Seit Jahren wird allseits das Double-Opt-in-Verfahren empfohlen, wenn es um die Verifizierung von E-Mail-Adressen geht. Der Absender trägt im Streitfall die Beweislast dafür, dass eine Einwilligung des Empfängers vorliegt. In vielen Fällen gelingt das nur mit einem Double-Opt-in-Verfahren. Eine Entscheidung der Datenschutzbehörde Österreichs zeigt, dass es dabei nicht nur um Feinheiten geht. Fehlt ein DOI, soll es sich dabei sogar um eine Datenschutzverletzung handeln. Potenziell hohe Bußgelder drohen.
Nachrichten eines Dating-Portals an ein Kind
In dem Fall, der der Österreichischen Datenschutzbehörde vorlag, ging es nicht um herkömmliche E-Mail-Werbung. Vielmehr musste der Vater eines 12-jährigen feststellen, dass dessen E-Mail-Adresse für das Anlegen eines Profils auf einer Online-Dating-Plattform verwendet wurde. Er machte geltend, sich dort nicht angemeldet zu haben, gleichwohl erhielt er in kurzer Folge „Kontaktvorschläge“ und Benachrichtigungen des Portals. Auf seine Beschwerde hin hat die Behörde ermittelt, dass der Portalbetreiber zwar bei der Registrierung eine Bestätigungs-E-Mail an die angegebene Adresse schickt, eine Nutzung des Portals aber auch ohne die Bestätigung möglich ist. Insofern konnte letztlich jeder die E-Mail-Adresse des Kindes bei dem Portal verwendet und – ob absichtlich oder versehentlich – dafür sorgen, dass dieser eindeutige Nachrichten von dem Dating-Portal erhielt.
Fehlende technische und organisatorische Maßnahmen
Die Datenschutzbehörde sah darin einen Verstoß gegen die Pflicht, geeignete technische und organisatorische Maßnahmen vorzuhalten, die Datenschutzverstöße möglichst ausschließen sollen (Entscheidung vom 9.10.2019, GZ.: DSB-D130.073/0008-DSB/2019). Unzweifelhaft handelte es sich bei der E-Mail-Adresse des Minderjährigen um ein personenbezogenes Datum. Dieses hat das Dating-Portal auch verarbeitet. Dazu berechtigt war das Unternehmen jedoch nicht. Allerdings glaubte es dies, schließlich war diese Adresse ja bei der Registrierung eingegeben worden. Wie die Datenschutzbehörde festgestellt hat, wurde die E-Mail-Adresse aber nicht verifiziert. Insbesondere wurde keine Zuordnung des Adressinhabers zu dem Einwilligenden auf der Website vorgenommen.
Drohende Bußgelder
Darin liege ein Verstoß gegen Art. 32 DSGVO und eine Verletzung des Rechts auf Geheimhaltung der Daten. In dem konkreten Fall ging es zunächst nur um das Verhältnis zwischen dem minderjährigen Betroffenen und dem Portalbetreiber. Datenschutzverstöße sind aber auch bußgeldbewehrt und denkbar ist, dass Behörden wegen solcher Datenschutzverletzungen – jedenfalls im Wiederholungsfalle – auch mit Bußgeldern reagieren.
Double-Opt-in-Verfahren nahezu immer empfehlenswert
Das Fazit der Entscheidung ist klar: Wer E-Mail-Adressen von Kunden, Nutzern oder Newsletter-Empfängern werbend nutzen möchte, sollte sicherstellen, dass der Empfänger auch tatsächlich mit dem Erhalt solcher Nachrichten einverstanden ist. Dies setzt voraus, dass es eine Zuordnung des Adressinhabers zu der handelnden Person gibt. Diese lässt sich am einfachsten durch ein Double-Opt-in-Verfahren erreichen und jedem sei empfohlen, ein solches Procedere einzuführen, zu dokumentieren und lückenlos anzuwenden. Bei dem Versand der Check-Mail ist darauf zu achten, dass diese möglichst neutral und ohne Werbung daher kommt. Vor dem Hintergrund, dass letztlich jeder jede E-Mail-Adresse bei der Registrierung für ein Portal anlegen kann, sollte insbesondere darauf geachtet werden, dass – anders als im konkreten Fall – keine anzüglichen oder gar pornografischen Nachrichten verschickt werden.
Nicht ausgeschlossen ist, dass man die Verbindung zwischen handelnder Person und E-Mail-Adresse auch ohne DOI erreichen kann. So muss in existierenden Kundenbeziehungen jedenfalls dann kein DOI-Verfahren durchgeführt werden, wenn mit dem Kunden bereits über die E-Mail-Adresse korrespondiert wurde. Der sichere Weg, eine Einwilligung nachzuweisen läuft aber weiterhin über ein DOI-Verfahren.