Mailchimp unter Beschuss wegen GDPR.

Ecommerce wäre ohne E-Mail-Marketing nicht möglich. Und wenn Sie an E-Mail-Marketing denken, fällt Ihnen schnell Mailchimp ein, eine der meistgenutzten Plattformen, um Ihre Newsletter und Updates an Ihre Kunden zu bringen. Aber Mailchimp ist unter Beschuss. Schließlich läuft die Plattform auf amerikanischen Servern. Ihre Verwendung scheint also gegen niederländische und europäische Datenschutzgesetze zu verstoßen. Sie sind gewarnt!

Mailchimp ist die beliebteste E-Mail-Marketing-Software der Welt. Was 2001 als Hobby der Entwickler Ben Chestnut und Mark Armstrong begann, entwickelte sich zu einem großen Geschäft. Der wichtigste Impuls war die Entscheidung im Jahr 2009, den Dienst bis zu einem gewissen Grad kostenlos anzubieten. Die Zahl der Nutzer wuchs schnell. Mailchimp ist heute für den weltweiten Versand von Milliarden von E-Mails pro Monat verantwortlich. Aber es gibt jetzt eine ernsthafte Bedrohung für die europäischen Nutzer. Mailchimp ist nicht AVG-sicher.

Mailchimp verstößt gegen AVG

Die Allgemeine Datenschutzverordnung (GDPR), die seit 2018 in den EU-Ländern gilt, beginnt, der beliebten Cloud-Lösung für E-Mail-Kampagnen in die Quere zu kommen. Lange Zeit schien alles in Ordnung zu sein. Doch dann nahm die Laus im Pelz der globalen Datenindustrie, die NOYB, eine beliebige Organisation in Deutschland ins Visier, weil sie Mailchimp nutzte. Die Weitergabe von E-Mail-Adressen an das amerikanische Unternehmen Mailchimp soll gegen das AVG verstoßen. Denn die Verordnung verbietet die Speicherung von Daten außerhalb der EU.

Die Weitergabe der Adressen diente keinem anderen Zweck als dem effizienten und automatisierten Versand von E-Mails. Dies war die Verteidigung der fraglichen Organisation. Dies hat den Datenschutzbeauftragten des Bundeslandes Bayern jedoch nicht beeindruckt. Die Aufsichtsbehörde entschied, dass die Übermittlung personenbezogener Daten unrechtmäßig war. Mit anderen Worten: die Verwendung von Mailchimp wurde als strafbar eingestuft. Es gab keine eigentliche Strafe (Geldstrafe), aber die Diskussion über den Datenaustausch zwischen Europa und den USA wurde neu eröffnet.

Lücke im Privacy Shield

Der wunde Punkt in der Diskussion ist, dass die Geheimdienste in den USA die Datenbanken von Cloud-Anbietern wie Mailchimp einsehen können und dürfen. Bis 2020 gab es dafür die sogenannte Privacy-Shield-Verordnung. Dabei handelte es sich um eine Reihe von Abkommen mit den USA zum Schutz der europäischen Bürger vor den Interessen amerikanischer Schnüffler. Die Verordnung wurde vom Gerichtshof der Europäischen Union wegen der NOYB verbrannt. Seitdem ist der Datentransport in die USA nur noch erlaubt, wenn der Absender zusätzliche Sicherheitsmaßnahmen ergreift. Die deutsche Aufsichtsbehörde entschied, dass die Organisation, gegen die NOYB nun versuchsweise vorgegangen war, keine ausreichenden Sicherheitsvorkehrungen getroffen hatte, um zu verhindern, dass "Big Brother" hineinschaut.

Der Einbau solcher Schutzmaßnahmen ist jedoch nicht so einfach. Die Dachverband der europäischen Datenschutzbeauftragten (EDPB) arbeitet an Protokollen, die jedoch nur in Entwurfsform vorliegen. Die Organisation, die gerügt wurde - der Name wurde nicht bekannt gegeben - hat dies in ihrer Verteidigung angegeben, jedoch ohne Erfolg. Obwohl es sich nur um eine Warnung handelte, wurde Mailchimp als E-Mail-Marketing-Tool sofort über Bord geworfen, und es musste ein neues System eingerichtet werden. Die Frage ist nun: Sollten alle Ecommerce-Unternehmer, die Mailchimp verwenden, sich beeilen, eine neue Softwarelösung zu finden?

Diese Frage ist nicht so einfach zu beantworten. Anbieter von E-Mail-Marketing-Tools sind natürlich dankbar für diese Situation und nutzen den Ärger um Mailchimp, um ihre eigenen Produkte zu bewerben. Und machen Sie ihnen keinen Vorwurf. Es kursieren immer mehr Listen mit bezahlten beste Wahlmöglichkeiten im Internet, mit dem Einleitungstext: „Mailchimp kann aus dem Fenster verschwinden, weil Software aus den USA nicht der DSGVO entspricht.“

Soll ich mit Mailchimp weitermachen oder nicht?

Vielleicht ist das ein bisschen kurzsichtig, aber eine solche Liste ist nie schlecht, wenn man auf Nummer sicher gehen will, indem man Mailchimp im Voraus kündigt. Doch trotz der Entscheidung der deutschen Datenschutzbehörde ist es sehr fraglich, ob dies sofort notwendig ist. Zunächst einmal ist ungewiss, ob die Entscheidung der Regulierungsbehörde Bestand gehabt hätte, wenn die betroffene Organisation ein höheres Gericht angerufen hätte. Mailchimp selbst behauptet, die Vorschriften einzuhalten. Mailchimp stützt sich dabei auf die so genannte Standardvertragsklauseln, Musterverträge, die sowohl von der Europäischen Kommission genehmigt wurden.

Mailchimp verfügt seit 2022 über ein Rechenzentrum in der EU. Das sollte das Problem beseitigen. Drittens arbeiten die EU und die USA an neuen Abkommen, die die Lücke im oben genannten Privacy Shield schließen sollen. Doch das Urteil des bayerischen Datenschutzbeauftragten gegen Mailchimp kann natürlich Konsequenzen haben. Dem Beispiel der deutschen Aufsichtsbehörde folgend, besteht immer die Möglichkeit, dass die niederländische Aufsichtsbehörde, die niederländische Datenschutzbehörde, auch Unternehmen bezüglich der Verwendung von Mailchimp oder anderen Tools und Plattformen anspricht, die auf Servern in den USA laufen.

Behörde für personenbezogene Daten bleibt stumm

Im Übrigen gibt es noch keine Anzeichen, die in diese Richtung weisen. Auf der Website der niederländischen Aufsichtsbehörde für den Schutz der Privatsphäre gibt es noch keinen Hinweis auf Risiken, die mit der Nutzung des beliebten E-Mail-Marketing-Tools verbunden sind. Aber Vorsicht: Dies ist keine Garantie für eine sorgenfreie Zukunft im interkontinentalen Datenverkehr. Generell gilt: Wenn Sie keinen Ärger wollen, ist es besser, wenn Sie alle Ihre Daten in Europa speichern und verarbeiten. Die wichtigste Schlussfolgerung ist jedoch, dass der ganze Wirbel um Mailchimp zu Verwirrung führt.

E-Mail-Paket ersetzen?

Aus Vorsichtsgründen entscheiden sich immer mehr Unternehmen für europäische Unternehmen. Also nicht nur Server in der EU, sondern ein ganzes EU-Unternehmen. Glücklicherweise gibt es auch in der EU eine große Auswahl und es gibt jede Menge gute Alternativen. Benötigen Sie Hilfe bei der Auswahl der richtigen Lösung? Informieren Sie uns bitte. Wir helfen Ihnen gerne weiter.