Newsletter-Tool für KMU in der Kritik

Mailchimp gerät ins Visier der Datenschützer

Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hält die Übermittlung von E-Mail-Adressen an das US-amerikanische Unternehmen Mailchimp für unzulässig. Die Standardvertragsklauseln im Datenverarbeitungsvertrag bieten mach Ansicht des Amtes kein der DSGVO vergleichbares Datenschutzniveau.
Das insbesondere von KMU häufg zum Newsletterversand genutzte Angebot Mailchimpo bietet nach Ansicht des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) kein angemessenes Datenschutzniveau.
Das insbesondere von KMU häufg zum Newsletterversand genutzte Angebot Mailchimpo bietet nach Ansicht des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) kein angemessenes Datenschutzniveau.
Foto: Mailchimp

Mailchimp hat eigenen Angaben zufolge über 12 Millionen aktive Nutzer weltweit und kommt im heiß umkämpften und sehr fragmentierten Markt für Newsletter-Software auf einen Marktanteil von etwa 60 Prozent. Zumindest in Bayern wird es der Anbieter aus Atlanta im US-Bundesstaat Georgia demnächst schwer haben, denn aus Sicht des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) bietet der Anbieter kein angemessenes Datenschutzniveau, weil er personenbezogene Daten außerhalb der DSGVO verarbeitet. Auf eine entsprechende, jetzt bekannt gewordene Entscheidung hat die Website Internetworld hingewiesen.

Das BayLDA hält demnach die Übermittlung von E-Mail-Adressen an Mailchimp nach dem Aus für das Datentransferabkommen "Privacy Shield" durch ein Urteil des EuGH für unzulässig. Die angebotenen Standardvertragsklauseln im Datenverarbeitungsvertrag stellten kein der DSGVO vergleichbares Datenschutzniveau sicher. Mailchimp sieht das offenbar anders und beschreibt auf seiner Webseite ausführlich, wieso man DSGVO-konform sei und was man dafür tut. Das von dem Verfahren in Bayern betroffene Unternehmen konnte Strafen dadurch abwenden, dass es sich verpflichtete, künftig auf die Nutzung von Mailchimp zu verzichten. Für weitere Nutzer könnte ein Verfahren nicht so glimpflich ausgehen.

Unklar ist angesichts der teilweise differierenden Auffassungen der Landesdatenschutzbehörden der Bundesländer noch, ob sich die Ämter in anderen Bundesländern der harten Linie gegenüber Mailchimp anschließen. Zumindest Firmen in Bayern sollten sich jetzt schon mal nach Alternativen umsehen. Die dürften gar nicht so einfach zu finden sein, weil sich viele trotz eines nicht optimalen Funktionsumfangs aufgrund der Möglichkeit, das Tool für den Versand an bis zu 2.000 Empfänger kostenlos zu nutzen, dafür entschieden haben.

Datenschutzaspekte bei Mailchimp-Alternativen

Bei Cleverreach aus Niedersachsen sind im kostenlosen Tarif nur 250 Empfänger und maximal 1.000 E-Mails pro Monat enthalten. Mailerlite aus dem EU-Staat Litauen wirbt trotz US-Präsenz und weltweit verteiltem Team ausdrücklich mit DSGVO-Compliance. Hier sind bis zu 1.000 Empfänger und 12.000 E-Mails pro Monat kostenlos. Ebenfalls in Litauen ansässig ist Sender. Hier sind bis zu 2.500 Abonnenten und bis zu 15.000 versandte E-Mails pro Monat möglich.

Moosend hat seinen Sitz in Großbritannien und ist aus Sicht des Datenschutzes daher auch ein Wackelkandidat - zumal die AGB zuletzt 2018 aktualisiert wurden und damit dem Brexit sicher noch nicht Rechnung tragen. Die kostenlose Variante erlaubt nur informative Newsletter, die kostenpflichtigen sind nicht nach Anzahl der Empfänger, sondern dem Funktionsumfang und der administrativen Nutzer gestaffelt.

Sendinblue mit Sitz in Berlin kann in Bezug auf die DSGVO ein Zertifikat des TÜV Rheinland vorweisen. Mit Mailjet ist zudem eine französische Firma sehr erfolgreich im Markt aktiv, die sich DSGVO-Konformität auf die Fahnen schreiben kann und zudem damit wirbt, dass sie für deutsche Kunden in Deutschland hostet. Die kostenlose Variante erlaubt hier bis zu 6.000 E-Mails pro Monat, allerdings höchstens 200 E-Mails pro Tag.

Zur Startseite