Das Problem mit Newsletter-Anbietern aus den USA

Zugleich nutzen die meisten Unternehmen in irgendeiner Art und Weise Cloud-Services von Dropbox, Google oder Microsoft. Und deren Rechenzentren stehen bekanntlich in den USA.

Ob es zukünftig überhaupt noch möglich sein wird, die Daten von EU-Bürgern in die Vereinigten Staaten zu transferieren, ist derzeit aber mehr als fraglich. Davon wäre insbesondere auch das E-Mail-Marketing betroffen. Denn hierfür werden in der Regel personenbezogene Daten verwendet, also Daten, mit denen sich eine Person einwandfrei identifizieren lässt.

Zum Stand des Datenschutzes in den USA

Dass es um den Datenschutz in den USA generell nicht besonders gut steht, wissen wir spätestens seit den Enthüllungen Edward Snowdens. Und dabei geht es nicht nur um teils illegale Überwachung durch Geheimdienste. Der sogenannte USA Freedom Act (früher: Patriot Act) gewährleistet den US-Behörden umfassenden Zugriff auf die Daten aller Unternehmen, die einen Sitz in den Vereinigten Staaten haben. Im Zweifelsfall können davon sogar Unternehmen in der EU betroffen sein, wenn sie über eine US-Tochter oder einen Mutterkonzern in den USA verfügen.
Dieser mangelhafte Schutz von Daten war auch einer der wesentlichen Gründe, warum der Europäische Gerichtshof (EuGH) schon 2015 urteilte, dass das sogenannte Safe-Harbor-Abkommen ungültig sei. Bis dahin konnten sich US-Unternehmen selbst unter diesem Abkommen zertifizieren, wenn sie angaben, europäischen Datenschutz-Standards zu genügen. Dies wiederum war nötig, weil personenbezogene Daten von EU-Bürgern nur in Ländern verarbeitet und gespeichert werden dürfen, die über ein "angemessenes Datenschutzniveau" verfügen. Innerhalb der USA wird ein solches grundsätzlich nicht angenommen.

Auf das Ende von Safe Harbor folgte 2016 das eiligst zwischen USA und EU-Kommission ausgehandelte EU-U.S. Privacy Shield. Es dient dem gleichen Zweck und folgt letztlich mit einigen Verbesserungen einem ähnlichen Mechanismus der Selbstregulation.

Der entsprechende Angemessenheitsbeschluss der EU-Kommission zum Privacy Shield vom Juli 2016   beruht deshalb maßgeblich auf Zusicherungen der Obama-Regierung. Dazu gehörte auch, dass US-Datenschutzrecht auch auf Daten von EU-Bürgern angewendet wird, soweit keine anderen Gesetze dagegen sprechen.

Donald Trumps fatale Politik

Unter Donald Trump könnten ebendiese Zusicherungen nun infrage gestellt werden. Bereits am 25. Januar 2017 unterzeichnete der US-Präsident die Anordnung zur "Verbesserung der öffentlichen Sicherheit"   . In dieser sogenannten Executive Order wird den US-Behörden vorgeschrieben, dass der Privacy Act eben nicht für die Daten von Nicht-US-Bürgern gilt. Zunächst einmal richtet sich diese Anordnung gegen diejenigen, die sich ohne gültige Papiere in den USA aufhalten. Sie könnte aber auch bedeuten, dass die Daten von EU-Bürgern in den Vereinigten Staaten künftig nicht mehr entsprechend geschützt werden.

Um das nochmals mit aller Deutlichkeit zu sagen: Die Trump-Direktive könnte die Nutzung von US-Cloud-Anwendungen durch europäische Unternehmen rechtlich unmöglich machen, sobald dabei personenbezogene Daten ins Spiel kommen! Und beim E-Mail-Marketing kann schon eine E-Mail-Adresse, die Vor- und Zunamen enthält, als personenbezogenes Datum gelten.

Alternativen fürs E-Mail-Marketing

Für das rechtskonforme E-Mail-Marketing   und andere Cloud-Anwendungen, bei denen personenbezogene Daten übertragen, verarbeitet und gespeichert werden, bieten sich im Wesentlichen nur zwei Alternativen an:
Die erste Möglichkeit heißt: "Raus aus US-Clouds", so, wie es das renommierte Computer-Fachmagazin c't kürzlich forderte. Zum Einsatz dürften dann äußerst konsequent nur Cloud-Service-Anbieter kommen,

1. die alle (!) Rechenzentren innerhalb der EU bzw. des EWR haben,
2. deren Mitarbeiter mit Datenzugriff (Verwaltung, Admins, Techniker) ausschließlich innerhalb der Union bzw. des EWR tätig sind,
3. die keine Unternehmenssitze und im Idealfall nicht einmal Tochterunternehmen bzw. Konzernmütter in den USA haben.

Glücklicher Weise gibt es solche rein europäischen oder deutschen Unternehmen (fürs E-Mail-Marketing etwa SC-Networks    ), man muss aber ein wenig danach suchen. Denn sobald als technische Grundlage für die Newsletter-Software z. B. Amazon Web Services (AWS) verwendet werden, dürfte es mit dem Datenschutz schon wieder schwierig werden. Neben den oben genannten drei Punkten gilt es freilich auf alle Aspekte des Datenschutzes und der IT-Sicherheit zu achten. Auch hierdurch kann sich die Auswahl geeigneter E-Mail-Marketing-Anbieter deutlich einschränken.

Die zweite Möglichkeit ist vor allem für Unternehmen bzw. Konzerne mit Standorten oder Tochterfirmen in den USA relevant. Hier kann alternativ zum EU-U.S. Privacy Shield über sogenannte Binding Corporate Rules (BCR) oder EU-Standardvertragsklauseln nachgedacht werden, um personenbezogene Daten rechtskonform in den Vereinigten Staaten verarbeiten zu können. Hierfür sollte jedoch auf einen internen oder externen Datenschutzbeauftragten   mit Spezialwissen zum internationalen Datentransfer zurückgegriffen werden.

Fazit: E-Mail-Marketing von Anfang an zukunftsfähig gestalten

Die derzeit unsichere Situation mit den USA, aber zum Beispiel auch der anstehende Brexit zeigen, dass auch das Internet nicht so grenzenlos funktioniert, wie wir es uns lange erträumt haben. Für das E-Mail-Marketing und jede andere praktische Cloud-Anwendung bedeutet dies, dass wir schon bei der Anbieterauswahl darauf achten sollten, möglichst zukunftsfähig zu bleiben. Im Zweifelsfall bedeutet dies, ausschließlich auf Dienstleister in der EU zu setzen. Denn spätestens ab Mai 2018 müssen diese sich sowieso alle an die EU-Datenschutz-Grundverordnung (DSGVO) halten.