Das Bayerischen Landesamt für Datenschutzaufsicht hat sich klar festgelegt: eine Nutzung von US-Diensten wie zB. Mailchimp ist für EU-Unternehmen nicht mehr zulässig.

Die österreichische E-Mail-Marketing-Academy hat sich an das Bayerische Landesamt für Datenschutzaufsicht gewandt, weil ein Unternehmen einen Newsletter über Mailchimp an sie versendet hatte. Das Argument der Beschwerde: Nach dem Fall des EU-US-Privacy Shields im Jahr 2020 besteht keine rechtliche Grundlage mehr, um personenbezogene Daten wie die E-Mail Adresse ohne Zustimmung des Betroffenen an ein US-Unternehmen zu übermitteln.

Die Behörde hat nun über die Beschwerde entschieden (gekürzt): "Nach unserer Bewertung war der Einsatz von Mailchimp […]  – und somit auch die Übermittlung Ihrer E-Mail-Adresse an Mailchimp […] – datenschutzrechtlich unzulässig […].“

Begründet wird dies damit, dass das Unternehmen nicht geprüft hatte, ob für die Übermittlung an Mailchimp zusätzlich zu den Standarddatenschutzklauseln noch „zusätzliche Maßnahmen“ erforderlich sind, um die Übermittlung datenschutzkonform zu gestalten. Da „zumindest Anhaltspunkte dafür bestehen, dass Mailchimp grundsätzlich Datenzugriffen von US-Nachrichtendiensten […]  unterfallen kann und somit die Übermittlung nur unter Ergreifung solcher zusätzlicher Maßnahmen (sofern geeignet) zulässig sein konnte.“ seien solche Maßnahmen nötig.

Was bedeutet das für die Praxis?

Verwender von Mailchimp und anderen amerikanischen Systemen haben nun schwarz auf weiß, dass deren Einsatz unzulässig ist, wenn nicht „zusätzliche Datenschutzmaßnahmen“ ergriffen werden – was aber überaus schwierig sein dürfte. Denn Sie müssten jeden Abonnenten vor der Dateneingabe eindeutig über das Risiko aufklären, das eine Speicherung seiner Daten bei einem amerikanischen Unternehmen mit sich bringt und hierfür seine aktive Zustimmung einholen. Wieviele Abonnenten man dann noch gewinnen kann, ist fraglich. Ein weiteres Problem sind die bestehenden Newsletter-Empfänger, von denen die erforderliche Zustimmung ja ebenfalls nicht vorliegt.

Damit bestehen im Grunde nur zwei Möglichkeiten:

  • Einfach weitermachen und das Risiko einer Aburteilung in Kauf nehmen - der Strafrahmen kann 20 Millionen Euro oder 4% des Jahresumsatzes betragen.
  • Zu einem Newsletter-Anbieter in Europa wechseln - eigentlich die einzig sinnvolle Lösung.

interact!multimedia empfiehlt übrigens seinen Kunden (genau aus dem hier angeführten Grund) schon immer, auf europäische Newsletter-Anbieter zu setzen - wir arbeiten zum Beispiel für einige Kunden erfolgreich mit SendInBlue (ehemals Newsletter2Go).

Wenn Sie Hilfe beim Umstieg brauchen:

kontaktieren Sie uns!