Datenschutz beim Lieferservice – Zahlen Sie das Essen bar, mit PayPal oder mit Ihren Daten?

Datenschutz beim Lieferservice

Hunger! Sie haben schrecklichen Hunger, sei es auf Arbeit oder zu Hause. Dank vieler Lieferdienste im Internet ist das Bestellen von Essen so einfach wie nie. Bieten diese doch ein umfangreiches Angebot an Speisen. Was jedoch nicht jeder weiß ist, dass gerade diese Plattformen eingegebene personenbezogene Daten nach derzeitigem Stand höchstwahrscheinlich nicht löschen. Wie in vielen anderen Bereichen auch siegt jedoch der Komfort und kaum ein Kunde macht sich über seine persönlichen Daten Gedanken.

Ihr externer Datenschutzbeauftragter klärt Sie über mögliche Risiken auf und gibt Ihnen Anregungen, wie Sie einer ungewollten Speicherung Ihrer persönlichen Daten entgehen können.

Datenlöschung gar nicht oder nur mit Identitätsnachweis

Viele Nutzer von Lieferdiensten, wie zum Beispiel Foodora und Pizza.de, erklärten, dass die Plattformen Kundenkonten gar nicht oder nur mit Identitätsnachweis löschen würden.

Wollten Kunden ihre Kundenkonten bei dem Lieferdienst löschen, wurden diese bis Mai 2017, beispielsweise bei pizza.de und Lieferheld, dazu angehalten einen entsprechenden Identifikationsnachweis vorzulegen. Dieses Vorgehen haben die genannten Lieferdienste seither jedoch abgeschafft. Der Pressesprecher des Mutterkonzerns benannter Lieferdienste Delivery Hero erklärte: „Wir nehmen Datenschutz sehr ernst und tauschen uns schon heute intensiv mit den Behörden aus.“ Demnach würde man erfasste personenbezogene Daten des Kunden gleich nach der Abmeldung löschen. Weiterhin sei die beschriebene Praxis bei dem Tochterunternehmen Foodora nie üblich gewesen.

Gesetzliche Regelung – Warum Konten – auch ohne Personalausweis – gelöscht werden müssen

Daten jeglicher Form, die einen direkten oder indirekten Personenbezug aufweisen, sind personenbezogene Daten nach § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG). Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nach § 4 BDSG nur zulässig, wenn:

  • der Betroffene dem zustimmt oder
  • eine gesetzliche Regelung existiert, die eine Zustimmung des Betroffenen ersetzt, wie beispielsweise eine Erhebung, Speicherung und Nutzung personenbezogener Daten für die Erfüllung eines Geschäftszweckes nach § 28 Abs. 1 BDSG.

Eine Löschung der personenbezogenen Daten ist nach § 35 Abs. 2 BDSG, jederzeit möglich, es sei denn, wenn:

  • die Speicherung der Daten unzulässig ist oder
  • noch für die Beendigung des dazu bestimmten Zwecks notwendig sind.

Verlangt der Betroffene (Kunde) die Löschung seiner personenbezogenen Daten nach Beendigung des Vertrages, den er mit der verantwortlichen Stelle (Dienstleister / Lieferdienst oder Vermittler) geschlossen hat, ist diese – sofern gesetzliche Aufbewahrungspflichten dem nicht entgegenstehen – zur Löschung der Daten verpflichtet.

Die ab dem 25. Mai 2018 europaweit anzuwendende Datenschutz-Grundverordnung (DS-GVO) sieht hierzu vergleichbare Kriterien vor.

Datenschutz beim Lieferservice – Warum es sinnvoll ist Kundenkonten zu löschen

Eine Löschung von Kundendaten kann aus bestimmten Gründen sinnvoll sein, auch wenn der dort angebotene Dienst in Zukunft weiter in Anspruch genommen werden soll. So verringert sich das Risiko, dass eigene Daten bei möglichen Hackerangriffen auf den Dienstleister (Essenslieferservice) einbezogen sind und somit in falsche Hände geraten können. Gleiches gilt auch im Falle einer möglichen Insolvenz des Unternehmens oder dessen Weiterverkauf, bei der nicht garantiert werden kann, ob der neue Eigentümer das Datenschutzrecht berücksichtigt.

