27.04.2021

Erst Safe-Harbour, dann das EU-US-Privacy Shield: USA und EU kommen beim Thema Datenschutz einfach nicht auf einen grünen Zweig. Spätestens seit der EuGH am 16. Juli 2020 mit dem Schrems II-Urteil das Privacy-Shield-Abkommen kippte und damit den Transfer von personenbezogenen Daten aus der Europäischen Union in die USA verbot, ist zunehmend unklar, welche Programme denn nun noch erlaubt sind und welche nicht. 

Ein anderes Verständnis von Datenschutz

Die Herausforderung besteht in der US-Gesetzgebung. Es gibt insgesamt vier Gesetze, die es amerikanischen Behörden erlauben, auf personenbezogene Daten, die von US-Firmen erhoben wurden, zuzugreifen: Den Foreign Intelligence Surveillance Act, den USA Patriot Act, den USA Freedom Act und, seit 2018, den CLOUD Act. Diese gelten sogar für US-Unternehmen, die ihre Daten gar nicht auf US-Servern speichern. Es reicht schon, dass der Firmensitz in den USA liegt, damit die Befugnisse von beispielsweise Geheimdiensten automatisch über den Datenschutzansprüchen der Bürger*innen stehen. Selbst individuelle Vertragsklauseln bieten hiervor keinen Schutz. Das ist per se kein neues Problem, bislang standen jedoch vornehmlich nur Tracking-Tools im Fokus der Datenschützer. Jetzt hat es, mit Mailchimp, erstmalig ein E-Mail-Marketing-Tool getroffen. Das betroffene Münchner Unternehmen musste zwar kein Bußgeld zahlen, da es sich bei dem Beschluss nicht um eine gerichtliche Klärung, sondern lediglich um ein datenschutzrechtliches Beschwerdeverfahren handelte – allerdings entschied man sich freiwillig, zukünftig ein anderes Tool zu nutzen. 

Selbst wenn dieser Fall glimpflich ausgegangen ist, gehen wir stark davon aus, dass Datenschutzbehörden in ähnlichen Verfahren genauso entscheiden werden”, sagt Manuel Hammes, Teamleiter Data & Analytics bei TWT. “Und dann könnte das betreffende Unternehmen leider weniger Glück haben.” 

Wie umfassend greift die Entscheidung der bayerischen Datenschutzbehörde? 

Hammes und sein Team werten das Ergebnis des Beschwerdeverfahrens als Signal, dass Datenschutzregelungen in Zukunft deutlich strenger ausgelegt werden. “Bisher lag der Fokus klar auf Analytics-Tools und Cookies”, sagt Hammes. “Das hat sich jetzt geändert. Wir schätzen, dass zukünftig nicht nur E-Mail-Marketing-, sondern auch Shop- und CMS-Systeme, sowie CRM-Tools kritischer begutachtet werden. Unternehmen hatten bislang wahrscheinlich einfach Glück, dass die Landesdatenschutzbeauftragten der Länder kein Auge auf solche Systeme hatten.” Denn all diese Systeme sammeln sensible, personenbezogene Daten, die laut DSGVO die EU eigentlich nicht verlassen dürfen. 

Was sollten Unternehmen jetzt tun? 

Die Entscheidung der bayerischen Datenschutzbehörde wird weitreichende Folgen haben. Unternehmen, die keine Klage riskieren wollen, sollten dementsprechend zügig handeln.

1. Den eigenen Datenschutzbeauftragten ins Boot holen 

Dieser sollte im Vorfeld alle verwendeten EMM-, CRM, CMS- und Shopsysteme auf folgende Punkte prüfen: 

  • Wo liegt der Unternehmenssitz des jeweiligen Anbieters? 
  • Falls außerhalb der EU, sollten Sie tätig werden.
  • Wo werden personenbezogene Daten verarbeitet? 
  • Wo werden diese Daten gespeichert? 

Lautet auch hier die Antwort “außerhalb der EU”, besteht Handlungsbedarf.

2. Neue, datenschutzkonforme Tools identifizieren 

Sollten die genutzten Systeme und Tools tatsächlich gegen die DSGVO verstoßen, empfiehlt es sich, frühzeitig auf ein alternatives System umzusatteln. 

So ärgerlich der Aufwand auch sein mag, es kann auch dazu führen, dass Unternehmen sich endlich von teuren Altlasten oder ineffizienten Prozessen trennen”, sagt Manuel Hammes.

Ganz nach dem Motto: Ist das DSGVO-konform oder kann das weg? 

Der Anbieter eines neuen Tools sollte seinen Firmensitz dann natürlich auf jeden Fall in der EU, bestenfalls sogar in Deutschland haben. Beispiele für solche Tools aus dem Bereich E-Mail-Marketing sind beispielsweise Inxmail, Evalanche von SC-Networks oder Open Source Programme wie Mautic.  

3. Das neue System sauber aufsetzen 

Das bedeutet

  • neue Templates erstellen
  • das Team zu möglichen neuen Funktionen schulen
  • die Daten aus dem alten System importieren 
  • und natürlich: Testen, ob auch alles funktioniert 

Dann sollten Unternehmen erst einmal auf der sicheren Seite sein – und den Datenschutzbehörden hoffentlich einen Schritt voraus. 

Sie sind sich unsicher, ob ihre aktuell genutzten Tools wirklich datenschutzkonform ist, oder brauchen Unterstützung beim Aufsetzen eines Neuen? Unsere Expert*innen helfen Ihnen gern. Wir freuen uns auf den Austausch