Ideen für eine alternative Anschrift
Vorschläge für alternative Möglichkeiten, um gemäß dem CAN-SPAM Act eine Anschrift für deine E-Mail-Kampagnen anzugeben.
Hol dir Hilfe von Experten
Von Schulungen bis hin zum Full-Service-Marketing: Unsere Partnercommunity kann dir dabei helfen, deine Ideen in die Tat umzusetzen.
Wenn du ein/e Benutzer*in bist, der/die im Europäischen Wirtschaftsraum (EWR), im Vereinigten Königreich oder in der Schweiz ansässig ist (die wir zusammenfassend als „Europa“ bezeichnen), oder wenn du unsere Plattform nutzt, um Daten über deine Kontakte in Europa zu verarbeiten, wurde unser Nachtrag zur Datenverarbeitung (Data Processing Addendum, DPA) erstellt, um dir die Übertragung europäischer personenbezogener Daten an Mailchimp in die Vereinigten Staaten zu ermöglichen und Mailchimp die rechtmäßige Verarbeitung dieser Daten in deinem Namen zu gestatten.
Da wir jetzt zu Intuit gehören, haben wir außerdem unsere weltweite Datenschutzerklärung, unsere Standard-Nutzungsbedingungen, die zusätzlichen Bedingungen und den Nachtrag zur Datenverarbeitung mit Wirksamkeit zum 10. Januar 2022 aktualisiert.
Der DPA ist direkt in unsere Standard-Nutzungsbedingungen integriert und erfordert daher keine Unterschrift. Durch die Nutzung von Mailchimp bzw. die Anmeldung für ein Konto stimmst du diesen Bedingungen zu. Gemäß den Standard-Nutzungsbedingungen und dem Nachtrag zur Datenverarbeitung von Mailchimp verpflichtet sich jede/r Benutzer*in zur Einhaltung aller geltenden Gesetze.
Mailchimp hat seine Compliance mit dem EU-US Privacy Shield Framework und dem Swiss-US Privacy Shield Framework seit 2016 zertifiziert.
Am 16. Juli 2020 hat Europas höchstes Gericht (der EuGH) das EU-US Privacy Shield für ungültig erklärt. Darüber hinaus hat die Schweizer Datenschutzbehörde am 8. September 2020 in einer Stellungnahme bekannt gegeben, dass sie das Swiss-US Privacy Shield für die Zwecke der Übermittlung personenbezogener Daten aus der Schweiz in die USA nicht mehr für angemessen hält.
Mailchimp wird jedoch weiterhin Daten aus Europa gemäß den Privacy Shield-Grundsätzen schützen, für die die Compliance zertifiziert wurde. Weitere Einzelheiten findest du in unserer weltweiten Datenschutzerklärung.
Darüber hinaus verpflichtet sich Mailchimp vertraglich, alle europäischen Daten seiner Benutzer*innen in Übereinstimmung mit den Standard Contractual Clauses (die „SCCs“, dt. Standard-Vertragsklauseln) zu übertragen und zu verarbeiten, die unseren Benutzern weiterhin die Möglichkeit geben, Daten, die den europäischen Datenschutzgesetzen (einschließlich der DSGVO) unterliegen, rechtmäßig außerhalb Europas an Mailchimp in die USA zu übertragen. Die SCCs gelten automatisch gemäß dem Nachtrag zur Datenverarbeitung von Mailchimp.
Wir haben kürzlich unseren Nachtrag zur Datenverarbeitung aktualisiert, um sicherzustellen, dass er die neuen SCCs enthält, die von der Europäischen Kommission am 4. Juni 2021 übernommen wurden. Die neuen SCCs gelten automatisch für alle Benutzerinnen, die unseren Service seit dem 27. September 2021 verwenden, und für alle anderen Benutzerinnen ab dem 27. Dezember 2022. Dies steht im Einklang mit dem Durchführungsbeschluss der EU-Kommission vom 4. Juni 2021, der die neuen SCCs begleitet.
