Gegen den Food-Lieferdienst Delivery Hero wurde ein DSGVO-Bußgeld in Höhe von insgesamt 195.407 Euro verhängt. Die Berliner Datenschutzbeauftragte kam nach umfassender Prüfung zu dem Ergebnis, dass mehr als 20 Verstöße gegen die DSGVO vorliegen. Bei den Verstößen handelte es sich unter anderem um unerwünschte Werbe-Mails und nicht gelöschte Konten ehemaliger Kunden.

Wer muss das DSGVO-Bußgeld zahlen?

Bei diesem Bußgeld handelt es sich um das bisher höchste wegen DSGVO-Verstößen deutschlandweit. Der neue Eigentümer des Lieferdienstes Takeaway.com, der in den Niederlanden ansässig ist, versicherte, die internen Prozesse zu überprüfen und nahm die Bescheide anstandslos hin. So lag zwar ein Verstoß des zu dem damaligen Zeitpunkt noch deutschen Konzerns vor, doch muss Takeaway.com als neue Eigentümerin für die Fehler von Delivery Hero einstehen und das Bußgeld zahlen.

Was für Verstöße lagen vor?

Die Berliner Datenschutzbeauftrage Maja Smoltcyknach kam zu dem Ergebnis, das eine Reihe verschiedener Verstöße vorliegen, die zusammengenommen eine große Menge ausmachen.

So hatte die Delivery Hero Germany GmbH in zehn Fällen die Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die betroffenen Kunden und Kundinnen für lange Zeit nicht mehr auf der Lieferdienst-Plattform des Unternehmens aktiv gewesen waren.

Acht Kunden beschwerten sich über unerwünschte Werbe-E-Mails des Lieferdienstes, obwohl einige zum Teil auch der Nutzung ihrer Daten für Werbezwecke ausdrücklich widersprochen haben. In weiteren fünf Fällen erteilte das Unternehmen gegenüber den beschwerdeführenden Personen trotz Anforderung die Selbstauskünfte nicht oder agierte erst dann, als die Berliner Datenschutzbeauftragte eingeschritten war.

Wie konnte es zu dieser Anzahl an Verstößen kommen?

Die Delivery Hero GmbH erklärte einen Teil seiner Verstöße mit technischen Fehlern bzw. schob es auf Mitarbeiterversehen. Die Datenschutzbeauftragte geht jedoch aufgrund der enorm hohen Anzahl der Wiederholungen von „grundsätzlichen, strukturellen Organisationsproblemen“ aus.

Nicht zuletzt mit diesem Bescheid wurde die Firma auf Mängel im Bereich des Datenschutzes hingewiesen, doch trotz dessen konnte das Unternehmen keine ausreichenden Maßnahmen schaffen, gegen die Verstöße vorzugehen.

Die Geldbuße erging in zwei Bescheiden, da ein Teil der Verstöße bereits vor dem Wirksamwerden der DSGVO begangen wurde und deshalb nach dem zu diesem Zeitpunkt geltenden Datenschutzrecht bewertet werden müssen. Maßgeblich für die Frage, welche Rechtslage zur Bewertungsgrundlage gemacht werden muss, ist nämlich der Tatzeitpunkt.

Warum ist das Bußgeld so hoch?

Grundsätzlich handelt es sich bei der Entscheidung über die Verhängung einer Geldbuße um eine Ermessensentscheidung, wie sich aus Art. 83 Abs. 2 DSGVO ergibt. Hierbei fließen die konkreten Umstände zu Art, Schwere und Dauer des jeweiligen Verstoßes in die abschließende Bewertung mit ein. Daneben werden auch Folgen der Verstöße und die von den verantwortlichen Personen ergriffenen Maßnahmen zur Verhinderung solcher Verstöße geprüft. Um Bußgelder zu vermeiden, ist immer zu raten, sich an einen erfahrenen Rechtsbeistand zu wenden, der Ihnen hilft, wenn es um Fragen der DSGVO geht.

Wir stehen Ihnen mit Rat und Tat zur Seite und beraten Sie umfassend zur DSGVO!

Auch interessant: Sind DSGVO-Verstöße abmahnbar?