Die Berliner Beauftragte für den Datenschutz und Informationsfreiheit verhängte (711.408.1.) eine DSGVO-Strafe gegen Delivery Hero Germany GmbH in Höhe von EUR 195.407,--
Das Unternehmen
Delivery Hero Germany GmbH ist ein Lieferdienst unter dem Dach des international tätigen Unternehmens Delivery Hero SE, einer börsenotierten Aktiengesellschaft mit Sitz in Berlin.
Unter unterschiedlichen Markenbezeichnungen werden Online-Essensbestelldienste, bei denen an die Kunden Restaurants und Lieferdienste vermittelt werden, betrieben. Für die Registrierung eines Restaurants beim Delivery Hero verlangt das Unternehmen eine (monatliche) Pauschale sowie auch eine Provision von den laufenden Einnahmen.
Weitere Informationen zu Delivery Hero auf Wikipedia.
Im Jahr 2018 betrug der Umsatz (der nach Art 83 DSGVO für die Bemessung der DSGVO-Strafe relevante Wert) laut einer Meldung im dt. Handelsblatt EUR 687.000.000,--
Die Verfehlungen
Das Gericht beschäftigt sich umfassend mit dem Anspruch auf Schadenersatz bei Verletzung von Persönlichkeitsrechten, der einen schwerwiegenden Eingriff voraussetzt.
Aus der Pressemitteilung der Berliner Beauftragten für den Datenschutz und die Informationsfreiheit Maja Smoltczyk vom 19.9.2019 ergeben sich folgende DSGVO-Verstöße:
1. Verstoß gegen das Gebot Daten zu
löschen, wenn diese für den Zweck nicht mehr benötigt werden, für den diese erhoben wurden.
Es wurden Kundendaten nicht gelöscht, obwohl diese lange Jahre die Plattform nicht genutzt hatten, in einem Fall sogar seit 2008.
2. Es wurden an ehemalige Kund_Innen unzulässige Werbeemails versandt und diese hatten sich dagegen beschwert. In einem Fall erhielt ein Geschädigter, der der Zusendung von Werbeemails widersprochen hatte, weitere 15 Werbe-Emails von Delivery Hero.
3. Das Auskunftsrecht wurde verletzt, da in fünf Fällen die Betroffenen keine Auskunft erhielten, oder erst nach Einschreiten der Aufsichtsbehörde die Auskunft nach Art 15 DSGVO erhielten.
Die Verteidigung
Delivery Hero verantwortete sich mit technischen Fehlern und auch mit Mitarbeiterversehen.
Die Aufsichtsbehörde stellte jedoch fest, dass bei der hohen Anzahl von wiederholten Verstößen von grundsätzlichen, strukturellen Organisationsproblemen auszugehen sei.
Die Bescheide und die Höhe
Es ergingen zwei Bescheide, da ein Teil der Handlungen vor Geltungsbeginn der DSGVO lagen, und die Aufsichtsbehörde der Ansicht ist, dass der maßgebliche Zeitpunkt der Tatzeitpunkt ist.
Zur Höhe enthält die Pressemitteilung folgende Aussage, ob im Bescheid auf die Berechnungsmethode, die von der DSK diskutiert wird, Bezug genommen wird, ist daraus nicht ersichtlich:
Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag hat die Berliner Datenschutzbeauftragte in jedem Einzelfall Ermessenskriterien wie die in Art. 83 Abs. 2 DS-GVO genannten geprüft. Insbesondere flossen in die Bewertung die konkreten Umstände zu Art, Schwere und Dauer des jeweiligen Verstoßes ein. Ferner wurden auch die Folgen des jeweiligen Verstoßes und die Maßnahmen, die von den Verantwortlichen ergriffen worden sind, um die Folgen des Verstoßes abzuwenden oder abzumildern, berücksichtigt.
20.08.2019, Autor:
Michael Schweiger, zert DSBA
Kommentar schreiben