Datenschutz: Ist der Newsletter-Dienst Mailchimp nicht mehr erlaubt?

(32 Bewertungen, 4.34 von 5)

Das Wichtigste in Kürze

  • Nutzer des Newsletter-Anbieter Mailchimp sollten handeln.
  • Die Verwendung von Mailchimp kann gegen die DSGVO verstoßen.
  • Führen Sie eine interne Prüfung „Datenübertragung und Mailchimp“ durch und prüfen Sie alternative Newsletter-Anbieter.

Worum geht's?

Eine aktuelle Entscheidung der bayrischen Datenschutzbehörden wird dafür sorgen, dass der datenschutzkonforme Einsatz vieler US-Dienste ab sofort noch schwieriger wird. Die Datenschützer haben in einem Verfahren entschieden, dass die Nutzung des Newsletter-Anbieters Mailchimp – konkret die Übertragung der E-Mail-Adressen der Nutzer an den US-Anbieter – nicht ohne Weiteres erlaubt ist. Was müssen Nutzer von Mailchimp jetzt tun, um die Vorgaben des DSGVO umzusetzen?

 

Zurück zur Übersicht: "Datenschutz"

 

1. Worum ging es in dem Verfahren genau?

Ein Unternehmen aus München nutzte für den Versand seiner Newsletter den US-Anbieter Mailchimp. Dagegen wurde Beschwerde bei der bayerische Datenschutzbehörde (BayLDA) eingelegt. Die Datenschützer kontaktierten das Unternehmen und wiesen darauf hin, dass der Einsatz von Mailchimp nicht den Vogaben der DSGVO entspricht und nicht datenschutzkonform eingesetzt wird.

Mailchimp bietet seinen Kunden zwar EU-Standardvertragsklauseln an, die für die Übertragung der Mailadressen der Empfänger in die USA nach Art. 46 der DSGVO notwendig sind. Es fehlte aber ein wichtiger Schritt, nämlich die notwendige Prüfung, ob für die Übermittlung an Mailchimp zu den EU-Standarddatenschutzklauseln noch "zusätzliche Maßnahmen" erfolgt sind, um die Übermittlung auch tatsächlich datenschutzkonform zu gestalten.

Das Unternehmen teilte den Datenschützern in dem Verfahren daraufhin mit, dass es auf den weiteren Einsatz von Mailchimps verzichten wird.

MEHR LESEN

Den genauen Ablauf des Datenschutzverfahrens können Sie hier nachlesen:
https://gdprhub.eu/index.php?title=BayLDA_-_LDA-1085.1-12159/20-IDV

 2. Handelt es sich bei der Entscheidung um ein bindendes Urteil?

Nein. Es handelte sich um ein datenschutzrechtliches Beschwerdeverfahren einer Datenschutzbehörde, nicht um eine gerichtliche Klärung im Zusammenhang mit der DSGVO. Die Nutzung von Mailchimp wurde dem betroffenen Unternehmen untersagt. Es wurde kein Bußgeld verhängt, da sich das Unternehmen der Entscheidung gebeugt hat. Deswegen wird es hier auch nicht zu einem Gerichtsverfahren kommen.

Die Entscheidung wirkt also erst einmal nur gegenüber dem betroffenen Unternehmen, das Mailchimp zum Versand seiner E-Mails benutzt hat. Es ist aber wahrscheinlich, dass die Datenschutzbehörden in ähnlichen Verfahren auch so entscheiden würden.

 3. Wie würde ein gerichtliches Verfahren zu dieser Frage ausgehen?

Dazu kann man nur spekulieren. Aber die Vorgaben, vor einer Datenübertragung in die USA entsprechend der Vorgaben der DSGVO Standardvertragsklauseln anzubieten und „zusätzliche Maßnahmen“ zu prüfen, um die Übermittlung tatsächlich datenschutzkonform zu gestalten, ergibt sich aus einem Urteil des EuGH (Schrems II, C-311/18) und würde wahrscheinlich von den deutschen Gerichten auch so bestätigt werden.

ACHTUNG

Wenn Sie also kein rechtliches Risiko nicht eingehen wollen, sollten Sie diese Prüfung für Mailchimp und andere Tools von US-Anbietern vornehmen.

Die zweite Frage ist dann, was in einem Gerichtsverfahren passieren würde, wenn diese Prüfung erfolgt ist. Es geht bei um die Frage, wie man tatsächlich verhindern kann, dass die US-Geheimdienste Zugriff auf personenbezogene Daten der Nutzer aus der EU erhalten. In einem solchen Verfahren würde es dann datenschutzrechtlich auch um eine Abwägung bezüglich des Schutzniveaus der betroffenen Daten gehen. Hier haben die Datenschützer im Fall von Mailchimp für E-Mail- und Newsletteranbieter bereits ausgeführt, dass sie die Sensibilität von E-Mail-Adressen als „Verhältnismäßig überschaubar“ einstufen.

 4. Was sollten die Nutzer von Mailchimp jetzt konkret tun?

Eine gute Frage. Die bayrischen Datenschutzbehörden – aber auch ihre Kollegen aus anderen Bundesländern – werden in vergleichbaren Fällen wohl ähnlich entscheiden.

Sie sollten also zumindest intern eine Prüfung „Datenübertragung und Mailchimp“ durchführen. Die Datenschützer haben nämlich nicht entschieden, dass Mailchimp generell verboten oder unzulässig ist. Sondern (erst einmal) nur, dass die notwendige vorgeschaltete Prüfung nicht erfolgt ist.
Diese Prüfung kann ungefähr so aussehen:

  1. Gibt es rechtssichere Alternativen zu Mailchimp?
  2. Wenn ja, warum können diese nicht eingesetzt werden?
  3. Welche Nutzerdaten sind betroffen, wie „heikel“ sind diese Daten?
  4. Prüfen, wie Mailchimp diese Nutzerdaten – abgesehen von den EU-Standardvertragsklauseln – tatsächlich schützt

Mit dieser Abwägung könnten Unternehmen, die Mailchimp im Einsatz haben dann erst einmal abwarten, ob es hier zu weiteren Datenschutz-Verfahren kommt und die Gerichte sich mit dieser Frage befassen werden.

Wer dieses Risiko nicht eingehen will sollte einen E-Mail-Anbieter aus der EU nutzen.

 5. Hat das Datenschutzverfahren Auswirkungen auf andere Newsletterdienste und Anbieter aus den USA?

Nach unserer Einschätzung ja. Nach dem Wegfall des Privacy Shield benötigt jede Übertragung von personenbezogenen Daten eine Rechtsgrundlage. Diese Grundlage sind aktuell in dem meisten Fällen die sogenannten EU-Standardvertragsklauseln, die Unternehmen wie Mailchimp Ihren Kunden zur Verfügung stellen.

Allein diese Standardvertragsklauseln reichen aber nicht, da der EuGH festgestellt hat, dass zusätzlich die oben beschriebene Prüfung erfolgen muss. Und zwar durch das Unternehmen, dass US-Dienste wie Mailchimp nutzt. Unserer Einschätzung nach muss diese Prüfung aber bei allen US-Amerikanischen Anbietern und Tools erfolgen.

eRecht24 Praxis Guide
Rechtssichere Webseiten:
Alles, was Sie wissen müssen
In unserem Guide erklären wir Ihnen in 12 Schritten, wie Sie eine Website rechtssicher erstellen - von der Wahl des Domainnamens über Impressum und Datenschutzerklärung bis hin zu E-Mail- und Newslettermarketing.
Guide jetzt kostenfrei herunterladen!

Name: Bitte Name angeben.

E-Mail-Adresse: Bitte korrekte E-Mail-Adresse angeben.

Ja, bitte senden Sie mir den kostenfreien Guide zu. Ich bin damit einverstanden, dass eRecht24 mir regelmäßig aktuelle Rechts-Updates, Praxistipps und Angebote aus den Bereichen Datenschutz und Internetrecht per E-Mail zusendet. Ich kann jederzeit form- und kostenlos widersprechen. Näheres entnehmen Sie unserer Datenschutzerklärung.
Vielen Dank!
Wir nehmen es mit dem Schutz Ihrer Daten genau und halten uns an die rechtlichen Vorgaben des Double-Opt-In. Bitte bestätigen Sie zuerst Ihre E-Mail-Adresse. Dann stellen wir Ihnen den Guide kostenfrei zur Verfügung.
Tipp: In unseren Premium-Paketen stehen Ihnen mehr als 10 praktische Guides mit Handlungsempfehlungen und passenden Generatoren und Tools zu verschiedenen Themen (Datenschutz, Urheberrecht, Marketing & Co.) kostenfrei zur Verfügung. Die Premium Praxis Guides werden sie regelmäßig aktualisiert, damit Sie stets auf dem neuesten Stand sind.
Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Jochen Nuding
Hallo bei eRecht24, das sind ja spannende Infos & Fakten, die man erst einmal verdauen muss. Der Weg der Recherche wird dadurch auch nicht kürze, sondern deutlich länger. Zwar begrenzt sich die Qual der Wahl zusehens, wenn Anbieter wegfallen, aber es fallen eben auch solche weg, die man zum Einstieg besonder günstig hätte nutzen können. Mir scheint, es kostet ganz schön, wenn man zum einen die Webseite für Kunden geprüft rechtssicher über hier zum Beispiel aber auch DSGVO Konform haben möchte, weil das scheinbar nur bei den eMail-Marketing-Anbietern mit an Board ist, die monatlich auch ordentlich zur Kasse bitten.
Wirklich sehr spannend, fast wie beim Sonntag-Abend Tatort ;-)

0
Steven
Vom Prinzip her dürfte es ebenso sein, wie bei MailChimp. Es geht ja nicht um das Gebiet in dem man versendet, sondern wo die Daten abgespeichert werden.Wenn es garantiert werden kann, dass die Daten aller Abonnenten ausschließlich auf EU AWS-Server gespeichert werden, eigentlich kein Problem. Sobald Daten aber auf U.S. Servern, bzw. durch U.S. Behörden direkt von dem Anbieter verlangt/eingesehen werden können (was bei allen U.S. Firmen der Fall ist), sollten diesselbe Schritte (Standardvertra gsklauseln sowie zusätzlich die oben beschriebene Prüfung) eingeleitet werden.Bin kein Anwalt, aber so verstehe ich die Sachlage. Lasse mich gerne korrigieren.
2
Bernie
Danke für den Artikel.Können Sie auch sagen, wie das mit der Nutzung von Amazon SES für den Newsletterversa nd ist?Bei Amazon SES kann man einstellen, über welches Rehionalgebiet man versenden möhte, da habe ich "Frankfurt" eingestellt.Und Amazon bietet einen Vertrag zur Auftragsdatenve rarbeitung schon bei Vertragsschluß an.Ich konnte jedoch bisher nicht klären, ob das alles nun für die deutsche DSGVO ausreichend ist oder nicht.
3

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details