Mailchimp und europäische Datenübertragungen

Wenn du ein Mailchimp-Kunde bist, der sich im Europäischen Wirtschaftsraum (EWR), im Vereinigten Königreich oder in der Schweiz (die wir gemeinsam als „Europa“ bezeichnen) befindet, oder wenn du unsere Plattform zur Verarbeitung von Daten über deine Kontakte in Europa verwendest, wurde unser Nachtrag zur Datenverarbeitung (Data Processing Addendum, DPA) entworfen, um es dir zu ermöglichen, europäische personenbezogene Daten an Mailchimp in den Vereinigten Staaten zu übertragen und Mailchimp zu ermöglichen, diese Daten rechtmäßig in deinem Namen zu verarbeiten.

Der DPA ist direkt in unsere Standard-Nutzungsbedingungen integriert und erfordert daher keine Unterschrift. Durch die Nutzung von Mailchimp bzw. die Anmeldung für ein Konto stimmst du diesen Bedingungen zu. Gemäß den Standard-Nutzungsbedingungen und dem Nachtrag zur Datenverarbeitung von Mailchimp verpflichtet sich jede/r Benutzer*in zur Einhaltung aller geltenden Gesetze.

Europäische Datenexport-Compliance bei Mailchimp

Die Rocket Science Group LLC d/b/a Mailchimp ist eine unter das Datenschutzrahmenprogramm von Intuit fallende Einheit und hat ihre Einhaltung sowohl der EU-US- Datenschutz-Rahmenwerk, die Erweiterung des Vereinigten Königreichs auf die EU-USA Datenschutzrahmen und das Swiss-U.S. Datenschutz-Rahmenwerk. Du kannst unsere Liste einsehen](https://www.dataprivacyframework.gov/list), indem du [hier nach „Intuit“ suchst, und [hier die Zertifizierungsseite des Intuit Data Privacy Framework lesen](https://www.intuit.com/privacy/statement/).

Darüber hinaus verpflichtet sich Mailchimp vertraglich, im Falle einer Ungültigkeit des Datenschutzrahmens alle europäischen Daten seiner Kundschaft in Übereinstimmung mit den Standardvertragsklauseln (Standard Contractual Clauses, „SCCs“) zu übertragen und zu verarbeiten, die unseren Kundschaft weiterhin die Möglichkeit geben, Daten, die den geltenden Datenschutzgesetzen (einschließlich der DSGVO) unterliegen, rechtmäßig außerhalb Europas an Mailchimp in den Vereinigten Staaten zu übertragen. Die SCCs gelten automatisch gemäß dem Nachtrag zur Datenverarbeitung von Mailchimp.

Weitere Informationen zu Datenübertragungen

Wir wissen, dass unsere Kunden möglicherweise Fragen zur Einhaltung der Datenübertragung haben, einschließlich der Auswirkungen des Urteils des EuGH 2020 über Datenübertragungen und der Annahme der neuen SCCs durch die Europäische Kommission am 4. Juni 2021. In diesem Abschnitt findest du einige häufig gestellte Fragen und Antworten.

Überträgt Mailchimp Daten in Länder außerhalb Europas? Wenn ja, in welche Länder?

Ja. Der Hauptsitz von Mailchimp und unsere Server befinden sich in den Vereinigten Staaten. Dies bedeutet, dass von uns verarbeitete Daten eventuell in die USA übermittelt und dort gespeichert oder verarbeitet werden. Darüber hinaus nutzen wir die Dienste von Drittanbietern, die personenbezogene Daten in unserem Auftrag verarbeiten, um Dienstleistungen für Mailchimp zu erbringen, und deren Server sich möglicherweise außerhalb Europas befinden.

Du kannst die vollständige Liste der Unterauftragsverarbeiter einsehen, die wir verwenden, um die Daten unserer Kunden zu verarbeiten, zusammen mit Details zu ihrem Standort. Wir ergreifen Maßnahmen, um sicherzustellen, dass unsere Anbieter angemessene Sicherheitsvorkehrungen zum Schutz personenbezogener Daten bieten, die sie in unserem Auftrag verarbeiten und verpflichten sie vertraglich dazu, diese Daten in Übereinstimmung mit den geltenden Datenschutzgesetzen zu verarbeiten.

Welche Maßnahmen hat Mailchimp ergriffen, um die Daten europäischer Kunden zu schützen, die außerhalb Europas verarbeitet werden?

Mailchimp hat eine Reihe von Maßnahmen ergriffen, um sicherzustellen, dass Daten aus Europa bei der Übertragung in Länder außerhalb Europas geschützt bleiben.

