Jeder, der sich schon einmal für einen Newsletter angemeldet hat, kennt das Double-Opt-In-Verfahren. Das Fehlen eines solchen hält die österreichische Aufsichtsbehörde nun für einen Datenschutzverstoß gegen die Sicherheit der Verarbeitung. Was es damit auf sich hat, klärt dieser Artikel.
Der Inhalt im Überblick
Double-Opt-In ist Pflicht bei E-Mail-Newsletter
In der Praxis hat sich die Nutzung des Double-Opt-In-Verfahrens bei der Anmeldung zu E-Mail-Newslettern durchgesetzt. Rechtlicher Hintergrund für das Double-Opt-In sind jedoch keine datenschutzrechtlichen, sondern wettbewerbsrechtliche Anforderungen. Das UWG bestimmt, dass eine geschäftliche Handlung, durch die ein Marktteilnehmer in unzumutbarer Weise belästigt wird, unzulässig ist. Eine unzumutbare Belästigung ist stets anzunehmen
„bei Werbung unter Verwendung einer automatischen Anrufmaschine, eines Faxgerätes oder elektronischer Post, ohne dass eine vorherige ausdrückliche Einwilligung des Adressaten vorliegt.“
Diese Regelung ist sinnvoll und schützt uns alle vor zu viel Werbung. Da E-Mails kostenfrei sind, können sie als Vehikel für das unbegrenzte Versenden von Werbung missbraucht werden und E-Mail-Nutzern Zeit und Nerven rauben. Unternehmen können messbare Vermögenseinbußen erleiden, wenn ein Teil der Arbeitszeit ihrer Mitarbeiter mit dem Löschen von Werbespam verbrannt wird.
Diese Gefahr hat der europäische Gesetzgeber gesehen und daher europaweit enge Grenzen für Werbung per E-Mail gesetzt. Grundsätzlich gilt: Werbung per E-Mail bedarf grundsätzlich einer vorherigen Einwilligung. Ausnahmen gibt es lediglich für Bestandskunden unter den engen Voraussetzungen von § 7 Abs.3 UWG, die hier jedoch nicht Gegenstand sein sollen.
E-Mail für dich
Was passiert jedoch, wenn man nun eine fremde E-Mail-Adresse bei der Newsletter-Anmeldung eingibt? Hier bekäme jemand völlig Unbeteiligtes Werbemüll, ohne je dazu eingewilligt zu haben. Um dieses Problem zu lösen, wurde das sog. „Double-Opt-In“ erfunden. Zunächst wird die E-Mail, die beworben werden soll, bei der Anmeldung zum Newsletter angegeben („Opt-In“). Dann bekommt die angegebene Adresse eine Bestätigungsmail, die nur vom tatsächlichen Inhaber dieser E-Mail-Adresse aufgerufen werden kann. Wird die Bestätigung erteilt („Double Opt In“), erhält die betreffende E-Mail zukünftig (Werbe-)Nachrichten.
Wie streng die Sache mit den Werbeeinwilligungen gehandhabt wird, sieht man an einem viel kritisierten (Fehl-)Urteil des Münchener OLG. Dieses hatte sich vor längerer Zeit dazu hinreißen lassen, sogar die Bestätigungs-E-Mail im Rahmen des Double-Opt-In Verfahrens als unzumutbare Belästigung zu bewerten.
Von dieser drakonischen Bewertung haben die Gerichte mittlerweile Abstand genommen (siehe etwa Urteil des OLG Düsseldorf oder des OLG Celle). Es gilt mittlerweile als gesetzt, dass die Übersendung einer Bestätigungsaufforderung keine unerbetene Werbung darstellt. Denn es geht im Interesse des Empfängers nur um die Klärung, ob er in Werbung eingewilligt hat und nicht um das Erlangen der Einwilligung.
