Mailchimp wurde im Spätherbst 2021 von Intuit übernommen. In der Folge müssen Anfang 2022 viele Nutzer:innen von Mailchimp ihre Datenschutzerklärung anpassen.
Ab dem 10. Januar 2022 gilt für Mailchimp die Datenschutzerklärung von Intuit und nicht mehr die bisherige Datenschutzerklärung von Mailchimp.
Viele Datenschutzerklärungen für E-Mail-Newsletter und Websites verweisen auf die Datenschutzerklärung von Mailchimp. Dieser zweistufige Ansatz ermöglicht, dass Website-Datenschutzerklärungen (halbwegs) lesbar und übersichtlich bleiben. Dieser Ansatz bedeutet aber auch, dass die Verweise auf ergänzende Angaben zum Datenschutz gelegentlich aktualisiert werden müssen.
Das Intuit Global Privacy Statement ist unter https://www.intuit.com/privacy/statement/ zu finden.
Die Datenschutzerklärung enthält auch «Länder- und Regionen-spezifische Bestimmungen», zum Beispiel die Rechtfertigungsgründe für die Bearbeitung von Personendaten gemäss europäischer Datenschutz-Grundverordnung (DSGVO) und zur EU-Datenschutz-Vertretung gemäss Art. 27 DSGVO.
Wer den Datenschutz-Generator von Datenschutzpartner nutzt, erhält beim nächsten Aktualisieren oder Erstellen einer Datenschutzerklärung automatisch die neuen Angaben für Mailchimp.
Neben Mailchimp sind auch Mandrill – inzwischen ein Mailchimp-Add-on, aber in einigen veralteten Datenschutzerklärung immer noch zu finden – und TinyLetter betroffen.
Absicherung von Auftragsverarbeitung und Daten-Export?
Für Nutzer:innen von Mailchimp bleibt vorläufig The Rocket Science Group LLC die Vertragspartnerin gemäss Standard Terms of Use und Data Processing Addendum (DPA).
Das DPA stellt den Auftragsverarbeitungsvertrag (AVV) von Mailchimp dar. Das europäische und schweizerische Datenschutzrecht verlangen, dass die Bearbeitung von Personendaten im Auftrag mit einem solchen Vertrag abgesichert wird. Das DPA gilt automatisch für alle Nutzer:innen von Mailchimp und muss nicht zusätzlich abgeschlossen werden.
Intuit und Mailchimp sind amerikanische Unternehmen. Insofern stellt sich für Nutzer:innen weiterhin die Frage, wie sie den Daten-Export in die USA aufgrund der Nutzung von Mailchimp absichern können und welche Risiken damit verbunden sind.
Aus schweizerischer Sicht besteht die Problematik, dass die Schweiz und das schweizerische Datenschutzgesetz (DSG) im DPA von Mailchimp zwar ausdrücklich erwähnt werden, für die Absicherung aber ausschliesslich die europäischen Standardvertragsklauseln (Standard Contractual Clauses, SCC) vorgesehen sind.
Bei Datenschutzpartner habe ich einige Fragen zur neuen Datenschutzerklärung von Mailchimp beantwortet:
Siehe auch: Mailchimp Privacy FAQs.
Bild: Mailchimp.