Beratungstermin

Opt-In- und Opt-Out-Verfahren im Datenschutz

  • Datenschutz

Heutzutage sind klare Opt-In- und Opt-Out-Verfahren unverzichtbar, um datenschutzkonform zu handeln und das Vertrauen Ihrer Kunden zu erhalten. Dieser Beitrag erklärt die Unterschiede zwischen Opt-In und Opt-Out, beleuchtet praktische Beispiele wie Cookie-Banner und Newsletter-Anmeldungen und zeigt, worauf Unternehmen bei der Umsetzung achten sollten, um DSGVO-konform zu bleiben.

Was bedeuten Opt-In und Opt-Out?

Opt-In und Opt-Out sind zentrale Begriffe im Datenschutz und im Permission-Marketing. Sie beschreiben, wie Nutzer Einwilligungen für die Nutzung ihrer personenbezogenen Daten erteilen oder verweigern. Der Begriff Opt-In (englisch *„to opt in“ – sich aktiv dafür entscheiden) bezeichnet ein Verfahren, bei dem eine Person aktiv zustimmen muss, bevor ihre Daten verarbeitet oder für Werbung genutzt werden dürfen. Typischerweise erfolgt dies durch eine bewusste Handlung – etwa das Setzen eines Häkchens in einer Checkbox oder das Klicken auf eine Schaltfläche „Zustimmen“. Ohne diese ausdrückliche Zustimmung findet keine Datenverarbeitung zu Werbezwecken statt.

Im Gegensatz dazu steht das Opt-Out (englisch *„to opt out“ – sich abmelden oder dagegen entscheiden). Hierbei wird zunächst angenommen, dass der Nutzer einverstanden ist, bis er aktiv widerspricht. Seine Daten könnten also verwendet werden, solange er nicht von seinem Widerspruchsrecht Gebrauch macht. Das Opt-Out-Prinzip erlaubt es Nutzern, sich im Nachhinein von weiteren Datenverarbeitungen oder Werbenachrichten abzumelden. Beispielsweise gelten das Abbestellen eines Newsletters über einen Unsubscribe-Link oder das Deaktivieren voreingestellter Optionen als typische Opt-Out-Mechanismen.

Kurz gefasst: Beim Opt-In erteilt der Nutzer vorab eine aktive Einwilligung. Beim Opt-Out wird die Einwilligung implizit angenommen, bis der Nutzer sie widerruft oder widerspricht. In der Praxis schützen Opt-In-Verfahren die Privatsphäre stärker, da Unternehmen ohne vorherige Zustimmung keine Werbung oder nicht notwendige Datenverarbeitung durchführen dürfen.

Rechtliche Grundlagen: Einwilligung nach DSGVO

Die Datenschutz-Grundverordnung (DSGVO) schreibt vor, dass für die Verarbeitung personenbezogener Daten zu Zwecken wie Marketing in der Regel eine vorherige Einwilligung der betroffenen Person erforderlich ist. Diese Einwilligung muss freiwillig, spezifisch, informiert und unmissverständlich erfolgen. Opt-In ist damit der rechtliche Standard im EU-Datenschutz: Nutzer müssen aktiv zustimmen, z.B. durch Anklicken einer Check-Box oder Button, bevor Unternehmen Daten etwa für Werbung, Tracking oder Newsletter verwenden dürfen. Opt-Out-Lösungen (bei denen Nutzer im Nachhinein Nein sagen können) reichen in vielen Fällen nicht aus, um den gesetzlichen Anforderungen zu genügen.

Insbesondere wurde durch Urteile des Europäischen Gerichtshofs und des Bundesgerichtshofs klargestellt, dass vorab angekreuzte Kästchen oder voreingestellte Einwilligungen unzulässig sind. Unternehmen dürfen also nicht davon ausgehen, dass Schweigen oder Untätigkeit der Nutzer als Zustimmung gilt. Seit 2021 ist in Deutschland mit dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) zudem ausdrücklich festgelegt, dass für das Setzen von nicht notwendigen Cookies und ähnlichen Technologien vorherige Zustimmung der Nutzer eingeholt werden muss. Bei Verstößen gegen diese Opt-In-Pflichten drohen erhebliche Sanktionen – die DSGVO erlaubt Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes eines Unternehmens, was die Bedeutung einer korrekten Einwilligungspraxis unterstreicht.

Gleichzeitig räumt die DSGVO den Betroffenen bestimmte Rechte ein, die eng mit Opt-Out-Mechanismen verknüpft sind. Personen haben jederzeit das Recht, eine erteilte Einwilligung zu widerrufen. Dieses Widerrufsrecht muss genauso einfach ausgeübt werden können wie die Einwilligung selbst. Auch gibt es ein Widerspruchsrecht gegen Direktwerbung: Sobald ein Kunde widerspricht, dürfen seine Daten nicht weiter für Werbezwecke genutzt werden. Unternehmen sind verpflichtet, diese Widersprüche zu respektieren und die Betroffenen z.B. von Verteilerlisten zu entfernen.

Opt-In in der Praxis: Cookie-Banner als Beispiel

Ein anschauliches Beispiel für das Opt-In-Verfahren im Online-Bereich sind Cookie-Banner auf Websites. Sobald Nutzer eine Website besuchen, die nicht zwingend erforderliche Cookies oder Tracking-Tools einsetzen möchte (etwa für Analysen oder personalisierte Werbung), muss ein Hinweis erscheinen, der die aktive Einwilligung der Nutzer einholt. Der Nutzer hat typischerweise Buttons wie „Alle Cookies akzeptieren“ oder die Möglichkeit, bestimmte Cookies auszuwählen. Ohne eine bewusste Zustimmung darf das Unternehmen keine nicht essenziellen Cookies setzen. Technisch wäre zwar ein Opt-Out-Banner möglich – dabei würden alle Cookies von Anfang an gesetzt und der Nutzer könnte sie lediglich nachträglich deaktivieren – doch ein solches Verfahren ist im europäischen Raum nicht zulässig.

Die Verpflichtung zum Cookie-Opt-In wurde durch Gerichtsurteile eindeutig bestätigt. Seit dem sogenannten Planet49-Urteil des EuGH (2019) und nachfolgend durch den BGH (2020) steht fest, dass nur Opt-In-Banner rechtskonform sind. Voreingestellte Häkchen, bei denen Nutzer Cookies ablehnen müssten (Opt-Out), verstoßen gegen das Einwilligungserfordernis. Daher müssen Unternehmen ihre Website so gestalten, dass nicht notwendige Cookies erst nach Zustimmung der Besucher aktiv werden. In der Praxis bedeutet dies oft, einen zweistufigen Banner bereitzustellen: Ohne Aktion des Nutzers werden nur technisch essenzielle Cookies gesetzt; alle anderen Kategorien bleiben inaktiv, bis der Nutzer z.B. „Ja, ich stimme zu“ klickt. Zusätzlich sollte der Cookie-Banner klar erklären, wofür die Einwilligung erteilt wird, und auch die Möglichkeit bieten, alle abzulehnen oder individuelle Einstellungen vorzunehmen – dies erhöht die Transparenz und entspricht den Empfehlungen der Aufsichtsbehörden.

Unternehmen sollten außerdem dokumentieren, ob und wann ein Nutzer seine Cookie-Einwilligung gegeben hat. Diese Nachweispflicht ergibt sich aus der DSGVO: Im Zweifelsfall muss ein Website-Betreiber belegen können, dass ein Besucher tatsächlich zugestimmt hat. Moderne Consent-Management-Plattformen (CMP) helfen hierbei, indem sie Einwilligungen protokollieren und Nutzern ermöglichen, ihre Einstellungen später einzusehen oder zu ändern (ein weiterer Aspekt des Opt-Out: Nutzer können ihre einmal gegebene Einwilligung jederzeit über Cookie-Einstellungen auf der Website widerrufen).

Opt-In im E-Mail-Marketing: Double-Opt-In für Newsletter

Ein weiterer zentraler Anwendungsfall für Opt-In-Verfahren ist das E‑Mail-Marketing, insbesondere der Versand von Newslettern. In Deutschland und der EU dürfen Unternehmen Werbe-E-Mails grundsätzlich nur an Empfänger senden, die vorher ihre ausdrückliche Zustimmung dazu erteilt haben. In der Praxis hat sich hierfür das Double-Opt-In-Verfahren etabliert. Dabei meldet sich ein Interessent zunächst z.B. auf einer Website für einen Newsletter an (erstes Opt-In) und erhält anschließend eine Bestätigungs-E-Mail mit einem individuellen Link. Erst wenn der Empfänger diesen Link klickt und damit seine Anmeldung bestätigt (zweites Opt-In), wird seine E-Mail-Adresse aktiv in den Verteiler aufgenommen. Ohne diese zweite Bestätigung erhält er keine Newsletter.

