Mit der Entscheidung vom 9.10.2019 (DSB D130.073/0008-DSB/2019) hat die DSB über die Erforderlichkeit des Double-Opt-In-Verfahrens bei Anmeldung auf Online-Portalen entschieden. Die Entscheidung ist sehr spannend, war diese Methode – bei der der Kunde eine Registrierung zu einem Newsletter oder Mailingversand mit einer eigens an die angegebene E-Mailadresse versandten Aktivierungslink bestätigen muss – in Österreich bislang nicht ausdrücklich gefordert. In Deutschland dagegen ist diese Art der Missbrauchsbekämpfung gegen Scherzanmeldungen bereits seit Jahren geforderter Marktstandard. Die Entscheidung erging allerdings in einem sehr speziellen Zusammenhang und ist mit einer älteren VwGH Entscheidung problematisch:
Key Facts:
- Bei Registrierung auf einer Kontaktplattform muss der Verantwortliche sicherstellen, dass die angegebene E-Mail-Adresse zur Account-Erstellung nicht unberechtigt (zB von Dritten) verwendet wurde;
- Dazu muss er angemessene technische und organisatorische Maßnahmen iSd Art 32 DSGVO ergreifen;
- Die Implementierung des Double-Opt-In-Verfahrens stellt für die Integritätsprüfung bei Registrierung sowie für die Verhinderung von Spam-Mails aufgrund von Scherzanmeldungen eine geeignete Datenschutzsicherheitsmaßnahme dar;
- Das Fehlen von Datenschutzsicherheitsmaßnahmen verletzt das Grundrecht auf Geheimhaltung.
Hintergrund der Entscheidung:
Der Verantwortliche betreibt Kontakt-Portale. Aus den registrierten E-Mailadressen und geschwärzten Namen ist zu schließen, dass es sich dabei um recht einschlägige Plattformen handelt.
Zur Registrierung ist die Angabe des Geschlechts, Benutzernamens, Passworts und einer E-Mailadresse erforderlich. Bereits mit der Account-Erstellung ist eine eingeschränkte Nutzung der Services möglich und wurden Kontaktvorschläge an die E-Mail-Adresse versendet. Eine vorherige Bestätigung der Registrierung per Aktivierungslink über die angegebene E-Mailadresse war hierfür nicht notwendig.
Im konkreten Fall hat ein Dritter für den minderjährigen Beschwerdeführer ohne dessen Kenntnis Profile angelegt und seine E-Mailadresse zur Kontaktaufnahme hinterlegt. Er erhielt daher ohne seine Einwilligung elektronische Benachrichtigungen der Portale.
Der Beschwerdeführer brachte vor, dass dies rechtswidrig sei, da auf der Plattform keine geeigneten technischen und organisatorischen Maßnahmen ("TOM") gemäß Art 32 DSGVO implementiert wurden. Dadurch wurde er in seinem Recht auf Geheimhaltung verletzt.
Entscheidungsgründe:
Die DSB gab dem Beschwerdeführer Recht: Nach Art 32 DSGVO sind Verantwortliche durch Setzung von TOMs zur Sicherstellung der Datensicherheit verpflichtet. Eine solche Maßnahme stelle zB auch die Implementierung eines Double-Opt-In-Verfahrens dar.
Da keine zusätzliche verpflichtende Bestätigung per Aktivierungslink bei Registrierung erforderlich war – und somit im Ergebnis kein Double-Opt-In verwendet wurde – war eine unberechtigte Verwendung von E-Mail-Adressen Dritter erst überhaupt möglich. Das sei eine Verletzung des Art 32 DSGVO und § 1 Abs 1 DSG.
Fazit und Auswirkungen auf die Praxis
Die Entscheidung der DSB ist im konkreten Anlassfall nachvollziehbar. Schließlich besteht gerade beim Angebot von Kontakt-Services eine erhöhte Gefahr von missbräuchlichen Anmeldungen mit Daten unbeteiligter Dritter. Erschwerend kommt die Thematik der potentiellen Versendung von sexuell bedenklichen Inhalten an Minderjährige hinzu. Angesichts der potentiellen Risiken für Betroffene ist in diesem speziellen Fall die Implementierung eines Double-Opt-In-Verfahrens nach Art 32 DSGVO als risikominimierende Maßnahme angemessen.
Die konkrete Entscheidung ist aber nicht generell verallgemeinerbar. Die Umsetzung eines Double-Opt-In-Verfahrens für sämtliche Online-Anmeldeprozesse ist gesetzlich nicht zwingend erforderlich: Einerseits ist bei der Prüfung der Angemessenheit nach Art 32 DSGVO stets auf ein fallspezifisches Risiko abzustellen. Dementsprechend sind naturgemäß bei potentiell größeren Risiken für die Betroffenen stärkere Sicherheitsmaßnahmen erforderlich. Andererseits würde eine zu weite Implementierung von Double-Opt-In-Verfahren auch dem von der DSB sogar ausdrücklich zitierten Erkenntnis des VwGH vom 26.6.2013 (VwGH 2012/03/0089) widersprechen (DORDA hat in diesem Verfahren vertreten): In dem damaligen Sachverhalt hatte ein Anbieter zur Vermeidung von Spaßanmeldungen ein Double-Opt-In-Verfahren implementiert. Die Fernmeldebehörden sahen dies aber wegen der damit bei Scherzanmeldungen ebenso ausgelösten Kontaktaufnahmen als kritisch an. Der VwGH hat schließlich erkannt, dass auch eine zur Bestätigung auffordernde Double-Opt-In-Mail als Direktwerbung iSd § 107 TKG qualifiziert werden kann. Folglich kann eine unaufgeforderte E-Mail zur Vermeidung von unseriösen Anmeldungen je nach (werblicher) Ausgestaltung also gegen das Spamverbot verstoßen.
Die scheinbare Divergenz zwischen den beiden Entscheidungen lässt sich in der Praxis durch eine neutrale Ausgestaltung des Aktivierungslinks minimieren. Es bleibt aber ein Spannungsbereich, da die Nachricht mit Aktivierungslink zumindest sachlich erklären muss, wofür die Registrierung erfolgen soll. In jedem Fall bleibt auch das Grunddilemma, dass sowohl unerbetene inhaltliche Nachrichten bei Ermöglichung eines Direkteintrages, aber auch eine Vielzahl an Double-Opt-In-Nachrichten die Privatsphäre der User beeinträchtigen.
Im Ergebnis sollten Unternehmen in der Praxis die Risikogeneigtheit ihrer Anmeldefunktionen überprüfen und auf der Basis evaluieren, ob ein Double-Opt-In-Verfahren erforderlich ist oder aber andere Datensicherungsmaßnahmen ausreichend sind. Fällt die Entscheidung auf die doppelte Bestätigung ist auch auf die konkrete Ausgestaltung des Identifizierungsmail zu achten, um den Vorwurf des werblichen Charakters und somit von Spam zu vermeiden. Damit käme der Anbieter nämlich vom datenschutzrechtlichen Regen in die Spam-Traufe.