DSB Österreich: fehlendes Double-Opt-In-Verfahren als Verletzung der DSGVO-Vorschriften zur Datensicherheit


Ihre Kontakte

Eine Entscheidung der Österreichischen Datenschutzbehörde (DSB) veranschaulicht, dass das Double-Opt-In-Verfahren nicht nur werberechtlich, sondern auch datenschutzrechtlich von Bedeutung ist. Die Behörde warf der Betreiberin einer Dating-Plattform vor, nicht die erforderlichen organisatorischen und technischen Massnahmen zur Gewährleistung der Datensicherheit vorgenommen zu haben, da es bei der Registrierung auf dem Dating-Portal kein Double-Opt-In-Verfahren vorsah. Auch wenn die Begründung der Behörde nicht restlos klar ist, scheint sie zumindest implizit davon auszugehen, dass ein angemessenes Schutzniveau bei der Erhebung und Verwaltung von E-Mail-Adressen nur bei Einrichtung eines Double-Opt-In-Verfahrens gewährleistet werden kann. Auch wenn fraglich erscheint, ob diese Einschätzung verallgemeinert werden kann, sollten Unternehmen die Entscheidung zum Anlass nehmen, um ihre Registrierungsprozess kritisch zu hinterfragen.

Hintergrund: das Double-Opt-In-Verfahren

Bei der Erhebung von E-Mail-Adressen, wie z.B. der Anmeldung für einen Newsletter oder für ein Nutzerkonto, gelangt sehr häufig das Double-Opt-In-Verfahren zur Anwendung. Dabei wird dem Nutzer nach der Eingabe und Übermittlung seiner E-Mail-Adresse in einem nächsten Schritt zusätzlich eine Bestätigungsmail zugestellt, in welcher er aufgefordert wird, die Anmeldung zum Newsletter oder zum Benutzerkonto zu bestätigen (vgl. MLL-News vom 24.04.2017).

Aus rechtlicher Sicht wird das Double Opt-In-Verfahren primär im Zusammenhang mit der Zustellung von Werbe-Mails und der Einhaltung der Vorgaben des sog. Spam-Artikels im Lauterkeitsrecht (Art. 3 Abs. 1 lit. o UWG) thematisiert. Auch wenn das Verfahren gesetzlich nicht explizit verlangt wird, hat es sich in der Praxis des E-Mail-Marketings durchgesetzt, um damit den Nachweis der grundsätzlich erforderlichen Einwilligung erbringen zu können.

Bei der Diskussion um das Double-Opt-In wird oftmals vernachlässigt, dass dieses auch datenschutzrechtlich bedeutsam ist, wie der aktuelle Fall aus Österreich zeigt.

Registrierung für Dating-Plattform ohne Double-Opt-In

In diesem Fall (GZ: DSB-D130.073/0008-DSB/2019) beanstandete der Vater eines minderjährigen Beschwerdeführers, dass sein Sohn E-Mails mit Kontaktvorschlägen und Benachrichtigungen von einer Betreiberin von Online-Datingportalen erhalten habe. Die Nachrichten betrafen zwei Profile, die mit der E-Mail-Adresse des Beschwerdeführers eingerichtet wurden. Nach der Beweiswürdigung der österreichischen Datenschutzbehörde war allerdings glaubhaft, dass der Beschwerdeführer diese Profile nicht selbst erstellt hatte.

Das Weiteren ergab sich aus der Untersuchung Folgendes zum Registrierungsprozess auf den Portalen: Für die Registrierung war zunächst die Angabe des Geschlechts, eines Benutzernamens, eines Passworts sowie einer E-Mail-Adresse erforderlich. Zudem musste durch die Aktivierung des entsprechenden Kästchens das Einverständnis zu den AGB erklärt werden, worin Personen unter 18 Jahren von der Portalnutzung ausgeschlossen werden. Im Anschluss an die Registrierung wurde der Nutzer zwar per E-Mail aufgefordert, sein Profil durch Anklicken des Aktivierungslinks zu aktivieren. Allerdings konnten die Nutzer nach der Registrierung auch ohne Aktivierung des Profils, dieses – zumindest eingeschränkt – nutzen und erhielten bereits regelmässig Benachrichtigungen für Dating Angebote.

Mangelhafte technische und organisatorische Massnahmen

In ihrer Entscheidung vom 9. Oktober 2019 (D130.073/0008) hält die DSB – ohne nähere Differenzierung – einleitend fest, dass es sich bei E-Mail-Adressen um personenbezogene Daten im Sinne der EU-Datenschutzgrundverordnung (DSGVO) handelt. Die unrechtmässige Verwendung der E-Mail-Adresse kann nach Ansicht der DSB jedenfalls eine Verletzung von Art. 5, Art. 6 sowie Art. 32 DSGVO darstellen. In der Folge geht die DSB allerdings nur noch auf Art. 32 DSGVO ein, der die Anforderungen an die Datensicherheit festlegt. Verlangt sind danach hinreichende technische und organisatorische Massnahmen, um ein dem Risiko angemessenes Schutzniveau der Datenverarbeitung zu gewährleisten. Der Begriff meint nach Ansicht des DSB alle Massnahmen, die auf eine den Vorgaben der DSGVO entsprechende Verarbeitung zielen. Unter Berücksichtigung der in der DSGVO aufgeführten Elemente, könne diese Anforderung auf mehrere Arten gewährleistet werden. Als Massnahme komme beispielsweise die Implementierung eines Double-Opt-In-Verfahrens in Frage.

Da die Portal-Betreiberin eine (beschränkte) Nutzung des Portals bereits ohne Betätigung des Aktivierungslinks erlaubte und auch vor einer solche Bestätigung Mails mit Kontaktvorschlägen zustellte, gelangte somit im Ergebnis kein Double-Opt-Verfahren zur Anwendung. Dadurch sei es möglich gewesen, dass sich ein User nicht mit seiner eigenen E-Mail-Adresse, sondern mit der E-Mail-Adresse eines unbeteiligten Dritten auf den Onlinedating-Portalen der Beschwerdegegnerin registrieren konnte. Genau dies sei im vorliegenden Fall passiert.

Fazit und Anmerkungen

Vor diesem Hintergrund gelangt die DSG zum Schluss, dass die Portal-Betreiberin keine ausreichenden Datensicherheitsmassnahmen im Sinne von Art. 32 DSGVO eingesetzt hat und so die unrechtmässige Nutzung der E-Mail-Adresse des Beschwerdeführers ermöglich hat. Die DSB erläutert nicht näher, dass die DSGVO (nur) Massnahmen verlangt, die «ein dem Risiko angemessenes Schutzniveau» gewährleisten. Auch auf die einzelnen Faktoren die gemäss DSGVO bei der Beurteilung der Angemessenheit zu berücksichtigen sind, geht die Behörde nicht ein. Vielmehr scheint sie zumindest implizit davon auszugehen, dass ein angemessenes Schutzniveau bei der Erhebung und Verwaltung von E-Mail-Adressen stets nur bei Einrichtung des Double-Opt-In-Verfahrens gewährleistet werden kann.

Im vorliegenden Fall beanstandete die DSB, dass die Nutzung des Dating-Portals bereits möglich war, bevor die bei der Registrierung angegebene E-Mail-Adresse bestätigt wurde. Insofern wurde der Einsatz des Double-Opt-Ins also datenschutzrechtlich für Verarbeitungen erforderlich gehalten, die im Zusammenhang mit der Vertrags-Abwicklung oder der Erfüllung der Pflicht zur Bestätigung von «Bestellungen» standen, und nicht auf eine Einwilligung der Nutzer abzustützen sind. Ob sich dieser Standpunkt verallgemeinern lässt, bleibt abzuwarten. Da im vorliegenden Fall eine Registrierung auf einem Dating-Portal zur Debatte stand, dürfte von relativ sensitiven Daten auszugehen sein und erscheint der Entscheid im Ergebnis vertretbar. Solange keine gegenteiligen Entscheidungen ergehen, ist Unternehmen aber jedenfalls zu empfehlen, auch bei der Registrierung für Plattformen und Nutzerkonten Double-Opt-In- Verfahren zu implementieren. Die gleiche Empfehlung gilt – für den Nachweis von Einwilligungen – weiterhin auch für das E-Mail-Marketing.

Weitere Informationen:


Artikel teilen



meistgelesen


Highlights

MLL Legal

MLL Legal ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Legal

 

Newsletter

MLL-News 03/22 mit Beiträgen zum Digital Markets Act, Digital Services Act, PBV-Revision, Abmahnungen zu Google Fonts, Inbox-Adverting und vieles mehr.

Zugang MLL-News 03/22

Jetzt anmelden!

Unsere Geschichte

MLL Legal ist eine führende Schweizer Anwaltskanzlei, deren Geschichte bis ins Jahr 1885 zurückreicht. Die Kanzlei ist sowohl organisch als auch durch strategische Fusionen gewachsen, von denen die Jüngste am 1. Juli 2021 zwischen Meyerlustenberger Lachenal und FRORIEP vollzogen wurde.

Durch diesen Zusammenschluss hat sich MLL Legal zu einer der grössten Wirtschaftskanzleien der Schweiz mit über 150 Anwältinnen und Anwälten in vier Büros in der Schweiz entwickelt. Auch zwei Büros im Ausland, in London und Madrid, bieten Anlaufstellen vor Ort für Klientinnen und Klienten, die Beratung im Schweizer Wirtschaftsrecht suchen.

Die Kanzlei verfügt heutzutage über ein starkes internationales Profil und ein langjährig aufgebautes globales Netzwerk. MLL Legal vereint anerkannte Führungsqualitäten und Fachwissen in allen Bereichen des Schweizer und internationalen Wirtschaftsrechts.

Über uns

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen

Real Estate Legal Update

Hier gehts zum Real Estate Legal Update 01/24. Unser Real Estate Team hat wiederum Artikel in verschiedenen Gebieten verfasst, so dass hoffentlich für alle etwas Interessantes dabei ist. Wir wünschen viel Spass bei der Lektüre.

Registrieren Sie sich hier, um unser 2 x jährlich erscheinendes Real Estate Legal Update zu erhalten.

Unser Team

Unsere über 150 Anwältinnen und Anwälte unterstützen Sie dabei, den regulatorischen und technologischen Anforderungen im modernen globalen Wirtschaftsleben erfolgreich zu begegnen und ihre wirtschaftlichen Chancen zu nutzen.

Unser Team

Revision DSG

Auf unserer Themenseite rund um die Revision des Schweizerischen Datenschutzgesetzes finden Sie regelmässig aktualisierte und umfassende Informationen und Hilfsmittel. Es ist uns ein Anliegen, Sie bei der Implementierung der neuen Vorgaben zu unterstützen.

Revision DSG Themenseite

MLL Legal on Social Media

Folgen Sie uns auf LinkedIn.