Wir wissen, dass einige unserer Benutzer möglicherweise Fragen zur Compliance bei Datenübertragungen haben, einschließlich der Auswirkungen des EuGH-Urteils von 2020 zu Datenübertragungen und der Annahme der neuen SCCs durch die Europäische Kommission am 4. Juni 2021. In diesem Abschnitt findest du einige häufig gestellte Fragen und Antworten.
Am 16. Juli 2020 hat der EuGH das EU-US Datenschutzschild für ungültig erklärt. Dies war eine Möglichkeit für Unternehmen, Daten legal aus Europa in die USA zu übertragen. Gleichzeitig bestätigte der EuGH, dass Standardvertragsklauseln (Standard Contractual Clauses, SCCs) weiterhin ein gültiger Mechanismus für Unternehmen zur Übertragung personenbezogener Daten in Länder außerhalb Europas sind.
Der EuGH stellte jedoch fest, dass der Datenexporteur und der Datenimporteur zusätzlich zur Einhaltung der SCC möglicherweise ergänzende Maßnahmen vereinbaren müssen, um ein angemessenes Schutzniveau für die übertragenen Daten zu gewährleisten. Nach der Entscheidung des EuGH veröffentlichte der Europäische Datenschutzausschuss seine Empfehlungen zu ergänzenden Maßnahmen, die den für die Verarbeitung Verantwortlichen und den Auftragsverarbeitern, die als Datenexporteure tätig sind, bei der Erfüllung ihrer Pflichten helfen sollen. Dazu gehören die Ermittlung und Umsetzung geeigneter Zusatzmaßnahmen, wo diese erforderlich sind, und die Gewährleistung eines im Wesentlichen gleichwertigen Schutzniveaus für die Daten, die sie ins außereuropäische Ausland übertragen.
Unsere Benutzer können weiterhin europäische Daten an Mailchimp in die USA übertragen. Wir wussten, dass das Urteil des EuGH, so wie es letztendlich ausfiel, durchaus im Rahmen des Möglichen lag. Daher bieten wir unseren Benutzer im Rahmen unseres Nachtrags zur Datenverarbeitung seit langem Schutz auf zwei Ebenen für Datenübertragungen aus Europa in die USA an: die Einhaltung des EU-US Datenschutzschildes und der SCCs.
Im Rahmens des Urteils des EuGH wurde das EU-US Datenschutzschild zwar für ungültig erklärt, nicht aber die SCCs, die weiterhin ein gültiger Datenexportmechanismus sind. Unsere Vereinbarungen sind so strukturiert, dass die SCCs automatisch wirksam werden, sodass unsere Benutzer unmittelbar nach dem Urteil durch die SCCs geschützt waren. Darüber hinaus werden wir auch weiterhin unseren Verpflichtungen zum Schutz von Daten aus Europa gemäß den Grundsätzen des Datenschutzschildes nachkommen.
Ja. Der Hauptsitz von Mailchimp und unsere Server befinden sich in den Vereinigten Staaten. Dies bedeutet, dass von uns verarbeitete Daten eventuell in die USA übermittelt und dort gespeichert oder verarbeitet werden. Darüber hinaus nutzen wir die Dienste von Drittanbietern, die personenbezogene Daten in unserem Auftrag verarbeiten, um Dienstleistungen für Mailchimp zu erbringen, und deren Server sich möglicherweise außerhalb Europas befinden.
Hier findest du eine vollständige Liste der Unterauftragsverarbeiter, die wir mit der Verarbeitung der Daten unserer Mitglieder beauftragen, zusammen mit Angaben zu ihren Standorten. Wir ergreifen Maßnahmen, um sicherzustellen, dass unsere Anbieter angemessene Sicherheitsvorkehrungen zum Schutz personenbezogener Daten bieten, die sie in unserem Auftrag verarbeiten und verpflichten sie vertraglich dazu, diese Daten in Übereinstimmung mit den geltenden Datenschutzgesetzen zu verarbeiten.
Mailchimp hat eine Reihe von Maßnahmen ergriffen, um sicherzustellen, dass Daten aus Europa bei der Übertragung in Länder außerhalb Europas geschützt bleiben.
