MailChimp und der Datenschutz.
Update vom 06.10.2015
(„alles wird (bleibt) gut!„)
Update vom 03.02.2016 siehe unten 
(„Dank Privacy Shield keine Probleme„).

Immer wieder erreichen uns Anfragen, inwieweit die Nutzung des Newslettertools MailChimp deutsche oder europäische Datenschutzrichtlinien beachtet und ob die Nutzung von MailChimp in Deutschland nicht unzulässig sei. MailChimp, Datenschutz und Safe Harbor. In diesem Artikel räumen wir ein wenig auf.

Vorweg die obligatorische Feststellung, dass es sich bei diesem Artikel natürlich nicht um eine rechtliche Beratung handelt. Möge jeder Leser und Interessierte bitte seine eigenen Schlüsse daraus ziehen.

MailChimp und der Datenschutz – die Theorie

Es ranken sich viele und vor allem viele wilde Gerüchte um Datenschutz-Regelungen im Internet. Fakt ist, dass das deutsche und das europäische Recht zum Schutz personenbezogener Daten deutlich strenger ist, als in anderen Ländern. Vor allem natürlich in den USA. Dort gibt es diese Form des Datenschutzes quasi überhaupt nicht und daher stammt auch die Problematik (weswegen Sie jetzt wahrscheinlich diesen Artikel lesen).

Fakt ist: Um den Datenaustausch und die Datenverarbeitung zwischen Europa und den USA zu sichern, wurde unter dem Begriff „Safe Harbor“ eine Übereinkunft getroffen: US-Unternehmen, die sich den Datenschutzregelungen der EU verschreiben, dürfen am Datenaustausch teilnehmen. Unter (vereinfacht zusammengefasst) vier Voraussetzungen:

  • Teilnehmende Unternehmen müssen sich bei US-Behören registrieren lassen
  • Teilnehmende Unternehmen müssen sich einer jährlichen Selbstverpflichtung unterziehen
  • Teilnehmende Unternehmen müssen sich von einer externen Vertrauensstelle prüfen lassen
  • Teilnehmende Unternehmen müssen über die Datenverwendung und -verarbeitung hinweisen.

In der Theorie erfüllt der MailChimp-Konzern, The Rocket Science Group LLC, alle diese Kriterien. Genauso, wie dies über 1.000 andere US-amerikanische Unternehmen, wie z. B. Amazon, Google, Facebook, Dropbox, Novartis, und und und auch tun. Interessanterweise ist das Interesse an der Datenschutzkonformität dieser Unternehmen in den letzten Jahren nach einem kurzen Aufflammen auch sehr schnell wieder erloschen. Wer erinnert sich schon noch im Detail an die geänderten Bedingungen, die Facebook seinen Usern Ende Januar diesen Jahres untergejubelt hat? Mit steigender MailChimp-Populariät richtet sich die Aufmerksamkeit nun also unter anderem auf den E-Mail-Marketing-Dienstleister.

MailChimp und der Datenschutz – die Praxis

Dass MailChimp bzw. The Rocket Science Group alle Anforderungen erfüllt, lässt sich unter den folgenden Links leicht nachvollziehen.

Soweit ist eigentlich alles geklärt. Wir müssten da aber noch mit zwei Missverständnisse aufräumen.

  1. Gerücht: Safe Harbor ist nicht mehr gültig
  2. Fakt: Die Aufklärungspflicht über die Datenverarbeitung muss nicht nur bei MailChimp, sondern auch beim MailChimp-Kunden/-Nutzer erfolgen.

Schriftliche Vereinbarung lt. § 11 Abs. 2 BDSG

Die von einigen Datenschützern geforderte schriftliche Vereinbarung zur Auftragsdatenverarbeitung (gemäß § 11 Abs. 2 BDSG) stellt MailChimp überdies natürlich auch zur Verfügung, sofern dies explizit gewünscht wird. Der MailChimp Deutschland-Dienstleister hat ein entsprechendes Muster zur Verfügung gestellt (siehe Abbildung unten). Kunden können die Vereinbarung dort, soweit gewünscht und noch nicht geschehen, anfordern.

Safe Harbor ist nach wie vor gültig

Ja, im Zuge von Prism und Echelon gab es Bestrebungen des Europäischen Parlaments, das Safe Harbor-Programm zu überarbeiten. Diese Bestrebungen haben immer noch Bestand. Genauso wie Safe Harbor selbst. An der Gültigkeit von Safe Harbor hat sich Stand heute (Februar 2015) nichts geändert. Wie im Übrigen auch auf der Internetseite des Bundesdatenschutzbeauftragten zu lesen ist.

Datenschutzerklärung des MailChimp-Nutzers

Kern des Pudels ist die Information des MailChimp-Nutzers an den Verbraucher, der Mails und Newsletter lesen möchte, die via MailChimp verschickt werden. Und da hat der Webseitenbetreiber und der Onlineshopbetreiber die gleichen Informationspflichten, wie bei der Nutzung von Twitter, Google-Diensten, Facebook, Bonitätsauskünften etc. pp. auch. Hieran ändert MailChimp nichts und auch nicht Safe Harbor.

Man kann das Ganze natürlich auch noch juristisch betrachten, wie es zum Beispiel Michael Pfeiffer von Dury Rechtsanwälte im Dezember 2014 getan hat. Wer sich für die Hintergründe interessiert, möge bitte den Artikel „Safe Harbor und der Datenschutz: Umstrittene Datenübermittlung in die USA“ lesen. Kurz und vereinfacht zusammengefasst: Lieber MailChimp-Nutzer, bitte kläre Deine Webseitennutzer und Newsletter-Abonnenten so auf, wie es deutsche und europäische Gesetze und Verordnungen verlangen.
Weiterlesen auf der nächsten Seite!

1 2