Was ist MailChimp?
Mailchimp ist ein cloudbasiertes Tool für das Newsletter Management. Unternehmen können darüber Newsletter planen, erstellen, verschicken und verwalten.
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellen
Darum ist Mailchimp datenschutzrechtlich relevant
Um Newsletter zu versenden, müssen Webseitenbetreiber die E-Mail-Adresse von Empfängern erheben. Diese zählt zu den personenbezogenen Daten und gilt daher als besonders schützenswert. Die Datenschutz-Grundverordnung (DSGVO) legt Seitenbetreibern für die Erhebung der E-Mail daher eine Reihe von Pflichten auf.
Mailchimp datenschutzkonform einsetzen
Um Mailchimp datenschutzkonform zu verwenden, müssen Unternehmen diese Vorgaben beachten:
User-Einwilligung einholen
Um über Mailchimp Newsletter gesetzeskonform zu versenden, benötigen Webseitenbetreiber die Zustimmung der User in den Versand. Das „OK“ erlaubt es ihnen, die E-Mail-Adressen der User zu erheben, zu speichern und für den Newsletter-Versand zu verwenden. Diese Einwilligung erhalten Webseitenbetreiber über einen zweistufigen Prozess:
Zunächst müssen Nutzer ihre E-Mail-Adresse angeben und per Opt-In in den Newsletter-Versand einwilligen. Dabei sollten Unternehmen darauf hinweisen, dass User der Nutzung ihrer Daten und damit dem Newsletter-Versand jederzeit wieder widersprechen können.
Danach erhalten Nutzer eine E-Mail, die über die Newsletter-Anmeldung informiert. Sie müssen diese bestätigen, um den Versand zu aktivieren. Dieses Vorgehen nennt sich Double Opt-In.
Vertrag zur Auftragsverarbeitung abschließen
Seitenbetreiber müssen mit Mailchimp einen Vertrag zur Auftragsdatenverarbeitung (AV-Vertrag) schließen. Denn: Sie geben Nutzerdaten an Mailchimp zur weisungsgebundenen Verarbeitung weiter. Der Vertrag muss unter anderem
- Gegenstand und Dauer der Datenverarbeitung,
- Art und Zweck der Datenverarbeitung,
- Art der personenbezogenen Daten,
- Kategorien der Betroffenen und
- die Pflichten und Rechte der Verantwortlichen
nennen. Kommen Newsletter-Versender diesen Pflichten nicht nach, drohen ihnen empfindliche Strafen. Gemäß Art. 83 Abs. 4 lit. a DSGVO erwartet sie ein Bußgeld von bis zu 10 Millionen Euro oder 2 Prozent ihres weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres.
Datenschutzerklärung aktualisieren
Webseitenbetreiber sind verpflichtet, die Datenerhebung und -verwendung über Mailchimp in ihrer Datenschutzerklärung aufzuführen. Sie müssen Nutzer dabei ausführlich darüber aufklären,
- wofür sie ihre personenbezogenen Daten verarbeiten,
- wie lange sie ihre Daten speichern,
- warum sie die Daten an Mailchimp weitergeben,
- dass sie für die Datenweitergabe mit Mailchimp einen AV-Vertrag geschlossen haben,
- welche Rechtsgrundlage ihnen das erlaubt ( 6 Abs. 1 lit. a DSGVO) und
- dass Nutzer die Einwilligung jederzeit widerrufen können.
Auskunftspflicht beachten
User haben jederzeit das Recht, die Daten einzusehen, die Unternehmen über sie über Mailchimp gesammelt haben. Sie müssen diese in einem strukturierten und technisch gängigen Format bereitstellen.
Löschpflicht beachten
Nutzer haben jederzeit das Recht, die Löschung ihrer Daten einzufordern. Das erlaubt die DSGVO. Und: Unternehmen dürfen Userdaten nur so lange speichern, wie sie diese für den angestrebten Zweck – also zum Beispiel für das Versenden eines Newsletters – benötigen. Entfällt dieser Zweck, müssen sie die Daten löschen.
Rechtsprechung zu Mailchimp
Für die Verwendung von Mailchimp ist diese Rechtsprechung relevant:
Bundesgerichtshof zum Double-Opt-In-Verfahren
Der Bundesgerichtshof (BGH) hat am 10.02.2011 entschieden: Das Double-Opt-In-Verfahren ist geeignet, um die Einwilligung von Usern in den Empfang von Werbemails einzuholen (Az. I ZR 164/09).
OLG Düsseldorf zum Double-Opt-In-Verfahren
Das OLG Düsseldorf bestätigte die Einschätzung des BGH am 17.03.2016. Die Richter betonten dabei, dass die E-Mail an den User notwendig ist, um die Einwilligung per Double-Opt-In zu bestätigen (Az. I-15 U 64/15).
Datenschutzbehörde Hamburg zum AV-Vertrag
Schließen Seitenbetreiber keinen AV-Vertrag, wenn sie personenbezogene Daten zur weisungsgebundenen Verarbeitung an einen Dritten weitergeben, droht ihnen ein Bußgeld. Dies kann bei bis zu 10 Millionen Euro oder 2 Prozent ihres weltweiten Jahresumsatzes liegen. Dieses Strafmaß ermöglicht Art. 83 Abs. 4 lit. a DSGVO. Im Dezember 2018 musste daher ein deutsches Versandunternehmen ein Bußgeld in Höhe von 5.000 Euro zzgl. Gebühren zahlen. Es hatte es versäumt, mit einem spanischen Dienstleister einen AV-Vertrag zu schließen.
Aktuelles zum Versand von Newslettern über Mailchimp
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) kam im März 2021 zu dem Schluss: Mailchimp ist nicht DSGVO-konform. Denn: Es übermittelt E-Mail-Adressen und damit personenbezogene Daten an den Anbieter in den USA. Dafür liegt keine ausreichende rechtliche Grundlage vor. Zwar bietet Mailchimp EU-Standardvertragsklauseln, um den Datentransfer rechtlich abzusichern. Es fehlt jedoch eine Überprüfung, ob weitere Maßnahmen erfolgt sind, um die Datenübermittlung DSGVO-konform zu gestalten. Konkret hatte ein Unternehmen aus München Mailchimp für seinen Newsletter-Versand verwendet. Nach der Rüge der bayerischen Datenschutzaufsicht gab das Unternehmen an, das Tool nicht mehr zu nutzen. Es musste daher kein Bußgeld zahlen. Worauf Unternehmen bei der Verwendung von Mailchimp und anderen Newsletter-Tools jetzt achten müssen, zeigen wir in unserem Beitrag „Datenschutz: Ist der Newsletter-Dienst Mailchimp nicht mehr erlaubt?“.
Aktuelles zum Double-Opt-In-Verfahren
Das Landgericht Stendal kam am 12.05.2021 zu dem Schluss: Die Bestätigungsmail beim Double-Opt-In-Verfahren darf keine Werbung enthalten. Sprüche wie “Welcome to...” und Zusätze wie “Hast du Fragen zum Newsletter? Kontaktiere uns über...” gelten dabei bereits als werblich (Az. 22 S 87/20).