Wenn Unternehmen persönliche Daten verarbeiten, müssen sie Datenschutzvorgaben beachten und die Einwilligung ihrer Nutzer einholen. So auch im Fall der elektronischen Patientenakte (ePA), die zum Dreh- und Angelpunkt der digitalen Gesundheitsversorgung werden soll. Um ihre Verbreitung in Deutschland zu beschleunigen, soll die Handhabung für die User vereinfacht werden. Im Gespräch ist, sie wie in anderen europäischen Ländern automatisch für alle Versicherten einzuführen und eine Widerspruchsmöglichkeit mit dem sogenannten Opt-Out-Verfahren zu realisieren. Doch was steckt eigentlich hinter dem Begriff Opt-Out? Und wie hängen das sogenannte (Double)-Opt-In-Verfahren beziehungsweise das Permission Marketing damit zusammen? In diesem Blogbeitrag bringen wir Licht ins Dunkel.
Sprechen Krankenversicherer im Zusammenhang mit der elektronischen ePA von Opt-Out- und Opt-In, beziehen sie sich auf Ansätze, die ursprünglich aus dem Permission Marketing stammen.
Permission Marketing ist eine Form des Direktmarketings, das die Rechteverwaltung beim Versand von Werbung oder Informationen vereinfacht. Denn dabei erteilen die potenziellen Empfänger explizit ihre Erlaubnis (englisch: Permission). Das kann auf verschiedenen Wegen passieren: via (Double-)Opt-In (englisch: sich dafür entscheiden/ wählen) und Opt-Out (englisch: sich dagegen entscheiden/ abmelden).
Die zwei Wege des Permission Marketing: Opt-In und Opt-Out
Opt-In – das Zustimmungsverfahren
Beim sogenannten Opt-In-Verfahren werden die Interessenten in der Regel per Formular gefragt, ob sie zustimmen, Werbung oder Informationen beispielsweise in Form eines Newsletters zu erhalten. Wünschen sie das, ist es erforderlich, dass sie der Nutzung ihrer Daten ausdrücklich zustimmen, indem sie zum Beispiel ihre E-Mail-Adresse angeben.
Da Mail-Adressen zu den personenbezogenen Daten zählen, ist es wichtig, dass Erklärungen zur Datenverarbeitung, -speicherung, -weitergabe und dem Widerspruch für die Nutzer klar ersichtlich sind. Neben der Zustimmung zum Erhalt eines Newsletters gibt es eine weitere Opt-In-Funktion, die wohl jeder kennt: die Zustimmung zu den Cookies auf einer Website.
Beim Opt-In-Verfahren wird übrigens differenziert zwischen dem beschriebenen einfachen Opt-In, auch Single-Opt-In genannt, und dem Double-Opt-In. Worin besteht nun der Unterschied?
Single-Opt-In und Double-Opt-In-Verfahren
Da beim Single-Opt-In allein die Angabe der E-Mail-Adresse für die Einwilligung erforderlich ist, ist das Verfahren anfälliger für Fehler und Missbrauch. Schliesslich ist es so ein Leichtes, die E-Mail-Adressen von Personen oder Organisationen für den Verteiler anzumelden, die eigentlich gar nicht an den versendeten Inhalten interessiert sind. Aus diesem Grund ist Single-Opt-In auch nicht rechtssicher.
Um solche Falsch-Anmeldungen zu verhindern, ist das Double-Opt-In-Verfahren erforderlich. Damit ist zudem sichergestellt, dass die Anforderungen der Datenschutzgrundverordnung (DSGVO) erfüllt werden. Wie beim Single-Opt-In stimmen die potenziellen Kontakte beim Double-Opt-In per Formular einem Informations- und Werbeangebot zu. Im Unterschied zum Single-Opt-In sind sie dann aber noch nicht automatisch in den Verteiler aufgenommen und erhalten auch noch nicht zum Beispiel den gewünschten Newsletter.
Bei Double-Opt-In erfolgt noch ein Zwischenschritt: Die Interessenten erhalten eine Mail mit einem Bestätigungslink in ihr Postfach. Damit wird verifiziert, ob der Auftraggeber wirklich Zugriff auf die E-Mail-Adresse hat und die Zustellung der Informations- oder Werbeangebote von ihm beauftragt wurde. Erst nach dem Klick auf den Bestätigungslink ist die Zustimmung erteilt. Wenn der Bestätigungslink nicht aktiviert wird, dürfen auch keine Werbe- oder Informationsmedien an die E-Mail-Adresse geschickt werden.
Das Double-Opt-In-Verfahren hat mehrere Vorteile. Es verhindert zum einen, dass Unternehmen Karteileichen und unfreiwillige Adressaten in ihre Verteiler aufnehmen. Zum anderen ist der Double-Opt-In nach Art. 7 DSGVO und Art. 8 der DSGVO erforderlich. Da hierbei doppelt geprüft wird, ob der Auftraggeber auch wirklich zum Beispiel dem E-Mail-Marketing zugestimmt hat, wird hiermit sowohl dem Datenschutz als auch der Datensicherheit Rechnung getragen. Es ist sichergestellt, dass niemand gegen seinen Willen Werbung erhält und auch dem Missbrauch persönlicher Daten wird vorgebeugt.
Opt-Out-Verfahren
Im Gegensatz zum Opt-In- steht das Opt-Out-Einwilligungsverfahren, für das verschiedene technische Möglichkeiten zum Einsatz kommen können. Opt-Out kann sowohl beim Widerspruchs- als auch beim Widerrufsrecht Anwendung finden.
So wird in einigen Fällen von einer Zustimmung zum Erhalt der Werbung oder der Informationen ausgegangen, wenn kein aktiver Widerspruch durch die Betroffenen erfolgt. Andere weit verbreitete Opt-Out-Einsatzbereiche sind zum Beispiel der üblicherweise am Ende eines Newsletters stehende Link, um die Zustimmung zum Erhalt zu widerrufen. Wenn User einen bereits gesetzten Haken löschen sollen, um einer Nutzung ihrer Daten zu widersprechen, fällt dies ebenso unter Opt-Out.
Opt-Out-Verfahren für die ePA
Auch im Falle der ePA ist das Opt-Out-Verfahren der praktikablere Ansatz. Denn wenn jeder Zugriff auf die elektronische Patientenakte einer Einwilligung via Opt-In durch den Versicherten bedarf, wird der Aufwand für die beteiligten Akteure insgesamt zu gross. Daher wäre es besser, dem Beispiel anderer europäischer Staaten wie beispielsweise Österreich zu folgen – wo die Nutzerzahlen der ePA übrigens bei 97 Prozent liegen. In der Konzeption der ePA verfolgen diese Länder den Ansatz, die Einrichtung, Befüllung und Nutzung ohne die Einwilligung eines jeden einzelnen Versicherten grundsätzlich erst einmal zu ermöglichen. Via Opt-Out-Verfahren haben sie jedoch die Möglichkeit, dem Anlegen der ePA sowie ihrer Befüllung grundlegend zu widersprechen. Dadurch wird die Handhabung deutlich verschlankt und nicht zuletzt für die Patienten deutlich attraktiver.