• Mehr als 3 Millionen Wörter Inhalt
  • |
  • info@itmedialaw.com
  • |
  • Tel: 03322 5078053
ITMediaLaw - Rechtsanwalt Marian Härtel
Warenkorb
Plugin Install : Cart Icon need WooCommerce plugin to be installed.
  • en English
  • de Deutsch
  • Informationen
    • Idealer Partner
    • Über Rechtsanwalt Marian Härtel
    • Schnell und flexibel erreichbar
    • Prinzipien als Rechtsanwalt
    • Warum Rechtsanwalt und Unternehmensberater?
    • Schwerpunkte
      • Focus auf Startups
      • Investmentberatung
      • Unternehmensrecht
      • Kryptowährungen, Blockchain und Games
      • KI und SaaS
      • Streamer und Influencer
      • Games- und Esportrecht
      • IT/IP-Recht
      • Kanzlei für GMBH,UG, GbR
      • Kanzlei für IT/IP und Medienrecht
    • Der Alltag eines IT-Rechtsanwalts
    • Wie kann ich Mandanten helfen?
    • Testimonials
    • Team: Saskia Härtel – WER BIN ICH?
    • Agile und leane Kanzlei
    • Preisübersicht
    • Sonstiges
      • AGB
      • Datenschutzerklärung
      • Widerrufserklärung
      • Impressum
  • Leistungen
    • Betreuung und Beratung von Agenturen
    • Vertragsprüfung- und erstellung
    • Beratung zum Games-Recht
    • Beratung für Influencer und Streamer
    • Beratung im E-Commerce
    • Beratung zu DLT und Blockchain
    • Rechtsberatung im Gesellschaftsrecht
    • Legal Compliance und Gutachten
    • Outsourcing – für Unternehmen oder Kanzleien
    • Buchung als Speaker
  • News
    • Glosse / Meinung
    • Recht im Internet
    • Onlinehandel
    • Recht und Computerspiele
    • Recht und Esport
    • Blockchain und Web 3 Recht
    • Datenschutzrecht
    • Urheberrecht
    • Arbeitsrecht
    • Wettbewerbsrecht
    • Gesellschaftsrecht
    • EU-Recht
    • Jugendschutzrecht
    • Steuerrecht
    • Sonstiges
    • Intern
  • Podcast
    • ITMediaLaw Kurz-Podcast
    • ITMediaLaw Podcast
  • Wissensdatenbank
    • Gesetze
    • Juristische Begriffe
    • Vertragstypen
    • Klauseltypen
    • Finanzierungsformen und Begriffe
    • Juristische Mittel
    • Behörden / Institutionen
    • Gesellschaftsformen
    • Steuerrecht
    • Konzepte
  • Videos
    • Informationsvideos – über Marian Härtel
    • Videos – über mich (Couch)
    • Blogpost – einzelne Videos
    • Videos zu Dienstleistungen
    • Shorts
    • Podcast Format
    • Drittanbietervideos
    • Sonstige Videos
  • Kontaktaufnahme
Kurzberatung
  • Informationen
    • Idealer Partner
    • Über Rechtsanwalt Marian Härtel
    • Schnell und flexibel erreichbar
    • Prinzipien als Rechtsanwalt
    • Warum Rechtsanwalt und Unternehmensberater?
    • Schwerpunkte
      • Focus auf Startups
      • Investmentberatung
      • Unternehmensrecht
      • Kryptowährungen, Blockchain und Games
      • KI und SaaS
      • Streamer und Influencer
      • Games- und Esportrecht
      • IT/IP-Recht
      • Kanzlei für GMBH,UG, GbR
      • Kanzlei für IT/IP und Medienrecht
    • Der Alltag eines IT-Rechtsanwalts
    • Wie kann ich Mandanten helfen?
    • Testimonials
    • Team: Saskia Härtel – WER BIN ICH?
    • Agile und leane Kanzlei
    • Preisübersicht
    • Sonstiges
      • AGB
      • Datenschutzerklärung
      • Widerrufserklärung
      • Impressum
  • Leistungen
    • Betreuung und Beratung von Agenturen
    • Vertragsprüfung- und erstellung
    • Beratung zum Games-Recht
    • Beratung für Influencer und Streamer
    • Beratung im E-Commerce
    • Beratung zu DLT und Blockchain
    • Rechtsberatung im Gesellschaftsrecht
    • Legal Compliance und Gutachten
    • Outsourcing – für Unternehmen oder Kanzleien
    • Buchung als Speaker
  • News
    • Glosse / Meinung
    • Recht im Internet
    • Onlinehandel
    • Recht und Computerspiele
    • Recht und Esport
    • Blockchain und Web 3 Recht
    • Datenschutzrecht
    • Urheberrecht
    • Arbeitsrecht
    • Wettbewerbsrecht
    • Gesellschaftsrecht
    • EU-Recht
    • Jugendschutzrecht
    • Steuerrecht
    • Sonstiges
    • Intern
  • Podcast
    • ITMediaLaw Kurz-Podcast
    • ITMediaLaw Podcast
  • Wissensdatenbank
    • Gesetze
    • Juristische Begriffe
    • Vertragstypen
    • Klauseltypen
    • Finanzierungsformen und Begriffe
    • Juristische Mittel
    • Behörden / Institutionen
    • Gesellschaftsformen
    • Steuerrecht
    • Konzepte
  • Videos
    • Informationsvideos – über Marian Härtel
    • Videos – über mich (Couch)
    • Blogpost – einzelne Videos
    • Videos zu Dienstleistungen
    • Shorts
    • Podcast Format
    • Drittanbietervideos
    • Sonstige Videos
  • Kontaktaufnahme
ITMediaLaw - Rechtsanwalt Marian Härtel
Home Datenschutzrecht

Kann Mailchimp datenschutzrechtlich zulässig eingesetzt werden?

25. März 2021
in Datenschutzrecht
Lesezeit: 4 Minuten Lesezeit
0 0
A A
0
dsgvo 3589608 1280 384x192 1
Wichtigste Punkte
  • Das BayLDA sieht Mailchimp als unzulässig an, wenn keine zusätzlichen Maßnahmen zur Datenschutzkonformität ergriffen werden.
  • Übermittlung von E-Mail-Adressen könnte ohne weitere Maßnahmen datenschutzrechtlich problematisch sein.
  • Die Privacy-Erklärung von Mailchimp erwähnt keine vollständige Verschlüsselung von Nutzerdaten.
  • Die einzigen Verschlüsselungshinweise sind in "Data Export Bedingungen" enthalten.
  • Die Datenschutzbestimmungen von Mailchimp bieten keinen ausreichenden Schutz vor US-Behörden.
  • Das BayLDA erachtete in diesem Fall keine Geldbuße für erforderlich.
  • Die Übermittelten E-Mail-Adressen gelten als relativ unempfindlich Daten, was zu milden Maßnahmen führt.

Passend zu meinem Artikel heute bzgl. Cloudflare (siehe hier) möchte ich aufgrund einer aktuellen Entscheidung des Bayerischen Landesamtes für Datenschutzaufsicht auch kurz das im Wordpress-Universum fast omnipräsente Mailchimp beleuchten, das immer noch sehr viele Anbieter nutzen, um E-Mailnewsletter zu versenden.

Nach Ansicht des BayLDA ist Mailchimp zumindest dann unzulässig, wenn man als Verwender nicht prüft, ob für die Übermittlung von E-Mail-Adressen an Mailchimp zusätzlich zu den (zum Einsatz gekommenen) EU-Standarddatenschutzklauseln noch “zusätzliche Maßnahmen” im Sinne der EuGH-Entscheidung “Schrems II” (EuGH, Urt. v. 16.7.2020, C-311/18) notwendig sind, um die Übermittlung datenschutzkonform zu gestalten, insbesondere weil nach Meinung des BayLDA Anhaltspunkte dafür bestehen, dass Mailchimp grundsätzlich Datenzugriffen von US-Nachrichtendiensten auf Grundlage der US-Rechtsvorschrift FISA702 (50 U.S.C. § 1881) als möglicher sog. Electronic Communications Service Provider unterfallen kann und somit die Übermittlung nur unter Ergreifung solcher zusätzlicher Maßnahmen (sofern geeignet) zulässig sein konnte.

