Ist Wildmail DSGVO-konform?

Ist Wildmail DSGVO-konform?

Wildmail ist ein Newsletter-Dienstleister, der im Auftrag E-Mails zustellt. Ähnlich wie ein Postbote Briefe zustellt.

Wildmail präsentiert sich als europäische Alternative zu ActiveCampaign und hat seinen Firmensitz in Barcelona. Doch hinter den Kulissen verbirgt sich eine interessante Tatsache: Wildmail ist tatsächlich nur ein Reseller von der US-Unternehmens ActiveCampaign und nutzt deren Infrastruktur.
Nun stellt sich die interessante Frage: Ist Wildmail DSGVO-konform?



Worum gehts?

Wer einen Newsletter anbieten möchte, der sucht sich dafür einen guten Dienstleister, der das Massenmailing für einen übernimmt. Möchte man über das reine Info-Mailing hinaus Mails verschicken, zum Beispiel um automatisiert neue Abonnierende zu begrüßen oder um Verkäufe damit automatisiert durchzuführen, der landet schnell bei Anbietern vom US-Markt, wie z. B. MailChimp oder ActiveCampaign.
Hinsichtlich MailChimp hatte die bayerische Aufsichtsbehörde in einem Verfahren den Einsatz als rechtswidrig eingestuft. Hintergrund war die Übermittlung der personenbezogenen Daten in ein datenschutzrechtlich unsicheres Drittland.

Möchte man datenschutzrechtliche Probleme vermeiden, so lässt man besser die Finger von US-Anbietern und sucht sich eine europäische Alternative. Zumindest, solange die Problematik um den Datentransfer in die USA nicht geklärt ist.

Update:

Inzwischen wurde der Angemessenheitsbeschluss der EU-Kommission verabschiedet, welcher den USA ein der EU gleichwertiges Datenschutzniveau attestiert. Ob dieser letztlich auch vor dem EuGH Bestand hält, wird sich zeigen.

Hierzu gibt es einige, wenn auch mit unterschiedlichem Funktionsumfang.

Sind die Anforderungen höher, komplexer und soll vor allem automatisiert gearbeitet werden, so wird die Auswahl an europäischen Dienstleistern schon dünner.

Du möchtest wissen, was beim Versand von Newslettern zu beachten ist? Dann schau dir meinen Blog-Beitrag hierzu an:

Umso neugieriger war ich, als eine Mandantin ich fragte:
„Ist Wildmail DSGVO-konform?“

„Wild… wer?“

„Na das deutsche ActiveCampaign …“

Zugegeben, ich kannte Wildmail bis dahin noch nicht. Mittlerweile wurde ich wiederholt auf diesen Anbieter angesprochen. Ich habe mir die Zeit genommen, Wildmail mal in Ruhe anzuschauen. Auch, weil ich bei dem Stichwort „deutsche Alternative …“ selber neugierig geworden bin.

Wer steckt hinter Wildmail?

Meine erste Recherche führte mich auf die Website von Wildmail.

Auf der Startseite stand groß: „Die europäische Alternative zu Active Campaign“.

Okay, denke ich mir: DAS klingt vielversprechend. Endlich mal einen europäischen Anbieter als Gegenpol zu den Großen aus den USA. ‚Das macht die Prüfung doch einfacher‘, denke ich mir. Doch zu früh gefreut.

Erste Anlaufstelle: Die Website

Um mehr über einen Dienstleister herauszufinden, schaue ich mir als Jurist die rechtlich verpflichtenden Unterseiten an: Impressum und Datenschutzhinweise sind da meine Freunde.
Für den bleibenden ersten Eindruck schaue ich auch auf dort besonders auf Struktur und Transparenz.

Dabei gehe ich nach folgendem Schema vor:

Erster Schritt:
→ gucken, wo der Unternehmenssitz ist. Daraus kann ich ableiten: Welches Recht ist anwendbar. DSGVO oder wird’s komplexer?

Zweiter Schritt:
→ Datenschutzhinweise auf Struktur/Übersichtlichkeit screenen für einen ersten Eindruck. Danach in die AVV schauen. Erst oberflächlich. Bei Auffälligkeiten, genauer hingucken.

Die Website befand sich offenbar gerade in der Bearbeitung, denn ein Impressum suchte ich vergeblich.

Ebenso die Datenschutzhinweise. Kein gutes Zeichen.

Erster Eindruck der Website

Keine Datenschutzhinweise, kein Impressum. Auftragsverarbeitungsvereinbarung (AVV) nur auf Anfrage …

[Inzwischen sind diese Unterseiten auf der Website von Wildmail nach einem Hinweis von mir zu finden.]

Nachfrage per Mail

Also fragte ich per E-Mail nach und erhielt auch prompt eine Antwort mit einer AVV als PDF in Anhang.

Cool.

Dann entdecke ich noch ein weiteres Dokument im Anhang. Ein Dokument namens „Wild Audience – Standard Contractual Clauses“.

Komisch, denke ich, die Standard Contractual Clauses (SCC; Standarddatenschutzklauseln auf deutsch) sind doch für Datenexporte in unsichere Drittländer gedacht.

Der Reihe nach:

Die AVV vom 17. Juni 2021

Die vorunterzeichnete Auftragsverarbeitungsvereinbarung (AVV) mit dem Titel „Wild Audience Data Processing Addendum“ ist auf Englisch abgefasst und wirkt mit 4 Seiten auf den ersten Blick schlank. Kann man machen, überrascht mich allerdings etwas.

Unternehmenssitz dieser europäischen Alternative?

In der AVV (auf Englisch DPA genannt) finde ich zu meinem Überraschen ~keine~ Firmenadresse. Eine Unterschrift mit dem Zusatz „CEO“ von „Wild Audience S.L.“ beendet das Dokument. Keine Anlage 1 mit Unterauftragnehmern, keine Anlage 2 mit den technischen organisatorischen Maßnahmen.

Es tun sich mehr Fragen auf:
Wer ist denn jetzt auf einmal Wild Audience? Ich dachte, ich schreibe mit Wildmail?
Wie sich später aufklärt, ist Wildmail ein Teil bzw. ein Produkt von Wild Audience. Okay, fair enough. Wildmail gehört also zu Wild Audience.

Die Ausgangsfrage, ob Wildmail DSGVO-konform ist, bleibt:
Wo sitzt der denn mein Vertragspartner überhaupt? Wie erreiche ich den im Zweifel, um mir zu helfen? Was passiert mit den Daten? Wo werden diese verarbeitet? Und falls ich gegen ihn selber Ansprüche durchsetzen möchte, wo schick ich die Post hin?

Warum ist das wichtig?
Weil ich als Verantwortlicher nach Art. 28 Abs. 1 DSGVO die Pflicht habe, nur mit sorgfältig ausgewählten Auftragsverarbeitern zusammenzuarbeiten. Außerdem bin ich, wie der Name es schon sagt, nach außen hin verantwortlich für das, was da passiert.

Hinweise auf Datenexport in der AVV

Ich schaue mir jedenfalls die AVV genauer an und finde Formulierungen, die den Verdacht aufkommen lassen, dass hier personenbezogene Daten außerhalb der EU verarbeitet werden.

Ich bin verwundert.
Lese genauer:

„3. Company Responsibilities
(b) Process Personal Information in accordance with laws, rules, and regulations that apply to Company’s provision, and Client’s use, of the Services, including the General Data Protection Regulation (EU) 2016/679 (GDPR) and the ~California Consumer Privacy Act (CCPA)~ (collectively, Applicable Law);“

Hä? Wieso soll denn das kalifornische Datenschutzrecht Anwendung finden? Ich denke, mein Vertragspartner ist eine ‚europäische ALTERNATIVE‘?

Es geht weiter:

„5. Data Transfer
(a) Company has certified its compliance to the EU-U.S. and Swiss-U.S. Privacy Shield Framework Principles (collectively, the Principles) with the U.S. Department of Commerce (the Department)“

Jetzt wird’s wild, würde mein alter Ausbilder sagen.
Warum bitte, ist das Unternehmen unter dem Privacy Shield zertifiziert? Diese Abkommen wurde von EuGH für rechtswidrig erklärt, weil es keine hinreichenden Sicherheiten für den Datentransfer in die USA bietet (vereinfacht gesagt).
Wenn ich aber Wildmail als europäische Alternative nutzen möchte, dann will ich dieses ganze Kapitel „Datentransfer in die USA“ gerade vermeiden.

Ich kann nicht mehr. Ich platze vor Neugier: Wo werden die personenbezogenen Daten denn nun verarbeitet? In der EU oder außerhalb der EU?

Normalerweise finde ich die Antwort darauf in der Anlage 1 oder Anlage 2 zur AVV. Dort wird üblicherweise auf evtl. Sub-Dienstleister hingewiesen, die bei der Auftragserfüllung des Auftragsverarbeiters mithelfen. Sub-Sub-Unternehmen also.
Ganz typisch: Hosting-Anbieter, die große Rechenzentren zur Verfügung stellen.

Der Knackpunkt: Es gibt keine Anlagen in der AVV, vielmehr wurde mir ein weiteres Dokument per E-Mail mitgeschickt: Standarddatenschutzklauseln, auch Standard Contractual Clauses (SCC) genannt.

