Double Opt-in (DOI)

Double Opt-in (DOI)

Inhaltsverzeichnis

Definition

Double Opt-in ist ein zweistufiges Einwilligungsverfahren für elektronische Direktwerbung, bei dem eine Person ihre Anmeldung zunächst abgibt und diese anschließend über einen Bestätigungslink (z. B. in einer E-Mail) aktiv verifiziert. Ziel ist es, die Identität des Empfängers zu bestätigen und einen belastbaren Nachweis der Einwilligung zu dokumentieren. Rechtsgrundlage für die Wirksamkeit der Einwilligung sind die DSGVO (insb. Art. 6 Abs. 1 lit. a, Art. 7, Erwägungsgründe 32 und 42) sowie für E-Mail-Werbung in Deutschland § 7 UWG; Cookie-/Endgeräte-Zugriffe regelt § 25 TDDDG.

 

Hand mit leuchtendem @-Schlüssel vor verzierten Toren; Metapher für Double Opt-in, E-Mail-Bestätigung und verifizierte Einwilligung.

Beim Double Opt-in geben Interessenten ihre Adresse an und bestätigen sie anschließend über eine E-Mail, wodurch Identität und Einwilligung nachweisbar werden.

 

Begriff und Zweck

Beim Double Opt-in melden sich Interessenten zunächst zu einer Kommunikation (z. B. Newsletter) an und erhalten anschließend eine Bestätigungsnachricht an die angegebene Adresse. Erst mit dem expliziten Klick auf den Bestätigungslink wird die Einwilligung wirksam erteilt und die Adresse aktiviert. Das Verfahren dient der Authentizität (schützt vor Falscheintragungen) und der Beweisführung (Dokumentation Zeitpunkt, Quelle, Inhalt, technische Metadaten), was angesichts der Nachweispflicht des Verantwortlichen nach Art. 7 Abs. 1 DSGVO zentral ist. Erwägungsgrund 42 betont ausdrücklich, dass Verantwortliche die Einwilligung nachweisen können müssen; Erwägungsgrund 32 verlangt eine eindeutige bestätigende Handlung und verbietet vorangekreuzte Kästchen und Schweigen als Einwilligung.

 

Rechtliche Einordnung (EU/Deutschland)

DSGVO (EU-weit)

  • Rechtsgrundlage: Für Marketing per E-Mail stützen Verantwortliche die Verarbeitung regelmäßig auf Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und müssen diese belegen (Art. 7 Abs. 1). Die Einwilligung muss freiwillig, spezifisch, informiert und unmissverständlich erfolgen; Stillschweigen oder vorangekreuzte Kästchen genügen nicht (Erwägungsgrund 32). Ein Widerruf muss jederzeit und so einfach wie die Erteilung möglich sein (Art. 7 Abs. 3).
  • EDPB-Leitlinien: Die Leitlinien 05/2020 des Europäischen Datenschutzausschusses konkretisieren Anforderungen an Gestaltung und Nachweis von Einwilligungen (u. a. Granularität, Transparenz, Widerrufsmechanismen).

ePrivacy-Richtlinie (Art. 13)

Für elektronische Post zu Zwecken der Direktwerbung ist grundsätzlich vorherige Einwilligung erforderlich. Diese Vorgabe bildet den telekommunikationsrechtlichen Rahmen der EU-Mitgliedstaaten für E-Mail-Marketing.

Deutschland: UWG (§ 7) und TDDDG (§ 25)

  • UWG § 7 Abs. 2 Nr. 3: Werbung per E-Mail ohne ausdrückliche Einwilligung ist unzulässig; es drohen Unterlassung, Abmahnung, Schadensersatz. Ausnahme: Bestandskundenwerbung nach § 7 Abs. 3 UWG bei strengen Voraussetzungen (eigene ähnliche Waren/Dienstleistungen, Erhebung im Zusammenhang mit einem Verkauf, klarer Widerspruch bei Erhebung und in jeder Mail, kein Widerspruch erfolgt).
  • TDDDG § 25 (ehemals TTDSG § 25): Regelt die Endgeräte-Einwilligung (z. B. Cookies/Tracking), die oft zusätzlich zum E-Mail-Opt-in nötig ist. Die Information und Einwilligung müssen nach DSGVO-Standards erfolgen.

 

Ist Double Opt-in gesetzlich vorgeschrieben?

