Mailchimp und DSGVO - wie Sie Ihre Marketing datenschutzkonform gestalten.

Der Versand von Newslettern gehört für viele Unternehmen zur Marketingstrategie und ist eine effektive Methode, um Neukunden zu gewinnen und bestehende Kunden auf dem Laufenden zu halten. Die Verarbeitung personenbezogener Daten setzt jedoch die Einhaltung datenschutzrechtlicher Regelungen voraus. Der Versand von Newslettern ist ohne explizite Einwilligung des Users nicht möglich. Dieser muss zustimmen, dass seine Daten erfasst und gespeichert werden dürfen. Außerdem muss er jederzeit den Erhalt von Newslettern widerrufen und eine Löschung seiner Daten beanspruchen können.

Seit der Einführung der DSGVO im Jahr 2018 müssen Unternehmen mehr auf eine datenschutzkonforme Datenverarbeitung achten. Wenn Unternehmen die Rechtslage nicht prüfen, drohen schnell datenschutzrechtliche Verstöße und entsprechende Klagen und Bußgelder. Durch das neue Hinweisgebeschutzgesetz sind Unternehmen auch stärker denn je daran interessiert Regelverstöße innerhalb des Unternehmens zu vermeiden. Durch ein Hinweisgebersystem wird Hinweisgebenden ein anonymes Tool zu Meldung von auch datenschutzrechtlichen Verstößen gegeben. Auch die Nutzung vieler beliebter Tools, vor allem solcher mit Sitz in den USA, stellt datenschutzrechtlich ein Risiko für Unternehmen dar. Das gilt auch für den Anbieter Mailchimp.

Mailchimp ist ein cloudbasiertes Tool für Newsletter-Marketing, mit dem Unternehmen Mailings erstellen und versenden können. Die praktische Verwaltung und die einfache Erstellung von Newslettern mit Hilfe von Templates sowie eine integrierte An- und Abmeldefunktion machen das Tool bei Unternehmen, egal ob Start-Up oder KMU, so beliebt.

So wie Google ist auch Mailchimp ein US-amerikanischer Anbieter. Arbeiten Unternehmen für ihr Newsletter-Marketing mit diesem Tool, werden die Kundendaten in den USA und damit außerhalb der EU gespeichert. Jedes in der EU ansässige Unternehmen ist dazu verpflichtet, die Regeln der Datenschutzgrundverordnung einzuhalten. Werden Daten in einem Drittland gespeichert, müssen nach Art. 44 der DSGVO die Regelungen zum Datenschutz vergleichbar mit den europäischen Standards sein. Von 2016 bis 2020 wurde durch den EU/US Privacy Shield sichergestellt, dass die Datenschutzregelungen in den USA denen der EU-Datenschutzgrundverordnung weitgehend entsprechen.

Zu den US-amerikanischen Unternehmen, die im Rahmen des Privacy Shield für die Verarbeitung von Daten aus Europa zertifiziert waren, zählte auch Mailchimp. Doch 2020 wurde der Privacy Shield durch das Schrems-II-Urteil des Europäischen Gerichtshofs für ungültig erklärt. Grund dafür war, dass der Privacy Shield keinen Schutz vor dem Zugriff auf Daten durch US-Geheimdienste umfasste. Seit der Aufhebung des Privacy Shield ist die Datenübermittlung in die USA also datenschutzrechtlich nicht zu empfehlen, da nun jede offizielle Regelung und damit rechtliche Absicherung fehlt.

Das macht es schwierig bis unmöglich, Mailchimp datenschutzkonform zu nutzen. Ein in Deutschland ansässiges Unternehmen kann den Zugriff auf Kundendaten durch die US-Behörden kaum kontrollieren. Für das erforderliche Maß an datenschutzrechtlichen Vorkehrungen muss ein Unternehmen mit Mailchimp abklären, wie mit den Kundendaten umgegangen werden darf, denn Mailchimp ist nicht dazu verpflichtet, sich an die Vorgaben der DSGVO zu halten.

Die Nutzung von Mailchimp ist in Deutschland also nicht untersagt, jedoch mit erheblichem Aufwand verbunden. Daneben besteht ein verstärktes Risiko für datenschutzrechtliche Verstöße. Für eine in Sachen Datenschutz möglichst sichere Zusammenarbeit mit Mailchimp sollte ein Unternehmen klären, wie Mailchimp die personenbezogenen Daten verarbeitet, welche Dienstleister involviert sind und wie der Datenschutz sichergestellt wird.

Um auf Nummer sicher zu gehen, ist es jedoch ratsam, auf einen vergleichbaren Anbieter mit Sitz innerhalb der EU zu setzen, der zur Einhaltung der DSGVO verpflichtet ist. Es gibt eine Reihe guter Alternativen, die Mailchimp in nichts nachstehen:

• Sendinblue (Deutschland)
• Rapidmail (Deutschland)
• CleverReach (Deutschland)
• GetResponse (Polen)
• Mailjet (Frankreich)

Alle diese Anbieter haben ihren Sitz in Europa und damit im Rechtsraum der DSGVO. Sie bieten eine Vielzahl an individuell anpassbaren Vorlagen, A/B-Tests und Listenautomatisierung. Hinzu kommen bei einigen Tools praktische Features wie die Integration von Social Media sowie die Erstellung von Online-Umfragen oder Landingpages. Es lohnt sich also, sich die kostenlosen und kostenpflichtigen Alternativen zu Mailchimp anzusehen. Wenn Sie sich für einen neuen Anbieter für Ihr E-Mail-Marketing entscheiden, sollten Sie vorab noch einmal den Unternehmenssitz prüfen. So verhindern Sie, dass Sie zu einem weiteren US-amerikanischen Unternehmen wechseln und erneut mit der datenschutzrechtlichen Problematik konfrontiert sind.

Unabhängig vom Anbieter können Sie auch selbst viel tun, um Ihre Newsletter DSGVO-konform zu gestalten:

• Geben Sie nur das Feld für die E-Mail-Adresse als Pflichtfeld an
• Wenden Sie das Double-Opt-In-Verfahren an (zusätzliche Zustimmung durch eine Bestätigungsmail)
• Weisen Sie die Kunden auf die Datenschutzerklärung hin
• Ermöglichen Sie den Kunden, das Abonnement des Newsletters zu widerrufen

Dabei sollte es selbstverständlich sein, dass User nur nach deren ausdrücklicher Zustimmung werbende E-Mails von Ihnen erhalten. An all diese Vorgaben sollten Sie sich in jedem Fall halten, um DSGVO-konformes E-Mail-Marketing zu betreiben.

Sie sind sich nicht sicher, ob Ihre Newsletter den Standards der DSGVO entsprechen? Im Bereich des E-Mail-Marketings kommt es besonders oft zu Verstößen gegen die DSGVO. Als externer Datenschutzbeauftragter stehen wir Ihnen als Experte zur Seite und beraten Sie rund um E-Mail-Marketing und die Verarbeitung von Kundendaten.

Jetzt anfragen