Beiträge

Mailchimp Datenschutz war bereits 2015 Thema

Etwas weniger Gewicht und weniger graue Haare, das Thema aber damals schon drängend: Michael Keukert und Christy von Mailchimp sprechen im Juni 2015 zum Thema EU und Mailchimp Datenschutz.

Es ist der 19. Juni 2015, als ich in der Lobby des Ibis Hotel Berlin Messe auf Christiannah „Christy“ Oyedeji, damals Head of Partnerships bei The Rocket Science Group – der Herstellerfirma von Mailchimp – wartete. Es war das zweite Jahr nach den Enthüllungen von Edward Snowden über die Massenüberwachung durch US-Amerikanische Geheimdienste und ganz Europa fing an, über Datenschutz und Daten-Souveränität zu diskutieren. Im Gepäck dabei hatte ich eine 20-seitige PowerPoint-Präsentation, die vor allem dieses Thema behandelte und Christy und ihre Kolleginnen und Kollegen bei Mailchimp dazu aufrief, dieses Thema als Wettbewerbs-relevant anzusehen und sobald es geht eine europäische Datenspeicherung anzubieten.

Ich kann kaum zählen, wie oft ich in den Jahren seitdem das Thema in E-Mails, Telefonanrufen und zuletzt auch Videokonferenzen immer und immer und immer wieder bei Mailchimp angebracht habe. Von anderen europäischen Kolleginnen und Kollegen weiß ich, dass sie es ebenso gemacht haben.

Am 27.07.2021 wurde mein Rufen dann endlich erhört. Unter dem Betreff „Exciting news about our plans for EU-based data storage“ teilte Mailchimp seinen Pro-Partnern mit, dass in 2022 endlich die langersehnte Datenspeicherung von EU-Daten in EU-Rechenzentren kommen wird:

We’re excited to share that we’re on track to establish an EU data center and welcome new EU users to make choices about local data storage starting in 2022. We know how important regional data storage is to our community around the world—we’ve heard your feedback loud and clear—and wanted to let you know about the work we’ve been doing that’s led up to this announcement and our plans moving forward.

We’ve been working to make foundational changes to our data infrastructure that will allow us to establish local data centers, including in the EU, for more than two years. As stated above, we expect to have at least one data center in the EU in 2022, with more to come. […] For now, we want to make sure you know how important our EU Mailchimp & Co community and customers are, and that we’re committed to serving you for the long term.

Mailchimp wird im Jahr 2022 mindestens ein europäisches Rechenzentrum eröffnen, hat aber bereits Pläne für weitere Rechenzentren in Europa. Mailchimp-Benutzern wird die Wahl gegeben, die Daten dann in einem europäischen RZ zu speichern, oder nach wie vor auf amerikanischen Servern.

Diese Nachricht habe ich sofort an den von mir sehr geschätzten Rechtsanwalt Dr. Schwenke weitergegeben, der selbst Mailchimp einsetzt und häufig zu diesem Thema veröffentlicht. Herr Dr. Schwenke schreibt in seinem Newsletter dazu:

Mailchimp will ab 2022 EU-Server […] anbieten. Das geht aus einer E-Mail an Partner hervor und würde die Nutzung der E-Mail-Marketingplattform erheblich vereinfachen.

Mailchimp auf Deutsch

Nebenbei bemerkt: Zu dieser neuen europäischen Strategie passt im Übrigen auch, dass möglicherweise noch 2021 Mailchimp komplett auf Deutsch verfügbar sein wird. In diesem Projekt sind wir als weltweit einer der ersten fünf Mailchimp Pro Partner seit einigen Monaten involviert und bringen linguistische Expertise und Einblick in den deutschen Markt in das Projekt ein.

Mailchimp Datenschutz mit ISO 27001 und ISO 27701 Norm

Das Datenschutzniveau von Mailchimp ist seit Jahrzehnten sehr hoch, was sich in der beachtlichen Tatsache niederschlägt, dass es bei Mailchimp – im Gegensatz zu vielen anderen Firmen – in der Unternehmensgeschichte noch nie einen Datenschutzvorfall gegeben hat. Mailchimp hat auch immer – teilweise schon sehr früh – immer die jeweils geltenden internationalen Abkommen zum Datenschutz  eingehalten. So ist es nur konsequent, dass im Zuge der europäischen Rechenzentren und Datenspeicherung auch die ISO 27001/27701 Zertifizierung angestrebt wird:

Alongside this work, Mailchimp is currently pursuing ISO 27001/27701 certification by an external audit firm. ISO is the international gold standard certification to prove out an information security and privacy program. ISO 27001 is specific to an Information Security Management System (ISMS) and ISO 27701 is specific to a Privacy Information Management System (PIMS). We’re on track to earn our ISO 27001 ISMS certification in October of this year, and ISO 27701 PIMS certification in 2022.

Es handelt sich hierbei um sehr strenge, internationale Normen für die Sicherheit von Informationstechnischen Systemen und den Datenschutz. Mailchimp erwartet die erste Zertifizierung für Oktober 2021 und die zweite Zertifizierung für 2022. Mailchimp ist damit eines der ersten Unternehmen im E-Mal-Marketing, die eine eigenständige ISO 27001-Zertifizierung haben (diverse Marktbegleiter von Mailchimp werben mit der Zertifizierung – bei näherem Hinsehen ist aber lediglich das externe Rechenzentrum zertifiziert, nicht aber das Unternehmen oder die Software selbst).

Insgesamt sind das ausgesprochen gute Nachrichten und ich freue mich, dass 6 Jahre Lobby-Arbeit von uns endlich Erfolg hatte.

Am 16. Juli 2020 erließ der Gerichtshof der Europäischen Union (EUGH) ein Urteil in einem Fall, in dem das Privacy Shield Framework, eine der Möglichkeiten für Unternehmen, Daten legal von der EU in die USA zu transferieren, für ungültig erklärt wurde. Privacy Shield war die Nachfolge-Vereinbarung  zum Datenschutz des Safe Harbour Abkommens, welches im Jahr 2015 ebenfalls vom EUGH für ungültig erklärt wurde.

Mailchimp hat hierzu am selben Tag eine Stellungnahme veröffentlicht, die wir hier auszugsweise wiedergeben und kommentieren:

Zunächst möchten wir unseren Kunden versichern, dass sie Mailchimp weiterhin rechtmäßig nutzen können und keine Maßnahmen ergreifen müssen. In unserem Datenverarbeitungszusatz bieten wir unseren Kunden seit langem zwei Schutzebenen für Datentransfers aus der EU in die USA: die Einhaltung des EU-US-Datenschutzsystems und der Standardvertragsklauseln (SCC).

Das Urteil des EUGH hat zwar das Privacy Shield Framework außer Kraft gesetzt, aber es hat keine Auswirkungen auf die SCCs, die ein gültiger Datenexportmechanismus bleiben. Unsere Verträge sind so strukturiert, dass die SCCs automatisch in Kraft treten, so dass sich für unsere Kunden nichts ändert.

Wir sind bestrebt, die Fähigkeit unserer Kunden zur Übertragung und Verarbeitung von Daten auf unserer Plattform zu schützen. Unser Rechtsteam und unser Datenschutzbeauftragter beobachten diese Situation genau, und wir werden unsere Kunden weiterhin auf dem Laufenden halten.

Dieser Ansicht schließen sich auch bekannte Anwälte wie der Berliner Datenschutzanwalt Dr. Thomas Schwenke an, der auch selbst Mailchimp einsetzt.

In der Vergangenheit wurden leider in „schöner“ Regelmäßigkeit Gerüchte zur Rechtmäßigkeit des Einsatzes von Mailchimp gestreut. Ich arbeite mittlerweile seit über 15 Jahren mit Mailchimp und in dieser Zeit kam es zu keinem einzigen Datenschutzvorfall oder Datenverlust auf  Seiten von Mailchimp. Ich hatte in dieser Zeit Kontakt zu vielen Mailchimp-Mitarbeitern und kann den Einsatz und das Bemühen um erstklassigen Datenschutz bestätigen. Schaut man sich Vorfälle der Vergangenheit an, zum Beispiel das Abhandenkommen von 40 Millionen Kreditkartendaten bei Mastercard in 2005 oder 3 Millionen Kundendaten beim Autovermieter Buchbinder in 2019, dann weist Mailchimp eine einwandfreie Datenschutzhistorie auf.

Im Rahmen der Umsetzung der DSGVO war Mailchimp eines der ersten Unternehmen, dass bereits ein gutes Jahr vor der Umsetzungsfrist mit ausführlichen Informationen die Kunden unterrichtete und demnach auch fast 3 Monate vor der Frist mit allen Maßnahmen fertig war. Zu einem Zeitpunkt, an dem manche anderen Anbieter im Onlinemarketing noch nicht einmal eine erste Information an Kunden versendet hatten.

Man kann nur mutmaßen, mit welcher Motivation entsprechende Gerüchte über den Marktführer Mailchimp (weltweiter Marktanteil 60%, der nächst-größte Mitbewerber hat 9,5%) gestreut werden – aus faktischer Sicht entbehren Sie jeglicher Grundlage.

Foto: Gerichtshof der Europäischen Union