In diesem Artikel geht es um die Problematik, inwieweit die Verwendung des Newsletters eines US-amerikanischen Anbieters wie MailChimp dem deutschen Datenschutz gerecht wird und wie das beliebte Newsletter Plugin DSGVO-konform integriert werden kann. Es gibt natürlich noch weitere Voraussetzungen, um einen Newsletter datenschutz-konform auf einer Website einzubinden. Dazu gehören das „Double-Opt-In“-Verfahren sowie die Impressumspflicht und ein Link zum Abbestellen innerhalb des Newsletters. Diese „Standard-Funktionen“ sind bei allen führenden Anbietern von Newsletter Plugins bereits integriert sowie mit wenigen Klicks umgesetzt und deshalb auch nicht Bestandteil dieses Beitrags.
Anmerkung: Ich bin kein Anwalt und kann daher auch nicht rechtlich beraten. Die folgenden Absätze geben nur meine Schlussfolgerung wieder, die ich aus den zahlreichen Artikeln im Netz zu diesem sehr umstrittenen Thema gewonnen habe.
Update vom 28.05.2018: Dieser Artikel wurde gemäß der neuen DSGVO Richtlinien überarbeitet.
Ist die Verwendung von MailChimp in Deutschland datenschutz-konform?
Seit einiger Zeit wird im Netz kontrovers darüber diskutiert, ob und in welcher Form personenbezogene Daten wie die Namen und E-Mail Adressen der Newsletter Abonnenten an ausländische Unternehmen weitergegeben werden dürfen.
Selbst die Zeitschrift „SCREENGUIDE“ schreibt in der Ausgabe Nr. 32, Seite 26:
„Nutzerdaten wie Namen und E-Mail-Adressen sollten dabei bei einem strengen Datenschutzbeauftragten nicht an ausländische Anbieter übertragen werden. Das schließt beliebte Anbieter wie Mailchimp direkt aus.“
Nach einer ausgiebigen Recherche würde ich persönlich nicht so weit gehen und die Verwendung von MailChimp für den deutschen Markt automatisch ausschließen. Allerdings müssen bestimmte Voraussetzungen erfüllt sein, um dem deutschen Datenschutz gerecht zu werden.
Voraussetzungen, um MailChimp in Deutschland rechtssicher zu verwenden:
1. Schriftliche Vereinbarung mit MailChimp
Es muss eine schriftlicher Vertrag zur Auftragsdatenverarbeitung (ADV Vertrag) bzw. Vertrag für die Auftragsverarbeitung (AV Vertrag), wie es nach DSGVO genannt wird, mit MailChimp abgeschlossen werden. Nachdem du deine Daten auf der Date Processing Addendum (DPA) Seite von MailChimp eingetragen hast, kannst du den ADV Vertrag ausdrucken, unterschreiben und an MailChimp zurücksenden.
2. Hinweis zur Datenweitergabe an MailChimp
Die potentiellen Abonnenten müssen über die Datenweitergabe an MailChimp und die Art der Datenverarbeitung informiert werden.
Besondere Vorsicht gilt hier bei der Verwendung von Datenschutz-Mustern und den beliebten Generatoren für Datenschutzerklärungen. Solche Generatoren „spucken“ gerne mal den folgenden Satz heraus:
„Diese Daten werden nur für den Versand der Newslettern verwendet und werden nicht an Dritte weiter gegeben.“
Wie bereits erwähnt, bin ich kein Anwalt, aber ich könnte mir vorstellen, dass diese Formulierung bei der Verwendung von MailChimp nicht zutreffend ist. Aus meiner Sicht wäre es sinnvoller den Abschnitt ungefähr wie folgt zu formulieren:
„Wir verwenden zum Versand unseres Newsletters den Anbieter MailChimp. Bei MailChimp handelt es sich um ein Angebot der The Rocket Science Group, 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308, USA (kurz: “Rocket”). Die bei der Registrierung gespeicherten Daten werden an Rocket übermittelt und von Rocket gespeichert. An andere Dritte werden die Daten, die bei der Registrierung eingegeben werden, nicht übermittelt.“
3. Belehrung über Tracking-Methoden
Sollten bestimmte Tracking-Methoden eingesetzt werden, wie beispielsweise das Öffnen der E-Mail, oder das Anklicken eines Links innerhalb der E-Mail, muss der User ebenfalls darüber belehrt werden. Die Belehrung sollte am besten stattfinden, bevor der Interessent das Newsletter Formular ausfüllt.
4. Hinweise über den Newsletter zum Formular hinzufügen
Die DSGVO verpflichtet zur transparenten Information der Betroffenen. Aus diesem Grund ist es stark empfehlenswert, den folgenden oder ähnlichen Text mit einem Link zu der Datenschutzerklärung zu jedem Newsletter-Formular hinzuzufügen:
„Der Newsletter enthält Informationen über neue Beiträge, Angebote und Aktionen. Hinweise zum Anmeldeverfahren, Versanddienstleister, statistischer Auswertung und Widerruf in unserer Datenschutzerklärung.„
5. Datenschutzhinweise klar hervorheben
Da Datenschutzhinweise sich vom übrigen Text unterscheiden müssen, müssen diese in der Bestätigungsmail fett oder in anderer Farbe dargestellt werden.
Ich habe mich dennoch gegen die Verwendung von MailChimp entschieden. Hier auf wpc ist das Newsletter Plugin MailPoet im Einsatz, weil das Plugin mir ermöglicht die Daten meiner Newsletter Abonnenten nicht an Dritte weiter zu geben. Da aber das Plugin die unter Punkt 3 genannten Analysefunktionen anbietet, muss ich meine Abonennten ebenfalls darüber informieren. Hier ein Vorschlag wie Punkt 3 und 4 in einer Bestätigungsmail umgesetzt werden könnten:
Unklar ist jedoch, ob solche Belehrungen in der Datenschutzerklärung und/oder der Bestätigungsmail aufgenommen werden sollen. Um auf Nummer sicher zu gehen, ist es wahrscheinlich ratsam den Datenschutzhinweis sowohl in der Datenschutzerklärung als auch in der Bestätigungsmail aufzunehmen. Zusätzlich könnte noch ein Link zu der Datenschutzerklärung im Newsletter vorgesehen werden. Mit der Bestätigung ihrer Anmeldung zum Newsletter, stimmen die Abonnenten dann auch der Datenverarbeitung und dem Tracking (falls eingesetzt) zu.
Für mich persönlich stellt sich aber die Frage, wenn sich die Interessenten erst einmal durch Informationen zu Datenverarbeitung und Analysetätigkeiten lesen müssen, wie hoch dann noch die Wahrscheinlichkeit ist, dass jemand die Anmeldung auch wirklich bestätigt?
6. Umsetzung der Betroffenenrechte von MailChimp gemäß DSGVO
Die DSGVO schützt verstärkt die Rechte der betroffenen Personen (Betroffenenrechte). Für Websitebetreiber bedeutet das, dass sie die Anfoderungen hinsichtlich Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Übertragbarkeit der Daten, Widerspruch und das Recht keiner automatisierten Entscheidung unterworfen zu werden, erfüllen müssen. In dem GDPR Leitfaden erklärt MailChimp, wie die Betroffenenrechte umgesetzt werden.
Zweifel habe ich dabei, ob das Recht auf Datenübertragbarkeit, welches durch die DSGVO neu hinzugekommen ist, von MailChimp richtig umgesetzt wird. Die Anforderung wird nämlich erfüllt, indem der Websitebesitzer die Möglichkeit erhält, eine beliebige Liste zu exportieren. Meinem Verständnis nach regelt jedoch das Recht auf Datenübertragbarkeit den Anspruch, dass eine betroffene Person, die sie betreffenden personenbezogene Daten in einem gängigen Format zur Verfügung gestellt bekommt. Die Wahrscheinlichkeit, dass dieses Recht von den Betroffenen bei einem Newsletter-Formular, wo oft nur die E-Mail Adresse abgefragt wird, in Anspruch genommen wird, ist wohl eher gering.
7. Einwilligung einholen, protokollieren und Widerspruchsmöglichkeit anbieten
Die Website-Formulare haben es in Zeiten von DSGVO nicht leicht. Die meisten sind von der „Checkboxitis“ befallen. Den Newsletter-Formularen geht es da leider auch nicht anders. Viele bekommen von ihren Besitzern eine oder mehrere Checkboxen verpasst, um sich die Einwilligung doppelt und dreifach einzuholen.
Während man bei einem Kontaktformular aufgrund der zum Teil fehlenden Nachweisbarkeit und der Widerspruchsmöglichkeit durchaus über die Sinnhaftigkeit der Checkbox diskutieren kann, haben diese bei einem Newsletter-Formular meiner Meinung nach nichts verloren. Die Einwilligung ist durch das Ausfüllen des Formulars und auch durch das Double Opt-in ohnehin gegeben. Die Protokollierung (E-Mail Adresse, IP-Adresse, Tag der Anmeldung) und die Widerspruchsmöglichkeit (Link am Ende jeder Newsletter E-Mail) werden von den meisten Newletter Plugins erledigt.
Demnach muss zu diesem Punkt bei der Verwendung von MailChimp nichts weiter beachtet werden.
Weitere Informationen zu MailChimp und dem Datenschutz:
Unter dem Link Datenschutzhinweise zu meinem E-Mail-Newsletter & Mailchimp findest du ein schönes Beispiel, wie die User über die Verwendung von MailChimp belehrt werden.
Update vom 03.11.2016: Gerade heute hat der Rechtsanwalt Dr. Schwenke ebenfalls einen ausführlichen Artikel über dieses Thema verfasst, den ich meinen Lesern nicht vorenthalten möchte. Nachtrag 28.05.2018: Der Artikel von Dr. Schwenke wurde ebenfalls an die DSGVO angepasst.
Verwendest du die Newsletter Funktion auf deiner Website?
Hast du bereits Erfahrungen mit MailChimp oder anderen Newsletter Plugins sammeln können? Wie ist deine Meinung zu diesem Thema?
10 Antworten
Hallo Danijel,
weißt Du zufällig, wie es sich mit der DSGVO und ausgetragenen Newsletter-Abonnenten verhält? Ich frage für Freunde aus den USA, die da verwirrt sind – und wir Europäer können ihnen auch nicht helfen. Mailchimp hat vor einigen Wochen sein Kostenmodell verändert und verlangt jetzt von den Nutzern auch Geld für archivierte Kontakte, also Abonnenten, die sich ausgetragen haben. Nach deren Logik kann man die ja wieder anschreiben…
Die Frage, die wir uns stellen: darf man diese archivierten Kontakte löschen oder muss man sie aufgrund dieser Pflicht, nachweisen zu können, wann sich jemand wie angemeldet hat, behalten?
Wie siehst Du das?
Vielen Dank für Deinen detaillierten Artikel hier!
Hallo Nicola,
wie immer gilt: Ich bin kein Anwalt und darf keine Rechtsberatung anbieten 🙂 Deswegen äußere ich hier nur meine Meinung:
Wenn ich mir den Art. 17 der DSGVO (Recht auf Löschung / Recht auf Vergessenwerden) durchlese, würde ich sagen, dass man die ausgetragenen Newsletter Abonnenten nicht nur löschen darf, sondern sogar löschen muss. Denn die personenbezogenen Daten sind für die Zwecke, für die sie erhoben wurden (Newsletter Versand) nicht mehr notwendig. Ich würde auch das Austragen aus dem Newsletter gleichsetzen mit einem Widerruf der Einwilligung. Das hat ebenfalls zur Folge, dass die personenbezogenen Daten unverzüglich gelöscht werden müssen.
Wie gesagt, das ist nur meine Interpretation.
Schöne Grüße,
Danijel
Lieber Danijel,
gibt es Neuigkeiten zum Thema AV-Vertrag mit MailPoet? Ich würde die MailPoeten so gerne nutzen, da die Anbindung zum WooCmmerce Shop so genial einfach und reibungslos ist.
Allerdings bieten sie mir aktuell immer noch keinen AV Vertrag an, obwohl ich den internen Sending Service als Premium Kunde nutze…..
Das ist leider wenig einfach…..
Über eine geniale Idee von Dir würde ich mich sehr freuen.
Bis ganz bald
Simone
Liebe Simone,
aus meiner Sicht ist der größte Vorteil von MailPoet, die Möglichkeit, den Newsletter über die eigene WordPress Seite zu versenden. Sobald ich den Sending Service über MailPoet nutze und damit auch einen AV Vertrag benötige, würde ich andere Newsletter Anbieter wie MailChimp bevorzugen. Rein aus technischer Sicht, gibt es bei MailChimp viel mehr Möglichkeiten als bei MailPoet.
