Mailchimp DSGVO: Die unbequeme Wahrheit für deutsche Nutzer

2021 hat das BayLDA einem Unternehmen die Nutzung von Mailchimp untersagt. FISA 702 bleibt aktiv. Und du fragst dich: Ist Mailchimp DSGVO-konform? Die ehrliche Antwort: Es ist kompliziert. Mailchimp hat Schritte unternommen, aber der Serverstandort USA bleibt ein strukturelles Risiko.

Du nutzt Mailchimp für dein deutsches Unternehmen und fragst dich, ob das legal ist? Du bist nicht allein. Seit dem Schrems-II-Urteil 2020 und der Einführung des EU-US Data Privacy Framework 2023 herrscht maximale Verwirrung.

Die kurze Version: Technisch ist Mailchimp nutzbar – aber du trägst das Risiko. Die vollständigen DSGVO-Anforderungen für E-Mail Marketing findest du im DSGVO-Leitfaden. Wer seinen Newsletter von Anfang an rechtssicher aufsetzen will, findet dort eine Schritt-für-Schritt-Anleitung. Warum der Serverstandort gerade bei US-Anbietern entscheidend ist, zeigt ein konkretes Beispiel.

Mailchimp speichert Daten auf Servern in den USA. Das ist per se kein Verstoß gegen die DSGVO, aber es löst eine Kette von Problemen aus.

Der Foreign Intelligence Surveillance Act (FISA) Section 702:

FISA 702 erlaubt US-Geheimdiensten den Zugriff auf Daten von "Non-US Persons" bei US-Cloud-Anbietern – ohne richterlichen Beschluss. Das betrifft deine deutschen Kunden, deren E-Mail-Adressen bei Mailchimp liegen.

Warum ist das ein Problem?

Die DSGVO (Art. 44-49) verlangt, dass personenbezogene Daten in Drittländern ein "angemessenes Schutzniveau" genießen. FISA 702 untergräbt dieses Niveau nach Ansicht vieler Datenschutzexperten.

Der Fall verdient eine genauere Betrachtung, weil er die Argumentation der Aufsichtsbehörden offenlegt.

Was passiert ist: Ein bayerisches Unternehmen nutzte Mailchimp für seinen Newsletter. Ein Betroffener beschwerte sich beim BayLDA, weil seine E-Mail-Adresse an Mailchimp (Intuit Inc., USA) übermittelt wurde. Das BayLDA prüfte den Fall – und kam zu dem Schluss, dass die Übermittlung rechtswidrig war.

Die Begründung in 3 Schritten:

1. Kein Angemessenheitsbeschluss: Zum Zeitpunkt der Entscheidung (vor dem EU-US DPF) gab es keinen gültigen Angemessenheitsbeschluss der EU-Kommission für die USA. Das Privacy Shield war durch Schrems II gekippt.
2. Standardvertragsklauseln reichen nicht: Das Unternehmen berief sich auf EU-Standardvertragsklauseln (SCCs). Das BayLDA argumentierte, dass SCCs allein den FISA-702-Zugriff nicht verhindern können – sie sind ein vertragliches Instrument, aber gegen US-Bundesgesetze wirkungslos.
3. Keine ergänzenden Schutzmaßnahmen: Das Unternehmen konnte keine zusätzlichen technischen oder organisatorischen Maßnahmen vorweisen, die den US-Behördenzugriff effektiv verhindern würden (z.B. Ende-zu-Ende-Verschlüsselung, bei der Mailchimp keinen Zugriff auf die Daten hat).

Was bedeutet das für dich? Das BayLDA-Verfahren zeigt die Logik, die deutsche Aufsichtsbehörden anlegen. Auch wenn das EU-US DPF seit 2023 existiert, bleibt die grundlegende Argumentation bestehen: Solange FISA 702 in Kraft ist, besteht ein strukturelles Risiko bei US-Datenverarbeitung. Die Behörden haben lediglich akzeptiert, dass das DPF aktuell eine Rechtsgrundlage bietet – nicht, dass das Problem gelöst ist.

Quelle: BayLDA, Pressemitteilung und Verfahrensdokumentation, Az. LDA-1085.1-12959/20-IDV (öffentlich zugänglich über die BayLDA-Website).

Im Juli 2023 verabschiedete die EU-Kommission das EU-US Data Privacy Framework (DPF). Es soll Datentransfers in die USA wieder rechtssicher machen. Mailchimp beruft sich auf dieses Framework.

Aber:

1. Klagen angekündigt: Die Datenschutzorganisation NOYB (Max Schrems) hat bereits angekündigt, auch dieses Abkommen anzufechten – wie schon Safe Harbor und Privacy Shield. Ein neues EuGH-Urteil könnte alles wieder kippen.
2. Keine strukturelle Änderung: FISA 702 wurde nicht abgeschafft. Das Framework basiert auf Zusicherungen der US-Regierung, nicht auf Gesetzesänderungen.
3. Deutsche DSBs skeptisch: Mehrere deutsche Landesdatenschutzbeauftragte empfehlen weiterhin, wo möglich auf EU-Anbieter auszuweichen.

Update September 2025: Das EU-Gericht hat eine erste Klage gegen das DPF abgewiesen (Latombe vs. EU-Kommission). Das DPF ist aktuell gültig. Aber: NOYB hat eine breitere Klage angekündigt — Schrems argumentiert, dass die Executive Orders der Trump-Administration die Grundlage des DPF untergraben. Ein EuGH-Verfahren ("Schrems III") könnte 2026/2027 kommen.

Das bedeutet: Mailchimp ist aktuell legal nutzbar – aber auf einem Fundament, das schon zweimal eingestürzt ist (Safe Harbor 2015, Privacy Shield 2020).

Aus technischer Sicht ist das FISA-702-Problem nicht durch Verschlüsselung lösbar — und das ist der Kern des Dilemmas. E-Mail-Marketing-Tools müssen E-Mail-Adressen im Klartext verarbeiten, um E-Mails zuzustellen. Eine Ende-zu-Ende-Verschlüsselung, bei der der Anbieter die Daten nicht lesen kann, würde die Kernfunktion (E-Mails versenden) zerstören.

Technisch betrachtet:

• Transport-Verschlüsselung (TLS): Schützt Daten auf dem Weg zwischen deinem Browser und Mailchimp. Aber: Die Daten liegen auf Mailchimps Servern im Klartext — und genau dort greift FISA 702.
• Verschlüsselung at rest: Schützt vor physischem Diebstahl der Festplatten. Aber: Mailchimp hat den Schlüssel — und muss ihn bei einem FISA-Beschluss herausgeben.
• Ende-zu-Ende-Verschlüsselung: Würde helfen — ist aber bei E-Mail-Marketing unmöglich, weil der Anbieter die Adresse kennen muss um die E-Mail zuzustellen.

Das ist kein Konfigurationsproblem das du lösen kannst. Es ist ein architektonisches Problem: Solange die Datenverarbeitung auf US-Servern eines US-Unternehmens stattfindet, hat FISA 702 technisch Zugriff. Die einzige vollständige Lösung ist ein Anbieter, der nicht dem US-Recht unterliegt.

Neben dem Serverstandort gibt es konkrete technische Fallstricke:

1. Double Opt-In ist nicht Standard

Bei Mailchimp ist Single Opt-In oft die Standardeinstellung. Du musst aktiv "Double Opt-In aktivieren" wählen. Vergisst du das, verstößt du gegen deutsche Anforderungen (§ 7 UWG, DSGVO Art. 6+7).

Bei deutschen Tools wie KlickTipp ist Double Opt-In der unveränderliche Standard – du kannst gar nicht erst versehentlich rechtlich angreifbar werden.

2. Kontaktdaten-Speicherung nach Abmeldung

Mailchimp speichert abgemeldete Kontakte ("Unsubscribed") standardmäßig weiter – und zählt sie je nach Tarif sogar zum Kontaktlimit. Aus DSGVO-Sicht (Art. 17 "Recht auf Löschung") ist das problematisch, wenn Nutzer explizit die Löschung verlangen.

3. Tracking und IP-Speicherung

Mailchimp speichert IP-Adressen beim Öffnen von E-Mails. Für DSGVO-Konformität solltest du dies in deiner Datenschutzerklärung offenlegen – was viele vergessen.

Falls du bei Mailchimp bleiben willst oder musst, sind diese Maßnahmen Pflicht:

1. Auftragsverarbeitungsvertrag (AVV) abschließen

Mailchimp bietet ein "Data Processing Addendum" (DPA). Du musst es aktiv akzeptieren und dokumentieren. Achtung: Das DPA ist auf US-Recht ausgelegt und enthält EU-Standardvertragsklauseln als "Add-on".

2. Transfer Impact Assessment (TIA) durchführen

Seit Schrems II empfehlen Behörden, bei US-Transfers eine Risikoanalyse zu dokumentieren. Du prüfst ob die übertragenen Daten von FISA 702 betroffen sein könnten. E-Mail-Marketing-Daten können betroffen sein.

Was ein TIA enthalten muss:

Ein Transfer Impact Assessment ist keine formlose Notiz. Die Europäische Datenschutzbehörde (EDPB) hat in ihren Empfehlungen 01/2020 einen 6-Schritte-Prozess definiert:

Das Problem in der Praxis: Schritt 4 ist der Knackpunkt. Mailchimp benötigt die E-Mail-Adressen im Klartext, um E-Mails zuzustellen. Eine Pseudonymisierung oder Verschlüsselung, die den US-Behördenzugriff verhindert, ist technisch nicht möglich, ohne die Kernfunktion zu zerstören. Das ist die Schwachstelle, die auch das BayLDA identifiziert hat.

3. Datenschutzerklärung aktualisieren

Du musst Mailchimp als Auftragsverarbeiter mit US-Serverstandort und Rechtsgrundlage (EU-US DPF) nennen. Viele Datenschutzerklärungen sind hier veraltet.

4. Double Opt-In aktivieren

In den Audience-Einstellungen: "Enable double opt-in" aktivieren. Test-Anmeldung durchführen und prüfen, ob Bestätigungsmail versendet wird.

5. Regelmäßige Kontakt-Hygiene

Abgemeldete und inaktive Kontakte archivieren/löschen. DSGVO Art. 5(1)(e): Daten dürfen nicht länger gespeichert werden als nötig.

Der einfachste Weg zu DSGVO-Konformität? Ein Tool mit EU-Serverstandort wählen.

Vorteile deutscher/EU-Tools:

• Keine FISA-702-Problematik
• Kein Transfer Impact Assessment nötig
• Deutschsprachiger Support versteht DSGVO
• AVV auf deutsches Recht zugeschnitten
• Double Opt-In als Standard

KlickTipp beispielsweise bietet:

• Server in der EU
• Kostenlose AVV (bereits DSGVO-optimiert)
• CSA-Zertifizierung seit 2016 (bessere Zustellbarkeit bei deutschen Providern)
• Double Opt-In als unveränderlicher Standard
• Deutscher Telefonsupport Mo-Fr

Der Wechsel von Mailchimp zu einem EU-Anbieter ist technisch unkompliziert. Bei KlickTipp gibt es ab dem Deluxe-Tarif sogar einen kostenlosen Umzugsservice.

Ein Anbieterwechsel klingt nach Großprojekt. In der Praxis dauert die Migration für die meisten Unternehmen 1-3 Arbeitstage. Hier ist der konkrete Ablauf:

Phase 1: Vorbereitung (Tag 1)

Kontakte exportieren:

In Mailchimp unter "Audience" → "All contacts" → "Export Audience". Du erhältst eine CSV-Datei mit allen Kontakten, Tags und Custom Fields. Wichtig: Exportiere nur Kontakte mit Status "Subscribed". Abgemeldete und bounced Kontakte brauchst du nicht.

Automationen dokumentieren:

Notiere alle aktiven Automationen (Welcome Series, Nachfass-Sequenzen, Geburtstags-Mails). Für jede Automation: Auslöser, Wartezeiten, E-Mail-Inhalte. Screenshots der Automation-Flows sind hilfreich.

E-Mail-Templates sichern:

Speichere die HTML-Quellcodes deiner wichtigsten Templates. Die meisten lassen sich in anderen Tools nachbauen oder importieren.

Phase 2: Neues System aufsetzen (Tag 1-2)

Kontakt-Import:

CSV in das neue Tool importieren. Bei tag-basierten Systemen wie KlickTipp werden Mailchimp-Tags als Tags übernommen. Mailchimp-"Groups" müssen als Tags gemappt werden.

Formulare umstellen:

Ersetze die Mailchimp-Einbettungscodes auf deiner Website durch die neuen Formulare. Vergiss nicht: Landingpages, Pop-ups, Footer-Formulare, WordPress-Widgets.

Automationen neu aufsetzen:

Baue deine dokumentierten Automationen im neuen System nach. Bei tag-basierten Systemen ist die Logik oft flexibler als bei Mailchimps Audience-basiertem Modell.

Phase 3: Test und Go-Live (Tag 2-3)

Test-Durchlauf:

Melde dich selbst über jedes Formular an. Prüfe, ob die Automationen starten. Sende eine Test-Kampagne an 3-5 eigene Adressen (verschiedene Provider: Gmail, GMX, Outlook).

DNS-Einträge aktualisieren:

Setze SPF und DKIM für das neue Tool. Das dauert 24-48 Stunden für die Propagation.

Parallelbetrieb beenden:

Sobald alles funktioniert, deaktiviere die Mailchimp-Formulare und -Automationen. Kündige das Mailchimp-Konto erst, wenn du 2-3 erfolgreiche Kampagnen über das neue System versendet hast.

Die häufigste Sorge: "Verliere ich Daten beim Wechsel?"

Nein, wenn du den Export vor der Kündigung machst. Deine Kontaktdaten, Tags und Kampagnen-Statistiken lassen sich exportieren. Was du nicht mitnehmen kannst: die historischen Kampagnen-Reports (Öffnungsraten, Klickraten pro Kampagne). Erstelle vor dem Wechsel Screenshots oder PDF-Exporte der wichtigsten Reports, falls du sie für Vergleiche brauchst.

Die Frage "Was passiert, wenn ich nichts tue?" hat eine konkrete Antwort. Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes vor (Art. 83 Abs. 5 DSGVO). In der Praxis sind die Bußgelder für kleine und mittlere Unternehmen deutlich niedriger – aber spürbar.

Bußgeld-Beispiele im DACH-Raum:

Weitere DSGVO-Bußgelder im E-Mail-Marketing-Bereich werden laufend auf dsgvo-portal.de dokumentiert.

Dazu kommen Abmahnkosten durch Wettbewerber (§ 8 UWG) und Anwaltskosten. Ein einzelner UWG-Verstoß wegen fehlendem Double Opt-In kann schnell 3.000-5.000€ kosten – pro Abmahnung.

Der Wechsel zu einem EU-Anbieter kostet einen Arbeitstag. Ein DSGVO-Verfahren kostet Monate, Nerven und fünfstellige Beträge.

Die Nutzung von Mailchimp ist aktuell legal, solange du:

• Das EU-US Data Privacy Framework als Rechtsgrundlage nutzt
• Das Data Processing Addendum abgeschlossen hast
• Deine Datenschutzerklärung aktuell ist
• Double Opt-In aktiviert hast
• Ein TIA dokumentiert vorliegt

Aber: Du trägst das Restrisiko. Die Rechtsgrundlage kann durch ein EuGH-Urteil jederzeit wegfallen. FISA 702 bleibt bestehen. Deutsche Behörden können Bußgelder verhängen.

Für Unternehmen, die DSGVO-Konformität nicht nur technisch abbilden, sondern strukturell absichern wollen, ist der Wechsel zu einem EU-Anbieter der pragmatischere Weg.