Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
BILD Marktplatz
Booklooker
Branchbob
Brick Owl
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
clicksale
Coaching
commerce:seo
Conrad
Consulting
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping
Dropshipping-Marktplatz
eBay
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Facebook (Warenverkauf)
Fairmondo
Fernunterricht
Flow Shopsoftware
For-vegans
Fotografie und Bildbearbeitung
Freizeitkurse
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
German Market
Germanized for WooCommerce
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage ohne Verkauf
Hood
Hornbach
Hosting
Hosting B2B
Impressum für Webseiten
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Instagram (Warenverkauf)
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Marktplätze
Kaufland DE,CZ,SK
Kleinanzeigen.de
Kleinanzeigen.de (Vermietung)
Leroy Merlin
Lightspeed
LinkedIn
Lizenzo
Magento
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OnlyFans
OpenCart
Otto
Oxid-Shops
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Selbstbedienungsläden
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
DE Shop - Online-Kurse (live oder on demand) DE
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shop Apotheke
Shopify
Shopware
Shpock
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
SumUp
Teilehaber.de
Tentary
Threads
TikTok
Tumblr
Twitch
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
Voelkner
webador
Webdesign
Webflow
Webshop Factory
Werky
WhatsApp Business
WhatsApp Business (Warenverkauf)
Wix
WooCommerce
WordPress
Wordpress (Warenverkauf)
wpShopGermany
X (ehemals Twitter)
Xanario
XING
xt:Commerce
XXXLutz
YouTube
zalando
Zen-Cart
Zoho
ZVAB

Erst Auskunft, dann Abmahnung: Vorsicht beim Einsatz von Newsletter-Dienstleistern aus den USA

28.06.2023, 11:03 Uhr | Lesezeit: 9 min
Erst Auskunft, dann Abmahnung: Vorsicht beim Einsatz von Newsletter-Dienstleistern aus den USA

Der Transfer personenbezogener Daten in die USA ist nach derzeitigem Rechtsstand nicht datenschutzkonform möglich. Dies wird für Händler, die für den Versand von Newslettern auf US-Dienstleister zurückgreifen, nun vermehrt zur Falle. Insbesondere eine Person aus Österreich verfolgt Verstöße vehement und zieht hierbei alle DSGVO-Register. An einen anfänglichen Antrag auf Auskunft, in welcher auch der Einsatz von US-Newsletterdiensten zu benennen ist, schließt sich meist eine Abmahnung an. Wie sich Händler bestmöglich schützen können und wie die aktuellen Fälle rechtlich zu bewerten sind, zeigt dieser Beitrag.

I. Datenschutzwidrigkeit des Einsatzes von US-Newsletterdiensten

Wer seine Newsletter nicht selbst, sondern über einen Dienstleister versendet, muss an diesen zwangsweise personenbezogene Daten der Newsletterempfänger, insbesondere deren E-Mail-Adressen weitergeben.

Diese Übermittlungen sind nach derzeitigem Rechtsstand datenschutzwidrig, sofern der Dienstleister die Daten sodann auf US-amerikanischen Servern weiterverarbeitet.

1.) Wegfall des Privacy Shield und Übernahme von Standardvertragsklauseln

Die DSGVO schreibt für Datenübermittlungen aus der EU in Drittländer in Art. 44 und 46 DSGVO aber geeignete Garantien vor.

Als eine solche Garantie (in Form eines Angemessenheitsbeschlusses) speziell für Datenübermittlungen in die USA galt bis zur Kassation durch den EuGH (Urteil vom 16.07.2020 – Az. C-311/18) das EU-US-Datenschutzschild „Privacy Shield“, auf das sich nahezu alle US--Anbieter standardmäßig beriefen.

Nach dem Wegfall des Schutzschildes konnten Übermittlungen von EU-Daten in die USA durch Newsletterdienste aber nicht weiter gerechtfertigt werden. Sie drohten, rechtswidrig zu sein.

US-Newsletter-Anbieter waren insofern gehalten, Abhilfe zu schaffen und eine andere, von der DSGVO anerkannte Transfergarantie zu schaffen.

Die DSGVO erkennt hierfür in Art. 46 DSGVO unter anderem

  • verbindliche interne Datenschutzvorschriften (Art. 47 DSGVO)
  • genehmigte Verhaltensregeln (Art. 40 DSGVO) und
  • von der EU-Kommission genehmigte Standard-Datenschutzklauseln (auch „Standardvertragsklauseln“ oder auf Englisch „Standard Contractual Clauses“ – „SCC“ genannt)

an.

Die meisten US-Anbieter (darunter ActiveCampaign, Flodesk, GoDaddy, Klaviyo, Mailchimp und SendGrid) entschieden sich für die Übernahme von der EU-Kommission genehmigter Standardvertragsklauseln (SCCs).

1

2.) Standardvertragsklauseln alleine datenschutzrechtlich unzureichend

Aus datenschutzrechtlicher Sicht ist die Implementierung von Standardvertragsklauseln allein aber nicht ausreichend, um Datenschutzrisiken bei Übertragung von personenbezogenen Daten aus der EU in die USA wirksam zu unterbinden.

So betonte bereits die Datenschutzkonferenz der Bundesländer ausdrücklich, dass bei Datenübertragungen in die USA die bloße Aufnahme von Standard-Datenschutzklauseln nicht ausreicht, um einen angemessenen Datenschutz auf der anderen Seite des Atlantik zu gewährleisten.

Auch für die neuen, mit Durchführungsbeschluss vom 04.06.2021 beschlossenen Standardvertragsklauseln der EU-Kommission bestehen die datenschutzrechtlichen Bedenken fort.

Hintergrund (und auch ein maßgeblicher Tragpfeiler der Kassation des EU-US-Privacy Shield) ist, dass US-Sicherheitsbehörden weitreichende Zugriffsrechte auf Datenbestände haben, die in den USA verarbeitet werden (etwa nachrichtendienstliche Erhebungsbefugnisse aus Section 702 FISA und Executive Order 12 333).

Für Betroffene aus Europa kann dies mit einem hohen Datensicherheitsrisiko einhergehen, weil sie im Zweifel nicht wissen, ob, wie und zu welchen Zwecken ihre Daten behördlich genutzt werden. Auch haben sie keine Interventionsrechte, um vom Zugriff erfasste Daten nachträglich in Auskunft zu bringen, zu löschen oder zu berichtigen.

Die bloße Anwendung von genehmigten Standardvertragsklauseln kann die Verpflichtung von US-Unternehmen, auf behördliches Gesuch hin umfangreiche Daten zur Verfügung zu stellen, aber nicht aufheben. Die Klauseln gelten nur „inter partes“, also zwischen dem Datenexporteur und dem Datenimporteur, hebeln aber gesetzlich oder gewohnheitsrechtlich verankerte Zugriffs- und Dateninterventionsrechte von US-Behörden nicht aus.

Nach Ansicht führender Datenschützer sind daher auf Unternehmensebene zusätzliche Maßnahmen zum Schutz von EU-Daten erforderlich, etwa die vollständige Anonymisierung oder zumindest Verschlüsselung von EU-Datenbeständen auf US-Servern, um behördliche Zugriffsmöglichkeiten auf Klardaten aus der EU zu verhindern.

Dem kommen Newsletter-Dienstleister aus den USA derzeit aber noch nicht nach.

Weil die derzeit zur Einrichtung angemessener Datensicherheitsgarantien für EU-US-Datentransfers allein implementierten EU-Standardvertragsklauseln datenschutzrechtlich nicht ausreichen, ist die Inanspruchnahme von US-Newsletterdiensten in der EU und die damit einhergehende Übertragung von personenbezogenen Daten der EU-Seitenbesucher in die USA mit einem rechtlichen Risiko für den Seitenbetreiber verbunden.

Dies gilt zumindest solange, wie ein neuer Angemessenheitsbeschluss für die USA nicht verabschiedet wurde.

II. Feldzug aus Österreich: Privatperson geht gegen den Newsletter-Versand über US-Dienste vor

Die erwiesene Datenschutzwidrigkeit des Rückgriffs auf US-Newsletterversanddienstleister wird aktuell privatrechtlich vermehrt verfolgt.

„Vorreiter“ ist hierbei eine Privatperson aus Österreich, die in einer schieren Rechtsverfolgungskampagne vehement gegen Händler und Seitenbetreiber, vor allem aus Deutschland, vorgeht, welche für ihren Newsletter-Versand US-Dienstleister einsetzen.

Das Schema scheint hierbei stets identisch zu sein:

Die Person meldet sich auf eigene Initiative zum Newsletter auf der betroffenen Präsenz an und beantragt kurze Zeit danach eine Auskunft nach Art. 15 DSGVO.

Die ordnungsgemäße Auskunftserteilung muss auch Informationen darüber enthalten, dass der Seitenbetreiber personenbezogene Daten an Newsletter-Versanddienstleister übermittelt, und diese mit Name und Adresse benennen.

Ergibt die Datenauskunft den Einsatz eines US-Dienstleisters, schreitet die Person aus Österreich zur Abmahnung.

