US Mail Anbieter rechtssicher verwenden

Datenexport in die USA: ohne Abmahnung oder Bußgeld

von Rechtsanwalt Dr. Ronald Kandelhard

Die Nutzung von US Anbietern ist in der EU nur unter bestimmten Voraussetzungen erlaubt. Erfahre hier, wie Du diese Dienste nutzen kannst.

I. Die drei zulässigen Lösungen:

Personenbezogene Daten (wie etwa Name, Mail-Adresse oder IP Adresse eines Nutzers) über die EU Grenzen hinaus zu versenden, ist in der EU nur erlaubt, wenn das Datenschutzniveau in dem dritten Staat dem Niveau in der EU gleichwertig ist. Das wird von der EU für bestimmte Staaten festgestellt, etwa für die Schweiz.

Für die USA hat die EU mit Privacy Shield zwar derzeit auch wieder ein gleichwertiges Schutzniveau festgestellt, doch ist diese an zusätzliche Voraussetzungen geknüpft. Wenn Du also US Anbieter verwendest, musst Du sicher stellen, dass Du die Daten Deiner Kunden exportieren darfst. Ansonsten droht ein Bußgeld von Seiten der Datenschutzbehörden oder die Abmahnung durch einen Kunden oder Konkurrenten.

Es gibt insgesamt drei Möglichkeiten, wie ein Datenexport in die USA rechtlich zulässig sein kann:

a) Du holst eine Einwilligung in die Weitergabe von dem Nutzer ein (unter vorheriger Aufklärung über das unzulängliche Schutzniveau)
b) Du vereinbarst die Standardvertragsklauseln mit dem Anbieter (wird z.B. angeboten von Google und Mail-Chimp).
c) Du nutzt Privacy Shield, wenn das US-Unternehmen bei Privacy Shield registriert ist.

II. Juristisch bester Weg: Einwilligung

Der beste Weg ist, den Nutzer in den Datenexport in die USA einwilligen zu lassen. Nur die Einwilligung sichert Deinen rechtssicheren Datenexport auch für die Zukunft ab, da sowohl Privacy Shield als auch die Standardvertragsklauseln möglicherweise schon in naher Zukunft unwirksam werden (s. dazu näher unseren Blogbeitrag zum internationalen Recht unter II. 2.).

Da das Double-Opt-In ohnehin eine Einwilligung erfordert, kann diese ohne weiteres gleich mit eingeholt werden. Ein Muster für die Einholung der Einwilligung Deines Nutzers findest Du in unserem Probekapitel, für das Du Dich am Ende eintragen kannst. Dieses kannst Du einfach kopieren und in Deine Mails einfügen.

Natürlich hat die Einwilligung aber den Nachteil, dass für sie mehr Text und sogar eine Warnung vor dem Datenexport erforderlich ist. Das kann durchaus zu Lasten der Conversion gehen.

III. Conversion-freundlichere Wege: Privacy Shield und Standardvertragsklauseln

Streng genommen dürfen Daten derzeit ohne weiteres in die USA exportiert werden. Mit Privacy Shield besteht ein Abkommen, nach dem der Datenschutz in den USA dem europäischen Standard gleichwertig ist.

1. Privacy Shield

Nach Privacy Shield ist der Transfer der Daten in die USA aber nicht automatisch zulässig, sondern nur, wenn die Voraussetzungen des Abkommens eingehalten sind.

Für „Privacy Shield“ ist dafür insbesondere in den USA erforderlich, dass sich das entsprechende US-Unternehmen dem Abkommen durch Registrierung im „Privacy Shield Framework“ unterwirft.

https://www.privacyshield.gov/welcome

Nur an solche Unternehmen dürfen Daten unter „Privacy Shield“ exportiert werden.

Am 04.02.2017 enthielt die Liste

https://www.privacyshield.gov/list

insgesamt 1570 Organisationen, darunter die besonders relevanten großen Anbieter wie Google

https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI

Microsoft

https://www.privacyshield.gov/participant?id=a2zt0000000KzNaAAK

oder auch Spezialanbieter wie MailChimp

https://www.privacyshield.gov/participant?id=a2zt0000000TO6hAAG

Active Campaign

https://www.privacyshield.gov/participant?id=a2zt0000000GnH6AAK&status=Active

AWeber

https://www.privacyshield.gov/participant?id=a2zt0000000TNN8AAO&status=Active

aber nicht etwa ConvertKit, die Du damit jedenfalls nicht unter Privat Shield nutzen darfst (also nur, wenn Du eine Einwilligung Deines Nutzers hast oder mit ConvertKit die Standardvertragsklauseln vereinbarst – was ConvertKit aber vor kurzem jedenfalls noch abgelehnt hat).

Wer Daten unter „Privacy Shield“ exportieren möchte, muss also jeweils sicherstellen, dass das Empfängerunternehmen in den USA registriert ist. Da das US-Unternehmen seine Registrierung periodisch erneuern muss und auch sonst verlieren kann, dürfte vom deutschen Site-Betreiber analog § 11 Abs. 2 S. 4 und 5 BDSG zudem eine periodische Überprüfung erforderlich sein, ob die Registrierung noch besteht. Es ist also vorab und anschließend von Zeit zu Zeit von Dir zu überprüfen, ob das entsprechende US-Unternehmen in der oben verlinkten Privacy Shield Liste enthalten und registriert ist. Ist das nicht der Fall, können die Daten jedenfalls nicht ohne weiteres als durch Privacy Shield erlaubt in die USA exportiert werden. Es ist dann erforderlich, einen der anderen möglichen Erlaubnistatbestände zu nutzen, also die Standardvertragsklauseln mit diesem Anbieter zu vereinbaren oder eine explizite Einwilligung des Kunden einzuholen.

2. Standardvertragsklauseln

Daneben kann auch durch einen Vertrag der Export der Daten erlaubt werden. Dieser Vertrag muss die Standardvertragsklauseln beinhalten. Sie gehen zurück auf einen Beschluss der EU-Kommission (ABl. L39/5 v. 12.02.2010). Danach kann mit dem entsprechenden Anbieter (zB in den USA) ein Vertrag nach den Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter abgeschlossen werden. Der Text findet sich in dem verlinkten Beschluss und darf nicht wesentlich verändert worden. Diesen Vertrag findest Du etwa in unserem Basis-Kurs als Muster auf Englisch mit weiteren Ausfüllhinweisen.

Der Vertrag muss ausgedruckt und an den Anbieter gesendet werden, der ihn dann unterzeichnet zurück sendet. Erst wenn dieser Vertrag unterzeichnet ist, ist die Weitergabe von Daten an diesen Anbieter zulässig, auch wenn er in einem nicht sicheren Drittland ansässig ist. Leider stehen auch die Standardvertragsklauseln (nicht ganz zu Unrecht) unter Beschuss. Auch insoweit droht daher, dass auch dieser Weg in Zukunft unzulässig wird. Die Einwilligung bleibt daher die juristisch beste Wahl.

IV. Ergebnis

Viele amerikanische Mail Anbieter bieten benutzerfreundliche Lösungen. Sie rechtssicher zu verwenden, erfordert aber einige Anpassungen. Am einfachsten ist sicher, eine Einwilligung einzuholen. Muster für Deine E-Mails findest Du in unserem Probekapitel Double Opt In / Newsletter. Dieses

kannst Du mit diesem Formular

kostenlos und unverbindlich frei schalten. Dann erhälst Du sofort

  • diese und weitere Informationen,
  • weitere zu beachtenden Punkte
  • ergänzende Checklisten
  • verschiedene Muster für Deine E-Mails
  • unseren Info-Service zur Rechtslage und unserem Angebot

Du kannst der Verwendung Deiner Daten für künftige Werbung jederzeit widersprechen. Die näheren Informationen zu Deinem Zugang bekommst Du per Mail an die eingetragene E-Mail-Adresse zugesendet, dies kann einige Augenblicke dauern.

Bitte beachte, wenn Du bereits ein Probekapitel gebucht hast, kannst Du kein weiteres mehr buchen. Alle Inhalte, Muster und noch viel mehr findest Du aber jederzeit in allen Mini Kursen und natürlich erst Recht den vollständigen Kursen für Deine gesamte Website!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*