Die DSGVO hat überall ein Wörtchen mitzusprechen
Wie beim Kollegen Dr. Carlo Piltz in seinem Blog nachzulesen ist, war nach Ansicht einer österreichischen Aufsichtsbehörde damit jedoch nicht alles zum Thema gesagt. Was war passiert?
Die E-Mail-Adresse eines Betroffenen wurde ohne dessen Zutun zur Erstellung von zwei Profilen auf einer Onlinedating-Plattform verwendet. Für die Nutzung der Onlinedating-Portale musste der User die E-Mail-Adresse, die er bei Registrierung angegeben hat, nicht noch einmal durch Anklicken eines „Aktivierungslinks“ bestätigen. Auch der Plattformbetreiber wartete mit der Zusendung von Werbenachrichten nicht bis der Aktivierungslink bestätigt wurde, sondern fing sofort an, dem Betroffenen an die bei der Registrierung angegebene E-Mail-Adresse fortlaufend Benachrichtigungen zu schicken (z.B. Partnervorschläge).
Nach Ansicht der Aufsichtsbehörde war es dadurch, dass die Onlinedating-Portale keine ausreichenden, Art. 32 DSGVO entsprechenden Datensicherheitsmaßnahmen gesetzt hat, möglich, dass personenbezogene Daten der Person, die sich schließlich gegenüber der Aufsichtsbehörde beschwerte, unrechtmäßig verarbeitet wurden, was den Betroffenen in seinem Grundrecht auf Geheimhaltung nach § 1 Abs. 1 DSG verletzte.
Technisch und organisatorische Maßnahme nach Stand der Technik?
Das Double-Opt-In Verfahren wurde bisher nicht unter dem Licht einer „technischen und organisatorischen Maßnahme“ gem. Art. 32 DSGVO betrachtet. Die von der Aufsichtsbehörde getroffenen Erwägungen sind jedoch schwer von der Hand zu weisen.
Die Aufsichtsbehörde geht im Grundsatz davon aus, dass Art. 32 DSGVO alle Maßnahmen meint, die auf eine den Vorgaben der DSGVO entsprechende Verarbeitung zielt (unter Zitierung von Martini in Paal/Pauly, Datenschutz-Grundverordnung 2017, Art. 32 Rn 28). Bei der E-Mail-Adresse des Betroffenen handelt es sich zweifelsfrei um ein personenbezogenes Datum im Sinne der DSGVO.
Die Onlinedating-Plattform hatte vorliegend keinerlei Anstrengungen unternommen, um einen evident möglichen Missbrauch, durch absichtliche Falscheingabe fremder E-Mail-Adressen, zu verhindern. Dieses Versäumnis führte dazu, dass personenbezogenen Daten von Unbeteiligten (in Form ihrer E-Mail-Adresse) ohne Rechtsgrundlage verarbeitet wurden; diesen durch Mangel an Vorkehrungen geschaffenen Umstand hat sich das Dating Portal auch zunutze gemacht, in dem die eingegebenen E-Mail-Adressen mit Kontaktvorschlägen und ähnlichem Inhalt beworben wurden. Hier hätte mit der Umsetzung eines Double-Opt-In-Verfahrens zur Sicherstellung der Berechtigung eine rechtswidrige Datenverarbeitung verhindert werden können.
Des Pudels Kern ist die Frage, ob tatsächlich ein „Versäumnis“ durch Nicht-Implementierung des Double-Opt-In-Verfahrens vorlag. Dies ist dann anzunehmen, wenn eine Pflicht zum Handeln bestanden hatte. Zur Bewertung dieser Frage ist unter anderem der Stand der Technik zu berücksichtigen. Vorliegend dürfte der Einsatz eines Double-Opt-In-Verfahrens dem Stand der Technik entsprechen, um die Berechtigung hinsichtlich einer bei der Anmeldung angegebenen E-Mail-Adresse zu überprüfen. Hierauf ging die Behörde leider nicht näher ein.
