Untersagung der Nutzung von Mailchimp durch bayerische Datenschutzbehörde?

Die österreichische Newsseite Der Standard berichtet, dass die bayerische Datenschutzbehörde (BayLDA) die Übermittlung von E-Mailadressen an Mailchimp untersagt hat: “Urteil in Deutschland: Unzulässige Weitergabe von Mailadressen an Mailchimp.”

Da Mailchimp zu den beliebtesten E-Mail-Marketingplattformen gehört, erkläre ich in dem folgenden Beitrag, wie Sie ein solches Verbot vermeiden können.

Zum Abschluss des Beitrags erhalten Sie eine Prüfungsvorlage, doch als Erstes sollte die Newsmeldung klargestellt werden.

Update 24.03. 14 Uhr: Mittlerweile liegt die Entscheidung des BayLDA vor. Es handelt sich um eine Feststellung, dass der Einsatz von Mailchimp ohne die nachfolgend dargestellte Vorprüfung unzulässig ist.

Es ist kein Urteil

Zuerst muss klarstellt werden, dass es sich nicht um ein Urteil, also eine Bestätigung einer objektiven Instanz handelt. Vielmehr handelt es sich um die Entscheidung einer Datenschutzbehörde. Die Entscheidungen einer Behörde sind jedoch parteiisch und erfolgen in Zweifelsfällen eher zugunsten der betroffenen Personen als der Datenverarbeiter.

Ferner hatte die Behörde keine andere Wahl, als den Einsatz von Mailchimp in dem konkreten Fall für unzulässig zu erklären.

Die Behörde hat keine Wahl

Das BayLDA hat festgestellt, dass die Übermittlung von E-Mailadressen an Mailchimp ohne eine Vorprüfung nicht zulässig ist. Der Feststellung ging eine Meldung eines Betroffenen an die Datenschutzbehörde vor.
Das BayLDA hat festgestellt, dass die Übermittlung von E-Mailadressen an Mailchimp ohne eine Vorprüfung nicht zulässig ist. Der Feststellung ging eine Meldung eines Betroffenen an die Datenschutzbehörde vor.

Die Aufsichtsbehörde hat nicht entschieden, dass der Einsatz von Mailchimp generell unzulässig ist. Sie hat lediglich entschieden, dass E-Mail-Adressen nicht bei Mailchimp gespeichert werden dürfen, wenn die Zulässigkeit der Speicherung nicht zuvor besonders geprüft wurde.

Denn Mailchimp ist ein US-Unternehmen und die USA wiederum ein Drittland im Sinne der DSGVO. Personenbezogene Daten (E-Mailadressen oder Namen), dürfen in einem Drittland jedoch nur dann verarbeitet werden, wenn geprüft wurde, ob das Datenschutzniveau in dem Drittland dem Datenschutzniveau in der EU entspricht (Art. 44 DSGVO).

D.h. die unterlassene Prüfung des Einsatzes von Mailchimp im Hinblick auf das Datenschutzniveau, stellt bereits einen Datenschutzverstoß dar. Der Behörde bleibt in einer solchen Konstellation kaum eine Wahl, als die Unzulässigkeit der Nutzung eines US-Dienstes festzustellen (wobei Aufsichtsbehörden häufig einen Hinweis vorab geben).

Ob die Behörde eine positive Prüfung abgelehnt hätte, ist dagegen eine andere Frage.

Der EuGH hat nicht jede US-Verarbeitung verboten

Der Europäische Gerichtshof (EuGH) hat 2019 nicht entschieden, dass jede Art der Verarbeitung von personenbezogenen Daten in den USA untersagt ist (EuGH, 16.07.2020 – C-311/18).

Vielmehr entschied der EuGH, dass die als “Privacy Shield” bezeichnete Selbstzertifizierung von US-Unternehmen als “EU-Datenschutzkonform”, unwirksam ist. Das begründete der EuGH damit, dass die US-Gesetze den US-Geheimdiensten erlauben, heimlich auf Daten von EU-Bürgern zuzugreifen, ohne dass die EU-Bürger sich dagegen wehren können (s. dazu Diskussion im Podcast: “Privacy Shield – wie es jetzt weitergeht – Rechtsbelehrung Folge #79“).

Allerdings kann ein US-Datentransfer, auch auf so genannten Standardvertragsklauseln gestützt werden. Dies jedoch nur, sofern deren Einhaltung positiv geprüft wurde.

Zulässigkeitsprüfung für Mailchimp

Auch der BayLDA hält in seiner Entscheidung den Risikograd bei der Verarbeitung einer E-Mailadresse in den USA für verhältnismäßig gering.
Auch das BayLDA hält in seiner Entscheidung den Risikograd bei der Verarbeitung einer E-Mailadresse in den USA für verhältnismäßig gering.

Die Prüfung des Einsatzes von Mailchimp als ein US-Dienst, besteht aus drei wesentlichen Schritten:

  1. Erwägung einer Alternative – Begründung, warum keine andere gleichwertige Alternative statt Mailchimp eingesetzt wird (z.B. Kosten und Risiken der Umstellung, Einarbeitung Team, etc.).
  2. Bewertung des Gefährdungsgrades für die Abonnenten – Der Gefährdungsgrad hängt davon ab, welche möglichen Folgen für die Abonnenten mit welcher Wahrscheinlichkeit drohen, falls US-Geheimdienste auf deren Daten zugreifen. Dabei wird es maßgeblich auf die mögliche Brisanz des Newsletters aus dem Blickwinkel der USA ankommen. Vor allem Newsletter die politischer den Ansichten der USA entgegenstehen oder auf eine ansteckende Krankheit hindeuten (mal abgesehen von Corona), könnten z.B. zu Einreiseerschwernissen oder -verboten führen. Bei einem Marketingnewsletter wären solche Folgen dagegen nicht zu erwarten.
  3. Sicherung des Datenschutzniveaus – Der Anspruch an das Datenschutzniveau hängt von dem zuvor beschriebenen Gefährdungsgrad der Abonnenten ab. So sichert Mailchimp mittels sogenannter EU-Standardvertragsklauseln (das sind durch die EU-Kommission vorgegebener Formulierungen) die Einhaltung des nötigen Datenschutzniveaus zu: “Data Processing Addendum“. Ferner legt Mailchimp dar, wie der Zugang zu den Nutzerdaten verhindert wird (Verschlüsselung u.a. dem Stand der Technik entsprechende Maßnahmen, Prüfung von Anfragen auf Erforderlichkeit und Zulässigkeit sowie Veröffentlichung eines Transparenzberichts): “Mailchimp and European Data Transfers“.

Ergebnis der Prüfung

Außer in den o.g. extremen Fällen (politisch oder gresundheitsbezogen problematische Newsletter), hält der Verfasser das Datenschutzniveau aufgrund der von Mailchimp ergriffenen vertraglichen, organisatorischen und technischen Maßnahmen für ausreichend.

Das kann man mangels klarer Rechtslage natürlich auch anders sehen und vor allem wird schon im ersten Prüfungspunkt häufig darauf hingewiesen, dass viele EU-Alternativen zu Mailchimp existieren. Das ist grundsätzlich nicht von der Hand zu weisen, aber wer z.B. schon seit Jahren mit Mailchimp arbeitet, MitarbeiterInnen angelernt oder benötigte Schnittstellen programmiert hat, für den muss eine EU-Alternative nicht im Sinne des Gesetzes gleich geeignet sein. Dennoch wäre ein (möglicher und zumutbarer) Wechsel zu einem EU-Anbieter, aufgrund der Senkung des Risikos einer rechtlich unsicheren Rechtslage, zumindest derzeit vom Vorteil.

Übrige Anforderungen im E-Mailmarketings

In diesem Beitrag wurden die besonderen Anforderungen beim Einsatz von Mailchimp besprochen. Im Hinblick auf den Versand von Werbemailings müssten zusätzlich die generell geltenden gesetzlichen Anforderungen an ein zulässiges E-Mailmarketing beachtet werden:

  • Einwilligung in den Empfang der Newsletter – Sie benötigen eine Einwilligung der Nutzer, die z.B. mittels eines Online-Formulars eingeholt werden kann (Beispiel unseres Newsletters). Die Einwilligung muss in einem sogenannten Double-Opt-In-Verfahren (kurz “DOI”), d.h. mit Bestätigung der Anmeldung durch den E-Mailinhaber, durchgeführt werden.
  • Bestandskundenwerbung – Alternativ zur Einwilligung können Sie an Bestandskunden Werbemailings für ähnliche, wie die erworbenen Produkte oder Leistung versenden, sofern Sie sie zuvor darauf hingewiesen haben (Deutschland § 7 Abs. 3 UWG-DE, Schweiz Art. 3 Abs. 1 UWG-CH,  für Österreich muss zusätzlich die ECG-Liste beachtet werden, in der Schweiz ist ein Vorabhinweis nicht erforderlich).
  • Einwilligung in die Messung von Öffnungs- und Klickraten sowie Bildung von Abonnentenprofilen – Bitte beachten Sie, dass die Nutzung der Analyse- und Profilingfunktionen von Mailchimp ohne die Einwilligung der Abonnenten ein Risiko darstellt (s. dazu hier im Blog: “Newsletter-Tracking: Anleitung für rechtssichere Messung von Öffnungs- und Klickraten“).

Prüfungsbeispiel

Beispiel der Protokollierung einer Prüfung des Einsatzes von Mailchimp entsprechend den obigen Angaben (und Art. 30 DSGVO), die Sie für Ihre Zwecke anpassen und gegebenenfalls bei Bedarf ausführlicher gestalten sollten:

  • Dienst/Zweck:Mailchimp E-Mailmarketing-Plattform.
  • Anbieter:Rocket Science Group, LLC, 675 Ponce De Leon Ave NE #5000, Atlanta, GA 30308, USA.
  • Arten von Daten:Vornamen, Namen, E-Mailadressen, Analysedaten, d.h. (soweit eingewilligt) Profile mit Informationen zu Öffnungs- und Linkklickraten von Newslettern sowie Anmelde- und Bestätigungszeitpunkt nebst IP-Adresse sowie Änderungen der E-Mailadressen, Einordnung in Segmente oder ähnliche interne Kennzeichnung.
  • Betroffene Personen:Abonnenten/E-Mailempfänger.
  • Rechtsgrundlagen:Versand und Analyse: Art. 6 Abs. 1 S. 1 lit. a) DSGVO, Protokollierung, Speicherung nach Widerruf: berechtigte Interessen Art. 6 Abs. 1 S. 1 lit. f) DSGVO (s.u. Löschung).
  • Verarbeitung im Drittland:USA
  • Alternative EU-Dienste:Es existieren grundsätzlich EU-Alternativen, die jedoch im Fall der Umstellung mit erheblichen Kosten (X Euro/ca. X Tage für die Umschulung des Personals, technische Anbindung und Änderung der Schnittstellen in Anspruch nehmen würde).
  • Rechtsgrundlage Verarbeitung im Drittland:Standardvertragsklauseln (https://Mailchimp.com/legal/data-processing-addendum).
  • Risikoabwägung Drittland: Risikograd für Betroffene: gering, Kenntnis des Bezugs eines Newsletter zum Thema Marketing lässt keine persönlichen oder wirtschaftlichen Nachteile befürchten und die Wahrscheinlichkeit der Kenntnisnahme ist, zumindest ausgehend von der Zahl der Abfragen laut Transparenzbericht (https://Mailchimp.com/transparency-report), gering; besondere Sicherheitsmaßnahmen: Verschlüsselung u.a. dem Stand der Technik entsprechende technisches Schutzmaßnahmen, Prüfung von Anfragen auf Erforderlichkeit und Zulässigkeit sowie Veröffentlichung eines Transparenzberichts (https://Mailchimp.com/help/Mailchimp-european-data-transfers, https://Mailchimp.com/transparency-report); Prüfungsergebnis: ein angemessenes Datenschutzniveau ist gewährleistet.
  • Löschung:Drei Jahre nach Kündigung (Beginn Ende des jew. Jahres) auf Grundlage berechtigter Interessen, zwecks Nachweis Widerruf, Geltendmachung Rechtsansprüche der Abonnenten, Beschränkung Verarbeitung auf diese Zwecke, Hinweis auf Möglichkeit jederzeitigen Löschungsantrags.
  • Informationen der Betroffenen: Hinweise zum Inhalt, Widerruf, Versanddienstleister und der Analyse im Rahmen des Anmeldeformulars, im Fall von Bestandskunden vor Bestellabschluss; detaillierte Hinweis in den Datenschutzerklärung.
  • Zeitpunkt der Prüfung/Name Prüfer:23.03.2021, Max Mustermann

