Bayerns Datenschützer haben Mailchimp angezählt – was heißt das für Nutzer?

Das bayerische Landesamt für Datenschutz (BayLDA) hat einem Unternehmen untersagt, durch die Nutzung des Newsletterversenders Mailchimp Userdaten in die USA zu übertragen. Das Unternehmen hatte zuvor nicht geprüft, ob zusätzlich zu Standardvertragsklauseln weitere Vorkehrungen nötig sind.

Es geht einmal mehr um das sogenannte Schrems-II-Urteil, das bereits im Sommer 2020 gefällt worden war. Damals war der EU-US-Privacy-Shield für nichtig erklärt worden. Diese Vereinbarung hatte zuvor US-Unternehmen die pauschale Möglichkeit offeriert, sich auf diesem Weg für einen Austausch von Daten zwischen der EU und den USA zertifizieren zu lassen. Ersatz brachten im Sinne der EU die Standardvertragsklauseln nach Artikel 46 der DSGVO, die als grundsätzlich für sicher und kompatibel zu europäischem Datenschutzrecht gelten. Allerdings wurde immer wieder darauf hingewiesen, dass unter Umständen Vereinbarungen mit US-Unternehmen getroffen werden müssen, die über die Standardvertragsklauseln hinausgehen.

Im konkreten Fall geht darum, dass ein Anbieter aus München die US-Software Mailchimp für den Versand eines Newsletters genutzt hat. Das Unternehmen hatte die oben beschriebene Prüfung weiterer Maßnahmen nicht durchgeführt. Laut Ansicht der obersten Datenschützer in Bayern ist der Anbieter Mailchimp allerding ein potenzieller „Electronic Communications Provider“. Diese können in den USA von zahlreichen Behörden dazu gezwungen werden, Nutzerdaten an die Behörden abzugeben – ein absoluter Verstoß gegen hiesiges Datenschutzrecht gemäß DSGVO.

Ein Kunde des bayrischen Unternehmens hatte Beschwerde dagegen eingelegt, dass seine Daten via Mailchimp in die USA gelangen. Daher hat das BayLDA im vorliegenden Fall dem betroffenen Unternehmen die Nutzung von Mailchimp bis auf Weiteres untersagt.

Zusätzliche Prüfungen sollten erfolgen

Damit ist keineswegs gesagt, dass die Nutzung von Mailchimp generell zu unterlassen ist. Allerdings sollten Unternehmen, die auch künftig mit der amerikanischen Software-Marke arbeiten wollen, Prüfungen vornehmen, die über die Standardvertragsklauseln hinausgehen. Wichtig ist dabei, dass überhaupt eine Prüfung erfolgt und dokumentiert wird. Die Prüfung sollte drei wesentliche Aspekte beinhalten. Dazu gehört die Überprüfung, ob ein alternatives News-Letter-Versandtool für das Unternehmen in Betracht kommt, idealerweise eines Anbieters mit Sitz in der EU. Dabei ist natürlich zu berücksichtigen, dass die Basisversion von Mailchimp Kunden gratis zur Verfügung steht. Dennoch ist abzuwägen, ob die Aufwendungen für eine kostenpflichtige Software nicht zumutbar wären. Darüber hinaus sollten Mailchimp-Anwender abschätzen, wie hoch die Gefahr für ihre User ist, in den Fokus amerikanischer Behörden zu geraten. Das ist beispielsweise dann der Fall, wenn im Newsletter US-kritischer Inhalt zum regelmäßigen Content gehört – wer solchen konsumiert, gilt für US-Behörden natürlich eher verdächtig, als Käufer von Produkten. Als weiteres Detail wird empfohlen, die Services, die Mailchimp über die Standardvertragsklauseln hinaus seinen Kunden anbietet, zu prüfen und gegebenenfalls mit Mailchimp in Kontakt zu treten, um Details abzusprechen.

Fazit: Das BayLDA hat kein Urteil gefällt, sondern einmalig einem Unternehmen die Nutzung von Mailchimp untersagt. Gleichwohl sollten alle Unternehmen, die Mailchimp nutzen, die oben beschriebene Überprüfung durchführen und unter Umständen zu einem anderen Anbieter wechseln. Dem betroffenen Unternehmen wurde kein Bußgeldbescheid zugestellt, dennoch kann eine Untersagung, Mailchimp oder eine andere US-Software zu nutzen, zu sehr viel Aufwand und spontanen Kosten führen. Dagegen nimmt sich die vorherige freiwillige Prüfung als deutlich günstigere Variante aus.