Standarddatenschutzklauseln

Die sogenannten Standarddatenschutzklauseln sind derzeit die rechtliche Brücke, wenn es darum geht, den Datentransfer in ein datenschutzrechtliches unsicheres Drittland rechtlich zu ermöglichen.

Eigentlich überflüssig, weil ich bzw. meine Mandantin hat ihren Sitz in der EU und Wildmail (wie sie mir auf Nachfrage bestätigten) ebenso. Alles EU. Alles DSGVO-Bereich. Ein Gesetz für alle in der EU, nämlich die Europäische Datenschutzgrundverordnung (DSGVO).

Daher bräuchte es dieses ganze Dokument (Standarddatenschutzklauseln) gar nicht.

Ich schaue mir das Dokument trotzdem an.
Hier ist Wildmail tatsächlich als Data Importeur gelistet bzw. wurde an dieser Stelle unterzeichnet.

Dies lässt folgenden Schluss zu:
Wildmail hat seinen Unternehmenssitz außerhalb der DSGVO. So wie es Active Campaign, MailChimp &Co haben. Sie sitzen in einem unsicheren Drittland (wie z. B. den USA) und sind rechtlich gesehen Datenimporteure.

Datenexporteur wäre demnach der Nutzer des Dienstes. Also meine Mandantin, oder falls ich den Dienst buche: dann ich.

Ich will kein Datenexporteur sein. Meine Mandantin auch nicht.

Was ist komisch?

Nun ja, Wildmail schreibt selbst in den Vertrag, sie sitzen in Spanien, also in der EU. Da gibt es nichts zu exportieren. Zumindest nicht zwischen Wildmail und dem Nutzer. Punkt. Beide sitzen in der EU. Punkt.

Es sei denn …

… Wildmail verarbeitet gar nicht selber, sondern in Wahrheit steckt da ein anderes Unternehmen dahinter. Ein Unternehmen, das seinen Sitz in den USA hat, sodass die personenbezogenen Daten auch in die USA fließen.

Nachfrage bei Wildmail

Ich habe nachgefragt.
Man bestätigt mir, Wildmail bzw. WildAudience haben ihren offiziellen Unternehmenssitz in Spanien, Barcelona.

Um die Kommunikation effektiver zu gestalten, bitte ich, mit dem Datenschutzbeauftragten direkt sprechen zu dürfen. Das ist meiner Erfahrung nach deutlich zielführender.

Ich teile mein Informationsbedürfnis mit und bitte um die Anlage 1 und 2 der AVV (Unterauftragnehmer und technisch-organisatorische Maßnahmen), weil ich immer noch nicht verstanden habe, wo konkret die Daten jetzt verarbeitet werden, von wem und wie sie geschützt werden.

Wer es rechtlich genau wissen will:

Sind keine Unterauftragnehmer in der AVV aufgeführt, darf ich gem. Art. 28 Abs. 2 S. 2 DSGVO davon ausgehen, dass ich über neue informiert werde.

Art. 28 Abs. 2 S. 2 DSGVO

Konkret frage ich nach:

„According to number 4 of your DPA, there is a general authorization about sub-controllers.
The GDPR says in Art. 28 (2) S.2:

‚In the case of general written authorisation, the processor shall inform the controller of any intended changes concerning the addition or replacement of other processors, thereby giving the controller the opportunity to object to such changes.‘

As there are no sub-processors listet in an appendix of the DPA, I assume, there will be no sub-processors used as no further information is provided.“

Ich erhalte folgende Antwort:

„Wild Audience S.L. is an official reseller of ActiveCampaign and the biggest reseller in Germany. We provide additional value & premium support on top.

~The data inside ActiveCampaign is stored with ActiveCampaign, not with Wild Audience SL. ActiveCampaign currently stores the data in the US but very soon a new data center in Germany will open.~ I don’t know the exact opening date but it will happen soon.“

Damit wäre das Geheimnis gelüftet. Die Daten werden bei ActiveCampaign gespeichert, nicht bei Wildmail selber.

Datenschutzrechtliche Bewertung

Fragt sich nun, wie ist das Ganze aus datenschutzrechtlicher Sicht zu beurteilen?

Fakt ist, Vertragspartner zum Nutzer ist Wildmail.
Fakt ist, Wildmail hat seinen Sitz in der EU und unterfällt damit der DSGVO.
Fakt ist, Wildmail hat offensichtlich einen Resellervertrag mit ActiveCampaign.
Fakt ist, es ist Wildmail, die die personenbezogenen Daten an ActiveCampaign übermitteln. Der Vertrag ist mit Wildmail geschlossen, nicht mit ActiveCampaign!

