Mailchimp & Co. laut EuGH unzulässig? Was das Urteil bedeutet…

Mailchimp & Co. laut EuGH unzulässig? Was das Urteil bedeutet…

20. Apr. 2021, mit 4 von 5 bewertet, Kategorie: Evalanche Blog - für Marketing & Sales im B2B. , Autor: Raphaela Kergl

Der Einsatz von US-Tools für Email Marketing und Marketing Automation ist nicht mehr ohne Weiteres zulässig. Grundlage bildet das sogenannte Schrems II-Urteil des Europäischen Gerichtshofs (EuGH) aus dem Juli 2020. Mittlerweile setzen auch Behörden in der Praxis dieses Urteil durch – jüngst das Bayerische Landesamt für Datenschutz im Fall Mailchimp.

Seit dem Kippen des Privacy Shield fehlt dem Datentransfer in die USA beziehungsweise die Datenverarbeitung und -speicherung durch ein US-Unternehmen die gesetzliche Grundlage. Nun hat auch das Bayerische Landesamt für Datenschutz auf eine Beschwerde der Email Marketing Academy hin und nach sogfältiger Prüfung bestätigt:

„Nach unserer Bewertung war der Einsatz von Mailchimp […] – und somit auch die Übermittlung Ihrer Email-Adresse an Mailchimp […] – datenschutzrechtlich unzulässig […] weil […; das Unternehmen] nicht geprüft hatte, ob für die Übermittlung an Mailchimp zusätzlich zu den (zum Einsatz gekommenen) EU-Standarddatenschutzklauseln noch ‚zusätzliche Maßnahmen‘ im Sinne der EuGH-Entscheidung ‚Schrems II‘ […] notwendig sind, um die Übermittlung datenschutzkonform zu gestalten, und vorliegend zumindest Anhaltspunkte dafür bestehen, dass Mailchimp grundsätzlich Datenzugriffen von US-Nachrichtendiensten […] unterfallen kann und somit die Übermittlung nur unter Ergreifung solcher zusätzlicher Maßnahmen (sofern geeignet) zulässig sein konnte […].“

Daraus folgt, dass der Einsatz von amerikanischen Email Marketing oder Marketing Automation Tools unzulässig ist, sofern nicht „zusätzliche Maßnahmen“ zum Schutz der Daten getroffen werden.

Einsatz von Mailchimp nicht DSGVO-konform erfolgt

Der EuGH hat das Privacy Shield, das bis dahin den Datentransfer an US-Anbieter datenschutzrechtlich regelte, am 16. Juli 2020 für unzulässig erklärt. Das Gericht begründete das damit, dass US-Unternehmen aufgrund von Gesetzen wie der Rechtsvorschrift FISA702 und dem CLOUD Act unter Umständen verpflichtet sind, US-Behörden Zugriff auf ihre Server zu gewähren. Diese Zugriffsmöglichkeiten bestünden auch, wenn EU-Unternehmen den Datentransfer mittels Standardvertragsklauseln regelten, wenn diese nicht durch zusätzliche Maßnahmen, z. B. eine Verschlüsselung der Daten, ausgeschlossen würden.

Privacy Shield ungültig – was bedeutet das für Unternehmen in Europa?

privacy-shield-unwirksamDer Europäische Gerichtshof (EuGH) hat das Privacy Shield-Abkommen zwischen der EU und den USA am 16. Juli 2020 für ungültig. Jedem, der  personenbezogene Daten durch US-amerikanische Unternehmen speichern oder verarbeiten lässt, ist die gesetzliche Grundlage dazu weggefallen. Jetzt heißt es handeln!

