E-Mail-Marketing nach dem Privacy-Shield-Urteil

1. Einleitung

Eine der in rechtlicher Hinsicht zentralen Herausforderung jeder serösen E-Mail-Marketing-Kampagne ist die Einhaltung der datenschutzrechtlichen Rahmenbindungen. Jede E-Mail-Adresse und (wie der EuGH bereits entschieden hat) auch jede IP-Adresse ist grundsätzlich als personenbezogenes Datum zu behandeln und darf nur entsprechend der Vorgaben der Datenschutzgrundverordnung (DSGVO) verarbeitet werden.

In der Praxis kommt oft eine ganze Reihe von Akteuren mit personenbezogenen Daten der E-Mail-Empfänger in Berührung: von dem Unternehmen, in dessen Interesse und Auftrag Newsletter versendet werden (in aller Regel auch die „Verantwortliche Person“ im Sinne der datenschutzrechtlichen Regelungen) über eine die Kampagne planende Agentur bis zum eigentlichen Versender (dem sog. ESP) und dessen Subunternehmern.

Schon wenn die gesamte Auftragsabwicklung innerhalb der EU stattfindet, sind die rechtlichen Anforderungen alles andere als trivial: der Versender muss über eine den aktuellen Anforderungen der Rechtsprechung genügende Einwilligung des Empfängers (permission) verfügen, er muss bei Erhebung und Verarbeitung der Daten die Anforderungen der Datenschutzgrundverordnung (DSGVO) an Datensparsamkeit, Transparenz, Löschung etc. beachten und mit jedem seiner Subunternehmer eine den Anforderungen der DSGVO entsprechende Auftragsverarbeitungs-Vereinbarung (AVV)abschließen.

Richtig kompliziert wird die Rechtslage indessen, wenn personenbezogene Daten an Empfänger außerhalb der EU übermittelt werden. Die DSGVO lässt dies grundsätzlich nur unter bestimmten, eng definierten Voraussetzungen zu, durch die sichergestellt werden soll, dass die Daten auch außerhalb der EU durch ein den europäischen Anforderungen vergleichbares Datenschutzniveau geschützt werden.

Bisher findet die Übermittlung personenbezogener Daten in die USA fast ausschließlich auf der Grundlage von zwei durch die DSGVO anerkannten Instrumenten statt:

• die vertragliche Bindung des US-Unternehmens durch von der EU anerkannte Muster-Datenschutzklauseln (sog. Standard-Datenschutzklauseln, kurz SDK) und
• die Übermittlung an Unternehmen, die sich (ebenfalls vertraglich) zur Teilnahme an einem zwischen der EU und den USA ausgehandelten Datenschutz-System (dem sog. privacy shield) verpflichtet haben.

2. Das Privacy-Shield-Abkommen

Das Privacy-Shield-Abkommen stellt im Wesentlichen ein privates, im Jahr 2016 von der EU-Kommission anerkanntes Datenschutz-Regelwerk dar, dem jedes amerikanische Unternehmen freiwillig beitreten kann. Schließt sich ein Unternehmen dem Abkommen an, gilt es „sicherer“ Datenverarbeiter, an den unter den gleichen Voraussetzungen wie an ein europäisches Unternehmen personenbezogene Daten übermittelt werden können.

Mit Urteil vom 17.07.2020 hat der EuGH das Privacy-Shield-Abkommen aber für unwirksam erklärt. Begründet hat er das im Wesentlichen mit den weitreichenden Befugnissen der amerikanischen Sicherheitsbehörden unter dem Foreign Intelligence Surveillance Act (u.a. die gesetzliche Grundlage von PRISM und UPSTREAM). Die US-Sicherheitsbehörden können hiernach weitgehend frei von gesetzlichen Einschränkungen auf personenbezogene Daten von Nicht-US-Bürgern zugreifen und unterliegen dabei auch keiner ernstzunehmenden gerichtlichen Kontrolle ihrer Tätigkeiten. Gerade der letzte Punkt stieß dem EuGH besonders übel auf, da ein staatliches Handeln ohne die Möglichkeit einer rechtsstaatlichen Kontrolle nicht mit dem europäischen Rechtsschutzverständnis in Einklang zu bringen sei.

Auf Grund der erheblichen Defizite im US-amerikanischen Datenschutz, die auch nicht durch ein privatrechtliches Vertragswerk ausgebessert werden können, hat der EuGH letztlich eine Übermittlung von personenbezogenen Daten auf Grundlage des Privacy-Shield-Abkommens für unwirksam erklärt.

