Mailchimp DSGVO: legal nutzbar, aber nicht ohne Checkliste

Die bessere Frage lautet nicht "ist Mailchimp verboten?", sondern: Kannst du dein konkretes Setup dokumentieren und das Restrisiko tragen? So ist die Entscheidung im Alltag brauchbarer:

Diese Seite ist deshalb keine allgemeine Tool-Bestenliste. Sie beantwortet die Datenschutzfrage zu Mailchimp; die Auswahl eines anderen Tools ist ein separater Entscheidungsschritt.

Du nutzt Mailchimp für dein deutsches Unternehmen und fragst dich, ob das legal ist? Du bist nicht allein. Seit dem Schrems-II-Urteil 2020 und der Einführung des EU-US Data Privacy Framework 2023 herrscht maximale Verwirrung.

Die kurze Version: Technisch ist Mailchimp nutzbar – aber du trägst das Risiko. Die vollständigen DSGVO-Anforderungen für E-Mail Marketing findest du im DSGVO-Leitfaden. Wer seinen Newsletter von Anfang an rechtssicher aufsetzen will, findet dort eine Schritt-für-Schritt-Anleitung. Warum der Serverstandort gerade bei US-Anbietern entscheidend ist, zeigt ein konkretes Beispiel.

Viele suchen nicht nur nach "Mailchimp DSGVO", sondern nach Bewertungen, Nutzerberichten und Datenschutz-Einordnungen. Das ist verständlich: Wenn ein Tool viele gute Bewertungen hat, wirkt es sicher. Für die DSGVO-Frage ist das aber der falsche Prüfmaßstab.

Eine positive Nutzerbewertung sagt meistens etwas über Bedienung, Templates, Versand oder Support. Sie sagt nicht automatisch:

1. ob deine Kontakte auf US-Servern verarbeitet werden,
2. ob dein Data Processing Addendum abgeschlossen ist,
3. ob Double-Opt-In aktiv ist,
4. ob deine Datenschutzerklärung den Drittlandtransfer erklärt,
5. ob du ein Transfer Impact Assessment dokumentiert hast.

Darum solltest du Bewertungen nur als Bedienungs-Signal lesen, nicht als Datenschutz-Nachweis. Die DSGVO-Entscheidung fällt über Serverstandort, Betreiberland, AVV, Rechtsgrundlage, Tracking und konkrete Account-Einstellungen. Wenn du vor allem deine Rechtstexte zu Mailchimp prüfen musst, ist der eRecht24 Mailchimp-Ratgeber der passendere nächste Schritt. Wenn du das Tool selbst ersetzen willst, starte mit der Mailchimp Alternative für Deutschland.

Mailchimp speichert Daten auf Servern in den USA. Das ist per se kein Verstoß gegen die DSGVO, aber es löst eine Kette von Problemen aus.

Foreign Intelligence Surveillance Act (FISA) Section 702 + Cloud Act:

FISA 702 erlaubt US-Geheimdiensten den Zugriff auf Daten von "Non-US Persons" bei US-Cloud-Anbietern – ohne richterlichen Beschluss. Der ergänzende Cloud Act (2018) zwingt US-Unternehmen, gespeicherte Daten an US-Behörden herauszugeben — auch wenn diese Daten physisch in der EU liegen. Beide Gesetze betreffen deine deutschen Kunden, deren E-Mail-Adressen bei Mailchimp liegen, gleichzeitig.

Warum ist das ein Problem?

Die DSGVO (Art. 44-49) verlangt, dass personenbezogene Daten in Drittländern ein "angemessenes Schutzniveau" genießen. FISA 702 untergräbt dieses Niveau nach Ansicht vieler Datenschutzexperten.

Der Fall verdient eine genauere Betrachtung, weil er die Argumentation der Aufsichtsbehörden offenlegt.

Was passiert ist: Ein bayerisches Unternehmen nutzte Mailchimp für seinen Newsletter. Ein Betroffener beschwerte sich beim BayLDA, weil seine E-Mail-Adresse an Mailchimp (Intuit Inc., USA) übermittelt wurde. Das BayLDA prüfte den Fall – und kam zu dem Schluss, dass die Übermittlung rechtswidrig war.

Die Begründung in 3 Schritten:

1. Kein Angemessenheitsbeschluss: Zum Zeitpunkt der Entscheidung (vor dem EU-US DPF) gab es keinen gültigen Angemessenheitsbeschluss der EU-Kommission für die USA. Das Privacy Shield war durch Schrems II gekippt.
2. Standardvertragsklauseln reichen nicht: Das Unternehmen berief sich auf EU-Standardvertragsklauseln (SCCs). Das BayLDA argumentierte, dass SCCs allein den FISA-702-Zugriff nicht verhindern können – sie sind ein vertragliches Instrument, aber gegen US-Bundesgesetze wirkungslos.
3. Keine ergänzenden Schutzmaßnahmen: Das Unternehmen konnte keine zusätzlichen technischen oder organisatorischen Maßnahmen vorweisen, die den US-Behördenzugriff effektiv verhindern würden (z.B. Ende-zu-Ende-Verschlüsselung, bei der Mailchimp keinen Zugriff auf die Daten hat).

Was bedeutet das für dich? Das BayLDA-Verfahren zeigt die Logik, die deutsche Aufsichtsbehörden anlegen. Auch wenn das EU-US DPF seit 2023 existiert, bleibt die grundlegende Argumentation bestehen: Solange FISA 702 in Kraft ist, besteht ein strukturelles Risiko bei US-Datenverarbeitung. Die Behörden haben lediglich akzeptiert, dass das DPF aktuell eine Rechtsgrundlage bietet – nicht, dass das Problem gelöst ist.

Quelle: EDPB/BayLDA-Meldung vom 30.03.2021, Az. LDA-1085.1-12959/20-IDV.

Im Juli 2023 verabschiedete die EU-Kommission das EU-US Data Privacy Framework (DPF). Es soll Datentransfers in die USA wieder rechtssicher machen. Mailchimp beruft sich auf dieses Framework.

Aber:

1. Klagen angekündigt: Die Datenschutzorganisation NOYB (Max Schrems) hat bereits angekündigt, auch dieses Abkommen anzufechten – wie schon Safe Harbor und Privacy Shield. Ein neues EuGH-Urteil könnte alles wieder kippen.
2. Keine strukturelle Änderung: FISA 702 wurde nicht abgeschafft. Das Framework basiert auf Zusicherungen der US-Regierung, nicht auf Gesetzesänderungen.
3. Deutsche DSBs skeptisch: Mehrere deutsche Landesdatenschutzbeauftragte empfehlen weiterhin, wo möglich auf EU-Anbieter auszuweichen.

Update September 2025: Das EU-Gericht hat eine erste Klage gegen das DPF abgewiesen (Latombe vs. EU-Kommission). Das DPF ist aktuell gültig. Aber: NOYB hat eine breitere Klage angekündigt — Schrems argumentiert, dass die Executive Orders der Trump-Administration die Grundlage des DPF untergraben. Ein EuGH-Verfahren ("Schrems III") könnte 2026/2027 kommen.

Das bedeutet: Mailchimp ist aktuell legal nutzbar – aber auf einem Fundament, das schon zweimal eingestürzt ist (Safe Harbor 2015, Privacy Shield 2020).

Aus technischer Sicht ist das FISA-702-Problem nicht durch Verschlüsselung lösbar — und das ist der Kern des Dilemmas. E-Mail-Marketing-Tools müssen E-Mail-Adressen im Klartext verarbeiten, um E-Mails zuzustellen. Eine Ende-zu-Ende-Verschlüsselung, bei der der Anbieter die Daten nicht lesen kann, würde die Kernfunktion (E-Mails versenden) zerstören.

Technisch betrachtet:

• Transport-Verschlüsselung (TLS): Schützt Daten auf dem Weg zwischen deinem Browser und Mailchimp. Aber: Die Daten liegen auf Mailchimps Servern im Klartext — und genau dort greift FISA 702.
• Verschlüsselung at rest: Schützt vor physischem Diebstahl der Festplatten. Aber: Mailchimp hat den Schlüssel — und muss ihn bei einem FISA-Beschluss herausgeben.
• Ende-zu-Ende-Verschlüsselung: Würde helfen — ist aber bei E-Mail-Marketing unmöglich, weil der Anbieter die Adresse kennen muss um die E-Mail zuzustellen.

Das ist kein Konfigurationsproblem das du lösen kannst. Es ist ein architektonisches Problem: Solange die Datenverarbeitung auf US-Servern eines US-Unternehmens stattfindet, hat FISA 702 technisch Zugriff. Die einzige vollständige Lösung ist ein Anbieter, der nicht dem US-Recht unterliegt.

