GPDP verhängt 2.500.000 Euro Bußgeld gegen Deliveroo Italy s.r.l.

Italien: Bei Deliveroo Italy s.r.l. handelt es sich um einen italienischen Essenslieferdienst, welcher eine Tocher des irischen Unternehmens Roofoods LTD ist. Der Bußgeldbescheid steht mit einer Reihe von Inspektionen zum Umgang mit Arbeitnehmerdaten im Zusammenhang, die von der italienischen Datenschutzbehörde bei einigen der größten, in Italien tätigen Lebensmittellieferanten durchgeführt wurde. In der Untersuchungsrunde, zu dem der vorliegende Bescheid gehört, standen speziell Fahrer als Betroffene im Vordergrund. Dabei stellte die Datenschutzbehörde aufseiten von Deliveroo Italy teils schwerwiegende Verstöße gegen geltende Datenschutzbestimmungen fest. Insgesamt sind 8.000 Fahrer davon betroffen.
Deliveroo hatte für die Fahrerverwaltung ein zentralisiertes System verwendet, was von Roofoods in Irland verwaltet wurde. Nach Vertragsunterzeichnung erhielten die Fahrer einen Zugangscode für die Deliveroo-Fahrer-App, die sie auf ihren Smartphones installieren und mit ihrer Telefonnummer und E-Mail-Adresse verknüpfen mussten. Über die App wurden dann die Auftragsvergabe sowie die Buchung von Arbeitsschichten abgewickelt und verwaltet.
Einige Missstände betrafen dabei die Algorithmen, die der Lieferdienst dafür verwendet hatte. So hatte das Unternehmen die Arbeitnehmer nicht ausreichend über die Funktionsweise des Systems informiert und nicht die Genauigkeit und Korrektheit der Ergebnisse der algorithmischen Systeme, die zur Bewertung der Fahrer eingesetzt werden, gewährleistet. In diesem Zusammenhang betonte die Behörde, dass es der Verantwortung des Unternehmens obliege, die Korrektheit der Ergebnisse der Algorithmen in regelmäßigen Abständen zu überprüfen, um das Risiko verzerrter oder diskriminierender Auswirkungen zu minimieren. Auch wurden keine Verfahren zum Schutz des Rechts auf menschliches Eingreifen, Meinungsäußerung und Anfechtung von Entscheidungen, die auf Grundlage der von Deliveroo Italy verwendeten Algorithmen getroffen wurden, etabliert.
Bezüglich der durch die Systeme vorgenommenen Datenverarbeitung stellte die Datenschutzbehörde außerdem Verletzungen der Prinzipien der Datenminimierung sowie der Speicherbegrenzung fest.  Zum einen verarbeiteten die Systeme Fahrerdaten auf eine Weise, die umfassender als für den Verarbeitungszweck erforderlich war. So waren die Standortdaten der Fahrer alle 12 Sekunden erfasst und mit einer großen Menge an persönlichen Daten, die während der Ausführung der Bestellungen gesammelt wurden (einschließlich der Kommunikation mit dem Kundendienst), gespeichert worden. Zum anderen war die Speicherdauer der verschiedenen Datentypen nicht dem Zweck angemessen definiert worden. Stattdessen hatte das Unternehmen nur eine pauschale Aufbewahrungsfrist von sechs Jahren definiert.
Des Weiteren hatte das Unternehmen keine adäquaten technischen und organisatorischen Maßnahmen implementiert, um ein dem Risiko für die Betroffenen angemessenes Schutzniveau zu gewährleisten. Auch hatte Deliveroo Italy keine Datenschutz-Folgenabschätzung durchgeführt, obwohl dies aufgrund des für die Fahrer bestehenden Risikos erforderlich gewesen wäre. In diesem Zusammenhang erkannte die Datenschutzbehörde ebenso ein Versäumnis aufseiten des Lieferdienstes, Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen zu realisieren.
Ferner entsprach das vom Unternehmen geführte Verzeichnis seiner Verarbeitungstätigkeiten nicht den datenschutzrechtlichen Anforderungen. So wurden darin die vom Lieferdienst implementierten, technischen und organisatorischen Sicherheitsmaßnahmen nicht detailliert beschrieben, sondern es wurde lediglich auf ein nicht näher spezifiziertes Sicherheitskonzept verwiesen.
Ebenso hatte der Verantwortliche der Datenschutzbehörde die Kontaktdaten seines Datenschutzbeauftragten verspätet, nämlich erst am 31. Mai 2019, mitgeteilt. Während der Ermittlungen begründete Deliveroo Italy dies damit, dass es sich bei seinem Datenschutzbeauftragten um denjenigen der Unternehmensgruppe handelte und dass der Mutterkonzern eine entsprechende Meldung bereits im Mai 2018 gemacht hatte. Davon unberührt stellte die Behörde heraus, dass Deliveroo Italy als Verantwortlicher zu einer eigenständigen Meldung verpflichtet war. .

Veröffentlicht am: 03-08-2021

Quelle von dsgvo-portal.de

Globeria Mannschaft

Die Globeria Mannschaft ist ein engagiertes Team von Technologie- und Datenschutzexperten, spezialisiert auf die neuesten Entwicklungen in der künstlichen Intelligenz und der Datenschutz-Grundverordnung (DSGVO). Mit umfassender Erfahrung und Fachwissen bieten sie tiefgehende Analysen, praktische Ratschläge und strategische Empfehlungen, um Unternehmen und Einzelpersonen bei der Navigation durch die komplexen DSGVO-Bestimmungen zu unterstützen. Die Globeria Mannschaft hilft Unternehmen auch bei der Ernennung externer Datenschutzbeauftragter, um die Einhaltung der DSGVO sicherzustellen.

Globeria Consulting GmbH zeichnet sich als einer der führenden DSGVO-Dienstleister in Deutschland aus und bietet umfassende Lösungen durch zertifizierte Datenschutzbeauftragte (DSB). Unsere Dienstleistungen decken das gesamte Spektrum der DSGVO-Compliance ab und stellen sicher, dass Ihr Unternehmen alle rechtlichen Anforderungen effizient erfüllt. Vertrauen Sie auf unsere Expertise für ein beispielloses Datenschutz- und Privacy-Management.

Wir bedienen Berlin, Frankfurt, München, Magdeburg, Sachsen-Anhalt, Hamburg und ganz Deutschland.
Arbeitszeiten: Montag-Freitag, 09:00-17:00
© 2024 Globeria Consulting GmbH. Alle Rechte vorbehalten.