Österreichische Datenschutzbehörde: Single-Opt-In-Verfahren ist DSGVO-Verletzung

04.02.2020

Ein Online-Portal, das zur Bestätigung der E-Mail-Adressen ein Single Opt-In einsetzt, verletzt nach Ansicht der Österreichischen Datenschutzbehörde Art. 32 DSGVO und begeht damit eine Datenschutzverletzung (Bescheid v. 09.10.2019 - Az.: DSB-D130.073/0008-DSB/2019).

Eine Online-Dating-Plattform führte bei den Kunden-Anmeldungen keine zwingende Verifizierung der E-Mail-Adressen mittels Double Opt-In (DOI) durch, sondern praktizierte vielmehr das Single-Opt-In-Verfahren (SOI). An die so eingetragene Mail-Adressen schickte sie laufend Dating- bzw. Sex-Angebote. Unter den elektronischen Daten befand sich auch die eines Minderjährigen, der sich nie angemeldet hatte, dessen E-Mail-Adresse aber von einem Dritten eingetragen wurde.

Dies stufte die Österreichische Datenschutzbehörde als Datenschutzverletzung ein, da die Datenverarbeitung nicht mit der erforderlichen Sicherheit erfolgt sei (Art. 32 DSGVO):

"Im Ergebnis bedeutet dies, dass die Beschwerdegegnerin kein Double-Opt-In-Verfahren verwendet.

Somit ist es - wie im vorliegenden Fall - möglich, dass sich ein User nicht mit seiner eigenen E-Mail-Adresse, sondern mit der E-Mail-Adresse eines unbeteiligten Dritten auf den Onlinedating-Portalen der Beschwerdegegnerin registrieren kann. In Folge kann dieser User Services der Beschwerdegegnerin nutzen, ohne jemals in den E-Mail-Account der bei Registrierung angegebenen E-Mail-Adresse einsteigen zu müssen.

Der unbeteiligte Dritte jedoch, dessen E-Mail-Adresse für die Registrierung auf den Onlinedating-Portalen verwendet wurde, erhält in Folge Benachrichtigungen („Kontaktvorschläge“) der Beschwerdegegnerin auf seine E-Mail-Adresse zugeschickt, ohne sich jemals auf den Onlinedating-Portalen der Beschwerdegegnerin registriert zu haben."

Und dann stellt das Gericht eine Verletzung des Art. 32 DSGVO fest:

"Genau das ist im vorliegenden Fall passiert: Die E-Mail-Adresse des minderjährigen Beschwerdeführers (...) wurde von (einer) unbekannten Person(en) zur Erstellung von zwei Profilen auf den Onlinedating-Portalen der Beschwerdegegnerin verwendet.

Dadurch, dass die Beschwerdegegnerin keine ausreichenden, Art. 32 DSGVO entsprechenden Datensicherheitsmaßnahmen gesetzt hat, war es möglich, dass personenbezogene Daten des Beschwerdeführers - nämlich die E-Mail-Adresse (...) unrechtmäßig verarbeitet wurden, was den Beschwerdeführer in seinem Grundrecht auf Geheimhaltung nach § 1 Abs. 1 DSG verletzte."