Datenschutz: Ist der Newsletter-Dienst Mailchimp nicht mehr erlaubt?

Bye-recht24.de

Eine aktuelle Entscheidung der bayrischen Datenschutzbehörden wird dafür sorgen, dass der datenschutzkonforme Einsatz vieler US-Dienste ab sofort noch schwieriger wird. Die Datenschützer haben in einem Verfahren entschieden, dass die Nutzung des Newsletter-Anbieters Mailchimp – konkret die Übertragung der E-Mail-Adressen der Nutzer an den US-Anbieter – nicht ohne Weiteres erlaubt ist. Was müssen Nutzer von Mailchimp jetzt tun, um die Vorgaben des DSGVO umzusetzen?

1. Worum ging es in dem Verfahren genau?

Ein Unternehmen aus München nutzte für den Versand von zwei Newslettern den US-Anbieter Mailchimp. Dagegen wurde Beschwerde bei der bayerische Datenschutzbehörde (BayLDA) eingelegt. Die Datenschützer kontaktierten das Unternehmen und wiesen darauf hin, dass der Einsatz von Mailchimp nicht den Vogaben der DSGVO entspricht und nicht datenschutzkonform eingesetzt wird.

Mailchimp bietet seinen Kunden zwar EU-Standardvertragsklauseln an, die für die Übertragung der Mailadressen der Empfänger in die USA nach Art. 46 der DSGVO notwendig sind. Es fehlte aber ein wichtiger Schritt, nämlich die notwendige Prüfung, ob für die Übermittlung an Mailchimp zu den EU-Standarddatenschutzklauseln noch “zusätzliche Maßnahmen” erfolgt sind, um die Übermittlung auch tatsächlich datenschutzkonform zu gestalten.

Das Unternehmen teilte den Datenschützern in dem Verfahren daraufhin mit, dass es auf den weiteren Einsatz von Mailchimps verzichten wird.

Den genauen Ablauf des Datenschutzverfahrens können Sie hier nachlesen:
https://gdprhub.eu/index.php?title=BayLDA_-_LDA-1085.1-12159/20-IDV

2. Handelt es sich bei der Entscheidung um ein bindendes Urteil?

Nein. Es handelte sich um ein datenschutzrechtliches Beschwerdeverfahren einer Datenschutzbehörde, nicht um eine gerichtliche Klärung im Zusammenhang mit der DSGVO. Die Nutzung von Mailchimp wurde dem betroffenen Unternehmen untersagt. Es wurde kein Bußgeld verhängt, da sich das Unternehmen der Entscheidung gebeugt hat. Deswegen wird es hier auch nicht zu einem Gerichtsverfahren kommen.

Die Entscheidung wirkt also erst einmal nur gegenüber dem betroffenen Unternehmen, das Mailchimp zum Versand seiner E-Mails benutzt hat. Es ist aber wahrscheinlich, dass die Datenschutzbehörden in ähnlichen Verfahren auch so entscheiden würden.

3. Wie würde ein gerichtliches Verfahren zu dieser Frage ausgehen?

Dazu kann man nur spekulieren. Aber die Vorgaben, vor einer Datenübertragung in die USA entsprechend der Vorgaben der DSGVO Standardvertragsklauseln anzubieten und „zusätzliche Maßnahmen“ zu prüfen, um die Übermittlung tatsächlich datenschutzkonform zu gestalten, ergibt sich aus einem Urteil des EuGH (Schrems II, C-311/18) und würde wahrscheinlich von den deutschen Gerichten auch so bestätigt werden.

Wenn Sie also kein rechtliches Risiko nicht eingehen wollen, sollten Sie diese Prüfung für Mailchimp und andere Tools von US-Anbietern vornehmen.

Die zweite Frage ist dann, was in einem Gerichtsverfahren passieren würde, wenn diese Prüfung erfolgt ist. Es geht bei um die Frage, wie man tatsächlich verhindern kann, dass die US-Geheimdienste Zugriff auf personenbezogene Daten der Nutzer aus der EU erhalten. In einem solchen Verfahren würde es dann datenschutzrechtlich auch um eine Abwägung bezüglich des Schutzniveaus der betroffenen Daten gehen. Hier haben die Datenschützer im Fall von Mailchimp für E-Mail- und Newsletteranbieter bereits ausgeführt, dass sie die Sensibilität von E-Mail-Adressen als „Verhältnismäßig überschaubar“ einstufen.

4. Was sollten die Nutzer von Mailchimp jetzt konkret tun?

Eine gute Frage. Die bayrischen Datenschutzbehörden – aber auch ihre Kollegen aus anderen Bundesländern – werden in vergleichbaren Fällen wohl ähnlich entscheiden.

Sie sollten also zumindest intern eine Prüfung „Datenübertragung und Mailchimp“ durchführen. Die Datenschützer haben nämlich nicht entschieden, dass Mailchimp generell verboten oder unzulässig ist. Sondern (erst einmal) nur, dass die notwendige vorgeschaltete Prüfung nicht erfolgt ist.
Diese Prüfung kann ungefähr so aussehen:

  1. Gibt es rechtssichere Alternativen zu Mailchimp?
  2. Wenn ja, warum können diese nicht eingesetzt werden?
  3. Welche Nutzerdaten sind betroffen, wie „heikel“ sind diese Daten?
  4. Prüfen, wie Mailchimp diese Nutzerdaten – abgesehen von den EU-Standardvertragsklauseln – tatsächlich schützt

Mit dieser Abwägung könnten Unternehmen, die Mailchimp im Einsatz haben dann erst einmal abwarten, ob es hier zu weiteren Datenschutz-Verfahren kommt und die Gerichte sich mit dieser Frage befassen werden.

Wer dieses Risiko nicht eingehen will sollte einen E-Mail-Anbieter aus der EU nutzen.

5. Hat das Datenschutzverfahren Auswirkungen auf andere Newsletterdienste und Anbieter aus den USA?

Nach unserer Einschätzung ja. Nach dem Wegfall des Privacy Shield benötigt jede Übertragung von personenbezogenen Daten eine Rechtsgrundlage. Diese Grundlage sind aktuell in dem meisten Fällen die sogenannten EU-Standardvertragsklauseln, die Unternehmen wie Mailchimp Ihren Kunden zur Verfügung stellen.

Allein diese Standardvertragsklauseln reichen aber nicht, da der EuGH festgestellt hat, dass zusätzlich die oben beschriebene Prüfung erfolgen muss. Und zwar durch das Unternehmen, dass US-Dienste wie Mailchimp nutzt. Unserer Einschätzung nach muss diese Prüfung aber bei allen US-Amerikanischen Anbietern und Tools erfolgen.

 

Quelle: Datenschutz: Ist der Newsletter-Dienst Mailchimp nicht mehr erlaubt? (e-recht24.de)