Und was ist mit Mailchimp?

Nach dem Ende von Privacy Shield erreichen uns Dutzende Fragen zum Thema Mailchimp:

• Gilt das Urteil des EuGH auch für Mailchimp?
• Wenn ja, schützen mich die Standardvertragsklauseln (SCC) nicht ohnehin?
• Aber Mailchimp sagt doch, es wäre alles in Ordnung?
• Kann ich Mailchimp nun weiter einsetzen oder nicht?

Wir haben uns das Thema deshalb genauer angesehen und die Antworten zu Mailchimp zusammengetragen und verständlich aufbereitet.

Vorab zum Hintergrund: Wenn Sie wissen möchten, was genau passiert ist (der EuGH hat das Privacy Shield für ungültig erklärt), dann lesen Sie unseren Artikel „Das Ende von Privacy Shield und die Folgen für E-Mail Marketing.“

Nun konkret zu Mailchimp und den häufigsten Fragen zu dem beliebten Newsletter-Dienstleister.

Europäische Mailchimp-Kunden sind unmittelbar betroffen

Es ist (leider) relativ einfach: Mailchimp ist ein amerikanisches Unternehmen und an die dortigen Gesetze gebunden und unterliegt außerdem dem amerikanischen FISA 702 (“Foreign Intelligence Surveillance Act”).

Da bei E-Mail Marketing zwingend personenbezogene Daten übertragen werden (denn ohne E-Mail Adresse ist kein Newsletter-Versand möglich), war die Übermittlung bis jetzt durch den Schutz des Privacy Shield gedeckt. Mit dem EuGH-Urteil wurde Ende Juli 2020 das Privacy Shield gekippt und damit steht diese Möglichkeit nicht mehr zur Verfügung.

Standard-Vertragsklauseln bieten keinen ausreichenden Schutz

Es gibt allerdings die Möglichkeit, die Datenübermittlung durch die Verwendung von sog. SCC (Standard Contractual Clauses = Standard-Vertrags-Klauseln) zu legitimieren. Das sind standardisierte Verträge, die von der Europäischen Kommission erlassen wurden. Dadurch können europäische und amerikanische Unternehmen vertraglich regeln, dass bestimmte Datenschutz-Regeln gelten. Auch Mailchimp bietet solche SCC an.

Doch Sie und Mailchimp müssen laut EuGH eine „Einzelfallanalyse“ durchführen (Absatz 134 des Urteils), um zu prüfen, ob Mailchimp irgendwelchen nationalen Gesetze unterliegt, die gegen die DSGVO oder die Charta der Grundrechte der Europäischen Union verstoßen.

Daher dürften auch die SCC für europäische Unternehmen keine ausreichende Grundlage bieten, um personenbezogene Daten an Mailchimp zu transferieren. Denn europäische Unternehmen müssen prüfen, ob diese in der Praxis von Mailchimp überhaupt eingehalten werden können. Diese Prüfung wird wohl in der Praxis kaum durchführbar sein und die laufende Einhaltung der SCC zu kontrollieren wäre de facto unmöglich.

Das Statement von Mailchimp ist sehr problematisch

In einem Statement  an seine Kunden nahm Mailchimp zum Ende von Privacy Shield Stellung:

“First, we want to reassure our customers that they can continue using Mailchimp lawfully and don’t need to take any action. We have long provided our customers with two layers of protection for data transfers from the EU to the US in our Data Processing Addendum: compliance with the EU-US Privacy Shield Framework and Standard Contractual Clauses (SCCs).

While the ruling from the CJEU invalidated the Privacy Shield Framework, it doesn’t affect the SCCs, which remain a valid data export mechanism. Our agreements are structured in a way that the SCCs automatically take effect, so nothing will change for our customers.”

Diese Behauptung (“SCC remain a valid data export mechanism”) ist laut aktueller Meinung der meisten Juristen schlicht falsch. Denn wie oben erklärt wurden die SCC zwar an sich vom EuGH als grundsätzlich zulässig bestätigt, jedoch verhindern die gleichen Gesetze, die das Privacy Shield zu Fall brachten, auch die Einhaltung der SCC.

Anders formuliert: Mailchimp gibt darin Versprechen ab, die das Unternehmen faktisch gar nicht einhalten kann, weil es nun einmal den amerikanischen Gesetzen unterliegt. Da die Kunden hier jedoch das Auswahlverschulden trifft und sie außerdem verpflichtet sind, zu überprüfen, ob die Datenschutzbestimmungen im Land des Anbieters (also den USA) eingehalten werden können, ist das aktuelle Risiko für den weiteren Einsatz von Mailchimp sehr hoch. Da nutzen auch die Versprechen des Anbieters wenig.

Der Server-Standort macht keinen Unterschied

Wo die Server physisch stehen, macht bei der ganzen Diskussion keinen Unterschied. Denn amerikanische Behörden haben ja dennoch Zugriff auf die Daten über die verschiedenen Überwachungsgesetze der USA. Wo die Server physisch stehen, spielt dabei weder technisch noch faktisch eine Rolle.

Es gibt keine Übergangsfrist

Wie schon bei dem Vorgänger-Abkommen „Safe Harbor“ hat der EuGH das Abkommen schlicht für ungültig erklärt. Damit gilt automatisch und ab sofort der Zustand vor bzw. ohne Abkommen.

Wie sind Partner-Agenturen von Mailchimp betroffen?

Agenturen und Berater, die bislang Mailchimp empfohlen oder eingesetzt haben, müssen ab sofort doppelt vorsichtig sein. Denn im worst case trifft sie die „Beraterhaftung“.

Das bedeutet, dass die Agentur schadenersatzpflichtig wird, wenn sie einem Kunden ein System empfiehlt, von dem sie hätte wissen müssen, dass der Kunde es nicht legal einsetzen kann. Angesichts der empfindlichen Strafen, die in DSGVO vorgesehen sind, ist das finanzielle Risiko dementsprechend hoch.

Was Mailchimp-Kunden nun tun sollten

Aktuelle Kunden von Mailchimp sollten jedenfalls einen Fehler nicht machen: Das Urteil des EuGH ignorieren und sich blind auf die Zusagen von Mailchimp verlassen.

Es ist zwar nicht zu erwarten, dass sehr bald hohe Strafen durch die Datenschutzbehörden verhängt werden, doch der EuGH hat in seinem Urteil betont, dass die Datenschutzbehörden die Pflicht haben, einzugreifen, um Datenübermittlungen auszusetzen oder zu verbieten (Randnummer 134 des Urteils), sollte ein gültiges Rechtsinstrument für eine Übermittlung fehlen und der Verantwortliche nicht tätig werden.

Außerdem werden sich wohl bald die ersten Betroffenen beschweren und auch einige Abmahn-Anwälte werden wohl schon in den Startlöchern scharren.

Daher sollten sich Mailchimp-Kunden

• möglichst zeitnah mit ihrem rechtlichen Beistand beraten, wie die aktuelle Situation zu bewerten ist,
• das Gespräch mit Mailchimp oder der eigenen Agentur suchen, um man die rechtliche Situation verbessern kann,
• und eine entsprechende Risikoanalyse durchführen.

Die alternative Lösung: Man könnte sich auch nach einem europäischen Anbieter umsehen. Es gibt genügend E-Mail Marketing Anbieter in Europa, die eine gute Lösung anbieten – für kleine Unternehmen genauso wie für große Konzerne.

Brauchen Sie dabei Hilfe?

Wenn Sie bei der Suche nach einem geeigneten Dienstleister Unterstützung benötigen, können wir Sie mit unserer umfassenden E-Mail Marketing Erfahrung gerne gezielt unterstützen!

Wir beraten Sie gerne, kontaktieren Sie uns einfach!