Compliance-Strategien und -VorschriftenDatenschutzCompliance in der Praxis

Opt-in und Opt-out – Wie funktioniert das Double-Opt-in nach DSGVO?

Opt-in und Opt-out – Wie funktioniert das Double-Opt-in nach DSGVO?
252x252-arthur_heydata_882dfef0fd.jpg
Arthur
17.05.2023

Darum geht's:

Der Artikel hebt die entscheidende Rolle des Datenschutzes im E-Mail-Marketing hervor. Er stellt das „Permission Marketing“ vor, bei dem Unternehmen Werbeinhalte nur an diejenigen senden, die ausdrücklich zugestimmt haben. Die „Double-Opt-In-Methode“ wird als DSGVO-konforme Methode zur Einholung einer solchen Zustimmung hervorgehoben. Sie beinhaltet ein erstes Opt-in, gefolgt von einer Bestätigungs-E-Mail. Der Artikel geht auch auf die rechtlichen Anforderungen gemäß Artikel 7 der DSGVO ein und betont, dass die Zustimmung klar, freiwillig und widerrufbar sein muss. Die „Opt-Out-Option“ muss leicht zugänglich sein, damit die Empfänger ihre Zustimmung zurückziehen können. Bei Nichteinhaltung drohen rechtliche Konsequenzen und Rufschädigung.

In der heutigen Zeit ist ein Leben ohne Internet für viele Menschen fast nicht mehr vorstellbar. Nachrichten werden studiert, E-Mails versendet und Einkäufe getätigt. In vielen Fällen ist die Angabe von Kontaktdaten nicht zu vermeiden und im Bereich des Onlineshoppings sogar notwendig. Oft werden die erhaltenen Daten aber nicht nur zu Durchführung einer Dienstleistung genutzt, sondern die erhaltenen Informationen werden genutzt und verarbeitet, um eine gewisse Kundenbindung zu erzielen. Die Folge können lästige Spam-Mails sein - in definierten Abständen werden weitere Informationen versendet, welche oft nicht erwünscht sind. Der Bereich des E-Mail-Marketings wird von vielen Unternehmen gerne genutzt, da es eine günstige Methode darstellt, um bei einem Kunden im Gedächtnis zu bleiben und die eigene Reichweite und Sichtbarkeit zu stärken. Unternehmen müssen hier einen Mittelweg finden und zwischen nerviger Werbung und hilfreichen Informationen unterschieden, um einen Interessenten nicht zu verärgern.

Grundsätzlich ist es wichtig, dass der Versender und auch der Empfänger die datenschutzrechtliche Relevanz dieser Marketingmethode richtig einschätzen können und in welchen Fällen Informationen überhaupt versendet werden dürfen. Besonders für den Empfänger von E-Mail-Marketing ist es wichtig zu wissen, wie eine Einwilligung abgegeben wird und wie ein Widerruf abgegeben werden kann. Unternehmen müssen erkennen, dass E-Mail-Marketing nur dann möglich ist, wenn der Datenschutz gewährleistet ist und einige Grundvoraussetzungen gegeben sind. Wird dies nicht beachtet, so können rechtliche Konsequenzen die Folge sein, die gleichzeitig einen Imageverlust und finanzielle Einbußen bedeuten. Besonders Unternehmen ist anzuraten, sich über diesen Bereich genau zu informieren und im Fragefall die Datenschutzexperten von heydata zu kontaktieren, um einen E-Mail-Versand rechtssicher durchzuführen.

Inhaltsverzeichnis:

Permission Marketing – was steckt dahinter?

Permission Marketing ist eine Methode, welche in vielen Marketingabteilungen verwendet wird. Dieser Bereich umfasst die Versendung von Informationen und Werbung und setzt eine Einwilligung des Empfängers voraus. Permission Marketing wird von Unternehmen genutzt, um an relevante Kontaktinformationen zu gelangen. Oft werden attraktive Kampagnen gestartet, bei denen dem Empfänger Rabatte, Produktproben oder auch Gewinne angeboten werden. Die Zielsetzung hierbei ist, dem Kunden ein gutes Gefühl zu vermitteln und ihn somit zur Herausgabe seiner persönlichen Kontaktinformationen zu bewegen. Die Intension der Unternehmen ist hierbei, eine langfristige Kundenbindung zu erzielen und den Kunden über Dienstleistungen, Produkte und Aktionen zu informieren – aus dem Versand der Informationen wird im besten Fall ein Vertragsabschluss resultieren. Besonders im B2B-Bereich werden die erhaltenen Kontaktinformationen an den Bereich Sales weitergegeben, der die Informationen zur Kontaktaufnahme verwenden wird. Permission Marketing stellt einen Umsatzmotor dar, auf den wenige Unternehmen verzichten können und somit ist es sehr wichtig, alle rechtlichen Vorgaben strikt einzuhalten, um eine erfolgreiche Arbeit zu garantieren.

