INHALT
Mailchimp EuGH-Urteil
EuGH-Urteil zwingt Newsletter-Versender, Alternativen zu suchen
EuGH-Urteil: Privacy Shield ungültig
Anknüpfungspunkt des Urteils (EuGH, Urt. v. 16.7.2020, C-311/18 – kurz „Schrems II“) sind unterschiedliche Datenschutzniveaus in der Europäischen Union und den Vereinigten Staaten von Amerika, die spätestens mit dem Inkrafttreten des USA Patriot Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act) aus dem Jahre 2001 bestehen. Dieser – im Jahre 2015 ersetzt durch den USA Freedom Act - sieht nach den Terroranschlägen des 11. September 2001 massive Einschränkungen von Grundrechten vor. Der Fall der Kunden der Schweizer Großbank UBS zeigte, dass die Anwendung des Gesetzes keineswegs dem ursprünglichen Zweck der Terrorismusbekämpfung beschränkt blieb, sondern auch in Steuerangelegenheiten nützlich war.
Zum expliziten Auftrag der Geheimdienste FBI und NSA gehört auch die Wirtschaftsspionage. Die USA gelten somit in Sachen Datenschutz als unsicher Drittstaat. Dank des Whistleblowers Edward Snowden war spätestens 2013 bekannt, dass die US-Behörden mit der Software mit dem Codenamen PRISM Zugriff auf die Microsoft-Dienste Skype, Outlook.com und Hotmail hatten. Bei der Analyse der Daten kommt Big Data ins Spiel. Interessant sind Kontakt- und Standortdaten, Fotos, Videos, Texte und Sprachnachrichten.
Mit dem 2018 erlassenen Cloud Act (Clarifying Lawful Overseas Use of Data Act) wurde die Sache noch einmal internationaler. Dieser verpflichtet amerikanische Firmen dazu, ihren Strafverfolgungsbehörden Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Server sich nicht auf dem Staatsgebiet der USA befinden.
Eine Lösung schien zwischenzeitlich mit dem EU-US Privacy Shield aus dem Jahre 2016 gefunden, indem die USA den Zugriff auf die Daten der Europäer begrenzten. Ziel des Abkommens war es, den Datentransfer über den großen Teich zu legalisieren. Für Maximilian Schrems, einen streitbaren österreichischen Datenschützer, war dies Larifari, weil die Amerikaner ihren Strafverfolgungsbehörden trotzdem ohne Anfangsverdacht Zugriff auf die Daten gaben. Er klagte vor dem Europäischen Gerichtshof und die Richter in Luxemburg stimmten in ihrem Urteil zu, dass eine derartige Massenüberwachung unzulässig ist, zumal für betroffene Nicht-US-Bürger keine Klagemöglichkeit gegen die Ausspähung ihrer Daten besteht.
Eine Ausnahme gibt es hier lediglich für britische Staatsbürger, denen per Executive Agreement der Klageweg eröffnet wurde. Zertifizierungen von Unternehmen nach dem EU-Privacy Shield sind damit hinfällig. Ein möglicher Ausweg sind sogenannte Standardvertragsklauseln, mit denen die Grauzone der Verantwortlichkeiten letztlich aber nur verschoben wird.
Inwiefern ist das Newsletter-Plugin Mailchimp davon betroffen?
Von dem Urteil betroffen sind alle US-Internetkonzerne wie Facebook, Amazon und Microsoft und auch der Newsletter-Versender Mailchimp, mit Sitz in Atlanta im Bundesstaat Georgia. Tatsache ist, dass das Unternehmen sich bei der Umsetzung der Europäischen Datenschutzgrundverordnung große Mühe gegeben hat, seine Kunden sehr frühzeitig über die Notwendigkeiten informierte und die Maßnahmen fristgerecht umsetzte. Zusätzlich bietet es den Anwendern Standardvertragsklauseln an. Dennoch ist das Bayerische Landesamt für Datenschutz nicht zufrieden, weil nicht sichergestellt werden kann, dass dennoch Nutzerdaten in die Finger der amerikanischen Strafverfolgungsbehörden gelangen.
Die Begründung lautete in einem Fall, dass das betroffene Unternehmen nicht geprüft hatte, ob für den Transfer der Daten an Mailchimp zusätzlich zu den Standarddatenschutzklauseln noch „zusätzliche Maßnahmen“ im Sinne der oben genannten EuGH-Entscheidung notwendig sind, um die Übermittlung datenschutzkonform zu gestalten. Wer soll das bitte verstehen? Es gibt Lösungsansätze wie eine Zusatzinformation für die Abonnenten beim Double-Opt, in denen man klarstellen könnte, was womöglich mit den daten passieren könnte, weil nichts genaues weiß man nicht.
Ein nicht ganz ernst gemeinter Formulierungsvorschlag, der aber einer profunden juristischen Prüfung durchaus würdig wäre: „Mit meiner Einwilligung bin ich mir bewusst, dass meine personenbezogenen Daten – in der Regel zumindest IP-Adresse inklusive Geo-Location, E-Mail-Adresse sowie sämtliche darüber hinaus im Formular übermittelten Inhalte sowie die Inhalte der in der Folge an mich gesendeten E-Mails den US-Strafverfolgungsbehörden* unter gewissen Umständen zur Verfügung gestellt werden müssen, auch wenn gegen mich kein Anfangsverdacht einer Straftat besteht.“
*Der Vollständigkeit halber wäre hier eine möglichst vollständige Auflistung der zugriffsberechtigten Institutionen wünschenswert.
Eine solche Einwilligungserklärung weckt Erinnerungen an Alcatraz, Guantamo und „Orange is the new Black“. Klar dürfte sein, dass KPIs bei den betroffen E-Mail-Kampagnen in den Keller gehen.
Was sollten Mailchimp-Verwender jetzt tun?
Es gibt viele Möglichkeiten, was Anwender von Mailchimp jetzt tun können:
- Standardvertragsklauseln anwenden: wie das oben genannte Beispiel aus Bayern zeigt, ist es nahezu unmöglich, es den Datenschutzbehörden recht zu machen
- Abwarten und Tee trinken: Es besteht durchaus die Möglichkeit, dass sich die neue, etwas moderatere US-Regierung unter Biden und die Europäische Union zusammenraufen und eine Lösung finden. Die momentane Situation sorgt für Unzufriedenheit auf beiden Seiten des Atlantiks. Tatsache ist aber, dass dies lange dauern kann, weil die bürokratischen Mühlen nun einmal traditionell langsam laufen. Bis dahin bewegen wir uns in einer rechtlichen Grauzone mit womöglich unzureichenden Standardvertragsklauseln oder einem Verzicht auf die Möglichkeiten des E-Mail-Marketing. Eine pro-aktive, datenschutzkonforme Lösung des Dilemmas ist das nicht!
- Ein datenschutzkonformes Newsletter-Software wie Maileon, bei dem Firmensitz und Serverstandort in der Europäischen Union liegen. Das ist die einzig rechtssichere Lösung für E-Mail Marketing.
Fazit
E-Mail-Versender sollten beim Datenschutz keine Kompromisse eingehen und auf ein verlässliches Tool vertrauen. Vor allem aber sollten sie darauf achten, dass der Anbieter seinen Firmensitz und seine Serverstandorte am besten in der Europäischen Union oder der Schweiz hat. Erfahrene Online Marketing Agenturen können Kunden hinsichtlich verfügbarer Alternativen zu Newsletter- und E-Mail Marketing Software beraten. Sind derartige Maßnahmen erst in Planung, sollte das Thema Datenschutz in der Projektplanung unbedingt Berücksichtigung finden. Organisationen wie zum Beispiel der Händlerbund bieten eine ergänzende, kompetente Unterstützung, gerade wenn es um DSGVO-konforme bzw. rechtssichere Texte geht. Dies u.a. auch im Rahmen des E-Mail Marketing bzw. für die Versendung von Newslettern.
Möchten Sie mehr wissen ?
Kontaktieren Sie uns einfach.