Damit lässt sich festhalten, dass der eigentliche Datenexporteur Wildmail ist.
Man kann nur hoffen, dass Wildmail mit ActiveCampaign gültige Standarddatenschutzklauseln abgeschlossen hat.

Wie findet man das heraus?

Man fragt freundlich nach der sogenannten Datenschutzfolgenabschätzung für den Datenexport. In Fachkreisen auch unter Transfer Impact Assessment (TIA) bekannt. Denn die von EU bereitgestellten Standarddatenschutzklauseln verpflichten den Datenexporteur zur Vornahme einer TIA. Papier ist bekanntlich geduldig und der Datenexporteur soll sich zusätzlich vergewissern, dass es weitere Sicherungsmaßnahmen gibt, um den Datenschutz einzuhalten.

Warum muss ich mich kümmern, was Wildmail anstellt?

Weil ich als Nutzer von Wildmail die verantwortliche Stelle im Sinne der DSGVO bin und im Zweifel das Bußgeld kassiere.

Außerdem habe ich eine sogenannte sekundäre Prüfpflicht aus Art. 28 Abs. 1 DSGVO. Demnach ist der Verantwortliche verpflichtet, nur mit Auftragsverarbeitern zusammenzuarbeiten, die hinreichend Garantien dafür bieten, dass die DSGVO eingehalten wird.

Ein TIA, eine Whitepaper zur Compliance, Zertifizierungen etc. wären da extrem hilfreich.

Erneute Nachfrage bei Wildmail

Ich frage im Mai 2023 erneut bei Wildmail nach, denn sie hatten ja angekündigt ein Rechenzentrum in Deutschland in Betrieb nehmen zu wollen. Das würde die datenschutzrechtliche Bewertung vereinfachen:

„How will Wild Audience ensure that there will be no transfer of personal data outside of the EU?
Will any personal data be shared with Active Campaign?“

Knapp zwei Monate später (Ende Juni 2023) erhalte ich folgende Antwort:

„… I am sorry for a delayed response. Unfortunately, we need more time to answer your questions. 

In the meanwhile, I can only refer you to:

Fazit

Europäisch auf der Packung gelabelt, tatsächlich steckt amerikanisch drin.

Wildmail gibt sich zwar als europäische Alternative zu Active Campaign aus, ist jedoch nur ein Reseller und nutzt deren Infrastruktur. Da Wildmail die Daten in die USA exportiert, ergeben sich datenschutzrechtliche Bedenken. Nutzer sollten daher sorgfältig abwägen und prüfen, ob sie bereit sind, die damit verbundenen Risiken einzugehen. Wer seinen Pflichten zur datenschutzkonformen Nutzung gewissenhaft nachkommen möchte, der findet in Wildmail gegenwärtig noch nicht den optimalen Partner.

Auch wenn Wildmail in seiner Informationspflicht nachgebessert hat und mittlerweile deutlich mehr Hinweise zur Verfügung stellt, bleiben gegenwärtig noch einige Fragen offen, die einen datenschutzsicheren Einsatz möglich machen würden.

Es bleibt zu hoffen, dass Wildmail seine datenschutzrechtlichen Prozesse weiter vorantreibt und bald ein Rechenzentrum in Europa in Betrieb nimmt, ohne dass Konzerne aus den USA darauf Zugriff haben. Oder, dass es bald den lang ersehnten Angemessenheitsbeschluss der EU-Kommission gibt, der den USA ein datenschutzsicheres Niveau attestiert.

Update: Angemessenheitsbeschluss ist da. Vorerst. Mal schauen wie lange.

https://onlinerechthaben.de/sicherheit-im-datenschutz-durch-den-angemessenheitsbeschluss-eu-usa-das-trans-atlantic-data-privacy-framework-tadpf/

Ist Wildmail also DSGVO-konform?
Vielleicht, wenn Wildmail mehr Informationen bereitstellen würde. Eine abschließende datenschutzrechtliche Prüfung war aufgrund der fehlenden Dokumente leider nicht möglich.

Hierzu führte Wildmail in seiner letzten Mail wie folgt aus:

„If our policies do not meet your requirements, I’d suggest not to recommend Wild Mail to your clients right now. 

We do have a lot of German clients and so far they have not mentioned any problems in regards to our policies to us. But we are currently working on improving our policies and we hope to answer your questions in the near future.“

Schade Wildmail. Vielleicht auf bald.

Ist Wildmail DSGVO-konform?

„Datenschutz macht Spaß.
Denn bei mir bekommst du Datenschutz mit Humor.
Praxisnah?
Na logo!“


Johannes Rauchfuss,
Rechtsanwalt für Datenschutz