Erinnern Sie sich an die Welle von Auskunftsverlangen, Abmahnungen und Schadensersatzansprüchen wegen der dynamischen Einbindung von Google Fonts auf Internetseiten? Nachdem die Staatsanwaltschaft hier wegen des Verdachts auf Abmahnbetrug und Erpressungsversuchen ermittelt, ist es an dieser Front ruhig geworden. Dafür geraten nun Nutzer von Newslettertools, deren Anbieter in den USA sitzen und die Trackingmöglichkeiten anbieten, ins Visier.
Um was geht es?
Das Vorgehen ist einfach: das Netz wird automatisch nach Webseiten durchsucht, auf denen man sich für Newsletter anmelden kann. Wird dabei ein Newslettertool wie Mailchimp verwendet, dessen Anbieter in den USA sitzt und/oder findet ein Tracking statt, meldet sich eine Person zum Bezug des Newsletters an. Kurze Zeit später erfolgt dann ein datenschutzrechtliches Auskunftsverlangen und je nach Reaktion darauf eventuell Abmahnung und/oder Schadensersatzforderungen zuzüglich Anwaltskosten.
Was mache ich in so einem Fall?
Nun, zumindest den Auskunftsanspruch nach Art. 15 DGSVO sollten Sie sorgfältig und vollständig beantworten. Das Auskunftsrecht der Betroffenen ist in der DSGVO nur sehr wenigen Beschränkungen unterworfen und zum Zeitpunkt des Auskunftsanspruch wird es schwer zu beurteilen sein, ob zum Beispiel ausnahmsweise von einem Rechtsmissbrauch ausgegangen werden kann. Darauf sollte man sich nicht verlassen, sondern korrekt beauskunften.
Außerdem sollten Sie sich beraten lassen, ob das von Ihnen verwendete Newslettertool und die von Ihnen eingeholten Einwilligungen zur Datenverarbeitung rechtskonform sind, also insbesondere die Vorgaben von DSGVO und TTDSG einhalten. Auf jeden Fall sollten Sie prüfen, ob ein Datentransfer in die USA stattfindet und ob der Newsletterversand mit einem Tracking verbunden ist. Also, ob Ihnen zum Beispiel mitgeteilt wird, dass der Newsletter zugestellt und/oder geöffnet wurde.
Das weitere Vorgehen sollten Sie, je nach Ergebnis der Prüfung, mit Ihrem Anwalt planen.
Zum USA Transfer:
Seit dem Schrems II-Urteil des EuGH war ein rechtssicherer Datentransfer in die USA im Rahmen des Versands von Newslettern praktisch nicht mehr möglich. Seit dem 10. Juli 2023 gibt es mit dem EU-US Data Privacy Framework (EU-US DPF) erneut einen Angemessenheitsbeschluss der EU Kommission, der einen solche Datentransfer wieder möglich macht. Voraussetzung ist, dass das US-Unternehmen, an das die Daten übermittelt werden, ein entsprechendes Zertifizierungsverfahren durchlaufen hat und in der U.S. Department of Commerce-Datenbank gelistet ist. Die großen Anbieter werden schon in den Startlöchern für dieses Zertifizierungsverfahren stehen. In ein paar Wochen oder Monaten wird es daher wieder rechtssicher möglich sein, gewisse Newslettertools zu nutzen, auch wenn die Anbieter in den USA sitzen.
Für den Auskunftsanspruch und einen evtl. Anspruch auf Schadensersatz wegen unrechtmäßiger Verarbeitung kommt es jedoch auf die Verarbeitung zum Zeitpunkt des Auskunftsanspruchs an. Sollten Sie daher ein Newslettertool mit US-Datentransfer nutzen, befinden Sie sich bis zu einer Zertifizierung Ihres Anbieters gemäß dem EU-US DPF in der Gefahr, zum Opfer der oben beschriebenen Masche zu werden.
Zum Tracking:
Gem. § 25 TTDSG bedarf es zum Einsatz von Trackingmaßnahmen in Newslettern der Einwilligung der betroffenen Person. Das heißt, dass bei der Einwilligung in den Newsletterbezug auch deutlich werden muss, dass diese Einwilligung auch die Trackingmaßnahmen umfasst. Auch in den datenschutzrechtlichen Pflichtinformationen müssen alle Angaben zum Tracking enthalten sein, inklusive den Empfängern von Daten (typischerweise der Anbieter des Newslettertools).
Sollten Sie Newslettertracking betreiben, prüfen Sie daher unbedingt, ob Ihre verwendete Einwilligungserklärung und Datenschutzerklärung diese Anforderungen erfüllt.
Außerdem kommt auch hier wieder die USA Problematik ins Spiel, da Trackingdaten regelmäßig vom Newslettertoolanbieter verarbeitet werden.
Wie kann ich vorbeugen?
Die beste Präventivmaßnahme ist, ein datenschutzkonformes Newslettertool zu verwenden.
Es gibt deutsche Anbieter, die ohne Drittstaats-Datentransfer arbeiten und außerdem gute Unterstützung zum rechtskonformen Tracking bieten. In der Regel erfüllen auch diese Anbieter die Anforderungen des Unternehmensmarketings und auch die Kosten liegen nicht über denen der großen US Platzhirsche.
Auch wenn das EU-US DPF wieder eine Möglichkeit des US-Datentransfers eröffnet, führt dies nicht automatisch dazu, dass all diese Anbieter DSGVO-konform werden. Es gibt noch weitere kritische Themen wie zum Beispiel die Nutzung von Daten Ihrer Newsletterempfänger zu eigenen Zwecken des Anbieters. Lassen sie daher Ihr aktuell genutztes oder projektiertes Tool kritisch prüfen, ob es den Datenschutzanforderungen genügt.
Prüfen Sie außerdem, ob Sie ein Tracking benötigen. Nutzen Sie die Daten aus dem Tracking tatsächlich? Falls nicht, schalten Sie das Tracking gar nicht erst ein oder schalten Sie es ab.
Unser Datenschutzteam unterstützt Sie bei der Entscheidung für ein Newslettertool genauso gerne wie bei der Bearbeitung von Auskunftsverlangen.