Datenübermittlung in die USA – dürfen Newsletter-Anbieter aus den USA noch genutzt werden?

03.12.2021 | News

Alternativen zu Mailchimp sind zwingend zu bevorzugen!

Kundenbindung, Informationsübermittlung oder Reichweitengenerierung. Die Gründe weshalb Private und Unternehmen einen Newsletter verwenden sind zahlreich. Genauso zahlreich sind die Anbieter von entsprechenden Lösungen. Wie bei anderen Online-Lösungen stammen auch die grossen Anbieter von Newsletter-Software aus den USA. Damit stellt sich die grosse Frage: Kann ich Newsletter-Anbieter aus den USA überhaupt noch berücksichtigen?
Dieser Frage ist unser Team Lead Support XCAMPAIGN, Sven Sieber im Gespräch mit Rechtsanwältin Nicole Beranek Zanon nachgegangen.

Plötzlich sprachen im Sommer 2020 alle Medien im Zusammenhang mit den grossen IT-Providern vom «Privacy Shield». Um was handelt es sich dabei und weshalb wurde dieses Thema so aktuell?
Der «Privacy Shield» ist ein US-Selbstzertifizierungs-Programm, bei welchem US-Unternehmen öffentlich und verbindlich versprechen, sich an den Datenschutz nach europäischem Verständnis zu halten. Obwohl die USA selbst nicht als Land mit einem angemessenen Datenschutzniveau gilt, stellten die US-Unternehmen mit einer Zertifizierung ebendieses Datenschutzniveau sicher. Auf dieser Grundlage konnte bis anhin ein Datentransfer in die USA stattfinden.
Am 16. Juli 2020 veröffentlichte der Europäische Gerichtshof (EuGH) seinen lange erwarteten Entscheid C-311/18, welcher als «Schrems II» bekannt wurde. Der EuGH äusserte sich darin zu den Voraussetzungen von internationalen Transfers von Personendaten aus der EU in die USA bzw. in Länder ohne ein angemessenes Datenschutzniveau. Aufgrund der massiven Überwachungsgesetzgebung in den USA sah der EuGH trotz Privacy Shield kein angemessenes Datenschutzniveau, da es an geeigneten Rechtsmitteln mangle. Der EuGH hob den von der Europäischen Kommission betreffend EU-US Privacy Shield auf und verbot faktisch einen Datentransfer in die USA basierend auf einem angemessenen Datenschutzniveau.

Nun wurde ja nur der EU-US Privacy Shield durch den EuGH aufgehoben. Weshalb ist das Urteil aus schweizerischer Sicht trotzdem relevant?
Am 8. September 2020 veröffentlichte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) seine – absehbare – Stellungnahme zum EuGH Entscheid und erklärte den CH-US Privacy Shield ebenfalls als unzureichende Übermittlungsgrundlage für Personendaten in die USA. Die zertifizierten US-Unternehmen stellten ab diesem Zeitpunkt ebenfalls aus Schweizer Sicht kein angemessenes Datenschutzniveau sicher. Deshalb sind aus der Schweiz grundsätzlich seit letztem Jahr keine rechtsgültigen Datentransfers mehr in die USA möglich. Der Entscheid des EuGH hat folglich grosse Auswirkungen in der Schweiz getätigt.

Immer wieder wurden als Ersatz für den Privacy Shield die EU Standardvertragsklauseln ins Spiel gebracht. Können Datentransfers basierend auf diesen Grundlagen noch «standardisiert» vorgenommen werden?
Die kurze Antwort ist: Nein. Nebst dem Fall des Privacy Shield wies der EuGH darauf hin, dass auch die EU Standardvertragsklauseln, welche eine alternative Rechtsgrundlage für einen internationalen Datentransfer darstellen, (vgl. Art. 46 Ziff. 2 lit. c DSGVO), nicht mehr als «Standard-Lösung» verwendet werden können.

Welche zusätzlichen Massnahmen müssen Unternehmen nun treffen, wenn Daten bspw. in die USA übermittelt werden sollen?
Bei jedem Datentransfer muss geprüft werden, ob die vereinbarten Massnahmen der Klauseln ein angemessenes Schutzniveau bieten. Sowohl der EuGH wie auch der EDÖB weisen darauf hin, dass dies in den meisten Fällen von Datentransfers in Drittländer ohne Angemessenheitsbeschluss nicht erfüllt sein dürfte. In der Praxis bedeutet dies, dass jeder Verantwortliche für einen Datentransfer im Einzelfall und für jedes Drittland die Rechtslage für Personendaten zu prüfen oder das Risiko für die Unterlassung zu tragen hat.
Anbieter von Cloud-Dienstleistungen sind dabei wohl regelmässig als sogenannte «Electronic Communications Service Provider» nach FISA 702 anzusehen und unterliegen damit weitgehenden Überwachungsmassnahmen oder können zur Herausgabe von Daten angewiesen werden. Problematisch ist dies, weil der Zugang zum Rechtssystem in den USA für Nicht-US-Bürger nicht gleich gewährt wird, wie für US-Bürger. Dies kann je nach Daten und Kontextinformationen zu Menschenrechtsverletzungen führen.

Aus den Medien haben wir von dem Gerichtsurteil um Mailchimp erfahren, was sind die Fakten und was müssen Unternehmen unbedingt beachten?
Das bayrische Landesamt für Datenschutzaufsicht hat in einer Stellungnahme ausgeführt, was aus seiner Sicht die neuen Voraussetzungen für einen Transfer von Personendaten in die USA sind. Das betroffene Unternehmen verwendete für den Versand seines Newsletters die US-Plattform Mailchimp. Die Aufsichtsbehörde hielt fest, dass die «Übermittlungen personenbezogener Daten in die USA unzulässig waren».
Nach dem Wegfall des EU-US Privacy Shield passte Mailchimp seine vertraglichen Grundlagen an und sicherte zu, dass die Benutzung des Dienstes DSGVO konform erfolgen würde. Die bayrische Aufsichtsbehörde stellte aber klar, dass es der Pflicht des Verantwortlichen der Datenbearbeitung obliegt, die Rechtslage in den USA zu beurteilen und angemessene Zusatzmassnahmen mit Mailchimp zu vereinbaren. Dieser Pflicht war der Verantwortliche der Datenbearbeitung aber nicht nachgekommen.
Irrelevant war bei der Beurteilung, ob der US-Anbieter überhaupt zum Abschluss von solchen zusätzlichen Schutzmassnahmen bereit gewesen wäre. Die Pflicht zum Absicherung trifft nicht den Anbieter, sondern denjenigen, welcher die Daten ins Ausland transferiert (vgl. Art. 46 DSGVO, Art. 6 DSG). Dieser trägt auch das Risiko der Nichteinhaltung d.h. der Non-Compliance.
Das Risiko in der EU ist dabei hoch: Es kann eine Busse nach Art. 86 Ziff. 5 lit. c DSGVO im Betrag bis zu EUR 20 Mio. oder 4 % des weltweiten Jahresumsatzes ausgesprochen werden. In der Schweiz ist auch schon unter geltendem Datenschutzrecht der Datentransfer ohne hinreichende Garantien unter Strafe gestellt. Zwar beträgt die Bussenhöhe «nur» CHF 10’000.- aber sie trifft das C-Level. Mit dem revidierten schweizerischen DSG wird die Busse massiv auf CHF 250’000.- erhöht.
Im Fall den der bayrische Landesdatenschutzbeauftragte zu beurteilen hatte, entschied er sich, dass aufgrund der schnellen Reaktion des Verantwortlichen, eine Busse nicht angezeigt ist. Ein solche milde Beurteilung kann mit weiterem Zeitablauf aber nicht mehr erwartet werden.
Der EDÖB hatte bereits in seiner Stellungnahme zum Schrem II Entscheid festgehalten, dass eine entsprechende Einzelfallprüfung durch den Verantwortlichen einer Datenbearbeitung vorgenommen werden muss. Deshalb ist die Beurteilung durch das Landesamt wenig überraschend.

