Sind Mailchimp & Co. in Europa nicht mehr zulässig? - 2. Mai 2022

Die Übermittlung von personenbezogenen Daten auf Datenserver in den USA ist rechtswidrig und kann mit Busse bestraft werden! – Was bedeutet das?

Das Datenschutzland ist in Aufruhr. Anbieter arbeiten seit Jahren mit Pixeln, Cookies, kohortenlernenden APIs und darauf basierenden massgeschneiderten Angeboten ohne Einwilligung für diese „Insights“. Nutzer sind wahlweise einfach Gratis-Drücker von wertvollen Daten in eigener Sache oder seien einfach nur ignorant, so der Vorwurf. Die Gefahrenlage werde verkannt. Also müsse ihm/ihr vor sich selbst geholfen werden. Europa befindet sich im Aufstand gegen das Datenschutzverständnis der US-Behörden und wohl grossen Teilen der Bevölkerung, welche persönliche Datenhoheit mit totalem Vertrauen in Google und Facebook gleichstellen. Wir stünden kurz vor chinesischen Verhältnissen, der totalen Überwachung des Individuums. «Ich habe doch nichts zu verbergen», sagt der unbedarfte Nutzer, bevor die Regierung ihm signalisiert, dass sein Sozialverhalten nicht der Norm entspräche und Konsequenzen drohten. So viel zum allgemeinen Gemütszustand. Die Ebenen von Bewusstsein, Wahrnehmung, regulatorischen und selbstdeklarierten Schutzmassnahmen vermischen und verschieben sich zusehends. Rechtssicherheit war gestern.

Einspruch, sagt der Jurist, hier ist der Fakten- und Rechtscheck im globalen Raster. Es geht um Datenerhebung, Datenspeicherung und Datenverarbeitung in und ausserhalb der EU und der Schweiz:

  • Im Juli 2020 wurde die „Privacy Shield“ US-Selbstzertifizierung für DatenschutzEs reicht nicht aus, wenn Unternehmen die Daten Ihrer Nutzer zusammenführen. Sie müssen gleichzeitig auch eine Permission zur Nutzung dieser Daten einholen. Sie müssen sich eine Übersicht verschaffen, ob und zu welchem Zweck sie diese personenbezogenen... nach europäischen Standards durch den EuGH gekippt. Max Schrems, ein moderner und respektierter Daten-Robin Hood, hatte mit dem Urteil „Schrems-II“ erneut zugeschlagen. Die USA verfügen damit nicht über ein adäquates Datenschutzniveau.
  • In der Folge zog der eidgenössische Datenschutz- und Öffentlichkeitsbeauftrage EDÖB nach und bestätigte das Urteil auch für die Schweiz, „autonom“ und im Schlepptau, wie wir das in der Schweiz meist tun.
  • Im April 2021 hat das bayerische Landesamt für DatenschutzEs reicht nicht aus, wenn Unternehmen die Daten Ihrer Nutzer zusammenführen. Sie müssen gleichzeitig auch eine Permission zur Nutzung dieser Daten einholen. Sie müssen sich eine Übersicht verschaffen, ob und zu welchem Zweck sie diese personenbezogenen... die Übermittlung von personenbezogenen Daten der E-Mail Versand-Software Mailchimp in die USA für unzulässig erklärt. Das Amt hat aber in diesem (Erst-)Fall auf die Verhängung einer Busse verzichtet.
  • Und jetzt eine kleine Brücke: Apple hat im Juni 2021 in einer Keynote erklärt, dass das Unternehmen gemäss seiner „Mail Privacy Protection“ in Zukunft nur eingeschränkte Informationen über das Öffnungs- und Nutzungsverhalten der Anwender von Werbe-E-Mails an die Provider zurückspielen werde. Weitere sogenannte ISPs, also Anbieter von Mail-Inboxen wie Google werden folgen. Erkenntnisse über das Öffnungsverhalten werden in Zukunft erschwert.
  • Dieses Verhalten ist die Fortsetzung von Ankündigungen grosser US-Internet-Services und Browser-Anbieter, welche bereits in den Jahren 2019 und 2020 das Ende der Third-Party-Cookies als Mittel des User-Trackings zu Werbezwecken angekündigt hatten. Auch alternative Methoden stehen stark unter Beschuss. Es handelt sich hier nicht um die Verwendung von personenbezogenen Daten, sondern um solche, welche es dem Anbieter erlauben, dem Nutzer über Cookies und datentechnisch durchgeführtes Targeting individuelle Angebote zuzustellen.
  • Diese (Selbst-)Beschränkungsmassnahmen der grossen Datenkonzerne entspringt wohl einem erwachten Datenschutzverständnis und ist der Versuch, die Privatsphäre nicht mit regulatorischen und damit bürokratischen, sondern mit technischen Mitteln zu stärken. Er ist aber dann nur halbherzig, wenn eben diese Konzerne selbst ganz viele Daten als „first party cookies“ mit Einwilligung des Nutzers sammeln und sie gezielt für ihr eigenes Geschäftsmodell und die Ausdehnung ihrer eigenen Datenmacht einsetzen.
  • Auf vielen Webseiten von US-Anbietern von CRM-, E-Mail- und Marketing Automation-Software wird versichert, man befände sich bezüglich der Haltung von personenbezogenen Kundendaten in Einklang mit der DSGVO, was teilweise im offensichtlichen Widerspruch mit den oben erwähnten Urteilen steht. Konkrete Anfragen bleiben häufig unzureichend beantwortet. Es ist offensichtlich, dass diese Konzerne von der Entwicklung in Europa überrascht wurden. Eine Datenschutzoffensive sieht anders aus.

Was bedeutet dies in der Praxis für Unternehmer, welche Daten für Marketing- und Verkaufszwecke nutzen wollen, aber gehalten werden, die personenbezogenen Daten ihrer Kunden zu schützen, insbesondere in der EU und in der Schweiz?

  • Die DSGVO war und ist sicherlich ein Meilenstein und ein Game Changer im europäischen DatenschutzEs reicht nicht aus, wenn Unternehmen die Daten Ihrer Nutzer zusammenführen. Sie müssen gleichzeitig auch eine Permission zur Nutzung dieser Daten einholen. Sie müssen sich eine Übersicht verschaffen, ob und zu welchem Zweck sie diese personenbezogenen.... Es werden weitere Urteile erfolgen, welche die DSGVO auslegen und präzisieren. Das Bewusstsein für DatenschutzEs reicht nicht aus, wenn Unternehmen die Daten Ihrer Nutzer zusammenführen. Sie müssen gleichzeitig auch eine Permission zur Nutzung dieser Daten einholen. Sie müssen sich eine Übersicht verschaffen, ob und zu welchem Zweck sie diese personenbezogenen... – so auch in zahlreichen Umfragen – steigt seit der medialen Wirkung der DSGVO laufend. Sie wird die politische und juristische Agenda auf Jahre hinaus bestimmen.
  • Das neue Datenschutzgesetz DSG kommt per Mitte 2022 auch in der Schweiz. Der Schweizer DatenschutzEs reicht nicht aus, wenn Unternehmen die Daten Ihrer Nutzer zusammenführen. Sie müssen gleichzeitig auch eine Permission zur Nutzung dieser Daten einholen. Sie müssen sich eine Übersicht verschaffen, ob und zu welchem Zweck sie diese personenbezogenen... ist demjenigen der EU gleichgestellt. Im Grundsatz geht das DSG von der Konformität mit der DSGVO aus, in einigen Bereichen wurde es abgeschwächt. Neue Datenschutzbeauftrage in Unternehmen werden ihre Spuren hinterlassen. Sanktionsandrohungen an die Adresse von C-Level Manager werden verstärkt (aber kein Unternehmensbussgeld). Es drohen also auch hierzulande Abmahnungen, Bussgelder, ein möglicher Imageschaden bei Regelverstoss.
  • KMUs sind nicht die primären Targets für Datenschutzbehörden und Gerichte. Der grosse Aufwand, ein Verfahren zu eröffnen und die Beweismittel zu erbringen, lohnt sich meist nur gegen grosse Konzerne. Die Speicherung von personenbezogenen Daten für KMU in den USA wird in den wenigsten Fällen als massiver und irreversibler Regelverstoss beurteilt werden. Mit der Aufforderung, den regelkonformen Zustand herzustellen, ist zu rechnen, nicht mit hohen Bussgeldern. Also ist das Risiko überschaubar? Trifft es notfalls einfach die Anderen?
  • Panik ist keine geboten, seriöse Aufmerksamkeit schon eher, ein interner Audit auf jeden Fall, falls dieser nicht schon längst im Jahr 2018 mit der Einführung der DSGVO erfolgte. Es wird dringend empfohlen, eine datenschutzkonforme Strategie über die nächsten 2-4 Jahre anzustreben. Dies betrifft alle Aspekte von Privacy by Design und by Default in der Technologie, also die Einhaltung der Privatsphäre von Grund auf und die zurückhaltende Einstellung und Verwendung von Daten für Marketingzwecke.
  • Ein bewusster Umgang mit US-Anbietern ist erforderlich. Die Ankündigung, es sei alles in Ordnung, reicht nach dem Fall des „Privacy Shield“ nicht mehr. Auch die Standardvertragsklauseln als alternative Rechtsgrundlage für einen internationalen Datentransfer sind ungenügend und müssten zwischen Anbieter und Unternehmen bilateral geklärt werden, was viel zu aufwändig ist. Zielführend ist einzig eine Erklärung durch den US-Anbieter, bis wann er den rechtskonformen Zustand bezüglich der Datenhaltung in Europa herzustellen gedenke. Erfolgt diese Erklärung glaubhaft und zeitnah, sind die Konsequenzen kostengünstiger, als rasch auf eine europäische Technologie zu migrieren. Wenn der Serverstandort Europa und/oder Schweiz in 1-2 Jahren nicht garantiert werden können, sollte man sich Sorgen machen, bzw. überlegen, ob man mittelfristig den richtigen Partner gewählt hat.
  • Es ist allerdings falsch, wenn behauptet wird, dass europäische Tochtergesellschaften von US-Anbietern die Voraussetzungen für eine rechtskonforme Datenhaltung nicht erfüllen können. Entscheidend ist die Beauftragung des Daten-Hosting durch einen getrennten und unabhängigen Dienstleister (third-party hosting provider), welcher nicht verpflichtet werden kann, Daten gegebenenfalls an US-Behörden herauszugeben.

Fazit: Jeder Unternehmer muss es letztlich mit sich selbst vereinbaren, welchen Stellenwert er oder sie dem DatenschutzEs reicht nicht aus, wenn Unternehmen die Daten Ihrer Nutzer zusammenführen. Sie müssen gleichzeitig auch eine Permission zur Nutzung dieser Daten einholen. Sie müssen sich eine Übersicht verschaffen, ob und zu welchem Zweck sie diese personenbezogenen... beimisst und ob er/sie eine Busse oder einen Reputationsschaden in Kauf nehmen will, wenn man ins Fadenkreuz von Untersuchungen der Datenschutzbehörde gerät. Daten – und vor allem „first party data“, allen voran die E-Mail Adresse – sind bei rechtskonformem Einsatz ein Vorteil und Game Changer im Vergleich zu den Wettbewerbern. „Third party cookies“ und die «ubiquitous» Verfolgung des Nutzers mit technischen Mitteln sind am Ende ihrer Tage angekommen, Alternativen dazu werden ebenso kritisch betrachtet. Ein Unternehmen tut gut daran, eigene Daten primär über den direkten Zugang zu Leads und Kunden zu sammeln und eine Datenhoheit über den gesamten Kundenlebenszyklus zu entwickeln. Diese Daten, in Verbindung mit einem umfassenden Consent-Management und deren Speicherung in der EU oder in der Schweiz, sollten der Kern einer differenzierenden, datengestützten Marketing- und Verkaufsstrategie sein. Der Einsatz von Marketingbudgets einzig für die Ausspielung von Werbung, Posts und Anzeigen über Drittanbieter wie Google, Facebook oder Programmatic Advertising Dienstleister mit dem Ziel, kurzfristig Leads zur Konvertierung zu bewegen, ist eine wenig nachhaltige Strategie und stärkt vor allem die Datenbasis der Werbeanbieter nicht der eigenen. So sehen Abhängigkeiten und Sackgassen aus. Gewinnen Sie das Bewusstsein und die volle Hoheit über Ihre Kundendaten zurück!

Zum Schluss möchten wir in eigener Sache unsere Kunden und solche, die es werden möchten im Einzelnen über die Serverstandorte der von uns eingesetzten Technologien informieren:

Salesforce Sales Cloud und Service Cloud EMEA: u.a. in Deutschland.
Salesforce Marketing Cloud: alle «relevanten» Applikationen in der EU (exc. Social Studio).
Salesforce Pardot: noch in USA, ein EU-Hosting ist in 1-2 Jahren geplant.

Apteco FastStats Logo

Apteco: wird in der EU gehosted, auf Wunsch in premise.

Campaign Monitor: Die Daten werden nicht in der EU oder der Schweiz gehostet. Unsere Kunden werden darüber informiert, dass wir ihnen eine Migration auf Elaine von Artegic anbieten, falls das unternehmerische Risiko als zu gross betrachtet wird.

Artegic Logo

Elaine von Artegic: Applikation und alle Kundendaten werden in der Schweiz gehostet.
Selligent: Der Hostingstandort für europäische Kunden ist Brüssel.

Disclaimer: Dieser Text ersetzt keine Rechtsberatung und erhebt keinen justiziablen Anspruch auf Richtigkeit, Vollständigkeit und Aktualität.

Zurück zur Übersicht