Double-Opt-In-Verfahren bei Online-Registrierungen
Unerwünschte Spam-Nachrichten sind häufig ein Grund für Ärger. Noch mehr, wenn sie von Portalen stammen, auf denen man sich nicht (selbst) registriert hat. Die österreichische Datenschutzbehörde setzte sich bereits mit einem Fall zur Missbrauchsbekämpfung gegen Scherzanmeldungen auseinander und traf dazu eine beachtenswerte Entscheidung.
Hintergrund der Entscheidung
Im vorliegenden Fall erhielt ein Minderjähriger unerwünschte E-Mails von Online-Dating-Portalen, obwohl er sich bei diesen nicht angemeldet hatte. Er war offenbar dem Streich eines Dritten zum Opfer gefallen, der ihn auf diesen Portalen registriert hatte. Für den Erhalt der Sex-Spams reichte die bloße Angabe einer gültigen E-Mail-Adresse aus.
Die DSB entschied, dass der Betreiber der Portale verpflichtet gewesen wäre, derartigen missbräuchlichen Anmeldungen durch geeignete Datensicherheitsmaßnahmen vorzubeugen. Eine unberechtigte Verwendung von E-Mail-Adressen kann nämlich nach Rechtsansicht der DSB jedenfalls gegen Art 5, Art. 6 und Art. 32 DSGVO verstoßen und somit eine denkmögliche Verletzung des § 1 Abs. 1 DSG darstellen. Im gegenständlichen Falle wurde mangels Datensicherheitsmaßnahmen – konkret wegen eines fehlenden Double-Opt-In-Verfahrens – das Grundrecht des Minderjährigen auf Geheimhaltung nach § 1 Abs. 1 DSG verletzt.
Entscheidungsgründe
Der Betreiber der Portale ist als Verantwortlicher nach Art. 32 DSGVO dazu verpflichtet, geeignete technische und organisatorische Maßnahmen (TOMs) zur Sicherheit der Verarbeitung personenbezogener Daten zu treffen. Gemeint sind damit alle Maßnahmen, die auf eine den Vorgaben der DSGVO entsprechende Verarbeitung zielen. Diese Sicherheit kann unter Berücksichtigung der in Art. 32 Abs. 1 DSGVO genannten Elemente auf mehrere Arten gewährleistet werden. Die DSB erkannte hier, dass ein Double-Opt-In-Verfahren eine angemessene Maßnahme darstellte und das Fehlen dieser die unberechtigte Verwendung der E-Mail-Adresse durch Dritte erst ermöglichte.
Beim Double-Opt-In wird nämlich nach der ersten Anmeldung eine Bestätigungsmail versandt, über die sich der User verifizieren muss. Erst wenn der User seine Anmeldung nochmals bestätigt, erfolgt die Zusendung von E-Mails. Dies kann nach Ansicht der DSB als rechtskonforme Einwilligung des Betroffenen für die Verarbeitung seiner personenbezogenen Daten angesehen werden.
Da der Betreiber der Portale im gegenständlichen Fall jedoch weder ein Double-Opt-In-Verfahren noch andere geeignete TOMs gemäß Art. 32 DSGVO implementiert hatte, war es möglich, dass die personenbezogenen Daten, nämlich die E-Mail-Adresse des Minderjährigen, unrechtmäßig verarbeitet wurden. Das stellt eine Verletzung des Art. 32 DSGVO und § 1 Abs. 1 DSG dar.
Auswirkungen auf die Praxis
In vorliegenden Fall wies die DSB explizit darauf hin, dass das Double-Opt-In-Verfahren eine angemessene Maßnahme zur Risikominimierung gemäß Art. 32 DSGVO gewesen wäre. Ob nun tatsächlich eine Pflicht zur Implementierung des Double-Opt-In-Verfahrens vorlag oder dessen Anwendung den damals geltenden „Stand der Technik“ entsprochen hat, wurde von der DSB nicht thematisiert.
Im Ergebnis dürfte das Double-Opt-In-Verfahren dem Stand der Technik entsprechen, um zu überprüfen, ob derjenige, der die E-Mail-Adresse (bei Registrierung) eingegeben hat, auch deren Inhaber ist. Dafür spricht im Wesentlichen auch, dass diese Maßnahme bereits gängige Praxis ist und sich gegenüber dem Missbrauch von Personendaten bewährt hat. Das Double-Opt-In-Verfahren kann somit im Einzelfall eine geeignete Maßnahme zur Gewährleistung der Sicherheit bei der Verarbeitung personenbezogener Daten im Sinne des Art. 32 DSGVO darstellen. Eine fehlende Implementierung des Double-Opt-In-Verfahrens, oder einer vergleichbaren technischen Maßnahme, kann – im Umkehrschluss – zu einer Verletzung des Datenschutzrechts führen.
In der Praxis empfiehlt sich die Verwendung des Double-Opt-In-Verfahrens (z.B. bei Newsletter-Anmeldungen) schon allein deshalb, um zweifelsfrei den Nachweis erbringen zu können, dass ein Betroffener seine Einwilligung zur Verarbeitung seiner personenbezogenen Daten erteilt hat. Die Beweislast dafür obliegt nämlich dem datenschutzrechtlich Verantwortlichen.
Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.