Neben dem Serverstandort gibt es konkrete technische Fallstricke:

1. Double Opt-In ist nicht Standard

Bei Mailchimp ist Single Opt-In oft die Standardeinstellung. Du musst aktiv "Double Opt-In aktivieren" wählen. Vergisst du das, verstößt du gegen deutsche Anforderungen (§ 7 UWG, DSGVO Art. 6+7).

Bei deutschen Tools wie KlickTipp ist Double Opt-In der unveränderliche Standard – du kannst gar nicht erst versehentlich rechtlich angreifbar werden.

2. Kontaktdaten-Speicherung nach Abmeldung

Mailchimp speichert abgemeldete Kontakte ("Unsubscribed") standardmäßig weiter – und zählt sie je nach Tarif sogar zum Kontaktlimit. Aus DSGVO-Sicht (Art. 17 "Recht auf Löschung") ist das problematisch, wenn Nutzer explizit die Löschung verlangen.

3. Tracking und IP-Speicherung

Mailchimp speichert IP-Adressen beim Öffnen von E-Mails. Für DSGVO-Konformität solltest du dies in deiner Datenschutzerklärung offenlegen – was viele vergessen.

Wenn Mailchimp zusätzlich Käuferdaten aus Digistore24 erhält, kommt ein weiterer Datenfluss dazu: Der Digistore24-Mailchimp-Integrationscheck zeigt, was die IPN-Anbindung leistet und wo PayTag- und Storno-Logik fehlen.

Falls du bei Mailchimp bleiben willst oder musst, sind diese 7 Punkte Pflicht. Pro Punkt findest du warum es kritisch ist, wie du das prüfst und das Risikolevel bei Verstoß.

1. AVV/DPA aktiv akzeptiert und dokumentiert

Warum kritisch: Mailchimps Data Processing Addendum (DPA) ist auf US-Recht ausgelegt und enthält EU-Standardvertragsklauseln als „Add-on". Ohne aktiv akzeptiertes DPA fehlt deine vertragliche Grundlage für die Auftragsverarbeitung — Art. 28 DSGVO ist verletzt.

So prüfst du das: Mailchimp-Account → Account & Billing → „Data Processing Addendum" → aktiv akzeptieren → PDF herunterladen und in deiner Datenschutzdokumentation ablegen.

Risikolevel: hoch — ohne aktiven DPA fehlt die Rechtsgrundlage für den Drittland-Transfer.

2. EU-US Data Privacy Framework Status der Mailchimp-Entity geprüft

Warum kritisch: Nur Mailchimp- und Intuit-Entitäten, die aktuell unter dem DPF zertifiziert sind, dürfen Daten unter dieser Rechtsgrundlage empfangen. Zertifizierungen können jährlich erneuert werden oder gelöscht werden.

So prüfst du das: dataprivacyframework.gov → Search List → „Intuit Inc." eingeben → aktive Zertifizierung + Datum prüfen. Vor jeder Vertragsverlängerung oder einmal jährlich wiederholen.

Risikolevel: hoch — ohne aktive DPF-Zertifizierung kein gültiger Drittland-Transfer-Mechanismus.

3. Risikoanalyse seit Schrems II durchgeführt und schriftlich (TIA)

Warum kritisch: Das Schrems-II-Urteil verlangt von Verantwortlichen einen Transfer Impact Assessment für US-Transfers. Im Streitfall musst du nachweisen können, dass du das FISA-702-Risiko geprüft hast.

So prüfst du das: Den 6-Schritte-Prozess der EDPB-Empfehlungen 01/2020 dokumentieren:

Schritt 4 ist der Knackpunkt: Mailchimp benötigt E-Mail-Adressen im Klartext. Pseudonymisierung gegen US-Behördenzugriff ist technisch nicht ohne Funktionsverlust möglich. Genau diese Schwachstelle hat das BayLDA identifiziert.

Risikolevel: mittel-hoch — formal empfohlen seit Schrems II, im Streitfall der entscheidende Nachweis deiner Sorgfaltspflicht.

4. Double Opt-In aktiv (nicht Default!) in den Audience-Einstellungen

Warum kritisch: Bei Mailchimp ist Single Opt-In oft die Standardeinstellung. Ohne Double Opt-In verstößt du gegen § 7 Abs. 2 Nr. 3 UWG und kannst keine rechtssichere Einwilligung nachweisen — UWG-Abmahnungen kosten typischerweise €3'000–€8'000 pro Fall.

