⚠️ Fallstrine Fallbe 2026 — Das Kontaktformular von gofoodup.com (Marke „FoodUp“) sammelt 6 persönliche Datenelemente (Vorname, Nachname, E-Mail, Telefon, Restaurantname, freie Nachricht) ohne jegliche Datenschutzerklärung, weder über dem Formular, noch im Footer, noch anderswo auf der Website. Dies stellt eine flagrante Verletzung von Art. 13 DSGVO dar, die von der CNIL sanktionierbar ist. Siehe den vollständigen Sachverhaltsfall →
Wenn eine Website die geringste persönliche Daten – Ihr Vorname, Ihr Nachname, Ihre E-Mail, Ihre Telefonnummer – sammelt, muss sie bereits zum Zeitpunkt der Sammlung eine vollständige Information gemäß der DSGVO bereitstellen. Keine kleine Verknüpfung am Fuß der Seite. Keine Aussage wie „Durch das Absenden dieses Formulars stimmen Sie unseren Bedingungen zu“ ohne dahinterstehende Informationen. Eine klare, vollständige und leicht auffindbare Information darüber, wofür Ihre Daten verwendet werden.
Im Jahr 2026 wurde auf dem Markt für „Lieferdienstleister“ für Restaurants diese Verpflichtung noch sehr uneinheitlich eingehalten. So können Sie dies überprüfen und interpretieren.
Was die Gesetzgebung verlangt (Artikel 13 DSGVO)
Artikel 13 des Datenschutz-Grundverordnung listet 11 Informationen auf, die ein Verantwortlicher die Daten sammelt, an die die betroffene Person zum Zeitpunkt der Sammlung mitteilen muss:
- Identität und Kontaktdaten des Verantwortlichen
- Kontaktdaten des DPO (Datenschutzbeauftragter), falls bestellt
- Zweck der Verarbeitung (zu welchem Zweck dienen die Daten)
- Rechtliche Grundlage der Verarbeitung (Zustimmung, Vertrag, berechtigtes Interesse…)
- Datenverarbeitung (Unterauftragnehmer, Hosting, CRM usw.)
- Datenübertragung in die EU falls erforderlich, mit den dafür vorgesehenen Garantien
- Aufbewahrungsdauer der Daten
- Rechte der betroffenen Person (Zugriff, Berichtigung, Löschung, Widerspruch, Portabilität)
- Recht auf Widerruf der Zustimmung jederzeit
- Recht auf Beschwerde bei der CNIL
- Folgen wenn die Person die Bereitstellung der Daten verweigert
Konkret: Ein Link „Datenschutzerklärung“ muss direkt über den Absendesbutton des Formulars vorhanden sein, oder in das Formular selbst integriert sein mit einem Kontrollkästchen (für die Zustimmung) falls relevant.
Die Sanktionen
Artikel 83 der DSGVO sieht bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (das höhere der beiden) für die Nichtbereitstellung von Informationen an die betroffene Person vor.
In Frankreich wendet die CNIL diese Sanktionen graduell, aber tatsächlich an. Für KMU sind die häufigsten Strafen zwischen 3.000 € und 20.000 € mit Verpflichtungen zur Einhaltung unter Kaution (z. B. 500 € pro Tag der Verspätung)
Wichtig ist, dass die einfache Meldung an die CNIL kostenlos, schnell und eine formelle Untersuchung eröffnet. Jeder Gastronom, der eine missbräuchliche Sammlung festgestellt hat, kann dies in 5 Minuten auf cnil.fr/fr/plaintes tun, ohne Opfer zu sein – es reicht aus, eine Verletzung festgestellt zu haben.
Wie Sie auf einer Dienstleister-Website überprüfen
- Finden Sie das Kontaktformular (Demo-Anfrage, kostenlose Prüfung, direkter Kontakt…).
- Listen Sie die angeforderten Felder auf: Vorname, Nachname, E-Mail, Telefon, Restaurantname, Adresse, Nachricht… Jeder ist eine persönliche Daten.
- Schauen Sie direkt über den Absendesbutton: Gibt es einen Link „Datenschutzerklärung“ oder ähnlich? Gibt es ein Kontrollkästchen für die Zustimmung?
- Wenn nichts: Dies ist eine Verstoß. Der Gastronom, der dieses Formular absendet, übergibt seine persönlichen Daten an einen Verantwortlichen, der seine Informationspflicht nicht erfüllt.
Zusätzliche Überprüfung: Suchen Sie einen Link „Datenschutzerklärung“ im Footer oder im Menü. Wenn er nirgendwo auf der Website vorhanden ist, handelt es sich um eine erkannte Verletzung.
