Eine aktuelle Entscheidung der bayrischen Datenschutzbehörde sorgt dafür, dass der datenschutzkonforme Einsatz vieler US-Dienste überdacht werden muss. Datenschützer haben entschieden, dass die Nutzung des Newsletter-Anbieters Mailchimp nicht rechtmäßig ist. In diesem Beitrag erfahren Sie mehr über die Mailchimp & Co. Problematik.
Mailchimp-Beschwerde in Deutschland
Ein bayrisches Unternehmen nutzte für den Versand von Newslettern Mailchimp, einen beliebten amerikanischen Email-Marketing Dienst. Darüber hat sich ein Empfänger bei der Datenschutzbehörde beschwert. Die Behörde prüfte daraufhin, ob in diesem Fall der Einsatz von Mailchimp zulässig war. Das Ergebnis der Untersuchungen: Nein, die Verwendung entspricht nicht der DSGVO! Die Datenschützer kontaktierten das Unternehmen und wiesen darauf hin, dass Mailchimp nicht datenschutzkonform ist. Mailchimp bietet zwar EU-Standardvertragsklauseln für Kunden an, welche für die Übertragung der Mailadressen der Empfänger in die USA notwendig sind. Allerdings fehlte die zusätzlich notwendige Überprüfung durch das Unternehmen. Deshalb stellt sich weiterhin die Frage, ob für die Übermittlung an Mailchimp zu den EU-Standarddatenschutzklauseln noch „zusätzliche Maßnahmen“ erfolgt sind, damit diese auch tatsächlich rechtskonform gestaltet werden können. Daraufhin entschied sich das Unternehmen dafür, auf den Einsatz dieses US-Dienstes unmittelbar zu verzichten, um einer etwaigen Strafe zu entgehen.
Den genauen Ablauf des Datenschutzverfahrens können Sie hier nachlesen.
Mailchimp und die Datenspeicherung in den USA
Grundsätzlich wurde im Urteil bezüglich der Ungültigkeit des Privacy-Shields ein Datenaustausch mit den USA nicht verboten. Die USA sind zwar ein unsicherer Drittstaat, doch durch sogenannte Standardvertragsklauseln sowie zusätzliche Vereinbarungen weiterer Sicherheiten, ist eine Datenweitergabe und eine Speicherung in den USA jedoch weiterhin möglich. Zusätzliche Sicherheiten oder Garantien, dass zum Beispiel Geheimdienste nicht auf die Daten zugreifen können, werden von Mailchimp nicht angeboten. Wichtig ist jedoch, dass das Vorhandensein zusätzlicher Sicherheiten bei jedem einzelnen „Dienst“, den man in den USA zukauft, geprüft werden muss. Hierbei ist eine sogenannte „Case by Case“ Untersuchung erforderlich. Wie im obigen Beschwerdefall beschrieben, wurde diese „Case by Case“ Untersuchung vom Unternehmen verabsäumt.
Wenn Sie also kein rechtliches Risiko eingehen wollen, müssen Sie eine Case by Case Prüfung bei Mailchimp und anderen Tools von US-Anbietern vornehmen.
Bei folgenden US-Diensten bedarf es einer detaillierten Prüfung der angebotenen Sicherheiten
- HubSpot,
- Salesforce,
- WordPress,
- Sämtlichen Googlediensten,
- ActiveCampaign und vielen weiteren.
Unsere Praxistipps
- Versuchen Sie in erster Linie, geeignete Alternativanbieter möglichst innerhalb der EU zu suchen.
- Sollten Sie dennoch US-Dienste verwenden wollen, müssen Sie diese unbedingt bezüglich des Datenschutzes überprüfen. Lesen Sie sich dazu unseren Leitfaden durch.
- Kontaktieren Sie uns, wenn Sie Unterstützung bezüglich Alternativen oder Überprüfungen benötigen. Wir stehen Ihnen wie immer sehr gerne zur Seite.
- Lesen Sie außerdem unseren vorherigen Beitrag zum Kippen Privacy Shields, um noch besser über das gesamte Thema informiert zu sein.