Bayerns Datenschützer haben Mailchimp im Visier – Konsequenzen für Nutzer?

Die Übertragung von Userdaten in die USA mithilfe des Newsletterdienstes Mailchimp wurde von dem bayerischen Landesamt für Datenschutz (BayLDA) einem Unternehmen untersagt. Inwiefern weitere Reglungen, die über die Standardvertragsklauseln hinausgehen, notwendig sind, wurde von dem Unternehmen zuvor nicht geprüft.

Zentral ist das bereits im Sommer 2020 verabschiedete sogenannte Schrems-II-Urteil. Damals war der EU-US-Privacy-Shield für nichtig erklärt worden. Diese Vereinbarung hatte zuvor US-Unternehmen die pauschale Möglichkeit offeriert, sich auf diesem Weg für einen Austausch von Daten zwischen der EU und den USA zertifizieren zu lassen. Ersatz brachten im Sinne der EU die Standardvertragsklauseln nach Artikel 46 der DSGVO, die als grundsätzlich für sicher und kompatibel zu europäischem Datenschutzrecht gelten. Dass gegebenenfalls auch Reglungen mit US-Unternehmen getroffen werden müssen, die weiterreichen als die Standardvertragsklauseln, wurde immer wieder klar kommuniziert.

Im Spezifischen geht es hier darum, dass ein Münchner Anbieter die US-Software Mailchimp verwendet hat, um Newsletter zu verschicken. Das Unternehmen hatte die oben beschriebene Prüfung weiterer Maßnahmen nicht durchgeführt. Laut Ansicht der obersten Datenschützer in Bayern ist der Anbieter Mailchimp allerding ein potenzieller „Electronic Communications Provider“. In den USA können etliche Behörden diese dazu zwingen, Nutzerdaten an die Behörden zu übermitteln – laut dem deutschen Datenschutzrecht gemäß DSGVO ein klarer Verstoß.

Dass seine Daten mithilfe von Mailchimp in die USA gelangen, gefiel einem Kunden des Münchner Unternehmens gar nicht und er legte Beschwerde ein. Die Folge: Das BayLDA verbietet dem bayerischen Unternehmen die Verwendung von Mailchimp im vorliegenden Fall bis auf Weiteres.

Hinzukommende Prüfungen als Lösung

Die Verwendung von Mailchimp ist damit keineswegs generell untersagt. Allerdings sollten Unternehmen, die auch künftig mit der amerikanischen Software-Marke arbeiten wollen, Prüfungen vornehmen, die über die Standardvertragsklauseln hinausgehen. Wichtig ist dabei, dass überhaupt eine Prüfung erfolgt und dokumentiert wird. Die Prüfung sollte drei wesentliche Aspekte beinhalten. Dazu gehört die Überprüfung, ob ein alternatives News-Letter-Versandtool für das Unternehmen in Betracht kommt, idealerweise eines Anbieters mit Sitz in der EU. Dabei ist natürlich zu berücksichtigen, dass die Basisversion von Mailchimp Kunden gratis zur Verfügung steht. Dennoch ist abzuwägen, ob die Aufwendungen für eine kostenpflichtige Software nicht zumutbar wären.

Darüber hinaus sollten Mailchimp-Anwender abschätzen, wie hoch die Gefahr für ihre User ist, in den Fokus amerikanischer Behörden zu geraten. Das ist beispielsweise dann der Fall, wenn im Newsletter US-kritischer Inhalt zum regelmäßigen Content gehört – wer solchen konsumiert, gilt für US-Behörden natürlich eher verdächtig, als Käufer von Produkten. Es empfiehlt sich, Kontakt mit Mailchimp aufzunehmen und unter Umständen die Services, die Mailchimp über die Standardvertragsklauseln hinaus seinen Nutzern anbietet, im Detail abzuklären.

Fazit

Das BayLDA hat lediglich einem Unternehmen die Verwendung von Mailchimp verwehrt und somit kein generelles Urteil gefällt. Gleichwohl sollten alle Unternehmen, die Mailchimp nutzen, die oben beschriebene Überprüfung durchführen und unter Umständen zu einem anderen Anbieter wechseln. Dem betroffenen Unternehmen wurde kein Bußgeldbescheid zugestellt, dennoch kann eine Untersagung, Mailchimp oder eine andere US-Software zu nutzen, zu sehr viel Aufwand und spontanen Kosten führen. Eine freiwillige Prüfung im Vorfeld ist somit die deutlich preiswertere Alternative.