Datenschutz: Ist der Newsletter-Dienst Mailchimp nicht mehr erlaubt?

(25 Bewertungen, 4.56 von 5)

Eine aktuelle Entscheidung der bayrischen Datenschutzbehörden wird dafür sorgen, dass der datenschutzkonforme Einsatz vieler US-Dienste ab sofort noch schwieriger wird. Die Datenschützer haben in einem Verfahren entschieden, dass die Nutzung des Newsletter-Anbieters Mailchimp – konkret die Übertragung der E-Mail-Adressen der Nutzer an den US-Anbieter – nicht ohne Weiteres erlaubt ist. Was müssen Nutzer von Mailchimp jetzt tun, um die Vorgaben des DSGVO umzusetzen?

 

Inhaltsverzeichnis

1. Worum ging es in dem Verfahren?
2. Handelt es sich um ein bindendes Urteil?
3. Wie würde ein gerichtliches Verfahren ausgehen?
4. Was sollten die Nutzer von Mailchimp jetzt konkret tun?
5. Was ist mit anderen Newsletterdiensten und Anbietern aus den USA?

1. Worum ging es in dem Verfahren genau?

Ein Unternehmen aus München nutzte für den Versand seiner Newsletter den US-Anbieter Mailchimp. Dagegen wurde Beschwerde bei der bayerische Datenschutzbehörde (BayLDA) eingelegt. Die Datenschützer kontaktierten das Unternehmen und wiesen darauf hin, dass der Einsatz von Mailchimp nicht den Vogaben der DSGVO entspricht und nicht datenschutzkonform eingesetzt wird.

Mailchimp bietet seinen Kunden zwar EU-Standardvertragsklauseln an, die für die Übertragung der Mailadressen der Empfänger in die USA nach Art. 46 der DSGVO notwendig sind. Es fehlte aber ein wichtiger Schritt, nämlich die notwendige Prüfung, ob für die Übermittlung an Mailchimp zu den EU-Standarddatenschutzklauseln noch "zusätzliche Maßnahmen" erfolgt sind, um die Übermittlung auch tatsächlich datenschutzkonform zu gestalten.

Das Unternehmen teilte den Datenschützern in dem Verfahren daraufhin mit, dass es auf den weiteren Einsatz von Mailchimps verzichten wird.

Den genauen Ablauf des Datenschutzverfahrens können Sie hier nachlesen:
https://gdprhub.eu/index.php?title=BayLDA_-_LDA-1085.1-12159/20-IDV

2. Handelt es sich bei der Entscheidung um ein bindendes Urteil?

Nein. Es handelte sich um ein datenschutzrechtliches Beschwerdeverfahren einer Datenschutzbehörde, nicht um eine gerichtliche Klärung im Zusammenhang mit der DSGVO. Die Nutzung von Mailchimp wurde dem betroffenen Unternehmen untersagt. Es wurde kein Bußgeld verhängt, da sich das Unternehmen der Entscheidung gebeugt hat. Deswegen wird es hier auch nicht zu einem Gerichtsverfahren kommen.

Die Entscheidung wirkt also erst einmal nur gegenüber dem betroffenen Unternehmen, das Mailchimp zum Versand seiner E-Mails benutzt hat. Es ist aber wahrscheinlich, dass die Datenschutzbehörden in ähnlichen Verfahren auch so entscheiden würden.

3. Wie würde ein gerichtliches Verfahren zu dieser Frage ausgehen?

Dazu kann man nur spekulieren. Aber die Vorgaben, vor einer Datenübertragung in die USA entsprechend der Vorgaben der DSGVO Standardvertragsklauseln anzubieten und „zusätzliche Maßnahmen“ zu prüfen, um die Übermittlung tatsächlich datenschutzkonform zu gestalten, ergibt sich aus einem Urteil des EuGH (Schrems II, C-311/18) und würde wahrscheinlich von den deutschen Gerichten auch so bestätigt werden.

Wenn Sie also kein rechtliches Risiko nicht eingehen wollen, sollten Sie diese Prüfung für Mailchimp und andere Tools von US-Anbietern vornehmen.

Die zweite Frage ist dann, was in einem Gerichtsverfahren passieren würde, wenn diese Prüfung erfolgt ist. Es geht bei um die Frage, wie man tatsächlich verhindern kann, dass die US-Geheimdienste Zugriff auf personenbezogene Daten der Nutzer aus der EU erhalten. In einem solchen Verfahren würde es dann datenschutzrechtlich auch um eine Abwägung bezüglich des Schutzniveaus der betroffenen Daten gehen. Hier haben die Datenschützer im Fall von Mailchimp für E-Mail- und Newsletteranbieter bereits ausgeführt, dass sie die Sensibilität von E-Mail-Adressen als „Verhältnismäßig überschaubar“ einstufen.

4. Was sollten die Nutzer von Mailchimp jetzt konkret tun?

Eine gute Frage. Die bayrischen Datenschutzbehörden – aber auch ihre Kollegen aus anderen Bundesländern – werden in vergleichbaren Fällen wohl ähnlich entscheiden.

Sie sollten also zumindest intern eine Prüfung „Datenübertragung und Mailchimp“ durchführen. Die Datenschützer haben nämlich nicht entschieden, dass Mailchimp generell verboten oder unzulässig ist. Sondern (erst einmal) nur, dass die notwendige vorgeschaltete Prüfung nicht erfolgt ist.
Diese Prüfung kann ungefähr so aussehen:

  1. Gibt es rechtssichere Alternativen zu Mailchimp?
  2. Wenn ja, warum können diese nicht eingesetzt werden?
  3. Welche Nutzerdaten sind betroffen, wie „heikel“ sind diese Daten?
  4. Prüfen, wie Mailchimp diese Nutzerdaten – abgesehen von den EU-Standardvertragsklauseln – tatsächlich schützt

Praxis-Tipp: Wir haben bei eRecht24 Premium eine anwaltlich erstellte und auf Mailchimp angepasste Prüfvorlage vorbereitet. Diese können Sie in 2 Minuten auf Ihr Unternehmen anpassen und diese Prüfung vornehmen.

Sören Siebert
Sören SiebertRechtsanwalt

Mit dieser Abwägung könnten Unternehmen, die Mailchimp im Einsatz haben dann erst einmal abwarten, ob es hier zu weiteren Datenschutz-Verfahren kommt und die Gerichte sich mit dieser Frage befassen werden.

Wer dieses Risiko nicht eingehen will sollte einen E-Mail-Anbieter aus der EU nutzen.

5. Hat das Datenschutzverfahren Auswirkungen auf andere Newsletterdienste und Anbieter aus den USA?

Nach unserer Einschätzung ja. Nach dem Wegfall des Privacy Shield benötigt jede Übertragung von personenbezogenen Daten eine Rechtsgrundlage. Diese Grundlage sind aktuell in dem meisten Fällen die sogenannten EU-Standardvertragsklauseln, die Unternehmen wie Mailchimp Ihren Kunden zur Verfügung stellen.

Allein diese Standardvertragsklauseln reichen aber nicht, da der EuGH festgestellt hat, dass zusätzlich die oben beschriebene Prüfung erfolgen muss. Und zwar durch das Unternehmen, dass US-Dienste wie Mailchimp nutzt. Unserer Einschätzung nach muss diese Prüfung aber bei allen US-Amerikanischen Anbietern und Tools erfolgen.

Zusätzlich zu der Vorlage für Mailchimp haben wir bei eRecht24 Premium eine anwaltiche Mustervorlage erstellt, die Sie auch für andere US-Anbieter und Dienste nutzen können, um die aktuelle Unsicherheit in Bezug auf Tools und Dienste von US-Anbietern deutlich zu reduzieren.

Sören Siebert
Sören SiebertRechtsanwalt
Kommentare  
Bernie
0 # Bernie 19.05.2021, 00:35 Uhr
Danke für den Artikel.
Können Sie auch sagen, wie das mit der Nutzung von Amazon SES für den Newsletterversand ist?

Bei Amazon SES kann man einstellen, über welches Rehionalgebiet man versenden möhte, da habe ich "Frankfurt" eingestellt.
Und Amazon bietet einen Vertrag zur Auftragsdatenverarbeitung schon bei Vertragsschluß an.

Ich konnte jedoch bisher nicht klären, ob das alles nun für die deutsche DSGVO ausreichend ist oder nicht.
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Steven
0 # Steven 19.05.2021, 11:47 Uhr
Vom Prinzip her dürfte es ebenso sein, wie bei MailChimp. Es geht ja nicht um das Gebiet in dem man versendet, sondern wo die Daten abgespeichert werden.

Wenn es garantiert werden kann, dass die Daten aller Abonnenten ausschließlich auf EU AWS-Server gespeichert werden, eigentlich kein Problem. Sobald Daten aber auf U.S. Servern, bzw. durch U.S. Behörden direkt von dem Anbieter verlangt/eingesehen werden können (was bei allen U.S. Firmen der Fall ist), sollten diesselbe Schritte (Standardvertragsklauseln sowie zusätzlich die oben beschriebene Prüfung) eingeleitet werden.

Bin kein Anwalt, aber so verstehe ich die Sachlage. Lasse mich gerne korrigieren.
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Sagen Sie uns Ihre Meinung zum Thema.
Captcha Aktualisieren
Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
DSGVO und Fotografie: Was ändert sich für Fotografen? Inwieweit ändert die DSGVO eigentlich die Rechtslage für Fotografen? Gibt es bestimmte Szenen, die sie nicht mehr fotografieren dürfen? Wie sieht es aus, wenn s...
Weiterlesen...
Auftragsverarbeitung und DSGVO: Was kommt auf Webseitenbetreiber zu? Durch die Datenschutzgrundverordnung (kurz: DSGVO), die seit dem 25. Mai 2018 vollumfänglich und einheitlich in der Europäischen Union gilt, werden Webseitenbet...
Weiterlesen...
Videokonferenzen und Datenschutz: Der große Vergleichstest zu Zoom und Co. Videokonferenzen wurden in den letzten Jahren immer wichtiger, um Arbeit effizient und ohne teure Reisen oder lange Meetings zu erledigen. In Zeiten von Corona ...
Weiterlesen...
Impressumspflicht: 7 wichtige Fragen zum Impressum für Webseiten Jede Webseite braucht ein Impressum. Gut, nicht jede Seite. Aber geschätzt 90 % aller Webseiten und Blogs unterliegen der Impressumspflicht nach dem TMG, a...
Weiterlesen...
Die DSGVO und die E-Mail-Verschlüsselung Die DSGVO trat am 25. Mai 2018 in Kraft. Unternehmen sind dazu verpflichtet, ihre Vorgaben umzusetzen. Ansonsten drohen hohe Bußgelder und Abmahnungen durch Mit...
Anzeige DSGVO

Der eRecht24 Newsletter

Immer bestens informiert

Bleiben Sie mit unseren regelmäßigen und kostenlosen Updates zum Internetrecht auf dem neuesten Stand. Infos, Urteile, Checklisten, Sonderangebote.

Hinweis: Sie können den Newsletter von eRecht24  jederzeit und kostenfrei abbestellen. Ihre Daten werden nur zum Versand des Newsletters genutzt. Wir geben Ihre Daten nicht weiter. Mehr Informationen zum Umgang mit Nutzer-Daten finden Sie in unserer Datenschutz-Erklärung.

loading...
Jetzt Premium-Mitglied werden

Ab Heute gestalten Sie Ihre Website ohne Angst vor Abmahnwellen und ohne teuren Anwalt abmahnsicher.

Alle Videos, Live-Webinare, E-Books, Tools und zahlreiche Rabatte.

Jetzt Mitglied werden

Mehr Informationen zu eRecht24 Premium

Impressum-Generator

Keine Chance für Abmahner

Erstellen Sie kostenlos ein rechtssicheres Impressum für Ihre Website.

Jetzt Kostenlos Impressum generieren

Rechtsberatung vom Anwalt

Haben Sie ein konkretes rechtliches Problem? Dann wenden Sie sich bitte einen Anwalt. Auf unseren Seiten finden Sie zahlreiche allgemeine Informationen zum Internetrecht. Fundierte Rechtsberatung im Einzelfall kann allerdings nur ein spezialisierter Rechtsanwalt leisten.

SSL-Zertifikate

Steigern Sie das Vertrauen Ihrer Kunden. Für Betreiber von Onlineshops und kommerziellen Webseiten unabdingbar:

SSL-Verschlüsselung, SSL-Zertifikate und Trust-Logos

Rechnungen online erstellen

Erstellen Sie Ihre Rechnungen gemäß den Anforderungen des Finanzamts doch einfach online!

Mit easybill bequem ordnungsgemäße Rechnungen schreiben inkl. digitaler Signatur und Datenexport zum Steuerberater. Anforderungen an korrekte Rechnungen mit Mustern und Beispielen.

IT-Recht endlich verständlich

Autor Sören SiebertSören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.

Er berät Unternehmer, Shops und Seitenbetreiber in allen Fragen des Rechts der neuen Medien.
www.kanzlei-siebert.de

Als Betreiber von eRecht24 ist er seit mehr als 15 Jahren auch als Internet-Unternehmer tätig. Deshalb finden Sie auf eRecht24 Tipps und Tricks eines spezialisierten Rechtsanwalts, aber verständlich und praxisnah erklärt.

SSL-Zertifikate, Code-Signing, S/MIMESuchmaschienoptimierung & OnlinemarketingRechtliche OnlineShop-Prüfung
Anzeige
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Videos und E-Books, Musterverträge und Erstberatung, Tools und Live-Webinare.

Mehr Informationen

dsgvo teaser

DSGVO Schnellstarter-Paket

Das Datenschutzrecht ändert sich ab Mai 2018 vollständig. Sind Sie bereit für die DSGVO? Mit unserem Schnellstarter-Paket sichern Sie Ihre Webseite ab.

Jetzt absichern

webinar teaser

Online Schulung mit Rechtsanwalt Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese schnell, einfach und ohne teuren Anwalt vermeiden. So haben Abmahner bei Ihnen keine Chance!

Mehr Details
Support