EU-US Privacy Shield für unwirksam erklärt: Welche Folgen hat das Urteil für den Newsletterversand?

Julia · 22. Juli 2020
Außerkraftsetzung des EU-US-Privacy Schields - Folgen für Newsletter-Versender

Im E-Mail-Marketing spielen personenbezogene Daten, allen voran die E-Mail-Adressen der Empfänger, eine wichtige Rolle: Ohne sie wäre das Versenden von Newslettern erst gar nicht möglich. Am 16. Juli 2020 wurde der „EU-US Privacy Shield”, eine Datenschutz-Absprache zwischen den USA und der EU, durch den Europäischen Gerichtshof für nichtig erklärt. Bis dato regelte das Abkommen den Schutz personenbezogener Daten, die zu gewerblichen Zwecken aus einem EU-Mitgliedsstaat in die USA übermittelt wurden. Hat das Urteil zum EU-US Privacy Shield auch Folgen für den Newsletterversand? Was sollten Sie als Versender jetzt beachten?



1. Was wurde durch den EU-US Privacy Shield geregelt?

Der Schutz persönlicher Daten ist ein heikles Thema, das durch die zunehmende Digitalisierung und Globalisierung immer wieder in den Mittelpunkt der Aufmerksamkeit rückt. Gerade wenn einem Unternehmen mit Sitz in der EU personenbezogene Daten (z. B. von Kunden oder Geschäftspartnern) vorliegen und diese zur Verarbeitung europäischen Boden verlassen, wird es problematisch. Das liegt daran, dass sich EU-Regelungen zum Datenschutz in vielen Punkten von den datenschutzrechtlichen Vorgaben unterscheiden, die z. B. in den USA gelten. Mithilfe von länderübergreifenden Datenschutzvereinbarungen wird daher versucht, in solchen Fällen auf einen gemeinsamen Nenner zu kommen.

Nachdem das erste Datenschutzabkommen „Safe Harbor” zwischen der EU und den USA im Jahr 2015 gestoppt wurde, trat ein Jahr später die sogenannte „Privacy Shield-Vereinbarung in Kraft. Auch diese Absprache diente zum Schutz personenbezogener Daten, die von einem Unternehmen mit Sitz in der EU zu gewerblichen Zwecken an ein Unternehmen in den USA übertragen wurden: Es sollte sichergestellt werden, dass europäische Datenschutzbestimmungen berücksichtigt werden, sobald Daten auf die andere Seite des Atlantiks übermittelt werden.

US-Firmen konnten dem EU-US Privacy Shield zustimmen und sich somit offiziell zur Einhaltung der EU-Datenschutzvorgaben verpflichten. Dadurch waren sie „Privacy Shield-zertifiziert”. Auf diese Weise sollte u. a. der transatlantische Handel gestärkt werden, ohne dass europäische Unternehmen dabei rechtliche Konsequenzen vonseiten der EU befürchten mussten.


2. Was hat sich durch die Außerkraftsetzung des Privacy Shields geändert?

Nachdem der EU-US Privacy Shield, häufig auch als „Datenschutzschild” bezeichnet, bereits einige Zeit auf der Kippe stand, wurde die Datenschutz-Vereinbarung schließlich am 16. Juli 2020 durch den Europäischen Gerichtshof endgültig für nichtig erklärt.

Das Urteil bedeutet nicht, dass fortan gar kein Datentransfer mehr zwischen EU-Mitgliedstaaten und den Vereinigten Staaten stattfinden darf. Kommt es zu einer Datenübertragung, darf diese jedoch nicht mehr auf der Grundlage einer Privacy Shield-Zertifizierung des jeweiligen US-Unternehmens basieren. Stattdessen muss sichergestellt sein, dass das Datenschutzniveau in beiden Ländern gleich hoch ist. Dazu können u. a. die sogenannten EU-Standardvertragsklauseln als Basis für eine rechtmäßige Übermittlung der Daten dienen. Jedoch wurden auch hier die Anforderungen verschärft, was dazu führt, dass auch die Standardklauseln einen Datentransfer nicht mehr ohne Weiteres rechtfertigen können.

Es könnte sich daher für US-Unternehmen als schwierig erweisen, ein der EU gleichwertiges Datenschutzlevel nachzuweisen. Unter anderem, da personenbezogene Daten in den USA zum Teil vom Staat einsehbar sind. Gesetze wie der sogenannte „CLOUD Act”, die in den USA gelten, kollidieren mit dem Datenschutzniveau, das der europäischen Rechtslage zufolge gegeben sein muss, damit die Daten in die USA übertragen werden können. Dem CLOUD Act zufolge sind IT- und Webfirmen in den USA dazu verpflichtet, den US-Behörden Zugriff auf alle vorliegenden Daten zu erteilen – auch dann, wenn diese Daten z. B. auf Servern innerhalb der EU gespeichert werden. Das heißt, dass die US-Behörden auch personenbezogene Daten einsehen können, die ausschließlich auf EU-Servern liegen, wenn diese von einer amerikanischen Firma betrieben werden.

Regelungen wie diese haben dazu geführt, dass der EU-US Privacy Shield für US-amerikanische Unternehmen nicht mehr genügt, um eine Einhaltung europäischer Datenschutzbestimmungen vorzuweisen – was den Datentransfer über den Atlantik deutlich erschwert.


3. Welche datenschutzrechtlichen Folgen hat das Urteil für Newsletter-Versender?

Der Newsletterversand lebt von der Erhebung und Speicherung personenbezogener Daten, vor allem natürlich der E-Mail-Adresse der Empfänger, an die der Newsletter versendet wird. Verständlich, dass sich viele Versender jetzt Sorgen machen: Hat das Urteil zum EU-US Privacy Shield auch Auswirkungen auf den Versand von Newslettern?

Die Frage lässt sich nicht pauschal beantworten, da es darauf ankommt, welches Newsletter-Tool Sie für den Versand Ihrer Mailings nutzen. Solange Sie eine Newsletter-Software mit Sitz innerhalb der EU nutzen, die auch die Empfängerdaten ausschließlich in einem EU-Mitgliedsstaat speichert, sind Sie rechtlich auf der sicheren Seite und in keiner Weise von der plötzlichen Unwirksamkeit des Privacy Shields betroffen.

Nutzen Sie dagegen einen US-amerikanischen Newsletter-Anbieter wie z. B. Mailchimp, ist die Lage leider nicht ganz eindeutig: Mailchimp belegte die Einhaltung des EU-Datenschutzniveaus beispielsweise bislang, indem der Anbieter auf seine EU-US Privacy-Shield-Zertifizierung hinwies. Diese Zertifizierung wird durch das Urteil jetzt aber ungültig. Aktuell beruft sich Mailchimp daher auf die EU-Standardvertragsklauseln, die dem Anbieter zufolge weiterhin greifen und deshalb dazu führen, dass EU-Kunden auch in Zukunft rechtssicher über Mailchimp versenden können. Wie bereits beschrieben, ist ein solcher Verweis auf die EU-Standardvertragsklauseln jedoch nicht ohne Weiteres rechtsgültig. 

Sind Datenschutzbehörden nach einer Prüfung der Ansicht, dass die Klauseln in den USA als Empfängerland in der Praxis nicht eingehalten werden können, sind sie dazu berechtigt, die Datenübertragung zu pausieren oder ganz zu stoppen. Es bleibt also abzuwarten, ob Mailchimp die Klauseln der Einschätzung der zuständigen Datenschutzbehörde zufolge tatsächlich zu 100 % einhalten kann und damit der Newsletterversand über den Anbieter auch weiterhin für europäische Versender rechtssicher ist.

