Die Datenschutzgesetze geben Einzelpersonen das Recht, sich für oder gegen verschiedene Datenverarbeitungsaktivitäten zu entscheiden; die Kenntnis des Unterschieds zwischen den einzelnen Methoden und der Zeitpunkt, zu dem sie anzuwenden sind, hilft bei der Einhaltung der gesetzlichen Bestimmungen.
Im Folgenden erkläre ich die Unterschiede zwischen Opt-in und Opt-out-Zustimmung für Unternehmen, die personenbezogene Daten von Verbrauchern erfassen und verwenden.
Definition von Opt-In- und Opt-Out-Zustimmung
Lassen Sie uns zunächst die spezifischen Definitionen von "Opt-in" und "Opt-out" in Bezug auf die Einhaltung der rechtlichen Vorschriften in Unternehmen erläutern.
Opt-In-Bedeutung
Im Zusammenhang mit den Datenschutzgesetzen bezieht sich die Einwilligung auf den Fall, dass eine Person der Datenerhebung oder -verarbeitung durch eine aktive Handlung zustimmt.
Die Unternehmen, mit denen ich zusammenarbeite, setzen die Opt-in-Einwilligung um, indem sie ihre Website-Besucher darum bitten:
- Aktivieren Sie ein nicht angekreuztes Kontrollkästchen, wenn Sie einer Richtlinie, z. B. einer Datenschutzrichtlinie oder einer Vereinbarung über die allgemeinen Geschäftsbedingungen, zustimmen möchten.
- Klicken Sie auf die Schaltfläche "Akzeptieren", wenn Sie sich für Marketing-E-Mails oder andere Formen der Direktwerbung anmelden.
- Klicken Sie auf einem Pop-up-Banner mit cookie consent auf "Einverstanden", bevor Sie Cookies im Browser des Nutzers ablegen.
- Wählen Sie am Ende einer Umfrage "Akzeptieren", um zu zeigen, dass sie mit der Auswertung und Veröffentlichung ihrer Antworten einverstanden sind.
Nach mehreren Gesetzen muss der Nutzer auch informiert werden, damit die Zustimmung als gültig angesehen werden kann. Deshalb werden in der Regel Datenschutz- und Cookie-Richtlinien oder Geschäftsbedingungen beigefügt, wenn die Zustimmung verlangt wird.
Einige Verbraucherschutzgesetze verlangen auch die Möglichkeit einer Opt-in-Vereinbarung.
Wenn Sie beispielsweise Verbrauchern in den USA SMS-Nachrichten senden möchten, müssen Sie den Telephone Consumer Protection Act (TCPA) befolgen, der die Zustimmung der Verbraucher erfordert.
Ich erlebe, dass Unternehmen dies durch Anfragen an interessierte Verbraucher beantragen:
- Unterschreiben Sie ein Dokument und geben Sie es persönlich ab, um sich für den Empfang von Anrufen, SMS, E-Mails oder anderen Formen der Kontaktaufnahme zu registrieren.
- Entscheiden Sie sich aktiv für die Angabe einer Telefonnummer, um sich für SMS-Nachrichten anzumelden.
Opt Out Bedeutung
Opt-out-Zustimmung bedeutet, dass eine Person die Möglichkeit hat, die Datenverarbeitung zu verweigern und sich selbst aus der Datenverarbeitung zu entfernen, und sie ergreift in der Regel irgendeine Art von Maßnahme.
Ich erlebe oft, dass Unternehmen eine Opt-out-Einwilligung einführen, indem sie ihren Nutzern die Möglichkeit dazu geben:
- Klicken Sie auf den Link "Meine persönlichen Daten nicht verkaufen oder weitergeben" und machen Sie von Ihrem Recht Gebrauch, diese Art der Datenverarbeitung abzulehnen.
- Richten Sie einen Opt-out-Mechanismus in ihrem Browser ein, der mit den Zustimmungsbannern der Website kommuniziert, um ihren Wunsch zu äußern, dass ihre Daten nicht nachverfolgt werden sollen.
- Wählen Sie "Ablehnen" auf einem cookie consent , in dem der Benutzer gefragt wird, ob er damit einverstanden ist, dass unnötige Cookies in seinem Browser gespeichert werden.
Die Datenschutzgesetze verlangen in der Regel, dass die Unternehmen die Verbraucher über ihr Recht informieren, bestimmte Arten der Datenverarbeitung abzulehnen, und ihnen Anweisungen geben, wie sie dies tun können. Diese Informationen sind in der Regel in Ihrer Datenschutzrichtlinie vorgeschrieben.
