Was ist Mailjet?
Mailjet ist ein cloudbasierter E-Mail-Dienstanbieter. Unternehmen können darüber sowohl klassische Marketing-E-Mails wie Newsletter, Ankündigungen und Werbeaktionen als auch Transaktions-E-Mails wie Versandbenachrichtigungen, Passwort-Erinnerungen und Bestellbestätigungen verschicken. Mailjet ermöglicht diese Dienste von einem Konto und einer Plattform aus. Der Anbieter hat rund 130.000 Kunden.
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellen
Darum ist Mailjet datenschutzrechtlich problematisch
Webseitenbetreiber, die Mailjet für ihre E-Mail-Kampagnen nutzen, geben automatisch personenbezogene Daten an den Anbieter weiter. Dieser sammelt dabei zum Beispiel
- E-Mail-Adressen,
- Kundennamen,
- Anschriften,
- Telefonnummern,
- IP-Adressen und
- Verbindungs- und Navigationsdaten.
Wenn Webseitenbetreiber es zudem erlauben, erhebt Mailjet Daten zu Kundenbestellungen, Reklamationen, Abonnements, Nachrichten innerhalb eines Support-Tickets und dem Schriftverkehr auf der Mailjet-Webseite. Personenbezogene Daten sind besonders schützenswert. Die Datenschutz-Grundverordnung (DSGVO) und das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG (ehemals TTDSG)) schreiben Webseitenbetreibern daher besondere Pflichten vor.
Mailjet datenschutzkonform einsetzen
Um nicht gegen deutsche Datenschutzvorgaben zu verstoßen, müssen Webseitenbetreiber für den Einsatz von Mailjet diese Anforderungen erfüllen:
Einwilligung für Mail-Versand einholen
Double-Opt-In für E-Mail
Damit Webseitenbetreiber die E-Mail von Kunden für das Versenden von Marketing-Mails verwenden dürfen, müssen sie vorher ihre Einwilligung einholen. Dafür hat sich das Double-Opt-In-Verfahren als rechtlich sicher herausgestellt. Dabei erheben Seitenbetreiber zunächst die Mailadresse der Kunden. Sie verweisen in diesem Kontext darauf, dass sie so in den Versand von E-Mails einwilligen. Das können beispielsweise Newsletter oder Angebotsmails sein. Gleichzeitig erklären Seitenbetreiber, dass Kunden die E-Mails jederzeit wieder abbestellen können. Anschließend schicken sie Kunden eine Mail zu, die die Anmeldung für den E-Mail-Dienst aufführt. Kunden müssen die Anmeldung dann bestätigen, indem sie auf einen in der Mail eingetragenen Link klicken. Damit haben Seitenbetreiber rechtlich zulässig die Einwilligung der Kunden in den Mailversand eingeholt.
Double-Opt-In für SMS
Neben E-Mails können Seitenbetreiber über Mailjet auch Transaktions-SMS verschicken. Dafür benötigen sie die Telefonnummer der Kunden. Sie können diese über eine abgewandelte Form des Double-Opt-In-Verfahrens erheben. Dafür fragen Seitenbetreiber über eine Online-Maske die Telefonnummer der Kunden ab. Sie erklären in diesem Kontext, wofür sie die Nummer verwenden wollen, wie beispielsweise für das Versenden von Bestellbestätigungen oder von 2-Faktor-Authentifizierungscodes. Gleichzeitig verweisen sie darauf, dass Kunden diese Einwilligung jederzeit widerrufen können. Um Kunden dies bestätigen zu lassen, sollten Webseitenbetreiber auf ein Opt-In-Verfahren setzen. Das heißt: Sie sollten Kunden in der Online-Maske selbst ein Häkchen setzen lassen, um ihre Einwilligung zu erklären. Danach müssen Seitenbetreiber die Telefonnummer anzeigen, von der sie ihre SMS verschicken möchten. Kunden speichern diese Nummer ein und senden eine SMS mit einem Befehl, wie beispielsweise „Start“, um den Service in Anspruch zu nehmen.