Vertragliche Verpflichtungen
Neben der Einbeziehung der SCCs enthält unser Nachtrag zur Datenverarbeitung auch unsere Verpflichtungen zu Sicherheit, Vertraulichkeit der Verarbeitung, Beschränkungen bei internationalen Übermittlungen personenbezogener Daten, Kooperation in Bezug auf die Rechte der Betroffenen, Benachrichtigungen über Sicherheitsvorfälle und mehr.
Wichtig ist, dass Mailchimp keine Benutzerdaten verkauft, vermietet oder handelt.
Sicherheitsmaßnahmen
Mailchimp legt größten Wert auf den Schutz und die Sicherheit der Daten seiner Benutzer. Unser Sicherheits- und Datenschutzprogramm wird auf unserer Sicherheitsseite ausführlich beschrieben.
Hier findest du eine Zusammenfassung einiger wichtiger und spezifischer technischer und organisatorischer Maßnahmen, die wir zum Schutz vor unberechtigtem Zugriff auf Benutzerdaten implementiert haben (und weiterhin implementieren werden):
(1) Verschlüsselung
Mailchimp hat, soweit technisch möglich, in seiner gesamten Infrastruktur Verschlüsselungstechnologien implementiert, um Benutzerdaten vor unbefugtem Zugriff zu schützen, wenn diese von Mailchimp intern verarbeitet werden. So wird beispielsweise auf allen Mailchimp-Produktionsseiten Transport Layer Security (TLS) verwendet und für das interne drahtlose Netzwerk von Mailchimp wird eine 128bit WPA2-Verschlüsselung verwendet. Außerdem werden Mailchimp-E-Mails (256 Bit), alle VPN-Verbindungen (256 Bit) und die interne Chat-Anwendung (256 Bit) ebenfalls verschlüsselt. Anmeldeseiten verwenden TLS und sind vor Brute-Force-Angriffen geschützt. Dies gilt auch für mobile Mailchimp-Apps und die Mailchimp-API.
(2) Zugriffskontrollen
Mailchimp beschränkt den Zugriff Dritter auf seine internen Tools und Infrastrukturen. Unsere Rechtsabteilung prüft alle Zugriffsanfragen, stellt sicher, dass die Anfrage für die durchzuführende Aufgabe angemessen ist und dass Dritte sämtliche Sicherheits- und Datenschutzbestimmungen einhalten, die in ihrem Vertrag festgelegt sind. Nach der Genehmigung gewährt Mailchimp nur über kontrollierte Accounts Zugriff auf eindeutig festgelegte Bereiche des Systems.
Mailchimp verpflichtet sich weiterhin, ein Höchstmaß an Datenschutz und Sicherheit für unsere Benutzer zu gewährleisten. Wenn du Fragen zu unserem Sicherheits- und Datenschutzprogramm hast, sende deine Fragen bitte hier.
Anbieterverträge
Wir ergreifen alle erforderlichen Maßnahmen, um sicherzustellen, dass unsere Verträge mit unseren internationalen Drittanbietern (einschließlich Unterauftragsverarbeitern) angemessene Verpflichtungen dieser Dritten in Bezug auf die Übertragung und Verarbeitung europäischer Daten außerhalb Europas enthalten und dass wir einen angemessenen und rechtmäßigen Datenübertragungsmechanismus (wie beispielsweise die Standardvertragsklauseln) und gegebenenfalls zusätzliche Schutzmaßnahmen einführen. Es sind aktuelle Angaben zu den Unterauftragsverarbeitern, die wir verwenden, um die Daten unserer Mitglieder zu verarbeiten, verfügbar.
Datenschutzschild
Wir verlassen uns nicht mehr auf das Datenschutzschild als Übertragungsmechanismus für Datenübertragungen, da die Datenschutzschilder zwischen der EU und den USA sowie der Schweiz und den USA aufgrund des jüngsten EuGH-Urteils in der Sache Schrems II nicht mehr gültig sind. Soweit Mailchimp jedoch weiterhin Verpflichtungen gemäß unserer bestehenden Datenschutzrichtlinien hat, werden wir diese einhalten, einschließlich der Wahrung direkter Rechtsbehelfe, die Betroffenen gegenüber Mailchimp zustehen. Hierzu zählt das Recht, ein verbindliches Schiedsverfahren in Anspruch zu nehmen.
