Zum Inhalt springen Zur Navigation springen
Berliner BfDI: „Rekordbußgelder“ für Missachtung der Betroffenenrechte

Berliner BfDI: „Rekordbußgelder“ für Missachtung der Betroffenenrechte

Die Delivery Hero SE mit Sitz in Berlin betreibt weltweit Online-Bestellplattformen für Essen. Eine Vielzahl von Datenschutzverstößen in der Vergangenheit führt jetzt dazu, dass der neue Eigentümer Takeaway.com die Zeche zahlen muss.

Rechtskräftige Bußgelder

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk hat Bußgelder in Höhe von insgesamt 195.407 € gegen das Unternehmen erlassen. Takeaway.com hat die Strafe bereits akzeptiert. Nie zuvor wurde in Deutschland ein höheres DSGVO-Bußgeld verhängt. In der Pressemitteilung der Datenschutzbeauftragten heißt es, die Bußgelder seien wegen diverser Einzelverstöße gegen Betroffenenrechte verhängt worden.

Unerwünschte Werbemails

So hätten sich acht ehemalige Delivery-Hero-Kunden über den Erhalt von unerwünschten Werbe-E-Mails beschwert. Werbemails dürfen Unternehmen, sofern keine Bestandskundenausnahme greift, grundsätzlich nur mit dem Einverständnis ihrer Kunden an diese verschicken. Ein Betroffener, welcher der Nutzung seiner Daten für Werbezwecke ausdrücklich widersprochen hatte, erhielt allerdings weitere 15 Werbe-E-Mails von dem Lieferdienst.

Löschpflicht nicht nachgekommen

Ferner hatte Delivery Hero in zehn Fällen Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen jahrelang nicht mehr auf der Lieferdienst-Plattform des Unternehmens aktiv gewesen waren. Nach der DSGVO sind Unternehmen jedoch verpflichtet, personenbezogene Daten dann zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden nicht mehr notwendig sind. Der Zweck entscheidet also über die zulässige Dauer der Speicherung. Es gilt ein Zweckbindungsgrundsatz. Interessant wären hier weitere Ausführungen der Berliner BfDI gewesen, inwiefern schon die reine Inaktivität über einen längeren Zeitraum den ursprünglichen Zweck der Bereitstellung eines Nutzerkontos entfallen lässt sowie Anhaltspunkt zur Bestimmung eines angemessenen Zeitraums der Inaktivität.

Das Recht auf Auskunft missachtet

Letztlich hatte das Unternehmen in weiteren fünf Fällen gegenüber den Betroffenen deren Auskunftsrecht missachtet. Nach Art. 15 DSGVO haben von der Datenverarbeitung Betroffene stets das Recht, von dem Verantwortlichen Auskunft darüber zu erhalten, welche personenbezogene Daten er von ihnen wie und zu welchen Zwecken verarbeitet.

Funktionierendes Datenschutzmanagement unabdingbar

In dem Schreiben betont die Behörde, dass die Betroffenenrechte der DSGVO ein wichtiges Instrumentarium eines jeden Einzelnen bei der Durchsetzung seines Grundrechts auf informationelle Selbstbestimmung darstellt. Jedes Unternehmen, das personenbezogene Daten verarbeitet muss daher in der Lage sein, Anträge von Betroffenen unverzüglich nachkommen zu können.

Die Berliner Aufsichtsbehörde macht deutlich, dass sich Unternehmen bei einer hohen Anzahl von Verstößen nicht hinter technischen Fehlern bzw. Mitarbeiterversehen verstecken können, wenn von „grundsätzlichen, strukturellen Organisationsproblemen“ auszugehen ist. Man habe das Unternehmen mehrfach auf die Verstöße hingewiesen, es habe sich jedoch keine Besserung gezeigt.

Smoltczyk bemängelt, dass in vielen Unternehmen das Thema Datenschutz lange Zeit stiefmütterlich behandelt wurde obwohl das Recht auf informationelle Selbstbestimmung im digitalen Zeitalter ein ausgesprochen wichtiges Grundrecht darstellt. Sie erhofft sich, dass Bußgelder in dieser Höhe auf Unternehmen mahnende Wirkung entfalten und die Bereitschaft zur Analyse und Aufarbeitung von Mängeln zunimmt.

Die Zurückhaltung hat ein Ende

Art. 83 DSGVO sieht Geldbußen von bis zu 20 Millionen Euro oder von bis zu vier Prozent des Vorjahresumsatzes vor ─ je nachdem welche Zahl höher ist. Die deutschen Aufsichtsbehörden halten sich im Gegensatz zu ihren europäischen Kollegen jedoch bei der Verhängung solch hoher Bußgelder bisher noch zurück. Selbst mit unseren „Rekordbußgeldern“ landen wir noch nicht einmal in den Top 10 der höchsten bisher ausgesprochenen Bußgeldern. Im Nachbarland Polen erging z.B. etwa zeitgleich ein Bußgeld in Höhe von knapp 644.000 € gegen den Online-Shop Morele.net. Der im Bereich Unterhaltungselektronik geschäftstätige Shop wurde für seine unzureichenden technischen und organisatorischen Maßnahmen zur Kasse gebeten. Bei einem Hackerangriff sind Daten von insgesamt 2,2 Millionen Kunden aufgrund von zu laschen technischen Sicherheitsvorkehrungen von Dritten abgegriffen worden. Zu den betroffenen Daten gehörten unter anderem die Vor- und Nachnamen, Telefonnummern, E-Mailadressen sowie die Lieferadressen der Kunden. Besonders brisant: Im Fall von etwa 35000 Personen gingen Daten aus Ratenkreditanträgen verloren, die neben persönlichen Ausweisidentifikationsnummern auch Angaben zum Bildungshintergrund, dem Arbeitgeber, die Höhe des Nettoeinkommens, dem Familienstand sowie bestehender Unterhaltsverpflichtungen preisgaben.

Es wird stürmisch!

Passend zum kalendarischen Herbstanfang wird es für Unternehmen ohne ausreichendes Datenschutzmanagement auch in Deutschland zunehmend ungemütlicher. Ihnen weht ein kräftiger aufsichtsbehördlicher Wind um die Nase. Erst kürzlich haben die Datenschutzaufsichtsbehörden des Bundes und der Länder sich auf ein gemeinsames Konzept zur Bußgeldberechnung bei Verstößen gegen die DSGVO verständigt, welches nun in der nächsten Zeit getestet werden soll. Dieses orientiert sich stark am Umsatz des datenschutzrechtlichen Verantwortlichen, sodass die Bußgelder zukünftig deutlich höher ausfallen könnten. Ulrich Kelber, seinerseits Bundesbeauftragter für den Datenschutz und die Informationsfreiheit glaubt sogar, dass es schon bald auch in Deutschland Bußgelder in Millionenhöhe geben werde. Alle Unternehmen, für die Datenschutz immer noch ein Fremdwort ist, sollten sich warm anziehen.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Nur die Aufsichtsbehörde für Datenschutz in Düsseldorf erlaubt die Unternehmen alle möglichen Missachtungen des Datenschutzes. Laut diese o. g. Behörden habe ich nicht einmal das Recht der Berichtigung oder Löschung bei falschen und sogar verleumdenden Angaben, die ohne meine Einverständniserklärung im System gespeichert wurden. Ich habe verschiedenen schwerwiegenden Datenschutzverletzungen seitens des Unternehmen gemeldet und Düsseldorf schreibt, dass alles unbedenklich und alles konform gewesen ist. Ich habe 2 Bücher über die EU-Datenschutzgrundverordnung und ich weiß mit Sicherheit, dass durch die Behörden in Düsseldorf etwas faul ist. Soll ich hier die Polizei einschalten?

    Ich würde mich sehr freuen für hilfreiche Tipps.

  • Hi,
    ich habe mir die Pressemitteilung der Berliner BfDI durchgelesen und war etwas erstaunt, dass diese so detailliert war. In der Regel halten sich die ASB in Pressemitteilungen relativ kurz und bedeckt. Da wollte sich die Frau Smoltczyk anscheinend profilieren und ihre eigene Politik durchsetzen. Ich hätte die Pressemitteilung definitiv angegriffen, da sie nicht den gesamten Kontext wiedergibt.
    Dieser Artikel ist allerdings auch nicht ganz korrekt, denn nicht die Delivery Hero SE, sondern Delivery Hero Germany GmbH, also Pizza.de und Lieferheld haben dieses Bußgeld erhalten. Auch hinterfragt der Artikel nicht die Hintergründe. 5 Auskunftsersuchen nicht zu beantworten ist zwar schlecht, aber wie viele Anfragen hat das Unternehmen erfolgreich beantwortet? 15 Newsletter über welchen Zeitraum? Die ASB sollte hier etwas transparenter sein, zumal viele andere Unternehmen ähnliche Probleme haben.

    • Sie haben Recht, die Bußgelder betrafen das Deutschlandgeschäft, die Delivery Hero Germany GmbH mit den bekannten Marken. Wir können nur mutmaßen, warum Frau Smoltczyk sich für eine ausführliche Stellungnahme entschieden hat. Sie selbst hofft, „dass diese Bußgelder auch auf andere Unternehmen eine mahnende Wirkung entfalten“. Vielleicht ging es ihr um größtmögliche Aufmerksamkeit um die vielen anderen Unternehmen, die womöglich ähnliche Probleme haben, zum Handeln zu motivieren? Hilfestellung hierfür gibt’s bei den bekannten Stellen ;)

  • Hallo Dr. Datenschutz,
    im Bezug auf den ersten Leserkommentar: Gibt es eine gesetzliche Frist innerhalb deren eine gerichtliche Überprüfung eines als unbegründet empfundenen Bescheids der Aufsichtsbehörde stattfinden muss? Art. 78 DSGVO scheint dazu nichts zu sagen.
    Darüber hinaus, wenn hier Gerichte ins Spiel kommen, so wird sich eine solche Vorgehensweise vermutlich bei kleineren Angelegenheit nicht lohnen. Danke vielmals im Voraus für die Antwort.

    • Im nationalen Recht steht einer Partei bei überlangen Verfahren gemäß § 198 Abs. 1 GVG unter Umständen eine angemessene Entschädigung zu. Die Hürden hierfür sind jedoch sehr hoch und es muss immer eine Einzelfallentscheidung getroffen werden. Es gibt also keine zeitlichen Vorgaben, wie lange ein Verfahren vor deutschen Gerichten maximal dauern darf. Hier kollidieren stets das verfassungsrechtlich garantierte Recht des Einzelnen auf effektiven (zeitnahen) Rechtsschutz mit dem – ebenfalls durch die Verfassung verbürgten Recht auf richterliche Unabhängigkeit und der damit verbundenen Verfahrensführung nach eigenem richterlichem Ermessen. Will man überhaupt Chancen auf eine Entschädigung haben muss zunächst die Verzögerungsrüge gem. § 198 Abs. 3 GVG erhoben worden sein indem man direkt die Arbeitsweise des Gerichts bemängelt. Ob dieses Vorgehen prozesstaktisch geschickt ist sollte in jedem Fall sorgfältig abgewogen werden.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.