Zukünftige Entwicklung

Im Fokus der Kritik stand das Mutterunternehmen Delivery Hero, welche bereits genannte Tochterunternehmen im Bereich der Essenlieferung hält und seinen Sitz in Berlin hat. Die Beschwerden gingen aus diesem Grund bei der Berliner Datenschutzbehörde ein. Dies veranlasste den Berliner Datenschutzbeauftragten dazu, das Thema beim Zusammenkommen des Düsseldorfer Kreises (Vereinigung einiger Datenschutzbehörden des Bundes und Landes) anzusprechen. Innerhalb dieser Konferenz vereinbarte man, wie im Protokoll vom 13. Und 14. September 2016 des Düsseldorfer Kreises niedergeschrieben, eine „koordinierte Prüfaktion bei Essensdiensten“ vor, um die Essenlieferanten bezüglich des Datenschutzes zu sensibilisieren. Dabei wird Berlin ein Prüfkonzept vorbereiten und es an die anderen Aufsichtsbehörden weiterleiten.

Privacy by Design – Chance für Gründer

Lieferservice bieten ihre Dienste nicht nur über die Internetseite an, sondern größtenteils via App. Bei der Entwicklung entsprechender Apps oder Konzeptionen von Internetseiten sollte der Grundsatz „Privacy by Design“ beachtet werden. Nach diesem sollte bereits vor der Entwicklung entsprechender Techniken auf den Datenschutz und die Sicherung der Privatsphäre der Nutzer geachtet werden. Die DS-GVO fordert „Privacy by Design“, wodurch auch Diensteanbieter darauf achten sollten, die Systeme von Haus aus datenschutzfreundlich zu gestalten. Lieferdienste sollten aus diesem Grund eine Löschung des Kundenkontos sowohl in der App als auch auf der Webseite vorsehen. Besonders Gründer könnten sich dadurch einen erheblichen Wettbewerbsvorteil gegenüber den bereits etablierten Unternehmen sichern, da diese erst eine Implementierung datenschutzrechtlicher Vorgaben in bereits vorhandene Systeme vornehmen müssen. Bei einem Startup können und sollten die Prozesse somit bereits von Beginn an datenschutzfreundlich bzw. datenschutzkonform aufgesetzt werden.

Gibt es für Kunden Alternativen?

Alternativ zu einer Bestellung über einen Internetdienstleister wäre der althergebrachte Weg per Telefonanruf das Essen zu bestellen, allerdings würde man auch hier seine personenbezogenen Daten weitergeben. Sollte hingegen ein Internetlieferdienst präferiert werden, sollte vorab geprüft werden, ob keine datenschutzrechtlichen Risiken damit einhergehen könnten. Aufgrund der Tatsache, dass Delivery Hero so gut wie alle großen Lieferplattformen in sich vereint, dürfte dies jedoch ein schwieriges Unterfangen sein.

Fazit

Essenslieferdienste sind bequem, aber bedienen sich derzeit datenschutzrechtlich bedenklichen Praktiken, welche möglicherweise in naher Zukunft behoben werden. Es sollte trotz dessen nicht außer Acht gelassen werden, dass eine Nutzung entsprechender Dienste, sofern ein dauerhaftes Benutzerkonto angelegt wird, auch Risiken bergen. Zum Beispiel könnte ein erfolgreicher Hackerangriff auf den Lieferdienst einen unberechtigten Zugang zu den eigenen sensiblen Daten (z.B. Kontonummer, Adresse, etc.) ermöglichen. Aber auch Lieferdiensten ist anzuraten, die Themen „Datenschutz“ und „IT-Sicherheit“ im Auge zu behalten, da ansonsten hohe Sanktionen und einerheblicher Imageverlust drohen könnten.

Holen Sie daher bei datenschutzrechtlichen Belangen immer den Rat des Datenschutzbeauftragten ein, dieser kann nicht nur Ihnen helfen, datenschutzrechtliche Gefahren zu erkennen und zu beheben, sondern zeigt Ihren Mitarbeitern durch Datenschutz-Schulungen auf, wie mögliche datenschutzrechtliche Gefahren zu vermeiden sind.

Es kann sinnvoll sein bei datenschutzrechtlichen Belangen neben dem Rat des Datenschutzbeauftragten, den Rat des IT-Sicherheitsbeauftragten einzuholen, ebenso kann die Konsultierung eines Datenschutzberaters hilfreich sein.

Haben Sie weitere Fragen zu dieser Thematik oder wollen Sie Ihr Unternehmen im Datenschutz besser positionieren? Dann Helfen wir Ihnen gerne weiter.

Brands Consulting steht für kompetente und fachkundige Beratung rund um den Datenschutz. Nehmen Sie mit uns Kontakt auf und holen Sie sich ein kostenloses sowie unverbindliches Angebot bei uns ein und profitieren Sie von unserer Erfahrung.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.