Zum Inhalt springen Zur Navigation springen
Wenn der Pizzabote auf WhatsApp schreibt

Wenn der Pizzabote auf WhatsApp schreibt

Artikel von Ellen Werner·5. Oktober 2023

Manche werden es selbst schon mal erlebt haben: Man bestellt eine Pizza und dann schreibt ein Servicemitarbeitender auf WhatsApp, dass die Bestellung bald geliefert wird – teilweise wird sogar von unerwünschter Anmache berichtet. Darf man so überhaupt kontaktiert werden? Dieser Beitrag soll aufzuzeigen, welche Kontaktaufnahme nach DSGVO noch erlaubt ist und welche Rechte die Betroffenen haben.

Die DSGVO schützt auch hier

Damit die Essenslieferung ankommt, erfahren Serviceangestellte zwangsläufig personenbezogene Daten von uns. Dazu gehören Name, Anschrift und inzwischen auch regelmäßig die Mobilfunknummer. Falls man WhatsApp nutzt, kann jeder Serviceangestellte einen über die Mobilfunknummer dort finden. Je nach persönlicher Voreinstellung ist dann Name, Profilbild, Status und der Zuletzt-Online-Stempel sichtbar.

Unternehmen sind im Verhältnis zu Verbrauchern zu Datenschutz verpflichtet. Sie müssen mit personenbezogenen Daten sorgfältig und sparsam umzugehen. Das bedeutet, dass die Unternehmen vor dem Einsatz von WhatsApp zur Kundenkommunikation sich erstmal die Frage stellen müssen, ob eine datenschutzfreundliche Ausgestaltung überhaupt möglich ist und wie eine solche aussehen könnte. Für die Kundenkommunikation hat der Entwickler WhatsApp Inc. die WhatsApp Business App oder die Business Plattform bereitgestellt. Doch auch hier ist der datenschutzkonforme Einsatz schwierig. Dazu mehr in unserem Blog-Beitrag zum DSGVO-konformen Versand von Newslettern per WhatsApp.

In jedem Fall sollte die Entscheidung, ob über WhatsApp kommuniziert wird, von dem Kunden oder der Kundin selbst ausgehen und nicht von dem Serviceangestellten. Verbraucher und Verbraucherinnen sind vor ungewollter Kontaktaufnahme per WhatsApp durch die DSGVO geschützt.

Ist das noch Vertragserfüllung oder schon Anmache?

Teilweise wird von Fällen berichtet, in denen Serviceangestellte die Mobilfunknummer missbrauchen, um private Nachrichten zu schicken und persönliche Avancen zu machen (Erfahrungen einer Berliner Kundin). Dass eine Anmache auf WhatsApp durch Serviceangestellte nicht mehr rechtmäßig im Sinne der DSGVO erfolgt, liegt auf der Hand.

Doch wie sieht es aus, wenn der Kunde oder die Kundin angerufen wird, um logistische Details zur Essenslieferung zu klären. Ist das dann erlaubt? Grundsätzlich gilt, dass die Verarbeitung personenbezogener Daten verboten ist. Erlaubt ist sie nur, wenn eine sog. Rechtsgrundlage besteht. Bei Lieferdiensten wird regelmäßig an die Notwendigkeit zur Vertragserfüllung, Art. 6 Abs. 1, lit. b) DSGVO zu denken sein.

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

[…]

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen

Das bedeutet, dass ein Serviceangestellter dann Kontakt aufnehmen darf, wenn dies erforderlich ist, um das bestellte Essen auszuliefern. Das wäre z.B. dann der Fall, wenn Kunde oder Kundin unter der angegebenen Lieferanschrift nicht auffindbar ist oder wegen einer defekten Klingel nicht die Türe öffnet.

Der Einsatz von WhatsApp ist nicht notwendig

Fest steht: es gibt durchaus Situationen, in denen es zur Vertragserfüllung notwendig ist, dass die Serviceangestellte Kontakt aufnehmen. Es stellt sich dann aber immer noch die Frage, ob das ausgerechnet über WhatsApp passieren muss.

Denn WhatsApp werden viele Daten zusätzlich erhoben. Es bestehen große datenschutzrechtliche Bedenken gegenüber dem Messenger Dienst (Beitrag über die Risiken von WhatsApp). Im Vergleich dazu gibt es datensparsamere Wege der Kontaktaufnahme. Denkbar wäre z.B. ein Anruf auf der Festnetz- oder Mobilfunknummer. Auch eine SMS kann versendet werden, ohne dass WhatsApp zum Einsatz kommen muss. Ohne vorherige Einwilligung der Kunden und Kundinnen muss daher auf den Einsatz von WhatsApp unbedingt verzichtet werden.

Es sind theoretisch auch Fälle denkbar, in denen diese Bewertung anders ausfallen könnte. Etwa wenn man im Ausland unterwegs ist und nur übers Internet angerufen werden kann. Ob es auf eine Einwilligung des Kunden bzw. der Kundin ankommt oder ob auch berechtigte Interessen vorliegen könnte, ist eine Frage des Einzelfalls.

Betroffene können sich wehren

Die DSGVO bietet Betroffenen die Möglichkeit, sich gegen rechtswidrige Datenverarbeitungen zu wehren.