Ergebnis und Praxisempfehlung

Bis kein vereinfachter Prozess zur Prüfung des Sicherheitsniveaus bei US-Diensten zwischen der EU und den USA vereinbart wurde (also ein “Privacy Shield II”), verbleibt die Zulässigkeit des Einsatzes von US-Dienstleistern ungewiss.

Allerdings ist die Zulässigkeit nicht gänzlich ausgeschlossen. Das gilt ganz besonders für Angebote wie Mailchimp, die das Urteil des EuGH zum Privacy Shield umgesetzt haben (und ihren Nutzern die zur Prüfung benötigten Unterlagen bereitstellen).

Daher sollten Sie trotz aller Unklarheiten, in jedem Fall die o.g. Prüfung des Einsatzes von Mailchimp bei sich durchführen und samt Datum protokollieren (d.h. sicher abspeichern oder ausdrucken).

Tipp für mehr Rechtssicherheit

Rechtssichere DSGVO-Datenschutzerklärung, inklusive Modulen für Mailchimp sowie Tracking- und Profiling in E-Mails:  vom Anwalt  mit Siegel  über 600 aktuelle Module  kein Abo  Dokument ohne zeitliches Limit nutzbar  Download als Word/Office & PDF  Speichern & Laden von Eingaben
DSGVO-Datenschutz-Generator - Datenschutzerklärung, Impressum, Fotohinweis

 


Kommentare

  1. Erstmal vielen Dank für die Informationen!

    Die rechtliche Einordnung sollte sich doch dann auch auf andere US Newsletteranbieter wie z.B. ActiveCampaign übertragen lassen oder sehe ich das falsch?

  2. Ich bin irritiert.

    Im Beitrag oben steht, dass ein Double-Opt-In z. B. für einen Newsletter verpflichtend ist.
    Bisher bin ich davon ausgegangen, dass nur der Nachweis erbracht werden muss, einen Newsletter versenden zu dürfen, Bsp. wenn jemand, zu dem ich nachweislich Kontakt habe, vielleicht sogar weitere Daten mit seinem Einverständnis, mich anschreibt, ich möchte ihm meinen Newsletter zusenden an E-Mail: xyz.

    Das D-O-I sehe ich als Möglichkeit den Nachweis zu erbringen, oder besteht tatsächlich ein Zwang dieses anzuwenden?

    1. Das DOI ist insoweit zwingen, als man nachweisen muss, dass die Anmeldung zum Newsletter durch den Inhaber der E-Mailadresse erfolgt ist. Wurde die E-Mailadresse z.B. im Rahmen einer Registrierung auf einer Plattform bestätigt und die Anmeldung zum Newsletter ist nur für Mitglieder der Plattform, die ihre E-Mailadresse bestätigt haben möglich, dann ist ein DOI nicht erforderlich.

  3. Vielen Dank für den hilfreichen Beitrag. Wer muss eigentlich die Prüfung vornehmen? Der Datenschutzbeauftragte? Oder kann das jemand im Unternehmen auch machen?

Fügen Sie einen Kommentar hinzu

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.