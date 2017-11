Benutzer der Uber-App, sowohl Fahrer wie Kunden, sollten nicht auf deutsche Gesetze beim Datenschutz vertrauen. Wer sich nach dem Hacking von Ubers offenbar unzureichend geschützten Datenbank Sorgen um seine persönlichen Daten macht, muss sich nämlich an die niederländische Datenschutzbehörde wenden. Ihre Berliner Kollegen sehen sich nicht zuständig und mutmaßen ohne eigene Ermittlungen, nach deutschem Recht läge nicht mal eine Ordnungswidrigkeit vor.

Auf Nachfrage der Taxi Times antwortete der Pressesprecher der Berliner Datenschutzbehörde, Joachim-Martin Mehlitz, dass deutsche Datenschutzbehörden nicht zuständig seien, wenn „in Deutschland erhobene Daten“ aus Ubers Datenbanken gestohlen würden. Nicht Ubers „Zweigniederlassung“ in Berlin hätte die Daten erhoben und verarbeitet, sondern dies sei am Betriebssitz in Amsterdam geschehen. Daher sei die niederländische Datenschutzbehörde zuständig, die dann nach niederländischem Recht vorgehen würde. Das ergäbe sich aus dem Bundesdatenschutzgesetz (§ 1 (5) BDSG).

Die Berliner Behörde, die nicht sagen kann, ob Bürger in Deutschland betroffen seien, hat diese Annahme offenbar aber auch nicht geprüft. Erst als Taxi Times darauf hinwies, dass die betroffenen Server wahrscheinlich in den USA stünden, schrieb Mehlitz: „[derzeit nehmen wir] Kontakt mit unseren niederländischen Kollegen und gegebenenfalls auch mit der Berliner Zweigniederlassung von Uber auf, um den Ort der Datenverarbeitung abschließend zu klären.“ Da die deutschen Behörden nicht zuständig seien, sei Uber auch nicht zu deren Unterrichtung verpflichtet gewesen. Man habe auch keine Erkenntnisse, die über die Berichte in der Presse hinausgehen. Während ausländische Behörden Uber zur Information aufgefordert haben, sah man dazu in Berlin bislang keinen Anlass.

Der Nutzungsvertrag, den Uber Fahrern und Kunden vorgibt, schließt die Anwendung ausländischen Rechts ausdrücklich aus – es würden trotz Ubers ausländischen Firmensitzes nur deutsche Gesetze zur Anwendung kommen. Es ist jedoch nicht möglich, durch Geschäftsbedingungen oder Verträge von der gesetzlichen Regelung im Bundesdatenschutzgesetz abzuweichen. Kunden und Fahrer aus Deutschland, die im Vertrauen auf die juristische Gültigkeit und die sorgfältige Ausarbeitung von Allgemeinen Geschäftsbedingungen vertraut haben, werden durch die Formulierung dieser AGB getäuscht. Sie müssten sich jetzt mit dem niederländischen Recht vertraut machen, um zu prüfen, in wie weit ihre Interessen geschützt werden können.

Allerdings wäre nach deutschem Recht Ubers Verschweigen des Datenlecks nicht mal eine Ordnungswidrigkeit, so Mehlitz. Wenn nur die in der Presse benannten Daten wie „Namen, E-Mail-Adressen und Telefonnummern von Nutzern sowie Namen, Kraftfahrzeugkennzeichen und Führerscheinnummern von Fahrern“ veruntreut wurden, lägen die Voraussetzungen für eine Meldepflicht in Deutschland gar nicht vor.

Aus dem selben Grund würden sich deutsche Datenschützer auch nicht an den Ermittlungen auf EU-Ebene beteiligen. Die EDPS, die Vereinigung europäischer Datenschutzbehörden, teilte der Taxi Times mit, sie wolle „die Entwicklungen genau verfolgen“ und heute den „Fall Uber diskutieren“. Genauere Angaben könne man bislang noch nicht machen.

In den USA sind die Datenschützer etwas aufgeweckter. Es sind bereits mehrere Klagen wegen des Verschweigens des Datendiebstahls eingereicht worden. Der Schaden für Uber kann dabei einen dreistelligen Millionenbetrag erreichen. Die Stadt Chicago allein verlangt von dem Wiederholungstäter Uber 10.000 Dollar – pro Tag des Verschweigens. Mindestens vier weitere Staaten verklagen den „disruptiven“ Fahrdienstanbieter. Hinzu kommen private Schadensersatzforderungen. prh

Symbolfoto: Anonim Adam, Lizenz: cc by-sa 3.0

