Ist ein fehlendes Double-Opt-In ein DSGVO-Verstoß?

Fachbeitrag

Jeder, der sich schon einmal für einen Newsletter angemeldet hat, kennt das Double-Opt-In-Verfahren. Das Fehlen eines solchen hält die österreichische Aufsichtsbehörde nun für einen Datenschutzverstoß gegen die Sicherheit der Verarbeitung. Was es damit auf sich hat, klärt dieser Artikel.

Double-Opt-In ist Pflicht bei E-Mail-Newsletter

In der Praxis hat sich die Nutzung des Double-Opt-In-Verfahrens bei der Anmeldung zu E-Mail-Newslettern durchgesetzt. Rechtlicher Hintergrund für das Double-Opt-In sind jedoch keine datenschutzrechtlichen, sondern wettbewerbsrechtliche Anforderungen. Das UWG bestimmt, dass eine geschäftliche Handlung, durch die ein Marktteilnehmer in unzumutbarer Weise belästigt wird, unzulässig ist. Eine unzumutbare Belästigung ist stets anzunehmen

„bei Werbung unter Verwendung einer automatischen Anrufmaschine, eines Faxgerätes oder elektronischer Post, ohne dass eine vorherige ausdrückliche Einwilligung des Adressaten vorliegt.“

Diese Regelung ist sinnvoll und schützt uns alle vor zu viel Werbung. Da E-Mails kostenfrei sind, können sie als Vehikel für das unbegrenzte Versenden von Werbung missbraucht werden und E-Mail-Nutzern Zeit und Nerven rauben. Unternehmen können messbare Vermögenseinbußen erleiden, wenn ein Teil der Arbeitszeit ihrer Mitarbeiter mit dem Löschen von Werbespam verbrannt wird.

Diese Gefahr hat der europäische Gesetzgeber gesehen und daher europaweit enge Grenzen für Werbung per E-Mail gesetzt. Grundsätzlich gilt: Werbung per E-Mail bedarf grundsätzlich einer vorherigen Einwilligung. Ausnahmen gibt es lediglich für Bestandskunden unter den engen Voraussetzungen von § 7 Abs.3 UWG, die hier jedoch nicht Gegenstand sein sollen.

E-Mail für dich

Was passiert jedoch, wenn man nun eine fremde E-Mail-Adresse bei der Newsletter-Anmeldung eingibt? Hier bekäme jemand völlig Unbeteiligtes Werbemüll, ohne je dazu eingewilligt zu haben. Um dieses Problem zu lösen, wurde das sog. „Double-Opt-In“ erfunden. Zunächst wird die E-Mail, die beworben werden soll, bei der Anmeldung zum Newsletter angegeben („Opt-In“). Dann bekommt die angegebene Adresse eine Bestätigungsmail, die nur vom tatsächlichen Inhaber dieser E-Mail-Adresse aufgerufen werden kann. Wird die Bestätigung erteilt („Double Opt In“), erhält die betreffende E-Mail zukünftig (Werbe-)Nachrichten.

Wie streng die Sache mit den Werbeeinwilligungen gehandhabt wird, sieht man an einem viel kritisierten (Fehl-)Urteil des Münchener OLG. Dieses hatte sich vor längerer Zeit dazu hinreißen lassen, sogar die Bestätigungs-E-Mail im Rahmen des Double-Opt-In Verfahrens als unzumutbare Belästigung zu bewerten.

Von dieser drakonischen Bewertung haben die Gerichte mittlerweile Abstand genommen (siehe etwa Urteil des OLG Düsseldorf oder des OLG Celle). Es gilt mittlerweile als gesetzt, dass die Übersendung einer Bestätigungsaufforderung keine unerbetene Werbung darstellt. Denn es geht im Interesse des Empfängers nur um die Klärung, ob er in Werbung eingewilligt hat und nicht um das Erlangen der Einwilligung.

Die DSGVO hat überall ein Wörtchen mitzusprechen

Wie beim Kollegen Dr. Carlo Piltz in seinem Blog nachzulesen ist, war nach Ansicht einer österreichischen Aufsichtsbehörde damit jedoch nicht alles zum Thema gesagt. Was war passiert?

