Weiterhin rechtliche Risiken beim Einsatz von MailChimp

Wir hatten bereits 2015 in unserem Blog über die datenschutzrechtlichen Probleme beim Einsatz des E-Mail Newsletter Systems MailChimp berichtet. Wir bekommen nun immer mehr Anfragen von Werbeagenturen und Webdesignern zu MailChimp und dem Privacy-Shield Abkommen. Die am häufigsten gestelle Frage ist, ob MailChimp nun durch Privacy-Shield rechtskonform einsetzbar ist.

MailChimp Additional Terms for Data Processing

Es scheint so, als hätte MailChimp seine Verträge seitdem umgestellt, um nun den Anforderungen des EU-Rechts an die Datenverarbeitung in den USA zu genügen.

Wir haben bereits vor knapp 3 Jahren, auf Grundlage des Data Processing Agreement (DPA) aus dem Jahr 2014, ein Gutachten erstellt. Im Vergleich zum aktuellen DPA von Mailchimp aus dem Jahr 2017 ist bereits in der Überschrift erkennbar, dass Mailchimp wohl versucht die EU-Standardvertragsklauseln in seinem Vertragswerk zu berücksichtigen. Inwiefern dies gelungen ist haben wir bisher noch nicht im Detail überprüft.

Erste Einschätzung

Unsere erste Einschätzung geht allerdings dahin, dass wenn Mailchimp die EU-Standardvertragsklauseln in Rahmen seines 2017er DPA („MailChimp Additional Terms for Data Processing“) einhält, der Datenverarbeitungsprozess bei der Nutzung von Mailchimp wahrscheinlich formell datenschutzkonform sein dürfte. Dies gilt jedenfalls dann, wenn Mailchimp sich auch dem EU-USA-Privacyshield Abkommen unterworfen hat. Diese Unterwerfung wird in der Datenschutzerklärung von MailChimp unter Ziffer 16 wie folgt angegeben:

16. Data Transfers from Switzerland or the EU to the United States
MailChimp participates in and has certified its compliance with the EU-U.S. Privacy Shield Framework and the Swiss-U.S Privacy Shield Framework. We are committed to subjecting all Personal Information received from European Union (EU) member countries and Switzerland, respectively, in reliance on each Privacy Shield Framework, to the Framework’s applicable Principles.

Wichtig in diesem Zusammenhang ist aber auch, dass wir davon ausgehen, dass das EU-USA-Privacy-Shield Abkommen einer gerichtlichen Überprüfung durch den EuGH ebenso wenig standhalten wird, wie das Vorgängerabkommen namens „Safe Harbor“, das im Dezember 2015 von dem EuGH für europarechtswidrig erklärt wurde. Inwiefern dann die EU-Standardvertragsklauseln weiterhelfen, müssten wir ggf. prüfen.

Fazit – Nutzen Sie lieber einen Anbieter aus der EU

Insgesamt raten wir momentan davon ab, entsprechende Services in den USA zu nutzen. Die rechtlich belastbarste Lösung wäre es, auf Services zu setzen, die innerhalb der EU gehostet werden.
Falls Sie dennoch MailChimp beim Kunden einsetzen wollten, sollten Sie den Kunden auf das Risiko hinweisen oder sich vorher anwaltlich beraten lassen, um Haftungsfälle und Bußgelder zu vermeiden.

Autor: Rechtsanwalt Marcus Dury LL.M. (IT-Recht) (Verfasst am 12. Juli 2017)

Rechtsanwalt Marcus Dury ist Fachanwalt für IT-Recht und Inhaber der IT-Recht Kanzlei DURY. Er hat sich auf die rechtliche Beratung im Bereich des IT-Rechts und den damit verbundenen Rechtsgebieten (Urheberrecht, Markenrecht und Wettbewerbsrecht) spezialisiert.
Xing Twitter Facebook Google+ Linkedin

Falls Sie weitere Fragen zur rechtssicheren Gestaltung Ihres Internetauftritts oder Online Shops haben, können Sie uns gerne kontaktieren. Unsere Website-Check Pakete enthalten neben der rechtlichen Prüfung auch die Erstellung der relevanten Rechtstexte.
Fordern Sie Ihre kostenlose Ersteinschätzung an!