Aber auch hier sehe ich, dass eine Opt-out-Einwilligung verlangt wird, um Gesetze wie das TCPA und Anti-Spam-Gesetze zu erfüllen. Zum Beispiel könnten Unternehmen ihre Kunden bitten,:
- Klicken Sie auf "Abbestellen" am Ende einer E-Mail, um den Erhalt von E-Mails abzubestellen.
- Lassen Sie ein Kontrollkästchen leer, wenn Sie ein Formular abschicken, um anzugeben, dass Sie nicht beitreten, sich anmelden, mitmachen oder etwas einreichen möchten.
Wann und wie Sie die Opt-In-Zustimmung verwenden
Die Einwilligung ist in bestimmten Gesetzen vorgeschrieben und gilt für bestimmte Fälle, die ich Ihnen im Folgenden ausführlich beschrieben habe.
Gesetze, die eine Opt-in-Zustimmung verlangen
Im Folgenden finden Sie eine Liste von Datenschutz- und Verbraucherschutzgesetzen, die eine Einwilligung vorschreiben, sowie einige Einzelheiten zu den in den Gesetzen beschriebenen spezifischen Verpflichtungen:
- Allgemeine Datenschutzverordnung (DSGVO): Nach der DSGVO gilt die Zustimmung eines Verbrauchers nur dann als gültig, wenn sie frei, informiert, aktiv und eindeutig erteilt wird, was bedeutet, dass eine Zustimmung erforderlich ist.
- Kalifornisches Verbraucherschutzgesetz (CCPA): Die meisten Verbraucher haben keine ausdrücklichen Opt-in-Rechte nach dem CCPA, aber sie gelten für Minderjährige unter 16 Jahren; wenn das Kind unter 13 ist, muss die Opt-in-Einwilligung von einem Erziehungsberechtigten kommen.
- Gesetz zum Schutz der Privatsphäre von Kindern im Internet (COPPA): COPPA ist ein US-Bundesgesetz, das von Unternehmen verlangt, die Zustimmung der Erziehungsberechtigten von Kindern einzuholen, bevor Daten gesammelt werden.
- Das allgemeine brasilianische Datenschutzgesetz (LGPD): Die einzige gültige Form der Einwilligung nach dem LGPD, die sich stark auf die DSGVO stützt, ist die aktive Einwilligung nach dem Opt-in-Prinzip.
- Südafrikas Gesetz zum Schutz der Privatsphäre (Protection of Privacy Information Act, POPIA): Ein weiteres Gesetz, das zum Teil von der DSGVO inspiriert wurde, schreibt ebenfalls vor, dass Websites die aktive Zustimmung der Verbraucher zur Erfassung ihrer Daten einholen müssen.
- Telefonisches Verbraucherschutzgesetz (TCPA): Die Zustimmungspflicht ist nicht neu. Dieses 1991 in Kraft getretene US-Bundesgesetz schreibt vor, dass Unternehmen die Zustimmung der Verbraucher einholen müssen, bevor sie sie anrufen dürfen.
Wenn Sie unter diese Gesetze fallen, müssen Sie eine oder mehrere Methoden vorsehen, mit denen die Verbraucher aktiv ihre freiwillige Zustimmung geben können, bevor Sie die Datenverarbeitung durchführen.
Wie sieht die Zustimmung aus?
Da Sie die Zustimmung der Nutzer für verschiedene Zwecke einholen können, habe ich einige Beispiele gefunden, die Sie inspirieren können.
Opt-in-Beispiel für die Einhaltung von Datenschutzgesetzen
Hier sehen Sie zunächst ein Beispiel dafür, wie Sie mit dem Cookie Consent Banner von Termlydie Zustimmung der Verbraucher zur Verwendung von Cookies gemäß der DSGVO einholen können:
Die Nutzer müssen aktiv auf die Schaltfläche "Akzeptieren" klicken, um ihr Einverständnis mit der Verwendung von Cookies und der Cookie-Richtlinie auszudrücken, sie haben einen Live-Link zur Cookie-Richtlinie, damit die Nutzer ordnungsgemäß informiert sind, und sie führen zu einem Einstellungszentrum, damit die Verbraucher ihre Meinung jederzeit ändern können.
Opt-In Beispiel für Newsletter-Anmeldungen
Nachstehend finden Sie ein Beispiel dafür, wie die Nachrichtenagentur The Guardian ihre Website-Besucher vorschriftsmäßig um ihre Zustimmung zur Teilnahme an ihrem Newsletter bittet.
Interessierte Nutzer werden aufgefordert, ihr Einverständnis zum Erhalt der E-Mails zu geben, indem sie "Sign Up" anklicken, so dass es sich um eine "Opt-in"-Vereinbarung handelt.
Wann und wie die Opt-Out-Zustimmung zu verwenden ist
Es gibt mehrere Momente, in denen Ihr Unternehmen gesetzlich verpflichtet sein könnte, den Verbrauchern auf Ihrer Website eine Opt-out-Option anzubieten.
Datenschutzgesetze, die Opt-Out-Optionen vorschreiben
Im Folgenden finden Sie eine Liste von Datenschutzgesetzen, in denen die Anforderungen an eine Opt-out-Klausel aufgeführt sind, sowie einige Details zu den spezifischen Erwartungen:
- Allgemeine Datenschutzverordnung (DSGVO): Verbraucher haben nach dieser Verordnung das Recht, der Datenverarbeitung zu widersprechen, und der Widerruf der Zustimmung muss für sie genauso einfach sein wie die Erteilung der Zustimmung.
- Kalifornisches Verbraucherschutzgesetz (CCPA): Das CCPA gibt den Verbrauchern ausdrücklich das Recht, gezielte Werbung, den Verkauf oder die Weitergabe ihrer Daten sowie die Profilerstellung abzulehnen. Das Gesetz schreibt vor, dass in der Fußzeile Ihrer Website ein Link "Meine persönlichen Daten nicht verkaufen oder weitergeben" erscheinen muss.
- CAN-SPAM-Gesetz (Controlling the Assault of Non-Solicited Pornography and Marketing): Dieses US-Bundesgesetz schreibt vor, dass alle Marketing-E-Mails eine Option zur Abmeldung enthalten müssen, und diese Aufforderung muss befolgt werden.
- Alle aktuellen Datenschutzgesetze auf Ebene der US-Bundesstaaten: Mehrere US-Bundesstaaten haben umfassende Datenschutzgesetze erlassen oder vorgeschlagen, von denen viele den Verbrauchern Opt-out-Rechte einräumen (z. B. gezielte Werbung, Datenverkauf). Diese Gesetze unterscheiden sich jedoch hinsichtlich ihres Geltungsbereichs und des Datums ihres Inkrafttretens. Prüfen Sie daher, welche Gesetze auf Ihr Unternehmen zutreffen, um die spezifischen Opt-out-Anforderungen zu bestimmen.
- Gesetz zum Schutz der Privatsphäre von Kindern im Internet (COPPA): Gemäß COPPA müssen die Erziehungsberechtigten vor der Datenerfassung von Kindern unter 13 Jahren eine überprüfbare Zustimmung erteilen. Nach der Zustimmung haben die Eltern das Recht, die Daten ihres Kindes zu überprüfen, zu löschen oder die weitere Nutzung zu unterbinden
- Australisches Datenschutzgesetz: Wie andere Datenschutzgesetze auch, haben Australier das Recht, gezielte Werbung abzulehnen.
- Das allgemeine brasilianische Datenschutzgesetz (LGPD): Wie bei der DSGVO haben die Verbraucher das Recht, der Datenverarbeitung jederzeit und aus jedem Grund zu widersprechen.
- Neuseeländisches Datenschutzgesetz: Dieses Gesetz, das auf dem australischen Privacy Act basiert, gibt den Verbrauchern ebenfalls das Recht, sich von gezielter Werbung auszuschließen.
- Südafrikas Gesetz zum Schutz der Privatsphäre (Protection of Privacy Information Act, POPIA): Dies ist ein weiteres Datenschutzgesetz, das den Verbrauchern das Recht gibt, gezielte Werbung abzulehnen und ihre Zustimmung zur Datenverarbeitung jederzeit zurückzuziehen.
Einige dieser Gesetze sollten Ihnen bekannt vorkommen, da sie auch die Anforderungen an die Einwilligung enthalten, darunter die DSGVO, die LGPD und das POPIA.
Zu den meisten dieser Opt-out-Rechte gehört das Recht der Verbraucher, sich von gezielter Werbung und dem Verkauf (oder der Weitergabe) ihrer persönlichen Daten auszuschließen.
Websites setzen Internet-Cookies auf den Browsern der Nutzer ein, um diese Zwecke zu erfüllen, so dass die Verwendung von Cookies und anderen Trackern diesen rechtlichen Anforderungen unterliegt. Aus diesem Grund haben die meisten Websites Cookie-Banner mit den Schaltflächen "Zustimmen", "Ablehnen" und "Präferenz".
Wenn Ihre Website unter diese Gesetze fällt, müssen Sie eine oder mehrere Methoden zur Verfügung stellen, mit denen die Verbraucher ihre Rechte auf einfache Weise ausüben können.
Wie sieht die Opt-Out-Zustimmung aus?
Da es verschiedene Situationen gibt, in denen Sie die Opt-out-Einwilligung verwenden können, habe ich im Folgenden ein paar relevante Beispiele für Sie zusammengestellt.
