Datenschutz in Österreich: Ein von einem Portal eingesetztes Single-Opt-In-Verfahren genügt nicht den Anforderungen des Art. 5 Abs: 1 lit. f) sowie Art. 32 DSGVO.
Nach einem Bescheid vom 9. Oktober 2019 – Az.: DSB-D130.073/0008-DSB/2019 der österreichischen Datenschutzbehörde stellt die Online-Anmeldung eines Nutzers unter Verwendung eines Single-Opt-In-Verfahrens keine geeignete technische und organisatorische Maßnahme zum Schutz personenbezogener Daten dar. Vielmehr sei dies eine unrechtmäßige Verarbeitung der E-Mail-Adresse des Inhabers der Adresse.
Beschwerde des Betroffenen als Anstoß für das Verfahren
Der Entscheidung lag die Beschwerde eines Minderjährigen vertreten durch seine Sorgeberechtigten zugrunde, der bemängelte, dass seine E-Mail-Adresse ohne seine Kenntnis auf den zwei Onlinedating-Portalen der Beschwerdegegnerin verwendet worden war. Der Beschwerdeführer warf der Portalbetreiberin vor, die eingegebene E-Mail-Adresse und damit den dahinterstehenden Nutzer nicht ausreichend verifiziert zu haben.
Die Portalbetreiberin verlangte für die Registrierung die Eingabe eines Namens sowie der E-Mail-Adresse und eines Passworts. Nach der Registrierung konnte der Nutzer das Portal sofort in eingeschränktem Umfang nutzen, ohne dass die E-Mail über ein sogenanntes Double-Opt-In-Verfahren verifiziert worden war.
Double-Opt-In normalerweise bei Newslettern
Typischerweise wird der Begriff des Double-Opt-In-Verfahrens im Zusammenhang mit der Anmeldung zu einem Newsletter gebraucht. Für die Versendung des Newsletters per E-Mail ist nämlich nach den Wertungen des UWG die Einwilligung des Nutzers notwendig.
Um die Einwilligung zu dokumentieren, wird die E-Mail-Adresse über das sogenannte Double-Opt-In-Verfahren bestätigt. Hierzu wird eine Checkmail an die genannte Adresse gesendet, die einen Link enthält, der vom Nutzer angeklickt werden muss. Erst nachdem der Nutzer auf diese Weise seinen Zugang zu der E-Mail bestätigt hat, darf der Newsletter tatsächlich versendet werden.
Gesetzlich vorgeschrieben ist dieses Verfahren nicht, allerdings ist es wohl inzwischen von der Rechtsprechung anerkannt (u. a. beispielsweise BGH Urteil vom 10. Februar 2011). Die einfache Eingabe der E-Mail (wie der Portalbetreiber vorsah) genügt dem nicht, sondern stellte lediglich ein sogenanntes Single-Opt-In-Verfahren dar.
Überprüfung von Eingabedaten auch datenschutzrechtlich notwendig
Die österreichische Datenschutzbehörde hatte in ihrem Bescheid nicht die fehlende Dokumentation bemängelt (Art. 5 Abs. 2 DSGVO), sondern einen Verstoß gegen Art. 5 Abs. 1 lit. f) und Art. 32 DSGVO angenommen. Das Single-Opt-In-Verfahren stelle keine ausreichende technische und organisatorische Maßnahme zum Schutz der Daten dar. Es könne zur Verwendung einer E-Mail-Adresse kommen, die nicht dem Nutzer gehöre. Der unbeteiligte Inhaber der E-Mail-Adresse würde sofort Kontaktvorschläge des Onlinedating-Portals erhalten, ohne hierin jemals eingewilligt zu haben. Die E-Mail-Adresse des Minderjährigen sei deshalb unrechtmäßig verarbeitet worden. Insoweit stellte die Behörde nicht darauf ab, ob eine (ausreichende) Einwilligung vorlag, sondern sah den Verstoß bereits darin, dass die E-Mail-Adresse nicht genügend überprüft worden war.
Ähnliche Entscheidungen zu Authentifizierungsmaßnamen in Deutschland
Auch in Deutschland gab es bereits eine ähnliche Entscheidung, die die unzureichende Verifizierung der Nutzer bemängelte. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hatte im Dezember 2019 gegen einen Telekommunikationsanbieter ein Bußgeld von 9,55 Millionen Euro verhängt. Inzwischen hat dieser Klage gegen den Bescheid erhoben.
Der Bundesbeauftragte sah durch das von dem Anbieter durchgeführte Authentifizierungsverfahren zur Anmeldung und Abfrage von Vertragsdaten beim Kundenservice die Sicherheit der hinterlegten Daten als gefährdet an. Konkret heißt es in der Pressemitteilung:
… der BfDI [hat] Kenntnis erlangt, dass Anrufer bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten. In diesem Authentifizierungsverfahren sieht der BfDI einen Verstoß gegen Artikel 32 DSGVO, nach dem das Unternehmen verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen.
Der Schutz der personenbezogenen Daten durch geeignete technische und organisatorische Maßnahmen ist daher nicht allein bei der Speicherung bzw. Aufbewahrung von Daten anzuwenden, sondern greift ebenso bei der Erteilung von Auskünften bzw. der Beantwortung von Anfragen der Vertragspartner.
Welche Maßnahmen vom Bundesbeauftragten zur Behebung vorgeschlagen wurden, geht aus den Pressemitteilungen nicht hervor. Jedenfalls sei ein deutlich verbessertes Authentifizierungsverfahren eingeführt worden.
TOM zur Datenverifizierung einrichten
In Ansehung der Entscheidungen sollte man überprüfen, ob die eigene Handhabung von Auskünften bzw. Registrierung den Anforderungen der DSGVO genügen. Nicht nur vor der Herausgabe, sondern auch vor der Verwendung personenbezogener Daten sollte die Echtheit der Daten und vor allem deren Zugehörigkeit zu der angegebenen Person ausreichend überprüft werden.
Insbesondere Branchen, in denen sensible Daten verarbeitet werden, sollten ihre Maßnahmen entsprechend dem Risiko, welches bei einer Verletzung des Schutzes der Daten droht, anpassen. Erhöhte Verpflichtungen bzw. besondere Maßnahmen sollten daher von Banken und Versicherungen sowie von solchen Unternehmen getroffen werden, die Daten besonderer Kategorien, insbesondere Gesundheitsdaten verarbeiten.
Bei Interesse an weiteren Bußgeld-Entscheidungen der europäischen Datenschutzbehörden können diese über den CMS GDPR Enforcement Tracker gefunden werden.