Viel Wirbel um Mailchimp und eine behördliche Entscheidung aus Bayern
Mailchimp gehört zu den beliebtesten Newsletter-Diensten in Deutschland. Vor allem kleinere Unternehmen nutzen Mailchimp gern, da es eine kostenlose Basisversion gibt. In den letzten Wochen wurde in der Presse der Eindruck erweckt, Mailchimp verstoße generell gegen europäisches Datenschutzrecht. Doch das ist nur ein Aspekt der Diskussion. Eine Nutzung des Dienstes führt aber nicht zwangsläufig in die Datenschutzfalle.
Das Problem ist ganz grundsätzlicher Natur (wir berichteten): Seit der Kippung des Privacy Shields im vergangenen Jahr ist die Datenschutz-Rechtslage nicht eindeutig geregelt. Es fehlt bislang ein rechtsgültiges Folge-Abkommen für den Datentransfer zwischen EU-Staaten und Drittländern. Damit ist jeder Datenaustausch, beispielsweise mit Unternehmen, die ihren Sitz in den USA haben, grundsätzlich problematisch. Der Grund hierfür liegt in der Datenpraxis, die in den USA rechtsgültig ist. Die erlaubt US-Geheimdiensten Einsicht auch in solche personenbezogene Daten zu nehmen, die in der EU penibel geschützt werden. So kam die Mailchimp-Diskussion auf. E-Mail-Adressen und Daten der Empfänger, die ein deutsches Unternehmen via Mailchimp verschickt, können so in den Besitz von US-Kontrollbehörden gelangen, ohne dass der EU-Bürger, der beispielsweise regelmäßig von Mailchimp verschickte Newsletter erhält, dieser Praxis widersprechen kann.
Verwirrende Darstellung einer Behördenentscheidung
Das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) hatte sich mit einer Beschwerde beschäftigt, die sich gegen einen Onlinehändler richtete. Bei der Prüfung des Falls ging es im Kern einmal mehr um die unzureichende Ersatzlösung des im Juli letzten Jahres gekippten Privacy Shields, die sogenannten „Standardvertragsklauseln“. Diese reichen nach Ansicht der Behörde nicht aus, um europäisches Datenschutzrecht auch beim Transfer über den Atlantik hinreichend zu gewährleisten. Nach Ansicht auch zahlreicher anderer Datenschutzexperten müssten die Standardvertragsklauseln zusätzlich mit individuellen Vereinbarungen des Mailchimp-Nutzers angereichert werden, um einen rechtssichere Datenschutz-Situation herzustellen. Da dies prinzipiell möglich ist, handelt es sich bei der Entscheidung der Behörde nicht um ein generelles Untersagen einer Zusammenarbeit mit Mailchimp, sondern sie bezieht sich auf den einen geprüften Fall. Darüber hinaus macht die Entscheidung klar, dass der Datenaustausch mit Unternehmen, die ihren Sitz in den USA haben, generell viel akribischer vorbereitet werden muss, als es sich durch die Standardvertragsklauseln darstellen lässt.
Was heißt das für Mailchimp-Nutzer konkret?
Wichtig ist sicherzustellen, dass der Entscheid des BayLAD keinen Urteilscharakter hat, sondern eine Untersagung im Einzelfall darstellt. Daher sind Mailchimp-Kunden nicht per se dazu verdonnert, die Zusammenarbeit zu beenden. Allerdings zeigt der Entscheid auf, dass Unternehmen, die mit Mailchimp zusammenarbeiten, eine sorgfältige Prüfung ihrer Vertragsgrundlagen vornehmen sollten. Denn, so zeigt der Fall ganz klar, sollte es zu Beschwerden, beispielsweise von Newsletter-Empfängern kommen, sind weitere Untersagungen auf keinen Fall auszuschließen.
Übrigens: Der Entscheid der bayrischen Behörde ging nicht mit einem Bußgeldbescheid einher. Das muss aber für die Zukunft nicht heißen, dass es grundsätzlich lediglich bei Untersagungen bleibt, wenn es zur behördlichen Überprüfung aufgrund von Beschwerden kommt. Die Krux dabei ist, dass die Prüfung und das Abschließen von zusätzlichen Sondervereinbarungen für ein kleineres oder mittleres Unternehmen kaum realistisch erscheint. Denn dies würde bedeuten, dass unter Umständen Sondervereinbarungen mit einzelnen US-Behörden nötig wären. Und es ist kaum vorstellbar, dass sich eine US-Behörde mit einem deutschen Onlineshop-Betreiber auf Sonderregelungen einlassen würde.
Auch an Anbieter wie Mailchimp ist dies nicht abzuwälzen, denn schließlich berufen sich die Newsletter-Experten auf Datenschutzkonformität gemäß US-Recht. Bisweilen raten Datenschützer aus unterschiedlichen Behörden dazu, bei Nutzung von Mailchimp eine sorgfältige Risikoabwägung vorzunehmen und diese belegen zu können. In den meisten Fällen wird diese Risikoabwägung dazu führen, dass individuelle Vereinbarungen geschlossen werden müssen, die weit über die Regelungen in den Standardvertragsklauseln hinausgehen müssen. Wenn Unternehmen dieser Aufwand zu hoch ist, so der Rat der Datenschützer, ist die pragmatischere Alternative die Zusammenarbeit mit einem Unternehmen, das seinen Sitz in der EU hat und auch dort seine Server betreibt.
Fazit
Der in zahlreichen Veröffentlichungen entstandene Eindruck, eine Zusammenarbeit mit Mailchimp sei grundsätzlich nicht mit europäischem Datenschutzrecht vereinbar, ist grundsätzlich falsch. Allerdings erfordert eine Nutzung des Newsletter-Dienstes eine ernsthafte Beschäftigung mit Datenschutzfragen.
Abonnieren Sie unseren kostenlosen Datenschutz-Fachinformationsdienst und bleiben Sie stets aktuell informiert:
- Datenschutz-Fokusthemen
- Veröffentlichungen der Behörden
- Relevante Gerichtsentscheidungen
Als Dankeschön für Ihre Anmeldung erhalten Sie eine Gratis-Mustervorlage für die Umsetzung eines Löschkonzepts.