Im Juli 2020 entschied der Europäische Gerichtshof, dass der vom EU-US Privacy Shield gebotene Schutz personenbezogener Daten unzureichend ist, da er nicht der DS-GVO entspricht. Viele US-amerikanische Unternehmen, die europäische Nutzerdaten verarbeiten (wie Mailchimp, Active Campaign, Campaign Monitor und andere führende E-Mail-Marketing-Softwares, Sendgrid, SMTP.com und Mailgun sowie andere professionelle SMTP-Dienste), stützten sich auf das Privacy Shield, das die Ausarbeitung einer Art Selbstzertifizierung vorsah, in der die Annahme angemessener Datenschutzmaßnahmen erklärt wurde.
Mit der Aufhebung dieses Abkommens zwischen den USA und der EU scheint die einzige Möglichkeit für US-Firmen hier weiterhin tätig sein zu können, die Verlegung des Firmensitzes nach Europa zu sein. Aufgrund dieser Tatsachen müssen Sie möglicherweise europäische Alternativen zu Mailchimp finden, die den Schutz Ihrer persönlichen Daten gemäß der DS-GVO gewährleisten.
EU-Datenschutzregeln für nicht-europäische Unternehmen
Der Europäische Gerichtshof hat gegen das EU-US-Schild entschieden, weil die innerstaatliche Regelung der USA keine ausreichenden Datenschutzgarantien bieten. Dennoch wurden vertragliche Datenklauseln für US-Unternehmen als gültig anerkannt, allerdings nur, wenn sie von anderen Schutzmaßnahmen begleitet werden, die die Verträge vollständig mit der DS-GVO in Einklang bringen.
Wer Mailchimp oder andere US-Systeme für den Versand seiner E-Mails nutzt, sollte in jedem Fall sicherstellen, dass der Empfänger der Übermittlung von Daten außerhalb der EU ausdrücklich zugestimmt hat, nachdem er über die möglichen Risiken informiert wurde.
Im Wesentlichen sollte das im Zusammenhang mit der Datenübermittlung aus Europa in Drittländer erforderliche Datenschutzniveau (d. h. alle angemessenen Garantien, durchsetzbaren Rechte und wirksamen Rechtsbehelfe), dem von der EU garantierten Niveau entsprechen.
Aus diesem Grund (aufgrund unterschiedlicher Rechtssysteme, Entfernungen und Sprachunterschiede gibt es möglicherweise keine wirkliche Gleichwertigkeit) fühlen sich viele europäische Unternehmen trotz der Gültigkeit der Klauseln vermutlich nicht wohl dabei, ihre Daten an einen US-amerikanischen E-Mail-Marketingdienst anzuvertrauen.
DS-GVO und E-Mail-Marketing nach Abschaffung des Privacy Shields
Im Falle einer E-Mail-Marketing-Plattform erfolgt der Datentransfer auf Servern in den USA und die Behandlung der Daten unterliegt den inneramerikanischen Vorschriften, so dass es für ein amerikanisches Unternehmen schwierig ist, die gleichen Datenschutzstandards zu gewährleisten wie ein europäisches Unternehmen, das sich an der DS-GVO orientiert. Die in den europäischen Staaten geltenden Rechtssysteme unterscheiden sich de facto stark von denen in den Vereinigten Staaten, und auch in Bezug auf den Schutz der Privatsphäre hat das nationale Recht immer Vorrang.
Die Entscheidung des Europäischen Gerichtshofs scheint endlich den europäischen Unternehmen zu Hilfe zu kommen, die immer im Schatten der amerikanischen standen. Während US-Firmen wie Mailchimp in aller Ruhe auf dem Gebiet tätig sind, ohne sich an steuerliche Vorschriften halten zu müssen.
Schlussfolgerungen
Kürzlich entschied das Bayerische Landesamt für Datenschutzaufsicht gegen Mailchimp, da es die angebotenen Garantien für die Datenübermittlung in die USA als unzureichend erachtete. Es wurde keine Geldstrafe gegen das US-Unternehmen verhängt, sondern lediglich eine Verwarnung ausgesprochen, die dennoch einen Präzedenzfall darstellt.
Die Übermittlung von Daten in Drittländer sollte infolgedessen als rechtswidrig angesehen werden, wenn die CEC-Klauseln nicht von zusätzlichen Maßnahmen begleitet werden, die eine vollständige Einhaltung der DS-GVO ermöglichen.