IT-Recht Kanzlei
Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de

Österreichische Datenschutzbehörde: Single Opt-In-Verfahren stellt DSGVO-Verstoß dar!

09.03.2020, 14:02 Uhr | Lesezeit: 4 min
Österreichische Datenschutzbehörde: Single Opt-In-Verfahren stellt DSGVO-Verstoß dar!

Was viele Händler bereits schon wussten und entsprechend umgesetzt wurde, hat die Österreichische Datenschutzbehörde nun auch von einem anderen Blickwinkel beurteilt: Die Anwendung des Double Opt-In-Verfahrens ist vor allem im Hinblick auf die DSGVO unerlässlich, um nicht Ziel von teuren Abmahnungen und Bußgeldverfahren zu werden. Die Österreichische Datenschutzbehörde hat nun klargestellt, dass auch im Hinblick auf Art. 32 DSGVO (u.a. „technische und organisatorische Maßnahmen“) das Double Opt-In-Verfahren Pflicht ist.

Was ist geschehen?

Ein Minderjähriger bekam an seine E-Mail-Adresse laufend Dating- bzw. Sex-Angebote zugeschickt, obwohl er sich bei den entsprechenden Onlinedating-Portalen nie registriert hatte. Es stellte sich heraus, dass eine unbekannte Person die beiden Profile auf den von dem Beschwerdegegner betriebenen Onlinedating-Portalen angelegt hatte. Der Beschwerdegegner (Onlinedating-Portal) gab zwar an, dass nach erfolgter Registrierung der User an die angegebene E-Mail-Adresse eine Nachricht bekomme, in der er aufgefordert werde, sein Profil zu aktivieren bzw. seine E-Mail-Adresse zu bestätigen.

Der User könne sich jedoch auch ohne Aktivierung seines Profils bzw. Bestätigung seiner E-Mail-Adresse schon in sein Profil einloggen, er würde allerdings wieder aufgefordert werden, seine E-Mail-Adresse zu bestätigen. Nun war es aber so, dass trotz fehlender Profil-Aktivierung über das Double Opt-In-Verfahren dem minderjährigen Beschwerdeführer unaufgefordert „unangemessene“ Kontaktanfragen zugesendet wurden. Darin sah dieser (der Minderjährige, vertreten durch seinen gesetzlichen Vertreter) einen Verstoß gegen die DSGVO und brachte das Verfahren vor der Österreichischen Datenschutzbehörde ins Rollen.

Der Gegenstand der Beschwerde war unter anderem die Frage, ob die Beschwerdegegner den Beschwerdeführer dadurch im Recht auf Geheimhaltung verletzt hat, indem er es mangels geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO ermöglicht hat, dass mit der E-Mail-Adresse des Minderjährigen, aber ohne dessen Kenntnis, entsprechende Profile auf den Onlinedating-Plattformen erstellt wurden und dem Beschwerdeführer in Folge regelmäßig „Kontaktvorschläge“ und Benachrichtigungen zugeschickt worden sind.

1

Single Opt-In-Verfahren ist DSGVO-Verstoß!

Die Österreichische Datenschutzbehörde hat mit Bescheid (Bescheid v. 09.10.2019, Az. DSB-D130.073/0008-DSB/2019) entschieden, dass die Nutzung eines Single Opt-In-Verfahrens zur Verifizierung der E-Mail-Adressen gegen Art. 32 DSGVO verstößt und somit eine Datenschutzverletzung darstellt. Der Beschwerdeführer stützte sich auf eine Verletzung u. a. des Art. 32 DSGVO.

Wie aus Art. 32 DSGVO ersichtlich sei, bestehe eine Verpflichtung des Verantwortlichen bzw. des Auftragsverarbeiters zur Sicherheit der Verarbeitung personenbezogener Daten. Der Art. 32 DSGVO richte seinen inhaltlichen Normgehalt auf „technische und organisatorische Maßnahmen“ aus. Davon erfasst seien alle Maßnahmen, die auf eine den Vorgaben der DSGVO entsprechende Verarbeitung zielten.

Eine solche Datenschutzsicherheitsmaßnahme sei die Implementierung eines Double-Opt-In-Verfahrens zur rechtskonformen Erlangung einer Einwilligung. Im Ergebnis stellte die Behörde fest, dass der Beschwerdegegner kein Double-Opt-In-Verfahren verwendet hat und somit den Anforderungen des Art. 32 DSGVO nicht genügte.

Single Opt-In vs. Double Opt-In

Nicht nur hinsichtlich Art. 32 DSGVO ist das Single Opt-In-Verfahren problematisch. Beim Single Opt-In-Verfahren wird die Einwilligung lediglich durch das Eintragen der Daten und E-Mail-Adresse auf der entsprechenden Webseite eingeholt. Problematisch ist hier, dass nicht sichergestellt werden kann, dass die Eintragung tatsächlich vom Inhaber der eingetragenen E-Mail-Adresse stammt. Wie der obige Fall zeigt, ist es somit Dritten möglich, eine fremde E-Mail-Adresse einzugeben und somit mindestens für Belästigungen des Betroffenen zu sorgen.

Der einzig rechtssichere Weg ist das sog. Double Opt-In-Verfahren, zu dessen Verwendung wir immer wieder raten. Beim Double Opt-In-Verfahren erhält der Nutzer nach der Registrierung mit seiner E-Mail-Adresse eine erste E-Mail mit der Aufforderung, einen Link zur Bestätigung anzuklicken. Wird dem Folge geleistet, wird die Einwilligung in die Datenverarbeitung eingeholt bzw. sichergestellt, dass kein Missbrauch durch Dritte (eintragen fremder E-Mail-Adressen) stattfindet. Denn wenn nicht auf diese erste E-Mail reagiert wird, gilt die Einwilligung als nicht erteilt.

Fazit

Nicht nur nach dieser Entscheidung steht fest, dass Einwilligungen zum Erhalt von Newslettern im Wege des Double Opt-In-Verfahrens eingeholt werden müssen, um den Datenschutzvorschriften zu entsprechen. Durch das Double Opt-In-Verfahren wird sichergestellt, dass es sich bei der auf die E-Mail reagierenden Person (mit hoher Wahrscheinlichkeit) um dieselbe Person handelt, welche in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

Auch im Hinblick auf die Vornahme „geeigneter technischer und organisatorischer Maßnahmen“ gemäß Art. 32 DSGVO ist das Double Opt-In-Verfahren unerlässlich, wie der Bescheid der Österreichischen Datenschutzbehörde zeigt.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.


Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

weitere News

OVG Niedersachsen: Pauschale Abfrage des Geburtsdatums in Online-Shops unzulässig
(28.03.2024, 12:24 Uhr)
OVG Niedersachsen: Pauschale Abfrage des Geburtsdatums in Online-Shops unzulässig
FAQ: Schadensersatzpflicht von Händlern bei Datenschutzverstößen
(15.03.2024, 08:17 Uhr)
FAQ: Schadensersatzpflicht von Händlern bei Datenschutzverstößen
EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
(16.02.2024, 10:48 Uhr)
EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
(05.01.2024, 13:23 Uhr)
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
EuGH: Keine Spürbarkeitsschwelle für immateriellen Schadensersatz nach DSGVO
(02.01.2024, 09:42 Uhr)
EuGH: Keine Spürbarkeitsschwelle für immateriellen Schadensersatz nach DSGVO
Hamburger Datenschutzbeauftragter: Gemeinsame Verantwortlichkeit nach DSGVO bei geteilter Kundendatenbank im Unternehmensverbund
(04.12.2023, 08:13 Uhr)
Hamburger Datenschutzbeauftragter: Gemeinsame Verantwortlichkeit nach DSGVO bei geteilter Kundendatenbank im Unternehmensverbund
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!

Kontakt:

IT-Recht Kanzlei

Alter Messeplatz 2
80339 München

Tel.: +49 (0)89 / 130 1433 - 0
Fax: +49 (0)89 / 130 1433 - 60

E-Mail: info@it-recht-kanzlei.de

© 2004-2024 · IT-Recht Kanzlei