Der Lieferservice boomt
Während der Corona-Pandemie boomten viele Branchen, die eine Kaufabwicklung online ermöglichen. Dazu gehören vor allem auch Lieferservices, die nach wie vor so gefragt sind wie nie. Wer keine Muße zum Kochen hat, lässt sich eine schmackhafte Speise seiner Wahl bequem nach Hause bringen. Ein Besuch in einem Restaurant ist nicht mehr nötig, um ein Gericht von dessen Menü zu genießen. Lieferservices wie Flink bieten mittlerweile auch die Lieferung von Getränken, Lebensmitteln und Haushaltsartikeln an, sodass Verbraucher sich auch den Weg in den Supermarkt sparen können. Keine Frage: Lieferdienste sind eine bequeme und zeitsparende Option. Doch wie steht es um den Datenschutz bei Lieferando & Co.?
Welche Kundendaten werden gespeichert?
Werden die Dienste eines Lieferservices in Anspruch genommen, werden personenbezogene Daten gespeichert. Das sind Daten, die Rückschlüsse auf die Identität des Kunden zulassen. Dazu gehören in erster Linie Daten wie Name, Adresse und E-Mail-Adresse.
Bei der Essensbestellung erfolgt die Bezahlung meist online. Daher müssen Kunden Daten wie Kontodaten, PayPal-Adressen oder Kreditkartennummer angeben. Bei vielen Lieferdiensten muss auch die Handynummer angegeben werden. All das sind sensible personenbezogene Daten, die vom Lieferdienst gespeichert werden und Hackerangriffen oder einem unerlaubten Datentransfer an unbefugte Dritte ausgesetzt sind. Mit anderen Worten: Der Kunde bekommt zwar sein Essen, gibt aber die Kontrolle über seine personenbezogenen Daten an den Lieferservice ab.
Konflikte mit dem Datenschutz
Personenbezogene Daten werden durch die Regelungen der DSGVO und des BDSG geschützt. Lieferdienste können in vielerlei Hinsicht gegen DSGVO und BDSG verstoßen: Mit einer nicht erfolgten Löschung von Kundendaten, einer nicht ausreichend sicheren und nicht verschlüsselten Speicherung der Daten oder einer Speicherung von Daten über die Notwendigkeit für die Abwicklung des Kaufvertrags hinaus sowie mit einem Datentransfer in die USA.
Ein Datenschutzproblem, das bei zahlreichen Lieferdiensten aufgetreten ist, ist die nicht erfolgte Löschung von Kundendaten. Die von Kunden angefragte Löschung ihrer Daten und Accounts wurde bei Anbietern wie Pizza.de und Foodora unverhältnismäßig erschwert, indem Identitätsnachweise gefordert wurden. Diese Vorgehensweise ist rechtswidrig, da Kunden nach § 35 BDSG ein Recht auf die Löschung ihrer Daten haben, auch ohne Nachweis der Identität. Die gesetzliche Aufbewahrungspflicht, mit der die Löschung von Kundendaten in Konflikt stehen könnte, greift bei Lieferdiensten oftmals nicht, denn nach der Verarbeitung und Lieferung der Bestellung werden die personenbezogenen Daten nicht mehr benötigt. Eine über eine mögliche gesetzliche Aufbewahrungspflicht hinausgehende Datenspeicherung ist somit ebenfalls rechtswidrig.
Auch beim Lieferdienst Flink gab es Datenschutzprobleme: Unbefugte sollen mit etwas Mühe Zugriff zu sensiblen Kundendaten gehabt haben, die nicht geschützt waren. Die Sicherheitslücken wurden nach ihrer Aufdeckung zwar behoben, doch zeigt auch dieser Fall, dass Nutzer vieler Lieferdienste sich nicht auf die Sicherheit ihrer Daten verlassen können.
