Bei den Themen
„Opt-In“ und „Opt-Out„
geht es die Umsetzung einer Einwilligung bzw. einer Ablehnung auf einer Website bzw. in derem Kontext.
Bei „Opt-in“ geht es um die Bedingungen für die Einwilligung gem. Art. 7 der DSGVO.
(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
Auf einer Website wird hierzu in der Regel ein PlugIn eingebunden, welches sich in einem Fenster öffnet das mittels Mausklick bestätigt werden muss.
Opt-in Verfahren wird zum Standart
Beim Opt-in-Verfahren muss der Betreffende aktiv seine Zustimmung bekunden.
Einfachstes Beispiel für einen konforme Umsetzung, das auf dieser Website eingebundene PlugIn „Cookiebot“, welches beim ersten Aufruf dieser Seite am obenen Bildrand ein Fenster öffnet. Hierin werden die vorhandenen Cookies anzeigt, deren Herkunft erklärt und um eine Zustimmung gebeten.
Wer dies einfach, ohne genauer zu beachten, weg geklickt hat und jetzt noch mal sehen möchte – diese Seite einfach als „Neues privates Fenster“ nochmal öffnen.
Dieses PlugIn und der damit verbundene Dienst, der nebenbei bemerkt für eine Website kostenlos ist, bietet den Vorteil das die angezeigten Cookies die Ergebnisse automatischer Scans sind. Im Gegensatz zu anderen Lösungen hat dies den Vorteil dass Änderungen, sei es durch nachträgliche installation von anderen PlugIns, als auch auf Grund von Änderungen durch den Provider, automatisch nachgetragen werden. Juristische Probleme durch Vergessen oder Unwissenheit können hiermit weitesgehend ausgeschlossen werden.
Opt-out Verfahren
Da diese Webseite auch zu Test- und Demonstartionszwecken dient, öffnet sich am unteren Bildrand ein zweites Banner, ebenfalls mit der Möglichkeit Cookies zuzulassen – aber auch diese abzulehnen.
Diese Ablehnung entspricht einem „Opt-out“ gemäß einem Entwurf der ePrivacy-Verordnung die so kommen „könnte“. Bei einer Ablehung werden im Hintergrund sämtliche Cookies und Trackinginformationen z.B. an google deaktiviert.
Fast zumindest, weil es technisch nicht anderes funktionieren kann, wird auch bei einer Ablehnung – ein „Opt-Out Cookie“ gesetzt wird. Es ist anzumerken dass eine weiterführende Blockade verboten ist. Dies beweist wieder einmal dass diese Verordnungen nur aus der Hauptstadt von Absurdistan kommen kann, denn dieser „Opt-Out Cookie“ kann nicht abgelehnt werden. Jeder Besucher wird mit Keksen gefüttert – mindestens mit einem – ob er will oder nicht.
Das doppelte Vorhandensein, von zwei unterschiedliche „Opt-in“ Fenster, ist nur den Test- und Demonstartionszwecken dieser Website geschuldet, entspricht keinerlei bestehenden oder erwarteten Forderung.
Da man eine Website meist nicht nur besucht, sondern dort auch Kontaktformulare ausfüllen und Newsletteranmeldungen ausfüllen kann, ist auch nachstehendes zu beachten.
Nicht gestattet sind:
Vorausgewählte Formulare mit bereits angekreuzte Kästchen.
Dies ergibt sich aus dem Erägungsgrund (78).
Im Erwägungsgrund (78) werden die Begriffe „data protection by design“ und „data protection by default“ eingeführt, üblicherweise als „Privacy by Design“ und „Privacy by Default“ bezeichnet. Diese Grundsätze bedeuten, dass die Technik der Datenverarbeitung von vorneherein darauf entworfen („design“) und ausgerichtet ist und die Voreinstellungen („defaults“) so ausgewählt sind, dass den Grundsätzen des Datenschutzes Genüge getan wird. Ein solches dokumentiertes Vorgehen kann dabei helfen, die Einhaltung der DSGVO nachzuweisen.
Einverständniserklärungen zu koppeln,
weder mit der Anmeldung zu einem Newsletter, noch einem Gewinnspiel oder sonstigem.
Das Duple-Opt-in Verfahren wird empfohlen
hierbei wird z.B. nach einer Newsletteranmeldung erst einmal einen E-Mail an den neuen Abonnenten verschickt, mit der Bitte selbige, meist durch Klick auf einen hierin enthaltenen Button oder Link, zu verifizieren. Hierbei wird auch sichergestellt dass keine Spaßanmeldungen von „guten Freunden“ durchgeführt werden können.
„Soft-Opt-in“ und „Soft Opt-out-Ansätze“ sind unzulässig
Da sowieso unzulässig gehe ich nicht lange drauf ein, nur ganz kurz.
Hiermit ist die Verwendung von im Direktkontakt erhaltenen und genutzten E-Mail-Adressen auf Newsletterverteiler gemeint.
Widerrufbarkeit der Zustimmung
Ist klar – eines der Grundthemen der DSGVO.