Fehlendes Double-Opt-In ist DSGVO-Verstoß

In Österreich hat die Datenschutzbehörde den Verstoß eines Unternehmens gegen die Datenschutz-Grundverordnung festgestellt: Ein Minderjähriger hatte sich bei der Behörde über ein Unternehmen beschwert, das mehrere Dating-Portale betreibt. Auf dessen E-Mail-Adresse wurden dort zwei Profile eingerichtet, allerdings nicht durch den 12-Jährigen selbst. 

Üblicherweise funktioniert der Missbrauch fremder E-Mail-Adressen nicht lang, da der Betroffene eine E-Mail erhält, in der sich ein Bestätigungslink befindet. Erst wenn es zu dieser Bestätigung kommt, sind Registrierungen erfolgreich durchgeführt, so zumindest in der Regel. Dieses Verfahren nennt sich Double-Opt-In. Hier allerdings fehlte dieses Verfahren. Der Minderjährige erhielt nach den Angaben seines gesetzlichen Vertreters deswegen ohne jegliches Zutun „Dating- und Sex-Angebote“ per E-Mail, die zudem nicht ohne weiteres abbestellt werden konnten. 

E-Mail-Werbung ohne Double-Opt-In

Tatsächlich war das Double-Opt-In-Verfahren in Grundzügen sogar implementiert, wie sich aus dem Bescheid ergibt. Bei der Registrierung musste das Geschlecht, der gewünschte Nutzername, Passwort und E-Mail-Adresse angegeben werden. Auch Alter und Wohnort mussten bestätigt werden, im Anschluss erfolgte dann der Versand einer Bestätigungs-E-Mail. Das Portal war dabei allerdings auch ohne eine entsprechende Bestätigung der Registrierung eingeschränkt nutzbar. Darüber hinaus erfolgten fortlaufend Benachrichtigungen an die angegebene E-Mail-Adresse des Kindes, die nach Feststellung der Datenschützer auch Kontaktvorschläge umfassten. Wie die Behörde mitteilt, gab es auch von anderen Betroffenen Meldungen über den Erhalt von E-Mails des Betreibers, ohne dass diese dort ein Kundenkonto angelegt hatten. 

Die österreichische Datenschutzbehörde sieht hierin nun insbesondere einen Verstoß gegen Art. 32 DSGVO. Verantwortliche und Auftragsverarbeiter sind demnach verpflichtet, die Sicherheit der Datenverarbeitung sicherzustellen und dafür sogenannte technische und organisatorische Maßnahmen zu treffen. Das aus zwei Schritten bestehende Double-Opt-In-Verfahren, bei dem zunächst eine Registrierung durchgeführt wird, und dann mit der Bestätigung via E-Mail die Zugehörigkeit der Adresse verifiziert wird, sei demnach eine dieser Maßnahmen. 

Einfalltor für unrechtmäßige Datenverarbeitung

Da hier zwar eine E-Mail durch den Betreiber mit einem Aktivierungslink verschickt wurde, dieser aber die Bestätigung nicht abwartete, lag nach Auffassung kein Double-Opt-In-Verfahren vor. „Somit ist es – wie im vorliegenden Fall – möglich, dass sich ein User nicht mit seiner eigenen E-Mail-Adresse, sondern mit der E-Mail-Adresse eines unbeteiligten Dritten auf den Onlinedating-Portalen der Beschwerdegegnerin registrieren kann“, stellen die Datenschützer fest. Im Ergebnis kam es damit zu einer ungerechtfertigten Datenverarbeitung im Hinblick auf die unrechtmäßig verwendete E-Mail-Adresse, und gleichzeitig zu einem Verstoß gegen das Grundrecht des Minderjährigen auf Geheimhaltung nach den österreichischen Vorschriften. 

Auf den Betreiber kann nun noch eine Schadensersatzforderung zukommen. Das Double-Opt-In hat sich in der digitalen Gesellschaft bereits als Standardlösung etabliert und ist auf fast jeder Website etwa für die Anmeldung von Newslettern und Registrierung von Kundenkonten vorgesehen. Dies ist nicht nur aus Datenschutzgründen wichtig: Das Gesetz gegen den unlauteren Wettbewerb sieht vor, dass für die Werbung mittels elektronischer Post, also per E-Mail, die Einwilligung des Adressaten nötig ist. Diese Einwilligung sollte der Werbende im Streitfall natürlich auch rechtssicher nachweisen können – wofür das Double-Opt-In und eine entsprechende vollständige Dokumentation der Einwilligung bzw. ihrer Erklärung die nötigen Voraussetzungen mitbringen.

Exkurs: Bestätigungs-E-Mail als Werbung?

In diesem Kontext kommt hin und wieder die Frage auf, wie es um die E-Mail steht, mit welcher der Aktivierungscode versendet wird. Würde diese bereits als Werbung gelten, müsste hierfür konsequenter Weise auch eine Einwilligung seitens des Empfängers vorliegen. Allerdings ist diese Bestätigungs-E-Mail praktisch betrachtet gerade Teil des Einwilligungsprozesses. 

Tatsächlich urteilte das Oberlandesgericht München im Jahr 2012, dass auch die E-Mail, mit der zur Bestätigung einer Bestellung im Double-Opt-In-Verfahren aufgefordert wird, als Werbung unter die Regelung des UWG fallen soll (Urteil v. 27.09.2012, Aktenzeichen 29 U 1682/12). Werbung im umgangssprachlichen Sinne, also etwa eine Anzeige, fand sich in der entsprechenden E-Mail dabei nicht. Verantwortliche, die rechtssicher eine Einwilligung einholen wollen, stünden damit vor einem erheblichen Problem und müssten sich ggf. auf völlig unverhältnismäßige Maßnahmen wie die Klärung per Telefon o.ä. einlassen, die dann jedoch auch nicht zwingend das gleiche Maß an Rechtssicherheit mit sich brächten. Würde man dem Gericht folgen, könnte die Bestätigungs-E-Mail sonst rechtliche Konsequenzen wie eine Abmahnung auslösen.

Überzeugender Weise hat sich diese Rechtsauffassung in weiteren Entscheidungen nicht bewährt. „Die Übersendung einer solchen Aufforderung zur Bestätigung stellt ihrerseits keine unerbetene Werbung dar, weil es im Interesse des Empfängers nur um die Klärung geht, ob er in Werbung eingewilligt hat und nicht um die Erlangung der Einwilligung“, heißt es etwa in einem Urteil des OLG Düsseldorf aus 2016 (Urteil v. 17.03.2016, Aktenzeichen I-15 U 64/15). Auch das OLG Celle hält das Double-Opt-In-Verfahren für eine zumutbare und adäquate Lösung, um Einwilligungen für den Erhalt von Werbung per E-Mail einzuholen (Urteil v. 15.05.2014, Aktenzeichen 13 U 15/14). Dennoch sollte darauf geachtet werden, entsprechende Bestätigungs-E-Mails frei von werblichen Inhalten zu halten.