Delivery HeroBerliner Datenschutzbehörde verhängt bisher höchstes DSGVO-Bußgeld gegen Lieferdienst

Werbemails trotz Widerspruch, mangelhafte Datenauskunft, nicht gelöschte Daten: Wegen Verstößen gegen die DSGVO straft die Berliner Datenschutzbehörde die Lieferfirma Delivery Hero ab. Das Unternehmen betrieb lange Zeit die Marken pizza.de, Lieferheld und Foodora.

– Jason Krüger | für netzpolitik.org

Das Lieferdienstunternehmen Delivery Hero Germany GmbH muss wegen Datenschutzverstößen ein Bußgeld in Höhe von 195.000 Euro zahlen. Unter anderem hatte die Firma Auskunfts-, Lösch- und Widerspruchsrechte von Kund:innen missachtet. Das teilt die Berliner Datenschutzbehörde heute in einer Pressemitteilung [PDF] mit. Die Entscheidung ist rechtskräftig.

Die Strafe ist die bisher höchste, die ein Unternehmen in Deutschland unter der Datenschutzgrundverordnung zahlen muss.

Zum Firmennetzwerk von Delivery Hero gehörten in Deutschland lange Zeit die bekannten Marken Lieferheld, pizza.de und Foodora. Auch der digitale Mischkonzern Rocket Internet hält Anteile an dem Unternehmen. Im Frühjahr 2019 wurde das Deutschlandgeschäft vom niederländischen Lieferdienstriesen Takeway.com übernommen. Wie die Datenschutzbehörde mitteilt, hat der neue Eigner die Strafe akzeptiert.

Beschwerden brachten Verfahren ins Rollen

Ausgangspunkt des Verfahrens gegen Delivery Hero waren Beschwerden von Kundinnen und Kunden. Die Datenschutzbehörde berichtet, dass das Unternehmen rechtswidrig Daten von Kund:innen weitergespeichert hat, obwohl diese den Dienst seit Jahren nicht mehr genutzt haben. Kunden hatten sich zudem darüber beschwert, dass Delivery Hero ihren Auskunftsersuchen nicht nachgekommen sei. Ein anderer Kunde soll mehrere Werbemails erhalten haben, obwohl er der Nutzung seiner Daten für Werbezwecke widersprochen hatte.

Die Betroffenenrechte sind ein zentrales Element der Datenschutzgrundverordnung. Wenn Unternehmen nicht in der gegebenen Frist Auskunft geben oder Daten auf Wunsch löschen, können Menschen sich bei Datenschutzbehörden beschweren. Diese prüfen die Fälle und verhängen im Zweifelsfall Strafen oder ordnen Löschungen an. Aus Aufsichtskreisen ist zu hören, dass die Lieferdienstbranche zu jenen gehört, in denen besonders viele Eingaben von Bürger:innen kommen.

In ihrer Pressemitteilung empfiehlt die Berliner Datenschutzbeauftragte Maja Smoltczyk gerade kleineren Unternehmen und Start-Ups, sich rechtzeitig mit Datenschutz auseinanderzusetzen:

Ich hoffe, dass diese Bußgelder auch auf andere Unternehmen eine mahnende Wirkung entfalten. Wer mit personenbezogenen Daten arbeitet, braucht ein funktionierendes Datenschutzmanagement. Das hilft nicht nur, Bußgelder zu vermeiden, sondern stärkt auch das Vertrauen und die Zufriedenheit der Kundschaft. Berliner Unternehmen, die sich noch in der Gründungsphase befinden, empfehle ich, unsere zweimal monatlich stattfindende Start-Up-Sprechstunde aufzusuchen, um datenschutzrechtliche Fragen frühzeitig zu klären.

Kelber erwartet Bußgelder in Millionenhöhe

Mit der Datenschutzgrundverordnung hat sich der Bußgeldrahmen, über den Aufsichtsbehörden verfügen können, seit Mai 2018 deutlich erhöht. Sie können heute Strafen von bis zu 4 Prozent des weltweiten Umsatzes eines Unternehmens verhängen.

Während wir in Großbritannien und Frankreich bereits Strafen in Höhe dutzender Millionen gesehen haben, sind die deutschen Behörde bisher zurückhaltender. Das zuvor höchste DSGVO-Bußgeld in Deutschland liegt bei 80.000 Euro.

Erst vergangene Woche hatte der Bundesdatenschutzbeauftragte Ulrich Kelber auf der Netzpolitik-Konferenz die Erwartung geäußert, dass auch hierzulange bald Bußgelder in Millionenhöhe zu erwarten seien. Bei einem Termin im Berliner Abgeordnetenhaus kündigte Smoltczyk kürzlich tatsächlich an, dass sie voraussichtlich noch in diesem Jahr ein Bußgeld in zweistelliger Millionenhöhe verhängen werde. Zu Details wollte sie sich jedoch nicht äußern.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

3 Ergänzungen

  1. Immer wieder stoße ich auf Webseiten, wo ebenfalls die DSGVO nicht eingehalten wird. Wie kann es sein, dass es nach Inkrafttreten der DSGVO immer noch Webseiten ohne Datenschutz und Impressum gibt? Das war bereits vor der DSGVO Pflicht – aber viele Webseitenbetreiber ignorieren das einfach und selbst renommierte Agenturen machen große Fehler bei der Erstellung von Kundenwebseiten.

    1. Es gibt schlichtweg einen Fehler in dem System

      Datenschutz auf der einen Seite und auf der anderen Seite dazu verpflichtet werden eigene Daten herauszugeben. Und Angabe von Realdaten im Internet können böse enden.

      Und ich will jetzt nicht von kritischen Berichterstattung anfangen, z.b. Enhüllungsthematiken oder staatlich verfolgten Personen die bestimmt allesamt froh wären wenn ihre Beiträge eine Realadresse in ihrem Blog oder Seite zu verzeichnen hätten.

      Außerdem wird vergessen, dass Impressumspflicht lange Zeit gar nicht gab. Und? Das Internet funktionierte dennoch. Sogar wunderbar. Es muss nicht alles bis zum Erbrechen reguliert werden.

      Das Impressum ist unter anderem genauso eine bescheuerte Erfindung wie den „jetzt unverbindlich kaufen“ Button, Cookiebanner die schon seit Entstehung eine Pharce waren und sonstiger Quatsch der Verbrauchern per Friß oder Stirb Mentalität vorgesetzt wird.

      Unabhängig davon funktioniert „Datenschutz“ zum großen Teil immer noch nur für eine Seite und dass sind bestimmt nicht die Leute, die hier schreiben.

  2. Was macht es schon aus, wenn man ab und zu Werbeemails von Anbietern erhält, bei denen man mal etwas bestellt hat. Das große Problem liegt wohl eher bei den big playern wie Facebook, Google und co. Diese dürfen inzwischen die Daten sammeln und verwerten, da jeder Benutzer deren Datenschutzbedingungen akzeptieren muss, wenn er deren Dienste verwenden möchte. Fast jeder verwendet Google als Suchmaschine und stimmt somit einer Verwendung der Daten zu. Die neuen Datenschutzbedingungen sind doch vielmehr eine Freikarte zur Datenverwertung bei den big playern. Aus meiner Sicht sind die Datenschutzbedingungen bloß eine Hürde für Kleinunternehmer, die im Online-Business einfach nur deren Lebensunterhalt verdienen möchten. Der Datenschutz sollte bereits im Kopf eines jeden stattfinden, denn wie allseits bekannt wird Facebook täglich mit sensiblen Daten seiner Nutzer gefüttert. Informationen, die man besser für sich behält und nicht frei zugänglich macht (postet).

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.