anonym.legal

By · Last updated 2026-06-05

Zurück zum BlogDSGVO & Compliance

Niederländische AP: Die €290M Uber-Strafe und warum...

Die niederländische AP verhängte die größte individuelle Geldstrafe für Datenübertragungen der EU — €290M gegen Uber im Jahr 2024.

June 5, 20267 min Lesezeit
Dutch APNetherlands GDPRUber GDPR finecross-border data transferEU data transfer

Die Niederländische AP und die Uber-Strafe

Im August 2024 verhängte die niederländische Datenschutzbehörde AP eine Strafe von 290 Millionen Euro gegen Uber. Uber hatte EU-Fahrerdaten ohne Rechtsgrundlage auf US-Server übertragen. Zu diesen Daten gehörten Taxilizenzen, Strafregisterauszüge, Krankenakten und Reiseverläufe.

Uber verschob die Daten, nachdem Schrems II den EU-US-Datenschutzschild im Juli 2020 kippte. Die Übermittlungen liefen zwei Jahre weiter. Keine Standardvertragsklauseln. Kein Instrument nach Artikel 46.

Diese Strafe ist die höchste EU-Einzelstrafe für einen Datentransferverstoß. Sie liegt auf Platz drei aller DSGVO-Bußgelder. Transferverstöße tragen jetzt hohe Kosten. Nicht nur Datenpannen.

Lesen Sie unseren DSGVO-Leitfaden für einen schnellen Überblick.

Prioritäten der AP

Die AP erhielt 2023 über 21.400 DSGVO-Beschwerden. Sie konzentriert sich auf drei Bereiche.

Priorität 1 — Mitarbeiterüberwachung (43 % der Fälle): Viele niederländische Firmen haben AP-Bußgelder für die Überwachung ihrer Mitarbeiter erhalten. Verdeckte Kameras, Massen-E-Mail-Prüfungen und GPS-Tracking ohne Hinweis lösen Maßnahmen aus. Das niederländische Arbeitsrecht ergänzt die DSGVO mit zusätzlichen Regeln.

Priorität 2 — Grenzüberschreitende Transfers (31 % der Fälle): Nach der Uber-Strafe und einer gemeinsamen Untersuchung mit Irlands DPC zu Cloudflare (2023) verstärkte die AP die Transferaufsicht. Amsterdams Tech-Sektor trägt hier ein hohes Risiko. Cloud-Firmen, Fintech und schnell wachsende Start-ups sind alle betroffen.

Priorität 3 — Marketing und Profiling (26 % der Fälle): Dies umfasst Cookie-Einwilligung, Anzeigen-Targeting und Direktmarketing. Die AP legt einen strengen Maßstab an „berechtigte Interessen" an. Sie verlangt schriftliche Tests mit klaren Belegen.

Transferregeln nach Uber

Transfer Impact Assessments (TIAs): Die EDPB verlangt ein TIA für jeden Transfer in ein Drittland. Das TIA muss zeigen, dass das Zielland den EU-Rechtsschutz gleichwertig gewährt. Die AP nennt vier Pflichtfragen:

  • Welche staatlichen Zugriffsgesetze gelten im Zielland?
  • Wie weit reichen die Nachrichtendienste?
  • Wie ist die Geschichte staatlicher Anfragen an den Datenimporteur?
  • Welche Rechtsbehelfe stehen betroffenen Personen zur Verfügung?

Standardvertragsklauseln — allein nicht ausreichend: SKK erfüllen Artikel 46 nicht, wenn das TIA staatliches Zugriffsrisiko zeigt. Dann sind zusätzliche Schutzmaßnahmen erforderlich.

Technische Zusatzmaßnahmen, die die AP akzeptiert:

  • Verschlüsselung, bei der der Importeur keinen Zugang zu Entschlüsselungsschlüsseln hat
  • Entfernen direkter IDs vor dem Transfer, damit der Importeur die Daten nicht mit Personen verknüpfen kann
  • Datenminimierung vor dem Transfer, Entfernen nicht benötigter Felder

Die Offline-Desktop-App läuft vollständig auf Ihrem Gerät. Sie sendet keine Daten nach außen. Das beseitigt das Transferproblem für diese Verarbeitung. Lesen Sie unsere Sicherheits- und Compliance-Übersicht.

Mitarbeiterdaten und Niederländisches Arbeitsrecht

Der 43-%-Fokus der AP auf Mitarbeiterüberwachung zeigt, wie sich DSGVO und niederländisches Arbeitsrecht überschneiden.

Drei Regeln gelten für in den Niederlanden ansässige Unternehmen:

Zustimmung des Betriebsrats: Ein Unternehmen mit Betriebsrat muss dessen Zustimmung einholen, bevor es ein Überwachungstool einführt. Das gilt für KI-Tools, E-Mail-Prüfungen und Anwesenheitssysteme.

Verhältnismäßigkeit: Die Überwachung muss dem angegebenen Zweck entsprechen. Verdeckte Überwachung ist nicht erlaubt. Offene Überwachung muss die am wenigsten einschneidende Option sein.

Zweckbindung: HR-Daten, die für einen Zweck erhoben wurden, dürfen nicht für einen anderen Zweck verwendet werden. Eine neue Rechtsgrundlage ist erforderlich.

Diese Regeln erfordern drei Dokumente: die Betriebsratszustimmung, die Verhältnismäßigkeitsprüfung und die Zweckkontrollen. Unsere Compliance-Checkliste deckt alle drei ab.

PII-Erkennung in den Niederlanden

PII-Tools in den Niederlanden müssen lokale ID-Formate verarbeiten. Globale Standard-Tools erkennen sie oft nicht:

  • BSN (Burger Service Nummer): 9-stellige niederländische Personalausweisnummer — erfordert Prüfsummenvalidierung
  • IBAN (NL-Präfix): Niederländische IBAN mit eigener Validierungslogik
  • Postleitzahl (Postcode): Format: 4 Ziffern + Leerzeichen + 2 Buchstaben
  • DigiD: Digitaler Identitätscode der Regierung
  • Gesundheitsnummern: BGZ- und EP-Formate für Patientenakten

Ein generisches Tool erkennt möglicherweise IBAN, aber nicht die BSN-Prüfsumme oder das Postcode-Format. Testen Sie die BSN-Erkennung, bevor Sie nationale Identitätsdaten verarbeiten. Setzen Sie keine Abdeckung voraus.

Schritte für niederländische Unternehmen

1. Transfer-Audit: Alle Datenflüsse in Drittländer auflisten. Vorhandene SKK prüfen. TIAs für wichtige Flüsse durchführen. Technische Zusatzmaßnahmen dokumentieren, wo ein TIA Risiken aufzeigt.

2. Mitarbeiterüberwachungs-Prüfung: Alle Überwachungstools einschließlich KI auflisten. Betriebsratszustimmungen prüfen. Verhältnismäßigkeitsprüfungen schriftlich bestätigen.

3. PII-Abdeckungsprüfung: BSN-, Postcode- und IBAN-Erkennung in PII-Tools testen. Genauigkeit bei niederländischsprachigen Dokumenten testen.

4. Tech-Sektor-Risiko: Start-ups sollten Architekturentscheidungen dokumentieren, die das Transferrisiko senken — EU-Cloud-Dienste und lokale Verarbeitungsoptionen. Anbieter mit EU-US-Setups sollten Transfer-Tools und TIA-Ansatz dokumentieren.

anonym.legal verwendet EU-basierte Hetzner-Rechenzentren mit Zero-Knowledge-Design. Der Server sieht Ihren Klartext nie. Ein vollständiger Server-Einbruch liefert nur AES-256-GCM-Chiffretext. Lokale Verarbeitung? Die Desktop-App läuft vollständig auf Ihrem Gerät ohne externe Verbindungen.

Quellen

Verwandte Artikel

DSGVO & Compliance

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

DSGVO & Compliance

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

DSGVO & Compliance

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Bereit, Ihre Daten zu schützen?

Beginnen Sie mit der Anonymisierung von PII mit über 285 Entitätstypen in 48 Sprachen.

Kostenlose Testversion startenFunktionen anzeigen

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.