Höchstes DSGVO-Bußgeld Deutschlands verhängt

Zahlreiche Einzelverstöße gegen das Datenschutzrecht zeigen nun ihre Auswirkung: Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat Bußgelder in Höhe von insgesamt 195.407 Euro inkl. Gebühren gegen die Delivery Hero Deutschland GmbH verhängt. Netzpolitik.org zufolge handelt es sich dabei um das höchste DSGVO-Bußgeld, das in Deutschland bislang erlassen wurde. 

Zur Gesellschaft gehörten bis zum 1. April 2019 die Marken Lieferheld, Pizza.de und foodora, welche dann vom niederländischen Konzern Takeway.com übernommen worden sind. 

Viele Verstöße im Bereich Betroffenenrechte 

Besonders die Nichtachtung von Betroffenenrechten sei der Grund für die Datenschutzbeauftragen gewesen, die Bußgelder zu verhängen. Dazu zählen etwa das Recht auf Auskunft über die Verarbeitung eigener Daten, das Recht auf Löschung und das Recht auf Widerspruch. So seien etwa die Daten ehemaliger Kunden jahrelang nicht gelöscht worden, obwohl diese auf der Lieferdienst-Plattform nicht mehr aktiv waren. Auch hätten sich ehemalige Kunden darüber beschwert, dass sie unerwünschte Werbe-E-Mails erhielten. Laut der Pressemitteilung der Berliner Datenschutzbeauftragten habe etwa ein Betroffener trotz eines ausdrücklichen Widerspruchs 15 weitere solcher E-Mails erhalten. Auch im Hinblick auf die Anforderung von Selbstauskünften habe das Unternehmen teils gar nicht oder erst dann reagiert, wenn sich die Datenschutzbeauftragte eingeschaltet habe.

Betont wird, dass jedes Unternehmen, bei dem es zur Verarbeitung personenbezogener Daten kommt, technisch und organisatorisch in der Lage sein muss, derlei Anträge von Betroffenen unverzüglich zu erfüllen. Die Delivery Hero Deutschland GmbH habe dabei erklärt, dass einige der Verstöße auf technischen Fehlern oder auf Mitarbeiterversehen beruhen würden. Die Datenschützer gehen wegen der hohen Anzahl an Verstößen allerdings von grundsätzlichen Organisationsproblemen aus.

Die Aufsichtsbehörde habe vielfach auf Defizite hingewiesen, ausreichende Maßnahmen seien aber über einen langen Zeitraum dennoch nicht umgesetzt worden. Ein Teil der Verstöße wurde bereits vor Inkrafttreten der DSGVO begangen, weshalb das Bußgeld dann aufgeteilt wurde – sie fanden jedoch allesamt vor der Übernahme durch Takeway.com statt. 

Neuer Inhaber verspricht Überprüfung des Datenschutzes

In jedem einzelnen Fall seien zur Bemessung der Geldbuße einige Kriterien herangezogen worden. So wurde neben Art, Schwere und Dauer des Verstoßes auch die Maßnahmen beachtet, die das Unternehmen ergriffen hat, um dessen Folgen abzuwenden oder zu vermindern. Der neue Inhaber der Marken sicherte zu, die Bußgelder als Anlass für neuerliche Prüfungen zu nehmen. Man lege größten Wert auf die Einhaltung des Datenschutzrechts. 

Insgesamt hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit seit Inkrafttreten der DSGVO 27 Bußgelder nach der DSGVO verhängt, zwei außerdem nach dem neuen Berliner Datenschutzgesetz. Berliner Gründern empfiehlt sie, die zweimal monatlich stattfindende Start-Up-Sprechstunde zu besuchen, damit entsprechende Fragen frühzeitig geklärt werden können.