Niederlande: 100 Mio. € Bußgeld gegen Yango wegen Datenübermittlungen nach Russland

Verschlüsselung mit Schlüsseln in der EU reichte (hier) nicht

Die niederländische Datenschutzaufsichtsbehörde Autoriteit Persoonsgegevens (AP) hat mit Bescheid vom 1. April 2026 (Az. 2025-005323)  ein Bußgeld von 100 Mio. € im Zusammenhang mit der Yango-App verhängt, einer zur russischen Yandex-Gruppe gehörenden Mobilitätsplattform. Yango übermittelte über Jahre umfangreiche personenbezogene Daten von Fahrern und Fahrgästen aus Finnland und Norwegen an russische Konzerngesellschaften, ohne dass die nach der DSGVO erforderlichen Garantien bestanden.

Bemerkenswert ist der Bescheid vor allem in einem Punkt. Selbst nachdem das Unternehmen die Daten pseudonymisiert, verschlüsselt und die Schlüssel ausschließlich in der EU verwahrt hatte, blieb der Transfer aus Sicht der Aufsichtsbehörde rechtswidrig.

Der Fall: Datenweitergabe nach Russland

Betreiberin der Yango-App für Finnland und Norwegen war die in Amsterdam ansässige Ridetech International B.V. Das Unternehmen übermittelte zur Bereitstellung seiner Dienste personenbezogene Daten an die russische Yandex.Taxi LLC, die ihrerseits die russische Yandex LLC als Unterauftragsverarbeiter einsetzte. Alle drei Gesellschaften gehören zum selben Konzern.

Das Verfahren selbst wurde durch Hinweise der finnischen Aufsichtsbehörde aus den Jahren 2021 und 2022 ausgelöst. Die finnische Behörde untersagte die Übermittlung im August 2023 zunächst im Eilverfahren nach Art. 66 DSGVO, setzte diese Anordnung Ende August 2023 jedoch wieder aus. Im Dezember 2023 eröffnete die niederländische Aufsichtsbehörde ein eigenes Verfahren für den Zeitraum ab dem 23. Mai 2022, dem sich die finnische und die norwegische Behörde anschlossen.

Die von Yandex verarbeiteten Datenkategorien waren sehr umfangreich. Bei Fahrern wurden unter anderem Name, Sozialversicherungsnummer, Ausweisnummer, Geburtsdatum und Geburtsort, Staatsangehörigkeit, Lichtbilder, Führerscheindaten einschließlich gescannter Dokumente, Wohnanschrift, Bankdaten sowie Chat- und Telefongespräche verarbeitet. Bei Fahrgästen umfasste die Verarbeitung insbesondere Telefonnummern, E-Mail-Adressen, Standortdaten sowie Bestell- und Zahlungsinformationen.

Rechtliche Einordnung: Anforderungen an den Drittlandtransfer

Für Russland besteht kein Angemessenheitsbeschluss der Europäischen Kommission. Übermittlungen sind in diesem Fall nur zulässig, wenn geeignete Garantien bestehen und den Betroffenen durchsetzbare Rechte sowie wirksame Rechtsbehelfe zur Verfügung stehen.

Als Transferinstrument verwendete Ridetech Standardvertragsklauseln. Diese genügen nach der Rechtsprechung des EuGH jedoch nur dann, wenn sie im konkreten Fall tatsächlich ein der EU im Wesentlichen gleichwertiges Schutzniveau gewährleisten, insbesondere mit Blick auf behördliche Zugriffsrechte im Drittland (EuGH, Urt. v. 16.07.2020, C‑311/18, Schrems II). Daran fehlte es nach Auffassung der Aufsichtsbehörde in mehrfacher Hinsicht.

1. Falsches SCC-Modul

Zunächst verwendete Ridetech das Modul für Transfers zwischen Verantwortlichem und Auftragsverarbeiter und berief sich darauf, dass Yandex.Taxi LLC lediglich ein SaaS-Anbieter sei.

Die Aufsichtsbehörde stufte beide Gesellschaften dagegen als gemeinsam Verantwortliche ein. Maßgeblich war unter anderem der Umstand, dass Yandex.Taxi LLC die Rechte an der Kernsoftware der App hält, die für die Erbringung der Dienste unverzichtbar ist, und als Entwicklerin darüber bestimmt, welche Daten über die App verarbeitet werden, während niemand sonst die Software verändern darf.

