.st0{fill:#FFFFFF;}

Verarbeitung sensibler Daten

Wichtige Datenschutz-Themen von Profis aufbereitet

Der Einsatz von Mailchimp und der Datenschutz: Erlaubt oder nicht?

Das Bayerische Landesamt für Datenschutz prüfte die Weiterleitung personenbezogener Daten in die USA auf Beschwerde eines Newsletter-Abonnenten von Mailchimp.

Der E-Marketingservice-Anbieter erfreut sich großer Beliebtheit aufgrund der einfachen Handhabe und der vielfältigen Gestaltungsmöglichkeiten von Newslettern. Es stellt sich daher die Frage, ob Unternehmen bedenkenlos weiterhin mit Mailchimp kooperieren können oder ob datenschutzrechtliche Bedenken entgegenstehen.


Das Wichtigste auf einen Blick

  • Mailchimp ist ein amerikanischer Anbieter von E-Mail-Marketing Services.
  • Die Beschwerde bezieht sich auf ein Münchener Unternehmen, welches Mailchimp für seine Newsletter-Gestaltung und Versendung an Kunden nutzte.
  • Der Einsatz von Mailchimp wurde als unzulässig qualifiziert aufgrund fehlender Überprüfung „zusätzlicher Maßnahmen“ nach Vorgabe der EU-Standartvertragsklauseln, sowie des Schrems-II-Urteils des EuGH.

    1. Datenschutzrechtliche Bedenken bei Mailchimp

    Der US-amerikanische Newsletter-Management-Provider „Mailchimp“ steht trotz vielerlei Vorteile, wie der vereinfachten Funktionalität der Newsletter-Erstellung und der Reichweite der Newsletter-Verteilung an Abonnenten, in der Kritik. Unternehmen, die sich dem E-Marketing Service bedienen, müssen zwangsläufig personenbezogene Daten ihrer Kunden an Mailchimp aushändigen.

    Mailchimp arbeitet mit einer sog. Software-as-a-Service-Lösung. Die personenbezogenen Daten der Newsletter-Empfänger gelangen nicht auf die Software des Mailchimp-nutzenden Unternehmens, sondern auf die US-amerikanischen Server von Mailchimp selbst.


    2. Datenweiterleitung in das US-amerikanische Ausland

    Viele europäische Unternehmen, nutzen Mailchimp für den Newsletter-Versand.

    Es stellt sich daher die Frage, ob die Datenübermittlung über Mailchimp datenschutzkonform und zulässig ist. Rechtshistorisch besiegelte dies vormalig der sog. „Privacy Shield“, der die Datenübermittlungen in die USA regelte. Daten durften so an zertifizierte US-Unternehmen exportiert werden.

    Indessen kippte der EuGH den „Privacy Shield“ durch das „Schrems-II“ Urteil. Danach ist die DSGVO in solchen Fällen auf Drittländer zur Übermittlung personenbezogener Daten anwendbar, in denen es aus Erwägungen der nationalen Sicherheit zu einem Zugriff der Geheimdienste kommen kann.

    Der Privacy Shield bot nicht die gleiche Sicherheit vor geheimdienstlicher Überwachung wie die europäisch-einheitliche DSGVO. Sodann wurde die USA als „unsicheres Drittland“ qualifiziert, der Datentransfer mithin ohne weitere Schritte als unzulässig kategorisiert.

    3. Voraussetzungen für den Datentransfer in das Ausland

    Damit letztlich überhaupt Datenmaterial in Drittländer exportiert werden kann, muss neben dem Vorhandensein von EU-Standardvertragsklauseln, ein dem europäischen Datenschutz konformes Sicherheitsniveau bestehen.

    Indem dies in der USA nicht gewährleistet ist, Zugriffsmöglichkeiten von etwaigen Behörden des Drittlandes bestehen und Mailchimp letztlich nur EU-Standardvertragsklauseln anbietet, müssen sog. „zusätzliche Maßnahmen“ im Sinne der Art. 44 ff. DSGVO seitens des Verantwortlichen getroffen werden. 

    Erforderlich ist hiernach ein Angemessenheitsbeschluss nach Art. 45 DSGVO oder alternativ nach Art. 46 DSGVO geeignete Garantien des Verantwortlichen. Da dies vorliegend nicht erfolgte, wurde die Weiterleitung als unzulässig gewertet. Die Datenübermittlung wurde verboten.

     

    4. Orientierungshilfe für die Zulässigkeitsprüfung Mailchimps

    Da die Prüfung „zusätzlicher Maßnahmen“ unterlassen wurde, besteht ein Spannungsverhältnis zu europäischen Datenschutzmaximen. Um dies zu vermeiden, prüfen Sie:

    • Alternativangebote von Dienstleistern ansässig innerhalb der EU
    • Eine Interessenabwägung bei Nutzung Mailchimps und des Gefährdungsgrades für Abonnenten (Zugriffe etwaiger Geheimdienste)
    • Die Sicherstellung des Datenschutzniveaus im jeweiligen Drittland


    5. Ausblick

    Letztlich ist festzuhalten, dass kein allgemeines Verbot für Mailchimp besteht. Erfordernis für den zulässigen Datenexport in Drittländer, wie die USA, sind sog. „zusätzliche Maßnahmen“, entstammend aus Art. 44 ff. DSGVO.

    Indem Mailchimp oftmals zur Newsletter-Erstellung genutzt wird, sollten Sie folgendes beachten: Welche Datenmaterialien sind Gegenstand der Übermittlung an Mailchimp? Sind Tracking-Funktionen aktiviert? Bestehen erweiterte Schutzmaßnahmen Mailchimps? Wie hoch sind Aufwand und Kosten des Umstiegs auf ein EU-Dienstleister?

    Ermitteln Sie also stets bei Weitergabe personenbezogener Daten in das Ausland, ob ein Angemessenheitsbeschluss (Art. 45 DSGVO) für eben dieses besteht und ob die EU-Standardvertragsklauseln heranzuziehen sind.

    Ein Datenschutz-Paket ausgerichtet auf mein Unternehmen?


    Datenschutzpaket erwerben. Haftung vermeiden.
    30 Tage Garantie. 7 Tage kostenlos testen.