Ich versende wöchentlich am Freitag Nachmittag einen Newsletter an alle Abonnenten. Sie denken vielleicht, dass das eine große Zahl ist. Aber die Zahl schwankt seit Ewigkeiten irgendwo zwischen 30 und 40 herum, meist unter 35. Ich habe aber bezüglich der Datenschutz-Grundverordnung nach wie vor Sorgen mit MailChimp. Und ich werde Ihnen auch genau erklären, was ich damit meine. Ich will damit auch mal zur Diskussion stellen, was ich eventuell mache.
Was ist MailChimp?
MailChimp ist ein Dienstleister für das automatisierte Email-Marketing. Zu diesem Dienst kann man Newsletter auslagern. Gegründet wurde der Dienst im Jahr 2001. Die Firma hat ihren Sitz in Atlanta in den USA. Und darin besteht auch das große Problem. Denn Nutzerdaten werden gegebenenfalls in die USA transferiert. MailChimp gehört zur Rocket Science Group, hat um die 700 Mitarbeiter und transportiert über 10 Milliarden Emails pro Monat.
Ich benutze MailChimp, um meinen Newsletter auszuliefern. Damit wird Last vom Blog genommen, und der Dienst funktioniert einfach. Man legt Empfängerlisten an, baut sich Kampagnen und erstellt sich Emails, die dann im Zuge der Kampagnen an die Empfängerlisten ausgeliefert werden. Soweit ich weiß, arbeitet MailChimp zuverlässig. Deshalb fällt es mir auch schwer, mir eine Alternative zu suchen. Aber ich habe eben so meine Bauchschmerzen.
Ist MailChimp wirklich vorbereitet für die DSGVO?
Es gibt einen Vertrag zur Auftragsdatenverarbeitung, den man mit MailChimp schließen kann. Das sollte man sich genau durchlesen, ausdrucken, unterschreiben und an MailChimp dann senden. Und was passiert dann? Nicht mehr viel. Ich weiß jetzt also nicht, ob ich nun auf der sicheren Seite bin. Gewährleiste ich denn jetzt tatsächlich den Datenschutz, den meine Leser erwarten? Wer sich für meinen Newsletter registriert, bekommt eine Email zur Verifizierung der Email-Adresse und dann noch eine für die Bestätigung des Empfangs.
Das ist alles wunderbar. Dennoch bleibt, dass MailChimp in den USA sitzt und deshalb nichts mit der Datenschutz-Grundverordnung am Hut hat. Die Datenverarbeitung fällt hierbei unter das Privacy Shield, das Datenschutz-Abkommen zwischen den USA und Europa. Aber kann man dem vertrauen? Es ist nach wie vor fraglich, ob die Maßnahmen, die MailChimp selbst getroffen hatte, den Anforderungen der DSGVO genügen.
MailChimp verstößt gegen das Informations- und Transparenz-Gebot, weil das oben beschriebene Double-Opt-In nach wie vor nur optional ist. Zudem weise ich nochmals auf den Fakt hin, dass MailChimp in den USA sitzt. Privacy Shield steht nach wie vor in der Kritik, weshalb wohl Verträge zur Auftragsdatenverarbeitung nicht einwandfrei sein müssen. Mit Privacy Shield ist MailChimp zwar zur Einhaltung der DSGVO verpflichtet. Aber wollen wir uns wirklich darauf verlassen?
Was machen wir denn nun mit MailChimp?
Die Fakten:
- MailChimp bietet einen Vertrag zur Auftragsdatenverarbeitung an
- Der Dienst ist zertifiziert und nimmt am Privacy Shield teil
- MailChimp informiert ausführlich über die Verwendung der Daten
- Als Webseitenbetreiber muss man ohnehin auf die Datenverarbeitung mit MailChimp hinweisen
Also spricht nichts gegen den Einsatz von MailChimp, oder? Wieso gehen dann meine Bauchschmerzen bezüglich MailChimp nicht weg? Vielleicht sollte ich mir doch einen anderen Dienst suchen oder den Newsletter direkt hier aus dem Blog verschicken. Ich traue dem Braten mit MailChimp jedenfalls nicht vollständig. Und das ist irgendwie nie ein gutes Zeichen.
Ich habe eingangs davon geschrieben, dass ich das Thema „Newsletter mit MailChimp“ gern mal zur Diskussion stellen will. Ich schrieb zwar mal, dass ich den Datenschutz hier im Blog erhöht habe. Aber offenbar nicht ausreichend. Zwar heißt es immer, dass man sich nicht so sehr verrückt machen soll. Das habe ich auch schon mal angemerkt. Das würde aber bedeuten, dass ich alle externen Dienste hier aus dem Blog werfe. Dazu gehört auch der Newsletter. Aber ist das wirklich notwendig?