Eigene Erfahrung mit dem Datenschutz bei JET (Just Eat Takeaway - bei uns "Lieferando")

Vorab - die Anfrage per DSGVO Art. 15 ist noch nicht ganz abgeschlossen. Dennoch hier einmal ein Zwischenstand und der bisherige Ablauf in meinem Fall.

Ich hatte den Lieferando-Account ein paar Jahre lang und vor ein paar Monaten beschlossen, dass ich den nicht mehr brauche.

Ich habe also eine Anfrage per Mail an Lieferando gestellt und um Löschung meines Accounts gebeten. Noch am selben Tag kam eine Antwort per Mail von einem Mitarbeiter, der sich (vor)namentlich zu erkennen gab und mir mitteilte, dass er meinem Wunsch nach Löschung nachgekommen sei. Eine kurze Prüfung mittels fehlgeschlagenen Anmeldeversuch auf der Website zeigte, dass das augenscheinlich stimmte.

Es verging einige Zeit und ich hatte das schon lange wieder vergessen, bis ich im Juli plötzlich eine E-Mail von Lieferando bekam (Betreff: Aktualisierung der AGB). Die Mail kam an die E-Mail-Adresse, die ich auch in dem Nutzeraccount verwendet hatte. Das hat mich hellhörig gemacht und so habe ich mich mittels Datenschutzformular (Kategorie: „Complaint“, da das Ticketsystem auf Englisch ist) an JET gewandt und um Klärung gebeten. Zusätzlich habe ich gleich nach Datenauskunft gem. DSGVO angefragt und um entsprechende Auskunft gebeten.

Positiv ist an der Stelle, dass die Antwort bereits nach ca. zwei Wochen bei mir einging. Gefolgt von einer zweiten E-Mail, mit der ich meine Datenlöschung nun per Bestätigung mittels „Klick“ auf einen Link endgültig anstoßen könne (Löschung innerhalb von 30 Tagen).

Die Antwort auf meine Ticketanfrage besteht jedoch zu einem großen Teil aus generischen Erklärungen, die man auch der Datenschutzerklärung entnehmen kann (auf die in der Nachricht auch insgesamt drei Mal verwiesen wird). Ergänzt wird das Schreiben durch den Hinweis, man habe eine Übersicht beigefügt, die scheinbar alle personenbezogenen Daten bereitstellt, die über mich (bzw. „die mit Ihrer E-Mail-Adresse verknüpft werden können.“) erhoben wurden. Abgeschlossen wird dann mit dem Hinweis, dass man sich bei weiteren Fragen wieder über das Datenschutzformular melden könne…das Ticket wurde nämlich jetzt geschlossen und mein Anliegen einseitig als „gelöst“ gekennzeichnet.
Im Übrigen war keine beigefügte Übersicht enthalten.

Obwohl das Schreiben in der „Ich“-Form begonnen wurde (wechselt dann im copy/paste Bereich auf „wir“), endet die Nachricht ohne Identifikation des Verfassers:

"Viele Grüße

Privacy Council"

Ich habe nun erneut ein Ticket eröffnet, die fehlende Übersicht angefragt („Recht auf vollständige Auskunft“) und die Merkwürdigkeit mit dem Löschen des Accounts, der wenig stilvollen Bearbeitung meiner Anfrage und letztlich dem damit zusammenhängenden eigenmächtigen Schließen des Tickets angesprochen. Das ist nicht nur eine ineffiziente Kommunikationsform, sondern auch wenig kundenfreundlich (gut, ich bin Ex-Kunde, aber davon mal abgesehen) und mit einem Beigeschmack einer Attitüde, die nicht nur von zweifelhafter Sensibilisierung für das Thema Datenschutz zeugt.

Auf die offenbar falsche - oder zumindest unvollständige - Aussage des Kundendienst-Mitarbeiters wird mit keiner Silbe eingegangen. (Rhetorische) Frage: Ist das nicht bereits ein Datenschutzverstoß an sich? Ich unterstelle dem Kundendienst-Mitarbeiter zunächst keine Absicht; es kann ja sein, dass er nicht von allen Stellen weiß, wo Daten abgelegt sind. Aber das „Privacy Council“ sollte das zumindest wissen oder sich das notwendige Wissen verschaffen…und das dann auch kommunizieren.

Ich kann mir vorstellen, dass es solche Datenschutz anfragen nicht oft vorkommen bei so einem Unternehmen.
Da kann es passieren, dass bei der Bearbeitung evtl. etwas falsch läuft. Das ist natürlich nicht in Ordnung, aber was soll man effizient machen.

Es ist meistens üblich, dass Tickets im IT-Support etc. einseitig geschlossen werden und der Antragsteller in die Verantwortung kommt sich zu melden, wenn etwas nicht stimmt.
Das hat den Grund, weil sich sonst die Tickets bzw. Anfragen haufen und der Support überfordert wird alles nachzuverfolgen.

Deine Kritik hinsichtlich der Bearbeitung wurde wohl etwas offensiv bzw. beleidigend aufgenommen, weswegen es keine Antwort darauf gab.
Bei gestressten bzw. überforderten Mitarbeitern kann das evtl. vorkommen.

Ich würde die Auskunft einfach nochmal förmlich, mit Bezug auf die entsprechenden DSGVO-Paragrafen und der gesetzlichen Fristen stellen und darauf hinweisen, dass die vorige Anfrage fehlerhaft bearbeitet wurde.

Neue Start-ups und viele junge Unternehmen schreiben meist in der Ich-Form um eine engere bzw. freundliche Kommunikation aufzubauen.
Intern ist meist dann auch die Du-Form angesagt bzw. festgesetzt.

JET ist ein international tätiges Unternehmen, gegründet 2000. Will sagen, eher kein Start-Up mehr.

Selbst wenn solche Anfragen nicht oft vorkommen sollten (was ich eigentlich, zumindest in D nicht glaube), so wäre es aktuell m. E. nach schon erwartbar, dass hierfür eine geeignete Strategie parat liegt. Das betrifft alle Unternehmen, die unter die EU-DSGVO fallen. Und man muss das Rad ja nicht bei jeder Anfrage neu erfinden.

In meiner letzten Tätigkeit war ich auch u. a. thematisch damit betraut, jedoch in einem viel kleineren Unternehmen als JET. Da kamen tatsächlich weniger solcher Anfragen und vor allem zeitlich mit viel größerem Abstand. Gerade dann ist es wichtig, eine Routine zu entwickeln und zu dokumentieren. In ein paar Monaten hat man das sonst wieder vergessen oder vergisst einzelne Teile. Letztlich geht es ja auch um die Präsentation und die Wahrnehmung des Unternehmens nach außen. Und - für Geschäftsführer wichtig - um Geld, im Zweifelsfall auch um Privatvermögen.

Meiner Erfahrung nach bleiben Tickets erst mal offen, zumindest bis zu einem gewissen zeitlichen Abstand. Oft liest man in den Antworten ja so etwas wie „Ticket wird in x Tagen automatisch geschlossen.“ oder ähnliches. Damit komme ich klar, das treibt ja sonst jeden Supporter irgendwann in den Wahnsinn. Ich habe auch Support-Erfahrung und schreibe das bei meinen Anfragen als Kunde auch selbst zeitnah, wenn das Ticket geschlossen werden kann.

Es nach der ersten Reaktion automatisch (wobei ich mir da nicht mal sicher bin) zu schließen, ist mindestens stillos und kommt bei mir als mehr oder weniger subtile Botschaft an, dass es dem Absender eigentlich herzlich egal ist, ob ich mit allem zufrieden bin oder noch weitere Anliegen dazu habe.
Oder - wie im jetzigen Fall - der Absender vergisst das zusätzliche Dokument (macht also selbst einen Fehler) und nimmt mir als Empfänger die Möglichkeit der direkten Nachfrage.

Ich meine, dem Unternehmen ist damit auf diese Weise nicht besser geholfen. Ich muss nun ein neues Ticket in den Pool stellen (neue Ticketnummer), mit dem sich evtl. ein ganz anderer Mitarbeiter zunächst befassen und es ggf. weiter eskalieren lassen muss, bis dann der zuständige Mitarbeiter tatsächlich wieder damit arbeiten kann. Da sind im ungünstigen Fall mehrere Menschen damit beschäftigt (Zeit+Geld), statt einfach das Ticket für sagen wir mal zwei Wochen offen zu lassen.

Das habe ich im Eingangspost vllt. etwas missverständlich formuliert. Meine Kritik wurde erst vor kurzem abgesendet, noch ist alles innerhalb der Frist und das Unternehmen hat sich bei meinem ersten Kontakt auch innerhalb der vier Wochen gemeldet.
Ich habe die Kritik bewusst nicht zu offensiv geschrieben; aber ich sehe halt auch nicht ein, dass ich damit so „lieblos“ abgespeist werde und sie sich noch nicht einmal wenigstens für den offensichtlichen Verstoß/ die Fehler entschuldigen. Das gehört m. E. zum kleinen Einmaleins der prof. Kommunikation im Business (und/oder zur guten Erziehung). Und für mich wäre es damit auch vom Tisch; ich bin keiner, der dann gleich zu den Behörden springt und irgendwas meldet.

Das mag ich weder als Kunde, noch als Mitarbeiter in einem Unternehmen (z. B. ggü. Vorgesetzten oder Kunden). Es verringert den (für mich) notwendigen Abstand und darunter leidet auch die Professionalität. Das sind keine „Kumpels“, mit denen man abends gemeinsam in das Lagerfeuer starrt, während die Wurst vor sich hinbrutzelt. :slight_smile:

Und wenn mich jemand in der „Ich“-Form anschreibt, dann erwarte ich auch, dass ein Name darunter steht. Das klingt jetzt alles schon ein wenig kleingeistig, aber in Summe finde ich die „User-Experience“ bei diesem Vorgang einfach schlecht genug, um mir Gedanken darüber zu machen, wie gut meine Daten in diesem Unternehmen aufgehoben sind/ waren.