EU-US Privacy Shield für unwirksam erklärt: Welche Folgen hat das Urteil für den Newsletterversand?
Im E-Mail-Marketing spielen personenbezogene Daten, allen voran die E-Mail-Adressen der Empfänger:innen, eine wichtige Rolle: Ohne sie wäre das Versenden von Newslettern erst gar nicht möglich. Am 16. Juli 2020 wurde der „EU-US Privacy Shield” (auch bekannt als „Schrems II“), eine Datenschutz-Absprache zwischen den USA und der EU, durch den Europäischen Gerichtshof für nichtig erklärt. Bis dato regelte das Abkommen den Schutz personenbezogener Daten, die zu gewerblichen Zwecken aus einem EU-Mitgliedsstaat in die USA übermittelt wurden. Hat das Urteil zum EU-US Privacy Shield auch Folgen für den Newsletterversand? Was bedeutet es für Nutzer:innen von US-Newsletter-Tools wie Mailchimp, dass deutsche Datenschutzbehörden im Juni 2021 angekündigt haben, eine länderübergreifende Unternehmensprüfung zum Drittlandstransfer zu starten?
1. Was wurde durch den EU-US Privacy Shield geregelt?
Der Schutz persönlicher Daten ist ein heikles Thema, das durch die zunehmende Digitalisierung und Globalisierung immer wieder in den Mittelpunkt der Aufmerksamkeit rückt. Gerade wenn einem Unternehmen mit Sitz in der EU personenbezogene Daten (z. B. von Kund:innen oder Geschäftspartner:innen) vorliegen und diese zur Verarbeitung europäischen Boden verlassen, wird es problematisch. Das liegt daran, dass sich EU-Regelungen zum Datenschutz in vielen Punkten von den datenschutzrechtlichen Vorgaben unterscheiden, die z. B. in den USA gelten. Mithilfe von länderübergreifenden Datenschutzvereinbarungen wird daher versucht, in solchen Fällen auf einen gemeinsamen Nenner zu kommen.
Nachdem das erste Datenschutzabkommen „Safe Harbor” zwischen der EU und den USA im Jahr 2015 gestoppt wurde, trat ein Jahr später die sogenannte „Privacy Shield”-Vereinbarung in Kraft. Auch diese Absprache diente zum Schutz personenbezogener Daten, die von einem Unternehmen mit Sitz in der EU zu gewerblichen Zwecken an ein Unternehmen in den USA übertragen wurden: Es sollte sichergestellt werden, dass europäische Datenschutzbestimmungen berücksichtigt werden, sobald Daten auf die andere Seite des Atlantiks übermittelt werden.
US-Firmen konnten dem EU-US Privacy Shield zustimmen und sich somit offiziell zur Einhaltung der EU-Datenschutzvorgaben verpflichten. Dadurch waren sie „Privacy Shield-zertifiziert”. Auf diese Weise sollte u. a. der transatlantische Handel gestärkt werden, ohne dass europäische Unternehmen dabei rechtliche Konsequenzen vonseiten der EU befürchten mussten.
2. Was hat sich durch die Außerkraftsetzung des Privacy Shields geändert?
Nachdem der EU-US Privacy Shield, häufig auch als „Datenschutzschild” bezeichnet, bereits einige Zeit auf der Kippe stand, wurde die Datenschutz-Vereinbarung schließlich am 16. Juli 2020 durch den Europäischen Gerichtshof endgültig für nichtig erklärt.
Das Urteil bedeutet nicht, dass fortan gar kein Datentransfer mehr zwischen EU-Mitgliedstaaten und den Vereinigten Staaten stattfinden darf. Kommt es zu einer Datenübertragung, darf diese jedoch nicht mehr auf der Grundlage einer Privacy Shield-Zertifizierung des jeweiligen US-Unternehmens basieren.
Stattdessen muss sichergestellt sein, dass das Datenschutzniveau in beiden Ländern gleich hoch ist. Dazu können u. a. die sogenannten EU-Standardvertragsklauseln als Basis für eine rechtmäßige Übermittlung der Daten dienen. Jedoch wurden auch hier die Anforderungen verschärft, was dazu führt, dass auch die Standardklauseln einen Datentransfer nicht mehr ohne Weiteres rechtfertigen können.
Es könnte sich daher für US-Unternehmen als schwierig erweisen, ein der EU gleichwertiges Datenschutzlevel nachzuweisen. Unter anderem, da personenbezogene Daten in den USA zum Teil vom Staat einsehbar sind. Gesetze wie der sogenannte „CLOUD Act”, die in den USA gelten, kollidieren mit dem Datenschutzniveau, das der europäischen Rechtslage zufolge gegeben sein muss, damit die Daten in die USA übertragen werden können. Dem CLOUD Act zufolge sind IT- und Webfirmen in den USA dazu verpflichtet, den US-Behörden Zugriff auf alle vorliegenden Daten zu erteilen – auch dann, wenn diese Daten z. B. auf Servern innerhalb der EU gespeichert werden. Das heißt, dass die US-Behörden auch personenbezogene Daten einsehen können, die ausschließlich auf EU-Servern liegen, wenn diese von einer amerikanischen Firma betrieben werden.
Regelungen wie diese haben dazu geführt, dass der EU-US Privacy Shield für US-amerikanische Unternehmen nicht mehr genügt, um eine Einhaltung europäischer Datenschutzbestimmungen vorzuweisen – was den Datentransfer über den Atlantik deutlich erschwert.
3. Welche datenschutzrechtlichen Folgen hat das Urteil für Newsletter-Versender:innen?
Der Newsletterversand lebt von der Erhebung und Speicherung personenbezogener Daten – vor allem natürlich der E-Mail-Adresse der Empfänger:innen, an die der Newsletter versendet wird. Verständlich, dass sich viele Versender:innen jetzt Sorgen machen: Hat das Urteil zum EU-US Privacy Shield auch Auswirkungen auf den Versand von Newslettern?
Mit einem EU-Newsletter-Tool
Die Frage lässt sich nicht pauschal beantworten, da es darauf ankommt, welches Newsletter-Tool Sie für den Versand Ihrer Mailings nutzen. Solange Sie eine Newsletter-Software mit Sitz innerhalb der EU nutzen, die auch die Empfängerdaten ausschließlich in einem EU-Mitgliedsstaat speichert, sind Sie rechtlich auf der sicheren Seite. Sie sind in keiner Weise von der plötzlichen Unwirksamkeit des Privacy Shields betroffen.
❗ Neuer Datenschutz-Beschluss aus Baden-Württemberg
Am 13. Juli 2022 hat die Vergabekammer-Baden-Württemberg einen wichtigen Datenschutz-Beschluss erlassen. Dieser könnte auch das Aus für die DSGVO-Konformität vieler Unternehmen in der EU bedeuten – auch wenn personenbezogene Daten ausschließlich auf Servern innerhalb der EU gespeichert werden. Besteht zwischen EU-Anbietern von Server- und Hostingleistungen eine Abhängigkeit von einem US-Unternehmen, könnte diese Abhängigkeit bald schon dazu führen, dass die Zusammenarbeit mit diesen Anbietern nicht mehr DSGVO-konform wäre.
Mit einem US-Newsletter-Tool
Nutzen Sie dagegen einen US-amerikanischen Newsletter-Anbieter wie z. B. Mailchimp, ist die Lage leider nicht eindeutig: Mailchimp belegte die Einhaltung des EU-Datenschutzniveaus und der DSGVO-Vorgaben bislang durch seine EU-US Privacy-Shield-Zertifizierung. Diese Zertifizierung wurde durch das Urteil im Jahr 2020 aber ungültig. Aktuell beruft sich Mailchimp daher auf die EU-Standardvertragsklauseln: Diese greifen dem Anbieter zufolge weiterhin und führen deshalb dazu, dass EU-Kund:innen auch in Zukunft rechtssicher über Mailchimp versenden können. Wie bereits beschrieben, ist ein solcher Verweis auf die EU-Standardvertragsklauseln jedoch nicht ohne Weiteres rechtsgültig.
Sind Datenschutzbehörden nach einer Prüfung der Ansicht, dass die Klauseln in den USA als Empfängerland in der Praxis nicht eingehalten werden können, sind sie dazu berechtigt, die Datenübertragung zu pausieren oder ganz zu stoppen.
Dass zuständige Datenschutzbehörden in der Tat zu dieser Einschätzung kommen können, zeigt eine Feststellung des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) vom 15.2.2021: Die Aufsichtsbehörde teilte dem betroffenen Unternehmen mit, dass dessen Datentübermittlung an Mailchimp in die USA nicht zulässig ist.
Für E-Mail-Marketer herrscht also weiterhin Rechtsunsicherheit bezüglich der Frage, inwieweit man momentan Daten an den US-amerikanischen Newsletter-Anbieter übermitteln darf. Bei einer unrechtmäßigen Übermittlung müssten Versender:innen Streitigkeiten mit den Aufsichtsbehörden und ggf. Bußgeldstrafen in Kauf nehmen.
Um derzeit rechtlich auf der sicheren Seite zu sein, könnten Sie daher den Wechsel zu einem zu 100% DSGVO-konformen Newsletter-Tool wie rapidmail in Betracht ziehen, deren Server ausschließlich in Deutschland betrieben werden: rapidmail ist die ideale Mailchimp Alternative aus Deutschland, bei der Sie keine Rechtsstreitigkeiten befürchten müssen.
4. Inwiefern sind Unternehmen betroffen, die rapidmail für den Newsletterversand nutzen?
Als Kudin bzw. Kunde von rapidmail brauchen Sie sich keine Gedanken machen: Sie sind von der Außerkraftsetzung des Privacy Shields in keinster Weise betroffen. Unsere Server – und damit Ihre Daten und natürlich auch die Daten Ihrer Empfänger:innen – sind und bleiben auch in Zukunft in Deutschland: So sind Sie datenschutzrechtlich immer auf der sicheren Seite!
Datenschutz und Datensicherheit stehen für uns an erster Stelle:
- Serverstandort Deutschland: Versender- und Empfängerdaten werden ausschließlich in Deutschland gespeichert und verarbeitet, es findet keine Datenübertragung in die USA statt.
- E-Mail-Marketing nach EU-Recht: Wir gewährleisten einen rechtssicheren, zu 100 % DSGVO-konformen Versand Ihrer Newsletter.
- Höchste Datensicherheit: Auf unser Hochsicherheits-Rechenzentrum ist genauso Verlass wie auf unser Team – wir behalten Ihre Daten für uns und geben Sie unter keinen Umständen an Dritte weiter.
- Zu 100 % DSGVO-konforme Vorgänge: Vom Erstellen Ihres Newsletter-Anmeldeformulars mit Double Opt-in Anmeldung bis zur Auswertung Ihrer versendeten Mailings – mit unserem Tool ist alles rechtskonform.
5. Fazit: Wie sollte man sich als Newsletter-Versender:in mit Sitz in der EU jetzt verhalten?
Versenden Sie Ihre Mailings über einen US-amerikanischen Newsletter-Anbieter, ist Vorsicht geboten. Nach Inkrafttreten des neuen Urteils zum Privacy Shield bewegen Sie sich als Newsletter-Versender:in mit der Übertragung Ihrer Empfängerdaten in die USA derzeit in einer juristischen Grauzone. Natürlich kommt es hierbei auf den jeweiligen Anbieter an sowie seine Datensicherheitsmaßnahmen im Hinblick auf EU-Versender. Sie sollten umgehend prüfen, inwieweit Ihr US-Newsletter-Tool die Einhaltung der EU-Datenschutzmaßnahmen weiterhin gewährleisten kann. Auch sonstige Datenschutz-Vorgaben für den Newsletterversand sollten Sie mit Ihrer Software einhalten können.
Das Problem liegt hauptsächlich am weiterhin in den USA geltenden „CLOUD Act”, welcher IT- und Internetfirmen mit Sitz in den Vereinigten Staaten verpflichtet, den US-Behörden Zugriff auf alle gespeicherten Daten zu geben – auch, wenn diese auf Servern in der EU gesichert sind. Dass sich dieses Gesetz nur schwer mit den europäischen Datenschutzvorgaben laut EU-DSGVO vereinbaren lässt, ist offensichtlich. Es bleibt also abzuwarten, welche weiteren gerichtliche Entscheidungen diesbezüglich folgen. Auch Apple hat sich dafür entschieden, gegen Ende des Jahres, die Daten der Nutzer:innen vor Dritten verschärft zu schützen.
Der einfachere und sicherere Weg wäre derzeit, zu einer Newsletter-Software aus der EU zu wechseln. Vor allem, da einige Aufsichtsbehörden in Deutschland vor kurzem angekündigt haben, ab dem Sommer 2021 eine länderübergreifende Unternehmensprüfung zum Drittlandstransfer zu starten. So schreibt z. B. die Berliner Datenschutzbeauftragte in ihrer Pressemitteilung:
„Die Zeiten, in denen personenbezogene Daten wie bisher in die USA übermittelt werden konnten, sind nach dem Schrems-II-Urteil vorbei. Der Europäische Gerichtshof hat die Aufsichtsbehörden ausdrücklich verpflichtet, unzulässige Datenübermittlungen zu verbieten. Mit der nun anlaufenden Prüfung reagieren wir auf diese Herausforderungen.“
Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 1. Juni 2021
Wenn Ihr Newsletter-Tool seine Rechner ausschließlich in Deutschland oder anderen Mitgliedsstaaten der EU nach DSGVO-Richtlinien betreibt, wie dies auch bei rapidmail der Fall ist, brauchen Sie sich keine Gedanken zu machen – Sie können Ihre Newsletter weiterhin und wie bisher rechtssicher über Ihre Software versenden.
Haben Sie noch Fragen?
Bitte beachten Sie, dass die Angaben in unserem Artikel natürlich keine rechtliche Beratung durch einen Experten ersetzen und nur zu Informationszwecken dienen. Wenden Sie sich bei weiterführenden Fragen zu den datenschutzrechtlichen Vorgaben beim Newsletterversand am besten an Ihren Rechtsberater bzw. Unternehmensjuristen – diese können Ihnen auch für Ihren konkreten Fall umfangreiche Informationen bereitstellen.