Datenschutz: Ist der Newsletter-Dienst Mailchimp nicht mehr erlaubt?

(28 Bewertungen, 4.36 von 5)

Worum geht's?

Eine aktuelle Entscheidung der bayrischen Datenschutzbehörden wird dafür sorgen, dass der datenschutzkonforme Einsatz vieler US-Dienste ab sofort noch schwieriger wird. Die Datenschützer haben in einem Verfahren entschieden, dass die Nutzung des Newsletter-Anbieters Mailchimp – konkret die Übertragung der E-Mail-Adressen der Nutzer an den US-Anbieter – nicht ohne Weiteres erlaubt ist. Was müssen Nutzer von Mailchimp jetzt tun, um die Vorgaben des DSGVO umzusetzen?

 

Inhaltsverzeichnis

1. Worum ging es in dem Verfahren?
2. Handelt es sich um ein bindendes Urteil?
3. Wie würde ein gerichtliches Verfahren ausgehen?
4. Was sollten die Nutzer von Mailchimp jetzt konkret tun?
5. Was ist mit anderen Newsletterdiensten und Anbietern aus den USA?

1. Worum ging es in dem Verfahren genau?

Ein Unternehmen aus München nutzte für den Versand seiner Newsletter den US-Anbieter Mailchimp. Dagegen wurde Beschwerde bei der bayerische Datenschutzbehörde (BayLDA) eingelegt. Die Datenschützer kontaktierten das Unternehmen und wiesen darauf hin, dass der Einsatz von Mailchimp nicht den Vogaben der DSGVO entspricht und nicht datenschutzkonform eingesetzt wird.

Mailchimp bietet seinen Kunden zwar EU-Standardvertragsklauseln an, die für die Übertragung der Mailadressen der Empfänger in die USA nach Art. 46 der DSGVO notwendig sind. Es fehlte aber ein wichtiger Schritt, nämlich die notwendige Prüfung, ob für die Übermittlung an Mailchimp zu den EU-Standarddatenschutzklauseln noch "zusätzliche Maßnahmen" erfolgt sind, um die Übermittlung auch tatsächlich datenschutzkonform zu gestalten.

Das Unternehmen teilte den Datenschützern in dem Verfahren daraufhin mit, dass es auf den weiteren Einsatz von Mailchimps verzichten wird.

Den genauen Ablauf des Datenschutzverfahrens können Sie hier nachlesen:
https://gdprhub.eu/index.php?title=BayLDA_-_LDA-1085.1-12159/20-IDV

2. Handelt es sich bei der Entscheidung um ein bindendes Urteil?

Nein. Es handelte sich um ein datenschutzrechtliches Beschwerdeverfahren einer Datenschutzbehörde, nicht um eine gerichtliche Klärung im Zusammenhang mit der DSGVO. Die Nutzung von Mailchimp wurde dem betroffenen Unternehmen untersagt. Es wurde kein Bußgeld verhängt, da sich das Unternehmen der Entscheidung gebeugt hat. Deswegen wird es hier auch nicht zu einem Gerichtsverfahren kommen.

Die Entscheidung wirkt also erst einmal nur gegenüber dem betroffenen Unternehmen, das Mailchimp zum Versand seiner E-Mails benutzt hat. Es ist aber wahrscheinlich, dass die Datenschutzbehörden in ähnlichen Verfahren auch so entscheiden würden.

3. Wie würde ein gerichtliches Verfahren zu dieser Frage ausgehen?

Dazu kann man nur spekulieren. Aber die Vorgaben, vor einer Datenübertragung in die USA entsprechend der Vorgaben der DSGVO Standardvertragsklauseln anzubieten und „zusätzliche Maßnahmen“ zu prüfen, um die Übermittlung tatsächlich datenschutzkonform zu gestalten, ergibt sich aus einem Urteil des EuGH (Schrems II, C-311/18) und würde wahrscheinlich von den deutschen Gerichten auch so bestätigt werden.

Wenn Sie also kein rechtliches Risiko nicht eingehen wollen, sollten Sie diese Prüfung für Mailchimp und andere Tools von US-Anbietern vornehmen.

Die zweite Frage ist dann, was in einem Gerichtsverfahren passieren würde, wenn diese Prüfung erfolgt ist. Es geht bei um die Frage, wie man tatsächlich verhindern kann, dass die US-Geheimdienste Zugriff auf personenbezogene Daten der Nutzer aus der EU erhalten. In einem solchen Verfahren würde es dann datenschutzrechtlich auch um eine Abwägung bezüglich des Schutzniveaus der betroffenen Daten gehen. Hier haben die Datenschützer im Fall von Mailchimp für E-Mail- und Newsletteranbieter bereits ausgeführt, dass sie die Sensibilität von E-Mail-Adressen als „Verhältnismäßig überschaubar“ einstufen.

4. Was sollten die Nutzer von Mailchimp jetzt konkret tun?

Eine gute Frage. Die bayrischen Datenschutzbehörden – aber auch ihre Kollegen aus anderen Bundesländern – werden in vergleichbaren Fällen wohl ähnlich entscheiden.

Sie sollten also zumindest intern eine Prüfung „Datenübertragung und Mailchimp“ durchführen. Die Datenschützer haben nämlich nicht entschieden, dass Mailchimp generell verboten oder unzulässig ist. Sondern (erst einmal) nur, dass die notwendige vorgeschaltete Prüfung nicht erfolgt ist.
Diese Prüfung kann ungefähr so aussehen:

  1. Gibt es rechtssichere Alternativen zu Mailchimp?
  2. Wenn ja, warum können diese nicht eingesetzt werden?
  3. Welche Nutzerdaten sind betroffen, wie „heikel“ sind diese Daten?
  4. Prüfen, wie Mailchimp diese Nutzerdaten – abgesehen von den EU-Standardvertragsklauseln – tatsächlich schützt

Praxis-Tipp: Wir haben bei eRecht24 Premium eine anwaltlich erstellte und auf Mailchimp angepasste Prüfvorlage vorbereitet. Diese können Sie in 2 Minuten auf Ihr Unternehmen anpassen und diese Prüfung vornehmen.

Sören Siebert
Sören SiebertRechtsanwalt

Mit dieser Abwägung könnten Unternehmen, die Mailchimp im Einsatz haben dann erst einmal abwarten, ob es hier zu weiteren Datenschutz-Verfahren kommt und die Gerichte sich mit dieser Frage befassen werden.

Wer dieses Risiko nicht eingehen will sollte einen E-Mail-Anbieter aus der EU nutzen.

5. Hat das Datenschutzverfahren Auswirkungen auf andere Newsletterdienste und Anbieter aus den USA?

Nach unserer Einschätzung ja. Nach dem Wegfall des Privacy Shield benötigt jede Übertragung von personenbezogenen Daten eine Rechtsgrundlage. Diese Grundlage sind aktuell in dem meisten Fällen die sogenannten EU-Standardvertragsklauseln, die Unternehmen wie Mailchimp Ihren Kunden zur Verfügung stellen.

Allein diese Standardvertragsklauseln reichen aber nicht, da der EuGH festgestellt hat, dass zusätzlich die oben beschriebene Prüfung erfolgen muss. Und zwar durch das Unternehmen, dass US-Dienste wie Mailchimp nutzt. Unserer Einschätzung nach muss diese Prüfung aber bei allen US-Amerikanischen Anbietern und Tools erfolgen.

Zusätzlich zu der Vorlage für Mailchimp haben wir bei eRecht24 Premium eine anwaltiche Mustervorlage bei eRecht24 Premium eine anwaltliche Mustervorlage erstellt, die Sie auch für andere US-Anbieter und Dienste nutzen können, um die aktuelle Unsicherheit in Bezug auf Tools und Dienste von US-Anbietern deutlich zu reduzieren.

Sören Siebert
Sören SiebertRechtsanwalt
Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Steven
Vom Prinzip her dürfte es ebenso sein, wie bei MailChimp. Es geht ja nicht um das Gebiet in dem man versendet, sondern wo die Daten abgespeichert werden.Wenn es garantiert werden kann, dass die Daten aller Abonnenten ausschließlich auf EU AWS-Server gespeichert werden, eigentlich kein Problem. Sobald Daten aber auf U.S. Servern, bzw. durch U.S. Behörden direkt von dem Anbieter verlangt/eingesehen werden können (was bei allen U.S. Firmen der Fall ist), sollten diesselbe Schritte (Standardvertra gsklauseln sowie zusätzlich die oben beschriebene Prüfung) eingeleitet werden.Bin kein Anwalt, aber so verstehe ich die Sachlage. Lasse mich gerne korrigieren.
2
Bernie
Danke für den Artikel.Können Sie auch sagen, wie das mit der Nutzung von Amazon SES für den Newsletterversa nd ist?Bei Amazon SES kann man einstellen, über welches Rehionalgebiet man versenden möhte, da habe ich "Frankfurt" eingestellt.Und Amazon bietet einen Vertrag zur Auftragsdatenve rarbeitung schon bei Vertragsschluß an.Ich konnte jedoch bisher nicht klären, ob das alles nun für die deutsche DSGVO ausreichend ist oder nicht.
3

Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Social Media Plugins: Haftung für den Facebook Like-Button
Weiterlesen...
Neue Standardvertragsklauseln: Das müssen Sie jetzt tun
Weiterlesen...
2022 stressfrei & schnell zur rechtssicheren Webseite: Die neuen eRecht24 Premium Tools
Weiterlesen...
Anleitung: So fügen Sie Impressum und Datenschutzerklärung bei sozialen Netzwerken ein
Weiterlesen...
Brexit und DSGVO: Was Unternehmer und Webseitenbetreiber jetzt wissen müssen
Weiterlesen...
Datenschutz im Internet
Weiterlesen...
Das Safe Harbor Urteil des EuGH: Die Folgen und Auswirkungen für Internet-Unternehmer
Weiterlesen...
Kundenakquise: Ist Direktwerbung nach der DSGVO noch erlaubt?
Weiterlesen...
Viren, Trojaner, Phishing und Co: 10 Regeln zum Schutz Ihrer Daten
Weiterlesen...
Nutzer-Einwilligung auf Webseiten: Quatsch oder Pflicht?
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Support