Dies klingt sehr aufwändig und auch kostenintensiv. Wäre eine alternative nicht die Verwendung eines lokalen Anbietenden?
Die Voraussetzungen für eine rechtskonforme Verwendung von Newsletter-Anbieter mit Sitz ausserhalb der Schweiz oder gar der EU sind zahlreich und tatsächlich nur schwer bzw. überhaupt nicht zu erfüllen. Mit der Wahl eines lokalen Newsletter-Anbieters können sie aufwändigen und teuren Abklärungen von Rechtslagen im Ausland und den damit verbundenen erheblichen Rechtsrisiken entgehen. Wenn Sie den kostengünstigen ausländischen Anbieter trotzdem auswählen, sollten Sie die Opportunitätskosten, d.h. eben dieses Risiko, einkalkulieren. Sie wer-den dabei feststellen, dass sodann die Schweizer oder EU-Lösung günstiger ist.
Für eine Schweizer Lösung spricht, dass derzeit auch datenschutzrechtlich juristische Personen geschützt werden und dass auch Berufs- und Amtsgeheimnisträger rechtskonform Newsletter versenden können. Massgebend ist dabei vorrangig der Sitz des Anbietenden und wie sich diese allfälligen weiteren Unterauftragnehmer bedienen. Sicherzustellen ist dabei, dass kein Unterauftragnehmer mit Datenzugriff aus einem Drittstaat ohne Angemessenheitsbeschluss verwendet wird, ansonsten die vorgängig aufgezeigten Massnahmen getroffen werden müssen.
Weiterer Vorteil ist die Anwendung des lokalen Rechts und eines entsprechenden Gerichtsstandes. So können selbst bei einem Streitfall die zustehenden Rechte wahrgenommen und durchgesetzt werden. Nicht zu vernachlässigen ist dabei das Vertrauen Ihrer Kunden in die von Ihnen gewählte Lösung.

Fazit
Prüfen Sie deshalb sorgfältig Ihren Newsletter-Anbieter, berechnen Sie die Opportunitätskosten und wechseln Sie falls notwendig zur Risiko- und Kostenminimierung zu einem lokalen Anbieter. Die Risikominimierung wird sich für Sie «bezahlt» machen.

Nicole Beranek Zanon
Lic. iur. Executive MBA HSG, CIPP/E,
HÄRTING Rechtsanwälte AG

Nicole Beranek Zanon ist Managing Partner von HÄRTING Rechtsanwälte AG, eine auf Informatik-, Kommunikations- und Technologie-Recht fokussierte Wirtschaftsanwaltskanzlei. Sie berät Start-Ups wie auch börsenkotierte Unternehmen in Datenschutzthemen, Security, Cloud, Outsourcing und neuen Technologien. Sie unterrichtet an der FHNW und der Universität St. Gallen. Sie ist Mitglied des Geschäftsleitenden Ausschusses der Forschungsstelle für Informationsrecht der Universität St. Gallen und Initiatorin des IT-Juristinnentag.ch. Nicole Beranek Zanon publiziert regelmässig zu ICT-Themen.

Wir sind seit fast 20 Jahren erfolgreich im Schweizer Markt etabliert. Sie sagen uns, was Sie brauchen. Wir richten Ihnen ein Konto ein, das ganz Ihren Anforderungen und Wünschen entspricht. Mit zahlreichen optionalen Services und höchster Datensicherheit bietet XCAMPAIGN alle Möglichkeiten für Ihr professionelles E-Mail-Marketing.

Weitere Nachrichten und Artikel