Single-Opt-In verletzt Datenschutzregelungen

Die Österreichische Datenschutzbehörde veröffentlicht regelmäßig Bescheide von besonderer Bedeutung. Aktuell wurde der Bescheid vom 09.10.2019-DSB-D130.073/0008-DSV/2019 online veröffentlicht ( Hier erfahren Sie mehr).

Ein Scherzkeks hatte offenbar die E-Mail-Adresse eines Minderjährigen genutzt und sich bzw. diesen mit dem Profil „***geilab14“ auf einem Onlinedating-Portal angemeldet und zudem das Profil „bernd***“ auf dem ebenfalls von der Beschwerdegegnerin betriebenen Dating-Portal www.***frauen.com erstellt. Der Minderjährige erhielt fortan zahlreiche Kontaktvorschläge und Benachrichtigungen von dem Portal an seine E-Mail-Adresse.

Der Kern der Sache: Eine Anmeldung war offenbar ohne Double-Opt-In möglich. Die Plattform gab an, eine Aktivierung des Profils und die Zusendung von Nachrichten erfolge erst, wenn das Profil über einen zugesandten Link aktiviert worden sei. Allerdings sei die Nutzung der Inhalte schon vorher möglich. Auf Nachfrage teilte sie mit:

"Gerne beantworten wir ihre Fragen wie folgt. Es ist korrekt, dass der User sich nach der Registrierung und der expliziten Bestätigung seines Alters und seines Wohnortes und der Aufforderung, seine DoubleOptIn E-Mail zu bestätigen, das Portal eingeschränkt nutzen kann. Die Aufforderung, seine DoubleOptIn E-Mail zu bestätigen, kommt im regelmäßigen Rhythmus (alle 3-5 Minuten) innerhalb des Portals, solange der User diese nicht bestätigt hat. Es ist dem User möglich, eingeschränkt einige Dienste auf dem Portal zu nutzen. Beispielhaft haben wir ihnen nachfolgende Screenshots beigefügt."

Der Beschwerdeführer verwies darauf, dass anhand der von ihm vorgelegten Unterlagen nachgewiesen sei, dass auch ohne Aktivierung des Profils Nachrichten an die eigentlich erst zu bestätigende E-Mail-Adresse gesendet würden. Das in der Stellungnahme der Beschwerdegegnerin genannte Double-Opt-In-Verfahren finde keine Anwendung, sicherlich auch deswegen, um potentielle Nutzer zur Aktivierung des Profils zu animieren.

Die Zusendung ohne Profilaktivierung sah die Behörde als bewiesen an, zumal weitere Beschwerden dazu vorlagen.

Double-Opt-In als fehlende TOM

In dem gesamten Vorgang sah die Behörde eine Verletzung von Art. 32 DSGVO. Danach besteht eine Verpflichtung des Verantwortlichen bzw. des Auftragsverarbeiters zur Sicherheit der Verarbeitung personenbezogener Daten. Insbesondere muss der Verantwortliche geeignete technische und organisatorische Maßnahmen (TOM) treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Behörde sah in der Implementierung eines Double-Opt-In-Verfahrens zur rechtskonformen Erlangung einer Einwilligung eine solche Maßnahme, die hier unterblieben war.

Bei einem Double-Opt-In erfolgt in einem ersten Schritt die individuelle Nachricht an die angegebene Mailadresse mit dem Hinweis zur Anmeldung. Erst nach einer auf diese (individuelle) Mail gegebenen, die Anmeldung bestätigenden Antwort oder vergleichbaren Reaktion (z.B. Anklicken eines Links), erfolgt die Zusendung von Werbenachrichten. Das lässt sich mit SMS auch über Mobiltelefone für Telefonanschlüsse bewerkstelligen.

Da der Plattformbetreiber dieses Verfahren nicht vorgesehen hatte bzw. strikt einhielt, sah die Behörde eine datenschutzrechtliche Rechtsverletzung. Zum geltend gemachten Schadensersatz verwies die Behörde auf die Zivilgerichte.

Fazit

Bei einer E-Mail-Versendung ohne Einwilligung bzw. Absicherung der Einwilligung ohne Double-Opt-In drohen einem Verantwortlichen zumindest in Österreich nicht nur Abmahnungen, sondern auch Schadensersatz und Bußgelder. Zwar dürfte in Deutschland ein Schadensersatz für sog. immaterielle Schäden nur in sehr beeinträchtigenden Fällen in Betracht kommen. Aber die Sicht der Österreicher, auch eine bußgeldpflichtige Verletzung des Datenschutzes in einem solchen Fall zu sehen, könnte Schule machen.