Update vom 07.12.22: Bei den Diensten Sendinblue, Rapidmail, Clever Reach und Mailjet wurden die Prüfdaten hinzugefügt.
Update vom 04.03.22: Nachdem die Europäische Kommission am 04.06.2021 die neuen Standardvertragsklauseln veröffentlichte, sind diese seit dem 27.09.2021 verpflichtend bei allen Neuverträgen mit US-amerikanischen Dienstleistern abzuschließen. Alle Altverträge müssen bis Dezember 2022 auf die neuen Standardvertragsklauseln umgestellt werden. In unserem Artikel vom 19.11.2021 informieren wir Sie umfassend zu den neuen Standardvertragsklauseln, insbesondere wie diese abzuschließen und welche weiteren Maßnahmen zu ergreifen sind, um einen sicheren Datentransfer zu ermöglichen.
Viele Unternehmen versenden regelmäßig Newsletter und nutzen dafür den Dienstleister „mailchimp“. Nun hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) eine wichtige Stellungnahme zur datenschutzrechtlichen Unzulässigkeit von mailchimp abgegeben, die jedoch für alle Unternehmen in Deutschland relevant ist. In diesem Artikel werden Sie erfahren, worum es sich bei mailchimp genau handelt und was genau das BayLDA bei der Nutzung von mailchimp kritisiert. Zudem legen wir Ihnen ausführlich dar, was Ihr Unternehmen nun konkret tun sollte und welche datenschutzkonformen Alternativen es zu mailchimp gibt.
Was ist mailchimp und wie funktioniert die Datenverarbeitung?
Der Dienstleister mailchimp hilft vielen Unternehmen bei der Erstellung, der Verwaltung und dem Versand von Newslettern. Dabei werden die Daten (z.B. Namen der Empfänger und E-Mail-Adresse) nicht auf den eigenen Servern des versendenden Unternehmens gespeichert, sondern „off-demand“ auf Servern von mailchimp. Was Sie grundsätzlich beim Versand eines Newsletters beachten müssen, lesen Sie in diesem Artikel.
Was hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) festgestellt?
Nachdem sich ein Betroffener beim BayLDA darüber beschwert hatte, dass seine E-Mail-Adresse von dem versendenden Unternehmen an mailchimp übermittelt wurde, hat das BayLDA festgestellt, dass der Einsatz von mailchimp im konkreten Fall datenschutzrechtlich unzulässig war. Als Grund für diese Einschätzung gab die Aufsichtsbehörde an, dass der Verantwortliche nicht ausreichend geprüft habe, ob für die Datenübermittlung an mailchimp – zusätzlich zu den eingesetzten EU-Standarddatenschutzklauseln – weitere „zusätzliche Maßnahmen“ erforderlich waren. Diese sind in vielen Fällen seit der Entscheidung des EuGH zu „Schrems II“ für eine Datenübermittlung in Drittländer erforderlich. Hierzu finden Sie weiterführende Informationen in diesem Artikel.
Im konkreten Fall sieht die Aufsichtsbehörde jedenfalls Anhaltspunkte dafür, dass die an mailchimp übermittelten Daten Zugriffen durch US-Nachrichtendienste ausgesetzt sein könnten. Daher sei die Übermittlung von E-Mail-Adressen (und ggf. weiterer Daten) nur unter Heranziehung zusätzlicher Sicherheitsmaßnahmen möglich.
Was müssen Unternehmen jetzt tun, die mailchimp nutzen?
Wenn Ihr Unternehmen mailchimp oder einen vergleichbaren Dienstleister einsetzt, der die personenbezogenen Daten in den USA verarbeitet, sollten Sie sich am besten nach einer Alternative umsehen, bei der die Datenverarbeitung in Deutschland oder der EU erfolgt. Falls Sie mailchimp trotz allem weiterhin nutzen möchten, müssen Sie von mailchimp „zusätzliche Garantien“ einfordern. Dies könnte bspw. die Bestätigung des Dienstleisters sein, dass er keiner Anforderung nach einer Massenüberwachung nachkommt und sich im Einzelfall mit allen ihm zur Verfügung stehenden rechtlichen Mitteln verteidigt, um Forderungen nach einem Datenzugriff im Rahmen von nationalen Sicherheitsverfahren abzuwehren.
Welche Alternativen zu mailchimp gibt es?
Am besten suchen Sie gezielt nach einer deutschen oder europäischen Alternative zu mailchimp. Hierbei sollten Sie Ihren Datenschutzbeauftragten miteinbeziehen, der Sie bei der Suche nach einem DSGVO-konformen Newsletter-Tool unterstützt. Hier nur eine kurze Auswahl möglicher Anbieter, deren Rechtskonformität Ihr Unternehmen letztlich prüfen muss:
- Sendinblue (Zuletzt haben wir den AVV dieses Anbieters am 28.04.22 geprüft. Da er nicht den Mindestanforderungen nach Art. 28 DSGVO genügte, wurden er nicht freigegeben.)
- Rapidmail (Zuletzt haben wir den AVV dieses Anbieters am 14.06.22 geprüft. Dieser erfüllte die Mindestanforderungen nach Art. 28 DSGVO und wurden freigegeben.)
- Clever Reach (Zuletzt haben wir den AVV dieses Anbieters am 29.06.22 geprüft. Dieser erfüllte die Mindestanforderungen nach Art. 28 DSGVO und wurden freigegeben.)
- Mailjet (Zuletzt haben wir die SCCs dieses Anbieters am 17.02.22 geprüft. Da sie nicht den Mindestanforderungen nach Art. 44 DSGVO genügten, wurden sie nicht freigegeben.)
Suchen Sie einen ausgewiesenen Experten für Datenschutz? Sprechen Sie uns noch heute an: 0931 – 780 877-0 oder info@sidit.de
Kein Kommentar