Double Opt In & DSGVO

 

Double-Opt-In als Verifikation -
Ist das eine notwendige technische und organisatorische Maßnahme iSd des
Art 32 DSGVO?

 

 

Die Datenschutzbehörde hat sich in einer Entscheidung (DSB-D130.073/0008-DSB/2019 vom 9.10.2019) mit der Anmeldung bei einer Online-Plattform auseinandergesetzt, bei der für die Nutzung kein Double-Opt-In notwendig war. Lesen Sie hier, welche Meinung die DSB vertritt.

 

 

 

 

 

Minderjähriger bekommt Werbe-Emails von Sex-Dating-Portal.

 

Jemand hat die E-Mail-Adresse einer minderjährigen Person ohne Kenntnis derselben verwendet, und bei einer Online-Plattform (www.dates...com) das Profil „***geilab14“ sowie das Profil „bernd ***“ auf einer weiteren Dating-Portal www.***frauen.com zu registrieren. Beide Plattformen werden vom gleichen Verantwortlichen betrieben.

 

Dies hat dazu geführt, dass der Minderjährige laufend Dating- bzw. Sex-Angebote auf seine E-Mail-Adresse ***@***.com zugeschickt bekommen hat.

 

 

 

Anmeldeformalitäten und fehlendes Double-Opt-In.

 

Im Zuge des Verfahrens bei der DSB hat sich herausgestellt, dass der Verantwortliche es ermöglicht, unmittelbar nach Registrierung mit einer E-Mail-Adresse bestimmte Funktionalitäten der Plattformen zu nutzen.

 

Der Verantwortliche hat folgende Information zu den Anmeldeformalitäten gegeben:

 

Nach erfolgter Registrierung bekommt der User an die angegebene E-Mail-Adresse eine Nachricht, in der er aufgefordert wird, sein Profil zu aktivieren bzw. seine E-Mail-Adresse zu bestätigen. Der User kann sich zwar auch ohne Aktivierung seines Profils bzw Bestätigung seiner E-Mail-Adresse schon in sein Profil einloggen, er wird allerdings weiter aufgefordert, seine E-Mail-Adresse zu bestätigen. Außerdem muss der User das Alter angeben.

 

Das Profil kann lediglich nach dem Anklicken des Aktivierungslinks, welcher an die E-Mail-Adresse des Nutzers zugeschickt wird, aktiviert werden. Der Nutzer kann sein Profil nicht aktivieren, wenn er keinen Zugriff auf die benutzte E-Mail-Adresse hat. Erst nach der Aktivierung bekommt der User ein weiteres E-Mail.

 

Die DSB hat im Verfahren dazu nachgefragt:

 

„Die DSB versteht Ihre Stellungnahme dahingehend, dass ein User sich (nach Erstellung seines Profils) bereits dann in sein Profil auf Ihrer Website einloggen kann, ohne den Aktivierungslink - in der an seine E-Mail-Adresse geschickten Nachricht - aktivieren zu müssen. Ist das richtig?

 

Welche Dienste kann der User nutzen, wenn er sich in sein Profil eingeloggt hat, obwohl er es noch nicht aktiviert hat?“

 

 

 

Der Verantwortliche hat dazu geantwortet:

 

„Gerne beantworten wir ihre Fragen wie folgt.

 

Es ist korrekt, dass der User sich nach der Registrierung und der expliziten Bestätigung seines Alters und seines Wohnortes und der Aufforderung, seine DoubleOptIn E-Mail zu bestätigen, das Portal eingeschränkt nutzen kann.

 

Die Aufforderung, seine DoubleOptIn E-Mail zu bestätigen, kommt im regelmäßigen Rhythmus (alle 3-5 Minuten) innerhalb des Portals, solange der User diese nicht bestätigt hat.

 

Es ist dem User möglich, eingeschränkt einige Dienste auf dem Portal zu nutzen.“

 

 

 

Die DSB hat folgenden (wesentlichen) Sachverhalt festegestellt.

 

Zur Registrierung auf Dating-Portalen muss der User sein Geschlecht, seinen gewünschten Benutzernamen, ein Passwort und eine E-Mail-Adresse angeben. Durch Anhaken einer Checkbox werden die AGB und Unterhaltungsrichtlinien vereinbart.

 

Bereits ab dem Zeitpunkt der Erstellung eines Profils, dh ab Registrierung, kann das Portal genutzt werden. Eine Bestätigung eines Aktivierungslinks ist nicht notwendig.

 

Nach Erstellung des Profils erhält der User laufend E-Mails vom Verantwortlichen.

 

 

 

Die Entscheidung der DSB.

 

„Gemäß § 1 Abs. 1 DSG hat jedermann, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht.

 

Bei E-Mail-Adressen handelt es sich um personenbezogene Daten gemäß Art. 4 Z 1 DSGVO. Das bedeutet, dass die E-Mail-Adresse ***@***.com ein personenbezogenes Datum des minderjährigen Beschwerdeführers ist.

 

Eine unberechtigte Verwendung von E-Mail-Adressen kann nach Rechtsansicht der Datenschutzbehörde jedenfalls gegen Art 5, Art. 6 und Art. 32 DSGVO verstoßen und somit eine denkmögliche Verletzung des § 1 Abs. 1 DSG darstellen:

 

Wie aus Art. 32 DSGVO ersichtlich ist, besteht eine Verpflichtung des Verantwortlichen bzw. des Auftragsverarbeiters zur Sicherheit der Verarbeitung personenbezogener Daten. [...] Diese Sicherheit kann unter Berücksichtigung der in Abs. 1 dieser Bestimmung genannten Elemente auf mehrere Arten gewährleistet sein kann. Beispielsweise kann eine solche Datenschutzsicherheitsmaßnahme in der Implementierung eines Double-Opt-In-Verfahrens zur rechtskonformen Erlangung einer Einwilligung bestehen:  [...]

 

Wie die Beschwerdegegnerin selbst vorbringt, ist es einem User bereits nach erfolgter Registrierung durch Einloggen in seine Profile auf den Websites www.***frauen.com und www.dates***.com möglich, die Onlinedating-Portale der Beschwerdegegnerin zu nutzen. [...]

 

Auch wartet die Beschwerdegegnerin mit der Zusendung von „Kontaktvorschlägen“ nicht ab, bis der User seine Registrierung über einen Aktivierungslink, den er auf die – bei Registrierung angegebene – E-Mail-Adresse zugeschickt bekommen hat, nochmals bestätigt. [...]

 

Im Ergebnis bedeutet dies, dass die Beschwerdegegnerin kein Double-Opt-In-Verfahren verwendet.

 

Somit ist es [...] möglich, dass sich ein User nicht mit seiner eigenen E-Mail-Adresse, sondern mit der E-Mail-Adresse eines unbeteiligten Dritten auf den Onlinedating-Portalen der Beschwerdegegnerin registrieren kann. In Folge kann dieser User Services der Beschwerdegegnerin nutzen, ohne jemals in den E-Mail-Account der bei Registrierung angegebenen E-Mail-Adresse einsteigen zu müssen. Der unbeteiligte Dritte jedoch, dessen E-Mail-Adresse für die Registrierung auf den Onlinedating-Portalen verwendet wurde, erhält in Folge Benachrichtigungen („Kontaktvorschläge“) der Beschwerdegegnerin auf seine E-Mail-Adresse zugeschickt, ohne sich jemals auf den Onlinedating-Portalen der Beschwerdegegnerin registriert zu haben.

 

Genau das ist im vorliegenden Fall passiert: Die E-Mail-Adresse des minderjährigen Beschwerdeführers ***@***.com wurde von (einer) unbekannten Person(en) zur Erstellung von zwei Profilen auf den Onlinedating-Portalen der Beschwerdegegnerin verwendet.

 

Dadurch, dass die Beschwerdegegnerin keine ausreichenden, Art. 32 DSGVO entsprechenden Datensicherheitsmaßnahmen gesetzt hat, war es möglich, dass personenbezogene Daten des Beschwerdeführers - nämlich die E-Mail-Adresse ***@***.com - unrechtmäßig verarbeitet wurden, was den Beschwerdeführer in seinem Grundrecht auf Geheimhaltung nach § 1 Abs. 1 DSG verletzte.“

 

 

 

Andere Meinungen dazu:

 

Auch das Bayerische Landesamt für den Datenschutz verweist im aktuellen 9. Tätigkeitsbericht (Kap. 18.2, S. 67) darauf, dass eine Zwei-Faktor-Authtentifizierung verwendet werden sollte.

 

Auch der Bundesbeauftragte für den Datenschutz hat am 9.10.2019 in einer Pressemitteilung bekannt gegeben, dass ein mangelhaftes Authentifizierungssystem zu einer Geldstrafe in Höhe von EUR 9.55 Mio führte. Dazu wurde bereits im Blog berichtet.

 

 

 

Fazit.

 

Ohne Double-Opt-In mit Aktivierungslink oder eine sonstige Verifikation des Users wird der Nachweis, dass die Verwendung der E-Mail-Adresse rechtmäßig erfolgt schwierig.

 

Es kann ein User ein Service nutzen, und eine E-Mail-Adresse einer anderen Person, die dadurch in deren Recht auf Geheimhaltung verletzt wird, verwenden.

 

Werden daher E-Mail-Adress-Registrierungen verwendet, ist es jedenfalls notwendig, auf nachweisbare Art sicherzustellen, dass diese E-Mail-Adresse vom „befugten Verwender“ eingetragen wurde.

 

Die Verwendung nicht angemessener technischer und organisatorsicher Maßnahmen kann auch zu Geldbußen / Geldstrafen führen und kann auch Schadenersatzforderungen der betroffenen Personen (wie auch im konkreten Verfahren) zur Folge haben.

 

 

18.02.2020,  Autor
Michael Schweiger, zert DSBA


Download
Double Opt In als technische und organisatorische Maßnahme iSd Art 32 DSGVO
double opt in zur Registrierung notwendi
Adobe Acrobat Dokument 814.2 KB

Kommentar schreiben

Kommentare: 0