  • Auskunft:
    Es besteht ein Recht auf Offenlegung der Datenverarbeitung nach Art. 15 Abs.1 DSGVO. Das LG Baden-Baden hat am 24.08.2023, Az. 3 S 13/23, wegweisend über dessen Reichweite entschieden (Urteilsbesprechung zu der Entscheidung).
  • Löschung:
    Bei einer rechtswidrigen Datenverarbeitung kann die Löschung verlangt werden. Hierzu sollte das verantwortliche Unternehmen (am besten schriftlich) kontaktiert werden. Ein kostenloses Muster für die Stellung eines Löschbegehrens ist am Ende unseres Fachbeitrags zum Recht auf Löschung verlinkt.
  • Widerspruchrecht und Widerruf der Einwilligung:
    Selbst, wenn die Datenverarbeitung aufgrund eines berechtigten Interesses des Unternehmens erfolgt, ist ein Widerspruch möglich. Link zu einem kostenlosen Muster am Ende unseres Artikels zum Widerspruchsrecht. Auch eine eventuell erteilte Einwilligung in die Datenverarbeitung durch den Lieferdienst kann gem. Art. 7 Abs. 3 DSGVO wieder zurückgenommen werden. Link zu einem kostenlosen Muster zum Widerruf der Einwilligung am Ende unseres Artikels zum Widerruf der Einwilligung.
  • Beschwerde bei der Aufsichtsbehörde:
    Falls die Anfrage nicht zu Ihrer Zufriedenheit beantwortet wird, besteht für Sie die Möglichkeit der Beschwerde bei der für Sie zuständigen Aufsichtsbehörde. Lesen Sie hierzu unseren Fachbeitrag zu Betroffenenrechten mit weiterführenden Links zu den Online-Beschwerdeformularen der Aufsichtsbehörden.

Übrigens: es sind auch zivilrechtliche Ansprüche denkbar. Wenn ein Angestellter die personenbezogenen Daten eines Kunden auf einem privaten Gerät verwendet hat (etwa weil der Angestellte den Kunden von einem privaten Account aus kontaktiert) kann diese Verwendung der Daten untersagt werden. Es kommt ein Anspruch auf Unterlassen der weiteren Verwendung aus § 823 Abs. 2, 1004 BGB analog in Verbindung mit Art. 6 Abs. 1 DSGVO in Betracht, so das LG Baden-Baden.

Was Unternehmen tun (können)

Der Bestelldienst Just Eat Takeaway.com (in Deutschland und Österreich bekannt als Lieferando) hat eigens für unangemessenes Verhalten von Angestellten eine Beschwerde-Website eingerichtet. Dort können Grenzüberschreitungen gemeldet werden. Auch Domino´s Pizza Deutschland GmbH (Domino´s Pizza), hat ein solches Meldesystem online eingerichtet.

Besser als Nachsorge ist Vorsorge. Insbesondere von größeren Bestelldiensten kann erwartet werden, dass sie im Zusammenhang mit bekanntgewordenen Grenzüberschreitungen sämtliche technische Möglichkeiten zum Schutz der Daten ausschöpfen. Die Unternehmensgruppe Just Eat Takeaway.com gibt auf Ihrer deutschen Homepage unter dem Bereich Datensicherheit lediglich an, eine sogenannte SSL-Verschlüsselung zu nutzen. Dies ist eine Standardtechnologie zur Absicherung der Internetverbindung vor fremden Zugriff. Missbrauch durch Angestellte beim Ausliefern der Bestellung wird dadurch nicht verhindert.

Es ist besserer Schutz möglich und nötig. Für Auslieferungen ist es nicht zwingend notwendig, dass die Serviceangestellten die privaten Handynummern der Kunden und Kundinnen erhalten. Telefonnummern können auch verschleiert angezeigt werden. Über die Programmierung einer entsprechenden App kann zudem sichergestellt werden, dass die Kontaktaufnahme nur während dem Bestellvorgang per App (über die verschleierte Nummer) erfolgen kann. Teilweise wird dieser technische Datenschutz schon implementiert. Zum Beispiel der Lieferdienst Uber (bzw. Uber Eats) gibt in seiner Datenschutzerklärung an, die Nutzeridentität durch Verschlüsselung und Verwendung pseudonymisierter Daten besser schützen zu wollen. Darüber hinaus stehen Unternehmen in der Pflicht, ihren Angestellten einen sensiblen Umgang mit personenbezogenen Daten ans Herz zu legen. Wichtiges Instrument hierbei ist eine Datenschutzschulung.

Kontakt per WhatsApp muss nicht hingenommen werden

Oft meinen die Serviceangestellte es nur gut, wenn sie Kunden und Kundinnen nur nochmal kurz per WhatsApp schreiben, dass sie jetzt gleich ausliefern. Trotzdem lohnt es sich auch in diesen Fällen, Kontakt zu dem Restaurant aufzunehmen und dieser Art der Datenverarbeitung zu widersprechen. Denn nur so entsteht ein Bewusstsein dafür, dass Verbraucher und Verbraucherinnen von Unternehmen nicht einfach mal so auf WhatsApp kontaktiert werden sollten. Dennoch liegt die größere Verantwortung beim Arbeitgeber. Er muss sicherstellen, dass seine Angestellten im Umgang mit personenbezogenen Daten sensibilisiert werden.

Wer nicht so viele Daten rausgeben möchte, kann da wo es geht, auf Preisgabe verzichten. So können datenschutzfreundliche Voreinstellungen bei WhatsApp (über Einstellungen zum Datenschutz) gesetzt werden. Man kann auch eine anonyme E-Mail-Adresse ohne Vor- und Nachname nutzen und wo möglich, seine Festnetznummer angeben.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.