Verstößt die Nutzung von Mailchimp gegen Datenschutz-Recht?

Einer der beliebtesten Newsletter-Dienste Deutschlands ist Mailchimp. Besonders attraktiv ist die kostenlose Version des Dienstes, die bereits eine Menge kann. In den letzten Wochen wurde in der Presse der Eindruck erweckt, Mailchimp verstoße generell gegen europäisches Datenschutz-Recht. Doch das ist nur ein Aspekt der Diskussion. Dennoch stellt eine Nutzung von Mailchimp nicht generell einen Verstoß gegen die DSGVO dar.

Nach wie vor gibt es keine vernünftige alternative Rechtsordnung zum im Juni 2020 gekippten Privacy Shield. Ein Folgeabkommen für den Transfer von Daten in die USA steht aus. Damit ist jeder Datenaustausch, beispielsweise mit Unternehmen, die ihren Sitz in den USA haben, grundsätzlich problematisch. Der Grund hierfür liegt in der Datenpraxis, die in den USA rechtsgültig ist. Die erlaubt US-Geheimdiensten Einsicht auch in solche personenbezogene Daten zu nehmen, die in der EU penibel geschützt werden. So kam die Mailchimp-Diskussion auf. US-Kontrollbehörden können sich theoretisch Zugang zu personenbezogenen Daten beschaffen, indem sie beispielsweise Newsletter-Abonnenten ausspähen. Eine Handhabe der Betroffenen dagegen gibt es nicht.

Behördliche Entscheidung

Anlass zur Diskussion war die Beschwerde gegen einen Onlineshop, die beim Bayrischen Landesamt für Datenschutz (BayLDA) gelandet war. Überprüft wurde durch die Behörde der Umgang des Shopbetreibers mit den Standardvertragsklauseln, beziehungsweise, ob eine authentische Risikoabwägung vorgenommen wurde. Die Bemühungen des Mailchimp-Nutzers reichen nach Ansicht der Behörde nicht aus, um europäisches Datenschutz-Recht auch beim Transfer über den Atlantik hinreichend zu gewährleisten. Nach Ansicht auch zahlreicher anderer Datenschutzexperten müssten die Standardvertragsklauseln zusätzlich mit individuellen Vereinbarungen des Mailchimp-Nutzers angereichert werden, um eine rechtssichere Datenschutz-Situation herzustellen. Da dies prinzipiell möglich ist, handelt es sich bei der Entscheidung der Behörde nicht um ein generelles Untersagen einer Zusammenarbeit mit Mailchimp, sondern sie bezieht sich auf den einen geprüften Fall. Die Entscheidung verdeutlicht, dass die Standardvertragsklauseln viele Lücken aufweisen und keinesfalls ausreichen, um DSGVO-konforme Prozesse zu gewährleisten.

Was sollten Nutzer von Mailchimp unternehmen?

Gleich vorweg: Das BayLDA hat kein generelles Verbot erlassen, sondern eine Anordnung im Einzelfall ausgesprochen. Somit sind nicht alle Nutzer von Mailchimp automatisch im Fokus von Datenschützern. Allerdings zeigt der Entscheid auf, dass Unternehmen, die mit Mailchimp zusammenarbeiten, eine sorgfältige Prüfung ihrer Vertragsgrundlagen vornehmen sollten. Denn, so zeigt der Fall ganz klar, sollte es zu Beschwerden, beispielsweise von Newsletter-Empfängern kommen, sind weitere Untersagungen auf keinen Fall auszuschließen. Übrigens: Der Entscheid der bayrischen Behörde ging nicht mit einem Bußgeldbescheid einher. Das muss aber für die Zukunft nicht heißen, dass es grundsätzlich lediglich bei Untersagungen bleibt, wenn es zur behördlichen Überprüfung aufgrund von Beschwerden kommt. Die Krux dabei ist, dass die Prüfung und das Abschließen von zusätzlichen Sondervereinbarungen für ein kleineres oder mittleres Unternehmen kaum realistisch erscheinen. Denn dies würde bedeuten, dass unter Umständen Sondervereinbarungen mit einzelnen US-Behörden nötig wären. Und es ist kaum vorstellbar, dass sich eine US-Behörde mit einem deutschen Onlineshop-Betreiber auf Sonderregelungen einlassen würde. Auch auf Anbieter, wie Mailchimp, ist dies nicht abzuwälzen, denn schließlich berufen sich die Newsletter-Experten auf Datenschutzkonformität gemäß US-Recht. Bisweilen raten Datenschützer aus unterschiedlichen Behörden dazu, bei Nutzung von Mailchimp eine sorgfältige Risikoabwägung vorzunehmen und diese belegen zu können. In den meisten Fällen wird diese Risikoabwägung dazu führen, dass individuelle Vereinbarungen geschlossen werden müssen, die weit über die Regelungen in den Standardvertragsklauseln hinausgehen müssen. Diese Vereinbarungen bedeuten einen sehr hohen Aufwand, den etliche Unternehmen wohl kaum betreiben können. Um das Risiko gänzlich auszuschließen, durch Datentransfer in die USA rechtliche Scherereien zu bekommen, ist der behördlich geratene Weg der Wechsel zu einem Anbieter mit Sitz und Servern in der EU.

Fazit: Wie teils in den Medien dargestellt ist die Zusammenarbeit mit Mailchimp nicht grundsätzlich bedenklich. Allerdings sollten Nutzer in Sachen Datenschutz eigene Überlegungen anstellen und die rechtliche Situation genau prüfen.