AMERIKANISCHE E-MAIL-MARKETING-ANBIETER VOR DEM AUS?

AMERIKANISCHE E-MAIL-MARKETING-ANBIETER VOR DEM AUS?

Seit dem Urteil des Europäischen Gerichtshofs im Juli 2020 und dem Ende von Privacy Shield stellen sich viele europäische Unternehmen die Frage, ob sie von dem Urteil betroffen sind und welche Konsequenzen der Einsatz von US-amerikanischen Diensten wie Mailchimp & Co. haben kann.

Der Sachverhalt ist relativ einfach: Alle amerikanische Unternehmen sind an die in den Vereinigten Staaten geltenden Gesetze gebunden und unterliegen dem sog. „Foreign Intelligence Surveillance Act” (FISA 702).

Da beim E-Mail Marketing personenbezogene Daten übertragen werden (denn ohne E-Mail-Adressen ist kein Newsletter-Versand möglich), war die Übermittlung bislang durch den Schutz des Privacy Shield gedeckt. Mit dem EuGH-Urteil wurde dieses Rechtsmittel gekippt und steht somit als Legitimierung nicht mehr zur Verfügung.

Standard-Vertragsklauseln bieten keinen ausreichenden Schutz

Es besteht allerdings die Möglichkeit, die Datenübermittlung durch die Verwendung von sog. „Standard Contractual Clauses“ (SCC) zu legitimieren. Das sind Verträge mit entsprechenden Klauseln, die bestimmte Sicherheitsstandards gewährleisten, die von der Europäischen Kommission erlassen wurden. Durch sie können europäische und amerikanische Unternehmen vertraglich regeln, dass bestimmte Datenschutzregeln eingehalten werden. Auch Mailchimp und andere Marketing-Dienstleister bietet solche SCC an.

Allerdings müssen Anbieter sowie Kunden eine Einzelfallanalyse durchführen (Abs. 134 des EuGH-Urteils), um zu prüfen, ob die Serviceanbieter irgendwelchen nationalen Gesetzen unterliegt, welche gegen die Charta der Grundrechte der Europäischen Union oder die DSGVO verstoßen.

Insofern dürften die SCC für europäische Unternehmen keine ausreichende Grundlage bieten, um personenbezogene Daten an US-Anbieter zu transferieren. Denn europäische Unternehmen müssen prüfen, ob diese in der Praxis überhaupt eingehalten werden können. Diese Prüfung ist kaum durchführbar und die laufende Einhaltung der SCC zu kontrollieren ist faktisch unmöglich.

Das Statement von Mailchimp ist problematisch

In einem Statement an seine Kunden nahm Mailchimp zum Ende von Privacy Shield Stellung:

„First, we want to reassure our customers that they can continue using Mailchimp lawfully and don’t need to take any action. We have long provided our customers with two layers of protection for data transfers from the EU to the US in our Data Processing Addendum: compliance with the EU-US Privacy Shield Framework and Standard Contractual Clauses (SCCs).

While the ruling from the CJEU invalidated the Privacy Shield Framework, it doesn’t affect the SCCs, which remain a valid data export mechanism. Our agreements are structured in a way that the SCCs automatically take effect, so nothing will change for our customers.”

Die Behauptung, dass die SCC nicht betroffen sind und weiterhin eine gültige, rechtlich zulässige Legitimierung für Datenübertragungen bleiben,  ist laut vorherrschender Juristenmeinung falsch. Denn die SCC wurden vom EuGH zwar grundsätzlich als zulässig bestätigt, jedoch verhindern die gleichen Gesetze, die Privacy Shield zu Fall brachten, auch die Einhaltung der SCC.

Mailchimp gibt also ein Versprechen, welches das Unternehmen faktisch nicht einhalten kann, weil es US-amerikanischen Gesetzen unterliegt. Da die Kunden jedoch das Auswahlverschulden trifft und sie zudem verpflichtet sind, zu prüfen, ob die Datenschutzbestimmungen im Land des Anbieters – also den USA – eingehalten werden können, ist das Risiko für den weiteren Einsatz von Mailchimp sehr hoch.

Der Server-Standort ist unerheblich

Wo die Server physisch stehen, macht bei der Diskussion keinen Unterschied. Denn amerikanische Sicherheitsbehörden haben über verschiedene Überwachungsgesetze dennoch Zugriff auf die Daten. Wo die Server physisch stehen, spielt dabei weder technisch noch faktisch eine Rolle.

Es gibt keine Übergangsfrist

Wie schon bei dem vorhergehenden Abkommen „Safe Harbor“ hat der EuGH auch die „Standard Contractual Clauses“ schlicht für ungültig erklärt. Damit gilt automatisch und unmittelbar der Zustand vor bzw. ohne Abkommen.

Unternehmen, Agenturen und Berater, die bislang US-amerikanische Services eingesetzt oder empfohlen haben, müssen also doppelt vorsichtig sein. Insbes. Kunden von Mailchimp sollten einen Fehler nicht machen: Das Urteil des EuGH ignorieren und sich blind auf die Zusagen des Anbieters verlassen.

Es ist zwar nicht zu erwarten, dass in absehbarer Zeit hohe Strafen durch die Datenschutzbehörden verhängt werden, doch der EuGH hat betont, dass die Datenschutzbehörden die Pflicht haben, einzugreifen, um Datenübermittlungen auszusetzen oder zu verbieten, wenn ein gültiges Rechtsinstrument für eine Übermittlung fehlt oder der Verantwortliche nicht tätig wird.

Was Mailchimp-Kunden tun können

  • zeitnah mit einem fachkundigen rechtlichen Beistand beraten, wie die aktuelle Situation zu bewerten ist
  • das Gespräch mit dem Serviceanbieter oder der Agentur suchen, um die rechtliche Situation zu verbessern
  • eine entsprechende Risikoanalyse durchführen

Man kann sich auch nach einem europäischen Serviceanbieter umsehen. Es gibt zahlreiche E-Mail-Marketing-Anbieter in Europa, die gute, zuverlässige Lösungen anbieten – für kleine Unternehmen genauso wie für große Konzerne.

Quelle: E-Mail Marketing Academy, Wilfersdorf

Link: https://www.email-marketing-academy.at/experten-blog/2020/ende-privacy-shield-was-ist-mit-mailchimp.html

19.03.2021

Photo by Steve Harvey on Unsplash