Jeder kennt sie: E-Mails mit dem Inhalt „Bitte bestätigen Sie Ihre E-Mail-Adresse“ oder ähnlichen Aufforderungen, nachdem man sich beispielsweise für einen Newsletter oder ein Gewinnspiel angemeldet hat. Doch warum braucht es dieses sogenannte „Double-Opt-In-Verfahren“, reicht nicht die Angabe einer gültigen E-Mail-Adresse? Dieser Frage soll in diesem Beitrag nachgegangen und erläutert werden, warum sich das Double-Opt-In-Verfahren durchgesetzt hat.
Der Inhalt im Überblick
- Definition & Unterschiede von Single-Opt-In und Double-Opt-In
- Ist Double Opt-in dank DSGVO beim E-Mail-Marketing Pflicht?
- Achtung Werbung: Das darf nicht in die Double-Opt-In E-Mail!
- Double-Opt-In für andere Marketingkanäle wie Telefonwerbung
- Double-Opt-In – keine Lässlichkeit – weder im Kleinen noch im Großen
Definition & Unterschiede von Single-Opt-In und Double-Opt-In
Bevor auf die Hintergründe des Double-Opt-In-Verfahrens (DOI) eingegangen wird, soll zum besseren Verständnis erläutert werden, was DOI auszeichnet und wie es sich vom Single-Opt-In-Verfahren (SOI) unterscheidet.
Das Single-Opt-In-Verfahren: Vorteile und Nachteile
Das Single-Opt-In-Verfahren bezeichnet ein Anmeldeverfahren im digitalen Kontaktmanagement, bei dem die Angabe einer E-Mail-Adresse und ggf. weiterer Kontaktdaten (sog. Leads) ausreicht, um Newsletter, Werbemails oder Mailings zu erhalten. Meldet sich ein Interessent an, gilt dies bereits als Erlaubnis für den Anbieter, ihn in den Verteiler aufzunehmen und anzuschreiben. Ein Verfahren ohne große Hemmschwellen, das sich hervorragend für flächendeckendes Marketing und schnelle Kundenakquise eignet. Die breite Streuung ist jedoch kein Garant für eine effiziente Neukundengewinnung. Im Gegenteil, das Single-Opt-In hat den Ruf einer eher aggressiven und weniger seriösen Methode, um Kunden und Marktanteile zu gewinnen.
Das Double-Opt-In-Verfahren: Vorteile und Nachteile
Beim Double-Opt-In-Verfahren hingegen muss die Registrierung in einem zweiten Schritt bestätigt werden – in der Regel über einen Link in der Folge-E-Mail an die angegebene E-Mail-Adresse. Das Double Opt-In ist in dieser Hinsicht weniger effizient als SOI, kann aber durch die Ansprache von eher langfristig Interessierten eine höhere Qualität der Kontakte und eine längere Bindung versprechen. Vergleichbar mit der Zweistufigkeit von Verlobung und Heirat wird durch das Ausfüllen des Kontaktformulars abstrakt Interesse am Werbenden bekundet, durch die Bestätigung des Links mit vollem Pathos gesagt: „Ja, ich will! Die Zweistufigkeit gewährleistet zudem eine aktive Nutzung der E-Mail-Adresse – zumindest zum Zeitpunkt der Registrierung.
Ist Double Opt-in dank DSGVO beim E-Mail-Marketing Pflicht?
Eine grobe Analyse des Plattformmarktes am Beispiel des Online-Handels lässt eine mehrheitliche Nutzung des Double Opt-In-Verfahren vermuten. Manch einer könnte sich durch die DSGVO sogar gezwungen sehen, das Double Opt-In-Verfahren zu verwenden. Ein Schluss, der jedenfalls bei flüchtiger Betrachtung des Gesetzes nicht fern liegt. Man lese nur:
Personenbezogene Daten müssen (…) sachlich richtig und (…) auf dem neuesten Stand sein; (Art. 5 Abs. 1 lit. d) S. 1 DSGVO).
In einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung (…) (Art. 5 Abs. 1 lit. f) S. 1 DSGVO)
Dies sichert die Bestätigung über den Anmeldelink der Folgemail.
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung (…) trifft der Verantwortliche (…) technische und organisatorische Maßnahmen (…), die dafür ausgelegt sind, die Datenschutzgrundsätze (…) wirksam umzusetzen (Art. 25 Abs. 1 DSGVO).
Der zweistufige Modus des Double Opt-In begünstigt die Datenrichtigkeit mehr als das Single Opt-In (Art. 5 Abs. 1 lit. d) S. 1 DSGVO). Zudem kann so sichergestellt werden, dass nicht jemand unberechtigterweise die E-Mail-Adresse eines Dritten für Werbung in die Mailingliste einträgt (Art. 5 Abs. 1 lit. f) S. 1 DSGVO).
Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. (Art. 7 Abs. 1 DSGVO).
Durch den weit verbreiteten Einsatz von Methoden zur Sicherstellung der Absender-Authentizität (wie z.B. DKIM) bei den großen E-Mail Providern kann durch die Bestätigungsmail eine Einwilligung im Streitfall nachgewiesen werden.
