Newsletter-Software aus den USA ist in Deutschland bei Unternehmen und Marketing-Verantwortlichen sehr beliebt. Doch ist der Einsatz von Mailchimp und Co. durch den Datenschutz überhaupt gedeckt? Wir ordnen die aktuelle Rechtslage ein.
Darf man US-amerikanische Newsletter-Software, wie etwa Mailchimp, nur mit ausdrücklicher Zustimmung der Abonnenten verwenden? Oder ist der Einsatz von solchen Anbietern aus den USA gar komplett unzulässig?
Diese Fragen stellten sich viele, nachdem Ende März 2021 zunächst Der Standard über eine Entscheidung des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) berichtete.
Die gute Nachricht vorab: Nein, Mailchimp und ähnliche Anbieter sind datenschutzrechtlich nicht per se verboten. Unternehmen, die solche Angebote nutzen, sind aber zum Handeln aufgefordert.
Was ist passiert?
Der Standard berichtet über ein „Urteil“ aus Deutschland. In Wirklichkeit war es kein Urteil eines Gerichts. Vielmehr war es die Entscheidung des BayLDA in einem Beschwerdeverfahren einer betroffenen Person.
In dem Fall hat ein Unternehmen die Newsletter-Software von Mailchimp genutzt. Da bei diesem Einsatz auch personenbezogene Daten und insbesondere E-Mail-Adressen in die USA übertragen werden, hatte sich wohl ein Abonnent des Newsletters bei der Aufsichtsbehörde beschwert.
Hintergrund der Beschwerde dürfte unter anderem auch das Urteil des EuGH aus Juli 2020 (Schrems II, C-311/18) sein. In diesem Urteil erklärte der Europäische Gerichtshof (EuGH) den damals noch geltenden Angemessenheitsbeschluss (das EU-US Privacy Shield) für Datentransfers aus Europa in die USA für ungültig.
Das BayLDA musste dieser Beschwerde nachgehen. Deshalb richtete es Fragen zum Einsatz des Dienstleisters und zu den Datenübermittlungen in die USA an das Unternehmen.
Rechtlicher Hintergrund
Nach dem Urteil des EuGH ist klar, dass Unternehmen, wenn sie Daten in die USA übermitteln möchten, andere Instrumente aus der Datenschutz-Grundverordnung (DSGVO) nutzen müssen, um diese Transfers zu legitimieren.
In der Praxis kommen dabei wohl am meisten die sogenannten EU-Standardvertragsklauseln zum Einsatz. Diese kommen direkt von der EU-Kommission und liegen in drei verschiedenen Varianten vor.
Nach dem EuGH-Urteil ist für Unternehmen jedoch zu beachten, dass vor allem, wenn sie US-Dienstleister einsetzen, in den USA die Verwendung der EU-Standardvertragsklauseln allein nicht mehr ausreicht.
Sowohl der EuGH als auch diesem folgend die Datenschutzbehörden verlangen, dass Unternehmen vor dem Beginn solcher Datentransfers eine Prüfung ihres Schutzniveaus in den USA bei dem geplanten Empfänger vornehmen.
Eine solche Prüfung muss intern bei dem Unternehmen mit Unterstützung des Datenempfängers, also des Dienstleisters, erfolgen. Ziel dieser zu dokumentierenden Prüfung muss es sein, den Nachweis erbringen zu können, dass die zu übermittelnden Daten bei dem Empfänger gegen unzulässige Zugriffe (insbesondere durch Behörden) bestmöglich geschützt sind.
Empfehlungen für Datenschutz-konforme Newsletter-Software
Hilfreich können hierbei die Empfehlungen des Europäischen Datenschutzausschusses (EDSA) zu zusätzlichen Schutzmaßnahmen sein. Der EDSA empfiehlt unter anderem:
- Datenexporteure aus Europa müssen ihre Datenübermittlungen kennen, also wissen, welche Daten an welchen Dienstleister übermittelt werden.
- Auswahl des richtigen rechtlichen Übermittlungsinstruments nach der DSGVO (zum Beispiel die EU-Standardvertragsklauseln).
- Beurteilung der Rechtslage im Drittland. Hierbei ist, mit Unterstützung des Datenempfängers, zu prüfen, ob das Recht des Drittlands eventuell die Einhaltung der EU-Standardvertragsklauseln für das empfangende Unternehmen erschwert oder unmöglich macht.
- Auswahl und Anwendung von zusätzlichen Schutzmaßnahmen, die erforderlich sind, um ein angemessenes Schutzniveau für die übermittelten Daten zu erzielen. Solche Maßnahmen können vertraglicher Art (zum Beispiel zusätzliche Klauseln) oder technischer Art (zum Beispiel Verschlüsselung, Zugriffslogging) sein.
Entscheidung zu Newsletter-Software aus den USA
Das BayLDA entschied in dem konkreten Fall zwar, dass der Einsatz von Mailchimp und der damit verbundene Datentransfer unzulässig waren. Jedoch nicht, weil etwa eine Einwilligung gefehlt hat.
Das BayLDA begründet seine Entscheidung damit, dass das Unternehmen vor dem Einsatz von Mailchimp nicht geprüft und dokumentiert hat, ob zusätzlich zu dem Abschluss der EU-Standardvertragsklauseln noch weitere Schutzmaßnahmen umgesetzt und vereinbart werden mussten.
Die Behörde bemängelt also, dass das Unternehmen die oben beschriebene Vorabprüfung nicht durchgeführt hat. Eine kurze Zusammenfassung der Begründung findet sich auf der Webseite des EDSA.
Für Unternehmen, die Mailchimp aber auch allgemein Dienstleister aus Drittländern wie den USA einsetzen, bedeutet dies, dass in jedem Fall intern eine dokumentierte Prüfung des Schutzniveaus für zu übermittelnde Daten anhand der Vorgaben des EDSA durchgeführt werden sollte.
Allein das Fehlen einer solchen Prüfung und der Dokumentation kann nach Ansicht des BayLDA bereits zur Unzulässigkeit von Datenübermittlungen in Drittländer führen.
Auch interessant: