Neue Abmahnwelle wegen Klaviyo und Mailchimp? #ABMAHNUNG #DATENSCHUTZ
Herr G., Mandant der Berliner Kanzlei “brandt.legal”, meldet sich auf Websites unterschiedlicher Unternehmen für einen Newsletter an. Anschließend beantragt er eine Auskunftserteilung zu seinen Daten. Dazu hat Herr G. laut Art. 15 DSGVO Recht. Im nächsten Schritt erhält Herr G. die entsprechende Auskunft, die wahrheitsgemäß darüber informiert, dass Daten an Server in den USA übermittelt werden. Da die USA Datenschutztechnisch noch immer als gefährliches Drittland gelten, könnte hier eine Verletzung des Datenschutzes vermutet werden. An diesem Punkt kommt die Kanzlei brandt.legal mit ihrer Abmahnung ins Spiel. Inhalt des anwaltlichen Schreibens ist unter anderem die Feststellung, dass die Übermittlung personenbezogener Daten in die USA rechtswidrig ist, da den dortigen Behörden durchsetzbare Rechte sowie die Rechtsbehelfung fehlen. Das bedeutet, dass die in der europäischen DSGVO verankerten Schutzmaßnahmen in den USA nicht greifen können und die Übermittlung daher nicht rechtens ist. Der Anwalt von Herrn G. fordert eine vierstellige Summe Schadensersatz, droht mit der Aufsichtsbehörde und einem Gerichtsprozess. Aber was ist hier dran?
Zunächst lässt sich nicht pauschal sagen, dass alle Datenübermittlungen an die USA rechtswidrig sind. Die DSGVO sagt in Artikel 46, dass die Übermittlung von Daten an Drittländer zulässig ist. Der EUGH bestätigt dies in aktuellen Urteilen, wie “Schrems-II”. Jedoch muss im Einzelfall garantiert werden, dass Datenverarbeiter sich an die DSGVO halten. Hierfür regelte die EU-Kommission bereits am 04.06.2021 in Klausel 14 der EU-Standardvertragsklausel die Durchführung eines Transfer-Impact-Assessments, kurz TIA. TIA ist die Risikobewertung eines Unternehmens, bei der geprüft wird, ob Empfänger von Daten in Drittländern durch geltendes Recht gezwungen sein könnten, gegen europäische Regelungen zu verstoßen. Auch der US-Präsident Biden wirbt dafür, dass die Datenübermittlung in die USA sicherer wird und hat dafür seine Executive Order 1408 verabschiedet, mit der die Behörden wesentlich erweiterte Rechtsschutzmöglichkeiten erhalten haben. Rein rechtlich betrachtet sind die Vorwürfe der Kanzlei brandt.legal also nicht zutreffend.
Aber wie sollten Sie als Unternehmen vorgehen, wenn Sie einen Antrag auf Auskunftserteilung erhalten? Zunächst sollten Sie diesen ernst nehmen, sowie zeitnah, vollständig und wahrheitsgetreu beantworten. Tun Sie dies nicht, droht bereits ein Verstoß gegen das Datenschutzgesetz und damit ein Schadensersatzanspruch. Folgt auf Ihre Auskunft eine Abmahnung, sollten Sie auch diese ernst nehmen, sich jedoch nicht zu Zahlungen motivieren lassen, die keine rechtliche Substanz haben. Prüfen Sie den Sachverhalt gemeinsam mit Ihrem Anwalt.
Im besten Fall kommt es gar nicht erst zu dieser Situation. Sie als Unternehmen sollten kritisch hinterfragen, ob sie wirklich mit Tools wie Klaviyo oder MailChimp arbeiten müssen. Können Sie garantieren, dass Ihre Datenverarbeiter in Drittländern DSGVO-konform sind? Haben Sie Ihre Einverständniserklärungen ordnungsgemäß eingeholt und auch einen DSGVO-konforme Datenverarbeitungsvereinbarung mit ihren Dienstleistern abgeschlossen? Auch wenn Sie die obigen Fragen mit “ja” beantworten können, empfehlen wir Ihnen eine Alternativen zu MailChimp und Kaviyo, wie zum Beispiel das Tool Cleverreach. Cleverreach ist ein deutsches Unternehmen aus Oldenburg und verspricht DSGVO-konformes Online-Marketing sowie sichere Daten und Serverstandorte.
Sprechen Sie uns gerne auf die Integration des Tools in Ihr Online-Marketing an!
Let's get in touch
Oder vereinbaren sie HIER direkt einen Termin mit einem unserer Experten.
Quellen: