Berliner BfDI: „Rekordbußgelder“ für Missachtung der Betroffenenrechte

News

Die Delivery Hero SE mit Sitz in Berlin betreibt weltweit Online-Bestellplattformen für Essen. Eine Vielzahl von Datenschutzverstößen in der Vergangenheit führt jetzt dazu, dass der neue Eigentümer Takeaway.com die Zeche zahlen muss.

Rechtskräftige Bußgelder

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk hat Bußgelder in Höhe von insgesamt 195.407 € gegen das Unternehmen erlassen. Takeaway.com hat die Strafe bereits akzeptiert. Nie zuvor wurde in Deutschland ein höheres DSGVO-Bußgeld verhängt. In der Pressemitteilung der Datenschutzbeauftragten heißt es, die Bußgelder seien wegen diverser Einzelverstöße gegen Betroffenenrechte verhängt worden.

Unerwünschte Werbemails

So hätten sich acht ehemalige Delivery-Hero-Kunden über den Erhalt von unerwünschten Werbe-E-Mails beschwert. Werbemails dürfen Unternehmen, sofern keine Bestandskundenausnahme greift, grundsätzlich nur mit dem Einverständnis ihrer Kunden an diese verschicken. Ein Betroffener, welcher der Nutzung seiner Daten für Werbezwecke ausdrücklich widersprochen hatte, erhielt allerdings weitere 15 Werbe-E-Mails von dem Lieferdienst.

Löschpflicht nicht nachgekommen

Ferner hatte Delivery Hero in zehn Fällen Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen jahrelang nicht mehr auf der Lieferdienst-Plattform des Unternehmens aktiv gewesen waren. Nach der DSGVO sind Unternehmen jedoch verpflichtet, personenbezogene Daten dann zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden nicht mehr notwendig sind. Der Zweck entscheidet also über die zulässige Dauer der Speicherung. Es gilt ein Zweckbindungsgrundsatz. Interessant wären hier weitere Ausführungen der Berliner BfDI gewesen, inwiefern schon die reine Inaktivität über einen längeren Zeitraum den ursprünglichen Zweck der Bereitstellung eines Nutzerkontos entfallen lässt sowie Anhaltspunkt zur Bestimmung eines angemessenen Zeitraums der Inaktivität.

Das Recht auf Auskunft missachtet

Letztlich hatte das Unternehmen in weiteren fünf Fällen gegenüber den Betroffenen deren Auskunftsrecht missachtet. Nach Art. 15 DSGVO haben von der Datenverarbeitung Betroffene stets das Recht, von dem Verantwortlichen Auskunft darüber zu erhalten, welche personenbezogene Daten er von ihnen wie und zu welchen Zwecken verarbeitet.

Funktionierendes Datenschutzmanagement unabdingbar

In dem Schreiben betont die Behörde, dass die Betroffenenrechte der DSGVO ein wichtiges Instrumentarium eines jeden Einzelnen bei der Durchsetzung seines Grundrechts auf informationelle Selbstbestimmung darstellt. Jedes Unternehmen, das personenbezogene Daten verarbeitet muss daher in der Lage sein, Anträge von Betroffenen unverzüglich nachkommen zu können.

Die Berliner Aufsichtsbehörde macht deutlich, dass sich Unternehmen bei einer hohen Anzahl von Verstößen nicht hinter technischen Fehlern bzw. Mitarbeiterversehen verstecken können, wenn von „grundsätzlichen, strukturellen Organisationsproblemen“ auszugehen ist. Man habe das Unternehmen mehrfach auf die Verstöße hingewiesen, es habe sich jedoch keine Besserung gezeigt.

Smoltczyk bemängelt, dass in vielen Unternehmen das Thema Datenschutz lange Zeit stiefmütterlich behandelt wurde obwohl das Recht auf informationelle Selbstbestimmung im digitalen Zeitalter ein ausgesprochen wichtiges Grundrecht darstellt. Sie erhofft sich, dass Bußgelder in dieser Höhe auf Unternehmen mahnende Wirkung entfalten und die Bereitschaft zur Analyse und Aufarbeitung von Mängeln zunimmt.

