Erst Auskunft, dann Abmahnung: Vorsicht beim Einsatz von Newsletter-Dienstleistern aus den USA
Der Transfer personenbezogener Daten in die USA ist nach derzeitigem Rechtsstand nicht datenschutzkonform möglich. Dies wird für Händler, die für den Versand von Newslettern auf US-Dienstleister zurückgreifen, nun vermehrt zur Falle. Insbesondere eine Person aus Österreich verfolgt Verstöße vehement und zieht hierbei alle DSGVO-Register. An einen anfänglichen Antrag auf Auskunft, in welcher auch der Einsatz von US-Newsletterdiensten zu benennen ist, schließt sich meist eine Abmahnung an. Wie sich Händler bestmöglich schützen können und wie die aktuellen Fälle rechtlich zu bewerten sind, zeigt dieser Beitrag.
Inhaltsverzeichnis
- I. Datenschutzwidrigkeit des Einsatzes von US-Newsletterdiensten
- 1.) Wegfall des Privacy Shield und Übernahme von Standardvertragsklauseln
- 2.) Standardvertragsklauseln alleine datenschutzrechtlich unzureichend
- II. Feldzug aus Österreich: Privatperson geht gegen den Newsletter-Versand über US-Dienste vor
- III. Wie sind die Forderungen aus Österreich rechtlich zu bewerten?
- IV. Fazit
I. Datenschutzwidrigkeit des Einsatzes von US-Newsletterdiensten
Wer seine Newsletter nicht selbst, sondern über einen Dienstleister versendet, muss an diesen zwangsweise personenbezogene Daten der Newsletterempfänger, insbesondere deren E-Mail-Adressen weitergeben.
Diese Übermittlungen sind nach derzeitigem Rechtsstand datenschutzwidrig, sofern der Dienstleister die Daten sodann auf US-amerikanischen Servern weiterverarbeitet.
1.) Wegfall des Privacy Shield und Übernahme von Standardvertragsklauseln
Die DSGVO schreibt für Datenübermittlungen aus der EU in Drittländer in Art. 44 und 46 DSGVO aber geeignete Garantien vor.
Als eine solche Garantie (in Form eines Angemessenheitsbeschlusses) speziell für Datenübermittlungen in die USA galt bis zur Kassation durch den EuGH (Urteil vom 16.07.2020 – Az. C-311/18) das EU-US-Datenschutzschild „Privacy Shield“, auf das sich nahezu alle US--Anbieter standardmäßig beriefen.
Nach dem Wegfall des Schutzschildes konnten Übermittlungen von EU-Daten in die USA durch Newsletterdienste aber nicht weiter gerechtfertigt werden. Sie drohten, rechtswidrig zu sein.
US-Newsletter-Anbieter waren insofern gehalten, Abhilfe zu schaffen und eine andere, von der DSGVO anerkannte Transfergarantie zu schaffen.
Die DSGVO erkennt hierfür in Art. 46 DSGVO unter anderem
- verbindliche interne Datenschutzvorschriften (Art. 47 DSGVO)
- genehmigte Verhaltensregeln (Art. 40 DSGVO) und
- von der EU-Kommission genehmigte Standard-Datenschutzklauseln (auch „Standardvertragsklauseln“ oder auf Englisch „Standard Contractual Clauses“ – „SCC“ genannt)
an.
Die meisten US-Anbieter (darunter ActiveCampaign, Flodesk, GoDaddy, Klaviyo, Mailchimp und SendGrid) entschieden sich für die Übernahme von der EU-Kommission genehmigter Standardvertragsklauseln (SCCs).
2.) Standardvertragsklauseln alleine datenschutzrechtlich unzureichend
Aus datenschutzrechtlicher Sicht ist die Implementierung von Standardvertragsklauseln allein aber nicht ausreichend, um Datenschutzrisiken bei Übertragung von personenbezogenen Daten aus der EU in die USA wirksam zu unterbinden.
So betonte bereits die Datenschutzkonferenz der Bundesländer ausdrücklich, dass bei Datenübertragungen in die USA die bloße Aufnahme von Standard-Datenschutzklauseln nicht ausreicht, um einen angemessenen Datenschutz auf der anderen Seite des Atlantik zu gewährleisten.
Auch für die neuen, mit Durchführungsbeschluss vom 04.06.2021 beschlossenen Standardvertragsklauseln der EU-Kommission bestehen die datenschutzrechtlichen Bedenken fort.
Hintergrund (und auch ein maßgeblicher Tragpfeiler der Kassation des EU-US-Privacy Shield) ist, dass US-Sicherheitsbehörden weitreichende Zugriffsrechte auf Datenbestände haben, die in den USA verarbeitet werden (etwa nachrichtendienstliche Erhebungsbefugnisse aus Section 702 FISA und Executive Order 12 333).
Für Betroffene aus Europa kann dies mit einem hohen Datensicherheitsrisiko einhergehen, weil sie im Zweifel nicht wissen, ob, wie und zu welchen Zwecken ihre Daten behördlich genutzt werden. Auch haben sie keine Interventionsrechte, um vom Zugriff erfasste Daten nachträglich in Auskunft zu bringen, zu löschen oder zu berichtigen.
Die bloße Anwendung von genehmigten Standardvertragsklauseln kann die Verpflichtung von US-Unternehmen, auf behördliches Gesuch hin umfangreiche Daten zur Verfügung zu stellen, aber nicht aufheben. Die Klauseln gelten nur „inter partes“, also zwischen dem Datenexporteur und dem Datenimporteur, hebeln aber gesetzlich oder gewohnheitsrechtlich verankerte Zugriffs- und Dateninterventionsrechte von US-Behörden nicht aus.
