Auswirkungen des Privacy Shield Urteils auf E-Mail Marketing
Neben der Vereinbarung selbst wurden Zusicherungen der US-amerikanischen Bundesregierung schriftlich festgehalten. Darunter fallen strenge Auflagen für Unternehmen und eine konsequente Durchsetzung, klare Schutzvorkehrungen und Transparenzpflichten beim behördlichen Datenzugriff und ein wirksamer Schutz der Rechte von EU-Bürgerinnen & Bürgern. Der sog. Judicial Redress Act eröffnete zudem eine Klagemöglichkeit, um etwaige Verletzungen des Datenschutzes geltend zu machen. So zumindest die Theorie im Jahr 2016.
Bereits von Beginn an gab es kritische Stimmen seitens bürgerrechtlicher Vereinigungen und juristischen Experten. Der Schutz reiche mitnichten aus und man könne sich nicht auf die ausgesprochenen Zusicherungen verlassen. Kritiker prophezeiten, dass auch dieses Abkommen, wie schon dessen Vorgänger „Safe Harbor“, früher oder später scheitern wird.
Das Privacy Shield
Der EU-US Privacy Shield, auch bekannt als EU-US Datenschutzschild, ist – oder besser war – ein informelles Abkommen zwischen den USA und der Europäischen Union. Ziel ist es, personenbezogene Daten von EU-Bürgern auch in den USA zu schützen. Die Datenschutzstandards sollten hierbei dem europäischen Vorbild entsprechen.
Nun hat das EuGH das Abkommen aufgrund von behördlichen Zugriffmöglichkeiten und den einhergehenden Verstoß gegen die Schutzvorkehrungen und Transparenzpflichten gekippt.
Folgen des Urteils
Das Urteil betrifft vor allem internationale Unternehmen mit Serverstandorten in den Vereinigten Staaten und den Datentransfer von Europa in die USA. Prinzipiell ist ein transatlantischer Datentransfer möglich, solange man über ein gültiges Rechtsinstrument verfügt, welches die Sicherheit und den Schutz personenbezogener Daten vor unberechtigten Zugriffen garantiert.
Hier stellt sich die Frage, ob die bisherige „Standardvertragsklausel“ (Standard Contractual Clauses, kurz SCC) den erforderlichen Datenschutzbestimmungen dennoch gerecht wird. Die SCC ist eine freiwillige Verpflichtung von Unternehmen außerhalb der EU, die garantieren soll, Datenschutzrichtlinien auch im Drittland nach EU-Standard einzuhalten. Sie wurde oft zusätzlich neben dem Privacy Shield getroffen.
Laut Urteil sind diese zwar nach wie vor zulässig, doch ist vor einem Datentransfer zu prüfen, ob die Daten auch nach europäischem Verständnis vor staatlichen Zugriffen geschützt sind.
Auswirkungen im E-Mail-Marketing
Diese Entscheidung führt nun zu großer Unsicherheit – auch im E-Mail Marketing. Viele Unternehmen nutzen zum Versand Ihrer Newsletter die amerikanische Software Mailchimp, welche bisher unter den Privacy Shield gefallen ist und sich zusätzlich über eine SCC absichert. Mailchimp selbst versichert seinen Nutzern, über die weiterhin geltende Standardvertragsklausel, allen Anforderungen des europäischen Datenschutzes gerecht zu werden.
Bei der Nutzung von Newsletter Softwares werden nun nicht ausschließlich Ihre eigenen Daten übermittelt, sondern auch die aller Ihrer Kontakte und Empfänger. Mailchimp hat alle Arten von Verwendungen der Daten in ihren Datenschutzbestimmungen aufgelistet. Darunter fallen auch behördliche Anfragen und Strafverfolgungen.
An sich entspricht dies den geltenden Regelungen in Deutschland. Auch hier dürfen Daten im Zuge einer Strafverfolgung weiterverarbeitet werden, solange eine Zweckkompatibilität vorliegt (vgl. Art. 5 DSGVO). Allerdings tritt hier wieder der Grund in den Vordergrund, warum das Privacy Shield überhaupt erst gekippt wurde: Die gesetzlichen Regelungen in den USA. Es ist schwer nachweisbar, wie die Strafverfolgung in den Staaten vorgeht und wie leicht oder schwer es für amerikanische Behörden ist, an personenbezogene Daten heranzukommen.
Um sicher zu gehen, rechtlich im legalen Rahmen zu handeln, sollten Daten deshalb aktuell gar nicht erst auf Server in die USA übertragen oder verarbeitet werden. Dies ist insbesondere zu empfehlen, da Verstöße gegen die Datenschutzverordnung mit hohen Strafen belegt sind. Sollten Sie dennoch einen Anbieter mit Servern in den USA wählen, empfehlen wir dringend, dies durch Ihren Datenschutzbeauftragten im Unternehmen absichern zu lassen.
Für unsere Europäischen Kunden befinden sich die Mailograf Server ausschließlich innerhalb der EU und bieten damit die optimalen Voraussetzungen für einen hochwertigen Datenschutz – auch ohne Privacy Shield.
Paul Treubrodt, Mailograf