Zum Hauptinhalt springen
Datenschutz / DSGVO

Opt-in und Opt-out

Opt-in und Opt-out bezeichnen zwei gegensätzliche Einwilligungsmodelle: Beim Opt-in muss die betroffene Person der Datenverarbeitung aktiv zustimmen, beim Opt-out gilt die Verarbeitung als erlaubt, bis sie ihr widerspricht.

Opt-in und Opt-out beschreiben, wie die Zustimmung einer Person zu einer Datenverarbeitung oder Werbeansprache eingeholt wird. Beim Opt-in-Modell wird eine Verarbeitung erst dann zulässig, wenn die betroffene Person ihr durch eine aktive, eindeutig bestätigende Handlung zugestimmt hat - etwa durch das bewusste Setzen eines Hakens. Beim Opt-out-Modell wird die Verarbeitung dagegen als zulässig unterstellt, solange die Person nicht widerspricht; die Last des Tätigwerdens liegt also bei der betroffenen Person.

Unter der DSGVO ist das Opt-out für eine Einwilligung im Sinne von Art. 4 Nr. 11 und Art. 7 DSGVO grundsätzlich unzulässig. Eine Einwilligung muss freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich abgegeben werden; vorangekreuzte Kästchen oder Untätigkeit genügen nach Erwägungsgrund 32 und der EuGH-Rechtsprechung (Planet49, C-673/17) ausdrücklich nicht. Wo eine Verarbeitung also auf Einwilligung gestützt wird - etwa bei nicht erforderlichen Cookies oder E-Mail-Werbung -, ist zwingend ein echtes Opt-in erforderlich.

Opt-out-Mechanismen behalten dennoch ihre Berechtigung, allerdings auf anderer rechtlicher Grundlage: Stützt sich eine Verarbeitung auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO, kann die Person nach Art. 21 DSGVO widersprechen - bei Direktwerbung sogar ohne Begründung und mit absoluter Wirkung. Auch die eng begrenzte Bestandskundenwerbung nach § 7 Abs. 3 UWG funktioniert als Opt-out. Verantwortliche müssen daher für jede Verarbeitung sauber bestimmen, ob sie ein vorgelagertes Opt-in benötigen oder ob ein nachgelagertes Opt-out (Widerspruch) genügt.

Rechtliche Grundlage

Art. 4 Nr. 11, Art. 6 Abs. 1, Art. 7 und Art. 21 DSGVO; Erwägungsgrund 32; § 7 Abs. 2 und 3 UWG; EuGH, Urteil vom 1.10.2019, C-673/17 (Planet49)

Praxisbeispiel

Ein Online-Händler möchte einen Newsletter versenden und gleichzeitig Analyse-Cookies setzen. Die Datenschutzkoordinatorin richtet für den Newsletter ein Double-Opt-in ein: Erst nach Bestätigung des Anmeldelinks per E-Mail wird die Adresse aufgenommen, und jede Nachricht enthält einen Abmeldelink (Opt-out). Für die Analyse-Cookies blendet sie ein Consent-Banner mit gleichwertigen, nicht vorbelegten Buttons ein. Bestandskunden, die bereits gekauft haben, erhält sie Produktempfehlungen nach § 7 Abs. 3 UWG zusenden, solange sie auf das Widerspruchsrecht hinweist - hier genügt das Opt-out.

Häufige Fragen

Nein. Eine wirksame Einwilligung nach Art. 4 Nr. 11 und Art. 7 DSGVO setzt eine aktive, bestätigende Handlung voraus. Vorangekreuzte Kästchen oder bloße Untätigkeit reichen laut Erwägungsgrund 32 und dem EuGH-Urteil Planet49 nicht aus. Wo eine Einwilligung Rechtsgrundlage ist, braucht es daher immer ein Opt-in.
Beim einfachen Opt-in genügt eine aktive Zustimmung, etwa das Setzen eines Hakens. Beim Double-Opt-in muss die Person ihre Zustimmung in einem zweiten Schritt bestätigen, typischerweise über einen Link in einer Bestätigungs-E-Mail. Das Double-Opt-in dient vor allem dem Nachweis und verhindert Anmeldungen mit fremden Adressen.
Ein Opt-out ist zulässig, wenn die Verarbeitung nicht auf Einwilligung, sondern auf einer anderen Rechtsgrundlage beruht - etwa dem berechtigten Interesse nach Art. 6 Abs. 1 lit. f DSGVO mit Widerspruchsrecht nach Art. 21 DSGVO. Auch die Bestandskundenwerbung nach § 7 Abs. 3 UWG funktioniert als Opt-out, solange auf das Widerspruchsrecht hingewiesen wird.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Einwilligung (Consent) Cookie-Einwilligung Widerspruchsrecht Direktwerbung Rechtsgrundlage
Zurück zum Glossar