Bußgeld in Österreich wegen Verstoßes gegen Double-Opt-In Pflicht

An das Verfahren des Double-Opt-in werden hohe Anforderungen gestellt

07.04.2020

Wenn Sie sich schon einmal zu einem Newsletter angemeldet haben, werden Sie das Double-Opt-In-Verfahren kennen. Bei diesem Verfahren geben Sie auf einer Website Ihre E-Mailadresse an, um zum Beispiel einen Newsletter zu erhalten. Da das aber jeder in Ihrem Namen machen könnte und Missbrauch daher nicht ausgeschlossen werden kann, wird eine E-Mail mit einem Bestätigungslink an die angegebene Adresse verschickt. Erst nach Aktivierung des Links, erhalten Sie die Newsletter-Mails. Der Gedanke dabei ist, dass Sie durch den Klick auf den individuellen Link, der an die anmeldende E-Mailadresse versandt wurde, nachweisen, dass Sie Zugriff auf das Postfach haben und damit Inhaber der E-Mailadresse sind. So die reine Lehre…

In einem fehlerhaft implementierten Double-Opt-In-Verfahren hat die österreichische Datenschutzaufsichtsbehörde nun einen Datenschutzverstoß gesehen.

Was in Österreich passiert ist

Der Fall war kurz zusammengefasst folgendermaßen gelagert:

Durch einen Unbekannten wurden im Namen einer zwölfjährigen Person Profile auf zwei Online-Dating-Portalen angelegt. Es erfolgte der Versand eines Bestätigungslinks an die angegebene Mailadresse. Die Online-Portale konnten allerdings auch ohne das Anklicken der Bestätigungslinks genutzt werden. Die minderjährige Person hat daher Kontaktvorschläge und auch Benachrichtigungen an ihre Mailadresse erhalten. Darüber hinaus war das Abmelden von den Benachrichtigungen nicht möglich.

Der Vater der Person war damit verständlicherweise nicht einverstanden und forderte die Portalbetreiber auf, die Konten zu schließen und den Versand der Nachrichten zu unterlassen. Die Portalbetreiber kamen der Aufforderung des Vaters jedoch nicht nach. Daraufhin legte er Beschwerde bei der Datenschutzaufsichtsbehörde ein. Da es bereits ähnlich gelagerte Beschwerden gegen die Portalbetreiberin gegeben hatte, glaubte man dem Minderjährigen, dass er das Profil nicht selbst angelegt hatte.

Die Datenschutzaufsichtsbehörde entschied, dass das Vorgehen der Portalbetreiberin nicht datenschutzkonform sei und leitete ein Bußgeldverfahren ein.

Einschub: Wie sieht die Rechtslage in Deutschland aus?

Die Kontaktvorschläge und sonstigen Benachrichtigungen sind als Werbung zu werten. Wir haben es also mit Werbung per E-Mail zu tun. Das Thema Werbung per E-Mail ist im Gesetz gegen den Unlautere Wettbewerb (UWG) recht detailliert geregelt. Rechtlich gesehen steht das Thema Double-Opt-In also eher in Zusammenhang mit dem Gesetz gegen den unlauteren Wettbewerb als mit der DSGVO. Der § 7 UWG regelt, dass bei Werbung per E-Mail stets unzumutbare Belästigung anzunehmen ist, sofern dafür die Einwilligung des Adressaten fehlt. Ausnahmen sieht das UWG nur bei Bestandskunden und unter sehr engen Voraussetzungen vor.

Zurück nach Österreich:

In Österreich gibt es ein vergleichbares Verbot des Zusendens von E-Mails zu Zwecken der Werbung ohne Einwilligung des Empfängers. Aufgrund dieses Verbots erfolgte daher auch der Versuch des Vaters, zunächst eine Unterlassung zu erwirken bevor die Datenschutzaufsichtsbehörde eingeschaltet wurde.

Hintergrund der Entscheidung

Zunächst stellt sich die Frage, warum das Thema auch durch die Datenschutzaufsichtsbehörde verfolgt werden kann, wenn eigentlich das UWG die Rechtsgrundlage für das Double-Opt-In darstellt.

Tatsächlich wird das Verfahren des Double-Opt-In häufig ausschließlich aus dem Blickwinkel des UWG betrachtet. Dies ist aber eine zu einseitige Betrachtung. Betrachtet man es einmal aus Sicht des Datenschutzes, fällt schnell Folgendes auf:

  • Bei der E-Mailadresse handelt es sich um ein personenbezogenes Datum.
  • Opt-Ins sind Einwilligungen.
  • Das zweistufige System des Double-Opt-In ist eine technische (und auch organisatorische) Maßnahme gemäß Art. 32 DSGVO.
  • Das Verfahren des Double-Opt-In stellt derzeit den „Stand der Technik“ dar und ermöglicht es, eine rechtskonforme Einwilligung des Nutzers zu erhalten.
  • Ohne Betätigung des Aktivierungslink liegt keine Einwilligung (in die Zusendung von Werbung per E-Mail oder auch in die Anmeldung am Portal) vor. Die E-Mailadresse wurde somit ohne vorliegende Rechtsgrundlage verarbeitet.
  • Jede Einwilligung muss widerrufbar sein.

Es wurde also gegen mehrere Regelungen der DSGVO (mindestens die Art. 5, 6, 7 und 32 DSGVO) verstoßen und für die Ahndung von Verstößen gegen die DSGVO ist die jeweilige Datenschutzaufsichtsbehörde zuständig.

Dies hat zur Folge, dass neben den im Vergleich zur DSGVO relativ niedrigen Bußgeldern aus TKG (AT) bis zu 37.000 EUR bzw. UWG (DE) von bis zu 300.000 EUR die deutlich höheren Bußgelder der DSGVO drohen. Zur Erinnerung: diese können bis zu 20 Millionen EUR beziehungsweise bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen, je nachdem, welcher der Beträge höher ist.

Übrigens: Die Meinungen sind nicht immer einheitlich

2012 hatte das Münchener Oberlandesgericht (OLG) entschieden, dass es sich bereits bei der Übersendung einer Aufforderung zur Bestätigung im Rahmen des Double-Opt-In-Verfahrens um unerlaubte Werbung handelt. Das hätte das Aus für das Verfahren des Double-Opt-In sein können.

Glücklicherweise haben weitere Gerichte in der Folge anders geurteilt und das Double-Opt-In als „state of the art“ zur Einholung von Einwilligung angesehen. Entscheidend für die Zulässigkeit ist die Gestaltung dieser E-Mails von der abhängt ob diese als Werbung angesehen werden und damit die gesetzlichen Anforderungen erfüllt sind. Es müssen zum Beispiel die Anbieterkennzeichnungspflichten aus dem Telemediengesetz erfüllt sein. Darüber stellt bereits ein als automatische Signatur vom E-Mailserver angehängter Satz wie „Besuchen Sie uns auf der XY-Messe!“ Werbung dar. Es gilt also neben den technischen und prozessualen Fragestellungen im Double-Opt-In-Verfahren auch inhaltlich einiges zu beachten.

Fazit

Sind Sie verunsichert von dem „heute hü – morgen hott“ oder den unterschiedlichen Rechtsgrundlagen und -auffassungen? Vielleicht stellen Sie sich die Frage, was genau dieser „Stand der Technik“ eigentlich ist und wer das festlegt? Das können wir gut nachvollziehen. Es ist nicht einfach immer die aktuelle Rechtslage und Rechtsprechung zu kennen, insbesondere weil die DSGVO eine einheitliche Anwendung und Durchsetzung der Verordnung in den und durch die Mitgliedstaaten fordert. Das bedeutet, dass nicht nur die deutschen Auslegungen und Rechtsprechungen zu beachten sind, sondern auch die der Mitgliedsstaaten. Eine große Herausforderung, der Sie sich nicht allein stellen sollten.

Wenn Sie Unterstützung benötigen: Wir sind für Sie da!