Das Wichtigste zu Opt-In in Kürze
- Die Opt-Verfahren existieren schon, seit es Werbung per Post gibt. So lange sind sie auch gesetzlich geregelt.
- Single-Opt-In ist anfällig für Fehler, da nur eine Email-Adresse angemeldet werden muss, um eine Einwilligung zu geben.
- Double-Opt-In ist die rechtssichere Variante, hier wird die Adresse angemeldet und via Link in der Bestätigungsmail akzeptiert.
Wieso gleich Double-Opt-In?
Inhaltsverzeichnis
Um beispielsweise einen Newsletter zu abonnieren, reichen oft nur wenige Klicks. Doch diese kleinen Schritte sind Teil des sogenannten Opt-In-Verfahrens. Diese Form des Marketing ist im Gegensatz zu seinem Vetter Opt-Out-Verfahren jederzeit zulässig. Aber warum ist das Abo des wöchentlichen Katzen-Witzes wie ein Marketing-Verfahren reglementiert? Und warum sind Opt-In und Opt-Out so unterschiedlich geregelt?
Unerwünschte Werbung ist häufig ein Grund für Ärger. Egal ob die Werbung im Briefkasten oder der elektronischen Mailbox liegt, stellt sich doch die Frage, woher die Daten kommen, mit denen die Sender arbeiten. Um den Verbraucher im Internet zu schützen, muss für eine rechtmäßige Anmeldung in einem Mailverteiler (egal ob Werbung oder nicht) eine Bestätigung eingeholt werden.
Ohne eine Bestätigung per E-Mail (wie bei Single-Opt-In) können Fehler und Missbrauch häufiger stattfinden. Hierbei wird nur einseitig die Adresse des Empfängers in den Verteiler eingetragen. So können auch Adressen von dritten Personen oder Organisationen angegeben werden, die kein Interesse an den Inhalten haben. Diese Variante war lange die Methode der Wahl, um eine Leserschaft für beispielsweise einen Newsletter zu gewinnen.
Beim Double-Opt-In wird eine Bestätigungsmail versendet, über die die Mitgliedschaft im Verteiler noch einmal verifiziert werden kann. Ohne eine solche Rückkopplung sind die Verteilerlisten schnell mit Karteileichen und unfreiwilligen Empfängern gefüllt. Obwohl es für das Double-Opt-In keine bindende Rechtslage gibt, wird immer häufiger ein solches angeordnet, wenn es einen Streit über die Anmeldeverfahren gibt.
Was passiert in einem Double-Opt-In-Verfahren?
Heutzutage kann ein Opt-In einfach per Formular gemacht werden. Personen, die Interesse haben können so das Opt-In-Verfahren schnell bewältigen und den gewünschten Newsletter erhalten. Beim Double-Opt-In muss zuerst die Aufnahme in den Verteiler beantragt werden. In den meisten Fällen ist dazu nur ein Klick nötig.
Dann müssen verschiedene Daten angegeben werden. Da Mail-Adressen auch personenbezogene Daten sind, muss eine Datenschutzerklärung vorliegen, die den Nutzer informiert, was mit seinen Daten passiert. Oft werden auch Daten wie der Name abgefragt, um das Double-Opt-In-Verfahren rechtssicher zu machen. Diese Daten müssen gemäß dem geltenden Recht geschützt werden.
Nach diesem Schritt erhält der Interessierte eine Mail mit der Aufforderung, den Auftrag zu bestätigen. Damit kann sichergestellt werden, dass der Auftraggeber auch die notwendigen Berechtigungen für das Email-Konto hat. Dieser Teil des Double-Opt-In-Verfahrens ist der sogenannte Backloop, der Unbeteiligte vor Störern schützen soll.
Wird dieser Prozess automatisiert, enthält die Bestätigungsmail einen Link, der auf den entsprechenden Eintrag in der Verteilerliste verweist und diese dann freigibt, wenn der Link aktiviert wurde. Punkte auf der Liste, die nicht aktiviert werden, müssen zeitnah wieder gelöscht werden.
Wenn anstatt eines Bestätigungslink für den Opt-In eine Mail verlangt wird, die einer Aufnahme in die Verteilerliste widerspricht, heißt es nicht mehr „Double-Opt-In“ sondern „Confirmed-Opt-In“. Diese Variante wird häufig missbraucht, da hier Ignoranz nicht zu einer Auflösung der Vereinbarung führt.
