung: Mitarbeiterdaten, die für einen HR-Zweck gesammelt wurden, dürfen nicht für einen anderen HR-Zweck ohne neue rechtliche Grundlage wiederverwendet werden.

Für Organisationen mit Hauptsitz in den Niederlanden oder die niederländisches Personal beschäftigen, schaffen diese Anforderungen spezifische technische Dokumentationsbedarfe: das Protokoll der Betriebsratsanhörung, das Dokument zur Verhältnismäßigkeitsbewertung und die Kontrollen zur Verarbeitungsbeschränkung.

Niederlande-spezifische PII-Erkennung

Für PII-Tools, die in den Niederlanden eingesetzt werden, ist eine niederlandesspezifische Entitätserkennung erforderlich:

  • Bürger Service Nummer (BSN): Niederländische nationale Identifikationsnummer (9 Ziffern) — verwendet für Steuern, Gesundheitsversorgung, soziale Dienste
  • IBAN Niederlande (NL-Präfix): Niederländisches IBAN-Format mit spezifischer Validierung
  • Niederländische Postleitzahlen (postcode): Format: 4 Ziffern + Leerzeichen + 2 Buchstaben
  • Niederländisches DigiD: Identifikator des digitalen Identitätssystems der Regierung
  • Niederländische Gesundheitsnummern: BGZ/EP-Identifikatorformate für elektronische Patientenakten

Standardglobale PII-Tools können generische IBAN-Formate erkennen, aber möglicherweise die BSN-Prüfziffer nicht validieren oder das niederländische Postleitzahlenformat nicht erkennen. Organisationen, die niederländische nationale Identitätsdaten verarbeiten, sollten die Abdeckung der BSN-Erkennung überprüfen.

Compliance-Ansatz für niederländische Organisationen

Für in den Niederlanden ansässige Organisationen:

1. Audit zu grenzüberschreitenden Übertragungen:

  • Alle Datenflüsse von den Niederlanden in Drittländer kartieren
  • Alle vorhandenen SCCs und deren Abdeckung identifizieren
  • TIAs für signifikante Übertragungsflüsse durchführen oder aktualisieren
  • Ergänzende technische Maßnahmen für Übertragungen dokumentieren, bei denen die TIA ein Risiko aufzeigt

2. Überprüfung der Mitarbeiterüberwachung:

  • Alle Systeme zur Mitarbeiterüberwachung inventarisieren (einschließlich KI-Tools)
  • Protokolle der Betriebsratsanhörung überprüfen
  • Bestätigen, dass Verhältnismäßigkeitsbewertungen dokumentiert sind

3. Niederlandesspezifische PII-Abdeckung:

  • BSN-Erkennung in eingesetzten PII-Tools überprüfen
  • Erkennung niederländischer Postleitzahlen und IBAN überprüfen
  • Genauigkeit der NER für niederländischsprachige Dokumente testen

4. Exposition im Technologie-Hub Amsterdam:

  • Für Startups und Scale-ups: Dokumentation von Datenarchitekturentscheidungen, die grenzüberschreitende Übertragungen minimieren (EU-Region Cloud-Dienste, lokale Verarbeitungsoptionen)
  • Für Cloud-Dienstleister mit EU-US-Architektur: Dokumentation von Übertragungsmechanismen und TIA-Methodik

Quellen:

Verwandte Artikel

DSGVO & Compliance

Japan PPC: My Number Verhoeff Validation and Japanese-Language PII Detection for APPI Compliance

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia. Japanese script NER requires dedicated language models.

DSGVO & Compliance

HDPA Greece: AFM and AMKA Detection — Why Greek Identifiers Fail in 52% of Generic NLP Tools

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct compliance requirements. Greek alphabet NER requirements.

DSGVO & Compliance

NAIH Hungary: TAJ-Szám, Adóazonosító Jel, and Why Hungarian NER Accuracy Trails the EU Average

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps. NAIH requires DPIA for all AI systems processing personal data.

Bereit, Ihre Daten zu schützen?

Beginnen Sie mit der Anonymisierung von PII mit über 285 Entitätstypen in 48 Sprachen.

Kostenlose Testversion startenFunktionen anzeigen