Die Auslagerung etwaiger E-Marketing Services, die Nutzung transnationaler cloudbasierter Technologien und der Versand von Newslettern im Bereich des Marketings sind nicht mehr wegzudenken.
Dem Bayerischen Ladensamt für Datenschutz lag eine Beschwerde vor, in der ein Kunde eines Unternehmens, welches den amerikanischen Newsletter-Management- Service Mailchimp nutzt, den Transfer seiner personenbezogenen Daten in die USA meldete. Zwar wird Mailchimp von Start-Ups und großen Unternehmen gleichermaßen genutzt und erfreut sich großer Beliebtheit. Allerdings steckt hinter dem praktischen Tool ein US-Unternehmen, welches die Einhaltung der DSGVO-Bestimmungen für deutsche Unternehmen erschwert.
Da viele europäische Unternehmen mit Mailchimp kooperieren, stellt sich die Frage, ob eine Zusammenarbeit überhaupt DSGVO-konform ist.
Das Wichtigste in Kürze:
- Mailchimp ist ein US-Anbieter für E-Mail-Marketing Services und Marketing-Automatisierungsplattformen mit 60% Markanteil.
- Das Bayerische Landesamt für Datenschutz (BayLADa) ermittelte gegen ein Unternehmen, das Mailchimp für seine Newsletter nutzte und E-Mail-Adressen von Abonnenten in die USA weiterleitete.
- Der Einsatz von Mailchimp und die damit verbundene Weiterleitung personenbezogener Daten in die USA wurden im konkreten Fall als unzulässig eingestuft.
- Grund war die fehlende Überprüfung „zusätzlicher datenschutzkonformer Maßnahmen“ nach Vorgabe der EU-Standartvertragsklauseln und des EuGH-Urteils „Schrems-II“ durch das Unternehmen bei der Verwendung von Mailchimp.
Hintergrund datenschutzrechtlicher Bedenken von Mailchimp
Mailchimp ist ein Tool für das Newsletter-Management mit Sitz in Atlanta in den USA. Damit können Unternehmen ihre Mailings erstellen, verwalten und versenden. Trotz vielzähliger Vorteile, wie die Vielfalt zur Verfügung stehender Templates für Newsletter, die intuitive und einfache Handhabe der Plattform, der Reichweite der E-Mails an Empfänger und der Einbettung in dynamischen Content, tauchten vermehrt Ungereimtheiten und Schwachstellen hinsichtlich des Datenschutzniveaus auf.
Unternehmen müssen für die Nutzung von Mailchimp notwendigerweise personenbezogenes Datenmaterial, wie Mail-Adressen ihrer Kunden, aus den Händen geben. Bei Mailchimp handelt es sich um eine Software-as-a-Service-Lösung, sodass die Software nicht auf den Servern des nutzenden Unternehmens installiert wird.
Die E-Mail-Adressen der Empfänger werden stattdessen an US-amerikanischen Servern von Mailchimp übermittelt und dort verarbeitet.
Datenübermittlung in die USA als „unsicheres Drittland“
Es stellt sich in diesem Zuge die Frage, in welchem Umfang die Datenübermittlung an sog. Newsletter-Provider, wie Mailchimp, zulässig ist.
Lange Zeit regelte dies, in Bezug auf Übermittlungen in die USA, der sog. „Privacy Shield“. Hierdurch wurde eine Datentransferierung in die USA mit zertifizierten, bei dem US-Handelsministerium gemeldeten Unternehmen rechtlich untermauert.
Der EuGH kippte den Privacy Shield durch das „Schrems-II“ Urteil.
Kernaussage des Urteils ist die Anwendbarkeit der Datenschutz-Grundverordnung auf die Übermittlung personenbezogener Daten in ein Drittland auch in solchen Fällen, in denen es aus Gründen der nationalen Sicherheit oder Verteidigung zu einem Zugriff durch Geheimdienste dieses Landes kommt.
Die Gerichte begründen ihre Entscheidung damit, dass der Privacy-Shield nicht vor Zugriffen der US-Geheimdienste schütze und aufgrund der Rechtslage in den USA kein angemessenes Datenschutzniveau sichergestellt werden könne. Dies bekräftigt u.a Section 702 des FISA, die keine Beschränkung der Überwachungsmaßnahmen der Geheimdienste und keine Garantien für Nicht-US-Bürger vorsieht.
Mailchimp fiel vormalig ebenfalls unter den Privacy Shield. Allerdings erfolgte keine Sicherstellung der Einhaltung von Richtlinien durch eine offizielle Institution, wodurch dessen Wirkungsweise auf Kritik stieß. Konnte der Datenschutz durch Mailchimp bis zu Schrems-II als unzureichend qualifiziert werden, verbesserte sich die Situation durch das Urteil nicht.
Anforderungen an die Datenübermittlung in ein Drittland
Für die Datenübermittlung in ein Drittland muss, neben den EU-Standardvertragsklauseln, sichergestellt sein, dass ein Gleichlauf des Schutzniveaus personenbezogener Daten mit demjenigen in der EU besteht.
Dies ist im Lichte der EU-Grundrechte-Charta und im Hinblick auf Art. 46 I DSGVO auszulegen, nämlich geeignete Garantien vom Verantwortlichen, durchsetzbare Rechte und wirksame Rechtsbehelfe für die betroffenen Personen einzuräumen. Hier sind nicht nur vertragliche Beziehungen zwischen Datenexporteur und Importeur relevant, sondern auch die Zugriffsmöglichkeit durch Behörden des Drittlandes.
Ohne „zusätzliche Maßnahmen“ der Vertragspartner würden die Standardklauseln keinen angemessenen Schutz bieten, sind Behörden des Drittlandes, in dem sie nach Recht des Drittlandes befugt sind, in die Rechte der betroffenen Person einzugreifen, nicht an die Standardklauseln gebunden.
Bei der Verwendung von Mailchimp als US-amerikanisches Unternehmen fehlte vorliegend also die notwendige Prüfung, ob zu den EU-Standarddatenschutzklauseln, die Mailchimp anbietet, „zusätzliche Maßnahmen“ im Sinne der Art. 44 ff. DSGVO erfolgt sind, um eine datenschutzkonforme, an einheitlich europäischen Maßstäben orientierte Verarbeitung zu gewährleisten.
Ist ein solches angemessenes Schutzniveau nicht sichergestellt, muss die Aufsichtsbehörde für den Datenschutz die Datenübermittlung aussetzen oder verbieten, sofern der Schutz nicht durch andere Maßnahmen hergestellt ist.
Damit entschied die Aufsichtsbehörde jedenfalls nicht, dass der Einsatz von Mailchimp generell als unzulässig zu bewerten ist.
Zulässigkeitsprüfung für Mailchimp
Wie eine Zulässigkeitsprüfung des Einsatzes von Mailchimp als US-Dienst letztlich aussehen könnte, veröffentlichte die Aufsichtsbehörde Baden-Württemberg jüngst in einer Orientierungshilfe:
- Erwägung einer Alternative
Hier erfolgt eine Prüfung, ob es etwaige Alternativangebote von Dienstleistern gibt, die ihren Sitz nicht in unsicheren Drittländern, wie den USA haben. Überdies findet eine Interessenabwägung statt, die z.B. Risiken und finanzielle Aufwände der Umstellung und die Einarbeitung des Teams etc. berücksichtigt.
- Bewertung des Gefährdungsgrades für die Abonnenten
Der Gefährdungsgrad wird dadurch bestimmt, welche potentiellen Folgen mit welcher Wahrscheinlichkeit für die Abonnenten drohen im Falle des Eingriffs eines US-Geheimdienstes. Die Brisanz des Newsletters aus US-amerikanischer Perspektive ist hier ein Parameter (Newsletter kontrovers politischer Natur).
- Sicherung des Datenschutzniveaus
Der Anspruch des Datenschutzniveaus hängt von dem besagten Gefährdungsgrad der Abonnenten ab und den Vorgaben der einheitlich europäischen Datenschutzmaxime.
Schlussendlich ist festzuhalten, dass die zusätzlichen Maßnahmen umso strenger ausfallen müssen, je sensibler die Daten sind.
Ausblick
Ein generelles Verbot von Mailchimp steht also nicht im Raume. Lediglich die unterlassene Prüfung in Hinblick auf zusätzliche Maßnahmen zur Absicherung des fehlenden, ebenbürtigen Datenschutzniveaus in der USA sind hingegen in das Zentrum datenschutzrechtlicher Besorgnis gerückt.
Da viele Unternehmungen Mailchimp aktuell nutzen, sollten folgende Fragen geklärt werden: Welche Daten werden an Mailchimp übermittelt? Werden Tracking-Funktionen genutzt? Welche zusätzlichen Maßnahmen stellt Mailchimp zum Datenschutz bereit? Mit welchem Aufwand und welchen Kosten wäre zu rechnen, wenn eine Umstellung der Newsletter auf EU-Dienstleister erforderlich wäre?
Generell ist es geboten, vor der Weitergabe von personenbezogenen Daten, eine Bestandsaufnahme zu machen, in welchen Fällen Ihr Unternehmen personenbezogene Daten in Drittländer exportiert, sich mit dem Vertragspartner im Drittland in Verbindung zu setzen und sich über die Rechtslage im Drittland zu informieren.
Überdies ist zu hinterfragen, ob es für das Drittland einen Angemessenheitsbeschluss (Art. 45 DSGVO) gibt und ob die von der Kommission beschlossenen Standardvertragsklauseln nutzbar sind.
