Mailchimp & DSGVO

Der Versand von Newslettern ist aus dem Marketing nicht wegzudenken. Doch auch bei der Nutzung von Tools wie Mailchimp muss die DSGVO eingehalten werden.
 

E-Mail-Marketing mit Mailchimp

Mailchimp ist ein Tool für das Newsletter-Management, mit dem Unternehmen ihre Mailings erstellen, verwalten und versenden können. Zur Erstellung der Newsletter stehen hier Templates zur Verfügung, gleichzeitig können auch eigene importiert werden. Mailchimp erlaubt auch die Einbettung von dynamischem Content in den Mailings, wie z.B. Formulare und den Import von Kontakten. Per Double Opt-In-Verfahren können Sie die An- bzw. Abmeldefunktion Ihres Newsletters integrieren.

Der Serviceanbieter Mailchimp mit Sitz in Atlanta, USA, bietet neben diesen nützlichen Funktionen eine intuitive Handhabung und unterschiedliche Arten von Abonnements. So können Sie mit einer kostenlosen Mitgliedschaft pro Monat bereits bis zu 12.000 E-Mails an 2000 Empfänger:innen versenden. Bei Zahlung einer monatlichen Gebühr von 10-25 USD können Sie unbegrenzt viele Newsletter verschicken.

Trotz aller Vorteile weist dieses cloudbasierte Tool auch einige Schwachstellen auf, denn für den Einsatz von Mailchimp müssen die Unternehmen die persönlichen Daten wie Mail-Adressen ihrer Kundschaft aus den Händen geben. Weil viele europäische Unternehmen mit dem US-amerikanischen Unternehmen zusammenarbeiten, stellt sich die Frage: Ist eine Zusammenarbeit mit Mailchimp DSGVO-konform möglich?
 

Mailchimp & DSGVO: Wie sicher sind Nutzerdaten in Mailchimp?

Als US-amerikanisches Unternehmen muss Mailchimp die DSGVO grundsätzlich nicht einhalten. Laut Art. 44 DSGVO dürfen persönliche Daten wie Namen oder E-Mailadressen in sogenannten Drittländern aber nur verarbeitet werden, wenn geprüft wurde, ob die Einhaltung des Datenschutzes den europäischen Standards entspricht. Von 2016 bis Mitte 2020 wurde dies durch den EU/US-Privacy-Shield geregelt. Dieser beinhaltete eine Liste mit Unternehmen, die beim U.S.-Handelsministerium eingetragen waren und so eine Zertifizierung zur Verarbeitung von Daten aus Europa erhalten hatten. Zwar fiel auch Mailchimp unter den Privacy-Shield, aber da keine offizielle Stelle die Einhaltung der Richtlinien sicherstellte, durfte die Wirksamkeit des Schutzschildes angezweifelt werden.

Bestätigt wurden diese Zweifel 2020 durch das Schrems-II-Urteil des EuGH, das den Privacy-Shield als nicht EU-datenschutzkonform und somit für ungültig erklärte. Das Gericht berief sich auf die Tatsache, dass der Privacy-Shield nicht vor Zugriffen durch US-Geheimdienste schützt.

Konnte der Datenschutz durch Mailchimp bis zu diesem Urteil als unzureichend bezeichnet werden, so hatte sich die Situation danach nicht grundlegend verbessert, da der Privacy-Shield zumindest eine geringe Kontrollfunktion bot.
 

Datenschutz-Urteil: Unzulässige Weitergabe von E-Mailadressen an Mailchimp

Die trotz des Schrems-II-Urteils nicht sehr eindeutige Gesetzeslage wurde noch im selben Jahr durch die erfolgreiche Klage einer Privatperson genauer definiert. Die E-Mailadresse der betreffenden Person war von Mailchimp trotz des als ungültig erklärten Privacy-Shields zum Versenden eines Newsletters verwendet worden. Das Bayerische Landesamt für Datenschutzaufsicht entschied, dass Mailchimp neben der Datenschutzerklärung mit üblichen EU-Standardklauseln erweiterte Maßnahmen hätte ergreifen müssen, um eine datenschutzkonforme Verarbeitung sicherzustellen. Nur so könne ein eventueller Zugriff von U.S.-amerikanischen Nachrichtendiensten verhindert werden.

Ein generelles Verbot von Mailchimp stellt dies zwar nicht dar, wohl aber eine richtungsweisende Entscheidung für künftige gesetzliche Anpassungen. Es liegt an den europäischen Unternehmen, die Einhaltung des Datenschutzniveaus sicherzustellen – sonst wäre eine Weitergabe von Mail-Adressen an Mailchimp nicht zulässig.
 

Das sollten Unternehmen beim E-Mail-Marketing beachten

Da viele Unternehmen diesen Anbieter nutzen und der Wechsel zu einem anderen Newsletter-Management-System mit Aufwand und Mehrkosten verbunden wäre, ist es gut zu wissen, wie ein möglicher Umgang mit Mailchimp aussehen könnte. Das BayLDA empfiehlt hier, vor der Weitergabe von Daten an Mailchimp bei dem Unternehmen in Erfahrung zu bringen, inwieweit bei diesem hinterlegte Nutzerdaten von US-Behörden genutzt werden können. Dabei hilft es sich zu erkundigen, ob Mailchimp unter FISA Sect. 702 fällt bzw. ob US-Nachrichtendienste aufgrund der Executive Order 12.333 auf Nutzerdaten zugreifen können. Sie sollten in Erfahrung bringen:

• wo personenbezogene Daten verarbeitet werden,
• ob diese noch in weitere Drittländer transferiert werden,
• welche Maßnahmen zur Einhaltung des Schutzniveaus getroffen werden,
• welche Subdienstleister verwendet werden,
• evtl. welche nationalen Regelungen gelten und
• welche Rechtsschutzmöglichkeiten gelten.

Zusätzlich sollten erweiterte Maßnahmen wie der Abschluss sogenannter Standardvertragsklauseln (SCCs) zwischen Ihrem europäischen Unternehmen und Mailchimp getroffen werden.

Für die datenschutzkonforme Gestaltung Ihres Newsletters selbst sollten Sie außerdem Folgendes beachten:

• Anwendung des Double-Opt-In-(DOI)-Verfahrens und Speicherung des Zeitpunkts der Anmeldung der Kund:innen zur Abnahme des Newsletter;
• Hinweis auf die vollständig einsehbare Datenschutzerklärung;
• Angabe der E-Mailadresse als einziges Pflichtfeld. Eine eventuelle Nutzung von Daten neben den Mail-Adressen zum Zwecke der Personalisierung sollte begründet werden.
• Widerrufsmöglichkeit durch die Kund:innen;
• Information über die Nutzung von Mailchimp.

Sie als Unternehmer:in können also selbst einiges dafür tun, um bei Ihren Mailings den Anforderungen der DSGVO zu genügen. Trotzdem sollten Sie sich bis zu einer genaueren Klärung der Rechtslage beständig auf dem Laufenden halten.