Werbemails trotz Widerspruch, mangelhafte Datenauskunft, nicht gelöschte Daten: Wegen Verstößen gegen die DSGVO straft die Berliner Datenschutzbehörde die Lieferfirma Delivery Hero ab. Das Unternehmen betrieb lange Zeit die Marken pizza.de, Lieferheld und Foodora.

Das Lieferdienstunternehmen Delivery Hero Germany GmbH muss wegen Datenschutzverstößen ein Bußgeld in Höhe von 195.000 Euro zahlen. Unter anderem hatte die Firma Auskunfts-, Lösch- und Widerspruchsrechte von Kund:innen missachtet. Das teilt die Berliner Datenschutzbehörde heute in einer Pressemitteilung [PDF] mit. Die Entscheidung ist rechtskräftig.

Die Strafe ist die bisher höchste, die ein Unternehmen in Deutschland unter der Datenschutzgrundverordnung zahlen muss.

Zum Firmennetzwerk von Delivery Hero gehörten in Deutschland lange Zeit die bekannten Marken Lieferheld, pizza.de und Foodora. Auch der digitale Mischkonzern Rocket Internet hält Anteile an dem Unternehmen. Im Frühjahr 2019 wurde das Deutschlandgeschäft vom niederländischen Lieferdienstriesen Takeway.com übernommen. Wie die Datenschutzbehörde mitteilt, hat der neue Eigner die Strafe akzeptiert.

Beschwerden brachten Verfahren ins Rollen

Ausgangspunkt des Verfahrens gegen Delivery Hero waren Beschwerden von Kundinnen und Kunden. Die Datenschutzbehörde berichtet, dass das Unternehmen rechtswidrig Daten von Kund:innen weitergespeichert hat, obwohl diese den Dienst seit Jahren nicht mehr genutzt haben. Kunden hatten sich zudem darüber beschwert, dass Delivery Hero ihren Auskunftsersuchen nicht nachgekommen sei. Ein anderer Kunde soll mehrere Werbemails erhalten haben, obwohl er der Nutzung seiner Daten für Werbezwecke widersprochen hatte.

Die Betroffenenrechte sind ein zentrales Element der Datenschutzgrundverordnung. Wenn Unternehmen nicht in der gegebenen Frist Auskunft geben oder Daten auf Wunsch löschen, können Menschen sich bei Datenschutzbehörden beschweren. Diese prüfen die Fälle und verhängen im Zweifelsfall Strafen oder ordnen Löschungen an. Aus Aufsichtskreisen ist zu hören, dass die Lieferdienstbranche zu jenen gehört, in denen besonders viele Eingaben von Bürger:innen kommen.

In ihrer Pressemitteilung empfiehlt die Berliner Datenschutzbeauftragte Maja Smoltczyk gerade kleineren Unternehmen und Start-Ups, sich rechtzeitig mit Datenschutz auseinanderzusetzen:

Ich hoffe, dass diese Bußgelder auch auf andere Unternehmen eine mahnende Wirkung entfalten. Wer mit personenbezogenen Daten arbeitet, braucht ein funktionierendes Datenschutzmanagement. Das hilft nicht nur, Bußgelder zu vermeiden, sondern stärkt auch das Vertrauen und die Zufriedenheit der Kundschaft. Berliner Unternehmen, die sich noch in der Gründungsphase befinden, empfehle ich, unsere zweimal monatlich stattfindende Start-Up-Sprechstunde aufzusuchen, um datenschutzrechtliche Fragen frühzeitig zu klären.

Kelber erwartet Bußgelder in Millionenhöhe

Mit der Datenschutzgrundverordnung hat sich der Bußgeldrahmen, über den Aufsichtsbehörden verfügen können, seit Mai 2018 deutlich erhöht. Sie können heute Strafen von bis zu 4 Prozent des weltweiten Umsatzes eines Unternehmens verhängen.

Während wir in Großbritannien und Frankreich bereits Strafen in Höhe dutzender Millionen gesehen haben, sind die deutschen Behörde bisher zurückhaltender. Das zuvor höchste DSGVO-Bußgeld in Deutschland liegt bei 80.000 Euro.

Erst vergangene Woche hatte der Bundesdatenschutzbeauftragte Ulrich Kelber auf der Netzpolitik-Konferenz die Erwartung geäußert, dass auch hierzulange bald Bußgelder in Millionenhöhe zu erwarten seien. Bei einem Termin im Berliner Abgeordnetenhaus kündigte Smoltczyk kürzlich tatsächlich an, dass sie voraussichtlich noch in diesem Jahr ein Bußgeld in zweistelliger Millionenhöhe verhängen werde. Zu Details wollte sie sich jedoch nicht äußern.