So prüfst du das: Audience → Settings → „Audience name and defaults" → „Enable double opt-in" aktivieren. Eigene Test-Anmeldung über das Anmeldeformular durchführen und prüfen, ob die Bestätigungsmail ankommt.

Risikolevel: hoch — ohne DOI ist die UWG-Abmahn-Gefahr konkret und sofort.

5. IP-Anonymisierung im Tracking aktiviert

Warum kritisch: Mailchimp speichert beim Öffnen von E-Mails IP-Adressen. EU-Behörden behandeln IP-Adressen als personenbezogene Daten — ohne Anonymisierung oder explizite Einwilligung verarbeitest du sie ohne saubere Rechtsgrundlage.

So prüfst du das: Mailchimp bietet keine eingebaute IP-Anonymisierung. Optionen: Tracking pro Kampagne deaktivieren, oder Tracking + IP-Speicherung in der Datenschutzerklärung explizit als Auftragsverarbeitung deklarieren, oder zu einem Tool mit IP-Anonymisierung wechseln.

Risikolevel: mittel — Graubereich, aber EU-Aufsichten betrachten IP als personenbezogen.

6. Datenschutzerklärung mit Mailchimp-Hinweis aktualisiert

Warum kritisch: Du musst Mailchimp (Intuit Inc., USA) als Auftragsverarbeiter mit US-Serverstandort und aktueller Rechtsgrundlage (EU-US DPF) nennen. Viele Datenschutzerklärungen sind veraltet und nennen noch das gekippte „Privacy Shield".

So prüfst du das: Eigene Datenschutzerklärung → Sektion „E-Mail-Marketing" oder „Auftragsverarbeiter" → Mailchimp / Intuit Inc. / DPF / SCCs / FISA-702-Hinweis ergänzen. Im Zweifel den eRecht24 Mailchimp-Ratgeber als Quelle nutzen.

Risikolevel: hoch — fehlende Drittland-Erklärung ist konkret abmahnbar nach UWG.

7. Plan B vorbereitet falls BayLDA-Style-Verbot kommt

Warum kritisch: Das BayLDA-Verfahren 2021 hat gezeigt: einzelne Untersagungen sind möglich. Eine breitere NOYB-Klage gegen das DPF („Schrems III") könnte 2026/2027 das aktuelle Framework kippen — dann bist du innerhalb von Tagen ohne Rechtsgrundlage.

So prüfst du das: EU-/DACH-Alternative vorab evaluieren (Newsletter-Tool-Vergleich), CSV-Export-Pfad bei Mailchimp dokumentieren, AVV der Alternative bereithalten, DNS-Setup für SPF/DKIM für das neue Tool vorbereiten. Mit Plan B bist du in 1–3 Tagen wechselbar — siehe Migrations-Sektion oben.

Risikolevel: mittel — heute kein akutes Verbot, aber das DPF steht auf einem Fundament, das schon zweimal eingestürzt ist (Safe Harbor 2015, Privacy Shield 2020).

Der einfachste Weg zu weniger DSGVO-Erklärungsaufwand ist ein Tool mit EU- oder DACH-Struktur. Das ersetzt nicht deine eigene Prüfung, macht sie aber deutlich einfacher.

Vorteile deutscher/EU-Tools:

• Keine FISA-702-Problematik
• Kein Transfer Impact Assessment nötig
• Deutschsprachiger Support versteht DSGVO
• AVV auf deutsches Recht zugeschnitten
• Double Opt-In als Standard

KlickTipp beispielsweise bietet:

• Server in der EU
• Kostenlose AVV (bereits DSGVO-optimiert)
• CSA-Zertifizierung seit 2016 (bessere Zustellbarkeit bei deutschen Providern)
• Double Opt-In als unveränderlicher Standard
• Deutscher Telefonsupport Mo-Fr

Der Wechsel von Mailchimp zu einem EU-/DACH-Anbieter ist technisch meist überschaubar: Kontakte exportieren, Tags/Groups mappen, Formulare ersetzen und Automationen testen. Bei KlickTipp gibt es ab dem Deluxe-Tarif einen Umzugsservice; prüfe vorab, welche Teile deines Setups übernommen werden. Die Tarifgrenzen für Standard, Premium, Deluxe und Enterprise stehen im KlickTipp-Kosten-Guide.