Nachdem ich mir die Privacy-Erklärung von Mailchimp angesehen habe, ist dort nirgendwo etwas von einer Verschlüsselung zu sehen. Auch in dem Dokument, welches Mailchimp “GDPR-Compliance” nennt, und welches einzig in deutscher Sprache vorliegt,  findet sich nichts zur Verschlüsselung.

Der einzige Hinweis auf Verschlüsslung gibt ein Dokument, das sich “Data Export Bedingungen” nennt.

Mailchimp has, where and to the extent technically feasible, implemented encryption technologies across its infrastructure to help protect user data from unauthorized access when it’s processed internally by Mailchimp. For example, all Mailchimp production pages use transport layer security (TLS), a secure encryption protocol, and Mailchimp’s internal wireless network utilizes 128bit WPA2 encryption. Further, Mailchimp email (256bit), all VPN connections (256bit), and the internal chat application (256bit) are also encrypted. Login pages use TLS and have brute-force attack protection. This also applies to mobile Mailchimp applications and the Mailchimp API.

 

Übersetzt also:

Mailchimp hat, wo und soweit technisch machbar, Verschlüsselungstechnologien in seiner gesamten Infrastruktur implementiert, um Benutzerdaten vor unbefugtem Zugriff zu schützen, wenn sie intern von Mailchimp verarbeitet werden. Beispielsweise verwenden alle Produktionsseiten von Mailchimp Transport Layer Security (TLS), ein sicheres Verschlüsselungsprotokoll, und das interne drahtlose Netzwerk von Mailchimp verwendet eine 128bit WPA2-Verschlüsselung. Außerdem sind Mailchimp-E-Mails (256bit), alle VPN-Verbindungen (256bit) und die interne Chat-Anwendung (256bit) ebenfalls verschlüsselt. Login-Seiten verwenden TLS und haben einen Schutz vor Brute-Force-Angriffen. Dies gilt auch für mobile Mailchimp-Anwendungen und die Mailchimp-API.

 

Nimmt man es genau, ist das wohl keine ausreichende Versicherung, dass Nutzerdaten vollständig verschlüsselt sind, und zwar auch vor dem Zugriff von Mailchimp selber. Vielmehr schränkt Mailchimp ein, dass Daten vor “unbefugtem Zugriff” geschützt wären. Der Zugriff von US-Behörden beispielsweise wäre aber gerade NICHT unbefugt.

Die durch das erwähnte Verfahren beim BayLDA betroffene Magazin ist nur durch eine Angemessenheitserwägung einem Bußgeld entgangen.

Das BayLDA dazu:

Über diese Feststellung der Unzulässigkeit der o.g. Datenübermittlungen hinausgehende aufsichtsbehördliche Maßnahmen nach Art. 58 Abs. 2 DSGVO halten wir im Wege einer Entscheidung nach pflichtgemäßem Ermessen im konkret vorliegenden Fall nicht für erforderlich. Dem Unternehmen ist durch uns deutlich gemacht worden, dass die o.g. Übermittlung Ihrer E-Mail-Adresse datenschutzrechtlich unzulässig war. Eine Ahndung mit Geldbuße – wie von Ihnen beantragt – erachten wir nicht für erforderlich. Insoweit teilen wir Ihnen hiermit mit, dass nach unserer Auffassung einer betroffenen Person kein Rechtsanspruch auf Verhängung einer Geldbuße im Falle eines Datenschutzverstoßes zusteht, und nach hiesiger Auffassung auch kein Anspruch auf ermessensfehlerfreie Entscheidung über Ahndung mit Geldbuße.
Denn anders als einige andere der in Art. 58 Abs. 2 DSGVO genannten Abhilfebefugnisse (etwa die Befugnis, die den Verantwortlichen anzuweisen, Anträgen der betroffenen Person auf Ausübung ihrer Rechte zu entsprechen (Art. 58 Abs. 2 lit. c DSGVO) dient die Befugnis zur Verhängung einer Geldbuße nach Art. 83 DSGVO (Art. 58 Abs. 2 Buchst. i DSGVO) nicht der Wahrung der Rechte und Freiheiten einer betroffenen Person, sondern dem öffentlichen Interesse an der Durchsetzung der Rechtsordnung. Mithin steht einer betroffenem Person kein subjektives Recht gegen die Datenschutzaufsichtsbehörden auf Entscheidung über die Verhängung einer Geldbuße nach Art. 58 Abs. 2 Buchst. i DSGVO zu. Selbst aber wenn man aber ein solches subjektives Recht einer betroffenen Person anerkennen würde, wäre vorliegend kein Anspruch Ihrerseits auf Verhängung einer Geldbuße gegen XXXX gegeben. Denn bei Berücksichtigung der maßgeblichen in Art. 83 DSGVO aufgezählten Faktoren, die für diese Entscheidung eine Rolle spielen, entspricht es pflichtgemäßem Ermessen, vorliegend von einer Geldbuße abzusehen. Dies insbesondere, weil vorliegend lediglich in einigen wenigen Fällen unzulässig Daten übermittelt wurden, und zum anderen weil es sich – in der Gestalt von E-Mail-Adressen – um Daten handelte, deren Sensibilität noch verhältnismäßig überschaubar ist; Letzteres für sich alleine gesehen würde zwar ein Absehen von Geldbuße noch nicht alleine zu rechtfertigen vermögen. Im Ergebnis ist das Absehen von Geldbuße aber vorliegend ermessensfehlerfrei insbesondere vor dem Hintergrund, dass sich die o.g. Empfehlungen des Europäischen Datenschutzausschusses erklärtermaßen noch in einer öffentlichen Konsultation befinden und mithin noch nicht in der Endfassung vorliegen, so dass der vorliegende Verstoß mit Blick auf seine Art und Schwere (Art. 83 Abs. 2 lit. a DSGVO) noch als geringfügig einzustufen ist, und insbesondere nur ein allenfalls leichtes Maß an Fahrlässigkeit zu bejahen ist (Art. 83 Abs. 2 lit. b DSGVO).

 

Tags: ChatComplianceDatenschutzDatenschutzrechtE-MailEmailMailSicherheit

Weitere spannende Blogposts

Gerichtsstandsvereinbarungen in Influencerverträgen

Gerichtsstandsvereinbarungen in Influencerverträgen
19. Dezember 2023

In meiner aktuellen anwaltlichen Praxis habe ich gerade einen Fall, der sich mit der Frage der Gerichtsstandsvereinbarungen in Influencerverträgen beschäftigt....

Mehr lesenDetails

Mandantenportal als PWA

Mandantenportal als PWA
25. Januar 2021

Das Mandantenportal  von mir kann nun auch als Mobile-App genutzt werden und so beispielsweise als Icon auf den Homescreen des...

Mehr lesenDetails

Die Zukunft des Internets: Web3 und das neue Recht

Die Zukunft des Internets: Web3 und das neue Recht
30. Dezember 2022

Web3 – die nächste Generation des Internets Die nächste Generation des Internets – Web3 – steht kurz vor der Tür....

Mehr lesenDetails

Onlinehändler muss über Herstellergarantie informieren

Onlinehändler muss über Herstellergarantie informieren
20. Januar 2020

Das LG Bochum hat entschieden, dass Onlinehändler über Herstellergarantien informieren müssen, sogar dann, wenn mit dem Bestehen der Garantie nicht...

Mehr lesenDetails

Vorkasse-Zahlungen im Onlineshop: Achtung bei den eigenen AGB

AGB sind nicht allein wegen der Länge unwirksam!
4. Juni 2024

Als Rechtsanwalt für IT-Recht und Vertragsrecht erstelle ich regelmäßig AGB für verschiedene SaaS-Anbieter, Dienste und Onlineshops. Gerade bei Onlineshops fällt...

Mehr lesenDetails

HOT/Wichtig: Steuerrechtliche Haftungsfalle Google-Ads

HOT/Wichtig: Steuerrechtliche Haftungsfalle Google-Ads
23. Februar 2019

Heutzutage nutzen extrem viele Google Ads, um die eigenen Dienstleistungen, Webshops und dergleichen zu bewerben. Sei es im Werbenetzwerk und/oder...

Mehr lesenDetails

Facebook muss gleichartige, rechtswidrige Inhalte löschen!

Das cvria-Logo kennzeichnet die Veröffentlichung von Verkaufsanzeigen und die Einstufung als Geschäftsinhaber.
7. Oktober 2019

Das Unionsrecht verwehrt es nicht, dass einem Hosting-Anbieter wie Facebook aufgegeben wird, mit einem zuvor für rechtswidrig erklärten Kommentar wortgleiche...

Mehr lesenDetails

Rechnung wegen Fakebestellung? BGH sagt: Ist wettbewerbswidrig

Onlineshops: Achtung bei Werbung mit UVP
23. September 2019

Der BGH hat ein Urteil gefällt, das durchaus das Potenzial haben könnte, vielen Onlinehändlern und Anbietern von Onlinediensten Kopfschmerzen zu...

Mehr lesenDetails

BGH: Allgemein zugängige Daten dürfen auf Informationsportal gespeichert werden

BGH hält Uber Black für wettbewerbswidrig
8. März 2023

Ich bin gerade auf ein Urteil des Bundesgerichtshofes vom letzten Jahr aufmerksam geworden, dass eine spannende Frage aus dem Datenschutzrecht...

Mehr lesenDetails
855e2b01 13e3 4082 ab25 0967bb0c4654 202328553

Stellvertretung

29. März 2025

Definition und Funktion der Stellvertretung (§ 164 BGB) Stellvertretung ermöglicht es einer Person (Vertreter), Rechtsgeschäfte mit unmittelbarer Wirkung für und...

Mehr lesenDetails
Cloud-Service-Vertrag

Cloud-Service-Vertrag

15. Oktober 2024
Stufenklage

Mahnbescheid / Vollstreckungsbescheid

25. Juni 2023
Pre-Seed / Seed-Finanzierung

Pre-Seed / Seed-Finanzierung

27. Juni 2023
Rechtsanwaltsvergütungsgesetz (RVG)

Rechtsanwaltsvergütungsgesetz (RVG)

27. Juni 2023

Podcast Folgen

Auf der dunklen Seite? Ein Rechtsanwalt im Spannungsfeld innovativer Startups

Auf der dunklen Seite? Ein Rechtsanwalt im Spannungsfeld innovativer Startups

25. September 2024

In dieser persönlichen und fesselnden Episode taucht der erfahrene IT- und Medienrechtsanwalt tief in die Grauzone seiner beruflichen Tätigkeit ein....

Rechtliche Beratung für Startups – Investitionen, die sich lohnen

Rechtliche Beratung für Startups – Investitionen, die sich lohnen

17. November 2024

In dieser Episode des ITmedialaw.com Podcasts dreht sich alles um die Bedeutung rechtlicher Beratung für Startups. Host Marian Härtel spricht...

8315f1ef298eb54dfeed2f5e55c8b9da 1

Erste Testfolge des ITMediaLaw Podcast

26. August 2024

Erste TestfolgeLiebe Leserinnen und Leser,ich freue mich, heute den ersten Testlauf unseres brandneuen IT Media Law Podcasts zu präsentieren! In diesem Podcast...

Rechtssichere Influencer-Agentur-Verträge: Strategien zur Vermeidung unerwarteter Kündigungen

Rechtssichere Influencer-Agentur-Verträge: Strategien zur Vermeidung unerwarteter Kündigungen

19. April 2025

Anna und Max sprechen in dieser Episode über typische Fallstricke und Gestaltungsmöglichkeiten bei Verträgen zwischen Influencern und Agenturen. Im Mittelpunkt...

  • Datenschutzerklärung
  • Impressum
  • Kontaktaufnahme
  • Über Rechtsanwalt Marian Härtel
Marian Härtel, Rathenaustr. 58a, 14612 Falkensee, info@itmedialaw.com

Marian Härtel - Rechtsanwalt für IT-Recht, Medienrecht und Startups, mit einem Fokus auf innovative Geschäftsmodelle, Games, KI und Finanzierungsberatung.

Willkommen zurück!

Loggen Sie sich unten in Ihr Konto ein

Haben Sie Ihr Passwort vergessen?

Ihr Passwort abrufen

Bitte geben Sie Ihren Benutzernamen oder Ihre E-Mail-Adresse ein, um Ihr Passwort zurückzusetzen.

Einloggen
  • Informationen
    • Idealer Partner
    • Über Rechtsanwalt Marian Härtel
    • Schnell und flexibel erreichbar
    • Prinzipien als Rechtsanwalt
    • Warum Rechtsanwalt und Unternehmensberater?
    • Schwerpunkte
      • Focus auf Startups
      • Investmentberatung
      • Unternehmensrecht
      • Kryptowährungen, Blockchain und Games
      • KI und SaaS
      • Streamer und Influencer
      • Games- und Esportrecht
      • IT/IP-Recht
      • Kanzlei für GMBH,UG, GbR
      • Kanzlei für IT/IP und Medienrecht
    • Der Alltag eines IT-Rechtsanwalts
    • Wie kann ich Mandanten helfen?
    • Testimonials
    • Team: Saskia Härtel – WER BIN ICH?
    • Agile und leane Kanzlei
    • Preisübersicht
    • Sonstiges
      • AGB
      • Datenschutzerklärung
      • Widerrufserklärung
      • Impressum
  • Leistungen
    • Betreuung und Beratung von Agenturen
    • Vertragsprüfung- und erstellung
    • Beratung zum Games-Recht
    • Beratung für Influencer und Streamer
    • Beratung im E-Commerce
    • Beratung zu DLT und Blockchain
    • Rechtsberatung im Gesellschaftsrecht
    • Legal Compliance und Gutachten
    • Outsourcing – für Unternehmen oder Kanzleien
    • Buchung als Speaker
  • News
    • Glosse / Meinung
    • Recht im Internet
    • Onlinehandel
    • Recht und Computerspiele
    • Recht und Esport
    • Blockchain und Web 3 Recht
    • Datenschutzrecht
    • Urheberrecht
    • Arbeitsrecht
    • Wettbewerbsrecht
    • Gesellschaftsrecht
    • EU-Recht
    • Jugendschutzrecht
    • Steuerrecht
    • Sonstiges
    • Intern
  • Podcast
    • ITMediaLaw Kurz-Podcast
    • ITMediaLaw Podcast
  • Wissensdatenbank
    • Gesetze
    • Juristische Begriffe
    • Vertragstypen
    • Klauseltypen
    • Finanzierungsformen und Begriffe
    • Juristische Mittel
    • Behörden / Institutionen
    • Gesellschaftsformen
    • Steuerrecht
    • Konzepte
  • Videos
    • Informationsvideos – über Marian Härtel
    • Videos – über mich (Couch)
    • Blogpost – einzelne Videos
    • Videos zu Dienstleistungen
    • Shorts
    • Podcast Format
    • Drittanbietervideos
    • Sonstige Videos
  • Kontaktaufnahme
  • en English
  • de Deutsch
Kostenlose Kurzberatung