Unter Beauftragung der Kanzlei „brandt.legal“ aus Berlin erhält der betroffene Seitenbetreiber eine Abmahnung, mit welcher

  • unter dem Gesichtspunkt einer Verletzung des Rechts auf informationelle Selbstbestimmung zunächst die Unterlassung der Datenweitergabe an den US-Newsletterdienstleister und die Abgabe einer strafbewehrten Unterlassungserklärung gefordert werden und
  • zum anderen ein immaterieller Schadensersatz für den erlittenen Datenkontrollerverlust in Höhe von 5.000€ sowie
  • schließlich der Ersatz der Anwaltskosten in Höhe von 1.728,48€

gefordert werden.

Besonders prägnant ist bei der Vorgehensweise, dass der Betroffene die Vorbereitung der in der Abmahnung geltend gemachten Ansprüche über die Datenauskunft zu erreichen versucht.

Für den in Anspruch genommenen Seitenbetreiber ist das Vorgehen daher doppelt belastend und risikobehaftet:

  • Einerseits muss er zunächst aufwändig die beantragte Datenauskunft zusammenstellen
  • Andererseits wird ihm das Risiko aufgebürdet, die Auskunft vollständig, nach gesetzlichem Vorbild und rechtzeitig zu erteilen, um sich nicht bereits aus Verstößen gegen die Auskunftspflicht eigenständig schadensersatzpflichtig zu machen

III. Wie sind die Forderungen aus Österreich rechtlich zu bewerten?

IT-Recht Kanzlei

Exklusiv-Inhalt für Mandanten

Noch kein Mandant?

Ihre Vorteile im Überblick
  • Wissensvorsprung
    Zugriff auf exklusive Beiträge, Muster und Leitfäden
  • Schutz vor Abmahnungen
    Professionelle Rechtstexte – ständig aktualisiert
  • Monatlich kündbar
    Schutzpakete mit flexibler Laufzeit
Laptop
Ab
3,00 €
mtl.

IV. Fazit

Wer Newsletter versendet und sich hierfür eines Dienstleisters bedienen möchte, sollte nach derzeitigem Rechtsstand unbedingt einen Anbieter wählen, der Daten ausschließlich auf europäischen Servern verarbeitet.

Der Einsatz von US-Newsletter-Versanddienstleistern ist aktuell stets datenschutzwidrig, weil es für die Weitergabe von personenbezogenen Daten aus der EU in die USA an einer rechtfertigenden Rechtsgrundlage fehlt.

Die Datenschutzwidrigkeit machen sich derzeit Privatpersonen zunutze, allen voran eine Person aus Österreich. Nach einem anfänglichen Auskunftsantrag fordert diese per anwaltlicher Abmahnung zur Unterlassung auf und ruft Schadensersatzforderungen im hohen vierstelligen Bereich auf.

Auch wenn diese Unterlassungs- und Ersatzforderungen als rechtsmissbräuchlich und auch im Übrigen unbegründet eingeordnet werden müssen, sollte der Erhalt einer solchen datenschutzrechtlichen Abmahnung keinesfalls auf die leichte Schulter genommen werden. Vielmehr ist umgehend anwaltliche Hilfe zu suchen, um die Forderungen substantiiert abzuwehren und im Fall der Fälle vor Gericht zu Fall zu bringen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.


Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

weitere News

Das Recht auf Datenlöschung nach der DSGVO mit Mustermitteilungen
(19.06.2024, 11:21 Uhr)
Das Recht auf Datenlöschung nach der DSGVO mit Mustermitteilungen
Löschpflichten für ungenutzte Kundenkonten im Online-Shop nach der DSGVO?
(19.06.2024, 11:17 Uhr)
Löschpflichten für ungenutzte Kundenkonten im Online-Shop nach der DSGVO?
Schutz vor Hacking: Musterschreiben für Händler bei Online-Angriffen
(10.06.2024, 14:40 Uhr)
Schutz vor Hacking: Musterschreiben für Händler bei Online-Angriffen
Online-Shop gehackt: DSGVO-konforme Reaktion auf Datenpannen - Anleitung & Musterbenachrichtigung
(07.06.2024, 11:46 Uhr)
Online-Shop gehackt: DSGVO-konforme Reaktion auf Datenpannen - Anleitung & Musterbenachrichtigung
Muster für DSGVO-konforme Reaktion auf Datenpanne im Online-Shop
(07.06.2024, 11:26 Uhr)
Muster für DSGVO-konforme Reaktion auf Datenpanne im Online-Shop
OLG Stuttgart: Personalisierte Briefwerbung nach DSGVO ohne Einwilligung zulässig
(06.06.2024, 07:39 Uhr)
OLG Stuttgart: Personalisierte Briefwerbung nach DSGVO ohne Einwilligung zulässig
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!
© 2004-2024 · IT-Recht Kanzlei