Mailchimp & DSGVO

Letztes Update:
06
.
05
.
2021
Lesezeit:
0
Min
Der Anbieter von Newsletter-Management Mailchimp wird von Start-Ups und großen Firmen gleichermaßen genutzt. Doch hinter dem praktischen Tool steckt ein US-Unternehmen, was die Einhaltung der DSGVO für Unternehmen erschweren kann.
Mailchimp & DSGVO
Die wichtigsten Erkenntnisse
  • Mailchimp ist ein US-basiertes Newsletter-Management-Tool, dessen DSGVO-Konformität problematisch ist.
  • Der EuGH erklärte 2020 den EU/US-Privacy-Shield für ungültig wegen unzureichendem Schutz vor US-Geheimdiensten.
  • Bayerisches Datenschutzamt forderte erweiterte Maßnahmen von Mailchimp zur Datenverarbeitung gemäß EU-Standardklauseln.
  • Unternehmen müssen sicherstellen, dass Mailchimp-Daten nicht für US-Behörden zugänglich sind, inklusive SCCs.
  • Newsletter müssen Double-Opt-In-Verfahren, transparente Datenschutzerklärung und Widerrufsmöglichkeit bieten.

Der Versand von Newslettern ist aus dem Marketing nicht wegzudenken. Doch auch bei der Nutzung von Tools wie Mailchimp muss die DSGVO eingehalten werden.
 

E-Mail-Marketing mit Mailchimp

Mailchimp ist ein Tool für das Newsletter-Management, mit dem Unternehmen ihre Mailings erstellen, verwalten und versenden können. Zur Erstellung der Newsletter stehen hier Templates zur Verfügung, gleichzeitig können auch eigene importiert werden. Mailchimp erlaubt auch die Einbettung von dynamischem Content in den Mailings, wie z.B. Formulare und den Import von Kontakten. Per Double Opt-In-Verfahren können Sie die An- bzw. Abmeldefunktion Ihres Newsletters integrieren.

Der Serviceanbieter Mailchimp mit Sitz in Atlanta, USA, bietet neben diesen nützlichen Funktionen eine intuitive Handhabung und unterschiedliche Arten von Abonnements. So können Sie mit einer kostenlosen Mitgliedschaft pro Monat bereits bis zu 12.000 E-Mails an 2000 Empfänger:innen versenden. Bei Zahlung einer monatlichen Gebühr von 10-25 USD können Sie unbegrenzt viele Newsletter verschicken.

Trotz aller Vorteile weist dieses cloudbasierte Tool auch einige Schwachstellen auf, denn für den Einsatz von Mailchimp müssen die Unternehmen die persönlichen Daten wie Mail-Adressen ihrer Kundschaft aus den Händen geben. Weil viele europäische Unternehmen mit dem US-amerikanischen Unternehmen zusammenarbeiten, stellt sich die Frage: Ist eine Zusammenarbeit mit Mailchimp DSGVO-konform möglich?
 

Mailchimp & DSGVO: Wie sicher sind Nutzerdaten in Mailchimp?

Als US-amerikanisches Unternehmen muss Mailchimp die DSGVO grundsätzlich nicht einhalten. Laut Art. 44 DSGVO dürfen persönliche Daten wie Namen oder E-Mailadressen in sogenannten Drittländern aber nur verarbeitet werden, wenn geprüft wurde, ob die Einhaltung des Datenschutzes den europäischen Standards entspricht. Von 2016 bis Mitte 2020 wurde dies durch den EU/US-Privacy-Shield geregelt. Dieser beinhaltete eine Liste mit Unternehmen, die beim U.S.-Handelsministerium eingetragen waren und so eine Zertifizierung zur Verarbeitung von Daten aus Europa erhalten hatten. Zwar fiel auch Mailchimp unter den Privacy-Shield, aber da keine offizielle Stelle die Einhaltung der Richtlinien sicherstellte, durfte die Wirksamkeit des Schutzschildes angezweifelt werden.

