Opt-out, Opt-in und Double-Opt in

Dieser Beitrag zeigt Dir auf, was die Prozesse "Opt-in", "Opt-out" und "Double-Opt-in" bedeuten und wie Du sie im Datenschutz korrekt einsetzt.

Was bedeutet Opt-in, Opt-out und Double-Opt-in?

Opt-in, Opt-out und Double-Opt-in sind nichts anderes als Prozesse. Sie dienen der Feststellung, ob eine Person mit der Bearbeitung ihrer Daten einverstanden ist und ob die bekannt gegebenen Daten richtig sind.

Das Opt-in ist der ausdrücklichen Einwilligung gleichgesetzt. Ein korrektes Opt-in setzt voraus, dass eine Person vorgängig angemessen über die Datenbearbeitung informiert wird und der Datenbearbeitung danach freiwillig zustimmt (Art. 6 revDSG).

Das Opt-out kann eine Form der konkludenten Einwilligung darstellen. Konkludent bedeutet, dass die betroffene Person sich so verhält, dass von einer Einwilligung ausgegangen werden kann (bspw. das Nichtentfernen eines automatisch gesetzten Häkchens).

Als Opt-out wird allerdings auch der Widerruf der Einwilligung oder der allgemeine Widerspruch gegen eine Datenbearbeitung bezeichnet (Art. 30 Abs. 2 revDSG). Bei Letzterem handelt es sich um eine ausdrückliche Erklärung, dass die betroffene Person mit der Datenbearbeitung nicht einverstanden ist. Der Widerspruch kann jederzeit erhoben werden und ist nicht an eine vorgängige Einwilligung gekoppelt.

Das Double-Opt-in beschreibt einen Prozess der Verifikation.

Die nachfolgende Grafik gibt Dir einen Überblick über die drei Prozesse:

Wann musst Du eine solche Einwilligung einholen?

Im europäischen Datenschutzrecht, d.h. unter der DSGVO, dürfen Personendaten nur bearbeitet werden, wenn dazu eine Rechtsgrundlage besteht. Das heisst die Datenbearbeitung ist ohne eine Rechtsgrundlage unzulässig. Eine solche Rechtsgrundlage ist beispielsweise eine Einwilligung.

Dagegen ist in der Schweiz die Datenbearbeitung ohne Rechtsgrundlage zulässig. Du als Bearbeiter musst lediglich die Bearbeitungsgrundsätze einhalten. Solange Du die Bearbeitungsgrundsätze einhältst, darfst Du die Personendaten grundsätzlich ohne die Einwilligung der betroffenen Person oder anderweitiger Rechtsgrundlage bearbeiten.

Wenn Du die Bearbeitungsgrundsätze nicht einhältst, brauchst Du einen Rechtfertigungsgrund für diese Datenbearbeitung. Die Einwilligung der betroffenen Person ist ein solcher Rechtfertigungsgrund. Im Gegensatz zum europäischen Datenschutzrecht ist die Einwilligung im Schweizerischen Recht ein Rechtfertigungsgrund für eine nicht rechtmässige Datenbearbeitung und nicht eine Rechtsgrundlage, welche der Datenbearbeitung von Grund auf ihre Rechtmässigkeit verleiht.

Ein weiterer Rechtfertigungsgrund ist das überwiegende private oder öffentliche Interesse an einer Datenbearbeitung (Art. 31 revDSG). Ein solch überwiegendes Interesse hat beispielsweise, wer in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags, Personendaten über den Vertragspartner bearbeitet.

Eine Einwilligung ist zur Rechtfertigung einer Datenbearbeitung somit nicht zwingend erforderlich. Da Einwilligungen von den betroffenen Personen jederzeit widerrufen werden können, kann es sogar von Vorteil sein, wenn Du die Datenbearbeitung auf ein überwiegend privates Interesse stützen kannst.

Wann setzt Du den Opt-in-Prozess ein?

Ist für die Bearbeitung von besonders schützenswerten Daten oder beim Profiling mit hohem Risiko eine Einwilligung notwendig, weil die Bearbeitungsgrundsätze nicht eingehalten sind, muss diese ausdrücklich erfolgen (Art. 6 revDSG). In einem solchen Fall würde ein bereits vorangekreuztes Kästchen den gesetzlichen Anforderungen nicht genügen. Das Häckchen oder Kreuzchen muss von den betroffenen Personen also selbst gesetzt werden.

Wann setzt Du den Opt-out-Prozess ein?

Wenn die betroffene Person die Datenbearbeitung ausdrücklich verweigert, musst Du die Datenbearbeitung einstellen.

Beispiel: Die Betreiber einer Webseite machen die Besucher/-innen mittels Cookie-Banner auf die Datenbearbeitung aufmerksam. Das Kästchen für die Zustimmung der Datenbearbeitung wurde von den Betreibern der Webseite bereits angekreuzt. Dem Nutzer steht es nun frei, das Kreuzchen zu entfernen und die Datenbearbeitung zu verweigern.

Wann setzt Du den Double-Opt-in-Prozess ein?

Beim Versenden von Werbemails trägst Du das Risiko, dass eine fremde oder falsche E-Mail-Adresse angegeben wird. Um dies zu vermeiden, kannst Du einen Double-Opt-in-Prozess einbinden. Dabei holst Du zunächst die gesetzlich vorgesehene erste Einwilligung (Opt-in) ein, indem die betroffene Person Dir bspw. eine E-Mail-Adresse zum Empfang eines Newsletters angibt. In einem zweiten Schritt stellst Du eine Bestätigungsmail an die angegebene E-Mail-Adresse zu. Nachdem die betroffene Person die E-Mail-Adresse bestätigt hat, kannst Du Deinen Newsletter an diese verifizierte E-Mail-Adresse versenden.

Das Double-Opt-in ist eine Sicherheitsmassnahme für Dein Unternehmen und in der Schweiz gesetzlich nicht vorgeschrieben. Beachte jedoch, dass Du als Verantwortlicher gesetzlich verpflichtet bist, Dich über die Richtigkeit der beschafften Personendaten zu vergewissern. Wenn Du Werbemails an eine falsche E-Mail-Adresse versendest, bearbeitest Du falsche Personendaten. Dies verletzt den Grundsatz der Datenrichtigkeit und stellt eine Persönlichkeitsverletzung dar.

Damit Du den Grundsatz der Datenrichtigkeit einhalten kannst, raten wir Dir, einen Double-Opt-in-Prozess einzuführen.