Nein, die DSGVO schreibt kein bestimmtes technisches Verfahren (z. B. DOI) ausdrücklich vor. Allerdings verlangt die DSGVO nachweisbare Einwilligung (Art. 7 Abs. 1; Erwägungsgrund 42) und klare bestätigende Handlung (Erwägungsgrund 32). Double Opt-in hat sich deshalb als anerkannter Standard etabliert, um diese Anforderungen in der Praxis robust zu erfüllen. Verschiedene Fachbeiträge und Praxisberichte betonen, dass DOI rechtlich zweckmäßig ist, ohne formell zwingend zu sein.

Wichtig ist die Differenzierung nach Kanal: Der BGH hat etwa entschieden, dass eine per E-Mail eingeholte DOI-Bestätigung kein tauglicher Nachweis für Telefonwerbung ist; zwischen Telefonnummer und E-Mail-Adresse bestehe keine zweifelsfreie Zuordnung. Für E-Mail-Werbung kann DOI dagegen — korrekt dokumentiert — die Beweisführung erleichtern.

 

Abgrenzung: Single Opt-in, Confirmed Opt-in und Double Opt-in

  • Single Opt-in (SOI): Eintragung genügt; die Adresse wird sofort aktiviert. Risiken: Falscheintragungen, geringere Beweislast-Sicherheit, höhere Bounce- und Beschwerdequoten.
  • Confirmed Opt-in (COI): Eintragung aktiviert, zusätzlich folgt eine Hinweis-/Willkommensmail ohne Pflicht zur Bestätigung; der Empfänger kann sich abmelden. Rechtlich schwächer als DOI, da der aktive Bestätigungsklick fehlt.
  • Double Opt-in (DOI): Eintragung plus aktiver Bestätigungsklick; erst danach ist die Adresse aktiviert. Präferiertes Verfahren für belastbaren Einwilligungs-Nachweis.

 

Rechtsprechung und behördliche Hinweise

  • BGH, 10.02.2011 – I ZR 164/09: Eine Bestätigungsmail im DOI belegt kein Einverständnis mit Telefonwerbung und erleichtert dort allein keinen Beweis. Für E-Mail-Werbung bekräftigt die Entscheidung zugleich die hohen Anforderungen an den Einwilligungsnachweis.
  • OLG München, 27.09.2012 – 29 U 1682/12: Eine DOI-Bestätigungsmail kann Werbung darstellen; ohne (nachweisbare) vorherige Einwilligung ist sie unzulässig. Konsequenz: Bestätigungsmails dürfen keinen werblichen Inhalt enthalten.
  • LG Stendal, 16.02.2022: Werbliche Elemente in der DOI-Bestätigungsmail sind unzulässig; sogar Schadensersatz wurde zugesprochen. Praxis: Bestätigungsmails strikt zweckgebunden ausgestalten.
  • DSK-Orientierungshilfe Werbung (02/2022): Bei DOI-Verfahren über SMS/Telefoncode sei die Beweiskraft wegen leichter Fälschbarkeit regelmäßig geringer; zudem klare Vorgaben zu Direktwerbung, Einwilligung, Widerruf und Dauer der Nutzung.

 

Funktionsweise und Pflichtbestandteile eines rechtssicheren DOI-Prozesses

Erhebung (Formular)

  • Transparenz: Einwilligungstext klar, verständlich und zweckgebunden (für den konkreten Newsletter/Kommunikation). Keine vorangekreuzten Checkboxen; separate Einwilligungen bei mehreren Zwecken.
  • Pflichtinformationen: Hinweise auf Widerrufsrecht jederzeit und so einfach wie die Erteilung (Art. 7 Abs. 3); Verweis auf Datenschutzhinweise.
  • Kopplungsverbot: Keine erzwungene Einwilligung für zweckfremde Verarbeitungen; Einwilligung muss freiwillig sein (Art. 7 Abs. 4).

Bestätigungsmail

  • Zweckrein: nur Anmeldung bestätigen, keine Werbung, keine Cross-Selling-Elemente, keine Rabatte; klarer Link zur Bestätigung und Alternative (z. B. manueller Code).
  • Link-Hygiene: Einmal-Token, begrenzte Gültigkeit (z. B. 7–30 Tage), Bindung an Formularkontext (Herkunft/Quelle).
  • Identifikation: Wiederholung der angegebenen Daten (Adresse), Angabe des Verantwortlichen und ein Abbruch-/Melden-Hinweis bei Missbrauch.

Aktivierung und Protokollierung

  • Protokolldaten (Audit-Trail): Zeitpunkt und Quelle der Anmeldung und Bestätigung, IP-Adresse, User-Agent, Einwilligungstext (Version), Herkunft (Form-URL), optional Double-Opt-in-Token (Hash), sowie Nachweis der Widerrufswege. Art. 7 Abs. 1/Erwägungsgrund 42 verlangen die Beweisbarkeit.

Widerruf und Widerspruch

  • Jederzeitiger Widerruf der Einwilligung (Art. 7 Abs. 3) und Widerspruchsrecht gegen Direktwerbung (Art. 21 Abs. 2 f.). Praktisch: Unsubscribe-Link in jeder Mail; Widerruf darf keine Hürden enthalten.

 

Sonderfälle und Stolpersteine

Bestandskundenprivileg (§ 7 Abs. 3 UWG)

In Deutschland ist E-Mail-Werbung ohne erneute Einwilligung ausnahmsweise zulässig, wenn alle folgenden Kriterien gleichzeitig erfüllt sind:

  1. Adresse im Zusammenhang mit dem Verkauf einer Ware/Dienstleistung erhoben,
  2. Werbung nur für eigene, ähnliche Produkte/Dienstleistungen,
  3. klarer Widerspruch bereits bei Erhebung und in jeder Mail,
  4. Kein Widerspruch erfolgt.
    Die Anforderungen sind restriktiv auszulegen; „ähnlich“ orientiert sich an der Erwartung der Kunden. Bei Zweifeln ist Einwilligung via DOI vorzuziehen.

Inhalt der Bestätigungsmail

Jede werbliche Gestaltung in der DOI-Mail kann unzulässig sein. Halten Sie den Inhalt minimalistisch und zweckgebunden.

Telefon, SMS, Messenger

Für Telefonwerbung reicht eine E-Mail-DOI als Nachweis nicht aus (BGH I ZR 164/09). Für SMS/Anruf-Codes ist die Beweiskraft häufig gering; setzen Sie auf kanalspezifische, belastbare Nachweise.

B2B vs. B2C

Das UWG schützt alle Marktteilnehmer; auch im B2B ist für E-Mail-Marketing grundsätzlich eine Einwilligung erforderlich (oder die enge Bestandskunden-Ausnahme). DOI bietet hier die nötige Rechtssicherheit in der Dokumentation.

Mehrkanal-Verknüpfung und Tracking

Wenn DOI mit Tracking (z. B. Öffnungs-/Klick-Tracking per Pixel) kombiniert wird, benötigen Sie zusätzlich ggf. eine Endgeräte-Einwilligung nach § 25 TDDDG. Trennen Sie Zwecke und Einwilligungen granular.

 

Beweislast und Dokumentation

Die Beweislast für eine wirksame Einwilligung liegt vollständig beim Verantwortlichen (Art. 7 Abs. 1 DSGVO). Deshalb sind umfangreiche, unveränderliche Protokolle entscheidend. Speichern Sie zu jeder Adresse:

  • Zeitstempel und Quelle von Anmeldung und Bestätigung,
  • Einwilligungstext (Wortlaut/Version),
  • IP/UA beider Schritte,
  • Herkunft-Kontext (Form-Pfad, Kampagne),
  • Hinweise auf Widerrufswege.

Die DSK weist außerdem darauf hin, dass bei SMS/Telefon-Codes die Beweiskraft geringer sein kann; E-Mail-DOI mit sauberem Logging ist daher vorzugswürdig.

 

Inhalte, Design und UX einer DOI-Bestätigung

  • Betreff/Einleitung: „Bitte bestätigen Sie Ihre Anmeldung“; kein Marketing-Wording.
  • Kernhandlung: Deutlicher Call-to-Action („Anmeldung bestätigen“) und Alternativpfad (manueller Code), falls Links blockiert werden.
  • Identität & Transparenz: Verantwortlicher mit Kontaktangaben, Hinweis auf Datenschutzhinweise, Erläuterung Widerruf/Widerspruch.
  • Barrierefreiheit & Sicherheit: Klarer Kontrast, selbsterklärende Links, TLS-gesicherter Bestätigungs-Endpunkt, Token-Hashing serverseitig.

