E‑Mail Service Providers machen den Newsletterversand einfacher und nachvollziehbar. Doch bei der Einbindung von Partnern außerhalb der EU – etwa in die USA – gibt es datenschutzrechliche Fragen zu beachten.
E‑Mail Service Provider sorgen dafür, dass die Mails im gewünschten Design bei den Menschen wirklich in der Inbox ankommen. Außerdem geben sie einen detaillierten Überblick, wie gut die Mail-Kampagne gelaufen ist anhand von Öffnungsraten und Engagement. Diese Zahlen sagen dem E‑Mail-Marketing-Experten im Unternehmen, wie stark die eigenen Kontakte mit den versandten E‑Mails der Kampagnen interagieren. Messen lässt sich das etwa mit Öffnungs- und Klick-Raten und anderen Parametern.
Wenn die ESPs, die diese komfortablen Services zur Verfügung stellen, ihren Firmensitz außerhalb von Europa haben, gilt es datenschutzrechtliche Fragen zu beachten. Die Übertragung personenbezogener Daten innerhalb der EU ist durch die DSGVO klar und streng geregelt. Befindet sich ein Absender jedoch in der EU und möchte Daten in ein außereuropäisches Land schicken, muss er sich fragen: Darf ich die Daten überhaupt an Dritte übermitteln und ist das angemessene Datenschutzniveau gewart, sprich sind die Daten auch nach dem Transfer so gut geschützt, wie es Datenschutz-Grundverordnung (DSGVO) in Europa fordert?
Beispiel England: Angemessenheitsbeschluss erleichtert den Datentransfer
Für viele Fälle hat die EU eine Brücke gebaut: Mit einem Angemessenheitsbeschluss stellt die Kommission fest, dass ein Drittland mit seiner nationalen Gesetzgebung oder seinen internationalen Verpflichtungen ein vergleichbares Schutzniveau für personenbezogene Daten bietet wie die Europäische Union.
Hat die Europäische Kommission einen entsprechenden Angemessenheitsbeschluss gefasst, dürfen personenbezogene Daten ohne weitere Genehmigung in das jeweilige Land übermittelt werden, sofern die übrigen Bestimmungen der DSGVO eingehalten werden. Mit anderen Worten: Datenübermittlungen, die auf einem Angemessenheitsbeschluss basieren, sind privilegiert: Sie werden genauso behandelt wie solche innerhalb der EU. Derzeit gibt es Angemessenheitsbeschlüsse für die Übermittlung personenbezogener Daten in die folgenden Drittländer: Andorra, Argentinien, Kanada (kommerzielle Organisationen), Färöer Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz, Uruguay und seit kurzem auch das Vereinigte Königreich. Bald wird wohl Südkorea in die Liste aufgenommen.
Seit Kurzem gilt das erst für das Vereinigte Königreich, das ja nach dem Brexit seit 2021 ein sogenanntes Drittland ist nach Art. 44 ff. der DSGVO. Der von der EU-Kommission erlassene Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO stellt fest, das Datenschutzniveau in UK ist für einen Datentransfer aus dem Geltungsbereich der DSGVO angemessen hoch. Das ermöglicht einen ungehinderten Datenverkehr von der EU nach England. Eine aktuelle Liste gültiger Angemessenheitsbeschlüsse kann der Webseite EU-Kommission entnommen werden.
Datenübertragung in die USA nur auf Basis von Standardvertragsklauseln (SCCs)
Wenn ein solcher Angemessenheitsbeschluss nicht vorliegt, müsste die verarbeitende Stelle aktiv werden und eine der geeigneten Garantien nach Art. 46 DSGVO ergreifen. In der Regel wird dann auf den Abschluss von EU-Standardvertragsklauseln i. S. v. Art. 46 Abs. 2 lit. c DSGVO zurückgegriffen.
Das zeigt das Beispiel USA: Das EU/US Privacy Shield, das letzte von Washington und Brüssel abgeschlossene Datentransferabkommen, wurde im vergangenen Sommer vom höchsten europäischen Gericht gekippt, weil die US-Geheimdienste nach Ansicht des Gerichts zu weitreichende Überwachungsmöglichkeiten haben.
Die Europäische Union sucht seitdem nach Möglichkeiten, um eine tragfähige Basis für den Datentransfer mit den USA zu finden. So hat die EU-Kommission neue Standardvertragsklauseln (SCCs) für die Übermittlung personenbezogener Daten in Drittstaaten erarbeitet und jetzt veröffentlicht. Diese enthalten spezifischere Sicherheitsvorkehrungen für den Fall, dass die Gesetze des Ziellandes, in das die Daten gesendet werden, seinen Behörden die Offenlegung personenbezogener Daten erlauben.
Empfehlung: Standardvertragsklauseln überprüfen lassen
Doch auch bei der Verwendung der neuen Klauseln im konkreten Einzelfall können ergänzende Maßnahmen erforderlich sein, um die übermittelten Daten angemessen vor dem uneingeschränkten Zugriff der Sicherheitsbehörden zu schützen. Im Falle der USA sind diese Maßnahmen aufgrund der weitreichenden Zugriffsmöglichkeiten der Sicherheitsbehörden in jedem Fall erforderlich.
Daher sollte auch bei Verwendung der neuen Standardvertragsklauseln im Vorfeld künftiger Datentransfers in die USA ein entsprechendes Konzept mit den Datenschutzbehörden abgestimmt werden. Die CSA (Certified Senders Alliance) empfiehlt, auf strenge Standardvertragsklauseln zu setzen und diese den zuständigen Daten-Aufsichtsbehörde zur Begutachtung und Stellungnahme zuzusenden.
Über die Autorin
Astrid Braken ist Datenschutz-Expertin und Syndikusrechtsanwältin der Certified Senders Alliance (CSA)