In ihrer kürzlich veröffentlichten rechtskräftigen Entscheidung DSB-D130.073/0008-DSB/2019 kommt die Datenschutzbehörde zusammengefasst zum Schluss, dass es dadurch, dass die Beschwerdegegnerin, eine Betreiberin von Dating-Portalen, keine ausreichenden, Art. 32 DSGVO entsprechenden, Datensicherheitsmaßnahmen gesetzt hat, möglich war, dass personenbezogene Daten des Beschwerdeführers – nämlich seine E-Mail-Adresse – unrechtmäßig verarbeitet wurden, was den Beschwerdeführer in seinem Grundrecht auf Geheimhaltung nach § 1 Abs. 1 DSG verletzte.
Eine Art 32 DSGVO entsprechende Datensicherheitsmaßnahme wäre zumindest die Verwendung des sogenannten „Double-Opt-In-Verfahrens“, bei dem der Nutzer die Zustimmung seiner personenbezogenen Daten zwei Mal gibt, einmal durch die Anmeldung und das zweite mal durch Anklicken des Aktivierungslinks der ihm auf die angegebene E-Mail-Adresse gesendet wird.
Da im vorliegenden Fall ein User zumindest Teile des Portals auch ohne anklicken des Links nutzen konnten, hat die Plattformbetreiberin kein Double-Opt-In-Verfahren genutzt. So war es möglich, dass eine fremde Person die E-Mail-Adresse des Beschwerdeführers zur Anmeldung nutzte und der Beschwerdeführer Sex-Spam-Nachrichten erhielt, ohne sich jemals selbst auf der Plattform angemeldet zu haben.
In ihrem letzten Newsletter (1/2020) bestätigt die Behörde dies, denn „erst wenn der User seine Anmeldung – etwa durch Anklicken eines Aktivierungslinks im Bestätigungs-E-Mail – nochmals bestätigt, hat das Unternehmen eine DSGVO-konforme Zustimmung zur Verwendung der personenbezogenen Daten des Users erlangt“. Im Umkehrschluss bedeutet das, dass eine Anmeldung ohne Double-Opt-In oder anderen, vergleichbaren Datensicherheitsmaßnahmen, nicht DSGVO-konform ist.
8 Kommentare zu “Datenschutzbehörde erhebt Double-Opt-In-Verfahren zu Mindeststandard bei Newsletter Anmeldung”