DSB Öster­reich: Feh­len­des Dou­ble-Opt-In-Ver­fah­ren als Ver­let­zung von DSGVO 32

DE
DE EN FR

von

am

Branchen

Behörde

Gesetze

,

Themen

Take-Aways (AI)
  • Die öster­rei­chi­sche Daten­schutz­be­hör­de ent­schied am 9. Okto­ber 2019, dass nach Art. 32 DSGVO ein Double‑Opt‑In für Online‑Dating‑Registrierungen zwin­gend sei.
  • Die Platt­form erlaub­te ein­ge­schränk­te Nut­zung ohne bestä­tig­tes Double‑Opt‑In, mit wie­der­hol­ten Auf­for­de­run­gen alle 3 – 5 Minuten.
  • Unbe­kann­te erstell­ten Pro­fi­le mit der E‑Mail eines Min­der­jäh­ri­gen; DSB stell­te man­gel­haf­te Daten­si­cher­heits­maß­nah­men nach Art. 32 DSGVO fest.
  • Die DSB klär­te nicht abschlie­ssend, unter wel­chen Umstän­den Double‑Opt‑In gene­rell erfor­der­lich ist (Wer­bung vs. Dienst/Vertragssituation).

Die öster­rei­chi­sche Daten­schutz­be­hör­de (DSB) hat mit Ent­scheid vom 9. Okto­ber 2019 (DSB-D130.073/0008-DSB/2019) fest­ge­stellt, dass nach Art. 32 DSGVO (Daten­si­cher­heit) ein Dou­ble-Opt-In-Ver­fah­ren für Regi­strie­run­gen auf einer Online-Dating-Platt­form zwin­gend ist.

Die Regi­strie­rung und eine ein­ge­schränk­te Nut­zung der Platt­form war ohne Dou­ble-Opt-In möglich:

Es ist kor­rekt, dass der User sich nach der Regi­strie­rung und der expli­zi­ten Bestä­ti­gung sei­nes Alters und sei­nes Wohn­or­tes und der Auf­for­de­rung, sei­ne Dou­ble­Op­tIn E‑Mail zu bestä­ti­gen, das Por­tal ein­ge­schränkt nut­zen kann.

Die Auf­for­de­rung, sei­ne Dou­ble­Op­tIn E‑Mail zu bestä­ti­gen, kommt im regel­mä­ßi­gen Rhyth­mus (alle 3 – 5 Minu­ten) inner­halb des Por­tals, solan­ge der User die­se nicht bestä­tigt hat.

Vor­lie­gend hat­te eine unbe­kann­te Per­son die E‑Mail-Adres­se des min­der­jäh­ri­gen Beschwer­de­füh­rers zur Erstel­lung von zwei Pro­fi­len auf den Online­da­ting-Por­ta­len der Beschwer­de­geg­ne­rin ver­wen­det, was eine unrecht­mä­ssi­ge Daten­be­ar­bei­tung dar­stellt. Die DSB kommt vor die­sem Hin­ter­grund zum fol­gen­den Ergebnis:

Dadurch, dass die Beschwer­de­geg­ne­rin kei­ne aus­rei­chen­den, Art. 32 DSGVO ent­spre­chen­den Daten­si­cher­heits­maß­nah­men gesetzt hat, war es mög­lich, dass per­so­nen­be­zo­ge­ne Daten des Beschwer­de­füh­rers – näm­lich die E‑Mail-Adres­se ***@***.com – unrecht­mä­ßig ver­ar­bei­tet wur­den, was den Beschwer­de­füh­rer in sei­nem Grund­recht auf Geheim­hal­tung nach § 1 Abs. 1 DSG verletzte.

Die DSB setzt sich aller­dings nicht mit der Fra­ge aus­ein­an­der, ob, wes­halb und unter wel­chen Umstän­den ein Dou­ble-Opt-In-Ver­fah­ren nach den Kri­te­ri­en von Art. 32 Abs. 1 DSGVO ver­pflich­tend ist. Auch ist offen, ob ein Dou­ble-Opt-In-Ver­fah­ren auch dann erfor­der­lich ist,

  • wenn ohne Bestä­ti­gung der Regi­strie­rung anders als hier kei­ne Wer­bung ver­sandt wird, son­dern nur ein Dienst genutzt wer­den kann; und
  • wenn die Regi­strie­rung nicht als Ein­wil­li­gung gilt, son­dern bspw. im Rah­men eines Ver­trags i.S.v. Art. 6 Abs. 1 lit. b DSGVO erfor­der­lich ist, z.B. bei einem Online-Einkauf.

Vgl. dazu auch den Bei­trag von Car­lo Piltz zum Entscheid.