Deswegen lautet meine Empfehlung: MailPoet verwenden mit der Option, E-Mails über die eigene Seite zu verschicken. Damit benötigt man nämlich keinen AV Vertrag. Das ist allerdings nur meine Interpretation der DSGVO. Eine Antwort, ob ich einen AV Vertrag bei der Option „Senden mit… > deine eigene Website“ brauche, habe ich von MailPoet auch nach einem Jahr noch nicht erhalten. Sobald man aber einen Drittanbieter für das Versenden einbinden möchte und man auf jeden Fall einen AV Vertrag benötigt, empfehle ich jedem die Verwendung von MailChimp, denn dann hat MailPoet gegenüber MailChimp keinen Vorteil mehr.
Hast Du eine Antwort von MailPoet bzgl. AV Vertrag erhalten?
LG, Danijel
Lieber Danijel,
das Thema interessiert mich sehr, daher abonniere ich hier mal die nachfolgenden Kommentare, um auf dem Laufenden zu bleiben. Ich hab im Netz nämlich nur sehr wenig Erhellendes zum Thema ADV-Vertrag und MailPoet gefunden. Gerade so, als wäre es noch lange bis zum 25. Mai…
Danke, dass Du Dich des Themas annimmst.
Herzlichst, Conny
Hallo Conny,
im Zuge der DSGVO Optimierung meines Blogs habe ich mich leider von dem Plugin getrennt, welches den Usern ermöglicht hat, die Kommentare zu abonnieren. Ich hoffe trotzdem, dass du das Thema für dich in der Zwischenzeit gelöst hast. Falls nicht, hinterlasse einfach hier einen weiteren Kommentar oder schicke mir eine Nachricht.
LG, Danijel
Vielen Dank für den informativen Artikel! Ich nutze Mailpoet 2. Du schreibst, dass die Newsletterdaten hier nicht an Dritte weitergegeben werden. Heißt das, Mailpoet ist kein Auftragsverarbeiter nach der DSGVO, ich muss hier also im Gegensatz zu den meisten anderen E-Mail-Anbietern wie beispielsweise MailChimp keinen Vertrag zur Auftragsverarbeitung abschließen?
Viele Grüße,
Katharina
Hi Katharina,
meiner Meinung nach, benötigt man mit MailPoet keinen Vertrag zur Auftragsdatenverarbeitung (ADV) solange man die Option „Senden mit… > deine eigene Website“ ausgewählt hat. Das war noch lange vor DSGVO ein klarer Vorteil von MailPoet gegenüber MailChimp & Co., da die Daten der Abonnenten nicht auf den Servern von Drittanbietern liegen. Soweit ich weiß, wird sich das auch mit DSGVO nicht ändern. Ich habe aber die Frage auch schon im WordPress Forum gestellt (https://wordpress.org/support/topic/mailpoet-gdpr/). Sobald ich Feedback erhalte, werde ich hier auf meinem Blog darüber berichten.
Wenn überhaupt müsste man einen Vertrag zur ADV mit dem eigenen Hosting Anbieter abschließen und nicht mit dem Newsletter Anbieter MailPoet.
Viele Grüße, Danijel
Ich habe gerade festgestellt, dass meine Anfrage im WordPress Support Forum bzgl. ADV Vertrag & MailPoet einfach gelöscht wurde, ohne mich darüber zu informieren. Das Moderator Team hat meinen Kommentar und den eines weiteren WordPress Users angeblich gelöscht, weil „mein Problem“ nicht zu dem Support-Thema gepasst hat. Eine Frage zum ADV Vertrag passt also nicht zum Thema DSGVO – is klar! Naja, ich habe nun ein neues Support-Thema aufgemacht und die gleiche Frage gestellt. Sobald/falls ich eine Rückmeldung bekomme, werde ich hier darüber berichten.
Auch nach einem Jahr habe ich immer noch keine Antwort von MailPoet bzgl. AV Vertrag erhalten. Das Plugin MailPoet verliert damit bei mir persönlich weitere Sympathie-Punkte. Der Support Thread wurde aber auch von einiger Zeit bereits geschlossen: https://wordpress.org/support/topic/dpa-for-mailpoet-not-needed/