Mailchimp ist für E-Mail-Marketing und Newsletter-Versand in Deutschland äußerst beliebt. Doch auch der US-amerikanische Dienst ist von der europäischen Datenschutz-Grundverordnung betroffen. Wir klären, worauf Unternehmen achten müssen, die Mailchimp nutzen wollen.
Als kostengünstiges Marketing-Tool erfreut sich Mailchimp in Deutschland großer Beliebtheit. Doch wie auch WhatsApp, LinkedIn und zahlreiche weitere Unternehmen sieht sich Mailchimp mit der europäischen Datenschutz-Grundverordnung (DSGVO) konfrontiert.
Wir haben mit Kathrin Schürmann über bevorstehende Änderungen und Voraussetzungen zur Nutzung des E-Mail-Dienstes gesprochen. Sie ist Rechtsanwältin mit Schwerpunkt IT- und Datenschutzrecht bei der Kanzlei „Schürmann Rosenthal Dreyer„.
Neue Stellenangebote
Mitarbeiter*in (m/w/d) für Social Media, Öffentlichkeitsarbeit und Städtepartnerschaft (m/w/d) meinestadt.de in Sachsenheim |
||
Content Creator / Social Media / Marketing (m/w/d) Delitzscher Schokoladenfabrik GmbH in Delitzsch |
||
Content Creator / Social Media / Marketing (m/w/d) Halloren Schokoladenfabrik AG in Delitzsch |
BASIC thinking: Kathrin, am 25. Mai 2018 wird die europäische Datenschutz-Grundverordnung wirksam. Besonders davon betroffen ist auch der US-amerikanische E-Mail-Dienst Mailchimp. Warum ist das so?
Kathrin Schürmann: Der zweite Teil der Frage reißt das Problem schon an: Mailchimp ist ein US-amerikanisches Unternehmen und hat bei der Ausgestaltung seines Newsletter-Dienstes zunächst die Vorgaben der DSGVO nicht beachtet.
Offenbar lassen sich also einige Prozesse aus den Richtlinien der DSGVO nicht mit Mailchimp umsetzen. Worum geht es dabei zum Beispiel?
Mailchimp wird von Unternehmen häufig als sogenannter Software-as-a-Service-Dienst im Rahmen von Newsletter-Versand und -verwaltung genutzt. Der Newsletter-Versand stellt für die Mailchimp nutzenden Unternehmen grundsätzlich Direktwerbung dar.
Das heißt durch den Newsletter-Versand und die Verwaltung der Newsletter-Anmeldungen (Daten der Abonnenten) auf der Mailchimp-Plattform erfolgt eine so genannte „Verarbeitung von personenbezogenen Daten“, weil etwa die E-Mail-Adresse und unter Umständen auch die IP-Adresse von Nutzern gespeichert wird.
Hierfür ist nach der DSGVO grundsätzlich eine gesetzliche Erlaubnis, beispielsweise in Form einer Einwilligung erforderlich. In Deutschland gilt zudem das Wettbewerbsrecht, welches für den Newsletter-Versand eine explizite Einwilligung fordert, wenn es sich nicht um sogenannte Bestandskundenwerbung handelt.
Diese muss zwar grundsätzlich gegenüber dem Unternehmen erteilt werden, das Mailchimp beauftragt. Allerdings ist Unternehmen wenig geholfen, wenn zwar der Versand über Mailchimp erfolgt, die Einwilligung aber nicht wirksam oder zumindest nicht ausreichend nachweisbar erteilt wird.
Wie hat Mailchimp darauf reagiert?
Deshalb hat Mailchimp eine Möglichkeit geschaffen, um die Einwilligung gegenüber dem Unternehmen bei Mailchimp zu erteilen. Dafür wurde innerhalb Deutschlands das sogenannte Double-Opt-In-Verfahren genutzt.
Allerdings erwog Mailchimp, lediglich die Eintragung mittels der E-Mail-Adresse genügen zu lassen (Single-Opt-In) und dies per default in sämtlichen Kundenkonten einzustellen und im Weiteren das Double-Opt-In lediglich als weitere Option anzubieten.
Das reicht folglich nicht.
Genau. Erforderlich ist daher nicht nur nach der wettbewerbsrechtlichen Rechtsprechung, sondern auch nach der DSGVO das sogenannte Double-Opt-In-Verfahren mit Zeitstempeln.
Der Nutzer erhält nach Eintrag in die Newsletter-Liste eine Bestätigungs-E-Mail, die er anklicken muss, um so seine E-Mail-Adresse zu validieren. Dieser Vorgang wird mittels Zeitstempel notiert. Der Nachweis der Einwilligung gelingt leicht.
Mittlerweile hat Mailchimp allerdings sein Registrierungsverfahren in Reaktion auf die DSGVO derart umgestellt, dass Double-Opt-In zur technischen Voreinstellung wird. Damit werden die Anforderungen der DSGVO an „privacy by design/default“ und die Nachweispflichten erfüllt.
Zudem veröffentliche Mailchimp ein Statement, in dem es seine Bemühungen um die Umsetzung der DSGVO-Vorgaben zusagt und seinen Kunden entsprechende Hilfestellung anbietet.
