MailChimp Newsletter und Datenschutz (DSGVO Update!)

MailChimp Newsletter und Datenschutz (DSGVO Update!)
5 (100%) 2 votes

In diesem Artikel geht es um die Problematik, inwieweit die Verwendung des Newsletters eines US-amerikanischen Anbieters wie MailChimp dem deutschen Datenschutz gerecht wird und wie das beliebte Newsletter Plugin DSGVO-konform integriert werden kann. Es gibt natürlich noch weitere Voraussetzungen, um einen Newsletter datenschutz-konform auf einer Website einzubinden. Dazu gehören das „Double-Opt-In“-Verfahren sowie die Impressumspflicht und ein Link zum Abbestellen innerhalb des Newsletters. Diese „Standard-Funktionen“ sind bei allen führenden Anbietern von Newsletter Plugins bereits integriert sowie mit wenigen Klicks umgesetzt und deshalb auch nicht Bestandteil dieses Beitrags.

Anmerkung: Ich bin kein Anwalt und kann daher auch nicht rechtlich beraten. Die folgenden Absätze geben nur meine Schlussfolgerung wieder, die ich aus den zahlreichen Artikeln im Netz zu diesem sehr umstrittenen Thema gewonnen habe.

Update vom 28.05.2018: Dieser Artikel wurde gemäß der neuen DSGVO Richtlinien überarbeitet.

Ist die Verwendung von MailChimp in Deutschland datenschutz-konform?

Seit einiger Zeit wird im Netz kontrovers darüber diskutiert, ob und in welcher Form personenbezogene Daten wie die Namen und E-Mail Adressen der Newsletter Abonnenten an ausländische Unternehmen weitergegeben werden dürfen.

Selbst die Zeitschrift „SCREENGUIDE“ schreibt in der Ausgabe Nr. 32, Seite 26:

„Nutzerdaten wie Namen und E-Mail-Adressen sollten dabei bei einem strengen Datenschutzbeauftragten nicht an ausländische Anbieter übertragen werden. Das schließt beliebte Anbieter wie Mailchimp direkt aus.“

Nach einer ausgiebigen Recherche würde ich persönlich nicht so weit gehen und die Verwendung von MailChimp für den deutschen Markt automatisch ausschließen. Allerdings müssen bestimmte Voraussetzungen erfüllt sein, um dem deutschen Datenschutz gerecht zu werden.

Voraussetzungen, um MailChimp in Deutschland rechtssicher zu verwenden:

1. Schriftliche Vereinbarung mit MailChimp

Es muss eine schriftlicher Vertrag zur Auftragsdatenverarbeitung (ADV Vertrag) bzw. Vertrag für die Auftragsverarbeitung (AV Vertrag), wie es nach DSGVO genannt wird, mit MailChimp abgeschlossen werden. Nachdem du deine Daten auf der Date Processing Addendum (DPA) Seite von MailChimp eingetragen hast, kannst du den ADV Vertrag ausdrucken, unterschreiben und an MailChimp zurücksenden.

2. Hinweis zur Datenweitergabe an MailChimp

Die potentiellen Abonnenten müssen über die Datenweitergabe an MailChimp und die Art der Datenverarbeitung informiert werden.

Besondere Vorsicht gilt hier bei der Verwendung von Datenschutz-Mustern und den beliebten Generatoren für Datenschutzerklärungen. Solche Generatoren „spucken“ gerne mal den folgenden Satz heraus:

„Diese Daten werden nur für den Versand der Newslettern verwendet und werden nicht an Dritte weiter gegeben.“

Wie bereits erwähnt, bin ich kein Anwalt, aber ich könnte mir vorstellen, dass diese Formulierung bei der Verwendung von MailChimp nicht zutreffend ist. Aus meiner Sicht wäre es sinnvoller den Abschnitt ungefähr wie folgt zu formulieren:

„Wir verwenden zum Versand unseres Newsletters den Anbieter MailChimp. Bei MailChimp handelt es sich um ein Angebot der The Rocket Science Group, 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308, USA (kurz: “Rocket”). Die bei der Registrierung gespeicherten Daten werden an Rocket übermittelt und von Rocket gespeichert. An andere Dritte werden die Daten, die bei der Registrierung eingegeben werden, nicht übermittelt.“

3. Belehrung über Tracking-Methoden

Sollten bestimmte Tracking-Methoden eingesetzt werden, wie beispielsweise das Öffnen der E-Mail, oder das Anklicken eines Links innerhalb der E-Mail, muss der User ebenfalls darüber belehrt werden. Die Belehrung sollte am besten stattfinden, bevor der Interessent das Newsletter Formular ausfüllt.

4. Hinweise über den Newsletter zum Formular hinzufügen

Die DSGVO verpflichtet zur transparenten Information der Betroffenen. Aus diesem Grund ist es stark empfehlenswert, den folgenden oder ähnlichen Text mit einem Link zu der Datenschutzerklärung zu jedem Newsletter-Formular hinzuzufügen:

„Der Newsletter enthält Informationen über neue Beiträge, Angebote und Aktionen. Hinweise zum Anmeldeverfahren, Versanddienstleister, statistischer Auswertung und Widerruf in unserer Datenschutzerklärung.

5. Datenschutzhinweise klar hervorheben

Da Datenschutzhinweise sich vom übrigen Text unterscheiden müssen, müssen diese in der Bestätigungsmail fett oder in anderer Farbe dargestellt werden.

Ich habe mich dennoch gegen die Verwendung von MailChimp entschieden. Hier auf wpc ist das Newsletter Plugin MailPoet im Einsatz, weil das Plugin mir ermöglicht die Daten meiner Newsletter Abonnenten nicht an Dritte weiter zu geben. Da aber das Plugin die unter Punkt 3 genannten Analysefunktionen anbietet, muss ich meine Abonennten ebenfalls darüber informieren. Hier ein Vorschlag wie Punkt 3 und 4 in einer Bestätigungsmail umgesetzt werden könnten:

Newsletter Bestätigungsmail - Pflicht-Hinweis zu Analyse Methoden

Newsletter Bestätigungsmail – Pflicht-Hinweis zu Analyse Methoden

Unklar ist jedoch, ob solche Belehrungen in der Datenschutzerklärung und/oder der Bestätigungsmail aufgenommen werden sollen. Um auf Nummer sicher zu gehen, ist es wahrscheinlich ratsam den Datenschutzhinweis sowohl in der Datenschutzerklärung als auch in der Bestätigungsmail aufzunehmen. Zusätzlich könnte noch ein Link zu der Datenschutzerklärung im Newsletter vorgesehen werden. Mit der Bestätigung ihrer Anmeldung zum Newsletter, stimmen die Abonnenten dann auch der Datenverarbeitung und dem Tracking (falls eingesetzt) zu.

Für mich persönlich stellt sich aber die Frage, wenn sich die Interessenten erst einmal durch Informationen zu Datenverarbeitung und Analysetätigkeiten lesen müssen, wie hoch dann noch die Wahrscheinlichkeit ist, dass jemand die Anmeldung auch wirklich bestätigt?

6. Umsetzung der Betroffenenrechte von MailChimp gemäß DSGVO

Die DSGVO schützt verstärkt die Rechte der betroffenen Personen (Betroffenenrechte). Für Websitebetreiber bedeutet das, dass sie die Anfoderungen hinsichtlich Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Übertragbarkeit der Daten, Widerspruch und das Recht keiner automatisierten Entscheidung unterworfen zu werden, erfüllen müssen. In dem GDPR Leitfaden erklärt MailChimp, wie die Betroffenenrechte umgesetzt werden.

Zweifel habe ich dabei, ob das Recht auf Datenübertragbarkeit, welches durch die DSGVO neu hinzugekommen ist, von MailChimp richtig umgesetzt wird. Die Anforderung wird nämlich erfüllt, indem der Websitebesitzer die Möglichkeit erhält, eine beliebige Liste zu exportieren. Meinem Verständnis nach regelt jedoch das Recht auf Datenübertragbarkeit den Anspruch, dass eine betroffene Person, die sie betreffenden personenbezogene Daten in einem gängigen Format zur Verfügung gestellt bekommt. Die Wahrscheinlichkeit, dass dieses Recht von den Betroffenen bei einem Newsletter-Formular, wo oft nur die E-Mail Adresse abgefragt wird, in Anspruch genommen wird, ist wohl eher gering.

7. Einwilligung einholen, protokollieren und Widerspruchsmöglichkeit anbieten

Die Website-Formulare haben es in Zeiten von DSGVO nicht leicht. Die meisten sind von der „Checkboxitis“ befallen. Den Newsletter-Formularen geht es da leider auch nicht anders. Viele bekommen von ihren Besitzern eine oder mehrere Checkboxen verpasst, um sich die Einwilligung doppelt und dreifach einzuholen.

Während man bei einem Kontaktformular aufgrund der zum Teil fehlenden Nachweisbarkeit und der Widerspruchsmöglichkeit durchaus über die Sinnhaftigkeit der Checkbox diskutieren kann, haben diese bei einem Newsletter-Formular meiner Meinung nach nichts verloren. Die Einwilligung ist durch das Ausfüllen des Formulars und auch durch das Double Opt-in ohnehin gegeben. Die Protokollierung (E-Mail Adresse, IP-Adresse, Tag der Anmeldung) und die Widerspruchsmöglichkeit (Link am Ende jeder Newsletter E-Mail) werden von den meisten Newletter Plugins erledigt.

Demnach muss zu diesem Punkt bei der Verwendung von MailChimp nichts weiter beachtet werden.

Weitere Informationen zu MailChimp und dem Datenschutz:

Unter dem Link Datenschutzhinweise zu meinem E-Mail-Newsletter & Mailchimp findest du ein schönes Beispiel, wie die User über die Verwendung von MailChimp belehrt werden.

Update vom 03.11.2016: Gerade heute hat der Rechtsanwalt Dr. Schwenke ebenfalls einen ausführlichen Artikel über dieses Thema verfasst, den ich meinen Lesern nicht vorenthalten möchte. Nachtrag 28.05.2018: Der Artikel von Dr. Schwenke wurde ebenfalls an die DSGVO angepasst.

Verwendest du die Newsletter Funktion auf deiner Website?

Hast du bereits Erfahrungen mit MailChimp oder anderen Newsletter Plugins sammeln können? Wie ist deine Meinung zu diesem Thema?

MailChimp Newsletter und Datenschutz (DSGVO Update!)
5 (100%) 2 votes
Danijel Rose - WordPress Consultant

Danijel

Hi, mein Name ist Danijel Rose, ich bin der Gründer von WebGeckos, WordPress Trainer und Berater aus Bad Tölz, südlich von München. Über meine WordPress Erfahrungen blogge ich hier auf WPC. Mit WordPress erstelle ich vor allem gerne hochwertige Firmenwebsites, Mitgliederseiten und WordPress Multisites.

Das könnte Dich auch interessieren …

4 Antworten

  1. K
    Katharina sagt:

    Vielen Dank für den informativen Artikel! Ich nutze Mailpoet 2. Du schreibst, dass die Newsletterdaten hier nicht an Dritte weitergegeben werden. Heißt das, Mailpoet ist kein Auftragsverarbeiter nach der DSGVO, ich muss hier also im Gegensatz zu den meisten anderen E-Mail-Anbietern wie beispielsweise MailChimp keinen Vertrag zur Auftragsverarbeitung abschließen?

    Viele Grüße,
    Katharina

    • D
      Danijel sagt:

      Hi Katharina,
      meiner Meinung nach, benötigt man mit MailPoet keinen Vertrag zur Auftragsdatenverarbeitung (ADV) solange man die Option „Senden mit… > deine eigene Website“ ausgewählt hat. Das war noch lange vor DSGVO ein klarer Vorteil von MailPoet gegenüber MailChimp & Co., da die Daten der Abonnenten nicht auf den Servern von Drittanbietern liegen. Soweit ich weiß, wird sich das auch mit DSGVO nicht ändern. Ich habe aber die Frage auch schon im WordPress Forum gestellt (https://wordpress.org/support/topic/mailpoet-gdpr/). Sobald ich Feedback erhalte, werde ich hier auf meinem Blog darüber berichten.
      Wenn überhaupt müsste man einen Vertrag zur ADV mit dem eigenen Hosting Anbieter abschließen und nicht mit dem Newsletter Anbieter MailPoet.
      Viele Grüße, Danijel

      • D
        Danijel sagt:

        Ich habe gerade festgestellt, dass meine Anfrage im WordPress Support Forum bzgl. ADV Vertrag & MailPoet einfach gelöscht wurde, ohne mich darüber zu informieren. Das Moderator Team hat meinen Kommentar und den eines weiteren WordPress Users angeblich gelöscht, weil „mein Problem“ nicht zu dem Support-Thema gepasst hat. Eine Frage zum ADV Vertrag passt also nicht zum Thema DSGVO – is klar! Naja, ich habe nun ein neues Support-Thema aufgemacht und die gleiche Frage gestellt. Sobald/falls ich eine Rückmeldung bekomme, werde ich hier darüber berichten.

  2. C
    Conny sagt:

    Lieber Danijel,
    das Thema interessiert mich sehr, daher abonniere ich hier mal die nachfolgenden Kommentare, um auf dem Laufenden zu bleiben. Ich hab im Netz nämlich nur sehr wenig Erhellendes zum Thema ADV-Vertrag und MailPoet gefunden. Gerade so, als wäre es noch lange bis zum 25. Mai…
    Danke, dass Du Dich des Themas annimmst.
    Herzlichst, Conny

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.