Opt-in vs. Opt-out: Die beiden Consent-Modelle im Überblick
Weltweit gibt es zwei grundlegend verschiedene Ansätze zur Cookie-Einwilligung. Die Europäische Union verlangt Opt-in: keine Cookies, bevor der Nutzer zustimmt. Die Vereinigten Staaten (in den meisten Bundesstaaten) erlauben Opt-out: Cookies werden standardmäßig gesetzt, und der Nutzer kann widersprechen. Diese beiden Modelle zu verstehen – ihre rechtliche Grundlage, ihre Auswirkungen und ihren jeweiligen Anwendungsbereich – ist für jede Website mit internationalem Publikum unerlässlich.
Das Opt-in-Modell
Beim Opt-in-Modell dürfen nicht notwendige Cookies erst gesetzt werden, wenn der Nutzer eine ausdrückliche, bestätigende Einwilligung erteilt hat. Bleibt der Nutzer untätig, werden keine Cookies gesetzt. Dieses Modell wird von der ePrivacy-Richtlinie der EU (Artikel 5 Absatz 3) verlangt, ausgelegt im Sinne der Einwilligungsdefinition der DSGVO (Artikel 4 Absatz 11).
So funktioniert Opt-in in der Praxis
- Der Nutzer besucht die Website zum ersten Mal.
- Nur unbedingt erforderliche Cookies sind aktiv. Analyse-, Marketing- und Präferenz-Cookies sind blockiert.
- Ein Einwilligungsmechanismus erscheint, präsentiert die Cookie-Kategorien und fordert den Nutzer zu einer Auswahl auf.
- Der Nutzer wählt aktiv aus, welche Kategorien er akzeptiert (oder klickt auf „Alle akzeptieren" oder „Alle ablehnen").
- Nur die Skripte, die den akzeptierten Kategorien entsprechen, werden geladen.
- Bleibt der Nutzer untätig, werden keine nicht notwendigen Cookies gesetzt. Der Einwilligungsmechanismus bleibt sichtbar (oder zugänglich), bis der Nutzer eine Wahl trifft.
Rechtliche Grundlage
Die Opt-in-Pflicht ergibt sich aus zwei Quellen:
- ePrivacy-Richtlinie Artikel 5 Absatz 3: Verlangt eine „Einwilligung", bevor Informationen auf dem Gerät eines Nutzers gespeichert werden.
- DSGVO Artikel 4 Absatz 11: Definiert die Einwilligung als eine „unmissverständliche bestätigende Handlung" – was Untätigkeit, vorangekreuzte Kästchen und stillschweigende Zustimmung ausschließt.
- EuGH-Urteil Planet49 (C-673/17): Bestätigte, dass eine aktive Einwilligung erforderlich ist und vorangekreuzte Kästchen keine gültige Einwilligung darstellen.
Wo Opt-in gilt
In allen EU-/EWR-Mitgliedstaaten (27 EU-Länder sowie Norwegen, Island und Liechtenstein) sowie im Vereinigten Königreich (das die ePrivacy-Regeln nach dem Brexit über die Privacy and Electronic Communications Regulations, kurz PECR, beibehalten hat).
Auswirkungen für Website-Betreiber
- Rechnen Sie mit erheblichen Ablehnungsquoten. Branchendaten zufolge lehnen 30–50 % der europäischen Besucher nicht notwendige Cookies ab, wenn sie eine echte Wahl haben.
- Die Analysedaten werden unvollständig sein. Sie verfügen nur über Daten von Nutzern, die eingewilligt haben. Das ist kein Fehler – es ist das beabsichtigte Ergebnis der Regulierung.
- Das Laden von Skripten muss bedingt erfolgen. Sie benötigen einen technischen Mechanismus, der Skripte blockiert, bis eine Einwilligung erfasst ist. Das lässt sich nicht allein mit einem Banner umsetzen – es erfordert eine tatsächliche Skriptverwaltung.
Das Opt-out-Modell
Beim Opt-out-Modell können Cookies standardmäßig gesetzt werden. Der Nutzer hat das Recht, dies abzulehnen oder zu widersprechen, doch solange er nicht aktiv wird, ist das Tracking zulässig. Dieses Modell wird in den Vereinigten Staaten und einigen anderen Rechtsräumen verwendet.
So funktioniert Opt-out in der Praxis
- Der Nutzer besucht die Website.
- Alle Cookies – einschließlich Analyse- und Marketing-Cookies – werden sofort gesetzt.
- Ein Hinweis informiert den Nutzer darüber, dass Cookies verwendet werden, und bietet eine Möglichkeit zum Widerspruch.
- Bleibt der Nutzer untätig, bleiben die Cookies aktiv.
- Widerspricht der Nutzer, werden seine Präferenzen fortan berücksichtigt (und in manchen Rechtsräumen müssen bereits erhobene Daten möglicherweise gelöscht werden).
