Ist Mailchimp jetzt verboten?

Schon das letztjährige Urteil Schremss II hat Befürchtungen geweckt Dienste wie Mailchimp könnten verboten sein. Ein Anordnung der Bayerischen Landesdatenschutzbehörde hat dies vor kurzem deutlich gemacht.

Was ist passiert?

Die Bayerische Datenschutzbehörde hat einem Unternehmen die Nutzung von und die Übermittlung von eMail-Adressen an Mailchimp untersagt. Dies ist zwar kein Urteil einer neutralen Instanz, aber dennoch ein starker Hinweis auf die Interpretation der Rechtslage durch die Datenschützer.

Allerdings – dies muss man hier erwähnen – hatte die Behörde im betreffenden Fall auch überhaupt keine Wahl. Sie musste so entscheiden.

Disclaimer

Ich bin kein Jurist und dies ist keine Rechtsberatung. Ich gebe hier lediglich meine Einschätzung der Situation wieder und wie ich meine Kunden aktuell berate.

Wieso keine Wahl?

Zum einen, die Behörde hat die Nutzung von Mailchimp nicht grundsätzlich untersagt. Sie hat im Konkreten Fall allerdings die Übermittlung an und Speicherung von eMail-Adressen bei Mailchimp ohne vorherige, gesonderte Prüfung des Datenschutzniveaus untersagt.

Denn die unterlassene Prüfung an sich stellt bereits einen datenschutzverstoß dar. Ergo musste die Nutzung untersagt werden.

Was muss man jetzt wie prüfen?

Alternativen

Zum ersten muss man prüfen, ob es Alternativen zur Nutzung von Mailchimp gibt. Gibt es also Anbieter, die man konform zur DSGVO einsetzen kann (Spoiler: Ja, die gibt es.). Dazu gehört auch zu prüfen, welche Aufwände und Kosten eine Nutzung und der damit verbundene Wechsel bedeuten würden. Also im Vergleich zur (Weiter-)Nutzung von Mailchimp.

Gefährdungspotential

Dann ist zu prüfen, wie hoch der Gefährdungsgrad ist. Also wie hoch die Gefahr für die Person ist, deren Nutzung des Newsletters (verknüpft über die eMail-Adresse), wenn US Behörden oder Geheimdienste auf diese Daten zugreifen.

Wenn ich einen Newsletter betreibe, bei dem ich sehr kritisch mit den USA und ihren politishcen und/oder militärischen Praktiken ins Gericht gehe, wenn ich Leaks kommentiere und generell eher gegen die USA schreibe, dann wäre die Gefährdung für meine Newsletterempfänger vermutlich höher (bzw. Gerichte würden diese höher einschätzen), als wenn ich den Marketingnewsletter eines kleinen Hofladens betreue.
Je höher also das Gefährdungspotential, umso kritischer wäre die Übermittlung der Daten in die USA (oder, wie manche Datenschützer sagen, an ein US-Unternehmen).

Schutzniveau der Daten

Als letztes ist dann zu prüfen, wie hoch das Schutzniveau der Daten ist. Wie gut sind die Daten dagegen geschützt, dass Dritte (also im Fall von Mailchimp vor allem amerikanische Behörden) Zugriff auf diese Daten erhalten.

Reichen EU-Standardvertragsklauseln, muss ich deren Einhaltung prüfen, brauche ich Nachweise eines höheren Schutzniveaus und sind diese in den USA aufgrund der juristischen Lage dort überhaupt möglich?

Ergebnis dokumentieren

Diese drei Abwägungen zusammen ergeben dann ein Bild. Dieses Bild besagt, ob man Mailchimp (weiter) nutzen kann, oder ob ein Wechsel zu einem alternativen Anbieter nicht angebracht wäre.

Dieses Ergebnis sollte man unbedingt dokumentieren. Auch sollte man sich diese Überlegungen (wenn man aktuell Mailchimp nutzt) auf die To Do Liste schreiben, bevor möglicherweise die Datenschutzbehörde anklopft (ok, einen Brief schreibt).

Was sagt eigentlich Mailchimp?

Mailchimp hat angekündigt, dass sie noch 2021 Server in der EU einrichten wollen, die mit einer ISO 27001/27701 Zertifizierung versehen sind. Eine Datenübertragung in die USA würde so erst einmal nicht mehr stattfinden.

Grundsätzlich dürfte das die Nutzung und den Betrieb vereinfachen.

Allerdings gibt es auch Datenschützer, die davon ausgehen, dass dies nicht riechen wird. Denn immer wieder kommt es vor, dass US Unternehmen aufgrund der dortigen Gesetze auch Daten über Nutzer an die US Behörden weitergeben müssen, die auf Servern außerhalb der USA liegen. Also auch auf Servern in der EU.

Damit wären also die EU Server von Mailchimp – zumindest bei dieser Lesart – nicht sicher genug. Aber hierzu gibt es noch keine Urteile, die dies gerichtsfest machen würden.

Die Unsicherheit bliebe mittel- bis langfristig bestehen.

Meine Praxisempfehlung lautet?

Ganz ehrlich? Wieso Mailchimp? OK – ich mag die ja. Ich mag deren sympathische Art aufzutreten. Deren Marketing ist super. Und der Affe mit den „High Fives“ – echt klasse. Ich hab sogar ein Buch von deren (ehemaligen – ich weiß es nicht) Chief Data Scientist zuhause liegen. Das erklärt das ganze Thema Data Science sehr anschaulich.

Und trotzdem würde ich in der aktuellen Rechtslage keinem meiner Kunden dazu raten einen neuen Newsletter mit Mailchimp aufzusetzen.

Und ich würde den aller meisten Unternehmen mit denen ich so verkehre dazu raten ihren Newsletter zu einem anderen Anbieter umzuziehen.

Es gibt gute Alternativen in Deutschland und Europa. Auch preislich liegen diese teilweise deutlich unter Mailchimp.

Mit den entsprechenden Exportfunktionen bei Mailchimp (Empfängerliste(n), Opt In Daten zur Dokumentation, Templates) lässt sich ein Umzug mit vergleichsweise wenig Aufwand (und Stress) realisieren.

Ich helfe gern dabei.

Für die Erstellung Deiner Datenschutzangaben habe ich Dir auf meiner Serviceseite eine kostenfreie Checkliste bereitgestellt.

ps. & Nachtrag:

Es gibt hervorragende Werkzeuge um beispielsweise die Versendung von Newslettern und die Automatisierung von Marketing, verbunden mit der Möglichkeit zur persönlicheren Ansprache Deiner Kunden zu verbinden. Das ganze basierend auf freier Open Source Technologie und betrieben auf Servern die in Deutschland stehen und die Du kontrollierst.

Der Aufwand ist hier tatsächlich überschaubar und lässt sich an Deine Bedürfnisse anpassen. So könntest Du theoretisch sogar Deinen Kunden eine SMS schicken, wenn sie eingewilligt und Dir ihre Telefonnummer gegeben haben. Um nur ein Beispiel neben den Newslettern zu nennen.