Bestätigt wurden diese Zweifel 2020 durch das Schrems-II-Urteil des EuGH, das den Privacy-Shield als nicht EU-datenschutzkonform und somit für ungültig erklärte. Das Gericht berief sich auf die Tatsache, dass der Privacy-Shield nicht vor Zugriffen durch US-Geheimdienste schützt.

Konnte der Datenschutz durch Mailchimp bis zu diesem Urteil als unzureichend bezeichnet werden, so hatte sich die Situation danach nicht grundlegend verbessert, da der Privacy-Shield zumindest eine geringe Kontrollfunktion bot.
 

Datenschutz-Urteil: Unzulässige Weitergabe von E-Mailadressen an Mailchimp

Die trotz des Schrems-II-Urteils nicht sehr eindeutige Gesetzeslage wurde noch im selben Jahr durch die erfolgreiche Klage einer Privatperson genauer definiert. Die E-Mailadresse der betreffenden Person war von Mailchimp trotz des als ungültig erklärten Privacy-Shields zum Versenden eines Newsletters verwendet worden. Das Bayerische Landesamt für Datenschutzaufsicht entschied, dass Mailchimp neben der Datenschutzerklärung mit üblichen EU-Standardklauseln erweiterte Maßnahmen hätte ergreifen müssen, um eine datenschutzkonforme Verarbeitung sicherzustellen. Nur so könne ein eventueller Zugriff von U.S.-amerikanischen Nachrichtendiensten verhindert werden.

Ein generelles Verbot von Mailchimp stellt dies zwar nicht dar, wohl aber eine richtungsweisende Entscheidung für künftige gesetzliche Anpassungen. Es liegt an den europäischen Unternehmen, die Einhaltung des Datenschutzniveaus sicherzustellen – sonst wäre eine Weitergabe von Mail-Adressen an Mailchimp nicht zulässig.
 

Das sollten Unternehmen beim E-Mail-Marketing beachten

Da viele Unternehmen diesen Anbieter nutzen und der Wechsel zu einem anderen Newsletter-Management-System mit Aufwand und Mehrkosten verbunden wäre, ist es gut zu wissen, wie ein möglicher Umgang mit Mailchimp aussehen könnte. Das BayLDA empfiehlt hier, vor der Weitergabe von Daten an Mailchimp bei dem Unternehmen in Erfahrung zu bringen, inwieweit bei diesem hinterlegte Nutzerdaten von US-Behörden genutzt werden können. Dabei hilft es sich zu erkundigen, ob Mailchimp unter FISA Sect. 702 fällt bzw. ob US-Nachrichtendienste aufgrund der Executive Order 12.333 auf Nutzerdaten zugreifen können. Sie sollten in Erfahrung bringen:

  • wo personenbezogene Daten verarbeitet werden,
  • ob diese noch in weitere Drittländer transferiert werden,
  • welche Maßnahmen zur Einhaltung des Schutzniveaus getroffen werden,
  • welche Subdienstleister verwendet werden,
  • evtl. welche nationalen Regelungen gelten und
  • welche Rechtsschutzmöglichkeiten gelten.

Zusätzlich sollten erweiterte Maßnahmen wie der Abschluss sogenannter Standardvertragsklauseln (SCCs) zwischen Ihrem europäischen Unternehmen und Mailchimp getroffen werden.

Für die datenschutzkonforme Gestaltung Ihres Newsletters selbst sollten Sie außerdem Folgendes beachten:

  • Anwendung des Double-Opt-In-(DOI)-Verfahrens und Speicherung des Zeitpunkts der Anmeldung der Kund:innen zur Abnahme des Newsletter;
  • Hinweis auf die vollständig einsehbare Datenschutzerklärung;
  • Angabe der E-Mailadresse als einziges Pflichtfeld. Eine eventuelle Nutzung von Daten neben den Mail-Adressen zum Zwecke der Personalisierung sollte begründet werden.
  • Widerrufsmöglichkeit durch die Kund:innen;
  • Information über die Nutzung von Mailchimp.

Sie als Unternehmer:in können also selbst einiges dafür tun, um bei Ihren Mailings den Anforderungen der DSGVO zu genügen. Trotzdem sollten Sie sich bis zu einer genaueren Klärung der Rechtslage beständig auf dem Laufenden halten.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!