Heißt das, dass Mailchimp nun doch DSGVO-konform ist?
Es ist fraglich, ob der Umgang mit Nutzerdaten und die Prozesse um die technischen Voreinstellungen um das Double-Opt-In den Anforderungen der DSGVO an Transparenz und Information entsprechen.
So rät Mailchimp seinen Kunden auf seiner Website: „For additional evidence of consent, you may choose to turn on double opt-in.“ Dies legt nahe, dass das Double-Opt-In nur eine Option ist. Es wird nicht deutlich, dass es sich um eine Pflicht handelt. Verantwortlich ist und bleibt aber das newsletterversendende Unternehmen, nicht Mailchimp.
So haben Unternehmen aber die Möglichkeit, eine rechtssichere Option zu wählen. Transparenz und Information sind wesentliche Elemente der DSGVO, Verstöße daher bußgeldbewehrt.
Unternehmen können mit Dienstleistern sogenannte Auftragsdatenverarbeitungsverträge (AV) abschließen. Was ist das?
Die EU-DSGVO erlaubt es grundsätzlich für die Wahrnehmung bestimmter Aufgaben, sogenannte Auftragsverarbeiter einzusetzen. Zusammengefasst heißt dies, dass etwa Mailchimp die Aufgabe des E-Mail-Marketings in Form des Newsletter-Versands für ein Unternehmen übernimmt.
Hierbei handelt es sich um eine klassische Auftragsverarbeitungskonstellation. Unternehmen sind verpflichtet, entsprechende Auftragsverarbeitungsverträge abzuschließen.
Warum reicht das im Fall von Mailchimp nicht aus?
Als Auftragsverarbeiter ist Mailchimp den Weisungen des werbenden Unternehmens unterworfen. Grundsätzlich haften Auftragsverarbeiter und Unternehmen gemeinsam für Verstöße gegen die DSGVO.
Verstöße des Auftragsverarbeiters können nur seine „Auftragsverarbeiter-spezifischen“ Pflichten betreffen. Sowohl Auftragsverarbeiter als auch Unternehmen haben die Möglichkeit sich zu exkulpieren, also zu belegen, dass sie ihren Pflichten nachgekommen sind.
Dieser Nachweis gelingt Mailchimp nicht, wenn es weiterhin gegen das Transparenz- und Informationsgebot verstößt, in dem es in der Zusammenarbeit mit Unternehmen das Double-Opt-In-Verfahren weiterhin nur als optional beschreibt.
Darüber hinaus ist Mailchimp ein Anbieter aus den USA. Daher sind europäische Unternehmen zusätzlich verpflichtet, sicherzustellen, dass ein sogenanntes „angemessenes Datenschutzniveau“ bei einer Datenübermittlung außerhalb Europas gewährleistet ist.
Im Fall der USA kann dies entweder mit den Abschluss der sogenannten EU-Standardvertragsklauseln geschehen oder durch Abschluss eines Auftragsverarbeitungsvertrags unter Einbeziehung des sogenannten Privacy Shields. Zu beachten ist aber hierbei, dass beide Rechtsinstitute stark in der Kritik stehen.
Die deutschen Konkurrenten von Mailchimp haben auf die möglicherweise entstehenden Probleme durch die DSGVO reagiert. Muss ich tatsächlich von Mailchimp zu einem deutschen Anbieter wechseln, um DSGVO-konform zu arbeiten?
Nein, dazu besteht keine Pflicht. Bei der Ausgestaltung der Auftragsverarbeiter-Verträge mit Mailchimp ist darauf zu achten, dass sich Mailchimp zur Einhaltung der DSGVO verpflichtet.
Mailchimp ist außerdem Teil des EU-US-Privacy Shield und hat sich daher allgemein dazu verpflichtet bei Datentransfers zwischen der EU und den USA die Standards der DSGVO zu berücksichtigen.
Was ist dein Ratschlag zum Umgang mit E-Mail-Marketing Anbietern?
Die DSGVO enthält einige wesentliche Neuerungen im Vergleich zur bisherigen Rechtslage. Insbesondere sind dabei Transparenz- und Informationsvorschriften, aber auch Beweislastregeln zu nennen.
Wird beim E-Mail-Marketing ein externer Anbieter als Auftragsverarbeiter herangezogen, ist bei der Ausgestaltung der Weisungen auf die Einhaltung dieser Vorgaben einzugehen. Darüber hinaus ist Unternehmen zu raten, dass erteilte Einwilligungen über Mailchimp dokumentiert werden können.
Macht ein Kunde von seinem Recht auf Vergessenwerden Gebrauch, sollte die Möglichkeit bestehen, Mailchimp zur Löschung der Daten anzuweisen.
Allgemein muss die Umsetzung aller Betroffenenrechte (zum Beispiel auf Widerspruch und Datenübertragbarkeit) auch über Mailchimp gewährleistet werden. In diesem Fall ist gewährleistet, dass auch die Beauftragung von Mailchimp keine Verstöße gegen die DSGVO nach sich zieht.
Vielen Dank für das Gespräch!