Schlagwortarchiv für: Datenschutz

Mailchimp Datenschutz war bereits 2015 Thema

Etwas weni­ger Gewicht und weni­ger graue Haare, das Thema aber damals schon drän­gend: Michael Keu­kert und Christy von Mailchimp spre­chen im Juni 2015 zum Thema EU und Mailchimp Daten­schutz.

Es ist der 19. Juni 2015, als ich in der Lobby des Ibis Hotel Ber­lin Messe auf Chris­ti­an­nah “Christy” Oyedeji, damals Head of Part­ner­ships bei The Rocket Sci­ence Group – der Her­stel­ler­firma von Mailchimp – war­tete. Es war das zweite Jahr nach den Ent­hül­lun­gen von Edward Snow­den über die Mas­sen­über­wa­chung durch US-Ame­ri­ka­ni­sche Geheim­dienste und ganz Europa fing an, über Daten­schutz und Daten-Sou­ve­rä­ni­tät zu dis­ku­tie­ren. Im Gepäck dabei hatte ich eine 20-sei­tige Power­Point-Prä­sen­ta­tion, die vor allem die­ses Thema behan­delte und Christy und ihre Kol­le­gin­nen und Kol­le­gen bei Mailchimp dazu auf­rief, die­ses Thema als Wett­be­werbs-rele­vant anzu­se­hen und sobald es geht eine euro­päi­sche Daten­spei­che­rung anzu­bie­ten.

Ich kann kaum zäh­len, wie oft ich in den Jah­ren seit­dem das Thema in E‑Mails, Tele­fon­an­ru­fen und zuletzt auch Video­kon­fe­ren­zen immer und immer und immer wie­der bei Mailchimp ange­bracht habe. Von ande­ren euro­päi­schen Kol­le­gin­nen und Kol­le­gen weiß ich, dass sie es ebenso gemacht haben.

Am 27.07.2021 wurde mein Rufen dann end­lich erhört. Unter dem Betreff “Exci­ting news about our plans for EU-based data sto­rage” teilte Mailchimp sei­nen Pro-Part­nern mit, dass in 2022 end­lich die lang­ersehnte Daten­spei­che­rung von EU-Daten in EU-Rechen­zen­tren kom­men wird:

We’re exci­ted to share that we’re on track to estab­lish an EU data cen­ter and wel­come new EU users to make choices about local data sto­rage start­ing in 2022. We know how important regio­nal data sto­rage is to our com­mu­nity around the world—we’ve heard your feed­back loud and clear—and wan­ted to let you know about the work we’ve been doing that’s led up to this announce­ment and our plans moving for­ward.

We’ve been working to make foun­da­tio­nal chan­ges to our data infra­struc­ture that will allow us to estab­lish local data cen­ters, inclu­ding in the EU, for more than two years. As sta­ted above, we expect to have at least one data cen­ter in the EU in 2022, with more to come. […] For now, we want to make sure you know how important our EU Mailchimp & Co com­mu­nity and cus­to­mers are, and that we’re com­mit­ted to ser­ving you for the long term.

Mailchimp wird im Jahr 2022 min­des­tens ein euro­päi­sches Rechen­zen­trum eröff­nen, hat aber bereits Pläne für wei­tere Rechen­zen­tren in Europa. Mailchimp-Benut­zern wird die Wahl gege­ben, die Daten dann in einem euro­päi­schen RZ zu spei­chern, oder nach wie vor auf ame­ri­ka­ni­schen Ser­vern.

Diese Nach­richt habe ich sofort an den von mir sehr geschätz­ten Rechts­an­walt Dr. Schwenke wei­ter­ge­ge­ben, der selbst Mailchimp ein­setzt und häu­fig zu die­sem Thema ver­öf­fent­licht. Herr Dr. Schwenke schreibt in sei­nem News­let­ter dazu:

Mailchimp will ab 2022 EU-Ser­ver […] anbie­ten. Das geht aus einer E‑Mail an Part­ner her­vor und würde die Nut­zung der E‑Mail-Mar­ke­ting­platt­form erheb­lich ver­ein­fa­chen.

Mailchimp auf Deutsch

Neben­bei bemerkt: Zu die­ser neuen euro­päi­schen Stra­te­gie passt im Übri­gen auch, dass mög­li­cher­weise noch 2021 Mailchimp kom­plett auf Deutsch ver­füg­bar sein wird. In die­sem Pro­jekt sind wir als welt­weit einer der ers­ten fünf Mailchimp Pro Part­ner seit eini­gen Mona­ten invol­viert und brin­gen lin­gu­is­ti­sche Exper­tise und Ein­blick in den deut­schen Markt in das Pro­jekt ein.

Mailchimp Daten­schutz mit ISO 27001 und ISO 27701 Norm

Das Daten­schutz­ni­veau von Mailchimp ist seit Jahr­zehn­ten sehr hoch, was sich in der beacht­li­chen Tat­sa­che nie­der­schlägt, dass es bei Mailchimp – im Gegen­satz zu vie­len ande­ren Fir­men – in der Unter­neh­mens­ge­schichte noch nie einen Daten­schutz­vor­fall gege­ben hat. Mailchimp hat auch immer – teil­weise schon sehr früh – immer die jeweils gel­ten­den inter­na­tio­na­len Abkom­men zum Daten­schutz  ein­ge­hal­ten. So ist es nur kon­se­quent, dass im Zuge der euro­päi­schen Rechen­zen­tren und Daten­spei­che­rung auch die ISO 27001/27701 Zer­ti­fi­zie­rung ange­strebt wird:

Along­side this work, Mailchimp is curr­ently pur­suing ISO 27001/27701 cer­ti­fi­ca­tion by an exter­nal audit firm. ISO is the inter­na­tio­nal gold stan­dard cer­ti­fi­ca­tion to prove out an infor­ma­tion secu­rity and pri­vacy pro­gram. ISO 27001 is spe­ci­fic to an Infor­ma­tion Secu­rity Manage­ment Sys­tem (ISMS) and ISO 27701 is spe­ci­fic to a Pri­vacy Infor­ma­tion Manage­ment Sys­tem (PIMS). We’re on track to earn our ISO 27001 ISMS cer­ti­fi­ca­tion in Octo­ber of this year, and ISO 27701 PIMS cer­ti­fi­ca­tion in 2022.

Es han­delt sich hier­bei um sehr strenge, inter­na­tio­nale Nor­men für die Sicher­heit von Infor­ma­ti­ons­tech­ni­schen Sys­te­men und den Daten­schutz. Mailchimp erwar­tet die erste Zer­ti­fi­zie­rung für Okto­ber 2021 und die zweite Zer­ti­fi­zie­rung für 2022. Mailchimp ist damit eines der ers­ten Unter­neh­men im E‑Mal-Mar­ke­ting, die eine eigen­stän­dige ISO 27001-Zer­ti­fi­zie­rung haben (diverse Markt­be­glei­ter von Mailchimp wer­ben mit der Zer­ti­fi­zie­rung – bei nähe­rem Hin­se­hen ist aber ledig­lich das externe Rechen­zen­trum zer­ti­fi­ziert, nicht aber das Unter­neh­men oder die Soft­ware selbst).

Ins­ge­samt sind das aus­ge­spro­chen gute Nach­rich­ten und ich freue mich, dass 6 Jahre Lobby-Arbeit von uns end­lich Erfolg hatte.

Am 16. Juli 2020 erließ der Gerichts­hof der Euro­päi­schen Union (EUGH) ein Urteil in einem Fall, in dem das Pri­vacy Shield Frame­work, eine der Mög­lich­kei­ten für Unter­neh­men, Daten legal von der EU in die USA zu trans­fe­rie­ren, für ungül­tig erklärt wurde. Pri­vacy Shield war die Nach­folge-Ver­ein­ba­rung  zum Daten­schutz des Safe Har­bour Abkom­mens, wel­ches im Jahr 2015 eben­falls vom EUGH für ungül­tig erklärt wurde.

Mailchimp hat hierzu am sel­ben Tag eine Stel­lung­nahme ver­öf­fent­licht, die wir hier aus­zugs­weise wie­der­ge­ben und kom­men­tie­ren:

Zunächst möch­ten wir unse­ren Kun­den ver­si­chern, dass sie Mailchimp wei­ter­hin recht­mä­ßig nut­zen kön­nen und keine Maß­nah­men ergrei­fen müs­sen. In unse­rem Daten­ver­ar­bei­tungs­zu­satz bie­ten wir unse­ren Kun­den seit lan­gem zwei Schutz­ebe­nen für Daten­trans­fers aus der EU in die USA: die Ein­hal­tung des EU-US-Daten­schutz­sys­tems und der Stan­dard­ver­trags­klau­seln (SCC).

Das Urteil des EUGH hat zwar das Pri­vacy Shield Frame­work außer Kraft gesetzt, aber es hat keine Aus­wir­kun­gen auf die SCCs, die ein gül­ti­ger Daten­ex­port­me­cha­nis­mus blei­ben. Unsere Ver­träge sind so struk­tu­riert, dass die SCCs auto­ma­tisch in Kraft tre­ten, so dass sich für unsere Kun­den nichts ändert.

Wir sind bestrebt, die Fähig­keit unse­rer Kun­den zur Über­tra­gung und Ver­ar­bei­tung von Daten auf unse­rer Platt­form zu schüt­zen. Unser Rechts­team und unser Daten­schutz­be­auf­trag­ter beob­ach­ten diese Situa­tion genau, und wir wer­den unsere Kun­den wei­ter­hin auf dem Lau­fen­den hal­ten.

Die­ser Ansicht schlie­ßen sich auch bekannte Anwälte wie der Ber­li­ner Daten­schutz­an­walt Dr. Tho­mas Schwenke an, der auch selbst Mailchimp ein­setzt.

In der Ver­gan­gen­heit wur­den lei­der in “schö­ner” Regel­mä­ßig­keit Gerüchte zur Recht­mä­ßig­keit des Ein­sat­zes von Mailchimp gestreut. Ich arbeite mitt­ler­weile seit über 15 Jah­ren mit Mailchimp und in die­ser Zeit kam es zu kei­nem ein­zi­gen Daten­schutz­vor­fall oder Daten­ver­lust auf  Sei­ten von Mailchimp. Ich hatte in die­ser Zeit Kon­takt zu vie­len Mailchimp-Mit­ar­bei­tern und kann den Ein­satz und das Bemü­hen um erst­klas­si­gen Daten­schutz bestä­ti­gen. Schaut man sich Vor­fälle der Ver­gan­gen­heit an, zum Bei­spiel das Abhan­den­kom­men von 40 Mil­lio­nen Kre­dit­kar­ten­da­ten bei Mas­ter­card in 2005 oder 3 Mil­lio­nen Kun­den­da­ten beim Auto­ver­mie­ter Buch­bin­der in 2019, dann weist Mailchimp eine ein­wand­freie Daten­schutz­his­to­rie auf.

Im Rah­men der Umset­zung der DSGVO war Mailchimp eines der ers­ten Unter­neh­men, dass bereits ein gutes Jahr vor der Umset­zungs­frist mit aus­führ­li­chen Infor­ma­tio­nen die Kun­den unter­rich­tete und dem­nach auch fast 3 Monate vor der Frist mit allen Maß­nah­men fer­tig war. Zu einem Zeit­punkt, an dem man­che ande­ren Anbie­ter im Online­mar­ke­ting noch nicht ein­mal eine erste Infor­ma­tion an Kun­den ver­sen­det hat­ten.

Man kann nur mut­ma­ßen, mit wel­cher Moti­va­tion ent­spre­chende Gerüchte über den Markt­füh­rer Mailchimp (welt­wei­ter Markt­an­teil 60%, der nächst-größte Mit­be­wer­ber hat 9,5%) gestreut wer­den – aus fak­ti­scher Sicht ent­beh­ren Sie jeg­li­cher Grund­lage.

Foto: Gerichts­hof der Euro­päi­schen Union