Jan meint
25. Juli 2023 at 16:58
Der Artikel kennt keinen Unterschied zwischen gewerblichen Abonennten die keine Person im Sinne des DSGVO ist, also z.B. vertrieb@firma.de und echten Menschen, also z.b. Max Mustermann@webmailanbieter.de die einen Newsletter abonnieren.
Kann ich eine Newsletterempfänger Liste mit rein gewerblich Adressen machen OHNE die Zustimmung von irgendwem zu haben? Beantwortet der Artikel nicht und zeigt damit, an wen sich diese Plattform hier wendet.
Helago meint
9. Juni 2022 at 16:38
Guten Tag, ich bekomme seit einiger Zeit Werbemails nach dem Double-Opt-In verfahren, habe mich aber nirgendwo angemeldet. Kann es sein, dass gmx meine Daten weiter gegeben hat ohne mich darüber zu informieren. Welche Rechtsverstöße gibt es hier? Welche Schadenersatzansprüche kann ich geltend machen?
Serge meint
18. Oktober 2021 at 12:04
Hi can the double opt-in also be confirmed through whatsapp or sms? Or does it have to be E-mail?
FB meint
22. September 2021 at 9:48
Guten Tag zusammen,
wie sieht es im Hinblick auf die Double opt in Pflicht aus, wenn es sich um den Online-Verkauf handelt, in welchem persönliche Daten inkl. E-Mailadresse abgefragt werden?
Müssen hier die angemeldeten Personen (bspw. wenn es sich um den Verkauf von Veranstaltungen handelt und mehrere Personen angemeldet werden) jeweils einzelne DOI-Bestätigungen erhalten, damit so der Verkauf der Veranstaltungstickets in der Folge erst bestätigt werden kann?
Vielen Dank vorab für Ihre Rückmeldung.
Lukas meint
5. August 2021 at 13:48
Hallo,
vielen Dank für diesen Beitrag!
Reicht für ein einfaches Kontaktformular auf der Webseite ein Single-Opt-In oder ist hier ein Double-Opt-In notwendig?
Frank meint
22. Juli 2021 at 15:30
Das DOI wird auch gerne gefälscht. Zwar stimmen E-Mail und IP-Adresse, aber es gibt keine E-Mail, d.h. die IP-Adresse wird z.B. aus einer anderen Spam-Mail mit einem codierten Bild-Download abgefischt. Die gespeicherten Daten (Zeitstempel und IP der beiden Opt-Ins) können so auch einfach automatisiert abgespeichert werden, dass es „plausibel wirkt“. Der Nachweis oder Gegenbeweis der Datenherkunft wird schwer, wenn die Daten alle paar Monate „aufgefrischt“ werden, s.d. der Ursprung, also der erste angebliche DOI nicht mehr nachvollziehbar ist; aber er muss alt genug sein, dass der angebliche Abonnent keinen Gegenbeweis (z.B. lückenloses SMTP-Protokoll) hat. Wenn die Daten dann noch auf einen anderen Datenbank-Anbieter migriert werden, ist die Datenbasis eigentlich bestandslos.
Auch ein angeblicher „Unsubscribe-Link“ kann zur Gefahr werden, denn da nicht gespeichert wird, WARUM man Adresse und IP überträgt, sondern nur DASS man sie überträgt, kann dies wiederum als neuer „Nachweis“ für einen DOI missbraucht werden.
Der Standard-Eintrag von IP, Zeitstempel und Adresse kann keine Dokumentation für eine Willenserklärung sein, weil es keinen Nachweis gibt, welcher Wille hier eigentlich dokumentiert wurde, auch wenn das Häkchen auf der Webseite sauber mit allem notwendigen versehen ist. Das wäre ja so, als wenn man nur die Unterschrift und das Datum speichert, und hinterher sagt „Sie haben doch diesen Vertrag unterschrieben“, auch wenn die Unterschrift für etwas ganz anderes war.
Der Datenschutz ist hier also noch völlig zahnlos und lässt Betrügern Tür und Tor weit offen. Das muss eigentlich mal gerichtlich von Verbänden durchexerziert werden.
