Foodinho: Wenn Algorithmen zum Problem werden

Urteil

Aufgrund verschiedenster Verstöße gegen geltende Datenschutzbestimmungen hat die italienische Aufsichtsbehörde ein Bußgeld in Höhe von 2.600.000 EUR gegen Foodinho s.r.l. verhängt. Unter anderem wegen der rechtswidrigen Nutzung von Algorithmen. Dabei ist der Essenslieferdienst in so gut wie alle denkbaren Datenschutz-Fettnäpfchen getreten.

Die Tücken der Beschäftigtenüberwachung

Dass Unternehmen zu unterschiedlichen Zwecken ihre Beschäftigten überwachen wollen, ist nichts Neues. Dass dies oft mit datenschutzrechtlichen Problemen einhergeht, ist auch ein alter Schuh. Dennoch sind der Kreativität keine Grenzen gesetzt und Unternehmen wagen sich immer wieder in dieses Minenfeld. Das kann mit genügend Planung und einer ausgiebigen rechtlichen Prüfung funktionieren. Wenn jedoch übereilt gehandelt wird, führen diese Pläne oftmals zu empfindlichen Bußgeldern. Mal ist es ein Klassiker, wie bei der verdeckten Videoüberwachung und mal sind es die Lieferdienste, wie z.B. Lieferando, die Ihre Fahrer überwachen und damit Gefahr laufen, ein Bußgeld zu kassieren.

Auch der Lieferdienst Foodinho hat der zuständigen Aufsichtsbehörde zufolge in Sachen Datenschutz nachlässig gearbeitet.

Was ist passiert?

Der Lieferdienst setzte eine Software zur Vergabe von Aufträgen an die insgesamt 19.000 Lieferfahrer des Unternehmens ein. Dabei fand die Vergabe durch eine automatisierte Entscheidungsfindung statt. Bei dieser Form der Entscheidung handelt es sich um ein Profiling i.S.d. Art. 22 DSGVO. Für den Einsatz einer derartigen Software sind eine Vielzahl von Aspekten zu berücksichtigen, um die Nutzung überhaupt rechtskonform gestalten zu können. Dies zeigt sich bereits an den von der Behörde aufgeführten Verstößen.

Eine Sammlung an Verstößen

Das von der italienischen Behörde verhängte Bußgeld in Höhe von 2.600.000 EUR beruht zwar auf mehreren datenschutzrechtlichen Verstößen. Insbesondere habe es aber Missstände bei den Algorithmen gegeben, die für die Verwaltung der Beschäftigten eingesetzt wurden. Unter anderem seien die Beschäftigten nicht ausreichend über die Funktionsweise des Systems informiert worden. Ferner habe es kein Verfahren gegeben, welches eine Anfechtung der automatisiert getroffenen Entscheidung durch die betroffene Person ermöglicht. Dies wird jedoch von Art. 22 Abs. 3 DSGVO so vorgesehen.

Neben diesen Verstößen bemängelte die Behörde zudem folgende Punkte:

  • Verletzung der Grundsätze der Datenminimierung und Speicherbegrenzung: Die Systeme haben Fahrerdaten verarbeitet, die weitaus umfassender waren als für den Verarbeitungszweck erforderlich. Außerdem sei die Speicherdauer der verschiedenen Datenarten nicht definiert worden.
  • Es seien keine technischen und organisatorischen Maßnahmen implementiert worden, um ein angemessenes Schutzniveau für die Betroffenen herzustellen.
  • Es sei keine Datenschutz-Folgenabschätzung zur Minimierung des datenschutzrechtlichen Risikos für die Betroffenen durchgeführt worden, obwohl dies erforderlich gewesen wären.
  • Es habe an datenschutzfreundlichen Voreinstellungen hinsichtlich der genutzten Software gefehlt. Diese seien nicht dem Grundsatz „Privacy by Design/Default“ gefolgt.
  • Es sei kein Verarbeitungsverzeichnis geführt und der Datenschutzbehörde keine Kontaktdaten des Datenschutzbeauftragten mitgeteilt worden.

Fehlen einer Datenschutz-Folgenabschätzung

Insgesamt also ein Sammelsurium an Verstößen. Das Unternehmen ignorierte hier vollständig die Gefahr, die mit dem Profiling i.S.d. Art. 22 DSGVO einhergeht. Diese hätte mit einer Datenschutz-Folgenabschätzung deutlich minimiert werden können und müssen.

Im Hinblick auf die Erforderlichkeit einer solchen Datenschutz-Folgenabschätzung verweist die Behörde hier darauf, dass eine beträchtliche Menge an Daten unterschiedlichster Art in Bezug auf eine beträchtliche Anzahl von Personen und über eine digitale Plattform verarbeitet worden sei. Diese Verarbeitung sei ausschließlich mittels Algorithmen erfolgt, um Angebot und Nachfrage aufeinander abzustimmen. Bei einem derartigen Verarbeitungsvorgang handele es sich um eine Verarbeitung, die innovativer Natur sei, womit eine Datenschutz-Folgenabschätzung zwingend erforderlich gewesen wäre. Der innovative Charakter der eingesetzten Technologie liege in folgenden zwei Punkten:

  1. die Arbeit werde über eine digitale Plattform verwaltet, deren Betrieb auf komplexen Algorithmen beruht, und
  2. die Erstellung von Profilen, die durch auf der Plattform durch die Erhebung vielfältiger Daten stattfinde. Diese könne für die betroffenen Beschäftigten sogar zu einem Ausschluss von Arbeitsmöglichkeiten führen, soweit der Algorithmus den Fahrern aufgrund der Datenanalyse keine Fahrten mehr zuweist.

Folgen der unzureichenden Analyse

Die Folgen sind klar. Auch wenn die Aussagen und Kritikpunkte der Behörden den Anschein machen, dass vorliegend vollständig auf Datenschutz verzichtet wurde, hätten so einige Fehlerquellen mit Hilfe einer Datenschutz-Folgenabschätzung vermieden werden können. So kann zumindest davon ausgegangen werden, dass mit Hilfe einer solchen die Erforderlichkeit von technischen und organisatorischen Maßnahmen erkannt worden wäre, die notwendig sind, um die Beschäftigten ausreichend zu schützen. Weiter hätte man Fehlerquellen hinsichtlich der datenschutzfreundlichen Voreinstellungen erkennen und minimieren können. Insbesondere hätte auffallen müssen, dass die Beschäftigten nicht ausreichend über die Funktion des Systems informiert wurden. Entsprechend fehlte es am Ende auch gerade bei den Informationen für die Beschäftigten an allen Ecken und Enden.

Vernachlässigung des Datenschutzes

Ganz sicher gehören Lieferdienste und Versandhäuser zu den absoluten Gewinnern der Pandemie. Seit März 2020 ist ein erheblicher Umsatzgewinn in sämtlichen Bereichen des Onlinehandels und der Essenslieferdienste zu erkennen. Umso enttäuschender ist es, dass viele Unternehmen immer noch keinen Wert auf den Datenschutz und den Schutz ihrer Mitarbeiter legen. Das stößt insbesondere dann auf Unverständnis, wenn man sich den Bußgeldrahmen der DSGVO einmal anschaut. Denn das sogenannte „große“ Bußgeld nach Art. 83 Abs. 5 DSGVO kann bis zu 20.000.000 € oder 4 % des Konzernjahresumsatzes betragen.

In Anbetracht dieser Kostenrisiken erscheint es kaum noch nachvollziehbar, dass und vor allem warum der Datenschutz bei Foodinho derart vernachlässigt wurde. Gleichzeitig zeigt der Fall eindrücklich, wie wichtig es ist, bei der Verarbeitung von Beschäftigtendaten oder Kundendaten eine datenschutzrechtliche Prüfung vorzunehmen. Nur so können mögliche Risiken erkannt und minimiert werden.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.