Das Bayerische Landesamt für Datenschutz untersagt die Weitergabe von E-Mail-Kontakten an Mailchimp. Damit ist in Bayern der Versand von E-Mails mit dem beliebten E-Mail-Marketing-Tool und anderen US-Newsletter-Anbietern seit kurzem nicht mehr möglich.

Der Grund ist laut den Datenschützern, weil Mailchimp nicht DSGVO-konform ist und die Datenhaltung von personenbezogenen Daten von EU-Bürgern in den USA nach dem Schrems-II-Urteil des Europäischen Gerichtshofs nicht denselben Schutz geniessen wie in der EU ("Privacy Shield").

Insbesondere bestünden "zumindest Anhaltspunkte dafür, dass Mailchimp grundsätzlich Datenzugriffen von US-Nachrichtendiensten auf Grundlage der US-Rechtsvorschrift FISA702 (50 U.S.C. § 1881) als möglicher sog. Electronic Communications Service Provider unterstehen kann und somit die Übermittlung nur unter Ergreifung zusätzlicher Massnahmen (sofern geeignet) zulässig sein kann."

Auch wenn das Verbot bis anhin nur Bayern betrifft, so ist doch laut dem deutschen Datenschützer anzunehmen, "dass zukünftig weitere Entscheidungen mit ähnlichem Inhalt kommen werden", wie auf der Website aktuell heisst.

Das bayerische Verbot stösst auch beim Schweizer Edöb auf Interesse, wie dieser auf Anfrage bestätigt. Dies auch, wenn dieser Mailchimp nicht spezifisch untersucht hat und daher nur "allgemeine Ausführungen" machen könne. "Auch wenn das Schrems-II-Urteil für die Schweiz nicht anwendbar ist und wir noch keine diesbezügliche Rechtsprechung haben ist der Edöb der Ansicht, dass der Art. 6 DSG bei Datenübermittlungen ins Ausland anwendbar ist, die USA gelten folglich als 'unsicheres Drittland' (Staatenliste wurde entsprechend angepasst) und die sogenannten Standardvertragsklauseln sind als alleinige Schutzmassnahme nicht ausreichend."

Der Edöb ist klar der Meinung, "der Privacy Shield CH-USA bietet kein adäquates Datenschutzniveau" und das sei auch für Schweizer Mailchimp-Kunden bedenkenswert. Wer in der Schweiz beispielsweise Mailchimp nutze und damit Personendaten exportiere, solle im Einzelfall eine Prüfung beziehungsweise Risikoanalyse durchführen, hält der Edöb gegenüber inside-it.ch fest. "Ist das Risiko nach sorgfältiger Evaluierung vertretbar, kann Mailchimp genutzt werden (der Exporteur bleibt hingegen für eventuelle Konsequenzen verantwortlich)."

Ist das Risiko aber hoch, beispielsweise weil EU-Bürger den Schweizer Newsletter abonniert haben, empfiehlt es sich, zusätzliche Massnahmen zu treffen. "Oder es muss, wo solche nicht möglich sind, auf die Nutzung von Mailchimp verzichtet und eine datenschutzkonforme Alternative gewählt werden."