Das Sonderproblem Lieferando
Ein Gigant unter den Lieferservices ist das Unternehmen Just Eat Takeaway, Mutterkonzern von Lieferando. Mit den in orange bekleideten Fahrrad-Kurieren ist das Unternehmen omnipräsent. Genau diese Fahrrad-Kuriere soll Lieferando jedoch systematisch überwacht haben. Aufgedeckt wurde das, als einige Kuriere bei Lieferando von ihrem Auskunftsrecht nach Art. 15 DSGVO Gebrauch gemacht hatten. Die Fahrten der Mitarbeiter lassen sich nachverfolgen und sekundengenau aufzeichnen. Daten wie der Eingang des Auftrags sowie Zeitpunkt der Abholung und Auslieferung können gespeichert werden. Eine Speicherung dieser Daten ist in datenschutzrechtlicher Hinsicht ein Problem. Gleichzeitig benötigt das Unternehmen diese Daten, um seinen Kunden und den Restaurants, die über Lieferando ausliefern, den Service der Nachverfolgung anbieten zu können. Der Umgang mit den Daten der Lieferanten bleibt jedoch eine rechtliche Gratwanderung und in jedem Fall ein Problem.
Datenschutzprobleme gibt es bei Lieferando aber nicht nur auf Seite der Mitarbeiter. Wie andere Lieferdienste auch speichert Lieferando sensible personenbezogene Daten der Kunden, die durch die Verwendung von US-amerikanischen Trackingtools auf US-amerikanischen Servern landen. Zwar wird bei Nutzung der Website oder der App datenschutzkonform eine Einwilligung der Kunden zur Speicherung ihrer Daten erfragt, doch wer Essen über Lieferando bestellen möchte, hat somit keine andere Wahl, als seine Daten in die Hände des Anbieters zu geben und damit auch einen Datentransfer in die USA zuzulassen.
Datenschutz als Wettbewerbsvorteil
Lieferdienste sind ein florierendes Geschäftsmodell. Wer einen neuen Lieferdienst gründen möchte, ist gut damit beraten, die Datenschutzgesetze einzuhalten. So werden nicht nur Bußgelder, sondern auch ein schlechter Ruf und ein Vertrauensverlust vonseiten der Kunden vermieden. Mit der zunehmenden Sensibilisierung für das Thema Datenschutz können sich Lieferdienste, die DSGVO-konform arbeiten und sich keine Datenschutzverstöße zuschulden kommen lassen, von den Wettbewerbern abheben. Ein externer Datenschutzbeauftragter hilft Start-Ups im Bereich Lieferservice bei der Umsetzung der DSGVO und unterstützt Lieferdienste bei der Implementierung eines Systems, bei dem personenbezogene Daten DSGVO-konform erhoben, gespeichert und gelöscht werden.
Fazit
Aktuell ist die Bestellung bei einem Lieferservice durchaus als Datenschutzproblem zu werten. Wer nicht auf Lieferando & Co. verzichten möchte, sollte sich des Risikos bewusst sein. Wenn der Wunsch nach Komfort siegt, sollten Verbraucher auf Nummer sicher gehen und beim jeweiligen Anbieter die Löschung ihrer personenbezogenen Daten anfordern, denn das ist ihr gutes Recht. Dabei sollten Kunden hartnäckig bleiben, auch wenn der Lieferdienst es ihnen schwer macht, ihrer Anfrage nachzukommen.
Die Immerce GmbH ist Ihre/eine Internet Agentur im Allgäu und programmiert seit über 10 Jahren leistungsstarke Webshops auf Magento und Shopware Basis und betreibt für Ihre Kunden Suchmaschinenoptimierung. Seit 2018 mit der Einführung der DSGVO betreut die Immerce GmbH Ihre Kunden erfolgreich in Datenschutz & IT-Sicherheit mit TÜV geprüften Datenschutzauditoren und Informationssicherheitsbeauftragten nach ISO 27001.
Firmenkontakt
Immerce GmbH
Frank Müns
Kemptener Straße 9
87509 Immenstadt
+49 (0) 8323 – 209 99 40
info@immerce.de
https://www.immerce-consulting.de/
Pressekontakt
Immerce GmbH
Carvin Müns
Kemptener Straße 9
87509 Immenstadt
+49 (0)8323 – 209 99 40
carvin.muens@immerce.de
https://www.immerce-consulting.de/
Die Bildrechte liegen bei dem Verfasser der Mitteilung.