 

Implementierung: Schritt-für-Schritt

  1. Formular & Einwilligungstext
    • Klarer Zweck („Newsletter Produkt X“), keine Voreinstellungen, kurze Layer-Info plus Link zur Datenschutzerklärung. Separat einwilligen lassen, wenn zusätzliche Zwecke (z. B. Profiling, Third-Party-Marketing) vorliegen.
  2. Double-Opt-in auslösen
    • Transaktions-E-Mail mit einzigem Ziel „Adresse bestätigen“. Kein werblicher Content, Eindeutigkeit der Handlung, Einmal-Token mit sinnvoller Ablauffrist.
  3. Aktivierung & Logging
    • Speichern Sie Anmeldezeit, Bestätigungszeit, IP, User-Agent, Herkunft-URL, Einwilligungstext-Version, Belehrung zum Widerruf, Token-Hash, optional Geo/IP-Region. Diese Daten dienen allein dem Einwilligungsnachweis.
  4. Widerruf unkompliziert ermöglichen
    • In jeder E-Mail: Abmeldelink; zusätzlich alternative Kanäle (Antwortmail, Profilcenter). Der Widerruf muss so einfach wie die Einwilligung sein.
  5. Bestandskunden-Flow trennen
    • Wenn Sie § 7 Abs. 3 UWG nutzen, prüfen Sie streng: Erhebungszusammenhang, eigene ähnliche Produkte, Opt-out bei Erhebung und in jeder Mail. Dokumentieren Sie den Verkaufskontext als Rechtsgrundlagen-Nachweis.
  6. Tracking/Cookies separat behandeln
    • Für Pixel/ID-Technologien ggf. separate Einwilligung nach § 25 TDDDG (Endgerät). Keine Kopplung unzulässig zweckfremder Verarbeitungen.

 

Missbrauchs- und Beschwerdefälle

Empfänger können Widerruf (Art. 7 Abs. 3) oder Widerspruch (Art. 21 DSGVO) erklären; Unternehmen müssen dies umgehend umsetzen. Beschwerden bei unerlaubter Werbung sind möglich; u. a. können sich Betroffene an die Bundesnetzagentur (Spam-Meldungen) wenden.

 

Fazit

Double Opt-in ist in Deutschland und der EU der de-facto-Standard, um wirksame und nachweisbare Einwilligungen für elektronische Direktwerbung — insbesondere E-Mail — einzuholen. Zwar schreibt keine Norm das Verfahren zwingend vor, doch die Nachweispflicht (Art. 7 Abs. 1 DSGVO), die Anforderungen an die eindeutige Handlung (Erwägungsgrund 32) sowie die UWG-Vorgaben machen DOI praktisch alternativlos, wenn Sie Rechtssicherheit und Datenqualität zugleich anstreben. Achten Sie auf werbefreie Bestätigungsmails, vollständige Protokollierung und einfache Widerrufbarkeit. Prüfen Sie außerdem gesonderte Einwilligungen für Endgerätezugriffe (§ 25 TDDDG) und halten Sie die Bestandskunden-Ausnahme nach § 7 Abs. 3 UWG nur in klaren Grenzfällen vor. Mit einem sauber implementierten DOI-Prozess erfüllen Sie sowohl rechtliche als auch verbraucherschutzorientierte Erwartungen — und stärken langfristig Vertrauen, Lieferbarkeit und Engagement Ihrer Kommunikation.

Weitere passende Glossareinträge

DINK

DINK bezeichnet einen Paarhaushalt mit zwei Erwerbseinkommen und ohne Kinder im Haushalt. Häufig als Marketingbegriff für kaufkräftige Zielgruppen im Gebrauch.
Weiterlesen

Design Thinking

Design Thinking ist ein menschenzentrierter, iterativer Innovationsansatz, der Bedürfnisse erforscht, Probleme neu fasst, Ideen prototypisch testet und tragfähige Lösungen entwickelt.
Weiterlesen

Domain

Eine Domain ist die eindeutige Internetadresse, die die Erreichbarkeit und Identität einer Website im Web gewährleistet.
Weiterlesen

DNS

DNS ist das hierarchische, verteilte Adressbuch des Internets, das Anfragen über Resolver zu autoritativen Servern leitet und Ergebnisse zwischencacht.
Weiterlesen

DOM (Document Object Model)

Das Document Object Model (DOM) verbindet HTML-Markup mit Programmen, indem es Inhalte, Struktur und Verhalten im Speicher repräsentiert und über APIs zugänglich macht.
Weiterlesen
Zurück zum Glossar
Back to top