March 2, 2020

Kein DOI = Datenschutzverstoß?

Ein zwölfjähriger Junge aus Österreich erhält auf seine E-Mail-Adresse Kontaktanfragen. Er bekommt über zwei Profile bei zwei Dating-Plattformen regelmäßig eindeutige Nachrichten. Wo ein Kumpel „Glückwünsch!“ ruft, regt sich ein Vater auf – und beschwert sich bei der österreichischen Datenschutz-Aufsichtsbehörde. Und hier wird es für Sie relevant: Diese hat nämlich festgestellt, dass ein fehlendes Double-Opt-In-Verfahren (DOI) einen Datenschutzverstoß darstellt.

Konkret: Wenn ein Anbieter eines Internet-Portals eine Nutzer-Registrierung zulässt, ohne die eingegebene E-Mail-Adresse zu verifizieren, verstößt er mangels hinreichender technischer und organisatorischer Maßnahmen zum Schutz der Vertraulichkeit gegen Art. 32 DSGVO! Und so war es hier: zwar gab es eine DOI-Mail. Den Aktivierungs-Link musste man aber zur Nutzung der Portale nicht klicken. Eine Einladung zum Missbrauch fremder E-Mail-Adressen.