Ein Anbieterwechsel klingt nach Großprojekt. In der Praxis dauert die Migration für die meisten Unternehmen 1-3 Arbeitstage. Hier ist der konkrete Ablauf:

Phase 1: Vorbereitung (Tag 1)

Kontakte exportieren:

In Mailchimp unter "Audience" → "All contacts" → "Export Audience". Du erhältst eine CSV-Datei mit allen Kontakten, Tags und Custom Fields. Wichtig: Exportiere nur Kontakte mit Status "Subscribed". Abgemeldete und bounced Kontakte brauchst du nicht.

Automationen dokumentieren:

Notiere alle aktiven Automationen (Welcome Series, Nachfass-Sequenzen, Geburtstags-Mails). Für jede Automation: Auslöser, Wartezeiten, E-Mail-Inhalte. Screenshots der Automation-Flows sind hilfreich.

E-Mail-Templates sichern:

Speichere die HTML-Quellcodes deiner wichtigsten Templates. Die meisten lassen sich in anderen Tools nachbauen oder importieren.

Phase 2: Neues System aufsetzen (Tag 1-2)

Kontakt-Import:

CSV in das neue Tool importieren. Bei tag-basierten Systemen wie KlickTipp werden Mailchimp-Tags als Tags übernommen. Mailchimp-"Groups" müssen als Tags gemappt werden.

Formulare umstellen:

Ersetze die Mailchimp-Einbettungscodes auf deiner Website durch die neuen Formulare. Vergiss nicht: Landingpages, Pop-ups, Footer-Formulare, WordPress-Widgets.

Automationen neu aufsetzen:

Baue deine dokumentierten Automationen im neuen System nach. Bei tag-basierten Systemen ist die Logik oft flexibler als bei Mailchimps Audience-basiertem Modell.

Phase 3: Test und Go-Live (Tag 2-3)

Test-Durchlauf:

Melde dich selbst über jedes Formular an. Prüfe, ob die Automationen starten. Sende eine Test-Kampagne an 3-5 eigene Adressen (verschiedene Provider: Gmail, GMX, Outlook).

DNS-Einträge aktualisieren:

Setze SPF und DKIM für das neue Tool. Das dauert 24-48 Stunden für die Propagation.

Parallelbetrieb beenden:

Sobald alles funktioniert, deaktiviere die Mailchimp-Formulare und -Automationen. Kündige das Mailchimp-Konto erst, wenn du 2-3 erfolgreiche Kampagnen über das neue System versendet hast.

Die häufigste Sorge: "Verliere ich Daten beim Wechsel?"

Nein, wenn du den Export vor der Kündigung machst. Deine Kontaktdaten, Tags und Kampagnen-Statistiken lassen sich exportieren. Was du nicht mitnehmen kannst: die historischen Kampagnen-Reports (Öffnungsraten, Klickraten pro Kampagne). Erstelle vor dem Wechsel Screenshots oder PDF-Exporte der wichtigsten Reports, falls du sie für Vergleiche brauchst.

Die Frage "Was passiert, wenn ich nichts tue?" hat eine konkrete Antwort. Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes vor (Art. 83 Abs. 5 DSGVO). In der Praxis sind die Bußgelder für kleine und mittlere Unternehmen deutlich niedriger – aber spürbar.

Konkretes DACH-Beispiel:

Dazu kommen Abmahnkosten durch Wettbewerber (§ 8 UWG) und Anwaltskosten. Ein einzelner UWG-Verstoß wegen fehlendem Double Opt-In kann schnell 3.000-5.000€ kosten – pro Abmahnung.

Der Wechsel zu einem EU-Anbieter kostet einen Arbeitstag. Ein DSGVO-Verfahren kostet Monate, Nerven und fünfstellige Beträge.

Die Nutzung von Mailchimp ist aktuell legal, solange du:

• Das EU-US Data Privacy Framework als Rechtsgrundlage nutzt
• Das Data Processing Addendum abgeschlossen hast
• Deine Datenschutzerklärung aktuell ist
• Double Opt-In aktiviert hast
• Ein TIA dokumentiert vorliegt

Aber: Du trägst das Restrisiko. Die Rechtsgrundlage kann durch ein EuGH-Urteil jederzeit wegfallen. FISA 702 bleibt bestehen. Deutsche Behörden können Bußgelder verhängen.

Für Unternehmen, die DSGVO-Konformität nicht nur technisch abbilden, sondern strukturell absichern wollen, ist der Wechsel zu einem EU-Anbieter der pragmatischere Weg.