26.05.2021

Erst Schrems II, jetzt Mailchimp: Deutsche Unternehmen kommen, wenn es um das Thema Datenschutz geht, einfach nicht zur Ruhe. Und diesmal besteht wohl oder übel rigoroser Handlungsbedarf. Denn die Datenübertragung in die USA, Heimat zahlreicher Software-Anbieter, ist seit einigen Wochen nicht mehr rechtskonform möglich. Und anders als noch nach Schrems II, bieten sogenannte EU-Standardvertragsklauseln ab sofort kein sicheres Schlupfloch mehr. 

Schutz personenbezogener Daten in den USA nicht gewährleistet 

Werden Daten in ein Land übersendet, dass nicht der DSGVO unterliegt, dann ist das nur möglich, sofern dieses den Datenschutz im gleichen Umfang gewährleistet. Das können die USA, aufgrund eigener Gesetzgebungen, offiziell nicht. Das Hauptproblem: US-Ermittlungsbehörden haben das Recht, Unternehmen zur Herausgabe von personenbezogenen Daten zu zwingen. Dafür muss nicht einmal zwingend eine Rechtsgrundlage vorliegen. Betroffene werden darüber in der Regel noch nicht einmal informiert. Für die bayerische Landesdatenschutzbehörde war das Grund genug, am E-Mail-Marketing-Tool Mailchimp ein Exempel zu statuieren: Das Datenschutzniveau der USA ist nach DSGVO-Maßgaben zu niedrig.In anderen Branchen ist die Datenübertragung in die USA daher übrigens schon längst strikt untersagt. Zum Beispiel da, wo besonders schützenswerte Daten im Spiel sind: “Darunter fallen z. B. Gesundheitsdaten”, sagt Klaus Mueller, CEO der TWT Digital Health. “Bei den neuen verschreibungsfähigen Apps – den Digitalen Gesundheitsanwendungen (DiGA) – ist ganz klar geregelt, dass keinerlei Daten bei den großen amerikanischen Cloudprovidern gespeichert werden dürfen. Ohne Ausnahme.”

Deutsche Unternehmen sollten handeln bevor es teuer wird

Manuel Hammes, Teamleiter Data & Analytics bei TWT, ist der festen Überzeugung, dass in Zukunft alle US-Tools, die personenbezogene Daten erheben, nicht mehr risikofrei von deutschen Unternehmen eingesetzt werden dürfen. “Es ist nur eine Frage der Zeit, bevor das erste Gerichtsurteil in diese Richtung gefällt werden wird”, sagt Hammes. “Wir wollen den Teufel nicht an die Wand malen, aber die Kosten, die bei DSGVO-Verstößen anfallen können, sind im Worst Case enorm hoch. Da lohnt es sich, frühzeitig aktiv zu werden.” EU-Tools sind hier – auch langfristig – die sicherste Lösung. Glücklicherweise gibt es gleichwertige Alternativen: 

Nicht nur unsere Software wurde und wird in Deutschland entwickelt, auch die komplette Datenverarbeitung und der Versand finden in Deutschland statt. Hinzu kommt, dass die komplette Inxmail GmbH und das Rechenzentrum ISO 27001 zertifiziert sind”, sagt beispielsweise Michael Kreuzpeintner, Head of Partner Business beim E-Mail-Marketing-Anbieter Inxmail.

Das Unternehmen ist darüber hinaus Mitgründer und aktives Mitglied der Certified Senders Alliance (CSA), um rechtliche und technische Qualitätsansprüche im Sinne der Kunden umzusetzen. 

“Werden personenbezogene Daten in ein Drittland (also außerhalb der EU) übermittelt, ohne dass die Regelungen der Artikel 44 bis 49 der DSGVO erfüllt sind, drohen theoretisch empfindliche Bußgelder”, so auch seine Einschätzung. 

Auch betroffen: Webshop-Anbieter 

Es ist eine Sache, den E-Mail-, Sales-, oder CRM-Anbieter zu wechseln. Ist aber der eigene Webshop betroffen, drohen nicht nur empfindliche Geldstrafen, sondern auch der Einbruch des gesamten Business. “Die personenbezogenen Daten, die an Shopsystem-Anbieter übertragen werden, sind besonders sensibel”, gibt Hammes zu bedenken. Und Maßstäbe, die neuerdings für E-Mail-Marketing-Anbieter aus den USA gelten, werden langfristig wahrscheinlich auch bei Shop-Anbietern angewendet werden.

Auch Monika Mack, Vertriebsleiterin und Mitglied der Geschäftsleitung von OXID sieht das so:
Mit dem derzeit stark boomenden Onlinehandel wird auch der Datenschutz in Shops stärker in den Fokus rücken. Shopbetreiber, für die das Thema bisher nicht im Fokus stand, sollten das unbedingt ändern.” 

Heißt: Auch hier wird langfristig die Rechtskonformität streng geprüft werden. Wer erst dann beginnt, sich nach einer Alternative umzuschauen, könnte das Nachsehen haben. 

“Im Shop dürfen zur Bestellabwicklung notwendige Daten logischerweise verarbeitet werden. Alles was darüber hinausgeht, wie z. B. Telefonnummer oder Geburtsdatum, gehört hier nicht dazu”, sagt Monika Mack.

Auf drei Aspekte sollten Betreiber*innen unbedingt dabei unbedingt achten: “Erstens sollte ein Shopsystem von Hause aus das nötige Rüstzeug mitbringen, um DSGVO-konform zu sein. Zweitens sollten Händler sich selbst vor Abmahnungen schützen, in dem alle Bedingungen rechtskonform erfüllt sind und drittens, müssen Shopbetreiber geeignete Maßnahmen ergreifen, um Kundendaten im Shop vor Verlust oder Übergriffen zu schützen”, sagt die Expertin. 

Und das bedarf in Zukunft voraussichtlich eines Betreibers in der EU. 

Sie sind sich unsicher, ob ihre aktuell genutzten Programme wirklich datenschutzkonform sind, oder brauchen Unterstützung beim Aufsetzen eines neuen Tools? Unsere Expert*innen helfen Ihnen gern. Wir freuen uns auf den Austausch.