Mailchimp ist ein US-amerikanischer Dienstleister für das Newsletter-Management. Der cloudbasierte Service stand schon vor Jahren in der Kritik, weil er bewusst bei den Anmeldungen für E-Mail-Werbung den Kunden die Single-Opt-In-Methode anbot, während sich in Europa längst das verbraucherfreundlichere Double-Opt-In durchgesetzt hat. Die deutschen Geschäftskunden des Dienstes riskierten damit Abmahnungen. Nun warnt das BayLDA (Bayerisches Landesamt für Datenschutz) erneut vor dem Service. Hintergrund ist dieses Mal die Übertragung von Kundendaten in die USA, insofern wurde eine Warnung ausgesprochen.
Neue Datenschutzbedenken gegen Mailchimp
Das BayLDA erläutert im Frühjahr 2021 aus gegebenem Anlass, dass der Anbieter mit Daten nicht DSGVO-konform umgeht. Ein deutsches Unternehmen hatte das Mailchimp-Newsletter-Tool rechtswidrig verwendet, weil der Dienst die E-Mail-Adressen von Abonnenten auf US-amerikanische Server überspielt, die sich aus Sicht der DSGVO in einem Drittland befinden. Der Artikel 44 verbietet das. In den USA besteht die konkrete Gefahr, dass die dortigen Geheimdienste gern auf solche Daten zugreifen. Das betreffende Unternehmen argumentierte mit einer nur gelegentlichen Verwendung des Dienstes. Das spielt aber für die Würdigung eines ungeprüften und sorglosen Datentransfers in die USA keine Rolle.
Können Unternehmen den Dienst Mailchimp noch unbesorgt einsetzen?
Der EuGH hat zu solchen Fällen eine Entscheidung getroffen (C-311/18). Diese verpflichtet Unternehmen bei der Nutzung von bedenklichen Diensten, zusätzliche Maßnahmen für den Datenschutz zu prüfen. In der betreffenden EuGH-Entscheidung ging es konkret um den Schutz vor US-amerikanischer Überwachung.
Aus dieser Entscheidung erschließt sich, dass generell alle Nutzer des Mailchimp-Dienstes eine sogenannte Interessenabwägung durchführen müssen: Dabei sind die Vorteile des Dienstes gegen die mögliche Verletzung von Datenschutzinteressen abzuwägen. Wenn die ernsthafte Gefahr einer Datenschutzverletzung sehr real erscheint, könne man den Dienst eindeutig nicht nutzen, so das BayLDA. Es bezieht sich auf den Fall eines Nutzers, dessen E-Mail-Adresse vom Dienst auf US-Server überspielt worden war. Daraufhin erklärte das betroffene Unternehmen, den Mailchimp-Dienst mit sofortiger Wirkung nicht mehr zu nutzen. Erst durch diese Erklärung entging es einer Ahndung mit Geldbuße durch das BayLDA, welche der Nutzer beantragt hatte. Da das Risiko solcher Beschwerden bestehen bleibt, ist der Dienst in der Tat kaum zu empfehlen.