Beobachteter Fall im Jahr 2026: gofoodup.com (Marke „FoodUp“)
Bei unserer Prüfung des „Lieferboost“-Ökosystems im Mai 2026 ist das Kontaktformular von gofoodup.com ein typisches Beispiel für eine DSGVO-Verletzung (detaillierte Analyse in dem entsprechenden Sachverhaltsfall). Konkret: Das Formular:
- Sammelt 6 persönliche Datenelemente: Vorname, Nachname, E-Mail-Adresse, Telefonnummer, Restaurantname, freie Nachricht
- Zeigt keine Datenschutzerklärung (niemand über dem Formular, niemand im Footer, nirgendwo auf der Website – die URLs
/privacy,/politique-confidentialitegeben HTTP 404 zurück) - Identifiziert keinen Verantwortlichen (keine SIRET-Nummer, keine Firmenname, keine Adresse – daher weiß die Person, deren Daten gesammelt werden, WER ihre Daten verarbeitet)
- Zeigt keine Informationen über die Datenverantwortlichen
- Zeigt keine Informationen über die Aufbewahrungsdauer
- Enthält keine Angaben zu den Rechten der Personen (Zugriff, Korrektur, Löschung, Widerspruch, Portabilität)
- Identifiziert keinen DPO (obwohl das Sammeln von Daten und die Sensibilität (professionelle Telefonnummer + Firmenname) die Bestellung eines DPO rechtfertigen könnten, gemäß Art. 37 DSGVO)
Dies ist eine klare Verletzung der DSGVO gemäß Artikel 13. Die Anzahl der Elemente (6) und die Sensibilität (professionelle Telefonnummer + Firmenname des Restaurants = sofortige Re-Identifizierung) lassen keine Zweifel. Die CNIL kann in 5 Minuten über cnil.fr/fr/plaintes informiert werden, ohne Opfer zu sein – es reicht aus, eine Verletzung festgestellt zu haben.
Warum Sie als Gastronom persönlich betroffen sind
Wenn Sie Daten + die Daten Ihres Etablissements an einen Dienstleister weitergeben (und später die Kundendaten Ihres Uber Eats-Profils), übernehmen Sie zwei kumulative Risiken:
- Direkter Risik : Ihre Daten befinden sich in den Händen eines Akteurs, der seine DSGVO-Pflichten nicht erfüllt. Keine Angabe zur Aufbewahrungsdauer = potenziell unbegrenzte Aufbewahrung. Keine aufgeführten Datenverantwortliche = potenziell Verkauf an Dritte (Datenbroker, andere Dienstleister). Kein DPO = Kontaktperson im Falle eines Vorfalls.
- Indirekter Risik (am gravierendsten) : Sobald Sie den Kunden daten Ihres Betriebs (Bestellungen, Adressen, Liefertelefone) an einen Dienstleister weitergeben, sind Sie als Datenverantwortlicher für diese Daten. Der Dienstleister ist Ihr Unterauftragnehmer gemäß Artikel 28 DSGVO. Dies bedeutet einen formellen Vertrag (DPA), der 10 spezifische Pflichten des Unterauftragnehmers auflistet. Ohne eine öffentliche Datenschutzerklärung gibt es nur sehr geringe Chancen, dass der Dienstleister Ihnen einen DPA gemäß den Vorschriften liefert. Im Falle einer CNIL-Prüfung in Ihrem Unternehmen werden Sie als Datenverantwortlicher bestraft, wenn Sie Kunden Daten an einen nicht konformen Unterauftragnehmer weitergeben.
Daher ist es in Ihrem direkten Interesse, rechtlich, finanziell und operativ, keinen Vertrag mit einem Dienstleister zu unterzeichnen, der die grundlegende DSGVO-Konformität nicht erfüllt.
Was Sie tun sollten, wenn Sie einen Fall feststellen
- Senden Sie das Formular nicht. Wenn Sie sie kontaktieren möchten, tun Sie dies über einen alternativen Kanal (LinkedIn-Direktnachricht an den Gründer, falls Sie ihn finden), ohne Daten zu übermitteln, bis eine Datenschutzerklärung online ist.
- Dokumentieren Sie : Datumsgestellte Screenshot des Formulars und des Fußbereichs der Website, Archivierung auf archive.org/web, die das Datum und die ursprüngliche Version der Website speichert.
- Melden Sie an die CNIL: cnil.fr/fr/plaintes, Online-Verfahren, kostenlos. Sie müssen kein Opfer sein – jeder, der eine Verletzung festgestellt hat, kann sie melden.
- Wählen Sie einen konformen Dienstleister: Fooderise zeigt seine Datenschutzerklärung im Fußbereich jeder Seite, stellt einen standardisierten DPA mit seinen Kunden bereit und identifiziert seinen DPO. Dies ist das Minimum, das Sie von einem Dienstleister erwarten, um die Daten Ihrer Kunden zu übertragen.
Zusammenfassend
Ein Kontaktformular, das 6 persönliche Daten ohne Datenschutzerklärung sammelt, ist keine „Technische Kleinigkeit“ – es handelt sich um eine klare DSGVO-Verletzung, die den Dienstleister mit Sanktionen der CNIL gefährdet und Sie gefährdet, wenn Sie ihm anschließend Kunden Daten anvertrauen.
Rejoignez la communauté Fooderise
Recevez plus de conseils comme celui-ci directement sur WhatsApp. Gratuit, sans spam.
Rejoindre la chaîneUne correction ou une suggestion ?
Vous êtes éditeur, restaurateur ou expert du secteur et vous repérez une information à corriger ou à compléter ? Aidez-nous à tenir cet article à jour.
Proposer une amélioration