Der einzige Weg, diesen Betrug zu stoppen, ist, auch die versendete DOI-E-Mail mit SMTP-Übertragungsprotokoll speichern zu müssen. Und sorry, wenn das Aufwand für die ehrlichen Versender bedeutet, aber beschimpft nicht Verbraucherschutz und Gesetzgeber, sondern die Betrüger („spezialisierte Marketing-Agenturen“), die jede Lücke gnadenlos ausnutzen und mit ihren europäischen Netzwerken aus Gewinnspielen und Adressdatenbanken die Adressen dann an Werbende verkaufen. Der genannte wöchentliche Katzenwitz mag gut gemeint sein und ist in dem Sinne keine Werbung, aber der Versand ist immer noch billig und kann beliebig missbraucht werden, und dann reicht oft der Nebensatz „…ist mit Empfang von E-Mails von Partnern einverstanden“, um die Werbung wieder zu legitimieren.
Felix meint
18. Mai 2021 at 12:48
Hi,
eine simple Frage:
Ein Kunde ist subscriber. Er hat den Double Opt-in durchlaufen. Nach einer weile meldet er sich vom NL ab. Nach einer gewissen Zeit entscheidet er sich aber, dass er den NL wieder haben möchte und klickt in seinem Userprofil auf NL abonnieren.
Braucht es in diesem Fall einen erneuten DOI oder kann man davon ausgehen, dass das der Kunde ist, da er die Einstellung mit bereits bestätigter Email-Adresse in seinem Profil vorgenommen hat.
Vielen Dank
Felix
Tatjana P. meint
1. September 2020 at 18:47
Hallo Datenschutz Team,
Ich würde mich sehr über eine Auskunft freuen im Bezug auf was genau gespeichert werden muss um den DOI Rechtskräftig zu machen.
Die eine Partie besteht darauf, dass bei der Einsammlung der Kontaktdaten und der Einwillung des DOI auch die IP Adresse mitgespeichert werden muss um rechtskräftig zu sein vor Gericht.
Die Perspektive der anderen Partie ist jedoch, dass die IP-Addresse (wie auch in Ihrem Artikel u.a. beschrieben) auch als personenbezogene Daten gilt und wenn nicht notwendig nicht abgespeichert werden sollte.
https://www.datenschutz.org/ip-adresse-datenschutz/
Besonders in dieser Zeit variert die IP Adresse ja auch ab, von der normalen IP-Addresse am Arbeitsplatz, welches ja auch weitere Probleme darstellen könnte wenn ich das Richtig sehe.
Ich würde mich sehr freuen, wenn Sie hierzu eine Auskunft geben können ob bei dem DOI Prozess die IP Addresse mit abgespeichert werden muss oder ob die abgefragten Daten, mit TimeStamp und Confirmation Status des DOI’s ausreichen.
Vielen Dank im Voraus für die Hilfe
Tatjana
datenschutz.org meint
4. September 2020 at 14:54
Hallo Tatjana,
bitte wenden Sie sich zur Klärung dieses Falles an den zuständigen Datenschutzbeauftragten.
Die Redaktion von datenschutz.org
KAH meint
8. Juni 2020 at 17:39
Wenn ein Leser ein Abo meines Newsletters anstrebt und aus technischen Gründen kein Double-Opt-In bekommt, kann ich ihn einmalig per E-Mail um eine Bestätigung bitten? Der Leser hat mit einem Häkchen auf die Datenschutzverordnung gesetzt. Das heißt, ich würde ihn erst in der Newsletterliste eintragen, wenn er auf meine E-Mail bestätigt, dass er dies möchte.
Der Grund: Nachdem ich ein Upgrade bei meinem Newsletteranbieter durchgeführt hatte, funktionierte die Anmeldungen nicht mehr richtig, das hatte ich aber erst später entdeckt. Der Anbieter schob die Schuld auf einem Plug-In einer 3. Partei und dessen Anbieter schob die Schuld zurück auf den Newsletteranbieter.
Ich habe deswegen Newsletteranbieter gewechselt und versuche gerade die Newsletter Anmeldeformulare neu einzurichten.
Anja meint
21. November 2018 at 20:19
Hallo, ist es möglich einen Reminder zu senden, wenn der User auf die Bestätigungsmail nicht regiert hat, z.B. weil er die Mail übersehen hat. Oder ist eine 2. Mail mit dem Bestätigungsmail bereits Spam?