Zum Artikel

Das Bayerische Landesamt für Datenschutz hat nun in Bezug auf Mailchimp festgestellt, dass das Unternehmen keine geeigneten Maßnahmen geprüft hat, um grundsätzlich Datenzugriffe von US-Nachrichtendiensten zu verhindern. Die Entscheidung ist zwar kein grundsätzliches Verbot von Mailchimp, jedoch für diesen Fall, dass die Software ohne tiefergehende Prüfung und Interessensabwägung eingesetzt wurde, eine klare Ablehnung. Um Mailchimp DSGVO-konform einzusetzen, hätte das Unternehmen die betroffenen Interessen gegeneinander abwägen und ein ausreichendes Datenschutzniveau sicherstellen müssen.

Jetzt deutsche Alternativen zu Mailchimp und anderen US-Tools finden

Grundsätzlich haben Sie, wenn Sie Mailchimp oder vergleichbare Software-Lösungen nutzen, zwei Möglichkeiten:

  1. Weitermachen wie bisher und US-amerikanische Tools wie Mailchimp trotz EuGH-Urteil einsetzen. Dann müssen Sie sich jedoch des damit verbundenen Risikos bewusst sein oder erhebliche Mehraufwände in Kauf nehmen, um datenschutzrechtlich trotzdem korrekt zu handeln.
  2. Zu einer europäischen und DGSVO-konformen Alternative zu Mailchimp und Co. wechseln. Damit sind Sie in jedem Fall auf der sicheren Seite.

Ist Ihre Software rechtskonform? 5 Fragen, die Sie sich dazu stellen sollten!

Um festzustellen, ob Sie die von Ihnen eingesetzte Lösung datenschutzrechtlich bedenkenlos weiternutzen können, müssen Sie ein paar zentrale Fragen klären. Diese helfen auch bei der Suche nach einer Alternative zu US-Tools beziehungsweise generell bei der Wahl einer datenschutzkonformen Lösung für Newsletter, Email Marketing oder Marketing Automation.

  1. Wer speichert und verarbeitet die Daten wo?

Außerhalb der Europäischen Union (EU) beziehungsweise des Europäischen Wirtschaftsraums (EWR) dürfen personenbezogene Daten nur dann gespeichert und verarbeitet werden, wenn das Land, wo dies erfolgt, ein angemessenes Datenschutzniveau vorweisen kann. Aufgrund des EuGH-Urteils fehlt es aktuell an einem entsprechenden Angemessenheitsbeschluss für die Verarbeitung von personenbezogenen Daten von EU-Bürgern in den USA oder durch US-Unternehmen. Hier spielen also sowohl Serverstandort als auch Unternehmenssitz eine Rolle. Damit betrifft dies viele gängige Anbieter von Email Marketing- und Marketing Automation-Software. Lösungen von Anbietern, die Daten in Deutschland oder innerhalb von EU/EWR speichern und verarbeiten, sind daher eine sichere Alternative zu Hubspot, Mailchimp und Co.

  1. Ist der Einwilligungsprozess DGSVO-konform?

Dass für die Erhebung, Speicherung und Verarbeitung von personenbezogenen Daten die Einwilligung des Betroffenen erforderlich ist, stellt mittlerweile keine Neuerung mehr dar. Bei Verstoß drohen Unternehmen nicht nur Bußgelder, sondern auch irreparable Imageschäden. Achten Sie darauf, dass Sie mit der von Ihnen genutzten Software ein rechtskonformes Double Opt In Verfahren abbilden.

  1. Werden Tracking und das Setzen von Cookies rechtlich korrekt gehandhabt?

Laut BGH-Urteil aus 2019 bedarf das Setzen von Tracking-Cookies der Einwilligung des Nutzers. Generell unterliegen das Tracking und das Anlegen von Nutzerprofilen der DSGVO, weil personenbezogene Daten erhoben und zu Profilen angereichert werden. Dies betrifft auch das Tracking in Mailings und Newslettern. Unabhängig davon, welche Tracking-Technologien, Zählpixel oder Cookies zum Einsatz kommen – absolut rechtssicher sind Sie nur, wenn Sie für jede Form der Datenerhebung und -verarbeitung eine rechtsgültige Einwilligung vorliegen haben. Voraussetzung ist die konkrete Aufklärung des Betroffenen, bevor er selbst aktiv – etwa durch Anklicken einer nicht vorab angeklickten Checkbox – der Datenerhebung und -verarbeitung zustimmt. Prüfen Sie bei einer Software-Lösung, wie die technische Umsetzung erfolgt und ob es Konfigurationsmöglichkeiten gibt, um Tracking Opt In und Tracking Opt Out korrekt umzusetzen.

  1. Finden Privacy by Design und Privacy by Default Anwendung?

Wenn es darum geht, datenschutzkonforme Marketing Automation und Email Kampagnen technisch zu realisieren, wird oftmals auf Privacy by Design und Privacy by Default – wie es die DSGVO fordert – verwiesen. Bei der Technikgestaltung (Privacy by Design) soll ein Unternehmen geeignete technische und organisatorische Maßnahmen für die Verarbeitung festlegen und umsetzen, um Betroffenenrecht zu schützen. Privacy by Design heißt, dass eine Software von Grund auf datenschutzkonform arbeiten, eingesetzt und entwickelt werden soll. Privacy by Default meint ebenfalls technische und organisatorische Maßnahmen, die datenschutzfreundliche und folglich höchstmöglich restriktive Voreinstellungen garantieren – etwa, dass nur jene personenbezogenen Daten erhoben werden, die für den Verarbeitungszweck erforderlich sind. Dies ließe sich etwa über wenige Standard-Pflichtfelder in Datenformularen und nicht vorab angeklickte Checkboxen umsetzen. Schauen Sie also genau hin, ob Ihr Software-Anbieter, diese beiden Prinzipien umsetzt.

  1. Ist der Anbieter in Sachen Datenschutz und -sicherheit zertifiziert?

Last but not least ist es ein wichtiges Gütekriterium, wenn ein Softwareanbieter entsprechende Zertifikate oder Siegel durch unabhängige Prüfstellen, zum Beispiel TÜV, aufweisen kann. Besonders für die Themen Datenschutz und -sicherheit wird die international führende Norm für Informationssicherheit ISO 27001 herangezogen, da sie die Einhaltung höchster IT-Sicherheitsstandards belegt. Sie stellt die Integrität betrieblicher Daten sicher und gewährleistet, dass vertrauliche Daten geschützt sind.

Jetzt handeln!

Für Unternehmen besteht so oder so Handlungsbedarf: Entweder gilt es eine Mailchimp-Alternative zu finden oder Mailchimp DSGVO-konform einzusetzen. Dies ist weder ein leichtes Unterfangen noch ohne juristische Unterstützung durchführbar. Zudem birgt der Einsatz von US-Tools trotz aller Bemühungen das Risiko, dass Empfänger ihre Einwilligung zur Datenverarbeitung widerrufen oder dass potenzielle Leads oder Abonnenten diese gar nicht erst erteilen. Daher ist es ratsam, sich nach einer Alternative zu Mailchimp umzusehen.

Jetzt gratis E-Book zum Thema Datenschutz in aktualisierter Auflage (2021) herunterladen!

Alles, was Sie wissen müssen, damit Sie im Email Marketing und Lead Management sowie bei Marketing Automation Kampagnen rechtlich auf der sicheren Seite sind, erfahren Sie im E-Book „Email Marketing und Lead Management rechtskonform gestalten“ – mit spannenden Info-Boxen und praktischen Checklisten:

  • Datenschutz nach DSGVO
  • Rechte und Pflichten von Unternehmen
  • außereuropäischen Datentransfer
  • Datenverarbeitung durch US-Anbieter
  • Privacy by Design und Privacy by Default
  • Double Opt In und Tracking-Einwilligung
  • u.v.m.

Jetzt herunterladen

Disclaimer:
Dieser Text ersetzt keine Rechtsberatung und erhebt keinen Anspruch auf Richtigkeit, Vollständigkeit und Aktualität.

nach oben