Zum Inhalt springen

Gefahren durch den E-Mail-Dienstleister Mailchimp 

Es bestehen Warnungen vor der Nutzung der Dienstleistungen des US-amerikanischen Unternehmens Mailchimp. Es bietet einen cloudbasierten Service an, mit dem Unternehmen automatisiert Newsletters und sonstige Werbemails an Kunden und Interessenten schicken können. Solchen Mails müssen private Verbraucher grundsätzlich zustimmen. Lediglich bei Geschäftskunden ist die Zusendung auch ohne Einwilligung erlaubt, wenn der Versender davon ausgehen kann, dass der Empfänger ein Interesse an der Nachricht haben könnte.

Kritik an der Werbeanmeldung per Single-Opt-In

Für die Zustimmung zu einem Newsletter oder sonstiger E-Mail-Werbung gibt es grundsätzlich zwei Möglichkeiten: 

  • Single-Opt-In: Der Kunde bestätigt einmalig sein Einverständnis zur Zusendung von Werbung an seine bekannte E-Mail-Adresse.
  • Double-Opt-In: Der Kunde bestätigt zunächst sein Einverständnis zur Zusendung von Werbung an seine bekannte E-Mail-Adresse. Danach schickt ihm das Unternehmen nochmals eine Bestätigungsmail. Erst wenn er in dieser einen Link anklickt, gilt die Zustimmung als erteilt.

Mailchimp hat in seinen Einstellungen das Verfahren Single-Opt-In voreingestellt. Daran gab es von Anfang an Kritik von Datenschützern, und zwar schon vor 2018, also dem Inkrafttreten der DSGVO.

Geschichtlicher Verlauf

In Europa ist Double-Opt-In üblich und gilt als sicher für den Verbraucher. Die gewerblichen Kunden von Mailchimp begeben sich also in eine stetige Abmahngefahr. Sie hatten lediglich bis zum 31. Oktober 2017 die Möglichkeit, der Einstellung Single-Opt-In zu widersprechen, was viele Geschäftskunden verpasst haben dürften. Ursprünglich hatte Mailchimp sogar in den frühen 2010er Jahren beide Varianten der Zustimmung integriert, doch 2017 stellte die Firma grundsätzlich auf Single-Opt-In um, wovon auch bereits bestehende Kundenkonten betroffen waren, selbst wenn sich deren Inhaber für Double-Opt-In entschieden hatten.

Mit dem Inkrafttreten der DSGVO verschärfte sich ab Mai 2018 das Problem, denn der Datenverkehr in die USA wird seither sehr streng beobachtet. Zwar sehen sowohl das schon vorher bestehende Bundesdatenschutzgesetz als auch die Datenschutzgrundverordnung lediglich vor, dass ein Kunde der Zusendung von Werbung „ausdrücklich zustimmen“ muss, was theoretisch auch mit Single-Opt-In möglich ist. Doch praktisch alle in der EU tätigen Anbieter entscheiden sich wegen der deutlich höheren Rechtssicherheit für Double-Opt-In. Single-Opt-In birgt nämlich die Gefahr, dass eine fremde Person in das Formular des Anbieters eine beliebige (nicht die eigene) E-Mail-Adresse einträgt, zu der dann Werbung geschickt wird.

Der Empfänger hat seine Zustimmung nicht gegeben und muss fortan mit der unerwünschten Werbung leben. Der Händler, der Mailchimp verwendet, müsste im Abmahnverfahren beweisen, dass der betreffende Kunde seine Zustimmung gegeben hat, was zweifelsfrei nur mit dem Double-Opt-In-Verfahren möglich ist. Wenn eine dritte Partei also Mailchimp massiv missbraucht, was beispielsweise durch ein Konkurrenzunternehmen geschehen könnte, wäre ein Händler schlimmstenfalls mehreren Hundert bis Tausend Abmahnverfahren ausgesetzt, was den wirtschaftlichen Ruin bedeuten kann.

Gerichtliche Entscheidungen zu MailChimp

Schon weit vor dem Inkrafttreten der DSGVO hatte das Landgericht Essen geurteilt, dass Double-Opt-In der einzig sichere Weg für die Versender von E-Mail-Werbung ist, eine Abmahnung und/oder Schadenersatzforderungen abzuwenden (LG Essen, Urteil vom 20.04.2009, Az. 4 O 368/08).

Der Hintergrund ergab sich schon damals aus dem Misstrauen vieler Menschen gegenüber dem Datenabfluss. Die Daten fließen nämlich in ein Gebiet außerhalb der EU, in diesem Fall in die USA. Datenschützer halten diese Bedenken für berechtigt. Unter anderem weist das BayLDA (Bayerisches Landesamt für Datenschutz) immer wieder auf dieses Problem hin.

Wenn nun jemand wie beschrieben Mailchimp missbraucht und somit die E-Mail-Adresse eines EU-Bürgers ohne dessen Einverständnis auf einen US-Server gelangt, ist das spätestens seit Mai 2018 direkt rechtswidrig nach Artikel 44 DSGVO.

Die europäische Datenschutzgrundverordnung hat die einschlägigen Vorschriften nochmals nachgeschärft. In Europa geht man davon aus, dass US-Geheimdienste häufiger auf Daten zugreifen, die sich auf Servern in den USA befinden. Es gibt zwar einen sogenannten EU-US-Datenschutzschild, der das Abschöpfen europäischer Daten durch US-Behörden verhindern soll. Der EuGH urteilte allerdings 2020, dass dessen Schutz nicht genügt (EuGH, Urteil vom 16.07.2020, Az.: C-311/18). Spätestens seither müssen Unternehmen bei der Zusendung von E-Mail-Werbung an private Verbraucher extrem umsichtig agieren. Double-Opt-In wird allenthalben empfohlen. 

Fazit

Solange Mailchimp ausschließlich mit Single-Opt-In operiert, ist von der Verwendung dieses E-Mail-Dienstes abzuraten. Es gibt ausreichend viele Alternativen.

Björn Wrase

Björn Wrase

RA Björn Wrase: Anwalt für AI/KI- & IT-Recht, Medien- und Urheberrecht, Wettbewerbsrecht, Markenrecht und DatenschutzView Author posts