Wird Permission Marketing in Bezug auf E-Mail-Marketing betrieben, so geht das Versenden von Mails mit einer ausdrücklichen Einwilligung einher und diese wird in den meisten Fällen durch das Double-Opt-in-Verfahren sichergestellt. Dieses Verfahren wird von Unternehmen verwendet, um zu gewährleisten, dass allen rechtlichen Anforderungen entsprochen wird, welche den unlauteren Wettbewerb (UWG) und sämtliche Datenschutzgesetze beinhalten.

Opt-in – was bedeutet das?

Den Auswahlfeld Opt-in wird ein Nutzer des Internets meistens bei einer Einwilligungsanforderung nicht vorfinden, aber der Begriff Opt-in ist den bekannten Feldern „Einwilligung“ oder „Consent“ gleichgestellt, welche von Unternehmen genutzt werden. Die Einwilligung kann für einen Fall genutzt werden, aber es ist durchaus möglich, die Einwilligung auch für mehrere Fälle abzugeben. Wichtig ist, dass Opt In für den Nutzer ein Anmeldeverfahren darstellt, bei dem eine aktive Einwilligung abgegeben wird. Im Bereich des E-Mail-Marketings wird von Unternehmen oft das Double-Opt-in-Verfahren verwendet.

Wird der Bereich des Datenschutzes betrachtet, so stellt die Anforderung zur Abgabe und Verarbeitung von personenbezogenen Daten eine Situation dar, welche nach dem Art. 7 DSGVO zu behandeln ist. In diesem Artikel ist definiert, wie eine Einwilligung rechtskonform abgegeben werden kann:

  • Die Einwilligung muss nachweisbar erteilt worden sein.
  • Die Einwilligung muss in verständlicher und leicht zugänglicher Form eingefordert werden.
  • Die Sprache der Einwilligung muss in einer klaren und einfachen Sprache formuliert werden.
  • Die Einwilligung muss ausdrücklich für einen Zweck bestimmt sein.
  • Die Einwilligung hat eine freiwillige Basis
  • Es muss über das Recht auf Widerruf aufgeklärt werden.
  • Ein Widerruf ist einfach abzubilden und gleicht der einfachen Form der Einwilligung.

Für Verantwortliche in einem Unternehmen bedeutet dies, dass beispielsweise in einem Online-Formular keine Checkboxen vorhanden sein dürfen, bei denen einzelne Punkte vorausgewählt sind. Grundsätzlich ist auf eine transparente Datenschutzkonformität zu achten, welche in Art. 12ff. der DSGVO definiert ist. Somit muss bei der Erteilung einer Einwilligung immer eine eigene Checkbox angeboten werden. Dies ist besonders für Unternehmen wichtig, welche eine E-Mail-Software für den Versand von E-Mail-Informationen nutzen. In der Praxis wird in vielen Fällen nur die Einwilligung eingeholt, welche den Versand der E-Mails gestattet. Da viele Unternehmen auch eine Bewertung und eine Erfolgsmessung der E-Mail-Kampagne vornehmen, ist zu beachten, dass in diesem Fall ein gesonderter Zweck zwingend anzugeben ist.

GDPR_&_Marketing-WP-Mockup-DE.png

Du möchtest die DSGVO für deine Marketingstrategie meistern?

Hol dir unseren kompletten Leitfaden und lerne von Beispielen aus der Praxis.

Die Definition von Double-Opt-in

Wird sich mit dem Opt-in-Verfahren beschäftigt, so wird ein Verantwortlicher schnell erkennen, dass dieses Verfahren ein generelles Problem beinhaltet. Der Nachweis einer Einwilligung ist eine grundsätzliche Anforderung und diese Vorgabe kann nur sehr schwer über ein einfaches Opt-in-Verfahren erfüllt werden. In der Praxis würde dies bedeuten, dass eine Einwilligung und personenbezogene Daten auch von einer Person abgegeben werden können, die nicht in den Prozess involviert ist. Aus diesem Grund ist eine Legitimation der betroffenen Person nur unzureichend darstellbar.

