Fachnews Datenschutz: Aufsichtsbehörde verhängt Bußgeld in Höhe von 195.407 Euro gegen Delivery Hero Freitag, 27. September 2019
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit verhängte gegen den Lieferdienst Delivery Hero Bußgelder in Höhe von insgesamt 195.407 Euro wegen mehrerer Verstöße gegen den Datenschutz. Wie der Pressemitteilung der Berliner Datenschutzbeauftragten zu entnehmen ist, ahndete diese mehrere datenschutzrechtliche Einzelverstöße des Unternehmens Delivery Hero. Insbesondere ging es um die Vernachlässigung der gesetzlichen Betroffenenrechte der Artikel 12 bis 23 DSGVO. Hierzu zählen unter anderem das Recht auf Auskunft über die Verarbeitung der eigenen Daten, das Recht auf Löschung der Daten und das Recht auf Widerspruch. Mehrere Beschwerden Betroffener Der Lieferdienst hatte in zehn Fällen die personenbezogenen Daten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl diese seit dem Jahr 2008 nicht mehr auf der Plattform aktiv waren. Widersprüche gegen den Versand von unerwünschten Werbe-E-Mails wurde nicht ausreichend nachgegangen. In einem Fall hatte ein Betroffener, nachdem er der Nutzung seiner Daten für Werbezwecke ausdrücklich widersprochen hatte, 15 weitere Werbe-E-Mails erhalten. Acht weitere ehemalige Kunden beschwerten sich ebenfalls über unerwünschte Werbe-E-Mails bei der Datenschutzaufsicht. Darüber hinaus wurden 5 Fälle bekannt, in denen die geforderte Beauskunftung nicht oder erst nach Aufforderung durch die Aufsichtsbehörde erteilt wurde. Standen in der Vergangenheit die meisten Geldbußen in Verbindung mit einer Datenpanne, wurde im vorliegenden Fall die Geldbuße aufgrund der Vernachlässigung der Betroffenenrechte erlassen. Die Betroffenenrechte sind für den Einzelnen essentiell, wenn es darum geht sein Grundrecht auf informationelle Selbstbestimmung durchzusetzen. Dem Gesetzgeber war es hierbei ein besonderes Anliegen die Rechte des Einzelnen in der Datenschutzgrundverordnung zu stärken. Umso wichtiger ist es also, dass Unternehmen sowohl technische als auch organisatorische Maßnahmen bereitstellen, um einen ausreichenden Datenschutz zu gewährleisten. Kein ausreichendes Datenschutzmanagementsystem Laut Angaben von Delivery Hero waren technisches Versagen und Mitarbeiterversehen der Grund für die Datenschutzverletzungen. Die Häufigkeit der Beschwerden der Betroffenen legt jedoch wohl nahe, dass von einem strukturellen Organisationsproblem auszugehen war. Trotz mehrfacher Hinweise durch die Aufsichtsbehörde, war Delivery Hero nicht in der Lage oder Willens, den Rechten der Betroffenen ausreichend nachzukommen. Die Einführung eines Datenschutzmanagementsystems hätte hier gegebenenfalls Abhilfe schaffen können. Zur Delivery Hero Germany GmbH gehören die Marken Lieferheld, Pizza.de und foodora. Diese wurden am 1. April 2019 von dem niederländischen Konzern Takeaway.com übernommen. Die Datenschutzverstöße lagen hierbei alle vor der Übernahme. Takeaway.com hat die Bußgeldbescheide anstandslos akzeptiert und legt keine Rechtsmittel ein. Nach eigener Aussage lege das Unternehmen selbst großen Wert auf den Datenschutz und wolle die Ereignisse zum Anlass nehmen, die internen datenschutzrechtlichen Prozesse gründlich zu prüfen. Weitere Geldbußen folgen Die Verhängung der Geldbuße im Falle von Delivery Hero zeigt einmal mehr, dass es den Aufsichtsbehörden ernst ist mit der Einhaltung der Regeln zum Datenschutz. Die Berliner Datenschutzbehörde hat in diesem Kontext angekündigt, Bußgelder in zweistelliger Millionenhöhe zu verhängen. In der Pressemitteilung wendet sich die Berliner Beauftragte für Datenschutz und Informationsfreiheit Frau Maja Smoltczyk unter anderem mahnend an andere Unternehmen: „Ich hoffe, dass diese Bußgelder auch auf andere Unternehmen eine mahnende Wirkung entfalten. Wer mit personenbezogenen Daten arbeitet, braucht ein funktionierendes Datenschutzmanagement. Das hilft nicht nur, Bußgelder zu vermeiden, sondern stärkt auch das Vertrauen und die Zufriedenheit der Kundschaft.“ Live-Ticker für Geldbußen Wer sich dafür interessiert, welche Bußgelder wegen Datenschutzverstößen auf nationaler als auch internationaler Ebene erlassen werden, kann sich über die Website http://www.enforcementtracker.com auf dem Laufenden halten. Der Enforcement Tracker ist ein Dienst der Kanzlei CMS Hasche Sigle und listet zeitnah alle Geldbußen wegen Datenschutzverletzungen in Europa. Autor: Markus Spöhr, Wirtschaftsjurist & Berater im Datenschutz Zurück zur Newsübersicht
Das könnte Sie auch interessieren: Fachnews vom 30. Oktober 2024 Datenschutz Aus dem Datenschutz-Blog: Die Haftung von Verantwortlichen, Gemeinsam Verantwortlichen und Auftragsverarbeitern Die Funktion als Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter ist für Unternehmen vor allem in Haftungssituationen rund um den Datenschutz von zentraler Bedeutung. Primär steht zwar der Verantwortliche in der Haftung, doch auch die anderen Akteure unterliegen strengen … Weiterlesen … Aus dem Datenschutz-Blog: Die Haftung von Verantwortlichen, Gemeinsam Verantwortlichen und Auftragsverarbeitern Fachnews vom 30. August 2024 Datenschutz Aus dem Datenschutz-Blog: Die Erstellung eines Löschkonzepts – das gilt es zu beachten! In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in Art. 17 DSGVO oder der Grundsatz der Speicherbegrenzung in Art. 5 Abs. 1 lit. e DSGVO. Jedoch fällt es viele Unternehmen schwer, einen Überblick darüber … Weiterlesen … Aus dem Datenschutz-Blog: Die Erstellung eines Löschkonzepts – das gilt es zu beachten! Fachnews vom 30. Juli 2024 Datenschutz Aus dem Datenschutz-Blog: Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten aut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder aber auch zur Entscheidungsfindung. Ein klares Bild: KI-Systeme haben Einzug in die Strukturen von Unternehmen gefunden. Weiterlesen … Aus dem Datenschutz-Blog: Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten Fachnews vom 20. Juni 2024 Datenschutz Aus dem Datenschutz-Blog: AI-Act – ein Überblick Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. Mai 2024 von den Mitgliedsstaaten der EU verabschiedet. Dieses Gesetz definiert erstmals einheitliche Standards zur Regulierung des Einsatzes von KI-Systemen in der EU. … Weiterlesen … Aus dem Datenschutz-Blog: AI-Act – ein Überblick Fachnews vom 22. Mai 2024 Datenschutz Aus dem Datenschutz-Blog: Die Zulässigkeit digitaler Entgeltabrechnungen Es ist mittlerweile üblich, dass wir Rechnungen und Dokumente digital erhalten. Zu denken sind an Rechnungen von Mobilfunk- oder Stromanbietern oder recht neu auch das eRezept oder die eAU. Stutzig werden wir, wenn die Entgeltabrechnung von Arbeitgebern digital zur Verfügung gestellt