Warning: session_start(): Cannot start session when headers already sent in /var/www/html/includes/auth.inc.php on line 2

Ist bald Schluss für Mailchimp?

Guido Kluck, LL.M. | 7. Mai 2021

Das Bayrische Landesaufsichtsamt hat am 15.03.2021 entschieden, wie der Kompromiss zwischen einem Cloud Service und dem Datenschutz auszusehen hat. (Az. LDS-1085.1-12159/20-IDV)

Alles was Sie zu diesem Thema wissen müssen, erfahren Sie in diesem Artikel!

Was ist Mailchimp?

Mailchimp ist eine bekannte und häufig verwendete E-Mail Marketing-Automation-Software. Das Ziel von Direktmarketing ist es, eine persönliche Ansprache Ihrer Kunden, Partner und Interessenten zu ermöglichen, ohne dabei den Aufwand einer persönlichen E-Mail zu haben. Dafür lässt sich MailChimp mit verschiedenen CRM- und Shop-Systemen wie Magento verbinden, um die Informationen daraus direkt in Ihre Kommunikation einfließen zu lassen. Außerdem können Sie Kunden manuell oder automatisiert dank Segmentierung in Zielgruppen einteilen. 

Rechtstipp: Achtung ist geboten, da alle Daten von MailChimp auf Servern in den USA gespeichert werden. Deshalb müssen Sie die Bestimmungen, die für die Datenspeicherung in den USA gelten, erfüllen und keine europäischen Bestimmungen!

Sachverhalt

Der Betroffene hatte sich beim BayLDA bezüglich der Nutzung des Newsletter-Tools Mailchimp durch ein Unternehmen beschwert. Er gab an, dass die Weitergabe von E-Mail-Adressen von Abonnenten des Newsletters der Beschwerdegegnerin an den Anbieter von Mailchimp nach Art. 44 ff. DSGVO rechtswidrig und mit einem Bußgeld Zu bestrafen ist . 

Der Verantwortliche teilte daraufhin mit, dass er Mailchimp nur zweimal genutzt habe und bereits die Nutzung eingestellt hat.

Übermittlung der E-Mail Adresse gem. EU-Standarddatenklauseln 

Die Übermittlung der E-Mail Adresse des Betroffenen an Mailchimp erfolgte auf Basis von EU-Standarddatenschutzklauseln. Es gab aber Anhaltspunkte dafür, dass der Anbieter von Mailchimp als „electronic communication service provider“ unter das US-Überwachungsrecht fällt.

Rechtstipp: Es besteht hier dann die Gefahr, dass die übertragenen E-Mail Adressen von US-Geheimdiensten eingesehen werden können.

Lesen Sie hier unseren Beitrag zum Thema: “Privacy Shield – Das muss man nun wissen

Der Datenverantwortliche hat nicht geprüft, ob zusätzliche Maßnahmen zum Schutz der übertragenen Daten vor US-Überwachung getroffen werden.

Rechtstipp: Allein die fehlende Prüfung ergänzender Schutzmaßnahmen stellt einen Verstoß gegen die DSGVO dar.

Fazit

Spätestens seit dem Schrems-II-Urteil des EuGH vom Juli 2020 ist klar, dass es zurzeit an einer Rechtsgrundlage für die Mehrheit aller Übermittlungen fehlt. 

Die Nutzung von Mailchimp ist aktuell noch nicht rechtswidrig. Jedoch sollten Verwender aufpassen, da allein vertragliche Maßnahmen (auch keine SCC) nicht als Schutz bei der Übermittlung personenbezogener Daten an US Service Provider ausreichen.

Rechtstipp: Wir raten Verwendern von Mailchimp zusätzliche technische Maßnahmen wie z.B. Verschlüsselung oder die Einwilligung der Betroffenen vorzunehmen. Hierbei stehen wir Ihnen beratend zur Seite!

Unternehmen mit betroffenen Systemen der Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) müssen umgehend gepatcht und dann umfassend überprüft werden. Bei Unternehmen, die bis dato untätig geblieben sind, muss von einer meldepflichtigen Datenschutzverletzung ausgegangen werden.

Wann besteht die Meldepflicht nach Art. 33 DSGVO bei der zuständigen Datenschutzaufsichtsbehörde? 

Folgende Punkte sind dabei besonders zu beachten:

Unternehmen, die die Sicherheitspatches vom 03.03.2022 nicht zeitnah oder noch nicht eingespielt haben und deren Exchange-Server aus dem Internet ohne weitere Schutzmaßnahmen (wie etwa VPN) erreichbar sind, müssen davon ausgehen, dass ihre Systeme mittlerweile kompromittiert sind und somit massive Sicherheits- und Datenschutzrisiken bestehen.

Rechtstipp: Sollten Unternehmen die erforderlichen Maßnahmen nicht ergreifen, kann es zu aufsichtsrechtlichen Maßnahmen kommen, die von der Datenschutzbehörde eingeleitet werden können! Sollten Sie die Risiken für die Daten nicht ausschließen können, müssen Sie dieses gem. Art. 33 DSGVO melden.

Für Neuanmeldungen zu Newslettern müssten Sie prüfen, ob zusätzlich eine ausdrückliche Einwilligung nach Art. 49 Abs. 1 Buchst. a DSGVO eingeholt wurde.

Sie haben Fragen zu diesem Thema? Melden Sie sich bei uns! Unser im Datenschutz- und IT-Recht spezialisiertes Team steht Ihnen gerne schnell und unkompliziert zur Seite und berät Sie gern.


Notice: Trying to access array offset on value of type bool in /var/www/html/blog/wp-content/plugins/advanced-custom-fields-pro/includes/api/api-template.php on line 471

Jetzt teilen:


Notice: Trying to access array offset on value of type bool in /var/www/html/blog/wp-content/themes/unify-lwp/functions.php on line 273

Guido Kluck, LL.M.

Rechtsanwalt Guido Kluck LL.M. ist Partner der Kanzlei LEGAL SMART am Standort Berlin. Er ist Ansprechpartner für das Recht der neuen Medien sowie für die Bereiche Wettbewerbsrecht, Markenrecht, Urheberrecht, IT-Recht, Vertragsrecht und das Datenschutzrecht (DSGVO).

ÜBER DIESEN AUTOR ARTIKEL VON DIESEM AUTOR

Das könnte Sie auch interessieren

Holen Sie sich Unterstützung

SIE HABEN NOCH FRAGEN?

Online Termin vereinbaren

Buchen Sie direkt online Ihren Termin für eine kostenlose Erstberatung. Der für Sie zuständige Rechtsanwalt wird Sie dann zu dem von Ihnen ausgewählten Termin anrufen.

Antworten per WhatsApp

LEGAL SMART beantwortet rechtliche Fragen auch per WhatsApp. Schreiben Sie uns einfach an und stellen Sie Ihre Frage. Antworten gibt es anschließend direkt auf Ihr Handy.

LEGAL SMART Anwaltshotline

Viele Fragen lassen sich mit einem Profi in einem kurzen Gespräch rechtssicher klären. Mit der LEGAL SMART Anwaltshotline steht Ihnen unser Anwaltsteam für Ihre Fragen zur Verfügung. Bundesweite Beratung über die kostenlose Anwaltshotline unter 030 - 62 93 77 980.

LEGAL SMART RECHTSPRODUKTE

ANWALTLICHE LEISTUNG ZUM FESTPREIS


Notice: Undefined variable: pdo in /var/www/html/cta-werbung.php on line 20

Fatal error: Uncaught Error: Call to a member function query() on null in /var/www/html/cta-werbung.php:20 Stack trace: #0 /var/www/html/blog/wp-content/themes/unify-lwp/single.php(279): include() #1 /var/www/html/blog/wp-includes/template-loader.php(106): include('/var/www/html/b...') #2 /var/www/html/blog/wp-blog-header.php(19): require_once('/var/www/html/b...') #3 /var/www/html/blog/index.php(17): require('/var/www/html/b...') #4 {main} thrown in /var/www/html/cta-werbung.php on line 20