Tausende Kunden von Lieferheld, Pizza.de und Foodora hatten in den vergangenen Tagen die gleiche E-Mail im Postfach. „Willkommen bei Lieferando.de“ stand im Betreff. Fortan würden die deutschen Essenslieferplattformen von Delivery Hero unter der Takeaway-Marke laufen. Ein Resultat des Milliarden-Exits: Im Dezember verkaufte das Berliner Unternehmen Delivery Hero seinen Heimatmarkt an die niederländische Konkurrenz. Allerdings wurden die Nutzer unzureichend informiert.
Vor zwei Wochen hieß es von einem Takeaway-Sprecher auf Nachfrage von Gründerszene und NGIN Food noch, dass der neue Eigentümer zwar auch die Kundendaten erworben habe, diese aber nicht verwenden werde. Nutzer der aufgekauften Essensportale müssten sich daher ein neues Konto bei Lieferando anlegen. Tatsächlich können sich User von Pizza.de, Lieferheld und Foodora nun aber mit ihren alten Anmeldedaten bei Lieferando einloggen – ohne sich neu registrieren zu müssen. Dort sind dann Name, Postanschrift, E-Mail-Adresse und Telefonnummer bereits hinterlegt. Lieblingsrestaurants und Bestellhistorie sind hingegen gelöscht. Auch in den FAQs von Lieferando wird darauf hingewiesen, dass die Daten automatisch übertragen würden.
Wer hat Recht? Der Unternehmenssprecher oder die Website? „Es herrscht Chaos im Unternehmen und die Teams wissen nicht alles voneinander“, versucht Takeaway-CEO Jitse Groen die widersprüchliche Kommunikation gegenüber Gründerszene und NGIN Food zu entschuldigen. Und auch der Sprecher rudert einige Tage später auf Nachfrage wieder zurück: Die Daten würden sehr wohl übermittelt.
„Ich bin mir sicher, dass Takeaway nicht gegen das Gesetz verstößt“
Nicht nur die Mitarbeiter sind sich uneinig, auch die Kunden finden das aus datenschutzrechtlichen Gründen fragwürdig. „Wie wäre es mit einer Vorwarnung? Und da ich jetzt einen neuen Account brauche, was passiert mit meinen alten Daten?“, fragt beispielsweise ein Nutzer auf Twitter.
Bei einem Unternehmenskauf sollten die Kunden im Voraus darüber informiert werden, ob der neue Eigentümer ihre Daten verwenden wird – egal, um welche Informationen es sich handelt. Darin sind sich die niederländische und die Berliner Datenschutzbehörde auf Nachfrage von Gründerszene und NGIN Food einig. Dieser Hinweis soll es den Nutzern ermöglichen, einer Weitergabe ihrer Daten rechtzeitig zu widersprechen.
Im Fall der Lieferdienste ist dies nicht geschehen. Weder wurden die Nutzer im Voraus informiert, noch konnten sie der Weitergabe ihrer Daten vorher widersprechen. „Ich bin mir sicher, dass die Rechtsberater darauf geachtet haben und Takeaway nicht gegen das Gesetz verstößt“, sagt Takeaway-Chef Groen.
Da der Hauptsitz von Takeaway Amsterdam ist, müsste sich die niederländische Datenschutzbehörde mit der Angelegenheit beschäftigen und nicht die deutsche. Die Autoriteit Persoonsgegevens überprüfe den Fall bislang aber nicht, sagt ein Sprecher auf Nachfrage. Würde die Lieferando-Mutter gegen den Datenschutz verstoßen, könnte deutschen Kunden sogar Schadensersatz zustehen, so Florian Schneider von der Anwaltskanzlei CMS gegenüber Gründerszene und NGIN Food. Dazu müssten sie sich aber an die beteiligten Unternehmen wenden.
Daten verkaufen? Ja – aber nur zu bestimmten Zwecken
Grundsätzlich ist es erlaubt, Kundendaten bei einem Exit mitzuverkaufen und auf das neue Unternehmen zu übertragen. Der neue Eigentümer darf diese auch verwenden, wenn er ein berechtigtes Interesse daran hat und dieses einen höheren Stellenwert hat als das der Kunden. Wenn deren Daten zu demselben Zweck weitergenutzt werden, ist das datenschutzrechtlich eher zulässig, als wenn sich der Zweck ändert.
Es könne, abhängig von den konkreten Umständen, datenschutzrechtlich also erlaubt sein, dass Lieferando Nutzernamen, Passwörter, Adressen und Telefonnummern nutzt, sagt Rechtsanwalt Schneider. Die fehlende Möglichkeit, der Datenweitergabe im Vorfeld zu widersprechen, sei aber in jedem Fall kritisch zu beurteilen.
Lieferando darf an die ehemaligen Delivery-Hero-Kunden allerdings keine E-Mail-Werbung unter seinem Namen verschicken. Dafür braucht die Plattform die Einwilligung seiner neu erworbenen Kunden. Und das schreibt der orangefarbene Lieferdienst auch in seiner Willkommens-Mail: „Du wirst keinerlei Benachrichtigungen oder Newsletter erhalten, solange Du diese nicht abonnierst.“
Eine eindeutige Einschätzung, ob das Verhalten von Takeaway datenschutzkonform ist, wollten die von Gründerszene und NGIN Food befragten Juristen und Datenschutzbehörden auf Nachfrage von Gründerszene und NGIN Food nicht abgeben. Sollte es zu einer Untersuchung oder gar zu Gerichtsverfahren kommen, würden sich diese wohl mindestens ein halbes Jahr, wenn nicht sogar mehrere Jahre hinziehen, so die Experten.