Bis dies abschließend geklärt ist, herrscht erst einmal Rechtsunsicherheit bezüglich der Frage, inwieweit Sie als Versender momentan Daten an den US-amerikanischen Newsletter-Anbieter übermitteln dürfen. Bei einer unrechtmäßigen Übermittlung müssten Versender Streitigkeiten mit den Aufsichtsbehörden und ggf. Bußgeldstrafen in Kauf nehmen. Um derzeit rechtlich auf der sicheren Seite zu sein, könnten Sie daher den Wechsel zu einem zu 100% DSGVO-konformen Newsletter-Tool wie rapidmail in Betracht ziehen, deren Server ausschließlich in Deutschland betrieben werden.


4. Inwiefern sind Unternehmen betroffen, die rapidmail für den Newsletterversand nutzen?

Als rapidmail-Kunde brauchen Sie sich keine Gedanken machen, Sie sind von der Außerkraftsetzung des Privacy Shields in keinster Weise betroffen. Unsere Server – und damit Ihre Daten sowie natürlich auch die Daten Ihrer Empfänger – sind und bleiben auch in Zukunft in Deutschland: So sind Sie datenschutzrechtlich immer auf der sicheren Seite!

Datenschutz und Datensicherheit stehen für uns an erster Stelle:

  • Serverstandort Deutschland: Versender- und Empfängerdaten werden ausschließlich in Deutschland gespeichert und verarbeitet, es findet keine Datenübertragung in die USA statt.
  • E-Mail-Marketing nach EU-Recht: Wir gewährleisten einen rechtssicheren, zu 100 % DSGVO-konformen Versand Ihrer Newsletter
  • Höchste Datensicherheit: Auf unser Hochsicherheits-Rechenzentrum ist genauso Verlass wie auf unser Team – wir behalten Ihre Daten für uns und geben Sie unter keinen Umständen an Dritte weiter.

5. Fazit: Wie sollte man sich als Newsletter-Versender mit Sitz in der EU jetzt verhalten?

Versenden Sie Ihre Mailings über einen US-amerikanischen Newsletter-Anbieter, ist Vorsicht geboten. Nach Inkrafttreten des neuen Urteils zum Privacy Shield bewegen Sie sich als Newsletter-Versender mit der Übertragung Ihrer Empfängerdaten in die USA derzeit in einer juristischen Grauzone. Natürlich kommt es hierbei auf den jeweiligen Anbieter an sowie seine Datensicherheitsmaßnahmen im Hinblick auf EU-Versender.

Das Problem liegt hauptsächlich am weiterhin in den USA geltenden „CLOUD Act”, welcher IT- und Internetfirmen mit Sitz in den Vereinigten Staaten verpflichtet, den US-Behörden Zugriff auf alle gespeicherten Daten zu geben – auch, wenn diese auf Servern in der EU gesichert sind. Dass sich dieses Gesetz nur schwer mit den europäischen Datenschutzvorgaben laut EU-DSGVO vereinbaren lässt, ist offensichtlich. Es bleibt also abzuwarten, welche gerichtliche Entscheidungen diesbezüglich folgen und inwieweit sich US-Unternehmen in Zukunft auf die EU-Standardvertragsklauseln anstelle des Privacy Shields berufen können.

Wenn Ihr Newsletter-Tool seine Rechner dagegen ausschließlich in Deutschland oder anderen Mitgliedsstaaten der EU nach DSGVO-Richtlinien betreibt, wie dies auch bei rapidmail der Fall ist, brauchen Sie sich keine Gedanken zu machen – Sie können Ihre Newsletter weiterhin und wie bisher rechtssicher über Ihre Software versenden.


Haben Sie noch Fragen?

Bitte beachten Sie, dass die Angaben in unserem Artikel natürlich keine rechtliche Beratung durch einen Experten ersetzen und nur zu Informationszwecken dienen. Wenden Sie sich bei weiterführenden Fragen zu den datenschutzrechtlichen Vorgaben beim Newsletterversand am besten an Ihren Rechtsberater bzw. Unternehmensjuristen – diese können Ihnen auch für Ihren konkreten Fall umfangreiche Informationen bereitstellen.


Definitiv auch Ihre Aufmerksamkeit wert: