DSB-D130.073/0008-DSB/2019 – Datenschutzbehörde Entscheidung
Text
GZ: DSB-D130.073/0008-DSB/2019 vom 9.10.2019
[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde des minderjährigen A*** F*** (Beschwerdeführer), vertreten durch den Obsorgeberechtigten Z*** F***, vom 21. August 2018 gegen die N***Netzwerk GmbH Co KG (Beschwerdegegnerin) wegen Verletzung im Recht auf Geheimhaltung wie folgt:
- Der Beschwerde wird stattgegeben und es wird festgestellt , dass die Beschwerdegegnerin den Beschwerdeführer dadurch im Recht auf Geheimhaltung gemäß § 1 Abs. 1 DSG verletzt hat, indem sie es mangels geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO („Sicherheit der Verarbeitung“) ermöglicht hat, dass mit der E-Mail-Adresse ***@***.com des minderjährigen Beschwerdeführers, aber ohne dessen Kenntnis, das Profil „***geilab14“ auf dem von der Beschwerdegegnerin betriebenen Onlinedating-Portal www.dates***.com und das Profil „bernd***“ auf dem ebenfalls von der Beschwerdegegnerin betriebenen Dating-Portal www.***frauen.com erstellt wurde und dem Beschwerdeführer in Folge laufend „Kontaktvorschläge“ und Benachrichtigungen der Beschwerdegegnerin auf seine E-Mail-Adresse ***@***.com zugesendet worden sind.
Rechtsgrundlagen : Art. 32 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO), ABl. Nr. L 119 vom 4.5.2016; § 1 Abs. 1 und 2 sowie § 24 Abs. 1 und 5 des Datenschutzgesetzes – DSG, BGBl. I Nr. 165/1999 idgF.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
1. Z*** F*** brachte als gesetzlicher Vertreter des minderjährigen Beschwerdeführers A*** F*** mit Eingabe vom 21. August 2018, verbessert mit Eingabe vom 03. November 2018 sowie mit Eingabe vom 18. November 2018, Beschwerde ein und behauptete einen Verstoß gegen Art. 5, Art. 6, Art. 7, sowie Art. 8 DSGVO.
Er brachte zusammengefasst vor, dass die E-Mail-Adresse des minderjährigen Beschwerdeführers ***@***.com ohne dessen Kenntnis dazu verwendet worden sei, das Profil „***geilab14“ auf dem von der Beschwerdegegnerin betriebenen Onlinedating-Portal www.dates***.com und das Profil „bernd ***“ auf dem ebenfalls von der Beschwerdegegnerin betriebenen Dating-Portal www.***frauen.com zu registrieren. Dies habe dazu geführt, dass der minderjährige Beschwerdeführer laufend Dating- bzw. Sex-Angebote auf seine E-Mail-Adresse ***@***.com zugeschickt bekommen habe.
Eine Anmeldung – so der gesetzlich vertretene Beschwerdeführer weiter - und der Zugang zum Online-Portal („dates***“) sei mit einer beliebigen E-Mail-Adresse und ohne Integritätsprüfung gemäß Art. 5 Abs. 1 lit. f DSGVO möglich. Es erfolge eventuell die Weiterleitung an in der Datenschutzerklärung nicht genannte Drittanbieter wie (z.B. „***-Date“, „L***“).
Am 24. Juni 2018 habe Z*** F*** Nachrichten im Postfacheingang des minderjährigen Beschwerdeführers gefunden. Eine Abmeldung von den Benachrichtigungen sei nicht möglich gewesen. Er habe umgehend eine Unterlassungsnachricht an die Beschwerdegegnerin übermittelt und auf die Minderjährigkeit des Beschwerdeführers hingewiesen. Am 08. Juli 2018 habe Z*** F*** eine Antwort urgiert, welche er am 10. August 2018 erhalten habe. Es habe noch weitere E-Mail-Korrespondenz mit der Beschwerdegegnerin gegeben. Der minderjährige Beschwerdeführer habe die beiden Profile „***geilab14“ und „bernd***“ zur E-Mail-Adresse ***@***.com jedenfalls nicht selbst erstellt. Vielmehr sei davon auszugehen, dass eine unbekannte Person die beiden Profile auf den von der Beschwerdegegnerin betriebenen Onlinedating-Portalen angelegt habe.
Die Beschwerde richte sich dagegen, dass das Anlegen eines Profils auf den - von der Beschwerdegegnerin betriebenen - Onlinedating-Portalen ohne Double-Opt-in-Verfahren und ohne Überprüfung des Alters des per E-Mail-Adresse anfragenden „Interessenten“ möglich sei. Z*** F*** könne aufgrund eines durchgeführten „Selbsttests“ nachweisen, dass für das Anlegen eines Profils und der anschließenden Nutzung der Services der Beschwerdegegnerin die bloße Anmeldung mit einer E-Mail-Adresse ohne Durchführung eines Double-Opt-in-Verfahrens ausreiche.
Für die beiden Profile „***geilab14“ und „bernd***“ - so der gesetzlich vertretene Beschwerdeführer weiter - liege keine Bestätigung über die Durchführung des Double-Opt-in-Verfahrens sowie eine Altersprüfung vor, welche den Versand von Sexangeboten an die sowie die Weitergabe der E-Mail-Adresse des Beschwerdeführers ***@***.com legitimiere.
2. Die Beschwerdegegnerin brachte in ihrer Stellungnahme vom 08. Februar 2019 im Wesentlichen vor, dass ein User für die Erstellung eines Profils auf den von ihr betriebenen Onlinedating-Portalen www.dates***.com und www.***frauen.com sein Geschlecht, den gewünschten Benutzernamen, das Passwort und eine E-Mail-Adresse angeben sowie die AGB und die Unterhaltungsrichtlinien der Beschwerdegegnerin akzeptieren müsse.
Nach erfolgter Registrierung bekomme der User an die angegebene E-Mail-Adresse eine Nachricht, in der er aufgefordert werde, sein Profil zu aktivieren bzw. seine E-Mail-Adresse zu bestätigen. Der User könne sich zwar auch ohne Aktivierung seines Profils bzw Bestätigung seiner E-Mail-Adresse schon in sein Profil einloggen, er würde allerdings wieder aufgefordert werden, seine E-Mail-Adresse zu bestätigen. Zudem müsse er sein Alter angeben.
Das Profil könne lediglich nach dem Anklicken des Aktivierungslinks, welcher an die E-Mail-Adresse des Nutzers zugeschickt werde, aktiviert werden. Der Nutzer könne sein Profil nicht aktivieren, wenn er keinen Zugriff auf die benutzte E-Mail-Adresse habe. Erst nach der Aktivierung bekomme der User ein weiteres E-Mail.
3. Mit Schreiben der Datenschutzbehörde vom 15. Februar 2019 zu GZ: DSB-D130.073/0001-DSB/2019 wurde die Beschwerdegegnerin auszugsweise wie folgt zur ergänzenden Stellungnahme aufgefordert:
„Die DSB versteht Ihre Stellungnahme dahingehend, dass ein User sich (nach Erstellung seines Profils) bereits dann in sein Profil auf Ihrer Website einloggen kann, ohne den Aktivierungslink - in der an seine E-Mail-Adresse geschickten Nachricht - aktivieren zu müssen. Ist das richtig?
Welche Dienste kann der User nutzen, wenn er sich in sein Profil eingeloggt hat, obwohl er es noch nicht aktiviert hat? Bitte legen Sie dies mit Screenshots dar.“
4. Mit Stellungnahme vom 28. Februar 2019 brachte die Beschwerdegegnerin wie folgt vor:
„Gerne beantworten wir ihre Fragen wie folgt.
Es ist korrekt, dass der User sich nach der Registrierung und der expliziten Bestätigung seines Alters und seines Wohnortes und der Aufforderung, seine DoubleOptIn E-Mail zu bestätigen, das Portal eingeschränkt nutzen kann.
Die Aufforderung, seine DoubleOptIn E-Mail zu bestätigen, kommt im regelmäßigen Rhythmus (alle 3-5 Minuten) innerhalb des Portals, solange der User diese nicht bestätigt hat.
Es ist dem User möglich, eingeschränkt einige Dienste auf dem Portal zu nutzen. Beispielhaft haben wir ihnen nachfolgende Screenshots beigefügt.“
[Anmerkung Bearbeiter: die im Original an dieser Stelle eingefügten grafischen Dateien/Screenshots wurden entfernt, da sie nicht mit vertretbarem Aufwand pseudonymisiert werden können.]
4. Der Beschwerdeführer brachte im Rahmen des Parteiengehörs mit Stellungnahme vom 22. März 2019 zusammengefasst vor, dass anhand der von ihm vorgelegten Unterlagen nachgewiesen sei, dass auch ohne Aktivierung des Profils Nachrichten an die eigentlich erst zu bestätigende E-Mail-Adresse gesendet würden. Das in der Stellungnahme der Beschwerdegegnerin genannte Double-Opt-In-Verfahren finde keine Anwendung, sicherlich auch deswegen, um potentielle Nutzer zur Aktivierung des Profils zu animieren. Dies könne er - so der gesetzlich vertretene Beschwerdeführer weiter - über einen Test-Account bei Bedarf nachweisen. Er könne keine angemessenen Anstrengungen erkennen, dass das reale Alter der Nutzer ermittelt werde.
Trotz fehlender Profil-Aktivierung über das Double-Opt-in-Verfahren seien dem minderjährigen Beschwerdeführer unaufgefordert unangemessene Kontaktanfragen zugesendet worden. Zusammengefasst gehe der gesetzlich vertretene Beschwerdeführer - auch nach Kenntnis der Stellungnahmen der Beschwerdegegnerin über das Anmeldeprozedere zu deren Onlinedating-Portalen - von einem Verstoß gegen die DSGVO durch unrechtmäßige Verarbeitung/ Nutzung der E-Mail-Adresse ***@***.com aus.
B. Beschwerdegegenstand
Ausgehend vom Vorbringen des gesetzlich vertretenen Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin den Beschwerdeführer dadurch im Recht auf Geheimhaltung verletzt hat, indem sie es mangels geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO („Sicherheit der Verarbeitung“) ermöglicht hat, dass mit der E-Mail-Adresse ***@***.com des Beschwerdeführers, aber ohne dessen Kenntnis, das Profil „***geilab14“ auf dem von der Beschwerdegegnerin betriebenen Onlinedating-Portal www.dates***.com und das Profil „bernd***“ auf dem ebenfalls von der Beschwerdegegnerin betriebenen Dating-Portal www.***frauen.com erstellt wurden und dem Beschwerdeführer in Folge laufend „Kontaktvorschläge“ und Benachrichtigungen der Beschwerdegegnerin auf seine E-Mail-Adresse ***@***.com zugesendet worden sind.
C. Sachverhaltsfeststellungen
Die Beschwerdegegnerin ist unter dem Namen „N***Netzwerk GmbH Co KG“ im Firmenbuch unter der Firmenbuchnummer ******a eingetragen.
Beweiswürdigung : Dies ergibt sich aus der – seitens der Datenschutzbehörde durchgeführten – Abfrage des Firmenbuches zum Stichtag 4. Oktober 2019.
Die Beschwerdegegnerin betrieb jedenfalls bis zum 28. Februar 2019 die Onlinedating-Portale www.***frauen.com und www.dates***.com.
Beweiswürdigung : Dies ergibt sich aus den der Datenschutzbehörde seitens der Beschwerdegegnerin vorgelegten Stellungnahmen vom 8. sowie vom 28. Februar 2019. So sind insbesondere in der Stellungnahme der Beschwerdegegnerin vom 28. Februar 2019 folgende Informationen enthalten: „www.***frauen.com ist ein Angebot von: N***Netzwerk GmbH Co KG“ sowie „www.dates***.com ist ein Angebot von: N***Netzwerk GmbH Co KG“.
Zur Erstellung eines Profils bzw. zur Registrierung auf diesen Dating-Portalen www.***frauen.com und www.dates***.com muss der User sein Geschlecht, seinen gewünschten Benutzernamen, ein Passwort und eine E-Mail-Adresse angeben. Weiters muss der User durch Anhaken eines Kästchens sein Einverständnis mit den AGB und Unterhaltungsrichtlinien der Beschwerdegegnerin erklären. Unter Punkt II. („Vertragsabschluss“) 1. der AGB werden „Personen unter 18 Jahren sowie solche, die im Auftrag eines Dritten handeln“, von der Nutzung der Dienste ausgeschlossen.
Beweiswürdigung : Dies ergibt sich aus der Stellungnahme der Beschwerdegegnerin vom 8. Februar 2019 sowie aus der amtswegigen Recherche der Datenschutzbehörde auf den Websites www.***frauen.com und www.dates***.com am Stichtag 4. Oktober 2019.
Durch Einloggen in sein Profil auf den Websites der Beschwerdegegnerin www.***frauen.com und www.dates***.com kann der User die Services der Beschwerdegegnerin bereits ab dem Zeitpunkt der Erstellung eines Profils, dh ab Registrierung, nutzen, ohne seine Registrierung nochmals durch Anklicken eines „Aktivierungslinks“, der ihm auf die - bei Registrierung angegebene - E-Mail-Adresse zugeschickt wurde, bestätigen zu müssen.
Beweiswürdigung : Dies ergibt sich aus der Stellungnahme der Beschwerdegegnerin vom 28. Februar 2019.
Die bei Erstellung eines Profils (= bei Registrierung) angegebene E-Mail-Adresse wird ab Erstellung des Profils fortlaufend mit Benachrichtigungen der Beschwerdegegnerin beschickt.
Beweiswürdigung : Dies ergibt sich aus dem glaubwürdigen Vorbringen des Beschwerdeführers samt der – gleichzeitig mit der Beschwerde vorgelegten – an die E-Mail-Adresse ***@***.com geschickten Benachrichtigungen der Beschwerdegegnerin.
Die E-Mail-Adresse des minderjährigen Beschwerdeführers lautet ***@***.com.
Beweiswürdigung : Dies ergibt sich aus dem - unbestrittenen - Vorbringen des Beschwerdeführers in seiner Beschwerde vom 21. August 2018.
Im Juni 2018 fand Z*** F***, der Vater des - zum Zeitpunkt der Beschwerdeeinbringung am 21. August 2018 - zwölfjährigen Beschwerdeführers, im E-Mail-Postfach ***@***.com seines Sohnes (= des Beschwerdeführers) mehrere Nachrichten der Beschwerdegegnerin. Diese Nachrichten stammten von den Onlinedating-Portalen www.***frauen.com und www.dates***.com der Beschwerdegegnerin. Die Nachrichten betrafen einerseits das auf dem Onlinedating-Portal www.dates***.com eingerichtete Profil „***geilab14“ sowie das auf dem Onlinedating-Portal www.***frauen.com eingerichtete Profil „bernd***“ und beinhalteten unter anderem „Kontaktvorschläge“. Beide Profile waren auf die E-Mail-Adresse ***@***.com des minderjährigen Beschwerdeführers registriert.
Beweiswürdigung : Dies ergibt sich aus dem glaubwürdigen Vorbringen des Beschwerdeführers in seiner Beschwerde vom 21. August 2018, das seitens der Beschwerdegegnerin auch nicht bestritten wurde.
Am 5. Juni 2018 wurde das Profil „***geilab14“ auf dem Onlinedating-Portal www.dates***.com mit der E-Mail-Adresse des Beschwerdeführers ***@***.com erstellt. Am 29. Juni 2018 wurde das Profil „bernd***“ auf der Onlinedating-Portal www.***frauen.com mit der E-Mail-Adresse des Beschwerdeführers ***@***.com erstellt.
Beweiswürdigung : Mit E-Mail vom 8. Juli 2018 beantragte der Beschwerdeführer gemäß Art. 15 DSGVO Auskunft von der Beschwerdegegnerin. Die Beschwerdegegnerin übermittelte dem Beschwerdeführer daraufhin eine Auflistung der zu seiner Person gespeicherten Informationen, aus der sich ergibt, wann die Profile „***geilab14“ und „brnd***“ auf die E-Mail-Adresse des Beschwerdeführers ***@***.com registriert wurden.
Der minderjährige Beschwerdeführer erstellte die beiden Profile „***geilab14“ und „bernd***“, die auf seine E-Mail-Adresse ***@***.com angemeldet waren und auf die er Benachrichtigungen der Beschwerdegegnerin zu beiden Profilen erhielt, nicht selbst.
Beweiswürdigung : Dass der minderjährige Beschwerdeführer nicht selbst die Profile „***geilab14“ und „bernd***“ anlegte, gründet sich einerseits auf dem glaubwürdigen Vorbringen des gesetzlich vertretenen, minderjährigen Beschwerdeführers, der auf ausdrückliche Nachfrage der Datenschutzbehörde im Schreiben vom 19. September 2018 mit Antwort vom 14. Oktober 2018 verneinte, die beiden Profile „***geilab14“ und „bernd***“ mit seiner E-Mail-Adresse ***@***.com selbst angelegt zu haben. Zudem ist die Datenschutzbehörde zwischenzeitlich mit weiteren - zur Geschäftszahl D145.050 sowie zur Geschäftszahl D124.788 sowie zur Geschäftszahl D124.1053 protokollierten - Beschwerden betreffend dieselbe Beschwerdegegnerin konfrontiert, in der die jeweiligen Beschwerdeführer übereinstimmend behaupten, „Spam-Mails“ der Beschwerdegegnerin erhalten zu haben, ohne jemals ein Profil auf den Onlinedating-Portalen der Beschwerdegegnerin erstellt zu haben. Im Gesamtbild erscheint es für die Datenschutzbehörde somit plausibel, dass die E Mail-Adressen von unbeteiligten Dritten – also Personen, die selbst kein Profil auf den Onlinedating-Portalen der Beschwerdegegnerin erstellt haben – für Spam-Mails der Beschwerdegegnerin verwendet werden.
D. In rechtlicher Hinsicht folgt daraus:
Der Beschwerdeführer stützt sich - nachdem ihn die Datenschutzbehörde mit Verbesserungsauftrag vom 12. November 2018 manuduziert hat - auf eine Verletzung des Art. 5, Art. 6 sowie auf Art. 32 DSGVO (in Verbindung mit § 1 DSG). Nun sind die Betroffenenrechte taxativ in Kapitel III DSGVO, nämlich in den Art. 12 bis 23 DSGVO, aufgezählt. Nach Rechtsprechung der Datenschutzbehörde kann sich eine betroffene Person auch auf jede Bestimmung außerhalb des Kapitels III DSGVO - somit auch auf Art. 32 DSGVO - stützen, sofern dies im Ergebnis zu einer denkmöglichen Verletzung des Rechts auf Geheimhaltung nach § 1 Abs. 1 DSG führen kann (vgl. dazu den Bescheid der Datenschutzbehörde vom 13. September 2018, DSB-D123.070/0005-DSB/2018, wonach ein Verstoß des Verantwortlichen gegen Art. 32 DSGVO zu einer Verletzung von § 1 Abs. 1 DSG führen kann). Dementsprechend war vorliegend eine Verletzung des Rechts auf Geheimhaltung gemäß § 1 Abs. 1 DSG zu überprüfen.
Gemäß § 1 Abs. 1 DSG hat jedermann, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht.
Bei E-Mail-Adressen handelt es sich um personenbezogene Daten gemäß Art. 4 Z 1 DSGVO. Das bedeutet, dass die E-Mail-Adresse ***@***.com ein personenbezogenes Datum des minderjährigen Beschwerdeführers ist.
Eine unberechtigte Verwendung von E-Mail-Adressen kann nach Rechtsansicht der Datenschutzbehörde jedenfalls gegen Art 5, Art. 6 und Art. 32 DSGVO verstoßen und somit eine denkmögliche Verletzung des § 1 Abs. 1 DSG darstellen:
Wie aus Art. 32 DSGVO ersichtlich ist, besteht eine Verpflichtung des Verantwortlichen bzw. des Auftragsverarbeiters zur Sicherheit der Verarbeitung personenbezogener Daten. Art. 32 DSGVO richtet seinen inhaltlichen Normgehalt auf „technische und organisatorische Maßnahmen“ aus. Diese Begriffe verwendet die DSGVO an zahlreichen anderen Stellen als normativen Anknüpfungspunkt, insbesondere in Art. 5 Abs. 1 lit. f, Art. 24 Abs. 1 Satz 1, Art. 25 Abs. 1 und Abs. 2 S. 1, Art. 28 Abs. 1 und Art. 89 Abs. 1 S. 2 (…). Der Topos meint alle Maßnahmen, die auf eine den Vorgaben der DSGVO entsprechende Verarbeitung zielen (vgl. dazu Martini in Paal/Pauly , Datenschutz-Grundverordnung [2017], Art. 32 Rz 28). Diese Sicherheit kann unter Berücksichtigung der in Abs. 1 dieser Bestimmung genannten Elemente auf mehrere Arten gewährleistet sein kann. Beispielsweise kann eine solche Datenschutzsicherheitsmaßnahme in der Implementierung eines Double-Opt-In-Verfahrens zur rechtskonformen Erlangung einer Einwilligung bestehen:
Unter dem „Double-Opt-In-Verfahren“ wird im Allgemeinen die Einholung der Zustimmungserklärung des Teilnehmers in einem zweistufigen System verstanden, das eine Anmeldung zum Bezug elektronischer Informationen etwa auf der Webseite des Anbieters vorsieht, der in einem ersten Schritt die individuelle Nachricht an die angegebene Mailadresse oder den angegebenen Telefonanschluss folgt, wonach für diese Adresse bzw. diesen Anschluss eine Anmeldung erfolgt ist. Erst nach einer auf dieses (individuelle) Mail bzw. die Kurznachricht gegebenen, die Anmeldung bestätigenden Antwort oder vergleichbaren Reaktion (zB Anklicken eines Links) erfolgt die Zusendung von Werbenachrichten (vgl. dazu das Erkenntnis des Verwaltungsgerichtshofes vom 26. Juni 2013, Zl. 2012/03/0089 m.w.N.).
