Das Urteil des EuGH über das Ende des Privacy Shield Abkommens zwischen der EU und den USA hat wohl viele Unternehmen unvorbereitet getroffen – obwohl die Entscheidung eigentlich absehbar war. Doch was bedeutet das Urteil für E-Mail Marketer in der Praxis? Wir haben die Fakten zusammengetragen und erklären im Folgenden die Konsequenzen.
Kurz zum Hintergrund: Was ist eigentlich das Problem?
Was den Datenschutz betrifft, gelten die USA als „nicht-sicheres Drittland“, da dort kein ausreichender Schutz für personenbezogene Daten europäischer Empfänger gewährleistet ist. Deshalb hat die EU Abkommen mit den USA geschlossen, mit der sich teilnehmende amerikanische Anbieter verpflichtet haben, sich an europäische Datenschutz-Standards zu halten. So war die Datenübermittlung legal und damit der Einsatz amerikanischer Dienstleister möglich.
Doch die Sache hatte einen Haken: Die Abkommen waren leider sehr schlecht gemacht und „das Papier nicht wert, auf dem sie geschrieben waren“ (nach Ansicht des Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein). Die Folge war auch, dass der EuGH das erste Abkommen („Safe Harbor“) im Jahr 2015 für unzulässig erklärt hat.
Das Nachfolger-Abkommen „Privacy Shield“ wurde in aller Eile verhandelt und war leider ähnlich schlecht wie Safe Harbor. Deshalb haben viele Experten prophezeit, dass auch Privacy Shield vom EuGH gekippt werden würde – was nun auch geschehen ist.
Das Urteil betrifft nur personenbezogene Daten
Gleich vorweg eine wichtige Einschränkung: Das Ende von Privacy Shield hat „nur“ Konsequenzen für personenbezogene Daten – denn alle anderen sind von der DSGVO ja gar nicht betroffen. Die Speicherung von Landschaftsbildern oder von Bauplänen in der Cloud eines US-Anbieters ist also weiterhin problemlos möglich. Auch rein private Datenanwendungen sind von der DSGVO (und damit dem Urteil des EuGH) nicht erfasst.
E-Mail Marketing ist direkt betroffen
Doch für E-Mail Marketer gilt das Urteil des EuGH natürlich unmittelbar, denn in ausnahmslos jeder Newsletter Software werden personenbezogene Daten verarbeitet.
Damit ist der Einsatz von amerikanischen Anbietern ab sofort nicht mehr möglich, sofern die Datenübermittlung auf Grundlage des Privacy Shield erfolgt ist. Es gibt dafür auch keine Übergangsfrist (auch wenn derzeit nicht zu erwarten ist, dass die europäischen Datenschutz-Behörden in naher Zukunft hohe Strafen verhängen werden).
Standard-Vertrags-Klauseln als Grundlage sind zweifelhaft
Eventuell gibt es die Möglichkeit, die Datenübermittlung durch die Verwendung von sog. SCC (Standard Contractual Clauses = Standard-Vertrags-Klauseln) zu legitimieren. Das sind im Grunde vertragliche Vereinbarungen (auf Basis von akkordierten Vorlagen) zwischen einem europäischen Unternehmen und einem amerikanischen Anbieter, in denen sich dieser europäischen Datenschutz-Standards unterwirft.
Es ist allerdings sehr fraglich, ob aber die Standard-Vertragsklausel ausreichenden Schutz gegen die US-Gesetze bieten, weil sich die amerikanischen Unternehmen hier in einer Zwickmühle befinden: Entweder sie befolgen die nationalen Überwachungs-Gesetze (Verstoß wäre strafbar) oder die SCC bzw. die EU-Datenschutz-Gesetze (Verstoß wäre strafbar).
Anders formuliert: Auch die SCC dürften für europäische Unternehmen keine ausreichende Grundlage bieten, um personenbezogene Daten an einen amerikanischen Anbieter zu transferieren. Denn europäische Unternehmen dürfen die SCCs nicht einfach unterzeichnen, sondern müssen prüfen, ob diese in der Praxis von dem Anbieter überhaupt eingehalten werden können. Diese Prüfung wird wohl in der Praxis kaum durchführbar sein und die laufende Einhaltung der SCC zu kontrollieren wäre de facto unmöglich.
Ist E-Mail Marketing eine „notwendige“ Datenübermittlung?
Datenübermittlungen in die USA, die zwingend erfolgen müssen, sind auch weiterhin möglich und legal. Denn der Artikel 49 der DSGVO sieht hier eine Ausnahme vor. Das wurde vom EuGH auch bestätigt.
Als Beispiel wird hier oftmals ein E-Mail genannt, das man an ein amerikanisches Unternehmen schickt, um zum Beispiel eine Urlaubs-Buchung zu bestätigen – das ist also weiterhin erlaubt.
Ob jedoch der Einsatz eines amerikanischen E-Mail Marketing Dienstleisters zwingend „notwendig“ ist, darf angesichts der Vielzahl von (guten) europäischen Alternativen bezweifelt werden.
Ein weiterer Knackpunkt ist auch, dass der Artikel 49 nur für gelegentliche Datenübermittlungen in Anspruch genommen werden kann. Deshalb kommt diese Ausnahme nach Artikel 49 nach Ansicht des Europäischen Datenschutzausschusses nicht für laufende Datenübermittlungen in Frage.
Handlungsbedarf für Newsletter-Versender
Für europäische E-Mail Marketer stellt sich eine wichtige Grundfrage: In welchem Land hat der Anbieter seinen Sitz? Wenn der Anbieter ein europäisches Unternehmen ist, dann gibt es keinen Handlungsbedarf, denn das Ende des Privacy Shields hat dann keine Konsequenzen.
Wenn jedoch ein amerikanischer Anbieter eingesetzt wird, sollte man sich unbedingt zeitnah die rechtlichen Rahmenbedingungen ansehen – zum Beispiel ob es ein SCC mit dem Anbieter gibt und welche Garantien hier abgegeben werden (auch wenn zweifelhaft ist, ob SCC eine ausreichende Rechtsgrundlage darstellen, so hat man auf diese Weise zumindest einmal eine mögliche Argumentationslinie).
Und man sollte ebenfalls zeitnah das Gespräch mit dem Anbieter suchen, um die Konsequenzen des Endes von Privacy Shield zu besprechen – und welche Optionen das Unternehmen hier anbieten kann. So wäre zum Beispiel denkbar, dass der amerikanische Anbieter ein eigenständiges europäisches Tochterunternehmen gründet, um damit den Einfluss der amerikanischen Überwachungsgesetze zu verhindern.
Mittelfristig werden sich aber wohl viele Unternehmen überlegen müssen, ob es nicht besser wäre, zu einem europäischen Anbieter zu wechseln – es gibt hier ja ausreichend gute Alternativen. Denn aus derzeitiger Sicht ist eine rasche politische Lösung jedenfalls nicht kurzfristig zu erwarten.
Neben der rechtlichen Sicherheit hat diese Entscheidung noch eine weitere Dimension: Image! Denn es gibt immer mehr Menschen, denen das Thema Datenschutz nicht egal ist. Man könnte das Thema deshalb nicht als lästige Pflicht, sondern auch als Wettbewerbsvorteil begreifen.
In jedem Fall sollte der Versender tätig werden. Denn die ersten Abmahnanwälte scharren vermutlich schon in den Startlöchern.