100 Millionen Euro Bußgeld

100 Millionen Euro Bußgeld: Taxi-App Yango leitete Fahrer- und Kundendaten nach Russland weiter

Die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens (AP) hat gegen das Unternehmen MLU B.V., Betreiber der Taxi-App Yango in Europa, ein Bußgeld von 100 Millionen Euro verhängt. Der Grund: MLU übermittelte personenbezogene Daten von Kunden und Fahrern nach Russland, ohne dafür ausreichende Schutzmaßnahmen zu ergreifen. Die Entscheidung erging im Mai 2026 nach einer gemeinsamen Untersuchung mit den Datenschutzbehörden Norwegens und Finnlands.

Sensible Daten auf russischen Servern: Was die Untersuchung ergab

MLU B.V. ist in den Niederlanden ansässig und betreibt die europäische Version der Taxi-App Yango, die zum russischen Yandex-Konzern gehört. Über die App buchten Nutzer in Norwegen und Finnland Taxifahrten. Yango war außerdem in Serbien und Moldawien aktiv sowie in mehr als 30 Ländern weltweit.

Die AP startete Ende 2023 eine Untersuchung, weil MLU seinen europäischen Sitz in den Niederlanden hat. Die norwegische und die finnische Datenschutzbehörde waren beteiligt, weil es um Daten ihrer Staatsangehörigen geht. Das Ergebnis: Yango sammelte viele personenbezogene Daten von Kunden und Fahrern und speicherte sie auf Servern in Russland. Darunter waren Scans von Führerscheinen, Wohnadressen, Bankverbindungen und genaue Standortdaten.

Art. 44 DS-GVO regelt, dass personenbezogene Daten nur dann in Länder außerhalb des Europäischen Wirtschaftsraums übermittelt werden dürfen, wenn dort ein gleichwertiges Schutzniveau besteht. Art. 46 DS-GVO schreibt vor, welche geeigneten Garantien Verantwortliche nachweisen müssen, wenn kein EU-Angemessenheitsbeschluss für das Empfängerland vorliegt. Beides fehlte im Fall von MLU.

AP-Vorsitzende Aleid Wolfsen erklärte, in Russland seien personenbezogene Daten nicht so gut geschützt wie in Europa. Die russische Regierung könnte möglicherweise auf diese Daten zugreifen. Eine unabhängige Datenschutzaufsicht gibt es dort nicht. Deshalb hätten die Daten von Kunden und Fahrern besonders stark gesichert werden müssen. Das sei nicht geschehen. Die AP ordnete an, dass MLU die Datenweitergabe nach Russland sofort beendet. Für die bisherigen Verstöße legt die Behörde ein Bußgeld von 100 Millionen Euro fest. Die Höhe ergibt sich aus dem Jahresumsatz des Mutterkonzerns Yandex, der 2024 weltweit über 12 Milliarden Euro umsetzte. Gemäß Art. 83 DS-GVO berechnen alle europäischen Datenschutzbehörden Bußgelder nach denselben Grundsätzen, bei denen der Unternehmensumsatz eine zentrale Rolle spielt. MLU bestreitet die Vorwürfe. Das Unternehmen teilte mit, die Daten seien ausschließlich innerhalb der EU in pseudonymisierter und verschlüsselter Form gespeichert worden und für Dritte technisch nicht zugänglich gewesen. Alle Schutzgarantien nach europäischem Datenschutzrecht seien eingehalten worden. MLU hat Widerspruch gegen die Entscheidung angekündigt. Yango ist nach eigenen Angaben bereits seit vergangenem Jahr nicht mehr in Norwegen und Finnland aktiv.

Unsere Empfehlungen

Unternehmen und KMU

Viele Unternehmen nutzen Apps, Cloud-Dienste oder Software-Anbieter, die Daten außerhalb der EU verarbeiten. Wer personenbezogene Daten in Drittländer übermittelt, braucht eine tragfähige Rechtsgrundlage. Das kann ein EU-Angemessenheitsbeschluss sein, Standardvertragsklauseln oder eine andere geeignete Garantie nach Art. 46 DS-GVO. Für Länder wie Russland oder China liegt kein Angemessenheitsbeschluss der EU-Kommission vor. Alle Drittlandtransfers gehören ins Verarbeitungsverzeichnis. Unternehmen sollten regelmäßig prüfen, ob die eingesetzten Schutzmaßnahmen noch ausreichen und ob Anbieter tatsächlich nur in der EU verarbeiten.

Kanzleien und Freiberufler

Anwälte, Steuerberater und andere Freiberufler verarbeiten besonders schutzwürdige Daten ihrer Mandanten. Wer externe Apps, Kommunikationsdienste oder Cloud-Tools einsetzt, sollte genau prüfen, wo die Daten tatsächlich gespeichert werden. Selbst scheinbar unkritische Tools können Daten in Drittländer übermitteln. Ein sorgfältig abgeschlossener Auftragsverarbeitungsvertrag nach Art. 28 DS-GVO und eine dokumentierte Prüfung möglicher Drittlandtransfers sind keine Kür, sondern Pflicht.

Quelle: Autoriteit Persoonsgegevens (niederländische Datenschutzbehörde)

Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Art. 17 DS-GVO – Recht auf Löschung (Recht auf Vergessenwerden)
• Meldung von Datenschutzverletzungen nach Art. 33 DS-GVO
• Nachweis der Datenlöschung – So dokumentieren Sie korrekt
• Datenschutzrisiko E-Mails – Was Unternehmen wissen müssen
• Ombudsstelle und Hinweisgebersystem für Hinweisgeber (Whistleblower)
• Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter
• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking – Blickschutz hilft

Dieser Absatz enthält Affiliatelinks/Werbelinks