Einsatz von Mailchimp & Co. nicht mehr DSGVO-konform

Datenschutz-Problem bei Mailchimp & Co.

In der vorausgegangenen Beschwerde ging es um die Übermittlung personenbezogener Daten in die USA durch die Nutzung von Mailchimp als E-Mail-Versanddienstleister. Nach Ansicht der Datenschützer verstößt die Nutzung von Mailchimp gegen die Vorgaben, die sich aus dem Privacy Shield Urteil des Europäischen Gerichtshofs (sog. Schrems II) vom 16.07.2020 ergeben (EuGH, Urt. v. 16.7.2020, C-311/18). Entgegen der Darstellung durch Mailchimp, dass die Verarbeitung der Daten auf Basis der EU-Standardvertragsklauseln rechtskonform sei, fehlen aber die „zusätzlichen Sicherheitsmaßnahmen“, die hier erforderlich werden, da sich US-Nachrichtendienste grundsätzlich weltweiten Zugriff auf die Daten vorbehalten (was der faktischen Übermittlung in die USA gleichkommt). Die Behörde stützt sich dabei nicht auf den konkreten Versanddienstleister sondern stellt grundsätzlich auf die Datenverarbeitung durch ein US-Unternehmen ab. Insofern ist diese Entscheidung im Kern auch für viele andere US E-Mail-Versanddienstleister anwendbar.

Mit dieser Bewertung liefert die Datenschutzbehörde Klarheit über die datenschutzrechtlichen Konsequenzen, die sich aus dem Privacy Shield Urteil für das E-Mail-Marketing ergeben. Eine solche Bewertung war jedenfalls längst überfällig, den es war mehr als auffällig, dass sich nach dem EUGH-Urteil in der Praxis im Wesentlichen nichts geändert hat. Unternehmen hatten keine Orientierung, es mangelte an konkreten Vorgaben der zuständigen Behörden und Verbände, an Fachdiskussionen, an Urteilen und Bußgeldern. Ergebnis der bisherigen Unsicherheit war, dass die allermeisten Unternehmen den Weg des geringsten Widerstands wählten – nämlich nichts tun bzw. unreflektierte Auswahl von US-Plattformen für E-Mail-Versand und Marketing Automation.

Dabei ist die Einschätzung der bayerischen Datenschützer alles andere als überraschend. Max Schrems, Vorstand des NGO noyb, dessen Initiative zum EUGH-Urteil führte, hatte persönlich schon kurz nach dem EUGH-Urteil festgestellt, dass generell der Einsatz von US-Versanddienstleistern datenschutzrechtlich hochproblematisch ist. Inzwischen scheinen auch andere Datenschutzbehörden zu der gleichen Auffassung zu gelangen. Die Bundesländer haben kürzlich eine Task Force eingerichtet, die den „Vollzug der Anforderungen des Schrems-II-Urteils“ koordinieren soll: „Der baden-württembergische Datenschutzbeauftragte Stefan Brink sieht deutsche Firmen, die personenbezogene Daten in die USA übermitteln, einem erheblichen rechtlichen Risiko ausgesetzt. Die europäischen Unternehmen seien aktuell “mit einer massiven Bußgeldgefahr konfrontiert und benötigen rasche Lösungen”.“ Da der Datenschutz innerhalb der EU durch die EU-Datenschutz-Grundverordnung weitgehend standardisiert ist, ist diese Initiative für alle E-Mail-Versender mit Sitz in der EU (und sogar für ausländische Versender, die Empfänger innerhalb der EU adressieren!) relevant.

Vor diesem Hintergrund kann die Strategie, das EUGH-Urteil auch weiterhin zu ignorieren, für Firmen schnell sehr teuer werden. Dazu kommt, dass Unternehmen nicht auf komfortable Fristen für die Umstellung ihrer Systeme hoffen können. Das bei den bayerischen Datenschutzbehörden angezeigte Unternehmen jedenfalls musste seinen Versand über Mailchimp unmittelbar einstellen.

Eine detaillierte Prüfung der DSGVO-Konformität im eigenen Dienstleister-Portfolio sowie ggfs. die Evaluierung geeigneter Alternativen ist spätestens jetzt angezeigt. Dabei reicht es vermutlich nicht aus, einfach auf einen Anbieter aus der EU zu setzen, denn auch diese hosten Daten zum Teil in US-Clouddiensten.