Fachnews 27.09.2019

Datenschutz: Aufsichtsbehörde verhängt Bußgeld in Höhe von 195.407 Euro gegen Delivery Hero

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit verhängte gegen den Lieferdienst Delivery Hero Bußgelder in Höhe von insgesamt 195.407 Euro wegen mehrerer Verstöße gegen den Datenschutz.

Wie der Pressemitteilung der Berliner Datenschutzbeauftragten zu entnehmen ist, ahndete diese mehrere datenschutzrechtliche Einzelverstöße des Unternehmens Delivery Hero. Insbesondere ging es um die Vernachlässigung der gesetzlichen Betroffenenrechte der Artikel 12 bis 23 DSGVO. Hierzu zählen unter anderem das Recht auf Auskunft über die Verarbeitung der eigenen Daten, das Recht auf Löschung der Daten und das Recht auf Widerspruch.

Mehrere Beschwerden Betroffener

Der Lieferdienst hatte in zehn Fällen die personenbezogenen Daten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl diese seit dem Jahr 2008 nicht mehr auf der Plattform aktiv waren. Widersprüche gegen den Versand von unerwünschten Werbe-E-Mails wurde nicht ausreichend nachgegangen. In einem Fall hatte ein Betroffener, nachdem er der Nutzung seiner Daten für Werbezwecke ausdrücklich widersprochen hatte, 15 weitere Werbe-E-Mails erhalten. Acht weitere ehemalige Kunden beschwerten sich ebenfalls über unerwünschte Werbe-E-Mails bei der Datenschutzaufsicht. Darüber hinaus wurden 5 Fälle bekannt, in denen die geforderte Beauskunftung nicht oder erst nach Aufforderung durch die Aufsichtsbehörde erteilt wurde.

Standen in der Vergangenheit die meisten Geldbußen in Verbindung mit einer Datenpanne, wurde im vorliegenden Fall die Geldbuße aufgrund der Vernachlässigung der Betroffenenrechte erlassen. Die Betroffenenrechte sind für den Einzelnen essentiell, wenn es darum geht sein Grundrecht auf informationelle Selbstbestimmung durchzusetzen. Dem Gesetzgeber war es hierbei ein besonderes Anliegen die Rechte des Einzelnen in der Datenschutzgrundverordnung zu stärken. Umso wichtiger ist es also, dass Unternehmen sowohl technische als auch organisatorische Maßnahmen bereitstellen, um einen ausreichenden Datenschutz zu gewährleisten.

Kein ausreichendes Datenschutzmanagementsystem

Laut Angaben von Delivery Hero waren technisches Versagen und Mitarbeiterversehen der Grund für die Datenschutzverletzungen. Die Häufigkeit der Beschwerden der Betroffenen legt jedoch wohl nahe, dass von einem strukturellen Organisationsproblem auszugehen war. Trotz mehrfacher Hinweise durch die Aufsichtsbehörde, war Delivery Hero nicht in der Lage oder Willens, den Rechten der Betroffenen ausreichend nachzukommen. Die Einführung eines Datenschutzmanagementsystems hätte hier gegebenenfalls Abhilfe schaffen können.

Zur Delivery Hero Germany GmbH gehören die Marken Lieferheld, Pizza.de und foodora. Diese wurden am 1. April 2019 von dem niederländischen Konzern Takeaway.com übernommen. Die Datenschutzverstöße lagen hierbei alle vor der Übernahme. Takeaway.com hat die Bußgeldbescheide anstandslos akzeptiert und legt keine Rechtsmittel ein. Nach eigener Aussage lege das Unternehmen selbst großen Wert auf den Datenschutz und wolle die Ereignisse zum Anlass nehmen, die internen datenschutzrechtlichen Prozesse gründlich zu prüfen.

Weitere Geldbußen folgen

Die Verhängung der Geldbuße im Falle von Delivery Hero zeigt einmal mehr, dass es den Aufsichtsbehörden ernst ist mit der Einhaltung der Regeln zum Datenschutz. Die Berliner Datenschutzbehörde hat in diesem Kontext angekündigt, Bußgelder in zweistelliger Millionenhöhe zu verhängen.

In der Pressemitteilung wendet sich die Berliner Beauftragte für Datenschutz und Informationsfreiheit Frau Maja Smoltczyk unter anderem mahnend an andere Unternehmen:

„Ich hoffe, dass diese Bußgelder auch auf andere Unternehmen eine mahnende Wirkung entfalten. Wer mit personenbezogenen Daten arbeitet, braucht ein funktionierendes Datenschutzmanagement. Das hilft nicht nur, Bußgelder zu vermeiden, sondern stärkt auch das Vertrauen und die Zufriedenheit der Kundschaft.“

Live-Ticker für Geldbußen   

Wer sich dafür interessiert, welche Bußgelder wegen Datenschutzverstößen auf nationaler als auch internationaler Ebene erlassen werden, kann sich über die Website http://www.enforcementtracker.com auf dem Laufenden halten. Der Enforcement Tracker ist ein Dienst der Kanzlei CMS Hasche Sigle und listet zeitnah alle Geldbußen wegen Datenschutzverletzungen in Europa.

 

Autor: Markus Spöhr, Wirtschaftsjurist & Berater im Datenschutz