Das Double-Opt-In stellt sicher, dass wirklich der Inhaber der angegebenen E-Mail-Adresse der Zusendung zustimmt. Es verhindert Missbrauch – etwa dass Dritte fremde Adressen eintragen – und liefert Unternehmen einen rechtssicheren Nachweis der Einwilligung. Denn jede bestätigte Anmeldung kann protokolliert und bei Bedarf belegt werden (inklusive Zeitstempel und der genauen Einwilligungserklärung). Deutsche Gerichte und Datenschutzbehörden betrachten Double-Opt-In faktisch als Pflicht, um den hohen Anforderungen an eine nachweisbare, informierte Einwilligung gerecht zu werden. Zwar schreibt die DSGVO das Verfahren nicht ausdrücklich wortwörtlich vor, doch gemäß geltendem Wettbewerbs- und Datenschutzrecht (z.B. §7 UWG und Leitlinien der Datenschutzkonferenz) gilt: Eine einfache Anmeldung ohne Bestätigung reicht nicht aus. Unternehmen, die auf Double-Opt-In verzichten, setzen sich dem Risiko aus, dass Einwilligungen im Streitfall nicht anerkannt werden – mit der Folge von Abmahnungen oder Bußgeldern.

Neben der Einholung der initialen Einwilligung müssen Firmen bei jeder versendeten Werbe-Mail auf das Opt-Out-Recht der Empfänger hinweisen. Konkret bedeutet dies, dass jede Newsletter-E-Mail einen leicht erkennbaren Abmeldelink oder eine ähnliche Möglichkeit zur Widerruf der Einwilligung enthalten muss. Empfänger müssen sich jederzeit und unkompliziert abmelden können, ohne dafür z.B. einloggen zu müssen oder andere Hürden zu durchlaufen. Sobald jemand den Newsletter abbestellt, darf das Unternehmen diese Adresse nicht weiter zu Werbezwecken anschreiben. Die Austragung sollte schnellstmöglich umgesetzt und ebenfalls dokumentiert werden.

Praxis-Tipp: Versenden Sie die Bestätigungs-Mail im Double-Opt-In ohne Werbung oder zusätzliche Angebote. Diese Mail sollte rein der Verifizierung dienen. Deutsche Gerichte haben nämlich entschieden, dass schon die geringste werbliche Zusatzaussage in einer Bestätigungsmail als unzulässige Werbung gewertet werden kann. Halten Sie die DOI-Mail also neutral und konzentrieren Sie sich auf den Bestätigungslink und Pflichtinformationen.

Opt-Out und Widerspruch: Umsetzung der Abmeldemöglichkeiten

Auch wenn das Opt-In im Datenschutz der Standard ist, müssen Unternehmen den Nutzern immer Möglichkeiten zum Opt-Out bieten – sprich, zur Beendigung einer zuvor erteilten Einwilligung oder zum generellen Widerspruch gegen unerwünschte Datenverarbeitungen. Eine kundenfreundliche Opt-Out-Strategie ist nicht nur gesetzlich geboten, sondern zeigt auch, dass Ihr Unternehmen die Autonomie der Betroffenen respektiert.

