MailChimp-Nutzer sind nach Gesetzänderung grossem Risiko ausgesetzt

03. August 2020

Privacy Shield ungültig... Was soll das bedeuten?

In Kürze:

Das EU-US sowie Swiss-US Privacy Shield diente dazu, bei amerikanischen Unternehmen einen entsprechenden Datenschutz zu gewährleisten. Diese Vereinbarung wurde vorausgesetzt, um personenbezogene Daten in die USA übermitteln zu dürfen. Unternehmen wie Mailchimp, Slack, Hubspot, Google, Facbook, Salesforce & Co. sind, oder besser waren unter dieser Privacy Shield zertifiziert.

Ist die Schweiz vom Urteil betroffen?

Obwohl das Urteil des Europäischen Gerichtshofes nichts mit der Schweiz zu tun hat, da es zwischen den USA und der Schweiz ein eigenes Privacy Shield gibt, wird sich die Situation auch auf die Schweiz auswirken. Da unklar ist, ob und wie weit die Sicherheit personenbezogener Daten gewährleistet ist, stellt sich die Situation in der Schweiz ähnlich der EU-Situation dar.

Auch hier bleibt individuell nachzuprüfen, ob amerikanische Dienste sich wirklich an den Datenschutz von personenbezogenen Informationen aus der Schweiz halten oder ob diese Klauseln nur in den AGB stehen. Damit dürfte für den Privacy Shield zwischen der Schweiz und der USA dasselbe gelten, was durch den gleichnamigen Vertrag zwischen den USA und der EU bezweckt war, aber nicht annähernd umgesetzt werden konnte.

Privacy Shield vom Europäischen Gerichtshof gekippt

Der Datenschutz hat in den USA einen anderen Stellenwert als in der EU, deshalb wurde das Privacy Shield vereinbart. Wer als amerikanisches Unternehmen daran teilnehmen wollte, musste sich verpflichten, den europäischen Datenschutzstandard einzuhalten.

Das ursprüngliche Problem findet sich in der Übermittlung personenbezogener Daten, wie den Namen, die Anschrift oder eine IP-Adresse. Bei Bestellungen auf Amazon oder bei der Verwendung von WhatsApp können beispielsweise die eigenen Daten in die USA gelangen, ohne dass der Betroffene davon etwas mitbekommt. Nicht nur in den USA ansässige Unternehmen können auf diese Daten zugreifen, sondern auch die Geheimdienste.

Durch das Privacy Shield wurde bisher geregelt, dass personenbezogene Daten aus den EU-Ländern übermittelt werden können, sofern gewisse Schutzmassnahmen ergriffen wurden. Dabei ging es um die freiwillige Einhaltung wesentlicher Datenschutzregeln durch amerikanische Unternehmen und auch darum, Betroffene über die interne Datennutzung aufzuklären.

Zugriff auf personenbezogene Daten war weiterhin möglich

Trotz dieser Vereinbarung war die Sicherheit der personenbezogenen Daten nicht gewährleistet, was jetzt zum Aus des Privacy Shield führte. Denn Daten von EU-Bürgern können weiterhin vom Geheimdienst gespeichert werden - ein Vorgehen, das gegenüber jedem EU-Bürger das Recht auf Privatsphäre mit Füssen tritt.

Während sich Unternehmer bisher relativ sicher sein durften, dass personenbezogene Daten bei digitalen Dienstleistern sicher waren, die über eine Privacy Shield-Zertifizierung verfügten, wurde diese Vereinbarung jetzt gekippt. Da US-Firmen dem Privacy Shield freiwillig beitreten konnten, sieht der Europäische Gerichtshof diese Selbstverpflichtung nicht mehr als ausreichend sicher an.

Eine Vereinbarung in die AGBs setzen und diese praktisch umsetzen, sind unter Umständen zwei Paar Schuhe. Ausserdem lässt sich von Europa nicht verfolgen, ob und in welcher Intensität die vertraglich vereinbarten Dinge umgesetzt wurden. Behörden in den USA hatten trotz dieses Abkommens die Möglichkeit, auf Daten von EU-Bürgern ohne Rechtsschutz zuzugreifen und dem wird durch das EuGH-Urteil ein Riegel vorgeschoben.

privacy-shield-illegal1.png

Was bedeutet das für die einzelnen Unternehmen?

Zuerst muss geprüft werden, welche digitalen Dienstleister mit dem Unternehmen in Verbindung stehen. Werden die digitalen Dienste durch europäische Anbieter übernommen oder von Anbietern eines weiteren Landes, das ein ähnliches Datenschutzniveau wie alle anderen EU-Länder aufrechterhält, gibt es keine Probleme.

Digitale Dienstleister aus den USA oder Drittländern können weiterhin genutzt werden, sofern von den Dienstleistern Vertragsklauseln akzeptiert werden und in den Verträgen vorhanden sind, die den Datenschutz zusichern. Viele US-Firmen werden sich zukünftig dieser Zusatzklauseln in ihren Verträgen bedienen, allerdings gelten diese unter einer Bedingung.

Statt Verträge mit Datenschutzklauseln einfach nur zu unterschreiben, müssen sich EU-Unternehmer zukünftig darum kümmern, die Einhaltung des Datenschutzes auch zu kontrollieren. Wer sich nicht damit beschäftigt, ob der US-Dienstleister die vereinbarten Datenschutzstandards auch wirklich einhält und umsetzt, verstösst damit gegen die DSGVO!

Endverbraucher sind nicht betroffen

Im Gegensatz zu Unternehmern dürfen Verbraucher weiterhin Dienstleistungen aus den USA in Anspruch nehmen. Die Übermittlung eigener personenbezogener Daten in ein Drittland ist nach wie vor legal. Daten von anderen Personen dürfen US-Anbietern hingegen nicht übermittelt werden. Das ist nur möglich, wenn vorher eine Genehmigung von der betroffenen Person eingeholt wurde.

Freiwillige und persönliche Datenübertragungen, die beispielsweise bei der Buchung von Hotelunterkünften entstehen oder das eigene Versenden von privaten Mails in das Ausland, sind von dem Urteil nicht betroffen.

Was ist jetzt konkret zu tun?

Wenn machbar, sollten Unternehmer umgehend auf europäische oder noch besser, auf schweizerische Dienstleister ausweichen. Wo das nicht möglich ist, muss das Risiko minimiert werden, indem die sogenannten SSC (Standart Contractual Clauses) genutzt werden. Damit werden spezifische Vertragsvereinbarungen im Hinblick auf die Gewährleistung des Datenschutzes definiert, die vom US-Dienstleister umgesetzt und vom EU-Unternehmer kontrolliert werden müssen.

Der Artikel 49 der DSGVO macht es rechtlich weiterhin möglich, Daten von Personen in Drittländer zu übertragen. Voraussetzung ist ein vorliegender Vertrag zwischen beiden Parteien oder die Durchführung von vorvertraglichen Massnahmen, die vom Auftraggeber eingefordert werden. Ist einer dieser Punkte erfüllt, dürfen die Daten übermittelt werden.

Auch das E-Mail Marketing sollte überprüft werden, denn wer Gewerbetreibender ist und beispielsweise einen amerikanischen Anbieter für den Newsletterversand einsetzt (z. Bsp. MailChimp), muss zukünftig SSC mit diesem Anbieter vereinbaren. Da aber nicht klar ist, wie die Ausführung dieser speziellen Vertragsregeln überwacht und kontrolliert werden soll, dürfte es nur eine Frage der Zeit sein, bis auch diese Möglichkeit aus dem Verkehr gezogen wird.

Ausserdem müssen die eigenen Datenschutzerklärungen überarbeitet werden, um Hinweise auf das Privacy Shield zu löschen. Da dieses Abkommen nicht mehr existiert, sind Hinweise darauf irreführend und dürften geahndet werden. Ohne Sonderklauseln ist die Datenübertragung in die USA ab jetzt illegal und viele Abmahnanwälte dürften schon bereitstehen, um diese Tatsache für sich zu nutzen.

Nutzen Sie MailChimp?

Falls Sie MailChimp einsetzen, steigen Sie besser um auf unseren NetMailer. Wir garantieren Server-Standort Schweiz und bieten erst noch Support auf Schwiizerdütsch!

Für Schnellentscheider unterbreiten wir ein zeitlich limitiertes Angebot und bieten saftige 30% Rabatt auf die Erstellungskosten. Angebot nur bis 30.09.2020 gültig.

Wenn Sie sich jetzt entscheiden, Ihre Newsletter per sofort mit einem Schweizer Tool zu versenden, helfen wir Ihnen beim Umzug zu unserem NetMailer. Und obendrauf bekommen Sie noch 30% Rabatt auf die Erstellungskosten. Wenn das kein Schnäppchen ist!

Fordern Sie noch heute Ihre Demo an und schreiben Sie ins Feld Firma zusätzlich den Satz "Wechsel zu NetMailer" - und schon profitieren Sie von 30% Rabatt.

JETZT DEMO ANORDERN!