Dringender Handlungsbedarf beim Einsatz von Mailchimp
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat einem in München ansässigen Unternehmen untersagt, für den Versand von Newslettern den US-amerikanischen Dienstleister „Mailchimp“ zu nutzen. Dem Verbot vorausgegangen war eine Beschwerde durch einen Newsletter-Empfänger. Die Entscheidung hat für Unternehmen, welche Mailchimp oder einen anderen US-Mailingdienst nutzen, weitreichende Folgen.
Mailchimp gehört zu den populärsten Anbietern von Newsletter-Diensten, da die Software eine einfache Bedienung, sowie ein umfangreiches Funktionsspektrum verspricht. Es handelt sich bei Mailchimp um eine Software-as-a-Service-Lösung (SaaS), sodass die Software nicht auf den Servern nutzenden Unternehmens installiert wird. Die E-Mail-Adressen der Empfänger werden stattdessen auf die US-amerikanischen Server von Mailchimp übermittelt und dort verarbeitet.
Dies ist aus datenschutzrechtlicher Sicht problematisch und war letztlich Grund für die Verbotsverfügung des BayLDA (die Mitteilung an den Beschwerdeführer ist hier abrufbar). Aus den Ausführungen des BayLDA lässt sich schließen, dass die Nutzung von Mailchimp zwar nicht per se unzulässig sein muss, allerdings habe das betroffene Unternehmen nicht geprüft, ob für die Übermittlung von personenbezogenen Daten an Mailchimp noch „zusätzliche Maßnahmen“ im Sinne der EuGH-Entscheidung „Schrems II“ notwendig seien (vgl. EuGH, Urteil vom 16.7.2020, Az. C-311/18).
Hintergrund: In dem genannten Urteil hatte der EuGH das sogenannte EU-US-Privacy-Shield für unwirksam erklärt. Datenübermittlungen in die USA konnten daher nicht mehr auf diese Rechtsgrundlage gestützt werden. Viele US-Unternehmen, wie auch Mailchimp, stützen die Datenübertragung seitdem auf sogenannte Standardvertragsklauseln, die im Falle von Mailchimp hier abgerufen werden können. Der EuGH hat in seiner Entscheidung zwar ausgeführt, dass die Standardvertragsklauseln weiterhin wirksam und als Rechtsgrundlage denkbar sind. Voraussetzung sei jedoch, dass der US-Dienstleister durch zusätzliche Maßnahmen sicherstellt, dass die Daten – insbesondere vor Zugriff durch US-Sicherheitsbehörden – geschützt werden.
In der Praxis stellt dies eine erhebliche Unsicherheit für das europäische, “datenexportierende” Unternehmen dar. Einige – bei weitem jedoch nicht alle – US-Dienstleister setzen seitdem beispielsweise auf Serverstandorte in Europa oder eine ausschließlich verschlüsselte Übertragung. Über zusätzliche Schutzmaßnahmen geben die Unternehmen nur ungern Auskunft, sodass kaum abschließend zu beurteilen ist, ob die Maßnahmen geeignet und ausreichend sind.
Europäische Unternehmen, die für den Versand ihres Newsletters Mailchimp oder einen anderen US-Dienstleister nutzen, sollten zunächst insbesondere folgende Fragen klären.
- Welche Daten werden an Mailchimp bzw. den anderen Dienstleister übermittelt? (Nur E-Mail-Adresse oder ggf. auch weitere Daten wie Namen, Geburtsdaten o.ä.?)
- Werden Tracking-Funktionen von Mailchimp genutzt?
- Welche zusätzlichen Maßnahmen stellt der Dienstleister zum Schutz der Daten bereit?
- Welche EU-Alternativen zu Mailchimp kämen für das Unternehmen in Frage? Haben diese funktionelle Nachteile im Vergleich zu Mailchimp?
- Mit welchen Kosten und welchem Aufwand wäre zu rechnen, wenn eine Umstellung der Newsletter auf EU-Dienstleister erforderlich wäre? (z.B. technische Anbindung, Änderung von Schnittstellen, Schulung von Mitarbeitern etc.)
Ob Handlungsbedarf besteht und gegebenenfalls sogar der Newsletter-Dienst gewechselt werden muss, sollte in Abstimmung mit einem auf Datenschutzrecht spezialisierten Rechtsanwalt oder dem betrieblichen Datenschutzbeauftragten geklärt werden.