Ridetech war demgegenüber dafür verantwortlich, die App in Norwegen und Finnland zu betreiben. Die Aufsichtsbehörde sah hierin konvergierende Entscheidungen, mit denen beide Gesellschaften gemeinsam über Zwecke und Mittel der Verarbeitung bestimmen.

Die abgeschlossenen Klauseln sicherten den Transfer damit nicht wirksam ab, weil sie die Pflichten einer Auftragsverarbeitung regeln, nicht die einer gemeinsamen Verantwortlichkeit.

2. Unzureichende ergänzende Schutzmaßnahmen

Darüber hinaus bewertete die Aufsichtsbehörde die technischen Vorkehrungen, mit denen Ridetech die Standardvertragsklauseln absichern wollte, als unzureichend. Weil Ridetech die Ausgestaltung Ende November 2023 änderte, prüfte sie diese getrennt für zwei Phasen.

Bis zum 27. November 2023 lagen die Daten zwar verschlüsselt auf Servern in Russland, die Entschlüsselungsschlüssel jedoch auf denselben Servern. Der Empfänger konnte jederzeit selbst entschlüsseln, sodass die Verschlüsselung keinen Schutz bot; zugleich verstieß Ridetech damit gegen die eigenen Standardvertragsklauseln, die eine Schlüsselverwahrung ausschließlich in der EU oder einem gleichwertigen Staat vorsahen.

Ab dem 27. November 2023 verlagerte Ridetech die Speicherung in AWS-Rechenzentren in Frankfurt. Das Unternehmen pseudonymisierte und verschlüsselte die Daten und verwahrte die Schlüssel in der EU, sodass nach Russland nur noch verschlüsselte Daten übermittelt wurden. Auch das genügte der Aufsichtsbehörde nicht, weil die Daten beim Empfänger personenbezogen blieben: Ridetech hielt sie zwar für anonym, da Yandex.Taxi LLC sie ohne die EU-Schlüssel keiner Person zuordnen könne. Entscheidend ist nach Auffassung der Behörde aber, ob der Empfänger über Mittel verfügt, deren Einsatz zur Identifizierung vernünftigerweise zu erwarten ist. Solche Mittel lagen vor: Dieselbe natürliche Person war Geschäftsführer auf Exporteursseite – bei Ridetech bzw. der Muttergesellschaft MLU B.V. – und zugleich bei der Empfängerin Yandex.Taxi LLC und hatte die Klauseln auf beiden Seiten unterzeichnet. Mit Zugriff auf sämtliche Daten beider Gesellschaften wäre eine Re-Identifizierung ohne nennenswerten Aufwand möglich gewesen.

3. Russisches Recht und staatlicher Zugriff

Ferner prüfte die Aufsichtsbehörde auch die russische Rechtslage. Yandex.Taxi LLC und Yandex LLC sind als sogenannte Internet Communication Organizer (ICO) registriert und müssen nach dem sog. „Yarovaya“-Gesetz das staatliche Überwachungssystem SORM implementieren und unter Geheimhaltungspflicht Strafverfolgungsbehörden oder Sicherheitsdienste auf Anfrage Daten bereitstellen und Informationen zur Entschlüsselung verschlüsselter elektronischer Kommunikation herausgeben. Die Auskunftspflichten betreffen zwar primär Nutzer mit Russland-Bezug, die Aufsichtsbehörde hielt es jedoch für nicht ausgeschlossen, dass auch finnische oder norwegische Nutzer erfasst werden, etwa bei einem vorübergehenden Aufenthalt in Russland oder bei Nutzung einer russischen Telefonnummer.

Bemerkenswert ist in diesem Zusammenhang, dass Ridetech in seinem eigenen Transfer Impact Assessment auf die weitreichenden Zugriffsbefugnisse russischer Behörden und ein reales Risiko von Machtmissbrauch und Willkür hingewiesen hatte.

4. Keine wirksamen Rechtsbehelfe

Letztlich binden die Standardvertragsklauseln nur die Vertragsparteien, nicht die Behörden des Drittlands, weshalb eine unabhängige Aufsicht im Empfängerland umso wichtiger ist. Diese sah die Aufsichtsbehörde bei der russischen Roskomnadzor aus drei Gründen nicht gewährleistet. Die Behörde ist dem Ministerium für digitale Entwicklung hierarchisch unterstellt, überwacht zugleich den Datenschutz und die Durchsetzung des „Yarovaya“-Gesetzes und dient damit gegenläufigen Interessen, und nach einer Analyse des EDSB aus November 2021 verhängt sie in der Praxis ausschließlich Sanktionen gegen private Stellen, nicht gegen staatliche Behörden. Damit fehlen durchsetzbare Rechte und wirksame Rechtsbehelfe im Sinne von Art. 46 Abs. 1 DSGVO.

Festgestellte Verstöße und Bußgeldbemessung

Die Aufsichtsbehörde wertete das Gesamtverhalten als einen fortdauernden Verstoß gegen die Vorgaben für Drittlandübermittlungen, der mindestens bis zum 23. Mai 2022 zurückreicht.

Adressatin des Bescheids ist nicht Ridetech selbst, da die Gesellschaft während des laufenden Verfahrens aufgelöst wurde. Das Bußgeld richtet sich stattdessen an die Muttergesellschaft MLU B.V., auf die die Rechte und Pflichten übergingen.

Die Aufsichtsbehörde stufte die Schwere des Verstoßes als hoch ein. Maßgeblich waren die Sensibilität der Daten, die Zehntausenden Betroffenen, die lange Dauer des Verstoßes sowie das Risiko staatlicher Zugriffe.

Zusätzlich untersagte die Aufsichtsbehörde der MLU B.V. mit sofortiger Wirkung jede weitere Übermittlung von Daten norwegischer und finnischer Yango-Nutzer an Empfänger in Russland.

Einordnung und Lehren für die Praxis

Das Bußgeld verdeutlicht, dass formal vorhandene Standardvertragsklauseln einen Drittlandtransfer nicht absichern, wenn sie im konkreten Fall kein wirksames Schutzniveau gewährleisten – und dafür sind nach Auffassung der niederländischen Datenschutzaufsicht auch personelle und gesellschaftsrechtliche Verflechtungen im Konzern maßgeblich.

Das betrifft nicht nur Übermittlungen nach Russland, sondern jede Konzernstruktur mit Gesellschaften in Drittländern. Unternehmen sollten ihre konzerninternen Datenflüsse daher mit genau diesem Blick prüfen.

Für die Praxis ergeben sich daraus insbesondere folgende Anforderungen:

• Transfergrundlage prüfen und TIA dokumentieren: Prüfen Sie vor jedem Drittstaatentransfer, ob ein Angemessenheitsbeschluss vorliegt. Fehlt dieser, sind die Rechtslage im Empfängerland sowie staatliche Zugriffsmöglichkeiten im Rahmen eines Transfer Impact Assessments (TIA) zu bewerten und nachvollziehbar zu dokumentieren.
• Passendes SCC-Modul wählen: Die Standardvertragsklauseln müssen der tatsächlichen datenschutzrechtlichen Rollenverteilung entsprechen. Eine fehlerhafte Modulwahl kann die Wirksamkeit der Transferabsicherung gefährden.
• Gemeinsame Verantwortlichkeit im Konzern prüfen: Gibt eine Konzerngesellschaft die Softwarearchitektur oder wesentliche Verarbeitungsentscheidungen vor, kann eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vorliegen.
• Verschlüsselungsschlüssel getrennt verwahren: Schlüssel sollten ausschließlich in der EU oder in einem gleichwertig geschützten Drittstaat gespeichert werden.
• Rechtslage fortlaufend überwachen: Änderungen der Rechtslage oder neue staatliche Zugriffsbefugnisse im Empfängerland können bestehende Transfermechanismen entwerten. Risikoanalysen und Schutzmaßnahmen sollten daher regelmäßig überprüft und angepasst werden.

Benötigen Sie Unterstützung bei der datenschutzkonformen Gestaltung Ihrer Datentransfers in Drittstaaten? Wir unterstützen Sie gerne bei der Auswahl geeigneter Übertragungsinstrumente, der Durchführung von Transfer-Folgenabschätzungen und der Überprüfung bestehender Konzernstrukturen.