Zurück zur Übersicht
30.04.2022

Newsletter-Dienst im Drittland (USA)

Eine Beschwerde gegen die Weitergabe der Mailadresse an Mailchimp führt 2021 zur Untersagung durch die bayerische Datenschutzbehörde. Jetzt hat der europäische Datenschutzbeauftragte sich zum Thema Newsletter-Versender (S.75) in einem Drittland geäußert.

Im November 2020 wurden der europäische Datenschutzbeauftragte von einer Einrichtung in der EU zur Übermittlung von personenbezogenen Daten in ein Nicht-EU/EWR-Land konsultiert. Auf deren Webseite konnten sich Interessierte mit ihrer Einwilligung zu einem Newsletter anmelden. Der genutzte Dienstleister für den Newsletterversand war in der EU ansässig, hatte aber Unterauftragsverarbeiter in den USA. Auch hier liegt die Datenübermittlung in ein Drittland vor!

Der EDPS hat für diesen Fall nunmehr klare Anforderungen gestellt.

  • Es darf nur ein Auftragsverarbeiter eingesetzt werden, der den Einsatz geeigneter technischer und organisatorischer Maßnahmen gewährleistet, um die Anforderungen aus der DSGVO zu erfüllen. Das bedeutet ua. einen Auftragsverarbeitungsvertrag mit technischen und organisatorischen Maßnahmen, der geprüft werden muss.
  • Vor der Übermittlung – bevor die Abonnenten des Newsletters ihre personenbezogenen Daten bereitstellen, muss sichergestellt sein, dass die Abonnenten ausreichende spezifische Informationen über die Übermittlung ihrer personenbezogenen Daten in das Drittland erhalten.
  • Die Einwilligung muss aus freien Stücken (Freiwilligkeit) durch eine klare bestätigende Handlung (Checkbox) gegeben werden und sie muss, in Kenntnis der Sachlage unzweideutig (klare Darstellung) sein.
  • Die Informationen müssen die möglichen Risiken (z.Bsp.: Zugriff von Behörden) der Übermittlung an einen in den USA ansässigen Unterauftragsverarbeiter enthalten
  • Der Verantwortliche muss sicherstellen, dass die Betroffenen der Übermittlung ihrer Daten an den in den USA ansässigen Unterauftragsverarbeiter ausdrücklich zustimmen und zwar zusätzlich zu ihrer Zustimmung zu der Verarbeitung der Daten für den Versand des Newsletters im Allgemeinen)

Der EDSB verlangt augenscheinlich wohl zwei getrennte Einwilligungen der Betroffenen. Eine für den Newsletterversand als solchen (Verarbeitung von Daten zu Marketing-/Informationszwecken) und eine zweite für die Übermittlung der Daten in die USA.

Sollten die USA mit der EU das angekündigte Datenabkommen demnächst abschließen, sollte sich zumindest die zweite Zustimmung nicht mehr notwendig sein. Sie können diese Punkte auch als Checkliste verwenden, wie Sie einen Newsletter-Versender mit Drittlandsbezug derzeit datenschutzkonform einsetzen können.

Unsere Empfehlung ist es derzeit, einen Anbieter aus der EU zu wählen, bei dem er selbst bzw. seine Unterauftragnehmer keine Daten in Drittländer übermitteln. In der Teilnehmerliste der Certified Senders Alliance (CSA) lassen sich hierfür geeignete Dienstleister finden.

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks