Bayrische Aufsichtsbehörde untersagt die Nutzung von Mailchimp
Die Weitergabe von E-Mails an Drittstaaten war lange Zeit kein Problem. Mit Einführung der DSGVO hat sich dies jedoch grundlegend geändert. Vor allem das E-Mail-Marketing und die Nutzung von Tools zum Versenden von E-Mails sind hiervon betroffen. Mit dem im Jahr 2020 folgenden Schrems-II Urteil des EuGH (EU kippt Privacy Shield) verschärft sich die Situation noch weiter. Jetzt greifen auch die Behörden durch und untersagen die Nutzung von Mailchimp.
Mit dem Schrems-II Urteil vom 16. Juli 2020 untersagt der Europäische Gerichtshof in einem ersten Schritt die Weitergabe von personenbezogenen Daten in die USA. Damit kippt das Privacy Shield-Abkommen. Als Grund wird ein mangelnder Schutz durch das US-Recht genannt. In Ausnahmefällen bleibt es jedoch weiterhin möglich, personenbezogene Daten an Drittstaaten weiterzuleiten. Allerdings nur, solange das Schutzniveau auch im Drittstaat gewährleistet werden kann. Dies ist seit neuesten Erkenntnissen in den USA nicht mehr der Fall.
Wir berichteten hier bereits über das Urteil.
Mittlerweile wird dieses Urteil auch durch die Aufsichtsbehörden durchgesetzt:
Das Bayrische Landesamt für Datenschutz untersagt die Weitergabe von E-Mail-Kontakten an das Tool Mailchimp. Somit ist der E-Mail-Versand über das Newsletter-Tool nicht mehr möglich. Denn für das Versenden eines Newsletters braucht es eine Liste der Kunden inklusive aller E-Mail-Adressen. Dies ist, zumindest im Fall Mailchimp, nicht mehr DSGVO-konform. Die Daten werden in die USA übermittelt.
Wie funktioniert Mailchimp?
Bei Mailchimp handelt es sich um ein SaaS-Tool, das eine Automatisierung für das Erstellen Newslettern ermöglicht. Besonders im Marketing ist dieses Tool relevant. Unternehmen können hier E-Mail-Listen erstellen, Templates oder Vorlagen nutzen, dynamische Inhalte erstellen und sogar ihr E-Mail-Marketing an die Zeitzonen der Kunden anpassen. Es handelt sich, vereinfacht gesagt, um eine All-in-one-Marketingplattform für Newsletter.
Mit seiner Funktionalität und Flexibilität bietet Mailchimp eine einfache Handhabung für Unternehmen. Gleichzeitig gibt es mit dem Basis-Paket sogar eine kostenlose Version und auch das Preis-Leistungs-Verhältnis der Premium-Pakete ist gut.
Daher war und ist Mailchimp bei vielen Anwendern sehr beliebt
Es handelt sich bei Mailchimp aber eben auch um ein webbasiertes E-Mail-Marketing-Tool. Der E-Mail-Marketer ist gezwungen, Listen zu erstellen und personenbezogene Daten weiterzugeben.
Welche gesetzlichen Änderungen zieht das Schrems-II Urteil nach sich?
Zunächst einmal bleibt vieles beim Alten. Nach wie vor bedarf es einer aktiven Zustimmung durch den Kunden, sollten personenbezogene Daten verarbeitet werden. Auch die Weitergabe von Daten an Drittstaaten bleibt grundsätzlich möglich.
Hierfür muss nach wie vor eine der drei Voraussetzungen aus dem Kurzpapier des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) erfüllt sein:
- Die Feststellung der Angemessenheit des Datenschutzniveaus im Drittland (Art. 45 DS-GVO)
- Das Vorliegen geeigneter Garantien, etwa durch eine Standardvertragsklausel (Art. 46 DS-GVO)
- Ausnahmen für bestimmte Fälle (Art. 49 DS-GVO).
Es gibt jedoch auch eine gravierende Änderung. Die Nachweispflicht für das Schutzniveau des Drittstaates liegt neuerdings nicht mehr bei der Kommission, sondern bei den Unternehmen selbst. Sowohl das versendende Unternehmen als auch der Empfänger müssen den Datenschutz garantieren können. Ist dies nicht der Fall, müssen weitere Schutzmaßnahmen ergriffen werden.
Darüber hinaus wurde mit dem Schrems-II Urteil in einem zweiten Schritt das Privacy Shield außer Kraft gesetzt. Das Privacy Shield ermöglichte bisher die Weitergabe personenbezogener Daten an Unternehmen mit Sitz in den USA und stellte somit eine allgemeine Standardvertragsklausel dar. Die Begründung für die Aussetzung ist ein mangelndes Schutzniveau in den USA. Ein Zugriff durch eine Behörde kann nicht ausgeschlossen werden.
Wo liegt das Problem bei der Nutzung von Mailchimp?
Grundsätzlich ist die Nutzung von Mailchimp durch die Double-Opt-In Funktion DSGVO-konform. Da es sich bei Mailchimp aber um eine amerikanische SaaS-Lösung handelt, werden auch personenbezogene Daten (etwa die Liste der E-Mail-Adressen) an ein amerikanisches Unternehmen weitergegeben.
Dies ist seit Schrems-II unzulässig. Was bisher durch das Privacy Shield möglich war, ist jetzt nicht mehr erlaubt. Zwar könnte das Problem theoretisch durch eine individuelle Standardvertragsklausel behoben werden, jedoch fehlt hierfür die rechtliche Absicherung. Die Behörden in den USA sind befugt, in Ausnahmesituationen auf sämtliche Daten zuzugreifen. Der Bürger kann sich dagegen nicht wehren, weder privat noch gerichtlich.
Es ist für Unternehmen in keinem Fall möglich, ein Datenschutz auf EU-Niveau zu garantieren.
Dabei ist es egal, wo sich die Server des Anbieters befinden, denn die Behörden der USA sind durch die Gesetzgebung befugt, auf die Daten zuzugreifen. Unabhängig von der Gesetzgebung am Serverstandort. Es reicht, wenn sich der Unternehmenssitz in den USA befindet.
Mehr Infos zum Thema Datenschutz in den USA finden sie hier.
Diese Problematik bezieht sich nicht nur auf Mailchimp. Mailchimp war mit Sicherheit zunächst nur ein Zufallstreffer. Langfristig werden alle Anbieter mit Sitz in den USA oder einem anderen kritischen Drittstaat ins Visier der Behörden gelangen.
Gibt es datenschutzkonforme Mailchimp-Alternativen?
Prinzipiell ist jeder Anbieter, der sowohl seinen Unternehmenssitz als auch seine Server in einem EU-Land hostet, eine potenzielle Mailchimp-Alternative. Diese Anbieter und deren Tools müssen den Richtlinien der DSVGO entsprechen und es kann demnach darauf vertraut werden, dass keine Behörde unerlaubt Zugriff auf die Daten hat. So funktioniert Online-Marketing in der EU.
Drei deutsche Alternativen sind zum Beispiel Cleverreach, Rapidmail oder Sendinblue. Darüber hinaus finden Sie eine Übersicht über alle deutschen Marketing-Automation Anbieter auf unserer Landscape.
Bei der Wahl eines Anbieters aus einem Drittstaat gilt es hingegen unbedingt einen DSGVO-konformen Datentransfer sicherzustellen. Hierfür sind folgende Punkte zu klären:
- Entstehen internationale Datentransfers in Drittstaaten?
- Wenn ja, lässt sich eine Standardvertragsklausel verwenden?
- Sind die Standardvertragsklauseln durch den Vertragspartner durchsetzbar?
- Wenn nein, gibt es zusätzliche Maßnahmen (z. B. eine Datenverschlüsselung) die getroffen werden können, um die Vertragsklausel zu garantieren?
- Welche Konsequenzen muss ich aus dem Ergebnis ziehen?
Schlussendlich sollte auch nach der Entscheidung regelmäßig die Rechtslage überprüft werden (lassen).
Treten hier Zweifel auf, sollte die Kooperation mit einem ausländischen Anbieter unbedingt unterlassen oder dann beendet werden.
Warum das so kritisch zu sehen ist, erklären die Kolleginnen und Kollegen von activeminds, die Experten für Themen rund um Datenschutz
4 US-Gesetze die aus Sicht der Amerikaner es erlauben auf die Daten zuzugreifen
Der activeminds-Autorin Julia Peidli schreibt: “Für den Transfer personenbezogener Daten in die USA und andere Drittstaaten muss im Empfängerland tatsächlich (und nicht nur auf dem Papier) ein entsprechendes Datenschutzniveau vorliegen. Das hat der Europäische Gerichtshof (EuGH) in seinem Urteil zum EU-U.S. Privacy Shield deutlich gemacht. Garantien wie EU-Standardvertragsklauseln reichen also nicht aus, wenn Gesetze vor Ort diese untergraben. Doch genau das ist in den USA der Fall.
Datenschutzfeindliche Gesetzgebung in den USA
In den USA gibt es vier Gesetze, die den Zugriff amerikanischer Behörden auf Daten regeln und die für die Bewertung des internationalen Datentransfers von besonderer Relevanz sind:
- Foreign Intelligence Surveillance Act (FISA) von 1978;
- USA Patriot Act von 2001;
- USA Freedom Act von 2005 sowie
- CLOUD Act (Clarifying Lawful Overseas Use of Data Act) von 2018.”
“Ein Serverstandort in der EU schützt jedoch nicht vor US-Gesetzen: Der CLOUD Act ermächtigt US-Behörden auch auf Daten zuzugreifen, die US-amerikanische Dienstleister und deren Tochtergesellschaften außerhalb der USA speichern – selbst, wenn dies einen Konflikt mit dem nationalen Recht vor Ort darstellt.”
Fazit der Autorin von activeminds: Das Sanktionsrisiko steigt
(Auszug aus einem Artikel – Stand 29.03.2021)
Unser Fazit: Unternehmen müssen handeln!
Das Schrems-II Urteil und die damit einhergehenden Verschärfungen der DSGVO besitzen eine enorme Tragweite. Das Marketing wird komplizierter. Vor allem amerikanische Anbieter und deren Kunden werden darunter leiden. Auch Marketing Lösungen aus anderen Ländern ohne ausreichenden Datenschutz lassen sich in Zukunft nicht mehr verwenden.
Spätestens durch die Kontrollen müssen Unternehmen handeln. Mailchimp ist in der aktuellen Konstellation als Anbieter für E-Mail-Marketing in Zukunft keine Alternative mehr. Es gibt keine Möglichkeit, sich als Kunde und Nutzer des Marketing Tools rechtlich abzusichern und vor Strafen zu schützen. Diese Einschränkungen werden sich auf weitere Anbieter ausweiten. Die Augen werden sich auf potenziellen Anbieter außerhalb dieses Risiko-Kreises richten.
Doch all die Nachteile und Veränderungen bringen auch Vorteile zutage. Vor allem europäische Anbieter werden davon profitieren, denn diese unterliegen sowieso schon den Kriterien der DSGVO.