Wie nutzt Du MailChimp datenschutzkonform?

Dieser Beitrag zeigt Dir auf, was Du beim Versenden von Newslettern und bei der Nutzung eines E-Mail-Marketing-Services beachten musst, damit Du die Datenschutzgrundsätze einhältst.

Brauchst Du für den Versand des Newsletters eine Einwilligung?

Wenn Du Massenwerbung versendest, musst Du das Gesetz gegen den unlauteren Wettbewerb beachten. Newsletter enthalten in der Regel Werbeelemente und stellen damit Massenwerbung dar.

In diesen Fällen muss vom Empfänger eine Einwilligung für den Versand des Newsletters eingeholt werden. Bei bereits bestehenden Kunden kann die Einwilligung ausbleiben, wenn sie über ähnliche Services und Produkte informiert werden, die sie bereits bezogen haben und wenn sie auf die Ablehnungsmöglichkeit hingewiesen wurden.

Du solltest ausserdem allen Empfängern die kostenlose Möglichkeit geben, sich vom Newsletter abzumelden (sog. Opt-Out).

Was musst Du generell bei der Nutzung von E-Mail-Marketing-Services beachten?

Ein E-Mail-Marketing-Service hilft Dir, Deinen Newsletter administrativ abzuwickeln. Du kannst bspw. Newsletter mittels verschiedener Bausteine erstellen und im Anschluss automatisiert an die definierten Empfänger versenden. Ausserdem unterstützt Dich der Service bei der Auswertung der versandten Kampagnen.

Wenn Du E-Mail-Marketing-Services verwendest, gibst Du Personendaten an diesen weiter. Beim E-Mail-Marketing-Service handelt es sich in der Regel um einen Auftragsbearbeiter. Deshalb musst Du die entsprechenden Sorgfaltspflichten bei der Auswahl und Beauftragung beachten. Tust Du dies nicht, machst Du Dich nach dem neuen Art. 61 revDSG strafbar und riskierst eine Busse.

Ausserdem musst Du in Deiner Datenschutzerklärung über den Einsatz des E-Mail-Marketing-Services informieren. Du musst ihn allerdings nicht namentlich nennen. Mehr zur Informationspflicht findest Du in unserem Beitrag: «Informationspflichten».

Was musst Du speziell bei der Nutzung von MailChimp beachten?

MailChimp ist ein US-amerikanisches Unternehmen und erbringt Dienstleistungen im Bereich des E-Mail-Marketing-Services. Dessen Nutzung ist in der Schweiz sowie auch in der EU sehr verbreitet.

MailChimp geriet allerdings unlängst in den Fokus von Deutschen Datenschutzaufsichtsbehörden, welche die Übermittlung von Kunden-E-Mailadressen in die USA als unzulässig erachten. Mehr Informationen zur Thematik Datenübermittlungen findest Du in unserem Beitrag: «Ist die Übermittlung von Personendaten aus der Schweiz in die USA noch möglich?».

Für die USA besteht zurzeit kein Angemessenheitsbeschluss der EU-Kommission (die Liste der Länder, deren Datenschutzniveau die EU-Kommission als angemessen erachtet, findest Du hier).

Das bedeutet, dass Du als Nutzer von MailChimp geeignete Garantien für den Schutz der übermittelten E-Mailadressen sicherstellen musst. Ansonsten ist die Übermittlung an MailChimp unzulässig und kann eine hohe Busse zur Folge haben.

Solche geeigneten Garantien sind bspw. Standardvertragsklauseln, welche von der EU-Kommission verabschiedet werden. Standardvertragsklauseln sind Vertragswerke, die zwischen Dir als Nutzer und MailChimp als Auftragsbearbeiter vereinbart werden.

Hier ein Grund zur Entwarnung: Mailchimp legt Dir die Standardvertragsklauseln beim Vertragsschluss in der Regel vor, d.h. Du hast sie vermutlich bereits abgeschlossen (vgl. Annex C im Data Processing Agreement von MailChimp). Wir empfehlen Dir, dies sicherheitshalber zu überprüfen.

ABER: Die EU-Kommission hat nun am 4. Juni 2021 neue Standardvertragsklauseln verabschiedet, die Du mit MailChimp bis Ende 2022 abschliessen musst (vgl. unseren Beitrag: «Datenexporten in die USA: EU Kommission verabschiedet neue Standardvertragsklauseln»).

Es reicht aber nicht, lediglich die neuen Vertragsklauseln zu akzeptieren. Du musst vielmehr eine Risikoeinschätzung vornehmen (sog. Transfer Impact Assessment, kurz «TIA»). Im TIA musst Du prüfen, welche Daten Du weitergibst und welche Risiken damit verbunden sind. Bspw. ist das Risiko einer Datenschutzverletzung bei der Weitergabe von E-Mailadressen kleiner als bei der Weitergabe von umfassenden Kundenprofilen.

Ausserdem bist Du verpflichtet, bei MailChimp Informationen zu vergangenen Datenzugriffen von US-Behörden zu verlangen.

Musst Du jetzt diesen ganzen Aufwand auf Dich nehmen?

Wir vermuten nicht. Denn wir rechnen damit, dass MailChimp auf Dich als Kunde zukommen und Dir ein geändertes Data Processing Agreement sowie ein vorformuliertes TIA vorlegen wird.

Dieselben Pflichten treffen Dich übrigens im Zusammenhang mit allen Services aus den USA, die Du zur Datenbearbeitung einsetzt, wie solche von Google, Facebook oder Clouddienste.

Wie geht das Team von datenschutz.law damit um?

Auch das Team von datenschutz.law nutzt die Dienstleistungen von MailChimp und sieht sich mit diesen Herausforderungen konfrontiert. Wir haben deshalb eine Risikoeinschätzung vorgenommen und gelangten zum Schluss, dass die übermittelten Angaben noch kein grosses Risiko für die Rechte und Freiheiten unserer Newsletter-Abonnenten bergen. Dies unter anderem, weil:

-       MailChimp Anfragen von US-Behörden bereits jetzt im jährlichen Transprency-Bericht publiziert (vgl. https://mailchimp.com/transparency-report/);

-       Es im Jahr 2019 nur sehr wenige Zugriffsanfragen gegeben hat;

-       MailChimp zusätzliche Verschlüsselungsmassnahmen zum Schutz vor Datenschutzverletzungen ergreift (vgl. https://mailchimp.com/de/help/mailchimp-european-data-transfers/).

Hast Du zur Nutzung von MailChimp oder weiterer Services aus Drittstaaten Fragen? Das Datenschutzteam von datenschutz.law berät Dich gerne!