Laut neuester Entscheidung der bayerischen Datenschutzbehörden: Die Nutzung des Newsletter-Anbieters Mailchimp sind grundsätzlich ohne besondere Zwischenschritte nicht mehr erlaubt. Um welche Prüfung es sich handelt und wie diese aussehen kann, wird im Folgenden erläutert.
Zu beachten ist: dies trifft grundsätzlich nicht nur den Newsletter-Dienst Mailchimp, sondern alle Tools von US-Anbietern.
Was ist Mailchimp ?
Der US-Anbieter Mailchimp wird von Unternehmen verwendet, um Newsletter zu versenden. Jedoch wurde jetzt von der bayerischen Datenschutzbehörde (BayLDA) festgestellt, dass die Verwendung von Mailchimp in den meisten Fällen nicht datenschutzkonform ist und den Vorgaben der DSGVO widerspricht.
Wieso und wann verstößt Mailchimp gegen die DSGVO?
Der Verstoß gegen die DSGVO basiert wie in den meisten Fällen hinsichtlich eines Datenaustauschs zwischen der EU und den USA auf dem Schrems-II-Urteil, der Abschaffung des Privacy Shield. Nach diesem ist die Übermittlung personenbezogener Daten in die USA grundsätzlich nicht mehr genehmigungsfrei und jede Übertragung bedarf einer Rechtsgrundlage. Eine solche Grundlage wird auch durch die EU-Standardvertragsklauseln in den meisten Fällen gewährt. Jetzt kommt wieder einmal das Schrems-II-Urteil ins Spiel, denn laut Rechtsprechung des EuGH sind nach der Abschaffung des Privacy Shield solche Vertragsklauseln nicht mehr ausreichend. Da Mailchimp ein Anbieter aus den USA ist, muss vor einer künftigen Datenübertragung in die USA über die EU-Standardvertragsklauseln hinaus eine Prüfung erfolgen, ob zusätzliche Maßnahmen ebenfalls erfolgt sind. Sollte dies nicht passiert sein, stellt die Verwendung von Mailchimp ein Verstoß gegen die DSGVO dar (Koreng/Lachenmann DatenschutzR-FormHdB, F. I. 4., beck-online).
Grundsätzlich ist es nicht verboten Mailchimp zu nutzen. Das bloße Verwenden stellt kein unmittelbares Verbot dar. Lediglich sollte man vorsichtig sein und eben eine solche Prüfung der „zusätzlichen Maßnahmen“ vornehmen.
Es ist demnach sehr empfehlenswert eine solche Prüfung anzugehen, um rechtlichen Verstößen vorzubeugen. Betroffen davon sind nicht nur Mailchimp, sondern alle anderen Tools von US-Anbietern ebenso. Eine Prüfung bei anderen amerikanischen Tools sollte dahingehend also auch erfolgen. Sollten Sie kein etwaiges Risiko eingehen wollen, ist es ratsam einen europäischen E-Mail-Anbieter zu nutzen.
Diese Prüfung könnte wie folgt aussehen:
1) “Gibt es rechtssichere Alternativen zu Mailchimp?”
2) “Wenn ja, warum können diese nicht eingesetzt werden?”
3) “Welche Nutzerdaten sind betroffen, wie „heikel“ sind diese Daten?”
4) “Prüfen, wie Mailchimp diese Nutzerdaten – abgesehen von den EU-Standardvertragsklauseln – tatsächlich schützt”
Folglich lässt sich zusammenfassend sagen, dass die Verwendung von dem Newsletter „Mailchimp“ sowie auch etwaige anderer Tools von US-Anbietern ohne Weiteres so nicht mehr datenschutzkonform ist und Verstöße mit sich ziehen könnte. Unternehmen, die Mailchimp oder andere von amerikanischen Anbietern erstellte Tools weiterhin benutzen möchten, sollten dringend die oben genannten Schritte sicherheitshalber beachten. Bei einer erfolgreichen Prüfung sollte dann erstmal abgewartet werden, ob es überhaupt zu „weiteren Datenschutz – Verfahren“ kommen wird. Wer ganz auf der sicheren Seite sein möchte, sollte generell einfach auf europäische Anbieter zurückgreifen.