Die Zurückhaltung hat ein Ende

Art. 83 DSGVO sieht Geldbußen von bis zu 20 Millionen Euro oder von bis zu vier Prozent des Vorjahresumsatzes vor ─ je nachdem welche Zahl höher ist. Die deutschen Aufsichtsbehörden halten sich im Gegensatz zu ihren europäischen Kollegen jedoch bei der Verhängung solch hoher Bußgelder bisher noch zurück. Selbst mit unseren „Rekordbußgelder“ landen wir noch nicht einmal in den Top 10 der höchsten bisher ausgesprochenen Bußgeldern. Im Nachbarland Polen erging z.B. etwa zeitgleich ein Bußgeld in Höhe von knapp 644.000 € gegen den Online-Shop Morele.net. Der im Bereich Unterhaltungselektronik geschäftstätige Shop wurde für seine unzureichenden technischen und organisatorischen Maßnahmen zur Kasse gebeten. Bei einem Hackerangriff sind Daten von insgesamt 2,2 Millionen Kunden aufgrund von zu laschen technischen Sicherheitsvorkehrungen von Dritten abgegriffen worden. Zu den betroffenen Daten gehörten unter anderem die Vor- und Nachnamen, Telefonnummern, E-Mailadressen sowie die Lieferadressen der Kunden. Besonders brisant: Im Fall von etwa 35000 Personen gingen Daten aus Ratenkreditanträgen verloren, die neben persönlichen Ausweisidentifikationsnummern auch Angaben zum Bildungshintergrund, dem Arbeitgeber, die Höhe des Nettoeinkommens, dem Familienstand sowie bestehender Unterhaltsverpflichtungen preisgaben.

Es wird stürmisch!

Passend zum kalendarischen Herbstanfang wird es für Unternehmen ohne ausreichendes Datenschutzmanagement auch in Deutschland zunehmend ungemütlicher. Ihnen weht ein kräftiger aufsichtsbehördlicher Wind um die Nase. Erst kürzlich haben die Datenschutzaufsichtsbehörden des Bundes und der Länder sich auf ein gemeinsames Konzept zur Bußgeldberechnung bei Verstößen gegen die DSGVO verständigt, welches nun in der nächsten Zeit getestet werden soll. Dieses orientiert sich stark am Umsatz des datenschutzrechtlichen Verantwortlichen, sodass die Bußgelder zukünftig deutlich höher ausfallen könnten. Ulrich Kelber, seinerseits Bundesbeauftragter für den Datenschutz und die Informationsfreiheit glaubt sogar, dass es schon bald auch in Deutschland Bußgelder in Millionenhöhe geben werde. Alle Unternehmen, für die Datenschutz immer noch ein Fremdwort ist, sollten sich warm anziehen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

4 Kommentare zu diesem Beitrag

  1. Nur die Aufsichtsbehörde für Datenschutz in Düsseldorf erlaubt die Unternehmen alle möglichen Missachtungen des Datenschutzes. Laut diese o. g. Behörden habe ich nicht einmal das Recht der Berichtigung oder Löschung bei falschen und sogar verleumdenden Angaben, die ohne meine Einverständniserklärung im System gespeichert wurden. Ich habe verschiedenen schwerwiegenden Datenschutzverletzungen seitens des Unternehmen gemeldet und Düsseldorf schreibt, dass alles unbedenklich und alles konform gewesen ist. Ich habe 2 Bücher über die EU-Datenschutzgrundverordnung und ich weiß mit Sicherheit, dass durch die Behörden in Düsseldorf etwas faul ist. Soll ich hier die Polizei einschalten?

    Ich würde mich sehr freuen für hilfreiche Tipps.

  2. Hi,
    ich habe mir die Pressemitteilung der Berliner BfDI durchgelesen und war etwas erstaunt, dass diese so detailliert war. In der Regel halten sich die ASB in Pressemitteilungen relativ kurz und bedeckt. Da wollte sich die Frau Smoltczyk anscheinend profilieren und ihre eigene Politik durchsetzen. Ich hätte die Pressemitteilung definitiv angegriffen, da sie nicht den gesamten Kontext wiedergibt.
    Dieser Artikel ist allerdings auch nicht ganz korrekt, denn nicht die Delivery Hero SE, sondern Delivery Hero Germany GmbH, also Pizza.de und Lieferheld haben dieses Bußgeld erhalten. Auch hinterfragt der Artikel nicht die Hintergründe. 5 Auskunftsersuchen nicht zu beantworten ist zwar schlecht, aber wie viele Anfragen hat das Unternehmen erfolgreich beantwortet? 15 Newsletter über welchen Zeitraum? Die ASB sollte hier etwas transparenter sein, zumal viele andere Unternehmen ähnliche Probleme haben.

    • Sie haben Recht, die Bußgelder betrafen das Deutschlandgeschäft, die Delivery Hero Germany GmbH mit den bekannten Marken. Wir können nur mutmaßen, warum Frau Smoltczyk sich für eine ausführliche Stellungnahme entschieden hat. Sie selbst hofft, „dass diese Bußgelder auch auf andere Unternehmen eine mahnende Wirkung entfalten“. Vielleicht ging es ihr um größtmögliche Aufmerksamkeit um die vielen anderen Unternehmen, die womöglich ähnliche Probleme haben, zum Handeln zu motivieren? Hilfestellung hierfür gibt’s bei den bekannten Stellen ;)

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.