print logo

Newsletter-Versand: Achtung vor Datenschutz-Fallen

Wer Newsletter mithilfe eines ESPs versendet, kommt kaum umhin, personenbezogene Daten zu übertragen. Bei Datenschutzverstoß drohen hohe Bußgelder.
Astrid Braken | 16.08.2021
Achtung vor Datenschutz-Fallen beim Newsletter-Versand © Freepik
 

Wer Newsletter mithilfe eines E-Mail Service Providers versendet, der kommt kaum umhin, personenbezogene Daten über die Grenzen der EU hinaus zu übertragen – etwa nach England oder in die USA. Wer jetzt unwissentlich gegen den Datenschutz verstößt, dem drohen hohe Bußgelder. Daher müssen Unternehmen, die mit Providern außerhalb der EU zusammen arbeiten, jetzt aktiv werden. Dieser Beitrag enthält konkrete Tipps.

Wer Newsletter oder E-Mails an große Verteiler versendet, der arbeitet häufig mit Dienstleistern zusammen. Diese sogenannten E-Mail Service Provider sorgen dafür, dass die Mails im gewünschten Design bei den Menschen wirklich in der Inbox ankommen. Außerdem geben sie einen detaillierten Überblick, wie gut die Mail-Kampagne gelaufen ist anhand von Öffnungsraten und Engagement. Diese Zahlen sagen dem E-Mail-Marketing-Experten im Unternehmen, wie stark die eigenen Kontakte mit den versandten E-Mails einer Kampagnen interagieren. Messen lässt sich das etwa mit Öffnungs- und Klick-Raten und anderen Parametern.

Das Problem dabei: Die ESPs, die diese komfortablen Services zur Verfügung stellen, haben ihren Firmensitz häufig außerhalb von Europa. Die Übertragung personenbezogener Daten innerhalb der EU ist durch die DSGVO klar und streng geregelt. Befindet sich ein Absender jedoch in der EU und möchte Daten in ein außereuropäisches Land schicken, muss dieser berücksichtigen: Darf er die Daten überhaupt an Dritte übermitteln und ist das angemessene Datenschutzniveau gewart, sprich sind die Daten auch nach dem Transfer so gut geschützt, wie es Datenschutz-Grundverordnung (DSGVO) in Europa fordert?

 

Angemessenheitsbeschluss erleichtert Datenübertragung nach England

Für viele Fälle hat die EU eine Brücke gebaut: Hier gelten sogenannte Angemessenheitsbeschlüsse speziell für das Land. Mit einem Angemessenheitsbeschluss stellt die Kommission fest, dass ein Drittland mit seiner nationalen Gesetzgebung oder seinen internationalen Verpflichtungen ein vergleichbares Schutzniveau für personenbezogene Daten bietet wie die Europäische Union.

Hat die Europäische Kommission einen entsprechenden Angemessenheitsbeschluss gefasst, dürfen personenbezogene Daten ohne weitere Genehmigung in das jeweilige Land übermittelt werden, sofern die übrigen Bestimmungen der DSGVO eingehalten werden. Mit anderen Worten: Datenübermittlungen, die auf einem Angemessenheitsbeschluss basieren, sind privilegiert: Sie werden genauso behandelt wie solche innerhalb der EU. Derzeit gibt es Angemessenheitsbeschlüsse für die Übermittlung personenbezogener Daten in die folgenden Drittländer: Andorra, Argentinien, Kanada (kommerzielle Organisationen), Färöer Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz, Uruguay und seit kurzem auch das Vereinigte Königreich. Bald wird wohl Südkorea in die Liste aufgenommen.

 

Drittländer müssen angemessenes Datenschutzniveau haben

Bei jedem Austausch von personenbezogenen Daten zwischen der EU und allen anderen Ländern muss der Absender im Einzelfall prüfen, ob und wie das Schutzniveau für die Datenübermittlung gewährleistet werden kann.

Was das genau bedeutet, das zeigt das Beispiel England, für das erst seit Kurzem ein entsprechender Angemesseneheitsbeschluss erlassen wurde. Seit Anfang 2021 ist England und das Vereinigte Königreich ein sogenanntes Drittland entsprechend Art. 44 ff. der DSGVO. Diese Vorschriften sollen sicherstellen, dass personenbezogene Daten von EU-Bürgern auch dann noch angemessen geschützt sind, wenn Unternehmen und sonstige Institutionen nicht den Bestimmungen der DSGVO unterliegen. In diesem Zusammenhang spricht man von der Gewährleistung eines angemessenen Datenschutzniveaus.

Ein von der EU-Kommission erlassener Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO stellt für datenverarbeitende Stellen, die unmittelbar oder mittelbar personenbezogene ins Drittland exportieren, die einfachste Lösung dar. Danach kann die europäische Kommission nach ausführlicher Prüfung beschließen, dass das Datenschutzniveau im Drittstaat für einen Datentransfer aus dem Geltungsbereich der DSGVO angemessen hoch ist. Es ermöglicht also einen ungehinderten Datenverkehr von der EU in ein sicheres Drittland. Eine aktuelle Liste gültiger Angemessenheitsbeschlüsse kann der Webseite EU-Kommission entnommen werden.

Datenübertragung in die USA nur auf Basis von Standardvertragsklauseln (SCCs)

Wenn ein solcher Angemessenheitsbeschluss nicht vorliegt, müsste die verarbeitende Stelle aktiv werden und eine der geeigneten Garantien nach Art. 46 DSGVO ergreifen. In der Regel wird dann auf den Abschluss von EU-Standardvertragsklauseln i. S. v. Art. 46 Abs. 2 lit. c DSGVO zurückgegriffen.

Das zeigt das Beispiel USA: Das EU/US Privacy Shield, das letzte von Washington und Brüssel abgeschlossene Datentransferabkommen, wurde im vergangenen Sommer vom höchsten europäischen Gericht gekippt, weil die US-Geheimdienste nach Ansicht des Gerichts zu weitreichende Überwachungsmöglichkeiten haben.

Seit Ende 2020 sucht die Europäische Union nach anderen Wegen, um eine tragfähige Basis für den Datentransfer mit den USA zu finden. So hat die EU-Kommission neue Standardvertragsklauseln (SCCs) für die Übermittlung personenbezogener Daten in Drittstaaten erarbeitet und jetzt veröffentlicht. Diese enthalten spezifischere Sicherheitsvorkehrungen für den Fall, dass die Gesetze des Ziellandes (in das die Daten gesendet werden) seinen Behörden die Offenlegung personenbezogener Daten erlauben.

Standardvertragsklauseln von Aufsichtsbehörden überprüfen lassen

Die Kommission hat jedoch klargestellt, dass auch bei Verwendung der neuen Klauseln im konkreten Einzelfall ergänzende Maßnahmen erforderlich sein können, um die übermittelten Daten angemessen vor dem uneingeschränkten Zugriff der Sicherheitsbehörden zu schützen. Im Falle der USA sind diese Maßnahmen aufgrund der weitreichenden Zugriffsmöglichkeiten der Sicherheitsbehörden in jedem Fall erforderlich.

Daher sollte auch bei Verwendung der neuen Standardvertragsklauseln im Vorfeld künftiger Datentransfers in die USA ein entsprechendes Konzept mit den Datenschutzbehörden abgestimmt werden. Die CSA (Certified Senders Alliance) empfiehlt, auf strenge Standardvertragsklauseln zu setzen und diese den zuständigen Daten-Aufsichtsbehörde zur Begutachtung und Stellungnahme zuzusenden.

Img of Astrid Braken

Astrid Braken ist Datenschutz-Expertin und Syndikusrechtsanwältin der Certified Senders Alliance.