“Privacy Shield” gekippt: Können Mailchimp, Hubspot und Co. jetzt noch daten­schutz­kon­form genutzt werden?

Privacy Shield wurde gekippt

Der Europäische Gerichtshof  hat das Datenschutzabkommen “Privacy Shield” für ungül­tig erklärt. Mit dem Urteil ist die Nutzung von US-Tools wie Mailchimp, Hubspot, Active Campaign und Co. ab sofort mit noch grö­ße­ren Risiken behaftet. 

Datenschutzrechtlich ist die Nutzung der US-Tools bereits seit der DSGVO pro­ble­ma­tisch – mit dem Aus des Privacy Shield wird es jetzt noch komplizierter. 

Rechtsanwalt Dr. Thomas Schwenke erläu­tert, was die Entscheidung für die Praxis bedeu­tet und wel­che Optionen betrof­fene Unternehmen jetzt haben:

Für die Praxis bedeu­tet die Entscheidung erneut ein Rechtsvakuum, in dem Unternehmen poli­tisch alleine gelas­sen werden:

1.) Bei US-Anbietern auf EU-Server aus­wei­chen – Viele Anbieter, wie z. B. Amazon Web Services (AWS) oder Microsoft bie­ten die Möglichkeit an, dass Daten auf EU-Servern gespei­chert wer­den (auch hier bestehen Rechtsunsicherheiten, aber ange­sichts der­zei­ti­ger Lage ist diese Lösung eine hin­rei­chend sichere Option).

2.) Keine US-Dienstleister ein­set­zen: Keine Dienstleister ein­set­zen, die Daten in den USA ver­ar­bei­ten (d. h. bei US-Unternehmen nach US-Servern fra­gen). Zumindest soll­ten Sie Evaluationsprozesse ansto­ßen, um im Fall der Fälle zumin­dest nach­wei­sen zu kön­nen, dass Sie sich um Alternativen bemüht haben (mache Anbieter, wie z. B. der Versanddienstleister Mailchimp, boten auch bis­her zusätz­lich zum Privacy Shield Standardschutzklauseln an).

3.) Keine Dienstleister mit US-Subunternehmern ein­set­zen: Keine Dienstleister ein­set­zen, deren Subunternehmer die Daten in den USA verarbeiten.

4.) Verträge und Datenschutzhinweise anpas­sen: Verträge und Datenschutzerklärungen anpas­sen und Hinweise auf das Privacy-Shield ent­fer­nen.

Alternativ kön­nen Sie, wenn auch mit einem Risiko, erst ein­mal abwar­ten, wie die EU-Kommission und die Datenschutzbehörden reagie­ren werden.

Dr. Thomas Schwenke

Dr. Schwenke führt wei­ter aus, dass der Abschluss von Standardvertragsklauseln kei­nes­wegs sicher ist:

Im Ergebnis ist die Lösung über Standardvertragsklauseln weder per­fekt noch sicher. Dennoch ist es recht­lich siche­rer, wenn die Standardvertragsklauseln abge­schlos­sen wur­den und auf­ge­ho­ben wer­den kön­nen, als wenn gar keine Standardvertragsklauseln vor­lie­gen (frei nach dem Motto, “in der Not frisst der Teufel Fliegen”).

Dr. Thomas Schwenke

Mehr dazu im Blog von Dr. Thomas Schwenke: EuGH: EU/US-Privacy Shield ist unwirk­sam – Was Unternehmen jetzt wis­sen müssen

Sicherlich wer­den die Rechts- und PR-Abteilungen der US-Technologieanbieter zeit­nah Lösungen für das Problem kom­mu­ni­zie­ren. Ob damit die Nutzung der Tools tat­säch­lich daten­schutz­kon­form ermög­licht wird, darf aller­dings bezwei­felt wer­den. Kern des Konflikts sind die US-Überwachungsprogramme, deren Reform mit Blick auf das poli­ti­sche Klima in den USA der­zeit äußerst unwahr­schein­lich ist.

Update (20.07.2020): In einer Stellungnahme erklärt Mailchimp, dass die Plattform des Marketing-Technologieanbieters (wenig über­ra­schend) wei­ter­hin “in Übereinstimmung mit dem EU-Recht” genutzt wer­den könne: 

First, we want to reassure our cus­to­mers that they can con­ti­nue using Mailchimp lawfully and don’t need to take any action. We have long pro­vi­ded our cus­to­mers with two lay­ers of pro­tec­tion for data trans­fers from the EU to the US in our Data Processing Addendum: com­pli­ance with the EU-US Privacy Shield Framework and Standard Contractual Clauses (SCCs).

While the ruling from the CJEU inva­li­da­ted the Privacy Shield Framework, it doesn’t affect the SCCs, which remain a valid data export mecha­nism. Our agree­ments are struc­tu­red in a way that the SCCs auto­ma­ti­cally take effect, so not­hing will change for our customers.

Entgegen der Darstellung von Mailchimp schaf­fen die Standardvertragsklauseln (Standard Contractual Clauses) aller­dings laut der Einschätzung von Dr. Thomas Schwenke keine wirk­li­che Sicherheit (“Im Ergebnis ist die Lösung über Standardvertragsklauseln weder per­fekt noch sicher.”). Zu einer ähn­li­chen Einschätzung kommt Nikolaus Bertermann, Fachanwalt für IT-Recht in einem Gastbeitrag auf Markt und Mittelstand:

Unternehmen, die sich aus­schließ­lich auf das EU-US-Privacy-Shield-Abkommen ver­las­sen haben, haben nun ein Problem. Sie müs­sen mit ihrem Vertragspartner auf eine andere Rechtsgrundlage für den Drittlandstransfer, zum Beispiel auf die EU-Standardvertragsklauseln, umstel­len oder die Datenverarbeitung anpas­sen. Das bedeu­tet bei­spiels­weise, den Anbieter zu wech­seln oder die Daten zu ver­schlüs­seln oder zu anonymisieren.

Viele US-Unternehmen bie­ten auch den Abschluss von EU-Standardvertragsklauseln an. Diese hat der EuGH nicht für ungül­tig erklärt. Er sagt aber, dass beim Einsatz von EU-Standardvertragsklauseln nun zusätz­lich geprüft wer­den muss, ob in dem betref­fen­den Drittland tat­säch­lich ange­mes­sen durch­setz­bare Rechte und wirk­same Rechtsbehelfe bestehen. Wenn das nicht der Fall ist, dür­fen – und müs­sen – die zustän­di­gen Aufsichtsbehörden ent­spre­chende Datenübermittlungen aus­set­zen oder ver­bie­ten. Die Aufsichtsbehörden kön­nen Datentransfers des­halb trotz abge­schlos­se­ner EU-Standardvertragsklauseln ab sofort für unzu­läs­sig erklä­ren und unter­sa­gen. Für die meis­ten Datenaustausche mit den USA wer­den EU-Standardvertragsklausel daher nicht mehr aus­rei­chend sein.

Nikolaus Bertermann

Letztendlich gilt bei dem Einsatz der US-Tools also: Entweder die Risiken von mög­li­chen Bußgeldern in Kauf neh­men oder, wie Dr. Schwenke oben aus­führt, eine Alternative zum bis­lang genutz­ten Tool eva­lu­ie­ren (siehe hierzu auch: 3 Mailchimp-Alternativen aus Deutschland und E‑Mail-Marketing Software aus­wäh­len: 7 wich­tige Fragen für die Evaluierung).

Möchtest du diesen Artikel teilen? 🤩
URL des Artikels
Weitere Beiträge
Exklusive Insights für erfolgreiches CRM
Kostenlosen Newsletter anfordern
0
Share