Vertrag zur Auftragsverarbeitung abschließen
Mailjet erhält vollen Zugriff auf die Kundendaten von Webseitenbetreibern. Art. 28 DSGVO gibt dabei vor: Erhalten Dritte Zugriff auf personenbezogene Daten und verarbeiten sie diese weisungsgebunden, müssen Seitenbetreiber mit diesen einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) abschließen. Mailjet bietet Unternehmen dabei auf zwei Wegen die Möglichkeit, einen AV-Vertrag herunterzuladen. Zum einen können sich Seitenbetreiber diesen per Mail zuschicken lassen. Zum anderen stellt Mailjet auf seiner Webseite ein Formular zur Verfügung, über das sie den Vertrag herunterladen können.
Seitenbetreiber sollten darauf achten, dass der Vertrag klärt,
- welche Kundendaten Mailjet wie lange speichert,
- warum und wie Mailjet diese Daten verarbeitet und
- welche Rechte und Pflichten die Verantwortlichen haben.
Webseitenbetreiber, die keinen AV-Vertrag mit Mailjet abschließen, riskieren ein Bußgeld. Dies kann bei bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes liegen. Dieses Strafmaß gibt Art. 83 Abs. 4 lit. a DSGVO vor.
Datenschutzerklärung anpassen
Ist der AV-Vertrag geschlossen, sollten Unternehmen dies in ihrer Datenschutzerklärung erwähnen. Dabei sollten sie noch einmal erklären, wie Mailjet die Kundendaten nutzt.
Zusätzlich müssen Webseitenbetreiber in ihrer Datenschutzerklärung aufführen, warum sie für Mailjet
- personenbezogene Daten sammeln,
- wie lange sie diese speichern wollen,
- welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. a DSGVO) und
- dass Kunden der Einwilligung in die Datenerhebung jederzeit widersprechen können.
Diese Pflichten gibt Art. 13 DSGVO vor.
Auskunftspflicht beachten
Unternehmen und Behörden haben gemäß DSGVO eine Auskunftspflicht. Das bedeutet: Nutzer können sie jederzeit darum bitten, ihre bisher über sie gesammelten Daten offenzulegen. Die verantwortliche Stelle muss die Daten dann in einem strukturierten und technisch gängigen Format bereitstellen.
Löschpflicht beachten
Unternehmen dürfen Nutzerdaten nur so lange verwenden, wie sie diese für den angestrebten Zweck tatsächlich benötigen. Wollen User also beispielsweise keinen Newsletter oder keine Angebote mehr erhalten, müssen Unternehmen ihre Daten löschen. Welche rechtlichen Fallstricke E-Mail-Marketing sonst noch aufweist, erklären wir in unserem Artikel zur E-Mail-Werbung. Und: Wir geben 11 wertvolle Tipps für das Erstellen und Versenden von Newslettern.
Problem Mutterkonzern / Standardvertragsklauseln
Mailjet ist ursprünglich ein französisches Unternehmen. Es besitzt zwei Standorte in Deutschland und speichert die Daten seiner europäischen Kunden eigenen Angaben zufolge ausschließlich auf seinen Servern in Frankfurt und in Belgien. 2019 kaufte jedoch das US-amerikanische Unternehmen Mailgun den Anbieter. Damit kann ein Unternehmen aus einem Drittland außerhalb der EU auf die Daten zugreifen.
Damit deutsche Unternehmen Mailjet datenschutzkonform nutzen können, benötigen sie eine rechtliche Grundlage für den Datentransfer in die USA. Diese gibt es derzeit nicht. Die EU-Kommission hat daher in Form von Standardvertragsklauseln eine Übergangslösung geschaffen. Standardvertragsklauseln sollen sicherstellen, dass Unternehmen außerhalb der EU Nutzerdaten ein ähnliches Schutzniveau bieten wie die DSGVO. Deutsche Firmen müssen daher mit Mailjet bzw. mit Mailgun Standardvertragsklauseln abschließen.
Zusätzlich müssen Unternehmen eine Risikoabschätzung vornehmen. Diese soll offenlegen, wie die Datenübermittlung zum Mutterkonzern Mailgun abläuft und welche Maßnahmen dieser ergreift, um Userdaten zu schützen.
Rechtsprechung zur Verwendung von Mailjet
Für den Einsatz von Mailjet ist diese Rechtsprechung relevant:
Bundesgerichtshof zum Double-Opt-In-Verfahren
Der Bundesgerichtshof (BGH) hat am 10.02.2011 in einer Entscheidung verdeutlicht: Webseitenbetreiber müssen das Double-Opt-In-Verfahren nutzen, um die Einwilligung von Kunden in den Versand von E-Mails einzuholen (Az. I ZR 164/09).
Oberlandesgericht Düsseldorf zum Double-Opt-In-Verfahren
Das Oberlandesgericht (OLG) Düsseldorf hat die Entscheidung des BGH am 17.03.2016 bestätigt. Es entschied, dass Seitenbetreiber Kunden im Rahmen des Double-Opt-In-Verfahrens eine Mail zuschicken dürfen, die sie die Anmeldung für einen E-Mail-Dienst bestätigen lässt (Az. I-15 U 64/15).
Niederländische Aufsichtsbehörde zur Auskunfts- und Löschpflicht
Bitten Nutzer Unternehmen darum, ihre Daten zu löschen, dürfen Unternehmen nicht grundsätzlich die Identität jeder Anfrage anzweifeln. Zu diesem Schluss kam eine niederländische Aufsichtsbehörde im Februar 2022. Ein Medienunternehmen hatte für jede Auskunfts- und Löschanfrage ein Bild des Personalausweises verlangt. Dabei hatte es Kunden zudem nicht darauf hingewiesen, dass diese nicht erforderliche Informationen im Ausweis schwärzen können. Beides verstieß gegen die DSGVO. Die Behörde sprach daher eine Strafe in Höhe von 525.000 Euro gegen das Medienunternehmen aus. Dies hat Einspruch gegen das Bußgeld eingelegt.
Datenschutzbehörde Baden-Württemberg zum AV-Vertrag
Zwischen 2016 und 2018 gab der Fußball-Bundesligaclub VfB Stuttgart Mitgliederdaten an Dienstleister weiter, um diese weisungsgebunden verarbeiten zu lassen – ohne AV-Vertrag. Die Datenschutzbehörde Baden-Württemberg kam daher im März 2021 zu dem Schluss: Der Verein hat gegen Art. 28 DSGVO verstoßen. Er muss daher ein Bußgeld in Höhe von 300.000 Euro zahlen.
Datenschutzbehörde Hamburg zum AV-Vertrag
Ein spanischer Postdienstleister arbeitete einem deutschen Versandunternehmen zu. Dabei verarbeitete es weisungsgebunden personenbezogene Daten. Einen AV-Vertrag hatten die beiden Parteien dafür jedoch nicht geschlossen. Das bestrafte die Datenschutzbehörde Hamburg im Dezember 2018 mit einem Bußgeld von 5.000 Euro zzgl. Gebühren.
Aktuelles zum Versand von Newslettern über Mailchimp
Wie Mailjet bzw. Mailgun ist auch Mailchimp ein US-amerikanischer Anbieter. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) stellte im März 2021 fest: Mailchimp ist nicht DSGVO-konform. Es übermittelt personenbezogene Daten ohne rechtliche Grundlage in die USA. Für deutsche Unternehmen heißt das: Es reicht nicht aus, wenn sie mit Mailchimp Standardvertragsklauseln abschließen. Sie müssen auch überprüfen, ob Mailchimp weitere Maßnahmen ergreift, um den Datentransfer in die USA zu schützen. Der konkrete Fall bezog sich auf ein deutsches Unternehmen, das Mailchimp für seinen Newsletter-Versand genutzt hatte. Nach der Einschätzung des BayLDA gab das Unternehmen an, Mailchimp nicht mehr zu verwenden. Die Datenschutzbehörde sprach daher kein Bußgeld aus. Welche Folgen die Einschätzung des BayLDA für den Einsatz von Mailchimp hat, zeigen wir in unserem Artikel „Datenschutz: Ist der Newsletter-Dienst Mailchimp nicht mehr erlaubt?“.