DSB Öster­reich: Feh­len­des Dou­ble-Opt-In-Ver­fah­ren als Ver­let­zung von DSGVO 32

Die öster­rei­chi­sche Daten­schutz­be­hör­de (DSB) hat mit Ent­scheid vom 9. Okto­ber 2019 (DSB-D130.073/0008-DSB/2019) fest­ge­stellt, dass nach Art. 32 DSGVO (Daten­si­cher­heit) ein Dou­ble-Opt-In-Ver­fah­ren für Regi­strie­run­gen auf einer Online-Dating-Platt­form zwin­gend ist.

Die Regi­strie­rung und eine ein­ge­schränk­te Nut­zung der Platt­form war ohne Dou­ble-Opt-In mög­lich:

Es ist kor­rekt, dass der User sich nach der Regi­strie­rung und der expli­zi­ten Bestä­ti­gung sei­nes Alters und sei­nes Wohn­or­tes und der Auf­for­de­rung, sei­ne Dou­ble­Op­tIn E‑Mail zu bestä­ti­gen, das Por­tal ein­ge­schränkt nut­zen kann.

Die Auf­for­de­rung, sei­ne Dou­ble­Op­tIn E‑Mail zu bestä­ti­gen, kommt im regel­mä­ßi­gen Rhyth­mus (alle 3 – 5 Minu­ten) inner­halb des Por­tals, solan­ge der User die­se nicht bestä­tigt hat.

Vor­lie­gend hat­te eine unbe­kann­te Per­son die E‑Mail-Adres­se des min­der­jäh­ri­gen Beschwer­de­füh­rers zur Erstel­lung von zwei Pro­fi­len auf den Online­da­ting-Por­ta­len der Beschwer­de­geg­ne­rin ver­wen­det, was eine unrecht­mä­ssi­ge Daten­be­ar­bei­tung dar­stellt. Die DSB kommt vor die­sem Hin­ter­grund zum fol­gen­den Ergeb­nis:

Dadurch, dass die Beschwer­de­geg­ne­rin kei­ne aus­rei­chen­den, Art. 32 DSGVO ent­spre­chen­den Daten­si­cher­heits­maß­nah­men gesetzt hat, war es mög­lich, dass per­so­nen­be­zo­ge­ne Daten des Beschwer­de­füh­rers – näm­lich die E‑Mail-Adres­se ***@***.com – unrecht­mä­ßig ver­ar­bei­tet wur­den, was den Beschwer­de­füh­rer in sei­nem Grund­recht auf Geheim­hal­tung nach § 1 Abs. 1 DSG ver­letz­te.

Die DSB setzt sich aller­dings nicht mit der Fra­ge aus­ein­an­der, ob, wes­halb und unter wel­chen Umstän­den ein Dou­ble-Opt-In-Ver­fah­ren nach den Kri­te­ri­en von Art. 32 Abs. 1 DSGVO ver­pflich­tend ist. Auch ist offen, ob ein Dou­ble-Opt-In-Ver­fah­ren auch dann erfor­der­lich ist,

  • wenn ohne Bestä­ti­gung der Regi­strie­rung anders als hier kei­ne Wer­bung ver­sandt wird, son­dern nur ein Dienst genutzt wer­den kann; und
  • wenn die Regi­strie­rung nicht als Ein­wil­li­gung gilt, son­dern bspw. im Rah­men eines Ver­trags i.S.v. Art. 6 Abs. 1 lit. b DSGVO erfor­der­lich ist, z.B. bei einem Online-Ein­kauf.

Vgl. dazu auch den Bei­trag von Car­lo Piltz zum Ent­scheid.