Unternehmen müssen mit dieser Problematik umgehen können und somit wird oft auf das Double-Opt-in-Verfahren zurückgegriffen, welches mehr Rechtssicherheit verspricht. Dieses Verfahren werden auch Privatpersonen aus der Praxis kennen, denn bei einem Double-Opt-in wird gleichzeitig ein Bestätigungslink an den angesprochenen Empfänger versendet, welcher den Erhalt bestätigen muss. Mit diesem Verfahren ist es dem Versender möglich, den Inhaber der angegebenen E-Mail-Adresse eindeutig zu identifizieren und zu legitimieren. Wird sich über die Anforderungen zur Anwendung des Double-Opt-in informiert, so wird erkennbar, dass diese auch nach dem Art. 7 der DSGVO definiert werden und somit mit den Anforderungen aus der einfachen Einwilligung gleichzustellen sind. Ein Unternehmen muss sicherstellen, dass die abgegebenen personenbezogenen Daten erst nach der eindeutigen Bestätigung der Double-Opt-in in einen eventuellen E-Mail-Verteiler aufgenommen werden.

Das Verfahren bietet Unternehmen nicht nur Sicherheit bezügliches des Datenschutzes, sondern erfüllt gleichzeitig die Vorgaben hinsichtlich der Vermeidung eines unlauteren Wettbewerbes. Das UWG definiert, dass der Versand eines Newsletters eine unzumutbare Belastung darstellen kann. § 7 Abs. 2 Nr. 3 des UWG definiert, dass eine unzumutbare Belastung stets anzunehmen ist und Werbemails als unzumutbar einzustufen sind, wenn keine ausdrückliche Genehmigung vorliegt. Werbung wird als absatzfördernde Maßnahme definiert und somit umfasst dieser Bereich alle geschäftlichen Maßnahmen, welche als Zielsetzung einen Absatz von Waren oder das Anbieten von Dienstleistungen beinhalten.

Vor- und Nachteile Double-Opt-in

Für Unternehmen beinhaltet das gängige Verfahren den Vorteil, dass eine rechtssichere Methode gefunden wurde, wie der Erhalt von Mailings direkt von einem Empfänger bestätigt werden kann. Ein Unternehmen muss nur darauf achten, dass der Aufbau der Bestätigungsmail rechtskonform gestaltet wird.

Für Empfänger von Mails hat das DOI einen Nachteil, da nach der Bestätigung ein Link versendet wird, der oft in einem Spam-Ordner landet. Somit können die gewünschten Informationen schnell in Vergessenheit geraten. Für Unternehmen stellt das Double-Opt-in eine Herausforderung dar, da ein gewisser administrativer Aufwand einzuplanen ist.

Opt-Out – welche Bedeutung steckt dahinter?

Der Begriff Opt out steht in der englischen Sprache für einen Widerruf. Dieser Widerruf erfüllt den Zweck, dass beispielsweise eine Datenverarbeitung untersagt werden kann und somit einer Werbemail widersprochen wird. Soll ein Widerruf durch eine Opt-Out ausgesprochen werden, so wird dem Versender von Newslettern oder Werbung untersagt, weiterhin Mails an den ehemaligen Empfänger zu versenden. Soll einer Einwilligung widersprochen werden, so ist die Rücknahme der Einwilligung und somit der Widerruf von der Person zu tätigen, welche als Empfänger gelistet ist. Rechtlich ist zu unterscheiden, dass dieser Widerruf ohne die Angabe von Gründen erfolgen kann und somit einen Unterschied zu einem Widerruf darstellt, der nur mit einer Begründung gültig ist. In der Praxis wird ein Empfänger in Newslettern oder auch bei Werbung im Fußbereich einen Link vorfinden, der einen digitalen Widerruf zulässt. Die Möglichkeit des Widerrufs muss von den Versendern so platziert werden, dass der Empfänger keine Schwierigkeiten hat, den Widerspruch auszulösen.

Fragen zum Datenschutz? Wir helfen gerne weiter!

Jetzt kontaktieren!

