Double-Opt-in Fenster
72Stunden
Nummer
BP-AT-001
Maßstab
1 : 1
Datum
2026-05-25
Rev.
A
Werkstatt 4notify · DatenschutzFreigegeben
Bauplan BP-AT-001 von BP-AT-008 · Datenschutz
SMSE-MailWhatsAppWebhook
DSGVO-konforme Einwilligungsverwaltung mit Audit-Trail
Double-Opt-in, Widerrufsrecht und Auditprotokoll für die Datenschutzbehörde
§ ADas Problem
Viele Plattformen erfassen die Einwilligung mit einer einzigen Datenbank-Spalte ’marketing_opt_in = true’. Das bestand vor Inkrafttreten der DSGVO, hält aber heute keiner Beschwerde mehr stand: die DSB verlangt den Nachweis der Einwilligung im Detail (Text, Datum, Kanal) — und der Widerruf muss innerhalb von 30 Tagen wirksam sein, dokumentiert und mit Bestätigung an den Betroffenen. Wer das nicht vorweisen kann, riskiert Verwarnungen, im Wiederholungsfall Geldbußen bis zu 4 % des weltweiten Jahresumsatzes oder 20 Mio. EUR.
§ BHauptansicht
Das österreichische Datenschutzgesetz (DSG, BGBl. I Nr. 165/1999 idgF.) ergänzt die DSGVO um nationale Präzisierungen — die Datenschutzbehörde (DSB) in Wien legt diese in jährlichen Tätigkeitsberichten aus. Für Benachrichtigungen heißt das: Einwilligung muss informiert, freiwillig, für den bestimmten Zweck und nachweisbar erteilt werden, und der Widerruf muss so einfach sein wie die Erteilung. 4notify implementiert dies als Consent-Ledger: jede Einwilligung wird mit Zeitstempel, IP-Adresse, User-Agent, abgefragtem Text und Kanal-Scope gespeichert. Der Ledger ist unveränderlich (append-only) und exportierbar als CSV für DSB-Anfragen.
§ CMaterialliste
| Kanal | Primärer Anbieter | Fallback |
|---|---|---|
| Consent-Form | Hosted form @ 4notify | Embed (JS widget) |
| Double-Opt-in E-Mail | 4notify Mail (DKIM/DMARC) | Mailgun EU |
| Audit-Ledger | Postgres append-only | S3 EU-Central WORM |
| Widerruf-Link | Signed HMAC-token URL | Inbound STOP keyword |
| DSB-Export | Async CSV job | JSON API (Pagination) |
§ DToleranzen
Widerruf-Wirksamkeit
30Tage (DSGVO)
Audit-Log Retention
7Jahre
Export DSB-Anfrage
≤ 30Tage (DSGVO Art. 12)
Bestätigung Widerruf
≤ 24Stunden
§ ENormverweise
DSGVO Art. 6 (1) (a)
Verarbeitung ist nur rechtmäßig, wenn die betroffene Person ihre Einwilligung gegeben hat. Für Direktwerbung per SMS/E-Mail ist die Einwilligung der einzig praktikable Rechtsgrund — Art. 6 (1) (f) berechtigtes Interesse hält bei marketingbezogenen Kanälen kaum stand.
DSGVO Art. 7 (1)
Beruht die Verarbeitung auf Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person eingewilligt hat. Der Nachweis muss inhaltlich und zeitlich rekonstruierbar sein — ein Datenbankflag genügt nicht.
DSGVO Art. 13
Informationspflicht: Bei Erhebung müssen Identität des Verantwortlichen, Zwecke, Rechtsgrundlage, Empfänger, Speicherdauer und Betroffenenrechte transparent gemacht werden. Der gezeigte Text wird im Consent-Ledger archiviert.
DSG § 1 (Verfassungsbestimmung)
Das österreichische Datenschutzgesetz erhebt den Schutz personenbezogener Daten in Verfassungsrang — die DSB legt das tendenziell strenger aus als andere europäische Aufsichtsbehörden, etwa beim Granularitätsgebot für gebündelte Einwilligungen.
§ FBauschritte
Einwilligungstext im Ledger fixieren
Bevor die Einwilligung produktiv erfasst wird, wird der genaue Text als versionierte Vorlage im Ledger fixiert. Jeder spätere Klick referenziert diese Version — auch wenn das Frontend später aktualisiert wird, bleibt der historische Nachweis konsistent.
Double-Opt-in per E-Mail mit signiertem Token
Nach dem ersten Klick wird ein HMAC-signierter Bestätigungslink an die angegebene E-Mail-Adresse versendet. Erst nach Klick auf diesen Link wird die Einwilligung im Ledger als ’aktiv’ markiert. Der Token ist 72 Stunden gültig — danach verfällt die Einwilligung still.
Ledger als Append-only-Tabelle
Statt UPDATE-Operationen werden alle Statusänderungen als neue Zeile geschrieben (granted, confirmed, withdrawn, expired). So bleibt der vollständige Verlauf forensisch rekonstruierbar — wichtig bei DSB-Beschwerden, die rückwirkend Jahre prüfen können.
Widerruf via Link + SMS-STOP + API
Jeder Versand enthält einen signierten Widerrufslink im Footer (E-Mail) oder einen STOP-Hinweis (SMS). Inbound STOP-Nachrichten werden vom SMS-Gateway als MO-Webhook zurückgeliefert und gleichzeitig im Ledger als neue Zeile gespeichert.
DSB-Export als asynchroner CSV-Job
Auf Anfrage der Datenschutzbehörde wird der vollständige Verlauf für eine betroffene Person als CSV exportiert (mit Timestamp, IP, User-Agent, Text-Version, Kanal-Scope). Der Job läuft asynchron, erzeugt eine signierte S3-URL und bleibt 7 Tage abrufbar.
§ GPrüfprotokoll
Testprotokoll: (1) Eintrag mit Test-E-Mail erstellen, sicherstellen, dass die Ledger-Zeile mit Status `pending` geschrieben wurde. (2) Bestätigungs-E-Mail empfangen, Link klicken, prüfen, dass eine neue Zeile mit Status `confirmed` und derselben consent_id existiert. (3) Widerrufslink klicken — neue Zeile mit `withdrawn`. (4) Test-SMS an Test-Nummer senden, STOP antworten, prüfen, dass die MO-Verarbeitung eine `withdrawn`-Zeile mit Kanal `sms` einfügt. (5) DSB-Export-Endpoint aufrufen, CSV herunterladen, alle vier Zeilen mit korrekten Zeitstempeln verifizieren.
§ HCode
bash curl -X POST https://api.4notify.net/v1/consent/grant \ -H "Authorization: Bearer $API_KEY' \ -H "Content-Type: application/json' \ -d '{ "email': '[email protected]", "phone': '+436641234567", "wording_id': 'consent_v3_at", "purposes': ['transactional", "appointment_reminder"], "channels': ['sms", "email"], "client_ip': '85.127.0.1", "user_agent': 'Mozilla/5.0 ...", "consent_type': 'double_opt_in" }'
§ IBeispielnachricht
SMS
WienerHandwerk: Bestätigen Sie Ihren Newsletter-Eintritt mit JA an diese Nummer. Antworten Sie STOP, um sich abzumelden. Datenschutz: 4notify.net/datenschutz
§ JInbetriebnahme-Checkliste
- Einwilligungstext als versionierte Vorlage fixieren (z. B. consent_v3_at)
- Double-Opt-in E-Mail mit DKIM und DMARC versendet
- Ledger-Tabelle als append-only aufgesetzt (Postgres-Trigger oder Application-Layer)
- Widerrufslink mit HMAC signiert, gültig 30 Tage
- Inbound STOP-Webhook aktiv für alle SMS-Sender-IDs
- DSB-Export-Endpoint mit Async-Job + signierter S3-URL implementiert
- Retention-Policy: Audit-Log mindestens 7 Jahre, automatische Löschung danach
Was 4notify anders macht
Statt eines ’opt_in = true’-Flags pflegt 4notify einen append-only Audit-Ledger — jeder Konsens, jede Bestätigung, jeder Widerruf bleibt forensisch rekonstruierbar, Jahre rückwirkend.
§ KHäufige Fragen
Wie unterscheidet sich die DSB-Auslegung von der deutschen BfDI?
Die DSB ist beim Granularitätsgebot strenger: gebündelte Einwilligungen (etwa ’Marketing + Profilbildung + Drittweitergabe’ in einer Checkbox) werden konsequent als ungültig gewertet, während die BfDI in Einzelfällen Spielraum gewährt. Pro Zweck eine separate Checkbox ist die sichere Variante.
Muss der Widerruf wirklich in 30 Tagen wirksam sein?
DSGVO Art. 12 (3) gibt 30 Tage für die Antwort auf Betroffenenrechte vor. Bei reinem Widerruf einer Einwilligung erwartet die DSB praktisch sofortige Wirksamkeit — der 30-Tage-Rahmen gilt eher für Auskunfts- und Löschanfragen mit Aufwand.
Was passiert, wenn ein Kunde nach Widerruf erneut bestellt?
Transaktionale Nachrichten (Bestellbestätigung, Versandstatus) bleiben durch berechtigtes Interesse Art. 6 (1) (f) gedeckt — der Widerruf bezieht sich nur auf marketingbezogene Zwecke. Im Ledger werden ’transactional’ und ’marketing’ als separate purpose_id geführt.
Konto kostenlos eröffnen
14 Tage, keine Kreditkarte. Deutschsprachiger Support.
§ LAndere Baupläne
BP-AT-002 · Mobilfunknetze
SMS-Routing über A1, Magenta und Drei mit Fallback-Kette
BP-AT-003 · eGovernment
ID Austria & Handysignatur als zweiter Faktor
BP-AT-004 · E-Rechnung Bund
E-Rechnung an Bund: Statusbenachrichtigungen via PEPPOL & ebInterface
BP-AT-005 · Gesundheit
ELGA-Patientenkommunikation mit Opt-out und ärztlicher Schweigepflicht
BP-AT-006 · Logistik
Österreichische Post, DPD AT und GLS — Sendungsverfolgung-Webhooks
BP-AT-007 · Termine
Arzt-Terminmanagement mit Stornofenster und ÖGK-Bezug
BP-AT-008 · Einzelhandel