Der Lieferservice boomt
Wรคhrend der Corona-Pandemie boomten viele Branchen, die eine Kaufabwicklung online ermรถglichen. Dazu gehรถren vor allem auch Lieferservices, die nach wie vor so gefragt sind wie nie. Wer keine Muรe zum Kochen hat, lรคsst sich eine schmackhafte Speise seiner Wahl bequem nach Hause bringen. Ein Besuch in einem Restaurant ist nicht mehr nรถtig, um ein Gericht von dessen Menรผ zu genieรen. Lieferservices wie Flink bieten mittlerweile auch die Lieferung von Getrรคnken, Lebensmitteln und Haushaltsartikeln an, sodass Verbraucher sich auch den Weg in den Supermarkt sparen kรถnnen. Keine Frage: Lieferdienste sind eine bequeme und zeitsparende Option. Doch wie steht es um den Datenschutz bei Lieferando & Co.?
Welche Kundendaten werden gespeichert?
Werden die Dienste eines Lieferservices in Anspruch genommen, werden personenbezogene Daten gespeichert. Das sind Daten, die Rรผckschlรผsse auf die Identitรคt des Kunden zulassen. Dazu gehรถren in erster Linie Daten wie Name, Adresse und E-Mail-Adresse.
Bei der Essensbestellung erfolgt die Bezahlung meist online. Daher mรผssen Kunden Daten wie Kontodaten, PayPal-Adressen oder Kreditkartennummer angeben. Bei vielen Lieferdiensten muss auch die Handynummer angegeben werden. All das sind sensible personenbezogene Daten, die vom Lieferdienst gespeichert werden und Hackerangriffen oder einem unerlaubten Datentransfer an unbefugte Dritte ausgesetzt sind. Mit anderen Worten: Der Kunde bekommt zwar sein Essen, gibt aber die Kontrolle รผber seine personenbezogenen Daten an den Lieferservice ab.
Konflikte mit dem Datenschutz
Personenbezogene Daten werden durch die Regelungen der DSGVO und des BDSG geschรผtzt. Lieferdienste kรถnnen in vielerlei Hinsicht gegen DSGVO und BDSG verstoรen: Mit einer nicht erfolgten Lรถschung von Kundendaten, einer nicht ausreichend sicheren und nicht verschlรผsselten Speicherung der Daten oder einer Speicherung von Daten รผber die Notwendigkeit fรผr die Abwicklung des Kaufvertrags hinaus sowie mit einem Datentransfer in die USA.
Ein Datenschutzproblem, das bei zahlreichen Lieferdiensten aufgetreten ist, ist die nicht erfolgte Lรถschung von Kundendaten. Die von Kunden angefragte Lรถschung ihrer Daten und Accounts wurde bei Anbietern wie Pizza.de und Foodora unverhรคltnismรครig erschwert, indem Identitรคtsnachweise gefordert wurden. Diese Vorgehensweise ist rechtswidrig, da Kunden nach ยง 35 BDSG ein Recht auf die Lรถschung ihrer Daten haben, auch ohne Nachweis der Identitรคt. Die gesetzliche Aufbewahrungspflicht, mit der die Lรถschung von Kundendaten in Konflikt stehen kรถnnte, greift bei Lieferdiensten oftmals nicht, denn nach der Verarbeitung und Lieferung der Bestellung werden die personenbezogenen Daten nicht mehr benรถtigt. Eine รผber eine mรถgliche gesetzliche Aufbewahrungspflicht hinausgehende Datenspeicherung ist somit ebenfalls rechtswidrig.
Auch beim Lieferdienst Flink gab es Datenschutzprobleme: Unbefugte sollen mit etwas Mรผhe Zugriff zu sensiblen Kundendaten gehabt haben, die nicht geschรผtzt waren. Die Sicherheitslรผcken wurden nach ihrer Aufdeckung zwar behoben, doch zeigt auch dieser Fall, dass Nutzer vieler Lieferdienste sich nicht auf die Sicherheit ihrer Daten verlassen kรถnnen.