Fazit

Zusammenfassend lässt sich sagen, dass Permission Marketing ein wichtiger Bestandteil des Marketings für viele Unternehmen ist. Dabei ist jedoch zu beachten, dass der Datenschutz gewährleistet sein muss und die rechtlichen Vorgaben strikt einzuhalten sind. Das Double-Opt-in-Verfahren ist ein gängiges Verfahren, um den Empfänger über den Erhalt von E-Mails aktiv informieren und seine Einwilligung einholen zu lassen. Es ist wichtig, dass Unternehmen sich über die rechtlichen Anforderungen im Bereich des E-Mail-Marketings im Klaren sind und sich an die Vorgaben halten, um finanzielle und imagebezogene Konsequenzen zu vermeiden. Ein rechtssicherer E-Mail-Versand kann nur gewährleistet werden, wenn alle relevanten Vorgaben und Gesetze befolgt werden.

Weitere Artikel

8 Schritte zur DSGVO-Konformität für SaaS Unternehmen

8 Schritte zur DSGVO- Konformität für SaaS Unternehmen

Die Einhaltung der DSGVO ist für in der EU tätige SaaS-Unternehmen unerlässlich, um personenbezogene Daten zu schützen und Vertrauen aufzubauen. Zu den Risiken bei Nichteinhaltung gehören Geldbußen von bis zu 20 Millionen Euro, Rufschädigung, eine langsamere Produktentwicklung und rechtliche Probleme. Um die Einhaltung der Vorschriften zu gewährleisten, sollten Unternehmen Datenprüfungen durchführen, einen Datenschutzbeauftragten ernennen, Datenschutz-by-Design-Grundsätze einführen, Einwilligungsmanagementsysteme implementieren, Anfragen betroffener Personen effektiv verwalten, die Sicherheit stärken, Lieferantenvereinbarungen überprüfen und einen Plan zur Reaktion auf Verstöße erstellen. Diese Schritte stärken das Vertrauen, gewährleisten die Einhaltung der Vorschriften und verschaffen einen Wettbewerbsvorteil.

Mehr erfahren
Ist deine DNA sicher?

Ist deine DNA sicher? Risiken von Gentests und wie du deine Daten schützen kannst

Erfahre mehr über die Folgen der Datenschutzverletzung bei Gentests, wie sie sich kürzlich bei 23andMe ereignet hat, und verstehe die dringende Notwendigkeit, genetische Informationen zu schützen. Entdecke die Risiken, die mit solchen Datenschutzverletzungen einhergehen, und gewinne Einblicke in effektive Lösungen zum Schutz der DNA-Privatsphäre in einer Zeit, in der technologische Fortschritte die rechtlichen Rahmenbedingungen überholen. Erkunde bewährte Verfahren, regulatorische Überlegungen und Expertenlösungen wie heyData, die darauf ausgelegt sind, deine Datenschutzmaßnahmen zu stärken und dich in die Lage zu versetzen, dich sicher in der komplexen Landschaft der Gentests zurechtzufinden.

Mehr erfahren
NIS2-Part-Two-DE

Wichtige Schritte und Risiken bei Nichteinhaltung der NIS2-Richtlinie

Die NIS2-Richtlinie, die ab dem 17. Oktober 2024 in Kraft tritt, schreibt strengere Cybersicherheitsanforderungen in der gesamten EU vor und zielt auf ein breiteres Spektrum von Sektoren ab. Zu den Risiken bei Nichteinhaltung gehören hohe Geldstrafen, Durchsetzungsmaßnahmen, Rufschädigung, Betriebsstörungen und sogar strafrechtliche Sanktionen für die oberste Führungsebene. Um die Anforderungen zu erfüllen, müssen Organisationen zunächst prüfen, ob sie in den Geltungsbereich der Richtlinie fallen, und dann ihre Cybersicherheitsmaßnahmen bewerten und verstärken. Dazu gehören die Verbesserung des Risikomanagements, der Zugangskontrollen, der Reaktion auf Vorfälle und der Sicherheit durch Dritte. Bei der Einhaltung geht es nicht nur um die Einhaltung von Gesetzen, sondern auch um die Verbesserung der allgemeinen Sicherheit und des Vertrauens.

Mehr erfahren

Lerne jetzt unverbindlich unser Team kennen!

Kontakt aufnehmen