Die E-Mail-Adresse eines Betroffenen wurde ohne dessen Zutun zur Erstellung von zwei Profilen auf einer Onlinedating-Plattform verwendet. Für die Nutzung der Onlinedating-Portale musste der User die E-Mail-Adresse, die er bei Registrierung angegeben hat, nicht noch einmal durch Anklicken eines „Aktivierungslinks“ bestätigen. Auch der Plattformbetreiber wartete mit der Zusendung von Werbenachrichten nicht bis der Aktivierungslink bestätigt wurde, sondern fing sofort an, dem Betroffenen an die bei der Registrierung angegebene E-Mail-Adresse fortlaufend Benachrichtigungen zu schicken (z.B. Partnervorschläge).

Nach Ansicht der Aufsichtsbehörde war es dadurch, dass die Onlinedating-Portale keine ausreichenden, Art. 32 DSGVO entsprechenden Datensicherheitsmaßnahmen gesetzt hat, möglich, dass personenbezogene Daten der Person, die sich schließlich gegenüber der Aufsichtsbehörde beschwerte, unrechtmäßig verarbeitet wurden, was den Betroffenen in seinem Grundrecht auf Geheimhaltung nach § 1 Abs. 1 DSG verletzte.

Technisch und organisatorische Maßnahme nach Stand der Technik?

Das Double-Opt-In Verfahren wurde bisher nicht unter dem Licht einer „technischen und organisatorischen Maßnahme“ gem. Art. 32 DSGVO betrachtet. Die von der Aufsichtsbehörde getroffenen Erwägungen sind jedoch schwer von der Hand zu weisen.

Die Aufsichtsbehörde geht im Grundsatz davon aus, dass Art. 32 DSGVO alle Maßnahmen meint, die auf eine den Vorgaben der DSGVO entsprechende Verarbeitung zielt (unter Zitierung von Martini in Paal/Pauly, Datenschutz-Grundverordnung 2017, Art. 32 Rn 28). Bei der E-Mail-Adresse des Betroffenen handelt es sich zweifelsfrei um ein personenbezogenes Datum im Sinne der DSGVO.

Die Onlinedating-Plattform hatte vorliegend keinerlei Anstrengungen unternommen, um einen evident möglichen Missbrauch, durch absichtliche Falscheingabe fremder E-Mail-Adressen, zu verhindern. Dieses Versäumnis führte dazu, dass personenbezogenen Daten von Unbeteiligten (in Form ihrer E-Mail-Adresse) ohne Rechtsgrundlage verarbeitet wurden; diesen durch Mangel an Vorkehrungen geschaffenen Umstand hat sich das Dating Portal auch zunutze gemacht, in dem die eingegebenen E-Mail-Adressen mit Kontaktvorschlägen und ähnlichem Inhalt beworben wurden. Hier hätte mit der Umsetzung eines Double-Opt-In-Verfahrens zur Sicherstellung der Berechtigung eine rechtswidrige Datenverarbeitung verhindert werden können.

Des Pudels Kern ist die Frage, ob tatsächlich ein „Versäumnis“ durch Nicht-Implementierung des Double-Opt-In-Verfahrens vorlag. Dies ist dann anzunehmen, wenn eine Pflicht zum Handeln bestanden hatte. Zur Bewertung dieser Frage ist unter anderem der Stand der Technik zu berücksichtigen. Vorliegend dürfte der Einsatz eines Double-Opt-In-Verfahrens dem Stand der Technik entsprechen, um die Berechtigung hinsichtlich einer bei der Anmeldung angegebenen E-Mail-Adresse zu überprüfen. Hierauf ging die Behörde leider nicht näher ein.

Double-Opt-In-Verfahren im Einzelfall verpflichtend

Im Ergebnis zeigt sich, dass das Double-Opt-In-Verfahren im Einzelfall mit guten Argumenten als eine verpflichtende Datensicherheitsmaßahme zur Gewährleistung einer datenschutzkonformen Datenverarbeitung im Sinne des Art. 32 DSGVO bewertet werden kann.

Vielleicht wird ja eines Tages das Kapitel „3.3. Double-Opt-In-Verfahren für elektronische Einwilligungen“ in einer revidierten Ausgabe der Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung (DS-GVO) um die Ansicht der österreichischen Aufsichtsbehörde ergänzt.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

DSGVO Beratung

4 Kommentare zu diesem Beitrag

  1. Sehr gut – vielen Dank für die Klarstellung. Hoffentlich verschwinden dann jetzt endlich diese unsäglichen Opt-In-Ankreuzfelder „Hiermit willige ich in die Datenschutzerklärung ein.“ bei den Newsletter-Anmeldungen.

  2. Interessante Aussage einer Datenschutzaufsichtsbehörde: double-opt-in ist seit dem Payback-Urteil von 2008 verpflichtend. Hatte ich so noch nicht verstanden…

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.