wird. In einer … Weiterlesen … Aus dem Datenschutz-Blog: Die Zulässigkeit digitaler Entgeltabrechnungen Fachnews vom 02. Mai 2024 Datenschutz Aus dem Datenschutz-Blog: eAU: Neuerungen für Arbeitgeber Seit dem 01.01.2023 gilt für Arbeitgeber die Pflicht, die Arbeitsunfähigkeitsbescheinigung (AU) ihrer Beschäftigten digital abzurufen. Mit diesem elektronischen Meldeverfahren kommen auch datenschutzrechtliche Anpassungen auf den Arbeitgeber zu. In diesem Artikel möchten wir einen Überblick über das … Weiterlesen … Aus dem Datenschutz-Blog: eAU: Neuerungen für Arbeitgeber Fachnews vom 26. März 2024 Datenschutz Aus dem Datenschutz-Blog: Die NIS2-Richtlinie und deren Umsetzung In Zeiten des digitalen Wandels rückt das Thema der Cybersicherheit, insbesondere für kritische Infrastrukturen, immer mehr in den Fokus der Öffentlichkeit. Es wird von einer signifikant gestiegenen Bedrohungslage für Wirtschaft, Verwaltung und Gesellschaft gesprochen. Weiterlesen … Aus dem Datenschutz-Blog: Die NIS2-Richtlinie und deren Umsetzung Fachnews vom 06. März 2024 Datenschutz Aus dem Datenschutz-Blog: DSA, DMA, AIA, NIS2 – Die Erweiterung des EU-Regelwerks für digitale Sachverhalte Was sich anhört wie ein Satz aus einem beliebten deutschen Rap-Lied ist tatsächlich Teil der EU-Digitalisierungsstrategie für digitale Sachverhalte. Wir schauen hinter die Kürzel und zeigen, was 2024 und darüber hinaus wichtig wird und ist. Weiterlesen … Aus dem Datenschutz-Blog: DSA, DMA, AIA, NIS2 – Die Erweiterung des EU-Regelwerks für digitale Sachverhalte Fachnews vom 27. Februar 2024 Datenschutz Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung Es begegnet uns nahezu alltäglich – das Erfordernis der Einwilligung. Im beruflichen wie auch im privaten Kontext. In der datenschutzrechtlichen Praxis finden sich vereinzelt die unterschiedlichsten Vorlagen und Muster, welche komprimiert den notwendigen Inhalt der Einwilligung wiedergeben. Meist … Weiterlesen … Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung Fachnews vom 24. Januar 2024 Datenschutz Interne Mitteilungen über Beschäftigte Manche Dinge sind so trivial, man macht sie einfach. Aus Nettigkeit, aus Rücksicht, aus Freude, weil man eben muss oder eben gerne möchte. Was ist schon dabei, dem lieben Arbeitskollegen zum Geburtstag zu gratulieren, der Kollegin zur Beförderung anerkennend auf die Schulter zu klopfen oder der … Weiterlesen … Interne Mitteilungen über Beschäftigte Fachnews vom 15. August 2023 Datenschutz EU-US Data Privacy Framework – was lange währt wird endlich gut? Was lange währt wird endlich gut – oder bietet der Angemessenheitsbeschluss doch nur eine neue Rechtsgrundlage auf Zeit? Was der neue Beschluss mit sich bringt und was das für Sie bedeutet finden Sie im folgenden Beitrag. Weiterlesen … EU-US Data Privacy Framework – was lange währt wird endlich gut? Fachnews vom 06. Juli 2023 Datenschutz Zum Stand des Angemessenheitsbeschlusses zwischen der EU und den USA Mit seinem Urteil vom 16. Juli 2020 hat der EuGH den Nachweis eines angemessenen Datenschutzniveaus durch die Privacy Shield-Zertifizierung aberkannt (Urteil v. 16.07.2020, Az. C‑311/18, Schrems II). Seit diesem Urteil fehlt es für die Übertragung personenbezogener Daten in die USA in vielen Fällen … Weiterlesen … Zum Stand des Angemessenheitsbeschlusses zwischen der EU und den USA < >