How-to: Newsletter mit welt­wei­ten Partnern Datenschutz-konform versenden

Privacy Shield – Newsletter versenden

E‑Mail Service Providers machen den Newsletterversand ein­fa­cher und nach­voll­zieh­bar. Doch bei der Einbindung von Partnern außer­halb der EU – etwa in die USA – gibt es daten­schutz­rech­li­che Fragen zu beachten.

E‑Mail Service Provider sor­gen dafür, dass die Mails im gewünsch­ten Design bei den Menschen wirk­lich in der Inbox ankom­men. Außerdem geben sie einen detail­lier­ten Überblick, wie gut die Mail-Kampagne gelau­fen ist anhand von Öffnungsraten und Engagement. Diese Zahlen sagen dem E‑Mail-Marketing-Experten im Unternehmen, wie stark die eige­nen Kontakte mit den ver­sand­ten E‑Mails der Kampagnen inter­agie­ren. Messen lässt sich das etwa mit Öffnungs- und Klick-Raten und ande­ren Parametern.

Wenn die ESPs, die diese kom­for­ta­blen Services zur Verfügung stel­len, ihren Firmensitz außer­halb von Europa haben, gilt es daten­schutz­recht­li­che Fragen zu beach­ten. Die Übertragung per­so­nen­be­zo­ge­ner Daten inner­halb der EU ist durch die DSGVO klar und streng gere­gelt. Befindet sich ein Absender jedoch in der EU und möchte Daten in ein außer­eu­ro­päi­sches Land schi­cken, muss er sich fra­gen: Darf ich die Daten über­haupt an Dritte über­mit­teln und ist das ange­mes­sene Datenschutzniveau gewart, sprich sind die Daten auch nach dem Transfer so gut geschützt, wie es Datenschutz-Grundverordnung (DSGVO) in Europa fordert?

Beispiel England: Angemessenheitsbeschluss erleich­tert den Datentransfer

Für viele Fälle hat die EU eine Brücke gebaut: Mit einem Angemessenheitsbeschluss stellt die Kommission fest, dass ein Drittland mit sei­ner natio­na­len Gesetzgebung oder sei­nen inter­na­tio­na­len Verpflichtungen ein ver­gleich­ba­res Schutzniveau für per­so­nen­be­zo­gene Daten bie­tet wie die Europäische Union.

Hat die Europäische Kommission einen ent­spre­chen­den Angemessenheitsbeschluss gefasst, dür­fen per­so­nen­be­zo­gene Daten ohne wei­tere Genehmigung in das jewei­lige Land über­mit­telt wer­den, sofern die übri­gen Bestimmungen der DSGVO ein­ge­hal­ten wer­den. Mit ande­ren Worten: Datenübermittlungen, die auf einem Angemessenheitsbeschluss basie­ren, sind pri­vi­le­giert: Sie wer­den genauso behan­delt wie sol­che inner­halb der EU. Derzeit gibt es Angemessenheitsbeschlüsse für die Übermittlung per­so­nen­be­zo­ge­ner Daten in die fol­gen­den Drittländer: Andorra, Argentinien, Kanada (kom­mer­zi­elle Organisationen), Färöer Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz, Uruguay und seit kur­zem auch das Vereinigte Königreich. Bald wird wohl Südkorea in die Liste aufgenommen.

Seit Kurzem gilt das erst für das Vereinigte Königreich, das ja nach dem Brexit seit 2021 ein soge­nann­tes Drittland ist nach Art. 44 ff. der DSGVO. Der von der EU-Kommission erlas­sene Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO stellt fest, das Datenschutzniveau in UK ist für einen Datentransfer aus dem Geltungsbereich der DSGVO ange­mes­sen hoch. Das ermög­licht einen unge­hin­der­ten Datenverkehr von der EU nach England. Eine aktu­elle Liste gül­ti­ger Angemessenheitsbeschlüsse kann der Webseite EU-Kommission ent­nom­men werden.

Datenübertragung in die USA nur auf Basis von Standardvertragsklauseln (SCCs)

Wenn ein sol­cher Angemessenheitsbeschluss nicht vor­liegt, müsste die ver­ar­bei­tende Stelle aktiv wer­den und eine der geeig­ne­ten Garantien nach Art. 46 DSGVO ergrei­fen. In der Regel wird dann auf den Abschluss von EU-Standardvertragsklauseln i. S. v. Art. 46 Abs. 2 lit. c DSGVO zurückgegriffen.

Das zeigt das Beispiel USA: Das EU/US Privacy Shield, das letzte von Washington und Brüssel abge­schlos­sene Datentransferabkommen, wurde im ver­gan­ge­nen Sommer vom höchs­ten euro­päi­schen Gericht gekippt, weil die US-Geheimdienste nach Ansicht des Gerichts zu weit­rei­chende Überwachungsmöglichkeiten haben.

Die Europäische Union sucht seit­dem nach Möglichkeiten, um eine trag­fä­hige Basis für den Datentransfer mit den USA zu fin­den. So hat die EU-Kommission neue Standardvertragsklauseln (SCCs) für die Übermittlung per­so­nen­be­zo­ge­ner Daten in Drittstaaten erar­bei­tet und jetzt ver­öf­fent­licht. Diese ent­hal­ten spe­zi­fi­schere Sicherheitsvorkehrungen für den Fall, dass die Gesetze des Ziellandes, in das die Daten gesen­det wer­den, sei­nen Behörden die Offenlegung per­so­nen­be­zo­ge­ner Daten erlauben.

Empfehlung: Standardvertragsklauseln über­prü­fen lassen

Doch auch bei der Verwendung der neuen Klauseln im kon­kre­ten Einzelfall kön­nen ergän­zende Maßnahmen erfor­der­lich sein, um die über­mit­tel­ten Daten ange­mes­sen vor dem unein­ge­schränk­ten Zugriff der Sicherheitsbehörden zu schüt­zen. Im Falle der USA sind diese Maßnahmen auf­grund der weit­rei­chen­den Zugriffsmöglichkeiten der Sicherheitsbehörden in jedem Fall erforderlich.

Daher sollte auch bei Verwendung der neuen Standardvertragsklauseln im Vorfeld künf­ti­ger Datentransfers in die USA ein ent­spre­chen­des Konzept mit den Datenschutzbehörden abge­stimmt wer­den. Die CSA (Certified Senders Alliance) emp­fiehlt, auf strenge Standardvertragsklauseln zu set­zen und diese den zustän­di­gen Daten-Aufsichtsbehörde zur Begutachtung und Stellungnahme zuzusenden.

Über die Autorin

Astrid Braken ist Datenschutz-Expertin und Syndikusrechtsanwältin der Certified Senders Alliance (CSA)

Möchtest du diesen Artikel teilen? 🤩
URL des Artikels
Weitere Beiträge
Exklusive Insights für erfolgreiches CRM
Kostenlosen Newsletter anfordern
0
Share