Nach Ansicht führender Datenschützer sind daher auf Unternehmensebene zusätzliche Maßnahmen zum Schutz von EU-Daten erforderlich, etwa die vollständige Anonymisierung oder zumindest Verschlüsselung von EU-Datenbeständen auf US-Servern, um behördliche Zugriffsmöglichkeiten auf Klardaten aus der EU zu verhindern.
Dem kommen Newsletter-Dienstleister aus den USA derzeit aber noch nicht nach.
Weil die derzeit zur Einrichtung angemessener Datensicherheitsgarantien für EU-US-Datentransfers allein implementierten EU-Standardvertragsklauseln datenschutzrechtlich nicht ausreichen, ist die Inanspruchnahme von US-Newsletterdiensten in der EU und die damit einhergehende Übertragung von personenbezogenen Daten der EU-Seitenbesucher in die USA mit einem rechtlichen Risiko für den Seitenbetreiber verbunden.
Dies gilt zumindest solange, wie ein neuer Angemessenheitsbeschluss für die USA nicht verabschiedet wurde.
II. Feldzug aus Österreich: Privatperson geht gegen den Newsletter-Versand über US-Dienste vor
Die erwiesene Datenschutzwidrigkeit des Rückgriffs auf US-Newsletterversanddienstleister wird aktuell privatrechtlich vermehrt verfolgt.
„Vorreiter“ ist hierbei eine Privatperson aus Österreich, die in einer schieren Rechtsverfolgungskampagne vehement gegen Händler und Seitenbetreiber, vor allem aus Deutschland, vorgeht, welche für ihren Newsletter-Versand US-Dienstleister einsetzen.
Das Schema scheint hierbei stets identisch zu sein:
Die Person meldet sich auf eigene Initiative zum Newsletter auf der betroffenen Präsenz an und beantragt kurze Zeit danach eine Auskunft nach Art. 15 DSGVO.
Die ordnungsgemäße Auskunftserteilung muss auch Informationen darüber enthalten, dass der Seitenbetreiber personenbezogene Daten an Newsletter-Versanddienstleister übermittelt, und diese mit Name und Adresse benennen.
Ergibt die Datenauskunft den Einsatz eines US-Dienstleisters, schreitet die Person aus Österreich zur Abmahnung.
Unter Beauftragung der Kanzlei „brandt.legal“ aus Berlin erhält der betroffene Seitenbetreiber eine Abmahnung, mit welcher
- unter dem Gesichtspunkt einer Verletzung des Rechts auf informationelle Selbstbestimmung zunächst die Unterlassung der Datenweitergabe an den US-Newsletterdienstleister und die Abgabe einer strafbewehrten Unterlassungserklärung gefordert werden und
- zum anderen ein immaterieller Schadensersatz für den erlittenen Datenkontrollerverlust in Höhe von 5.000€ sowie
- schließlich der Ersatz der Anwaltskosten in Höhe von 1.728,48€
gefordert werden.
Besonders prägnant ist bei der Vorgehensweise, dass der Betroffene die Vorbereitung der in der Abmahnung geltend gemachten Ansprüche über die Datenauskunft zu erreichen versucht.
Für den in Anspruch genommenen Seitenbetreiber ist das Vorgehen daher doppelt belastend und risikobehaftet:
- Einerseits muss er zunächst aufwändig die beantragte Datenauskunft zusammenstellen
- Andererseits wird ihm das Risiko aufgebürdet, die Auskunft vollständig, nach gesetzlichem Vorbild und rechtzeitig zu erteilen, um sich nicht bereits aus Verstößen gegen die Auskunftspflicht eigenständig schadensersatzpflichtig zu machen
III. Wie sind die Forderungen aus Österreich rechtlich zu bewerten?
Exklusiv-Inhalt für Mandanten
Noch kein Mandant?
-
WissensvorsprungZugriff auf exklusive Beiträge, Muster und Leitfäden
-
Schutz vor AbmahnungenProfessionelle Rechtstexte – ständig aktualisiert
-
Monatlich kündbarSchutzpakete mit flexibler Laufzeit
IV. Fazit
Wer Newsletter versendet und sich hierfür eines Dienstleisters bedienen möchte, sollte nach derzeitigem Rechtsstand unbedingt einen Anbieter wählen, der Daten ausschließlich auf europäischen Servern verarbeitet.
Der Einsatz von US-Newsletter-Versanddienstleistern ist aktuell stets datenschutzwidrig, weil es für die Weitergabe von personenbezogenen Daten aus der EU in die USA an einer rechtfertigenden Rechtsgrundlage fehlt.
Die Datenschutzwidrigkeit machen sich derzeit Privatpersonen zunutze, allen voran eine Person aus Österreich. Nach einem anfänglichen Auskunftsantrag fordert diese per anwaltlicher Abmahnung zur Unterlassung auf und ruft Schadensersatzforderungen im hohen vierstelligen Bereich auf.
Auch wenn diese Unterlassungs- und Ersatzforderungen als rechtsmissbräuchlich und auch im Übrigen unbegründet eingeordnet werden müssen, sollte der Erhalt einer solchen datenschutzrechtlichen Abmahnung keinesfalls auf die leichte Schulter genommen werden. Vielmehr ist umgehend anwaltliche Hilfe zu suchen, um die Forderungen substantiiert abzuwehren und im Fall der Fälle vor Gericht zu Fall zu bringen.
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
0 Kommentare