simon erklaert . com

Mailchimp DSGVO: Die unbequeme Wahrheit für deutsche Nutzer

Du nutzt Mailchimp und fragst dich, ob das legal ist? Die Antwort ist komplizierter als ein einfaches Ja oder Nein. Serverstandort USA, FISA 702, das BayLDA-Urteil – wir klären auf, was du wissen und tun musst.

· 7 Min. Lesezeit
Rechtliches Tools Vergleich
Deine Branche:
Gilt für alle Artikel

Transparenz

Alle rechtlichen Einschätzungen basieren auf öffentlich zugänglichen Quellen (BayLDA, EU-Kommission, DSGVO-Text). Dies ist keine Rechtsberatung. Für verbindliche Auskünfte wende dich an einen spezialisierten Anwalt.

2021 hat das BayLDA einem Unternehmen die Nutzung von Mailchimp untersagt. FISA 702 bleibt aktiv. Und du fragst dich: Ist Mailchimp DSGVO-konform? Die ehrliche Antwort: Es ist kompliziert. Mailchimp hat Schritte unternommen, aber der Serverstandort USA bleibt ein strukturelles Risiko.

KriteriumMailchimpEU-Alternative
ServerstandortUSA (problematisch)EU
RechtsgrundlageEU-US Data Privacy FrameworkDSGVO nativ
FISA 702 ZugriffMöglich (US-Gesetz)Nicht anwendbar
Double Opt-InOptional (Risiko!)Standard
CSA-ZertifizierungNicht explizit beworbenVerfügbar

Du nutzt Mailchimp für dein deutsches Unternehmen und fragst dich, ob das legal ist? Du bist nicht allein. Seit dem Schrems-II-Urteil 2020 und der Einführung des EU-US Data Privacy Framework 2023 herrscht maximale Verwirrung.

Die kurze Version: Technisch ist Mailchimp nutzbar – aber du trägst das Risiko.

Mailchimp DSGVO: Das Kernproblem mit US-Servern

Mailchimp speichert Daten auf Servern in den USA. Das ist per se kein Verstoß gegen die DSGVO, aber es löst eine Kette von Problemen aus.

Der Foreign Intelligence Surveillance Act (FISA) Section 702:

FISA 702 erlaubt US-Geheimdiensten den Zugriff auf Daten von "Non-US Persons" bei US-Cloud-Anbietern – ohne richterlichen Beschluss. Das betrifft deine deutschen Kunden, deren E-Mail-Adressen bei Mailchimp liegen.

Warum ist das ein Problem?

Die DSGVO (Art. 44-49) verlangt, dass personenbezogene Daten in Drittländern ein "angemessenes Schutzniveau" genießen. FISA 702 untergräbt dieses Niveau nach Ansicht vieler Datenschutzexperten.

Das BayLDA-Urteil (2021)

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) untersagte 2021 einem Unternehmen die Nutzung von Mailchimp. Begründung: Unzureichender Schutz vor US-Behördenzugriff. Dieses Urteil wirkt bis heute nach und schafft Rechtsunsicherheit für alle Mailchimp-Nutzer in Deutschland.

Das EU-US Data Privacy Framework: Rettung oder Fassade?

Im Juli 2023 verabschiedete die EU-Kommission das EU-US Data Privacy Framework (DPF). Es soll Datentransfers in die USA wieder rechtssicher machen. Mailchimp beruft sich auf dieses Framework.

Aber:

  1. Klagen angekündigt: Die Datenschutzorganisation NOYB (Max Schrems) hat bereits angekündigt, auch dieses Abkommen anzufechten – wie schon Safe Harbor und Privacy Shield. Ein neues EuGH-Urteil könnte alles wieder kippen.
  2. Keine strukturelle Änderung: FISA 702 wurde nicht abgeschafft. Das Framework basiert auf Zusicherungen der US-Regierung, nicht auf Gesetzesänderungen.
  3. Deutsche DSBs skeptisch: Mehrere deutsche Landesdatenschutzbeauftragte empfehlen weiterhin, wo möglich auf EU-Anbieter auszuweichen.

Das bedeutet: Mailchimp ist aktuell legal nutzbar – aber auf wackeligem Fundament.

Die versteckten DSGVO-Fallen bei Mailchimp

Neben dem Serverstandort gibt es konkrete technische Fallstricke:

1. Double Opt-In ist nicht Standard

Bei Mailchimp ist Single Opt-In oft die Standardeinstellung. Du musst aktiv "Double Opt-In aktivieren" wählen. Vergisst du das, verstößt du gegen deutsche Anforderungen (§ 7 UWG, DSGVO Art. 6+7).

Bei deutschen Tools wie KlickTipp ist Double Opt-In der unveränderliche Standard – du kannst gar nicht erst versehentlich rechtlich angreifbar werden.

2. Kontaktdaten-Speicherung nach Abmeldung

Mailchimp speichert abgemeldete Kontakte ("Unsubscribed") standardmäßig weiter – und zählt sie je nach Tarif sogar zum Kontaktlimit. Aus DSGVO-Sicht (Art. 17 "Recht auf Löschung") ist das problematisch, wenn Nutzer explizit die Löschung verlangen.

3. Tracking und IP-Speicherung

Mailchimp speichert IP-Adressen beim Öffnen von E-Mails. Für DSGVO-Konformität solltest du dies in deiner Datenschutzerklärung offenlegen – was viele vergessen.

DSGVO ohne Risiko

Server in der EU, Double Opt-In als Standard, CSA-zertifiziert. 30 Tage Geld-zurück-Garantie.

🏆 ProvenExpert: 4,9/5 Sterne (über 1.500 Bewertungen) • 99% Empfehlungsrate ⭐ Google: 4,9/5 Sterne (über 750 Bewertungen) 📩 Testsieger 2024 für beste E-Mail-Zustellbarkeit (emailtooltester) 🇩🇪 Serverstandort Deutschland • DSGVO-konform • Geld-zurück-Garantie

Deutsche Alternative ansehen →

* Affiliate-Link – für dich entstehen keine Mehrkosten.

Was du konkret tun musst, wenn du Mailchimp nutzt

Falls du bei Mailchimp bleiben willst oder musst, sind diese Maßnahmen Pflicht:

1. Auftragsverarbeitungsvertrag (AVV) abschließen

Mailchimp bietet ein "Data Processing Addendum" (DPA). Du musst es aktiv akzeptieren und dokumentieren. Achtung: Das DPA ist auf US-Recht ausgelegt und enthält EU-Standardvertragsklauseln als "Add-on".

2. Transfer Impact Assessment (TIA) durchführen

Seit Schrems II empfehlen Behörden, bei US-Transfers eine Risikoanalyse zu dokumentieren. Du prüfst ob die übertragenen Daten von FISA 702 betroffen sein könnten. Spoiler: E-Mail-Marketing-Daten können betroffen sein.

3. Datenschutzerklärung aktualisieren

Du musst Mailchimp als Auftragsverarbeiter mit US-Serverstandort und Rechtsgrundlage (EU-US DPF) nennen. Viele Datenschutzerklärungen sind hier veraltet.

4. Double Opt-In aktivieren

In den Audience-Einstellungen: "Enable double opt-in" aktivieren. Test-Anmeldung durchführen und prüfen, ob Bestätigungsmail versendet wird.

5. Regelmäßige Kontakt-Hygiene

Abgemeldete und inaktive Kontakte archivieren/löschen. DSGVO Art. 5(1)(e): Daten dürfen nicht länger gespeichert werden als nötig.

Dokumentationspflicht

Dokumentiere alle DSGVO-Maßnahmen schriftlich (Art. 5(2) DSGVO Rechenschaftspflicht). Im Streitfall musst du nachweisen können, dass du aktiv Schutzmaßnahmen ergriffen hast.

Die sichere Alternative: EU-Anbieter

Der einfachste Weg zu DSGVO-Konformität? Ein Tool mit EU-Serverstandort wählen.

Vorteile deutscher/EU-Tools:

  • Keine FISA-702-Problematik
  • Kein Transfer Impact Assessment nötig
  • Deutschsprachiger Support versteht DSGVO
  • AVV auf deutsches Recht zugeschnitten
  • Double Opt-In als Standard

KlickTipp beispielsweise bietet:

  • Server in der EU
  • Kostenlose AVV (bereits DSGVO-optimiert)
  • CSA-Zertifizierung seit 2016 (bessere Zustellbarkeit bei deutschen Providern)
  • Double Opt-In als unveränderlicher Standard
  • Deutscher Telefonsupport Mo-Fr

Der Wechsel von Mailchimp zu einem EU-Anbieter ist technisch unkompliziert: Kontakte als CSV exportieren, Tags mapping, importieren. Bei KlickTipp gibt es ab dem Deluxe-Tarif sogar einen kostenlosen Umzugsservice.

Rechtssicherheit statt Risiko

DSGVO-konform aus dem Stand. Deutsche Server, deutsche AVV, deutscher Support. 30 Tage Geld-zurück-Garantie.

🏆 ProvenExpert: 4,9/5 Sterne (über 1.500 Bewertungen) • 99% Empfehlungsrate ⭐ Google: 4,9/5 Sterne (über 750 Bewertungen) 📩 Testsieger 2024 für beste E-Mail-Zustellbarkeit (emailtooltester) 🇩🇪 Serverstandort Deutschland • DSGVO-konform • Geld-zurück-Garantie

KlickTipp entdecken →

* Affiliate-Link – für dich entstehen keine Mehrkosten.

Fazit: Mailchimp ist legal – aber nicht ohne Aufwand

Die Nutzung von Mailchimp ist aktuell legal, solange du:

  • Das EU-US Data Privacy Framework als Rechtsgrundlage nutzt
  • Das Data Processing Addendum abgeschlossen hast
  • Deine Datenschutzerklärung aktuell ist
  • Double Opt-In aktiviert hast
  • Ein TIA dokumentiert vorliegt

Aber: Du trägst das Restrisiko. Die Rechtsgrundlage kann durch ein EuGH-Urteil jederzeit wegfallen. FISA 702 bleibt bestehen. Deutsche Behörden können Bußgelder verhängen.

Für Unternehmen, die DSGVO-Konformität nicht nur technisch abbilden, sondern strukturell absichern wollen, ist der Wechsel zu einem EU-Anbieter der pragmatischere Weg.

Von Mailchimp zu DSGVO-Sicherheit

Ab 27€/Monat (jährlich). Kostenloser Umzugsservice ab Deluxe. 99,78% Zustellrate dank [CSA-Zertifizierung](/email-marketing/csa-zertifizierung/). 30 Tage Geld-zurück.

🏆 ProvenExpert: 4,9/5 Sterne (über 1.500 Bewertungen) • 99% Empfehlungsrate ⭐ Google: 4,9/5 Sterne (über 750 Bewertungen) 📩 Testsieger 2024 für beste E-Mail-Zustellbarkeit (emailtooltester) 🇩🇪 Serverstandort Deutschland • DSGVO-konform • Geld-zurück-Garantie

Preise vergleichen →

* Affiliate-Link – für dich entstehen keine Mehrkosten.

Simon Haenel

Simon Haenel

Informatiker & KI-Enthusiast

Folgen

Informatiker aus Leidenschaft. Auf dieser Seite nutze ich KI, um komplexe Themen verständlich aufzubereiten – recherchiert, strukturiert und auf den Punkt gebracht.

KI-gestützte Recherche
Fakten geprüft

Weiterlesen

Mailchimp Alternative

Der komplette Vergleich für den DACH-Markt.

DSGVO im E-Mail-Marketing

Alle Regeln für rechtskonformes E-Mail-Marketing.

Double Opt-In Pflicht

Warum DOI in Deutschland unverzichtbar ist.

Häufige Fragen: Mailchimp & DSGVO

Häufige Fragen

Ist Mailchimp 2026 DSGVO-konform?

Technisch ja, da Mailchimp unter dem EU-US Data Privacy Framework operiert. Aber: US-Server unterliegen weiterhin FISA 702, was deutschen Behörden Sorge bereitet. Du musst aktiv Maßnahmen ergreifen (AVV, TIA, Double Opt-In). Die Rechtsgrundlage könnte durch ein neues EuGH-Urteil entfallen.

Wo speichert Mailchimp meine Daten?

Mailchimp speichert Daten auf Servern in den USA. Es gibt keine EU-Serveroption. Die Daten werden nach US-Recht behandelt, was die Anwendung von FISA 702 (US-Überwachungsgesetz) ermöglicht. EU-Nutzer sind durch das Data Privacy Framework geschützt, aber strukturelle Risiken bleiben.

Was war das BayLDA-Urteil zu Mailchimp?

2021 untersagte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) einem Unternehmen die Nutzung von Mailchimp. Begründung: Unzureichender Schutz vor US-Behördenzugriff trotz Standardvertragsklauseln. Dieses Urteil schuf einen Präzedenzfall und verunsichert Mailchimp-Nutzer bis heute.

Muss ich ein Transfer Impact Assessment (TIA) durchführen?

Formal empfohlen seit Schrems II. Bei Nutzung des EU-US Data Privacy Framework ist ein TIA weniger kritisch, aber dokumentierte Risikoanalyse schadet nicht. Im Streitfall kannst du nachweisen, dass du deine Sorgfaltspflicht erfüllt hast.

Welche Alternativen zu Mailchimp sind DSGVO-sicher?

EU-Anbieter wie KlickTipp (Server EU, CSA-zertifiziert), CleverReach (deutsch), Brevo (französisch, CSA-zertifiziert). Diese unterliegen nicht FISA 702 und bieten AVV nach deutschem/EU-Recht. Der Wechsel ist technisch unkompliziert per CSV-Export.

Ist Double Opt-In bei Mailchimp Standard?

Nein. Bei Mailchimp ist Single Opt-In oft die Standardeinstellung. Du musst aktiv "Enable double opt-in" in den Audience-Einstellungen aktivieren. Vergisst du das, verstößt du gegen deutsche Anforderungen (§ 7 UWG). Bei deutschen Tools ist DOI meist Standard.