Vorab - die Anfrage per DSGVO Art. 15 ist noch nicht ganz abgeschlossen. Dennoch hier einmal ein Zwischenstand und der bisherige Ablauf in meinem Fall.
Ich hatte den Lieferando-Account ein paar Jahre lang und vor ein paar Monaten beschlossen, dass ich den nicht mehr brauche.
Ich habe also eine Anfrage per Mail an Lieferando gestellt und um Löschung meines Accounts gebeten. Noch am selben Tag kam eine Antwort per Mail von einem Mitarbeiter, der sich (vor)namentlich zu erkennen gab und mir mitteilte, dass er meinem Wunsch nach Löschung nachgekommen sei. Eine kurze Prüfung mittels fehlgeschlagenen Anmeldeversuch auf der Website zeigte, dass das augenscheinlich stimmte.
Es verging einige Zeit und ich hatte das schon lange wieder vergessen, bis ich im Juli plötzlich eine E-Mail von Lieferando bekam (Betreff: Aktualisierung der AGB). Die Mail kam an die E-Mail-Adresse, die ich auch in dem Nutzeraccount verwendet hatte. Das hat mich hellhörig gemacht und so habe ich mich mittels Datenschutzformular (Kategorie: „Complaint“, da das Ticketsystem auf Englisch ist) an JET gewandt und um Klärung gebeten. Zusätzlich habe ich gleich nach Datenauskunft gem. DSGVO angefragt und um entsprechende Auskunft gebeten.
Positiv ist an der Stelle, dass die Antwort bereits nach ca. zwei Wochen bei mir einging. Gefolgt von einer zweiten E-Mail, mit der ich meine Datenlöschung nun per Bestätigung mittels „Klick“ auf einen Link endgültig anstoßen könne (Löschung innerhalb von 30 Tagen).
Die Antwort auf meine Ticketanfrage besteht jedoch zu einem großen Teil aus generischen Erklärungen, die man auch der Datenschutzerklärung entnehmen kann (auf die in der Nachricht auch insgesamt drei Mal verwiesen wird). Ergänzt wird das Schreiben durch den Hinweis, man habe eine Übersicht beigefügt, die scheinbar alle personenbezogenen Daten bereitstellt, die über mich (bzw. „die mit Ihrer E-Mail-Adresse verknüpft werden können.“) erhoben wurden. Abgeschlossen wird dann mit dem Hinweis, dass man sich bei weiteren Fragen wieder über das Datenschutzformular melden könne…das Ticket wurde nämlich jetzt geschlossen und mein Anliegen einseitig als „gelöst“ gekennzeichnet.
Im Übrigen war keine beigefügte Übersicht enthalten.
Obwohl das Schreiben in der „Ich“-Form begonnen wurde (wechselt dann im copy/paste Bereich auf „wir“), endet die Nachricht ohne Identifikation des Verfassers:
"Viele Grüße
Privacy Council"
Ich habe nun erneut ein Ticket eröffnet, die fehlende Übersicht angefragt („Recht auf vollständige Auskunft“) und die Merkwürdigkeit mit dem Löschen des Accounts, der wenig stilvollen Bearbeitung meiner Anfrage und letztlich dem damit zusammenhängenden eigenmächtigen Schließen des Tickets angesprochen. Das ist nicht nur eine ineffiziente Kommunikationsform, sondern auch wenig kundenfreundlich (gut, ich bin Ex-Kunde, aber davon mal abgesehen) und mit einem Beigeschmack einer Attitüde, die nicht nur von zweifelhafter Sensibilisierung für das Thema Datenschutz zeugt.
Auf die offenbar falsche - oder zumindest unvollständige - Aussage des Kundendienst-Mitarbeiters wird mit keiner Silbe eingegangen. (Rhetorische) Frage: Ist das nicht bereits ein Datenschutzverstoß an sich? Ich unterstelle dem Kundendienst-Mitarbeiter zunächst keine Absicht; es kann ja sein, dass er nicht von allen Stellen weiß, wo Daten abgelegt sind. Aber das „Privacy Council“ sollte das zumindest wissen oder sich das notwendige Wissen verschaffen…und das dann auch kommunizieren.