Wir prüfen alle Informationsanfragen sorgfältig und stellen Dritten grundsätzlich keine Informationen über einen Account zur Verfügung, der ihnen nicht gehört, es sei denn, dass wir gesetzlich dazu verpflichtet sind. Das bedeutet, dass wir nur auf eine gültige gerichtliche Anordnung, eine Vorladung, einen Durchsuchungsbefehl oder andere angemessene Rechtsverfahren reagieren, für die Informationen und Aufzeichnungen von einem Mailchimp-Account erforderlich sind. Mailchimp wendet bestimmte Richtlinien an, wenn es um die Beantwortung von Informationsanfragen geht, unabhängig davon, ob diese von einer staatlichen oder nichtstaatlichen Stelle stammen:
Im Einklang mit unserem Nachtrag zur Datenverarbeitung wird Mailchimp europäische Benutzer vorab schriftlich über obligatorische Anfragen zum Zugriff auf ihre Daten informieren, es sei denn, dass dies uns gesetzlich untersagt ist.
Um unser Engagement für den Datenschutz und unser Bemühen um größtmögliche Transparenz zu demonstrieren, veröffentlicht Mailchimp nun jährliche Transparenzberichte, um die Anzahl und Art der bei uns eingehenden rechtlichen Anfragen zu dokumentieren. Zwar gelten Einschränkungen im Hinblick auf den Detaillierungsgrad, den wir bereitstellen können, wir bemühen uns jedoch, in allen diesen Berichten so transparent wie möglich zu sein.
Im Mittelpunkt des jüngsten EuGH-Urteils (und einer der Hauptgründe für die Aufhebung des Datenschutzschildes) stand die Besorgnis über die nationalen Geheimdienst- und Überwachungsprogramme der USA gemäß Section 702, auch FISA Amendments Act genannt, und gemäß Executive Order 12333. In der Regel gewährt Mailchimp staatlichen Stellen oder Behörden (einschließlich Strafverfolgungsbehörden) nicht freiwillig Zugang zu Mailchimp-Accounts oder Informationen darüber.
Als B2B-E-Mail-Marketing-Plattform und damit als „elektronischer Kommunikationsdienst“ gehört Mailchimp jedoch, wie fast alle US-Cloud-Service-Anbieter, zu einer Unternehmenskategorie, für die US-Behörden formal befugt sind, FISA-Direktiven gemäß Section 702 zu erlassen oder gemäß EO 12333 nachrichtendienstliche Informationen zu sammeln. Das bedeutet, dass genau genommen Mailchimp solche Arten von obligatorischen Informationsanfragen zugestellt werden können.
Unsere jährlichen Transparenzberichte dokumentieren die limitierte Anzahl und die spezifischen Arten der rechtlichen Anfragen, die Mailchimp erhalten hat. Wie oben erläutert, verfügen wir außerdem über strenge Richtlinien und Prozesse zur Beantwortung von Informationsanfragen von Strafverfolgungsbehörden.
Die Standardvertragsklauseln (Standard Contract Clauses, SCCs) der EU sind in unseren Nachtrag zur Datenverarbeitung (Data Processing Addendum, DPA) integriert, der automatisch Teil unserer Standard-Nutzungsbedingungen (unser Vertrag mit dir) wird und für Kundendaten gilt, die durch europäische Datenschutzgesetze (einschließlich der DSGVO) geschützt sind.
Technischer Support
Wir sind hier, um dir zu helfen
Wenn du Fragen zu deinem Account hast, wende dich an unser Support-Team.
Vorschläge für alternative Möglichkeiten, um gemäß dem CAN-SPAM Act eine Anschrift für deine E-Mail-Kampagnen anzugeben.