Hände weg von Mailchimp & Co.


Seit dem EuGH-Urteil im Juli 2020 und dem Ende von Privacy Shield ist der Einsatz von amerikanischen Dienstleistern in unserem Fall von Newsletteranbietern datenschutzrechtlich unzulässig. Wer auf Systeme aus den USA setzt, hat einige große Datenschutz-Herausforderungen zu meistern.

Für alle Hoteliers bzw. Gastronomen, welche Mailchimp verwenden, ist die Entscheidung keine gute Nachricht. Sofern nicht zusätzliche Maßnahmen zum Schutz der Daten getroffen werden – was in der Praxis schwierig umsetzbar sein dürfte.

Somit haben die touristische Betriebe im Grunde zwei Möglichkeiten:

  • Grundsätzlich gibt es nichts am Einsatz eines Dienstleisters für den Versand von Newslettern auszusetzen, dies kann völlig rechtskonform gestaltet werden. Die Verarbeitung von E-Mailadressen für eine Newsletter, auch unter Einsatz eines Auftragsverarbeiters, ist über die Einwilligung der betroffenen Empfänger, durch einen eventuell bestehenden Vertrag oder auch über ein berechtigtes Interesse legitimiert.
  • Wir empfehlen am besten, zu einer europäischen Alternative zu wechseln. Dies ist die einzige sinnvolle Lösung. Denn es gibt genügend Newsletter-Anbieter in Europa, die ein gutes System anbieten.

Hierbei ist ebenfalls zu prüfen: wenn dieser NL-Anbieter einen amerikanischen Sub-Dienstleister einsetzt und über die „Hintertür“ erst recht wieder personenbezogene Daten ohne Rechtsgrundlage in die USA transferiert werden, dann nützt Ihnen der europäische Firmensitz des Anbieters wenig.

Sollten Sie trotzdem weiterhin mit Mailchimp agieren möchten, dann holen Sie dringend die Zustimmung durch die Betroffenen ein. Dabei muss allerdings jeder Betroffene über das Risiko aufgeklärt werden, das eine Speicherung seiner Daten bei einem amerikanischen Unternehmen mit sich bringt, und diesem ausdrücklich zustimmen.

Die bestehenden Newsletter-Empfänger können Sie leider ohne Zustimmung aus dem Verteiler löschen.

Der Abschluss von Standardvertragsklauseln (Standard Contractual Clauses, SCC), dabei handelt es sich im Grunde um einen Vertrag, dessen Inhalt von der EU-Kommission vorgegeben ist, und dessen Einhaltung ein ausreichendes Datenschutzniveau garantieren soll, reicht nicht aus.

Quelle: März 2021, E-Mail-Marketing-Academy.at