100 Millionen Euro für Yango, weil Fahrtdaten und Ausweisscans in Russland landeten

von

Die niederländische Datenschutzaufsicht AP hat am 8. Mai gegen den Fahrdienstanbieter hinter der europäischen Yango-Version ein Bußgeld von 100 Millionen Euro verhängt. Der Fall ist weit mehr als eine weitere Transfergeschichte mit juristischem Feinschliff. Nach Angaben der Behörde wurden über die App personenbezogene Daten von Fahrern und Kunden nach Russland weitergegeben und dort gespeichert, ohne dass für ein Schutzniveau gesorgt wurde, das mit der EU vergleichbar wäre. Damit trifft der Fall genau den Kern moderner Datenschutzpraxis: Nicht nur Marketingdaten oder Supporttickets reisen zu weit, sondern hochsensible Mobilitäts-, Identitäts- und Kommunikationsdaten.

Die Primärquelle ist ungewöhnlich deutlich. Die AP schreibt, MLU B.V., das in den Niederlanden ansässige Unternehmen hinter Yango Europe, habe Daten von Menschen aus Norwegen und Finnland an Unternehmen in Russland übermittelt. Untersucht wurde der Fall gemeinsam mit den norwegischen und finnischen Aufsichtsbehörden. Schon diese Konstruktion macht die Sache brisant: Ein in der EU ansässiger Betreiber verarbeitet Daten grenzüberschreitend für mehrere Märkte, während die besonders kritische Speicher- und Zugriffslage außerhalb Europas liegt. Dass MLex und andere Fachmedien den Fall am Freitag ebenfalls sofort aufgegriffen haben, unterstreicht, wie klar der Durchsetzungscharakter dieser Entscheidung ist.

Bemerkenswert ist vor allem, um welche Daten es laut AP geht. Die Behörde nennt Scans von Führerscheinen, Wohnadressen, Kontaktdaten, Kontonummern, genaue Standortdaten, Fahrtdaten, Fotos, Inhalte von Chatgesprächen und sogar Sozialversicherungsnummern. Das ist kein Randbestand, den ein Unternehmen im Zweifel verschmerzen könnte. Hier liegt ein nahezu vollständiges Bewegungs- und Identitätsprofil von Fahrern und Kunden vor. Wer solche Daten in ein Drittland mit schwachem Schutzrahmen überträgt, verschiebt das Risiko nicht nur formal, sondern praktisch und sicherheitsrelevant.

Der eigentliche Schaden liegt im Datenmix

Viele Transferfälle wirken im ersten Moment abstrakt, weil sie an Verträgen, Rechtsgrundlagen oder Aufsichtsmechanik hängen. Yango ist anders. Der Datenmix zeigt sofort, warum Aufsichten bei Mobilitätsplattformen schärfer hinsehen müssen. Präzise Standorte und Fahrverläufe reichen schon für sich genommen, um Gewohnheiten, Arbeitsorte, Wohnorte und soziale Beziehungen sichtbar zu machen. Kommen Ausweisdokumente, Kontaktdaten, Kontonummern und Chatinhalte hinzu, entsteht daraus ein sehr belastbares Profil einzelner Personen.

Gerade bei Ride-Hailing- und Vermittlungsdiensten wird dieses Risiko im Alltag leicht unterschätzt. Die App wirkt für Nutzer wie ein pragmatischer Transportkanal, für Fahrer wie ein betrieblicher Zugang zum nächsten Auftrag. Hinter dieser Oberfläche laufen aber Identitätsprüfung, Bewegungsanalyse, Zahlungsabwicklung und Kommunikationsprotokolle zusammen. Wenn all diese Bausteine auf Server in Russland gelangen, ist das nicht einfach eine ausgelagerte IT-Frage. Es ist ein strukturelles Datenschutz- und Sicherheitsproblem.

Die AP verweist ausdrücklich darauf, dass in Russland kein mit Europa vergleichbarer Schutz besteht und staatliche Zugriffe auf personenbezogene Daten möglich sein können. Genau daraus wird der Fall für Unternehmen außerhalb des Mobilitätssektors relevant. Wer mit Plattformen arbeitet, die zugleich Identitätsdaten, Standortdaten und direkte Kommunikation bündeln, muss Drittlandtransfers anders bewerten als bei isolierten Einzeldaten. Je dichter der Datenverbund, desto größer der Schaden, wenn Schutzbarrieren nicht tragen.