Auch die Praxis, bei Cookie-Bannern die Auswahl optionaler Cookies als rechtliche Voraussetzung für die Einwilligung zu sehen, begünstigt den Analogieschluss zum Double-Opt im Kontaktmanagement. Eine explizite Pflicht dazu sucht man in der DSGVO aber vergeblich. Das verwundert nicht, ist diese doch per se sparsam mit der Benennung konkreter Techniken.
Double Opt-In Verfahren beim E-Mail Newsletter in Deutschland und Österreich
Da die DSGVO keine eindeutige Aussage trifft, wird die Frage, inwieweit DOI verpflichtend zu verwenden ist, in der Praxis in erster Linie von den nationalen Datenschutzbehörden entschieden. Eine Verpflichtung wird z.B. von der österreichischen Datenschutzbehörde auf Basis von Art. 32 Abs. 1 DSGVO postuliert. Um einen evident möglichen Missbrauch von personenbezogen Daten, durch absichtliche Falscheingabe fremder E-Mail-Adressen, zu verhindern, müsse ein Double-Opt-In-Verfahren implementiert sein.
Die deutschen Datenschutzbehörden sehen das Double-Opt-In-Verfahren bei elektronischen Einwilligungen aufgrund der wettbewerbsrechtliche Nachweis-Anforderungen an eine Einwilligung des Bundesgerichtshofs (BGH) als verpflichtend an. Demnach reiche dafür ein bloßes Speichern einer IP-Adresse mit der Behauptung, von dieser wurde eine Einwilligung erteilt, nicht aus. Vielmehr müsse die abgegebene Einwilligungserklärung jeder einzelnen Person inklusive ihres konkreten Wortlauts reproduzierbar sein.
Die DSGVO und das Double-Opt-In in anderen europäischen Ländern
Ähnlich wie die österreichische Aufsichtsbehörde urteilte auch der spanische Oberste Gerichtshof, dass das Double-Opt-In ein dem Stand der Technik entsprechendes Mittel i.S.d. Art. 32 Abs. 1 DSGVO für das Einwilligungsmanagement sei. Dieser sei daher anzuwenden. Vergleichbar sah es die italienische Datenschutzaufsichtsbehörde in einem Bußgeldverfahren, indem ein einstufiges Prüfverfahren nicht ausreichte, um die Einwilligung dem Kunden zuzuordnen. Schließlich empfehlen die norwegische und griechische Datenschutzaufsichtsbehörden das Double-Opt-In-Verfahren zwar „nur“ zur Vermeidung von Missbrauch und Missverständnissen. Alternativ hält die griechische Aufsicht eine Folgemail zur Bestätigung der Einwilligung für ausreichend. Diese müsse dann aber einen Link zur Abmeldung enthalten. Ob von dieser Alternative Gebrauch gemacht wird, ist nicht bekannt.
Achtung Werbung: Das darf nicht in die Double-Opt-In E-Mail!
Neben der Frage, ob SOI oder DOI, stellen sich bei letzteren auch inhaltliche Fragen zur Gestaltung der Folgemail. In Anlehnung an ein – vereinzelt gebliebenes – Urteil des LG Stendal ist eine neutrale Ausgestaltung geboten.
Das klagende Unternehmen hatte von der Beklagten – vermutlich ungefragt – eine Bestätigungsmail nach dem Double-Opt-In-Verfahren erhalten. Diese enthielt neben der Bestätigungsaufforderung auch das Firmenlogo und die Aufforderung, bei Rückfragen Kontakt aufzunehmen. Das Gericht wertete diese marginalen Zusätze als unzulässige Werbung und bejahte gemäß § 7 Abs. 2 Nr. 2, Abs. 3 Nr. 3 UWG einen unzulässigen Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb als sonstiges Recht. (§ 823 Abs. 1 5. Var. BGB).
Double-Opt-In für andere Marketingkanäle wie Telefonwerbung
Nach dem bisher Gesagten sollte klar geworden sein, dass im E-Mail-Marketing die Verwendung von DOI der sicherste Weg zum Nachweis der Einwilligung ist. Gilt das aber auch für andere Kommunikationsformen wie der Telefonwerbung?
In der Regel kann eine Einwilligung in Werbeanrufe für eine auf einer Website eingegebenen Telefonnummern nicht über ein Double-Opt-In Verfahren mittels E-Mail sicher verifiziert werden. Denn der Inhaber der E-Mail-Adresse, an die die Bestätigungsmail geht, muss nicht zwangsläufig der Anschlussinhaber der Telefonnummer sein. So hat der BGH schon in einer solchen Konstellation bei einem Streit entschieden, dass die per E-Mail über ein Double-Opt-In eingeholte Einwilligung wenig beweiskräftig ist, wenn damit in die Nutzung einer Telefonnummer zu Telefonwerbezwecken bewiesen werden soll (BGH, Az.: I ZR 164/09). Mehr zu dem Thema und Lösungsansätze finden Sie in unserem Beitrag zur Telefonwerbung.
Double-Opt-In – keine Lässlichkeit – weder im Kleinen noch im Großen
Am Ende bleibt, wie so oft, die Frage: SOI, DOI, was hat das mit meinem Unternehmen zu tun? Wie bei einer DUI nicht viel, solange nichts passiert. Wenn aber doch, ist der Schaden und der Aufschrei oft groß, weil meist massenhaft Verstöße festgestellt werden und ein entsprechend hohes Bußgeld droht (Art. 83 DSGVO). Darüber hinaus sind Schadensersatzansprüche der Betroffenen denkbar, die in der Summe ebenfalls erheblich sein können (Art. 82 DSGVO).
Im Marketing, wie prinzipiell bei jeder Art von Werbung, sei sie amouröser oder akquisitorischer Natur, ist Double-Opt-In daher eine gute Idee. Das schützt in der Liebe das Herz vor falschen Hoffnungen und im Geschäftsleben den Geldbeutel. Im ersten Fall ist das DOI eine Obliegenheit, im zweiten Fall nach Ansicht der Datenschutzaufsicht eher eine rechtliche Notwendigkeit.
Ich bin kein Jurist, aber ich sehe den Grund für die Notwendigkeit von DOI in Verbindung mit einer neuen Emailadresse ganz woanders. Meines Erachtens ist DOI schon deshalb erforderlich, weil ich ja als Unternehmen wissen bzw. prüfen muss, ob eine vom Nutzer eingegebene Email korrekt ist. Würde ich sonst nach SOI einfach darauf vertrauen, könnte es passieren, dass ich jemandem unbekannten Emails (Spam) zusende, in welchem Zusammenhang womöglich sogar persönliche Daten leaken könnten. Mal ganz abgesehen von dem im angelsächsischen Raum erforderlichen KYC-Prinzip (know your customer).
Das Haftungsrisiko ist auf jeden Fall ein weiterer Aspekt, der für den Einsatz von DOI-Verfahren spricht. Rein rechtlich sind Unternehmen zwar nicht verpflichtet, E-Mail-Adressen auf Korrektheit zu prüfen. Sie riskieren aber bei unterlassener Prüfung aus den von Ihnen genannten Gründen eine Haftung auf Unterlassung und Schadensersatz nach dem Datenschutzrecht oder dem UWG, wenn dadurch personenbezogene Informationen an Dritte gelangen oder der Inhaber der E-Mail-Adresse den Kontakt nicht gewünscht hat. Insofern liegt eine Plausibilitätsprüfung im Interesse der Unternehmen.
Eine KYC-basierte Überprüfung lässt sich gut mit einer DOI-basierten Überprüfung kombinieren, hat aber einen etwas anderen Hintergrund. Ein robustes Know-Your-Customer-Programm hilft Unternehmen, nicht mit Wirtschaftskriminalität in Berührung zu kommen. Das Ziel ist die Vermeidung von Bußgeldern, Haftstrafen, Reputationsschäden etc. Man könnte sagen, dass DOI ein spezifisches Marketinginstrument zur Sicherstellung der Rechtskonformität ist, während KYC ein allgemeines Instrument zur Sicherstellung der regulatorischen Compliance ist.
Meiner Meinung nach gibt es noch eine Unterscheidung, zu der ich eine Frage hätte (Antwort ggf. in den Artikel einbauen?):
Wenn sich ein Kunde NACH Login in ein Kundenkonto für den Newsletter anmeldet, reicht dann nicht SOI aus, weil die Verifizierung der Person schon durch den Login stattfindet? Zumindest bei der aktiven, freiwilligen und informierten Häkchen-Setzung „Ja, ich will den NL erhalten“ im Rahmen eines Bestellvorgangs nach Login sehe ich ggf. SOI als ausreichend, da es hier dann die gleiche E-Mail-Adresse ist; bei einer händischen Eintragung ins NL-Feld könnte auch nach Login ein DOI notwendig sein (da man ja eine Drittadresse angeben könnte).
Oder hängt das (weiterhin im Falle der Häkchensetzung) dann davon ab, ob im Vorfeld das Konto selber durch DOI verifiziert wurde?
Vielen Dank für Ihre Antwort!
Auch der von Ihnen beschriebene umgekehrte Weg: (1. Verifizierung durch Anmeldung 2. Zustimmung zum Versand des Newsletters im Account) erscheint praktikabel.
Letztlich geht es „nur“ darum, ein Verfahren zu etablieren, mit dem plausibilisiert werden kann, dass die Person, die sich für den Newsletter anmeldet, auch wirklich diejenige ist, die sie vorgibt zu sein.
Da sich die Rechtspraxis aber weitgehend auf die Verwendung des DOI-Verfahrens geeinigt hat, wäre mein Rat, dieses Verfahren nur für DOI-verifizierte Accounts zu verwenden.
Ebenso wäre der Vorwurf begründbar, dass der Anmelder nur authentisiert, aber nicht authentifiziert wird.
Dokumentarisch wäre dann aus meiner Sicht 1. die DOI-Erstellung des Accounts, 2. der Login unter den dem Account zugeordneten Daten und 3. die erteilte Einwilligung nach dem Login festzuhalten.