Am 16. Juli 2020 erließ der Gerichts­hof der Euro­päi­schen Union (EUGH) ein Urteil in einem Fall, in dem das Pri­vacy Shield Frame­work, eine der Mög­lich­kei­ten für Unter­neh­men, Daten legal von der EU in die USA zu trans­fe­rie­ren, für ungül­tig erklärt wurde. Pri­vacy Shield war die Nach­folge-Ver­ein­ba­rung  zum Daten­schutz des Safe Har­bour Abkom­mens, wel­ches im Jahr 2015 eben­falls vom EUGH für ungül­tig erklärt wurde.

Mailchimp hat hierzu am sel­ben Tag eine Stel­lung­nahme ver­öf­fent­licht, die wir hier aus­zugs­weise wie­der­ge­ben und kom­men­tie­ren:

Zunächst möch­ten wir unse­ren Kun­den ver­si­chern, dass sie Mailchimp wei­ter­hin recht­mä­ßig nut­zen kön­nen und keine Maß­nah­men ergrei­fen müs­sen. In unse­rem Daten­ver­ar­bei­tungs­zu­satz bie­ten wir unse­ren Kun­den seit lan­gem zwei Schutz­ebe­nen für Daten­trans­fers aus der EU in die USA: die Ein­hal­tung des EU-US-Daten­schutz­sys­tems und der Stan­dard­ver­trags­klau­seln (SCC).

Das Urteil des EUGH hat zwar das Pri­vacy Shield Frame­work außer Kraft gesetzt, aber es hat keine Aus­wir­kun­gen auf die SCCs, die ein gül­ti­ger Daten­ex­port­me­cha­nis­mus blei­ben. Unsere Ver­träge sind so struk­tu­riert, dass die SCCs auto­ma­tisch in Kraft tre­ten, so dass sich für unsere Kun­den nichts ändert.

Wir sind bestrebt, die Fähig­keit unse­rer Kun­den zur Über­tra­gung und Ver­ar­bei­tung von Daten auf unse­rer Platt­form zu schüt­zen. Unser Rechts­team und unser Daten­schutz­be­auf­trag­ter beob­ach­ten diese Situa­tion genau, und wir wer­den unsere Kun­den wei­ter­hin auf dem Lau­fen­den hal­ten.

Die­ser Ansicht schlie­ßen sich auch bekannte Anwälte wie der Ber­li­ner Daten­schutz­an­walt Dr. Tho­mas Schwenke an, der auch selbst Mailchimp ein­setzt.

In der Ver­gan­gen­heit wur­den lei­der in “schö­ner” Regel­mä­ßig­keit Gerüchte zur Recht­mä­ßig­keit des Ein­sat­zes von Mailchimp gestreut. Ich arbeite mitt­ler­weile seit über 15 Jah­ren mit Mailchimp und in die­ser Zeit kam es zu kei­nem ein­zi­gen Daten­schutz­vor­fall oder Daten­ver­lust auf  Sei­ten von Mailchimp. Ich hatte in die­ser Zeit Kon­takt zu vie­len Mailchimp-Mit­ar­bei­tern und kann den Ein­satz und das Bemü­hen um erst­klas­si­gen Daten­schutz bestä­ti­gen. Schaut man sich Vor­fälle der Ver­gan­gen­heit an, zum Bei­spiel das Abhan­den­kom­men von 40 Mil­lio­nen Kre­dit­kar­ten­da­ten bei Mas­ter­card in 2005 oder 3 Mil­lio­nen Kun­den­da­ten beim Auto­ver­mie­ter Buch­bin­der in 2019, dann weist Mailchimp eine ein­wand­freie Daten­schutz­his­to­rie auf.

Im Rah­men der Umset­zung der DSGVO war Mailchimp eines der ers­ten Unter­neh­men, dass bereits ein gutes Jahr vor der Umset­zungs­frist mit aus­führ­li­chen Infor­ma­tio­nen die Kun­den unter­rich­tete und dem­nach auch fast 3 Monate vor der Frist mit allen Maß­nah­men fer­tig war. Zu einem Zeit­punkt, an dem man­che ande­ren Anbie­ter im Online­mar­ke­ting noch nicht ein­mal eine erste Infor­ma­tion an Kun­den ver­sen­det hat­ten.

Man kann nur mut­ma­ßen, mit wel­cher Moti­va­tion ent­spre­chende Gerüchte über den Markt­füh­rer Mailchimp (welt­wei­ter Markt­an­teil 60%, der nächst-größte Mit­be­wer­ber hat 9,5%) gestreut wer­den – aus fak­ti­scher Sicht ent­beh­ren Sie jeg­li­cher Grund­lage.

Foto: Gerichts­hof der Euro­päi­schen Union