Das Sonderproblem Lieferando
Ein Gigant unter den Lieferservices ist das Unternehmen Just Eat Takeaway, Mutterkonzern von Lieferando. Mit den in orange bekleideten Fahrrad-Kurieren ist das Unternehmen omniprรคsent. Genau diese Fahrrad-Kuriere soll Lieferando jedoch systematisch รผberwacht haben. Aufgedeckt wurde das, als einige Kuriere bei Lieferando von ihrem Auskunftsrecht nach Art. 15 DSGVO Gebrauch gemacht hatten. Die Fahrten der Mitarbeiter lassen sich nachverfolgen und sekundengenau aufzeichnen. Daten wie der Eingang des Auftrags sowie Zeitpunkt der Abholung und Auslieferung kรถnnen gespeichert werden. Eine Speicherung dieser Daten ist in datenschutzrechtlicher Hinsicht ein Problem. Gleichzeitig benรถtigt das Unternehmen diese Daten, um seinen Kunden und den Restaurants, die รผber Lieferando ausliefern, den Service der Nachverfolgung anbieten zu kรถnnen. Der Umgang mit den Daten der Lieferanten bleibt jedoch eine rechtliche Gratwanderung und in jedem Fall ein Problem.
Datenschutzprobleme gibt es bei Lieferando aber nicht nur auf Seite der Mitarbeiter. Wie andere Lieferdienste auch speichert Lieferando sensible personenbezogene Daten der Kunden, die durch die Verwendung von US-amerikanischen Trackingtools auf US-amerikanischen Servern landen. Zwar wird bei Nutzung der Website oder der App datenschutzkonform eine Einwilligung der Kunden zur Speicherung ihrer Daten erfragt, doch wer Essen รผber Lieferando bestellen mรถchte, hat somit keine andere Wahl, als seine Daten in die Hรคnde des Anbieters zu geben und damit auch einen Datentransfer in die USA zuzulassen.
Datenschutz als Wettbewerbsvorteil
Lieferdienste sind ein florierendes Geschรคftsmodell. Wer einen neuen Lieferdienst grรผnden mรถchte, ist gut damit beraten, die Datenschutzgesetze einzuhalten. So werden nicht nur Buรgelder, sondern auch ein schlechter Ruf und ein Vertrauensverlust vonseiten der Kunden vermieden. Mit der zunehmenden Sensibilisierung fรผr das Thema Datenschutz kรถnnen sich Lieferdienste, die DSGVO-konform arbeiten und sich keine Datenschutzverstรถรe zuschulden kommen lassen, von den Wettbewerbern abheben. Ein externer Datenschutzbeauftragter hilft Start-Ups im Bereich Lieferservice bei der Umsetzung der DSGVO und unterstรผtzt Lieferdienste bei der Implementierung eines Systems, bei dem personenbezogene Daten DSGVO-konform erhoben, gespeichert und gelรถscht werden.
Fazit
Aktuell ist die Bestellung bei einem Lieferservice durchaus als Datenschutzproblem zu werten. Wer nicht auf Lieferando & Co. verzichten mรถchte, sollte sich des Risikos bewusst sein. Wenn der Wunsch nach Komfort siegt, sollten Verbraucher auf Nummer sicher gehen und beim jeweiligen Anbieter die Lรถschung ihrer personenbezogenen Daten anfordern, denn das ist ihr gutes Recht. Dabei sollten Kunden hartnรคckig bleiben, auch wenn der Lieferdienst es ihnen schwer macht, ihrer Anfrage nachzukommen.
Die Immerce GmbH ist Ihre/eine Internet Agentur im Allgรคu und programmiert seit รผber 10 Jahren leistungsstarke Webshops auf Magento und Shopware Basis und betreibt fรผr Ihre Kunden Suchmaschinenoptimierung. Seit 2018 mit der Einfรผhrung der DSGVO betreut die Immerce GmbH Ihre Kunden erfolgreich in Datenschutz & IT-Sicherheit mit TรV geprรผften Datenschutzauditoren und Informationssicherheitsbeauftragten nach ISO 27001.
Firmenkontakt
Immerce GmbH
Frank Mรผns
Kemptener Straรe 9
87509 Immenstadt
+49 (0) 8323 โ 209 99 40
info@immerce.de
https://www.immerce-consulting.de/
Pressekontakt
Immerce GmbH
Carvin Mรผns
Kemptener Straรe 9
87509 Immenstadt
+49 (0)8323 โ 209 99 40
carvin.muens@immerce.de
https://www.immerce-consulting.de/
Die Bildrechte liegen bei dem Verfasser der Mitteilung.