Wie die Beschwerdegegnerin selbst vorbringt, ist es einem User bereits nach erfolgter Registrierung durch Einloggen in seine Profile auf den Websites www.***frauen.com und www.dates***.com möglich, die Onlinedating-Portale der Beschwerdegegnerin zu nutzen. Für die Nutzung der Onlinedating-Portale der Beschwerdegegnerin muss der User die E-Mail-Adresse, die er bei Registrierung angegeben hat, nicht noch einmal durch Anklicken eines „Aktivierungslinks“, der ihm auf die - bei Registrierung angegebene - E-Mail-Adresse zugeschickt wurde, bestätigen.
Auch wartet die Beschwerdegegnerin mit der Zusendung von „Kontaktvorschlägen“ nicht ab, bis der User seine Registrierung über einen Aktivierungslink, den er auf die – bei Registrierung angegebene – E Mail-Adresse zugeschickt bekommen hat, nochmals bestätigt. Vielmehr beschickt die Beschwerdegegnerin - auch ohne Anklicken des Aktivierungslinks - die bei Registrierung angegebene E Mail-Adresse fortlaufend mit ihren Benachrichtigungen.
Im Ergebnis bedeutet dies, dass die Beschwerdegegnerin kein Double-Opt-In-Verfahren verwendet.
Somit ist es - wie im vorliegenden Fall - möglich, dass sich ein User nicht mit seiner eigenen E-Mail-Adresse, sondern mit der E-Mail-Adresse eines unbeteiligten Dritten auf den Onlinedating-Portalen der Beschwerdegegnerin registrieren kann. In Folge kann dieser User Services der Beschwerdegegnerin nutzen, ohne jemals in den E-Mail-Account der bei Registrierung angegebenen E Mail-Adresse einsteigen zu müssen. Der unbeteiligte Dritte jedoch, dessen E-Mail-Adresse für die Registrierung auf den Onlinedating-Portalen verwendet wurde, erhält in Folge Benachrichtigungen („Kontaktvorschläge“) der Beschwerdegegnerin auf seine E-Mail-Adresse zugeschickt, ohne sich jemals auf den Onlinedating-Portalen der Beschwerdegegnerin registriert zu haben.
Genau das ist im vorliegenden Fall passiert: Die E-Mail-Adresse des minderjährigen Beschwerdeführers ***@***.com wurde von (einer) unbekannten Person(en) zur Erstellung von zwei Profilen auf den Onlinedating-Portalen der Beschwerdegegnerin verwendet.
Dadurch, dass die Beschwerdegegnerin keine ausreichenden, Art. 32 DSGVO entsprechenden Datensicherheitsmaßnahmen gesetzt hat, war es möglich, dass personenbezogene Daten des Beschwerdeführers - nämlich die E-Mail-Adresse ***@***.com - unrechtmäßig verarbeitet wurden, was den Beschwerdeführer in seinem Grundrecht auf Geheimhaltung nach § 1 Abs. 1 DSG verletzte.
Zur Schadenersatzforderung
Betreffend die vom Beschwerdeführer erhobene Schadenersatzforderung ist die Datenschutzbehörde unzuständig . Gemäß § 29 Abs. 2 DSG ist dafür das örtlich zuständige Landesgericht anzurufen.