RSH meint
21. Januar 2020 at 12:18
Ja, das ist Spam. Denken Sie daran, dass jemand Drittes Ihren Interessenten ohne sein Wissen eingetragen haben kann. Dann hat der scheinbare Interessent die Mail natürlich weggeworfen und nicht bestätigt.
Gerade das ist ja das Ziel des DOI, dass der Interessent sein Interessen klar dokumentiert. Aber das bedeutet auch, dass er ablehnen kann, ohne von Ihnen „belästigt“ zu werden.
H. meint
13. September 2018 at 23:29
Guten Tag,
ich habe da Mal eine Frage. Gerne möchte ich im B2B Bereich Werbung per Mail an meine Zielgruppe versenden. Dass dies nicht so einfach ist mir nun nochmal sehr bewusst geworden, da für jeden Kontakt in Werbeform eine Einwilligung des Empfängers benötigt wird.
Nun zum Thema: Ich würde gerne Mails an meine Zielgruppen versenden, vorher aber natürlich über ein DOI Verfahren absichern, dass der Kunde tatsächlich informiert werden möchte. Hier würde gerne eine DOI Mail versenden „Lieber Kunde, Sie sind nur 1 Klick zum Erhalt unseres Newsletters entfernt“. Ist aber nicht schon die Anfrage über das Interesse am Newsletter Werbung ?
Vielen Dank im Voraus
H.
datenschutz.org meint
17. September 2018 at 15:33
Hallo,
bitte wenden Sie sich zur Klärung solch spezifischer Fragen an einen Datenschutzbeauftragten. Dieser kann Sie bei der rechtssicheren Gestaltung von Marketing-Strategien unterstützen.
Die Redaktion von Datenschutz.org
Bernhard meint
5. August 2018 at 22:12
Nachweis der Einwilligung:
Wenn man kein Double-Optin hat, dann hat man ja dennoch den Nachweis der Einwilligung des Benutzers, wenn dieser vor bzw. bei der Anmeldung ausdrücklich ein Häkchen ankreuzt, und den Bedigungne zustimmt.
Wenn nun ohne double-optin die Anmeldung erfolgt, wird ja auch diese Zustimmung in der Autoresponder Software gespeichert. Und damit kann ja auch der elektronische Nachweis erbracht werden.
D.h. also, ein SINGLE-OPTIN würde auch in diesem Falle ausreichend sein und ein DOUBLE-OPTIN scheint hier nicht vorausgesetzt zu werden.
Was meint Ihr dazu?
Danke für Eure Informationen!
datenschutz.org meint
8. August 2018 at 17:14
Hallo Bernhard,
die Pflicht zum Double-Opt-in-Verfahren ergibt sich in der Regel aus dem Gesetz gegen den unlauteren Wettbewerb (UWG), nicht vornehmlich aus der DSGVO.
Die Redaktion von Datenschutz.org
AR meint
14. Juli 2018 at 15:59
Sehr geehrte Damen und Herren,
nehmen wir mal an – was ja auch sehr häufig in der Praxis der Fall ist – man telefoniert mit einem Entscheider beim Zielkunden und dieser bittet um die Zusendung eines Produktflyers oder einer Preisindikation per E-Mail. Im besten Fall hat man einen Termin vereinbart und versendet nach dem Vor-Ort Termin mit dem Entscheider die gewünschten Infos per E-Mail. Die Frage ist: In beiden Fällen liegt ja kein „Opt-In“ vor bzw. eine schriftliche Einverständniserklärung zur Kontaktaufnahme per E-Mail. Ich hatte noch nie Probleme mit diesem Thema; aber der Gesetzgeber hat doch hier nicht ganz zu Ende gedacht, oder?
Viele Grüße aus Frankfurt
A R
datenschutz.org meint
31. Juli 2018 at 15:29
Hallo AR,
hier hilft ein Blick in Art. 6 Abs. 1 lit. b DSGVO, wonach eine Datennutzung rechtmäßig ist, wenn sie „für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich [ist], die auf Anfrage der betroffenen Person erfolgen.“ Eine Einwilligung (Opt-in) ist in diesen Fällen nicht nötig.
Die Redaktion von Datenschutz.org