Was bedeutet das Urteil des EuGH und das Ende von Privacy Shield für E-Mail Marketing? Sind amerikanische Dienstleister ab sofort „tabu“? Gibt es Ausnahmen oder vielleicht ein Schlupfloch?

Es gibt wohl niemanden, der diese Fragen besser beantworten kann, als Max Schrems – der Vorsitzender von noyb, der mit seiner Klage gegen Facebook das Urteil überhaupt erst bewirkt hat.

Wir haben deshalb Max Schrems zu einem Interview und um seine Meinung zu wichtigen Fragen rund um E-Mail Marketing gebeten:

 

Ist E-Mail Marketing Deiner Meinung nach von dem EuGH Urteil betroffen?

Max Schrems: Ja, leider – oder zum Glück reicht das Urteil sehr weit. Wenn ein europäisches Unternehmen einen amerikanischen Dienstleister für den Versand eines Newsletters heranzieht, werden damit zwingend personenbezogene Daten in die USA übertragen – und genau das ist nach dem Urteil des EuGH in den allermeisten Fällen nicht mehr möglich. Gerade Newsletter-Unternehmen fallen wohl auch direkt unter die relevanten US-Überwachungsgesetze, wie FISA 702.

 

Ist Deiner Einschätzung nach eine baldige politische Lösung zu erwarten?

Max Schrems: Das ist für das nächste Jahr oder gar die nächsten Jahre eher unwahrscheinlich. Bevor im Jänner nicht ein neuer Präsident im Weißen Haus ist, wird erst mal nichts passieren. Selbst danach bräuchte es massive Änderungen in den US-Überwachungsgesetzen. Das ist eher schwer zu machen, wenn nicht die ganze US-Industrie dahinter ist.

Auch auf unserer Seite kann die Europäische Kommission nicht einfach eine dritte windige Vereinbarung mit den USA abschließen die am Ende eh nicht hält, nachdem der EuGH sowohl Safe Harbor als auch Privacy Shield gekippt hat ist hier wenig Raum. Entweder die USA ändern ihre Gesetze oder die EU darf keine neue Vereinbarung abschließen.

 

Amerikanische Dienstleiser wie Mailchimp argumentieren ihren Kunden gegenüber meist mit den Standard-Vertragsklauseln (SCC). Ist das eine ausreichende Grundlage?

Max Schrems: Kurze Antwort: Nein. Denn die amerikanischen Unternehmen unterliegen ja dennoch den amerikanischen Gesetzen und können damit gar nicht garantieren, dass amerikanischen Behörden der Zugriff auf die Daten europäischer Empfänger verweigert wird. In den SCC versprechen diese Unternehmen also etwas, das sie in der Praxis gar nicht einhalten können.

Hier ist auch anzumerken, dass diese Unternehmen nach den SCCs selbst eigentlich sogar aktiv EU-Kunden vor diesen Gesetzen warnen müssen. Stattdessen wird das Problem oft geleugnet. Hier kann man sich (wenn man will) den Schaden etwa für die Migrationskosten auf einen EU-Dienst theoretisch sogar zurückholen. Wirklich auszahlen tut sich das natürlich nur bei größeren Summen.

 

Kann der amerikanische Dienstleister nicht haftbar gemacht werden, wenn er die SCC faktisch nicht einhalten kann?

Max Schrems: Theoretisch ja, aber hier stellt sich die Frage, ob das in der Praxis viel bringt. Mailchimp müsste man zum Beispiel vor einem US-Gericht in Georgia klagen. Wenn man nicht große Summen verloren oder massive Probleme hat, werden die meisten EU-Kunden hier einfach aufgeben und den Kürzeren ziehen.

 

Wie schätzt Du das aktuelle Risiko für europäische Unternehmen ein, die Newsletter über einen amerikanischen Anbieter versenden?

Max Schrems: Das ist wie das Fahren auf der Autobahn mit Tempo 150 km/h wenn nur 130 km/h erlaubt sind. Das kann lange Zeit gut gehen, aber man kann eben auch schon morgen zufällig von der Polizei aufgehalten werden.

Wir haben zum Thema Google Analytics und Facebook-Integrationen in Webseiten nun etwa eher zufällige 101 Unternehmen in der EU angezeigt, wodurch nun eine „Taskforce“ des Europäischen Datenschutz Ausschusses sich mit dem Thema befasst. Oft sind es einfach Beschwerden von unzufriedenen Kunden, Konkurrenten oder Mitarbeitern, die zu Verfahren führen.

Wenn man hier zumindest zeigen kann, dass man das Problem erkannt und Schritte zur Lösung gesetzt hat wird die Strafe aber sicher nicht so hoch sein, als wenn man weiter wegschaut weil man es „immer schon so gemacht hat“.

 

Wie schnell sollten Unternehmen Deiner Meinung nach tätig werden?

Max Schrems: Naja, weitere Datenübermittlungen in die USA sind in den meisten Fällen zumindest seit dem 16. Juni 2020 illegal und die Strafe liegt bei bis zu € 20 Mio. Denn die ersten Beschwerden wurden bereits eingebracht und jeder Betroffene könnte sich jederzeit bei der Datenschutzbehörde beschweren. Im Fall einer Beschwerde sollte man wohl zeigen, dass man unmittelbar tätig wurde, auch wenn natürlich klar ist, dass man nicht alles über Nacht umstellen kann.

 

Könnte der amerikanische Dienstleister nicht einfach ein (rechtlich eigenständiges) Unternehmen in Europa gründen und dort die Daten verarbeiten?

Max Schrems: Ja, das könnte eine praktikable Lösung sein – ähnlich wie es Microsoft für seine CRM-Kunden mit der deutschen Telekom als Treuhänder gezeigt hat. Allerdings müsste das Unternehmen tatsächlich ein europäisches Unternehmen sein oder als Tochter eines amerikanischen Dienstleisters die Daten faktisch so isolieren, dass kein Zugriff aus den USA möglich ist.

Sobald ein Zugriff möglich ist, ist auch FISA702 anwendbar – egal ob der Server in Wien oder New York steht. Bisher hört man aber bei den US-Unternehmen nur, dass man den Standort wählen kann – nicht dass diese Server auch ausschließlich aus der EU heraus verwaltet werden.

 

Könnte man nicht damit argumentieren, dass man den amerikanischen Dienstleister „zwingend“ benötigt, sich also auf den Artikel 49 DSGVO stützen?

Max Schrems: Nein. Der Standort eines Dienstleisters macht die Übermittlung in die USA nicht „notwendig“ wenn man etwa von Wien aus Nachrichten an Leute in Linz schickt. Man kann diese Funktionen ja auch selbst hosten oder eben einen Anbieter in der EU nutzen. Man kann Artikel 49 aber etwa nutzen um mittels eines EU-Anbieters weiter E-Mails an Kunden in den USA zu schicken. Hier ist ja die Übermittlung in das Zielland wirklich „notwendig“.

 

Was empfiehlst Du also den europäischen Unternehmen?

Max Schrems: Es gibt in Europa genügend gute Alternativen. Gerade für den Versand eines Newsletters ist man also nicht zwingend auf amerikanische Dienstleister angewiesen. Es gibt also wenig Gründe, um den Anbieter nicht zu wechseln.

 

Welches Tool setzt Ihr selber ein? Hast Du da eine Empfehlung?

Max Schrems: Eine direkte Empfehlung geben wir nie ab, weil die Auswahl eines Newsletter-Tools von vielen Anforderungen abhängt. Wir nutzen, nach ein paar weniger guten Erfahrungen bei anderen Anbietern, jetzt dialog-Mail. Primär haben wir die Entscheidung wegen den Datenschutz-Optionen getroffen, ich muss aber auch sagen, dass der Support extrem schnell und zuvorkommend ist, was man ja in Zeiten wo man für „Self-Service“ oft höhere Preise zahlt, gar nicht mehr gewohnt ist.

 

Vielen Dank für das Interview! 

Fotocredits Bild von Max Schrems: (c) 2014 Lukas Beck

 

 

Gefällt Ihnen dieser Artikel?

Dann verpassen Sie keinen mehr! Die interessantesten Neuigkeiten aus dem Markt, aktuelle Trends, neue Whitepaper oder E-Mail Marketing Best Practices: Rund 1x/Quartal bekommen Sie die besten Artikel kostenlos in Ihre Inbox, wenn Sie einfach unseren Newsletter lesen.