Österreichische Datenschutzbehörde: Single Opt-In-Verfahren unzulässig!

Die Anwendung des Double-Opt-In-Verfahrens ist vor allem im Hinblick auf die DSGVO unerlässlich, um nicht Ziel von teuren Abmahnungen und Bußgeldverfahren zu werden. Die Österreichische Datenschutzbehörde hat nun klargestellt, dass auch im Hinblick auf Art. 32 DSGVO (u.a. „technische und organisatorische Maßnahmen“) das Double-Opt-In-Verfahren Pflicht ist.

Was ist geschehen?

Ein Minderjähriger bekam an seine E-Mail-Adresse laufend Dating- bzw. Sex-Angebote zugeschickt, obwohl er sich bei den entsprechenden Onlinedating-Portalen nie registriert hatte. Es stellte sich heraus, dass eine unbekannte Person die beiden Profile auf den von dem Beschwerdegegner betriebenen Onlinedating-Portalen angelegt hatte.

Der Beschwerdegegner (Onlinedating-Portal) gab zwar an, dass nach erfolgter Registrierung der User an die angegebene E-Mail-Adresse eine Nachricht bekomme, in der er aufgefordert werde, sein Profil zu aktivieren bzw. seine E-Mail-Adresse zu bestätigen.

Der User könne sich jedoch auch ohne Aktivierung seines Profils bzw. Bestätigung seiner E-Mail-Adresse schon in sein Profil einloggen, er würde allerdings wieder aufgefordert werden, seine E-Mail-Adresse zu bestätigen. Nun war es aber so, dass trotz fehlender Profil-Aktivierung über das Double Opt-In-Verfahren dem minderjährigen Beschwerdeführer unaufgefordert „unangemessene“ Kontaktanfragen zugesendet wurden.

Darin sah dieser (der Minderjährige, vertreten durch seinen gesetzlichen Vertreter) einen Verstoß gegen die DSGVO und brachte das Verfahren vor der Österreichischen Datenschutzbehörde ins Rollen.

Der Gegenstand der Beschwerde war unter anderem die Frage, ob die Beschwerdegegner den Beschwerdeführer dadurch im Recht auf Geheimhaltung verletzt hat, indem er es mangels geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO ermöglicht hat, dass mit der E-Mail-Adresse des Minderjährigen, aber ohne dessen Kenntnis, entsprechende Profile auf den Onlinedating-Plattformen erstellt wurden und dem Beschwerdeführer in Folge regelmäßig „Kontaktvorschläge“ und Benachrichtigungen zugeschickt worden sind.

Single Opt-In-Verfahren ist DSGVO-Verstoß!

Die Österreichische Datenschutzbehörde hat mit Bescheid (Bescheid v. 09.10.2019, Az. DSB-D130.073/0008-DSB/2019) entschieden, dass die Nutzung eines Single Opt-In-Verfahrens zur Verifizierung der E-Mail-Adressen gegen Art. 32 DSGVO verstößt und somit eine Datenschutzverletzung darstellt.

Der Beschwerdeführer stützte sich auf eine Verletzung u. a. des Art. 32 DSGVO. Wie aus Art. 32 DSGVO ersichtlich sei, bestehe eine Verpflichtung des Verantwortlichen bzw. des Auftragsverarbeiters zur Sicherheit der Verarbeitung personenbezogener Daten. Der Art. 32 DSGVO richte seinen inhaltlichen Normgehalt auf „technische und organisatorische Maßnahmen“ aus.

Davon erfasst seien alle Maßnahmen, die auf eine den Vorgaben der DSGVO entsprechende Verarbeitung zielten. Eine solche Datenschutzsicherheitsmaßnahme sei die Implementierung eines Double-Opt-In-Verfahrens zur rechtskonformen Erlangung einer Einwilligung. Im Ergebnis stellte die Behörde fest, dass der Beschwerdegegner kein Double-Opt-In-Verfahren verwendet hat und somit den Anforderungen des Art. 32 DSGVO nicht genügte.

Single Opt-In vs. Double Opt-In

Nicht nur hinsichtlich Art. 32 DSGVO ist das Single Opt-In-Verfahren problematisch. Beim Single Opt-In-Verfahren wird die Einwilligung lediglich durch das Eintragen der Daten und E-Mail-Adresse auf der entsprechenden Webseite eingeholt. Problematisch ist hier, dass nicht sichergestellt werden kann, dass die Eintragung tatsächlich vom Inhaber der eingetragenen E-Mail-Adresse stammt.

Wie der obige Fall zeigt, ist es somit Dritten möglich, eine fremde E-Mail-Adresse einzugeben und somit mindestens für Belästigungen des Betroffenen zu sorgen.

Der einzig rechtssichere Weg ist das sog. Double Opt-In-Verfahren, zu dessen Verwendung wir immer wieder raten. Beim Double Opt-In-Verfahren erhält der Nutzer nach der Registrierung mit seiner E-Mail-Adresse eine erste E-Mail mit der Aufforderung, einen Link zur Bestätigung anzuklicken.

Wird dem Folge geleistet, wird die Einwilligung in die Datenverarbeitung eingeholt bzw. sichergestellt, dass kein Missbrauch durch Dritte (eintragen fremder E-Mail-Adressen) stattfindet. Denn wenn nicht auf diese erste E-Mail reagiert wird, gilt die Einwilligung als nicht erteilt.

Fazit

Nicht nur nach dieser Entscheidung steht fest, dass Einwilligungen zum Erhalt von Newslettern im Wege des Double Opt-In-Verfahrens eingeholt werden müssen, um den Datenschutzvorschriften zu entsprechen.

Durch das Double Opt-In-Verfahren wird sichergestellt, dass es sich bei der auf die E-Mail reagierenden Person (mit hoher Wahrscheinlichkeit) um dieselbe Person handelt, welche in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Auch im Hinblick auf die Vornahme „geeigneter technischer und organisatorischer Maßnahmen“ gemäß Art. 32 DSGVO ist das Double Opt-In-Verfahren unerlässlich, wie der Bescheid der Österreichischen Datenschutzbehörde zeigt.

Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .