US Mail Anbieter rechtssicher verwenden

28. Juli 2017
von Dr. Ronald Kandelhard
Kommentare 12

Datenexport in die USA: ohne Abmahnung oder Bußgeld

von Rechtsanwalt Dr. Ronald Kandelhard

Die Nutzung von US Anbietern ist in der EU nur unter bestimmten Voraussetzungen erlaubt. Erfahre hier am Beispiel von Newsletter-Anbietern, wie Du US-amerikanische Dienste zulässig nutzen kannst. Die dargestellten Grundlagen gelten jedoch für alle anderen Dienste aus den USA, die Daten von Deinen Kunden gesendet erhalten, entsprechend.

I. Die drei zulässigen Lösungen:

Personenbezogene Daten (wie etwa Name, Mail-Adresse oder IP Adresse eines Nutzers) über die EU Grenzen hinaus zu versenden, ist in der EU nur erlaubt, wenn das Datenschutzniveau in dem dritten Staat dem Niveau in der EU gleichwertig ist. Das wird von der EU für bestimmte Staaten festgestellt, etwa für die Schweiz.

Für die USA hat die EU mit Privacy Shield zwar derzeit auch wieder ein gleichwertiges Schutzniveau festgestellt, doch ist diese an zusätzliche Voraussetzungen geknüpft. Wenn Du also US Anbieter verwendest, musst Du sicher stellen, dass Du die Daten Deiner Kunden exportieren darfst. Ansonsten droht ein Bußgeld von Seiten der Datenschutzbehörden oder die Abmahnung durch einen Kunden oder Konkurrenten.

Es gibt insgesamt drei Möglichkeiten, wie ein Datenexport in die USA rechtlich zulässig sein kann:

a) Du holst eine Einwilligung in die Weitergabe von dem Nutzer ein (unter vorheriger Aufklärung über das unzulängliche Schutzniveau)
b) Du vereinbarst die Standardvertragsklauseln mit dem Anbieter (wird z.B. angeboten von Google und Mail-Chimp).
c) Du nutzt Privacy Shield, wenn das US-Unternehmen bei Privacy Shield registriert ist.

II. Juristisch bester Weg: Einwilligung

Der beste Weg ist, den Nutzer in den Datenexport in die USA einwilligen zu lassen. Nur die Einwilligung sichert Deinen rechtssicheren Datenexport auch für die Zukunft ab, da sowohl Privacy Shield als auch die Standardvertragsklauseln möglicherweise schon in naher Zukunft unwirksam werden (s. dazu näher unseren Blogbeitrag zum internationalen Recht unter II. 2.).

Da das Double-Opt-In ohnehin eine Einwilligung erfordert, kann diese ohne weiteres gleich mit eingeholt werden. Ein Muster für die Einholung der Einwilligung Deines Nutzers findest Du in unserem Probekapitel, für das Du Dich am Ende eintragen kannst. Dieses kannst Du einfach kopieren und in Deine Mails einfügen.

Natürlich hat die Einwilligung aber den Nachteil, dass für sie mehr Text und sogar eine Warnung vor dem Datenexport erforderlich ist. Das kann durchaus zu Lasten der Conversion gehen.

III. Conversion-freundlichere Wege: Privacy Shield und Standardvertragsklauseln

Streng genommen dürfen Daten derzeit ohne weiteres in die USA exportiert werden. Mit Privacy Shield besteht ein Abkommen, nach dem der Datenschutz in den USA dem europäischen Standard gleichwertig ist.

1. Privacy Shield

Nach Privacy Shield ist der Transfer der Daten in die USA aber nicht automatisch zulässig, sondern nur, wenn die Voraussetzungen des Abkommens eingehalten sind.

Für „Privacy Shield“ ist dafür insbesondere in den USA erforderlich, dass sich das entsprechende US-Unternehmen dem Abkommen durch Registrierung im „Privacy Shield Framework“ unterwirft.

https://www.privacyshield.gov/welcome

Nur an solche Unternehmen dürfen Daten unter „Privacy Shield“ exportiert werden.

Am 04.02.2017 enthielt die Liste

https://www.privacyshield.gov/list

insgesamt 1570 Organisationen, darunter die besonders relevanten großen Anbieter wie Google

https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI

Microsoft

https://www.privacyshield.gov/participant?id=a2zt0000000KzNaAAK

oder auch Spezialanbieter wie MailChimp

https://www.privacyshield.gov/participant?id=a2zt0000000TO6hAAG

Active Campaign

https://www.privacyshield.gov/participant?id=a2zt0000000GnH6AAK&status=Active

AWeber

https://www.privacyshield.gov/participant?id=a2zt0000000TNN8AAO&status=Active

aber zum Zeitpunkt der Erstellung des Beitrages nicht etwa ConvertKit, die Du damit jedenfalls nicht unter privacy Shield nutzen darfst (also nur, wenn Du eine Einwilligung Deines Nutzers hast oder mit ConvertKit die Standardvertragsklauseln vereinbarst – was ConvertKit aber vor kurzem jedenfalls noch abgelehnt hat). Das kann sich aber inzwischen geändert haben. 

Wer Daten unter „Privacy Shield“ exportieren möchte, muss also jeweils sicherstellen, dass das Empfängerunternehmen in den USA registriert ist. Da das US-Unternehmen seine Registrierung periodisch erneuern muss und auch sonst verlieren kann, dürfte vom deutschen Site-Betreiber analog § 11 Abs. 2 S. 4 und 5 BDSG zudem eine periodische Überprüfung erforderlich sein, ob die Registrierung noch besteht. Es ist also vorab und anschließend von Zeit zu Zeit von Dir zu überprüfen, ob das entsprechende US-Unternehmen in der oben verlinkten Privacy Shield Liste enthalten und registriert ist. Ist das nicht der Fall, können die Daten jedenfalls nicht ohne weiteres als durch Privacy Shield erlaubt in die USA exportiert werden. Es ist dann erforderlich, einen der anderen möglichen Erlaubnistatbestände zu nutzen, also die Standardvertragsklauseln mit diesem Anbieter zu vereinbaren oder eine explizite Einwilligung des Kunden einzuholen.

2. Standardvertragsklauseln

Daneben kann auch durch einen Vertrag der Export der Daten erlaubt werden. Dieser Vertrag muss die Standardvertragsklauseln beinhalten. Sie gehen zurück auf einen Beschluss der EU-Kommission (ABl. L39/5 v. 12.02.2010). Danach kann mit dem entsprechenden Anbieter (zB in den USA) ein Vertrag nach den Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter abgeschlossen werden. Der Text findet sich in dem verlinkten Beschluss und darf nicht wesentlich verändert worden. Diesen Vertrag findest Du etwa in unserem Komplett-schutz Paket als Muster auf Englisch mit weiteren Ausfüllhinweisen.

Der Vertrag muss ausgedruckt und an den Anbieter gesendet werden, der ihn dann unterzeichnet zurück sendet. Erst wenn dieser Vertrag unterzeichnet ist, ist die Weitergabe von Daten an diesen Anbieter zulässig, auch wenn er in einem nicht sicheren Drittland ansässig ist. Leider stehen auch die Standardvertragsklauseln (nicht ganz zu Unrecht) unter Beschuss. Auch insoweit droht daher, dass auch dieser Weg in Zukunft unzulässig wird. Die Einwilligung bleibt daher die juristisch beste Wahl.

IV. Ergebnis

Viele amerikanische Mail Anbieter bieten benutzerfreundliche Lösungen. Sie rechtssicher zu verwenden, erfordert aber einige Anpassungen. Am einfachsten ist sicher, eine Einwilligung einzuholen.

Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und
Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von
Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7
automatisierte Lösungen für rechtliche Probleme von Unternehmen.

Mehr über die DSGVO erfährst du hier.

12 Kommentare

  1. Pingback: Alle Deine Fragen zur Datenschutzerklärung - easyRechtssicher

  2. Pingback: Impressum Instagram - easyRechtssicher

  3. Pingback: Wie man AcyMailing DSGVO-konform verwendet - easyRechtssicher

  4. Pingback: Webinar und Datenschutz: So setzt du Webinare DSGVO-konform ein - VideoRhetorik Steffen Grützki

  5. Karl Heinz Brisch
    6. August 2020

    Wie kann ich Zoom für webinare datenschutzrechtlich konform in Deutschland nutzen?
    oder
    welche Video-Webinar Software empfehlen Sie für den Gebrauch in D, und welche ist mit Blick auf die DGSVO rechtlich konform?
    was müssen webinar TN mir unterschreiben, damit ich abgesichert bin?

    besten Dank
    beste Grüße,

    KH Brisch

    Antworten
    • Dr. Ronald Kandelhard
      7. August 2020

      Hallo Karl,

      im Beitrag und in den Kommentaren dazu findest Du einige Vorschläge, inhaltlich kann ich die derzeit alle nicht beurteilen. Du kannst die Teilnehmer aber einwilligen lassen, die Voraussetzungen einer Einwilligung sind im Beitrag geschildert.

      Antworten

  6. Pingback: Deine Website ist illegal: Privacy Shield verstößt gegen DSGVO

  7. Martin Müller
    9. September 2020

    Ist der privacy shield nicht vom EuGH gekippt worden und damit wäre Slack nicht mehr zu nutzen?

    Antworten
    • Dr. Ronald Kandelhard
      9. September 2020

      ja, das ist so, ob Slack inzwischen was getan hat, weiß ich aber nicht, manche sind ja wieder zulässig, vielleicht auch Slack, werde ich demnächst prüfen.

      Antworten

  8. Pingback: Videokonferenz DSGVO ohne Abmahnung oder teures Bußgeld!

  9. Pingback: DSGVO USA: Jetzt sind US Anbieter doch wieder erlaubt? - easyRechtssicher

  10. Pingback: DSGVO: Website als Unternehmen richtig betreiben - easyRechtssicher

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert