Nun ist es offiziell: Das Bayerische Landesamt für Datenschutzaufsicht hat vor Kurzem einem Münchner Unternehmen untersagt, den amerikanischen Dienstleister „Mailchimp“ für den Versand von Newsletters zu verwenden. Anlass dafür war die Beschwerde eines Newsletter-Empfängers. Das hat für deutsche Unternehmen, die Mailchimp oder ähnliche US-Mailingdienste nutzen, durchaus erhebliche Folgen.

Mailchimp ist einer der beliebtesten Anbieter von Newsletter-Diensten, da die Software einfache Bedienung und viele Funktionen verspricht. Allerdings wird bei Mailchimp die Software nicht auf den Servern des Kunden installiert – stattdessen werden die E-Mail-Adressen der Empfänger an die US-amerikanischen Server von Mailchimp gesendet und vor Ort verarbeitet. Aus datenschutzrechtlicher Sicht ist dies jedoch höchst problematisch und war letztendlich auch der Auslöser für das Verbot von Mailchimp durch das Bayerische Landesamt für Datenschutzaufsicht. Aus der Begründung dazu kann man ersehen, dass die Verwendung von Mailchimp zwar nicht direkt unzulässig sein muss, allerdings habe das betroffene Unternehmen nicht überprüft, ob für die Übermittlung von personenbezogenen Daten an Mailchimp noch „zusätzliche Maßnahmen“ (zum Schutz der Daten) im Sinne der EuGH-Entscheidung (vgl. EuGH, Urteil vom 16.7.2020, Az. C-311/18) notwendig seien.

Das EuGH-Urteil

In dem oben erwähnten Urteil hatte der EuGH das “EU-US-Privacy-Shield” im Juli 2020 für unwirksam erklärt. Auf diese Rechtsgrundlage können daher Datenübertragungen in die USA nicht mehr gestützt werden. Ein Großteil der US-Unternehmen, wie auch Mailchimp, berufen sich seitdem auf die sogenannten “Standardvertragsklauseln”. Der EuGH hat in seiner Begründung zwar bestätigt, dass die Standardvertragsklauseln weiterhin wirksam und als Rechtsgrundlage denkbar sind. Die Voraussetzung dafür sei jedoch, dass der US-Dienstleister durch zusätzliche Maßnahmen sicherstellt, dass die Daten auch und besonders vor dem Zugriff durch US-Sicherheitsbehörden geschützt werden. In der Praxis ist dies jedoch ein erheblicher Unsicherheitsfaktor für europäische Unternehmen, die Newsletter-Mailing betreiben. Einige US-Firmen verwenden seitdem europäische Serverstandorte oder eine verschlüsselte Datenübertragung. Die US-Firmen geben allerdings nur äußerst ungern Auskunft über die zusätzlichen Schutzmaßnahmen, sodass man kaum abschließend beurteilen kann, ob die Maßnahmen wirklich ausreichend sind.

Konsequenz: Dienstleister wechseln

Europäische Mailchimp-Nutzer sollten nun schnellstmöglich abklären, welche Daten an Mailchimp (oder andere US-Dienstleister) übermittelt werden. Sind es nur E-Mail-Adressen oder auch sensiblere Daten wie Namen, Geburtsdaten etc.? Werden die Tracking-Funktionen von Mailchimp genutzt? Werden zusätzlichen Maßnahmen zum Schutz der Daten bereitgestellt? Wie sieht es mit den Kosten für eine Umstellung auf einen EU-Dienstleister aus? Eine passende europäische Alternative zu Mailchimp & Co wäre z.B. der deutsche Anbieter Campaign.Plus (www.campaign.plus). Dieser auf E-Commerce und Einzelhandel spezialisierte Dienstleister bietet Hosting und Datenverarbeitung ausschließlich in Deutschland. Mit der bequemen “Easy-Move-Funktion” können die Daten aus einem Mailchimp-Account mit nur wenigen Klicks migriert werden – ein umständlicher Export und Import der Daten “per Hand” erübrigt sich. Bei diesem Newsletter-Tool wird somit völlige Rechtssicherheit ohne funktionelle Abstriche geboten.

Autor: Max Klinger, CEO campaign.plus