Rechtliche Grundlage
Das Opt-out-Modell findet sich in:
- CCPA/CPRA (Kalifornien): Verbraucher in Kalifornien haben das Recht, dem „Verkauf" oder der „Weitergabe" personenbezogener Daten zu widersprechen. Cookies, die für kontextübergreifende verhaltensbasierte Werbung eingesetzt werden, gelten nach CPRA als „Weitergabe". Die Verpflichtung besteht darin, einen Opt-out-Mechanismus bereitzustellen (häufig über einen Link „Do Not Sell or Share My Personal Information"), nicht darin, eine vorherige Einwilligung einzuholen.
- CAN-SPAM Act und FTC-Leitlinien: Der US-Bundesansatz beim Online-Tracking beruhte historisch eher auf Hinweis und Wahlmöglichkeit als auf einer ausdrücklichen Einwilligung.
- Verschiedene US-Bundesstaatengesetze: Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA) und weitere folgen Varianten des Opt-out-Modells für zielgerichtete Werbung und Datenverkäufe.
Wo Opt-out gilt
In den Vereinigten Staaten (mit Unterschieden je nach Bundesstaat), in Kanada (PIPEDA – wobei sich dies mit geplanten Reformen ändern könnte), in Australien (nach dem Privacy Act – ebenfalls in Überarbeitung) sowie in mehreren anderen Rechtsräumen außerhalb der EU/des EWR.
Auswirkungen für Website-Betreiber
- Mehr Datenerhebung standardmäßig. Da Cookies gesetzt werden, sofern der Nutzer nicht widerspricht, sind Analyse- und Werbedaten vollständiger.
- Ein klarer Opt-out-Mechanismus muss bereitgestellt werden. Nach CCPA/CPRA bedeutet dies einen leicht auffindbaren und nutzbaren Link „Do Not Sell or Share My Personal Information".
- Global Privacy Control (GPC) muss beachtet werden. Das kalifornische Recht verpflichtet Unternehmen, das GPC-Browsersignal als gültigen Widerspruch zu behandeln.
Detaillierter Vergleich
| Aspekt | Opt-in (EU/DSGVO) | Opt-out (USA/CCPA) |
|---|---|---|
| Ausgangszustand | Cookies blockiert bis zur Einwilligung | Cookies standardmäßig aktiv |
| Erforderliche Nutzeraktion | Nutzer muss handeln, um Cookies zuzulassen | Nutzer muss handeln, um Cookies zu stoppen |
| Schweigen / Untätigkeit | Bedeutet keine Einwilligung (keine Cookies) | Bedeutet vermutete Einwilligung (Cookies aktiv) |
| Einwilligungsmechanismus | Granulare Auswahl pro Kategorie | Opt-out-Link oder Schalter |
| Vorangekreuzte Kästchen | Nicht zulässig (Planet49-Urteil) | Zulässig (Opt-out-Modell) |
| Auswirkung auf Analysen | 30–50 % Datenverlust durch fehlende Einwilligung | Minimaler Datenverlust (wenige widersprechen) |
| Widerruf | So einfach wie die Einwilligung (DSGVO Art. 7 Abs. 3) | Muss bereitgestellt werden, keine Anforderung gleicher Einfachheit |
| Kinder | Elterliche Einwilligung unter 13–16 Jahren (variiert) | COPPA gilt für unter 13-Jährige |
| Zentrale Regelung | ePrivacy-Richtlinie + DSGVO | CCPA/CPRA + Bundesstaatengesetze |
| Höchststrafen | 20 Mio. EUR oder 4 % des weltweiten Umsatzes | 7.500 $ pro vorsätzlichem Verstoß (CCPA) |
Können unterschiedliche Modelle für verschiedene Regionen eingesetzt werden?
Ja, und viele internationale Websites tun genau das. Dieser Ansatz wird als geografisch gezieltes Consent-Management bezeichnet. Die Website erkennt den Standort des Besuchers (in der Regel über IP-Geolokalisierung) und zeigt das passende Einwilligungsmodell an:
- Besucher aus EU/EWR/UK: Opt-in-Modell mit granularer Einwilligung.
- Besucher aus Kalifornien: Opt-out-Modell mit „Do Not Sell or Share"-Link.
- Sonstige US-Besucher: Reiner Hinweis (abhängig von der Anwendbarkeit des jeweiligen Bundesstaatengesetzes).
- Andere Rechtsräume: Auf Grundlage des jeweils geltenden lokalen Rechts.
Herausforderungen des Geo-Targetings
- Die IP-Geolokalisierung ist nicht perfekt. VPN-Nutzer können falsch verortet werden. Mobile Nutzer können sich zwischen Rechtsräumen bewegen.
- Wartungsaufwand. Sie müssen die regulatorischen Entwicklungen in jedem Rechtsraum verfolgen, den Sie bedienen, und Ihre Einwilligungsabläufe entsprechend aktualisieren.
- Komplexität beim Testen. Sie müssen sicherstellen, dass jede regionale Variante korrekt funktioniert – unterschiedliche Banner, unterschiedliche Ausgangszustände, unterschiedliches Verhalten bei der Skriptblockierung.
- Die DSGVO gilt extraterritorial. Wenn Sie EU-Nutzer ansprechen (Artikel 3 Absatz 2), gilt die DSGVO unabhängig davon, wo Ihr Unternehmen ansässig ist. „Ansprechen" umfasst das Angebot von Waren oder Dienstleistungen an EU-Bürger oder die Überwachung ihres Verhaltens.
Best Practice: Standardmäßig auf Opt-in setzen
Wenn die Verwaltung mehrerer Einwilligungsmodelle überwältigend erscheint, gibt es einen einfacheren Weg: weltweit standardmäßig das Opt-in-Modell einsetzen.
Aus diesen Gründen funktioniert das:
- Konformität überall. Das Opt-in-Modell erfüllt die strengsten Anforderungen. Wenn Sie die Einwilligungsanforderungen der DSGVO erfüllen, übertreffen Sie automatisch die Anforderungen von CCPA, LGPD und den meisten anderen Rahmenwerken.
- Einfachheit. Ein Einwilligungsmechanismus, eine Implementierung, ein Satz an Tests. Keine Geo-Erkennung, keine regionalen Varianten, keine Sonderfälle.
- Zukunftssicherheit. Der globale Trend geht zu strengeren Einwilligungsanforderungen. Geplante Reformen in den USA, Kanada, Australien und Indien bewegen sich alle in Richtung ausdrücklicherer Einwilligung. Wer jetzt auf Opt-in setzt, muss später nicht nachrüsten.
- Nutzervertrauen. Nutzer weltweit reagieren positiv auf transparente, respektvolle Einwilligungspraktiken. Eine echte Wahlmöglichkeit anzubieten – selbst dort, wo das Gesetz sie nicht strikt vorschreibt – schafft Vertrauen und Markenglaubwürdigkeit.
- Datenqualität. Auf Einwilligung beruhende Daten sind sauberer, rechtlich besser belegbar und wertvoller als Daten, die in rechtlicher Grauzone erhoben werden.
Der Kompromiss ist real: Weltweit werden Sie weniger Daten erheben. Doch die Daten, die Sie erheben, sind rechtlich einwandfrei, ethisch sauber und – da Drittanbieterdaten immer schwerer zugänglich werden – zunehmend wertvoll.
Aktuelle Entwicklungen
Die Einwilligungslandschaft ist nicht statisch. Mehrere Entwicklungen sind es wert, im Auge behalten zu werden:
- ePrivacy-Verordnung. Die EU arbeitet seit 2017 an einem Ersatz für die ePrivacy-Richtlinie. Sobald sie verabschiedet ist, wird sie zu einer unmittelbar geltenden Verordnung (wie die DSGVO) statt einer Richtlinie, die eine nationale Umsetzung erfordert. Es wird erwartet, dass die Einwilligungsregeln für Cookies dem aktuellen Rahmen ähnlich oder strenger bleiben.
- Global Privacy Control (GPC). Dieses Signal auf Browser-Ebene übermittelt die Datenschutzpräferenzen eines Nutzers automatisch. Das kalifornische Recht verlangt bereits die Beachtung von GPC. Colorado und Connecticut tun dies ebenfalls. Dies könnte zu einem Standardmechanismus für die Übermittlung von Opt-out-Präferenzen werden.
- „Consent or Pay"-Modelle. Die Stellungnahme des EDSA aus dem Jahr 2024 zu „Consent or Pay" (insbesondere im Zusammenhang mit dem Ansatz von Meta) prägt, wie Aufsichtsbehörden das Verhältnis zwischen Einwilligung und Zugang zu Diensten bewerten.
- Einwilligung auf Browser-Ebene. Einige Vorschläge würden das Consent-Management von einzelnen Websites auf den Browser selbst verlagern, sodass Nutzer ihre Präferenzen einmalig festlegen statt auf jeder Website. Dies würde grundlegend verändern, wie Einwilligung in der Praxis funktioniert.
Passiro hilft Ihnen, das richtige Einwilligungsmodell für Ihr Publikum umzusetzen – mit automatischer Erkennung und Kategorisierung aller Cookies auf Ihrer Website, ganz gleich, ob Sie sich für Opt-in, Opt-out oder einen geografisch gezielten Ansatz entscheiden.
In unserem letzten Abschnitt werfen wir einen Blick auf Best Practices für die Einwilligung – die praktische, umsetzbare Anleitung, um eine Einwilligung zu gestalten, die sowohl konform als auch nutzerfreundlich ist.
Erfüllt Ihre Website die Cookie-Vorschriften?
Scannen Sie Ihre Website kostenlos und finden Sie alle Cookies in wenigen Minuten.
Cookies kostenlos scannen