Hier reicht keine formale Transferlogik mehr

Die Behörde bleibt nicht bei der Rückschau stehen. MLU muss nach der Veröffentlichung sofort aufhören, personenbezogene Daten von Menschen aus Norwegen und Finnland über die Yango-App nach Russland zu übermitteln. Das ist der Punkt, an dem aus einer Sanktion eine operative Warnung für den Markt wird. Wenn eine Aufsicht nicht nur ein Bußgeld verhängt, sondern einen laufenden Datenfluss stoppt, ist die Schwelle von einem dokumentationsfähigen Risiko zu einem akut untragbaren Betriebsmodell überschritten.

Unternehmen sollten daraus zwei Lehren ziehen. Erstens: Drittlandtransfers sind besonders angreifbar, wenn sie im Produktdesign still eingebaut sind und nicht als bewusste Ausnahme behandelt werden. Zweitens: Die Debatte darf nicht bei Standardvertragsklauseln oder generischen Transfer Impact Assessments stehenbleiben. Bei hochsensiblen Datenpaketen muss die Frage lauten, ob der konkrete Zugriffspfad technisch, organisatorisch und geopolitisch überhaupt noch vertretbar ist. Wenn ein Anbieter dafür keine belastbare Antwort hat, wird aus Compliance schnell ein Geschäftsmodellrisiko.

Das gilt auch für Unternehmen, die selbst keine Taxi-App betreiben. Plattformen für Logistik, Field Service, Lieferdienste, Flottensteuerung oder Mitarbeiter-Mobilität sammeln oft sehr ähnliche Datensätze. Wer dort Aufenthaltsorte, Identitätsnachweise, Kommunikationsinhalte und Zahlungsdaten zusammenführt, sollte jetzt genauer prüfen, in welchen Regionen diese Informationen gespeichert werden, wer technisch darauf zugreifen kann und ob im Krisenfall ein echter Abschalt- oder Migrationspfad existiert.

Was Verantwortliche jetzt konkret nachziehen sollten

  • Drittlandtransfers bei Plattformen mit Standort- und Identitätsdaten nicht mehr als Standardprüfung behandeln, sondern als Hochrisiko-Szenario.
  • Für Anbieter mit Russland-, China- oder anderen geopolitisch sensiblen Zugriffspfaden klären, welche Datenkategorien tatsächlich außerhalb der EU gespeichert oder eingesehen werden können.
  • Bei Fahrer-, Kunden- oder Mitarbeiter-Apps prüfen, ob Ausweisdokumente, Chatinhalte und präzise Standortdaten unnötig lange vorgehalten oder in zu vielen Systemen gespiegelt werden.
  • In Verträgen und Due-Diligence-Prozessen nicht nur auf Rechtsklauseln schauen, sondern auf reale Serverstandorte, Konzernzugriffe und Notfalloptionen bei Aufsichtsmaßnahmen.

Die Yango-Entscheidung ist deshalb so relevant, weil sie Datenschutz nicht als abstraktes Grundsatzthema verhandelt, sondern an einem sehr konkreten Datenstrom festmacht. Wenn Fahrtdaten, Ausweisscans und Chats in einem schwach geschützten Drittland zusammenlaufen, wird aus digitaler Bequemlichkeit schnell ein massives Kontrollproblem. Genau dafür stehen die 100 Millionen Euro jetzt als sichtbares Preisschild.

Bildquelle: Pexels

Quellen: Autoriteit Persoonsgegevens, „AP legt taxi-app Yango boete van 100 miljoen euro op“; Autoriteit Persoonsgegevens, Aktuell-Seite vom 08.05.2026; Google News RSS, Same-Day-Berichterstattung zu Yango am 08.05.2026 mit u. a. MLex, Euractiv und Devdiscourse.

Eintrag teilen
E-Mail Xing LinkedIn

Abmahnschutz automatisiert

Ist Ihre Website
DSGVO-sicher?

Jetzt registrieren

Weitere News rund um DSGVO und Datenschutz

Alle Blog-Einträge ansehen