3. Standard-Datenschutzverträge mit US-Unternehmen

Nachdem das Privacy-Shield-Abkommen für unwirksam erklärt wurde, berufen sich viele Unternehmen mit starkem US-Bezug darauf, sie betreffe das nicht, da sie ihre US-Datenverarbeiter (oft die Mutterhäuser der jeweiligen EU-Niederlassungen) durch die von der EU anerkannten Standard-Datenschutzklauseln (SDK) zu einem hohen Datenschutzniveau verpflichtet haben und das Privacy Shield-Verfahren daher gar nicht benötigen.

Nach der jüngsten EuGH-Entscheidung ist diese Argumentation indessen nicht haltbar. Der EuGH hat in seinem Urteil klargestellt, dass die SDK zwar nach wie vor Bestand haben, jedoch in jedem Einzelfall voraussetzen, dass das Recht des Ziellandes einen angemessenen Datenschutz grundsätzlich zulässt. Wo dies nicht möglich ist, habe der Verantwortliche die Übermittlung personenbezogener Daten in das Drittland auszusetzen oder zu beenden.

Da aber nach den Feststellungen des EuGH die gesetzlichen Regelungen in den USA – die ja jedem Vertragswerk vorgehen – einen weitgehend ungeregelten und unkontrollierten Zugriff staatlicher Stellen auf personenbezogene Daten ermöglichen, ist in den USA auch bei Verwendung der SDK schlichtweg kein angemessener Schutz personenbezogener Daten möglich. Damit ist jede Übermittlung personenbezogener Daten an US-Unternehmen, die durch die Standard-Datenschutzklauseln gebunden wurden, rechtswidrig.

4. Folgen für die Praxis

Der EuGH hat in seinem Urteil vom Juni 2020 ausdrücklich festgestellt, dass die Aufsichtsbehörden [ohne eigenes Wahlrecht] dazu verpflichtet sind, gegen eine nicht DSGVO-konforme Datenübermittlung in Drittstaaten vorzugehen. Mittel der Wahl sind dabei Untersagungsverfügungen und (aus Sicht der Behörden besonders effektiv, aus Sicht der betroffenen Unternehmen besonders schmerzlich) die Verhängung von Bußgeldern.

Die nicht-rechtskonforme Übermittlung von personenbezogenen Daten wird dabei von der DSGVO als besonders schwerer Verstoß gegen datenschutzrechtliche Vorschriften qualifiziert und mit Bußgeldern bis zu 20 Millionen EUR oder 4 % des weltweit erzielten Konzernjahresumsatzes (relevant ist die im Einzelfall größere Zahl) belegt.

Um sich vor diesen empfindlichen Geldbußen abzusichern, sollten alle Unternehmen, die mit Dienstleistern mit starkem US-Bezug zusammenarbeiten (also insbesondere die bekannten US-amerikanischen ESP wie Salesforce, Mailchimp etc.) bei diesen anfragen, ob sie personenbezogene Daten in die USA übermitteln. Entsprechende Muster-Fragebögen finden sich bereits auf den einschlägigen Internet-Plattformen, etwa unter https://noyb.eu/en/next-steps-eu-companies-faqs. Findet tatsächlich eine Übermittlung von personenbezogenen Daten auf Grundlage der Standard-Datenschutzklauseln oder auf Grundlage des Privacy-Shield-Abkommens statt, sollte die Zusammenarbeit mit diesen Unternehmen unbedingt ausgesetzt werden.

Zusammenfassung:

• Auf Grund der Rechtslage in den USA, nach der die dortigen Sicherheitsbehörden weitgehend unbeschränkten Zugriff auf personenbezogene Daten nehmen können ohne dabei einer gerichtlichen Kontrolle zu unterliegen, kommt auch eine Übermittlung personenbezogener Daten an Unternehmen, die vertraglich zur Beachtung von europäischen Datenschutzvorgaben verpflichtet wurden, nicht mehr in Betracht.
• Dies gilt selbst dann, wenn der die Daten übermittelnde Verantwortliche (also die E-Mail-Marketing betreibenden Unternehmen) oder dessen Auftragsverarbeiter auf die europäischen Standard-Datenschutzklauseln zurückgegriffen hat. Auch diese wurden durch den EuGH gegenüber US-Unternehmen für nicht ausreichend angesehen.
• Um empfindlichen Geldbußen seitens der europäischen Datenschutzbehörde zu entgehen, sollten die Verantwortlichen bei ihren Vertragspartnern nachfragen, ob personenbezogene Daten in die USA übermittelt werden. Ist dies tatsächlich der Fall, sollte die Zusammenarbeit mit diesem Unternehmen sofort ausgesetzt werden.