Strafe für Lieferdienst Delivery Hero: Berlin verhängt bislang höchstes Bußgeld

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat im August 2019 das derzeit höchste DSGVO-Bußgeld in Deutschland gegen ein Unternehmen ausgesprochen. Bisher war nur die Höhe des Bußgeldes bekannt, nicht aber gegen welches Unternehmen es sich richtet. In einer nun veröffentlichten Pressemitteilung (PDF) nennt die Aufsichtsbehörde das betroffene Unternehmen und führt die Gründe für die Strafzahlung aus.

Getroffen hat es den Online Lieferdienst Delivery Hero Germany GmbH, welcher Markeninhaber von Lieferheld, Pizza.de und Foodora ist. Das Unternehmen wurde Ende letzten Jahres von dem niederländischen Unternehmen Takeaway gekauft. Takeaway hat die Strafen in einer Gesamthöhe von 195.407 Euro bereits akzeptiert und nimmt den Vorfall zum Anlass, die eigenen Prozesse noch einmal zu überprüfen.

Nichtachtung von Datenschutzrechten der Kunden

Die erlassenen Bußgeldbescheide stützen sich insbesondere auf die Nichtachtung von Betroffenenrechten. Nach der DSGVO stehen den von einer Datenverarbeitung betroffenen Personen (in diesem Fall den Kunden von Delivery Hero) umfangreiche Rechte hinsichtlich ihrer Daten (Datenschutzrechte) zu. Diese reichen von einem Recht auf Information beim Umgang mit den Kundendaten über das Auskunftsrecht bis hin zu dem Anspruch auf Berichtigung oder Löschung der Daten.

Die Aufsichtsbehörde rügte, dass Delivery Hero seinen Auskunftsverpflichtungen gar nicht oder erst nach mehrmaliger Aufforderung nachkam. Nach der DSGVO ist das verantwortliche Unternehmen allerdings verpflichtet, dem Betroffenen auf Anfrage unverzüglich Auskunft über die Verarbeitung seiner Daten zu geben. Hinzu kam, dass sich mehrere Kunden wegen unerwünschter E-Mail-Werbung beschwert hatten. Ein Kunde erhielt sogar trotz eines erfolgten Widerspruchs weiterhin E-Mails des Lieferdienstes. Auch der Umgang mit Altkunden war Anlass zur Kritik. So wurden Daten von Kunden, die jahrelang auf der Lieferdienst-Plattform nicht mehr aktiv waren, nicht gelöscht.

Datenschutzrechte sind elementarer Bestandteil der DSGVO

In ihrer Stellungnahme betont die Aufsichtsbehörde die besondere Bedeutung der Datenschutzrechte als „wichtiges Instrumentarium“ der DSGVO. Dazu gehöre auch ein gutes Konzept zum Umgang mit Rechten Betroffener: „Wer mit personenbezogenen Daten arbeitet, braucht ein funktionierendes Datenschutzmanagement. Das hilft nicht nur, Bußgelder zu vermeiden, sondern stärkt auch das Vertrauen und die Zufriedenheit der Kundschaft“, so Maja Smoltczyk in der veröffentlichten Stellungnahme.

Strukturell-organisatorische Mängel

Delivery Hero begründete ihr Verhalten mit Mitarbeiterversehen und technischen Mängeln. Dies ließ die Aufsichtsbehörde jedoch nicht gelten. Vielmehr seien strukturell-organisatorische Mängel ursächlich. Dafür spräche allein schon die Vielzahl der Verstöße.

Bei der Entscheidung, ob und in welcher Höhe das Bußgeld erlassen wird, berücksichtigte die Behörde auch, welche Maßnahmen ergriffen wurden, um die Folgen des Verstoßes abzuwenden bzw. abzumildern. Hier rügten die Berliner Datenschützer insbesondere, dass Delivery Hero trotz mehrfacher Hinweise der Behörde nicht handelte.

„Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss daher technisch-organisatorisch in der Lage sein, entsprechende Anträge der Betroffenen unverzüglich zu erfüllen“, so die Berliner Beauftragte.

Fazit

Der Umgang mit den Rechten Betroffener darf nicht vernachlässigt werden. Die DSGVO gibt hier kurze Reaktionsfristen vor. So muss bei Löschanfragen unverzüglich gehandelt werden. Auskünfte über seine Daten muss der Betroffene in der Regel spätestens nach einem Monat erhalten. Um den zeitlichen Vorgaben der DSGVO nachkommen zu können, ist ein Handlungskonzept mit entsprechenden Zuständigkeiten unabdingbar. Wer beantwortet die Anfragen? Welche Fachabteilungen sind hinzuziehen? Ein gut durchdachtes Datenschutzmanagement kann hier viel bewirken. procado unterstützt sie gerne bei der Umsetzung. (mlu)

Quelle:

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 19.09.2019: Lieferdienst und Online-Bank – Berliner Datenschutzbeauftragte verhängt empfindliche Bußgelder