Vertragliche Verpflichtungen
Zusätzlich zur Zertifizierung unserer Compliance mit den EU-US- Data Privacy Framework, die Erweiterung des Vereinigten Königreichs auf die EU-USA Datenschutzrahmen und das Swiss-U.S. Datenschutzrahmen, die SCCs werden direkt in unseren Nachtrag zur Datenverarbeitung aufgenommen. Darüber hinaus legen wir unsere Verpflichtungen in Bezug auf Sicherheit, Vertraulichkeit der Verarbeitung, Einschränkungen bei internationalen Übermittlungen personenbezogener Daten, Kooperation mit den Rechten betroffener Personen, Benachrichtigungen über Sicherheitsvorfälle und mehr fest.

Wichtig ist, dass Mailchimp keine Benutzerdaten verkauft, vermietet oder handelt.

Sicherheitsmaßnahmen
Mailchimp legt größten Wert auf den Schutz und die Sicherheit der Daten seiner Benutzer. Unser Sicherheits- und Datenschutzprogramm wird auf unserer Sicherheitsseite ausführlich beschrieben.

Hier findest du eine Zusammenfassung einiger wichtiger und spezifischer technischer und organisatorischer Maßnahmen, die wir zum Schutz vor unberechtigtem Zugriff auf Benutzerdaten implementiert haben (und weiterhin implementieren werden):

(1) Verschlüsselung
Mailchimp hat, soweit technisch möglich, in seiner gesamten Infrastruktur Verschlüsselungstechnologien implementiert, um Benutzerdaten vor unbefugtem Zugriff zu schützen, wenn diese von Mailchimp intern verarbeitet werden. So wird beispielsweise auf allen Mailchimp-Produktionsseiten Transport Layer Security (TLS) verwendet und für das interne drahtlose Netzwerk von Mailchimp wird eine 128bit WPA2-Verschlüsselung verwendet. Außerdem werden Mailchimp-E-Mails (256 Bit), alle VPN-Verbindungen (256 Bit) und die interne Chat-Anwendung (256 Bit) ebenfalls verschlüsselt. Anmeldeseiten verwenden TLS und sind vor Brute-Force-Angriffen geschützt. Dies gilt auch für mobile Mailchimp-Apps und die Mailchimp-API.

(2) Zugriffskontrollen
Mailchimp beschränkt den Zugriff Dritter auf seine internen Tools und Infrastrukturen. Unsere Rechtsabteilung prüft alle Zugriffsanfragen, stellt sicher, dass die Anfrage für die durchzuführende Aufgabe angemessen ist und dass Dritte sämtliche Sicherheits- und Datenschutzbestimmungen einhalten, die in ihrem Vertrag festgelegt sind. Nach der Genehmigung gewährt Mailchimp nur über kontrollierte Accounts Zugriff auf eindeutig festgelegte Bereiche des Systems.

Mailchimp verpflichtet sich weiterhin, ein Höchstmaß an Datenschutz und Sicherheit für unsere Benutzer zu gewährleisten. Wenn du Fragen zu unserem Sicherheits- und Datenschutzprogramm hast, sende deine Fragen bitte hier.

Anbieterverträge
Wir ergreifen alle erforderlichen Maßnahmen, um sicherzustellen, dass unsere Verträge mit unseren internationalen Drittanbietern (einschließlich Unterauftragsverarbeitern) angemessene Verpflichtungen dieser Dritten in Bezug auf die Übertragung und Verarbeitung europäischer Daten außerhalb Europas enthalten und dass wir einen angemessenen und rechtmäßigen Datenübertragungsmechanismus (wie beispielsweise die Standardvertragsklauseln) und gegebenenfalls zusätzliche Schutzmaßnahmen einführen. Es sind aktuelle Angaben zu den Unterauftragsverarbeitern, die wir verwenden, um die Daten unserer Mitglieder zu verarbeiten, verfügbar.

Datenschutz-Rahmenwerk
Die Rocket Science Group LLC d/b/a Mailchimp entspricht den EU-US- Datenschutzrahmenwerk (EU-US DPF), die britische Erweiterung in die EU-USA. DPF und die Schweizer-US- Datenschutz-Rahmenwerk (Schweizer-US DPF), wie vom US-Handelsministerium in Bezug auf die Erfassung, Verwendung und Aufbewahrung personenbezogener Daten festgelegt, die aus der Europäischen Union (EU), dem Vereinigten Königreich (und Gibraltar)(UK) und der Schweiz in die Vereinigten Staaten übermittelt werden.

Wie reagiert Mailchimp auf Informationsanfragen?

Wir prüfen alle Informationsanfragen sorgfältig und stellen Dritten grundsätzlich keine Informationen über einen Account zur Verfügung, der ihnen nicht gehört, es sei denn, dass wir gesetzlich dazu verpflichtet sind. Das bedeutet, dass wir nur auf eine gültige gerichtliche Anordnung, eine Vorladung, einen Durchsuchungsbefehl oder andere angemessene Rechtsverfahren reagieren, für die Informationen und Aufzeichnungen von einem Mailchimp-Account erforderlich sind. Mailchimp wendet bestimmte Richtlinien an, wenn es um die Beantwortung von Informationsanfragen geht, unabhängig davon, ob diese von einer staatlichen oder nichtstaatlichen Stelle stammen:

• Wir bemühen uns, die Privatsphäre und Vertraulichkeit der Benutzer zu wahren.
• Wenn möglich, bitten wir den Antragsteller, die Informationen direkt von den entsprechenden Account-Inhabern und nicht von Mailchimp einzuholen.
• Wir bitten den Antragsteller, uns möglichst viele Informationen bereitzustellen, damit wir den richtigen Benutzer-Account ermitteln können. Wir reagieren nicht auf Anfragen, wenn uns keine angemessenen und spezifischen Informationen wie E-Mail-Adresse, E-Mail-Header, Internet-Domain, Benutzername, IP-Adressen oder andere ähnliche Informationen vorliegen, mit denen wir das richtige Konto ermitteln und finden können.
• Sofern keine gesetzliche Ausnahme nach US-Recht vorliegt, reagieren wir nur auf Anfragen, die im Rahmen eines gültigen US-Rechtsverfahrens gestellt werden. Dies bedeutet, dass der Rechtsweg (z. B. Vorladungen, Offenlegungsaufforderungen, Durchsuchungsbefehle oder Gerichtsbeschlüsse) ordnungsgemäß von einem zuständigen US-Gericht nostrifiziert und in Übereinstimmung mit den geltenden bundes- und/oder einzelstaatlichen Verfahrensregeln eingeleitet werden muss, bevor Mailchimp reagiert.
• Mailchimp akzeptiert keine direkten Anfragen von staatlichen Stellen außerhalb der USA. Wir reagieren nur auf Anfragen ausländischer Behörden, die über ein Rechtshilfeabkommen oder andere verfügbare diplomatische oder legale Wege in der Absicht erfolgen, Informationen von Mailchimp einzuholen.

Im Einklang mit unserem Nachtrag zur Datenverarbeitung wird Mailchimp europäische Benutzer vorab schriftlich über obligatorische Anfragen zum Zugriff auf ihre Daten informieren, es sei denn, dass dies uns gesetzlich untersagt ist.

Veröffentlicht Mailchimp Transparenzberichte über Informationsanfragen?

Um unser Engagement für den Datenschutz und unser Bemühen um größtmögliche Transparenz zu demonstrieren, veröffentlicht Mailchimp nun jährliche Transparenzberichte, um die Anzahl und Art der bei uns eingehenden rechtlichen Anfragen zu dokumentieren. Zwar gelten Einschränkungen im Hinblick auf den Detaillierungsgrad, den wir bereitstellen können, wir bemühen uns jedoch, in allen diesen Berichten so transparent wie möglich zu sein.

Erhält Mailchimp Informationsanfragen von US-Behörden?

Im Mittelpunkt des jüngsten EuGH-Urteils (und einer der Hauptgründe für die Aufhebung des Datenschutzschildes) stand die Besorgnis über die nationalen Geheimdienst- und Überwachungsprogramme der USA gemäß Section 702, auch FISA Amendments Act genannt, und gemäß Executive Order 12333. In der Regel gewährt Mailchimp staatlichen Stellen oder Behörden (einschließlich Strafverfolgungsbehörden) nicht freiwillig Zugang zu Mailchimp-Accounts oder Informationen darüber.

Als B2B-E-Mail-Marketing-Plattform und damit als „elektronischer Kommunikationsdienst“ gehört Mailchimp jedoch, wie fast alle US-Cloud-Service-Anbieter, zu einer Unternehmenskategorie, für die US-Behörden formal befugt sind, FISA-Direktiven gemäß Section 702 zu erlassen oder gemäß EO 12333 nachrichtendienstliche Informationen zu sammeln. Das bedeutet, dass genau genommen Mailchimp solche Arten von obligatorischen Informationsanfragen zugestellt werden können.

Unsere jährlichen Transparenzberichte dokumentieren die limitierte Anzahl und die spezifischen Arten der rechtlichen Anfragen, die Mailchimp erhalten hat. Wie oben erläutert, verfügen wir außerdem über strenge Richtlinien und Prozesse zur Beantwortung von Informationsanfragen von Strafverfolgungsbehörden.

Kann ich die Standardvertragsklauseln der EU mit Mailchimp umsetzen?

Die Standardvertragsklauseln („Standard Contractual Clauses, SCCs“) werden direkt in unseren Nachtrag zur Datenverarbeitung (Data Processing Addendum, DPA) aufgenommen, der automatisch Teil unserer Standard-Nutzungsbedingungen (unserer Vertrag mit dir) ist und für Kundendaten gilt, die durch europäische Datenschutzgesetze (einschließlich der DSGVO) geschützt sind.