Double-Opt-In-Verfahren im Einzelfall verpflichtend
Im Ergebnis zeigt sich, dass das Double-Opt-In-Verfahren im Einzelfall mit guten Argumenten als eine verpflichtende Datensicherheitsmaßahme zur Gewährleistung einer datenschutzkonformen Datenverarbeitung im Sinne des Art. 32 DSGVO bewertet werden kann.
Vielleicht wird ja eines Tages das Kapitel „3.3. Double-Opt-In-Verfahren für elektronische Einwilligungen“ in einer revidierten Ausgabe der Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung (DS-GVO) um die Ansicht der österreichischen Aufsichtsbehörde ergänzt.
Sehr gut – vielen Dank für die Klarstellung. Hoffentlich verschwinden dann jetzt endlich diese unsäglichen Opt-In-Ankreuzfelder „Hiermit willige ich in die Datenschutzerklärung ein.“ bei den Newsletter-Anmeldungen.
Vielen Dank für den interessanten Beitrag.
Jeder Schachverhalt ist nur ein spezieller Einzelfall und sollte niemals zum Ergebnis der Gesamtheit declariert werden !
Interessante Aussage einer Datenschutzaufsichtsbehörde: double-opt-in ist seit dem Payback-Urteil von 2008 verpflichtend. Hatte ich so noch nicht verstanden…
Ich verstehe nicht, warum immer nur Einzelfallentscheidungen herangezogen werden. Wie man sieht, sind ja nicht mal OLG Urteile allgemeingültig. Aktuell wird ja wegen der Google Fonts auch so ein Wind gemacht, wegen eines einzigen Landgerichtsurteils. Die Entscheidungen österreichischer Aufsichtsbehörden sind gleich doppelt irrelevant für Deutschland.
Ein Urteil kann nie allgemeingültig sein, da es einen Streit zwischen zwei Parteien rechtsverbindlich klärt. Die dabei von den Richtern angestellten Überlegungen können aber auf ähnliche Fälle übertragen werden und werden deshalb oft von anderen Richtern oder den Aufsichtsbehörden aufgegriffen. Entsprechend versuchen wir eigentlich immer die einem Urteil zugrunde liegenden Gedankengänge und Argumente darzustellen und einzuordnen.
Auch erschließt sich uns nicht, wieso die Entscheidung der österreichischer Aufsichtsbehörde, gleich doppelt irrelevant für Deutschland sein sollte. Bei der DSGVO handelt es sich um eine europäische Verordnung, deren selbsterklärtes Ziel unter anderem die Harmonisierung des Datenschutzrechts in Europa ist. Europarechtliche Regelungen wie die DSGVO sind autonom vom nationalen Recht auszulegen. Daher kann es durchaus Sinn machen, sich auch Überlegungen von anderen europäischen Aufsichtsbehörden zur DSGVO anzuschauen.
Benötigt man als Unternehmen für eine Umfrage ein Opt-In im Voraus (bspw. durch Newsletter-Abo), wenn die Empfänger schon durch Kauf eines Produktes oder Angebotsanfrage, in Kontakt stehen/standen?
Grundsätzlich sind Umfragen per E-Mail als Werbung einzustufen, auch wenn der Empfänger ein Kunde ist und vorher bereits Produkte o.ä. erworben hat. Unternehmen müssen entweder eine aktive Einwilligung zur Zusendung von Umfragemails einholen oder den § 7 Abs. 3 UWG erfüllen, um datenschutzkonform Online-Umfragen zu versenden. Die Erfüllung des § 7 Abs. 3 UWG ist an enge Voraussetzungen gebunden. Es muss sich zum einen um Bestandskunden handeln, die Mail muss sich auf eigene ähnliche Waren oder Dienstleistungen beziehen und der Kunde muss auf sein Widerspruchsrecht hingewiesen werden. Es ist jedoch darauf hinzuweisen, dass es sich immer um eine Entscheidung im Einzelfall handelt.