Typische Opt-Out-Mechanismen in der Praxis sind:

  • Unsubscribe-Link in E-Mails: Wie erwähnt, ist in Newslettern und Marketing-Mails ein Abmelde- oder Unsubscribe-Link Pflicht. Dieser sollte gut sichtbar (meist im Footer der E-Mail) platziert sein. Ein Klick darauf sollte genügen, um die Adresse aus dem Verteiler zu entfernen – ohne dass der Empfänger zusätzliche Schritte durchlaufen muss. Stellen Sie sicher, dass diese Abmeldung sofort wirksam wird und der Nutzer eine Bestätigung der Austragung erhält.
  • Opt-Out bei Cookies/Tracking: Neben dem initialen Opt-In über den Cookie-Banner sollten Websites den Nutzern auch im Nachhinein ermöglichen, ihre Einwilligungen zu verwalten. Dies kann z.B. über eine „Cookie-Einstellungen“-Funktion oder einen Privacy Settings-Link auf der Website geschehen. Dort können Nutzer bereits gegebene Einwilligungen widerrufen (Opt-Out), etwa indem sie Tracking-Cookies wieder deaktivieren. Technisch sollte dann umgehend das Tracking gestoppt und ggf. bereits gesetzte Cookies gelöscht werden.
  • Widerspruch gegen Datenverarbeitung: Für Fälle, in denen Daten auf Basis einer Interessenabwägung verarbeitet werden (und nicht auf Einwilligung), sieht Art. 21 DSGVO das Recht vor, Widerspruch einzulegen. Ein klassisches Beispiel ist Direktwerbung per Post oder Telefon: Hier muss Ihr Unternehmen eine einfache Möglichkeit bieten, dass Personen weitere Werbung ablehnen können – zum Beispiel über einen klar kommunizierten Kundenservice-Kontakt, an den man sich wenden kann, um aus Werbelisten gestrichen zu werden. In Deutschland existieren auch sogenannte Robinsonlisten, in die sich Verbraucher eintragen können, um generell keine Werbung von Mitgliedsunternehmen der Werbewirtschaft zu erhalten. Solche zentralen Opt-Out-Listen sollten von seriösen Unternehmen respektiert werden.
  • Widerruf von Einwilligungen: Wenn die Verarbeitung auf einer zuvor erteilten Einwilligung beruht (z.B. Nutzung von Kundenbildern zu Referenzzwecken), müssen Sie den Betroffenen jederzeit die Möglichkeit geben, diese Einwilligung zu widerrufen. Wichtig ist, dass ein Widerruf immer genauso leicht vorzunehmen ist wie die Einwilligung selbst. Praktisch heißt das: Wurde eine Einwilligung per Mausklick eingeholt, sollte auch der Widerruf per Mausklick oder formloser Mitteilung möglich sein. Informieren Sie Ihre Kunden zum Zeitpunkt der Einwilligung über dieses Recht (ein DSGVO-Erfordernis) und richten Sie unkomplizierte Prozesse ein, um Widerrufe zeitnah umzusetzen.

Unternehmen sollten intern klare Prozesse etablieren, um Opt-Out-Bedürfnisse der Nutzer effizient umzusetzen. Dazu gehört, dass Opt-Out-Anfragen (sei es per Klick, E-Mail oder Post) schnell bearbeitet werden und betroffene Daten zügig aus allen relevanten Verteilerlisten oder Datenbanken entfernt werden. Ebenso ist es ratsam, geschulte Mitarbeiter oder automatisierte Systeme vorzusehen, die Opt-Out-Wünsche dauerhaft berücksichtigen, damit z.B. ein einmal ausgetragenes Newsletter-Abonnement nicht versehentlich reaktiviert wird.

Umsetzungstipps für Unternehmen

Ein korrektes Opt-In/Opt-Out-Management erfordert sowohl technische Maßnahmen als auch organisatorische Sorgfalt. Nachfolgend einige Best Practices, wie Sie in Ihrem Unternehmen Opt-In- und Opt-Out-Verfahren datenschutzkonform gestalten können:

  • Transparente Einwilligung einholen: Sorgen Sie dafür, dass Opt-In-Erklärungen klar formuliert sind. Nutzen Sie verständliche Sprache und erklären Sie, wofür die Zustimmung gilt (z.B. „Ich willige ein, den monatlichen Newsletter zu erhalten.”). Vermeiden Sie vorab angekreuzte Kästchen – jede Einwilligung muss aktiv erfolgen.
  • Double-Opt-In nutzen: Implementieren Sie bei Newsletter-Anmeldungen oder ähnlichen wichtigen Einwilligungen stets das Double-Opt-In-Verfahren. Versenden Sie eine Bestätigungs-E-Mail und speichern Sie Protokolle, um den Nachweis der Einwilligung führen zu können. So schützen Sie sich vor falschen Eintragungen und erfüllen die Nachweispflicht.
  • Consent Management für Websites: Nutzen Sie ein professionelles Consent-Management-Tool für Ihre Website. Dieses stellt sicher, dass Cookies und Tracker erst nach Opt-In aktiviert werden, protokolliert die Entscheidungen der Nutzer und bietet die Möglichkeit, Einwilligungen jederzeit zu ändern (Opt-Out). Halten Sie das Tool technisch auf dem neuesten Stand, da sich rechtliche Anforderungen ändern können.
  • Einfache Opt-Out-Möglichkeiten bieten: Richten Sie nutzerfreundliche Wege ein, um Einwilligungen zu widerrufen. Dazu gehören gut sichtbare Abmeldelinks in E-Mails, leicht zugängliche Einstellungen auf der Website und eine schnelle Reaktionszeit auf direkte Widerspruchsanfragen. Kommunizieren Sie diese Möglichkeiten auch in Ihrer Datenschutzerklärung und in den Einwilligungstexten, damit Kunden wissen, wie sie ihr Recht ausüben können.
  • Dokumentation und Nachweis: Führen Sie ein Verzeichnis oder Logbuch der Einwilligungen. Jede erteilte Zustimmung (inkl. Zeitpunkt, Art der Einwilligung und Inhalt der Einwilligungserklärung) sollte nachvollziehbar gespeichert sein. Ebenso sollten Widerrufe dokumentiert werden. Im Falle einer Prüfung durch Aufsichtsbehörden oder bei Streitigkeiten können Sie so schnell belegen, dass Sie die Vorschriften eingehalten haben.
  • Schulung und externe Beratung: Stellen Sie sicher, dass Ihre Mitarbeiter, insbesondere im Marketing und Kundenservice, über die Bedeutung von Opt-In/Opt-Out Bescheid wissen und die Prozesse einhalten. Schulungen zum richtigen Umgang mit Kundendaten und zu den Rechten der Betroffenen sind hier sinnvoll. Gegebenenfalls kann es hilfreich sein, einen externen Datenschutz-Dienstleister hinzuzuziehen. Dieser kann Ihr Opt-In/Opt-Out-Management überprüfen, Sie zu aktuellen rechtlichen Entwicklungen beraten und dabei unterstützen, Ihre Maßnahmen stets auf dem neuesten Stand zu halten.

Indem Sie diese Punkte beherzigen, stellen Sie sicher, dass Ihr Unternehmen die Balance zwischen effektivem Marketing und strikter Datenschutz-Compliance wahrt. Korrekt implementierte Opt-In- und Opt-Out-Verfahren schützen nicht nur vor rechtlichen Risiken, sondern stärken auch das Vertrauen Ihrer Kunden – eine Grundlage für nachhaltigen geschäftlichen Erfolg ohne böse Überraschungen.

Zurück

Sichern Sie Ihr Unternehmen ab!

Sie haben Fragen zum Thema Datenschutz? Dann kontaktieren Sie uns oder machen Sie direkt online unseren Datenschutz Check für Ihr Unternehmen

Das könnte Sie auch interessieren:

Was ist die NIS2-Richtlinie?

  • Datenschutz

Die neue EU-Richtlinie NIS2 verpflichtet ab 2024 deutlich mehr Unternehmen zu erhöhter Cyber- und Informationssicherheit. Kritische Branchen sowie…

Weiterlesen

Was ist ein AV-Vertrag?

  • Datenschutz

Der Auftragsverarbeitungsvertrag (AV-Vertrag) ist ein zentrales Instrument der DSGVO. Er regelt, wie Dienstleister mit personenbezogenen Daten…

Weiterlesen

Löschkonzept nach DSGVO in Unternehmen

  • Datenschutz

Ein wirksames Löschkonzept nach DSGVO ist mehr als nur eine gesetzliche Pflicht. Es unterstützt Unternehmen dabei, Datenbestände transparent zu…

Weiterlesen

Meldung Datenschutzbeauftragter

  • Datenschutz

Die Benennung und Meldung eines Datenschutzbeauftragten ist für viele Unternehmen gesetzlich vorgeschrieben. Erfahren Sie, wann die Pflicht greift,…

Weiterlesen
Cookie Extension Logo