Opt-out-Beispiel für den Datenschutz
Das erste Beispiel ist eine Opt-out-Einwilligung auf einer Anmeldeseite, auf der ein Nutzer seine persönlichen Daten eingibt, um ein Konto zu erstellen.
In diesem Szenario sind die Kontrollkästchen bereits angekreuzt, d. h. der Nutzer muss sie bei der Erstellung seines Kontos aktiv abwählen, um sich abzumelden.
CCPA Opt-Out Link Beispiel
Der folgende Screenshot ist ein Beispiel für einen Opt-out-Link, den Nutzer am unteren Rand der Termlyfinden können und der den CCPA-Opt-out-Anforderungen entspricht.
Wenn Sie auf diesen Link klicken, gelangen Sie zu einem Formular, mit dem Sie Ihre Rechte gemäß dem CCPA wahrnehmen können, einschließlich der Möglichkeit, gezielte Werbung und den Verkauf oder die Weitergabe Ihrer Daten abzulehnen.
Abmeldebeispiel für E-Mail-Newsletter
Als Nächstes habe ich ein Beispiel für einen Opt-out-Link zum Abbestellen am Ende einer Marketing-E-Mail des E-Commerce-Shops Litographs angegeben.
Das Hinzufügen eines Abmeldelinks am Ende von Marketing-E-Mails auf diese Weise ist durch Gesetze wie CAN-SPAM vorgeschrieben.
Wie Termly bei Opt-In- und Opt-Out-Zustimmungsanforderungen hilft
Die Verwaltung der Zustimmung der Verbraucher ist ein mehrstufiger Prozess, der technisch schwierig und zeitaufwendig sein kann, wenn man ihn allein durchführt.
Termly's Consent Management Platform hilft Unternehmen dabei, die Opt-in- und Opt-out-Anforderungen mühelos zu erfüllen.
Das Einwilligungsbanner ist einfach zu bedienen und anpassbar. Sie können Ihren Website- oder App-Besuchern die Möglichkeit geben, sich für oder gegen eine Einwilligung zu entscheiden, und es sind regionale Einwilligungseinstellungen verfügbar. Um die Anforderungen der Datenschutzgesetze zu erfüllen, erhalten Ihre Nutzer außerdem Zugang zu einem Einstellungszentrum, damit sie ihre Meinung jederzeit ändern können.
Sie können Website-Scans planen, um die verwendeten Cookies zu erkennen, zu kategorisieren und zu benennen. Dann erstellt es eine Cookie-Richtlinie für Sie, die Sie den Nutzern vorlegen können, um sicherzustellen, dass sie richtig informiert sind.
Außerdem erhalten Sie ein DSAR-Formular (Data Subject Access Request), das Sie auf Ihrer Website einbetten können. Ihre Nutzer können es nutzen, um Anfragen zur Durchsetzung ihrer Datenschutzrechte zu stellen, und Sie können diese effizienter empfangen und beantworten.
Zusammenfassung
Aufgrund von Datenschutzgesetzen, Verbraucherschutzgesetzen und Anforderungen von Drittanbieterplattformen müssen die meisten Websites sowohl Opt-in- als auch Opt-out-Einwilligungsmechanismen verwenden.
Die Einwilligung ist besonders wichtig, wenn die Einwilligung Ihre Rechtsgrundlage ist und Sie die DSGVO befolgen müssen.
Die Zustimmung zum Opt-out ist erforderlich, wenn Sie unter Datenschutzgesetze fallen, die vorschreiben, dass Sie den Nutzern die Möglichkeit geben, sich gegen gezielte Werbung und die Weitergabe oder den Verkauf ihrer Daten zu entscheiden.
Ressourcen wie Termly's CMP machen es einfach, sowohl die Opt-In- als auch die Opt-Out-Einstellungen Ihrer Nutzer zu verwalten.
Mehr über die Autorin
Geschrieben von Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha ist Spezialistin für Informationssicherheit und Datenschutz und zertifizierte Datenschutzbeauftragte. In den letzten sechs Jahren war sie als Datenschutzbeauftragte tätig und half kleinen und mittleren Unternehmen bei der Einhaltung von Rechtsvorschriften. Außerdem war sie Mentorin für die Einhaltung von Datenschutzbestimmungen bei vielen internationalen Business Accelerators. Sie ist spezialisiert auf die Umsetzung, Überwachung und Prüfung der Einhaltung von Datenschutzvorschriften (HIPAA, PIPEDA, ePrivacy-Richtlinie, DSGVO, CCPA, POPIA, LGPD). Masha hat an der Universität Belgrad Jura studiert und 2016 die Anwaltsprüfung abgelegt. Mehr über die Autorin
