gekennzeichnet.
Mailjet bietet einen wahrscheinlich zuverlässigen SMTP Server für den Versand zahlreicher Mails an. Sogar ein großzügiges kostenfreies Kontingent gibt es. Die spannende Frage lautet: Ist Mailjet DSGVO-konform nutzbar?
Einleitung
Mailjet und die DSGVO: Passt das zusammen? Um diese Frage geht es hier. Denn Mailjet hat seine Wurzeln in den USA.
Update Mai 2023: Mailjet wurde zwischenzeitlich anscheinend von einer schwedischen Firma übernommen (aus Datenschutzsicht gut). Mailgun als Bestandteil ist weiterhin erwähnt (was ich nicht deuten kann, wiel die Angaben ungenau sind). Was problematisch ist: Laut Datenschutzhinweisen von Mailjet werden Google Produkte für Kundendaten verwendet: "Hosting Services: We […] operate the platform using third parties, including Google Cloud Platform, AWS® and Rackspace® (for our Mailjet and Mailgun products)". Somit scheidet für mich Mailjet weiterhin aus, wenn es um guten Datenschutz geht. Zuletzt hatte das LG Köln (23.03.2023 – 33 O 376/22) für die Verbraucherzentrale und gegen die Telekom entschieden (am 17.05.2023 noch nicht rechtskräftig), dass der Transfer von IP-Adressen zu Google problematisch ist.
Damit ein Mail-Dienstleister wie Mailjet datenschutzkonform sein kann, müssen zahlreiche Bedingungen erfüllt sein. Die wichtigste Bedingung ist aus meiner Sicht der Standort aller beteiligten Firmen inklusive der Muttergesellschaft. Der Grund ist der Datentransfer in unsichere Drittländer, der erst nach Einwilligung erlaubt ist. Natürlich könnte man die Einwilligung von Nutzern abfragen, wenn diese sich zum Newsletter registrieren. Daraus wird aber ein Problem, wenn der Newsletter bereits existiert. Bestehende Abonnenten können nur schwerlich um Einwilligung gefragt werden, wo sie doch schon den Registrierungsprozess durchlaufen haben.
Mailjet weist sich auf der deutschen Webseite https://www.mailjet.de/impressum/ als deutsche Firma namens Mailjet GmbH mit Sitz in Berlin aus. Zusätzlich ist noch eine französische Firma genannt:
Daraus wird man nicht so ganz schlau. Deutschland als Standort ist aus Datenschutzsicht sehr gut, Frankreich ist auch gut, weil der DSGVO unterworfen.
Prüfung von Mailjet
Nun wollte ich es genauer wissen und registrierte mich für das kostenfreie Kontingent für einen Versand von bis zu 6000 Mails pro Monat per SMTP-Server. Im deutschsprachigen Kundenbereich ist ordnungsgemäß eine Datenschutzerklärung verlinkt. Ruft man diese auf, erscheint:
Dort ist als verantwortliche Firma Mailgun Technologies genannt. Ein Klick auf Terms of Service zeigt in Abschnitt 11:
Auch die deutsche Version enthält die gleichen Informationen. Lediglich die vorige Version der Geschäftsbedingungen weist Mailjet SAS in Frankreich als Verantwortliche Stelle aus.
Ich fragte per Mail bei Mailjet nach, welche Firmen wohl in die Datenverarbeitung involviert sind:
Die Antwort von Mailjet per E-Mail kam kurz nach meiner Anfrage. Sie war richtig, aber nicht vollständig und enthielt gerade die Information nicht, die kritisch ist. In der Antwortmail wurde keine Firmenangabe gemacht:
Alleine dies würde mir ausreichen, um stutzig zu werden. Jede Firmen-Email hat selbstverständlich eine Angabe zur Firmierung. Zumindest gilt das in Deutschland und auf jeden Fall für einen Erstkontakt. Anscheinend möchte Mailjet nicht kundtun, um welche Firm es sich handelt.
In der Antwort-Mail wurde auf einen Auftragsverarbeitungsvertrag (AVV) hingewiesen. Dieser AVV enthält eine Angabe zur Vertragspartei von Mailjet.
Mailgun Technologies, Inc.
Vertragspartner laut AVV auf https://www.mailjet.de/av-vertrag/
112 E Pecan St #1135
San Antonio, TX 78205
legal@mailgun.com
Mailjet wurde von Mailgun übernommen, was auch auf der Webseite von Mailjet steht.
Auch wenn eine Länderangabe zur Firma Mailgun Technologies, Inc. fehlt. Man kann unschwer erkennen, dass es sich um die USA handelt (TX = Texas).
Damit scheidet für mich Mailjet als sicherer Mail-Versender aus, weil das Problem mit Art. 44 DSGVO existiert. Die USA sind ein unsicheres Drittland und werden es meiner Einschätzung nach für alle Zeiten bleiben.
In der Antwort war ebenfalls der Hinweis enthalten, dass die Daten mit der Google Cloud Plattform in Rechenzentren in Frankfurt und Saint-Ghislain (Belgien) gehalten werden. Was Google angeht, gilt fast das gleiche wie für Mailjet, nur dass Google an Intransparenz kaum zu überbieten ist.
Fazit
Mailjet ist einer amerikanischen Muttergesellschaft unterworfen. Der Datenzugriff aus Amerika durch dortige Geheimdienste kann jederzeit stattfinden und lässt sich nicht ausschließen. Weiterhin gelten die Betroffenenrechte gemäß Art. 15 DSGVO in den USA nicht.
Wer dieses Restrisiko in Kauf nehmen möchte und keine Angst vor Abmahnungen hat, kann diesen Dienstleister ohne Einwilligung durch Newsletter-Abonnenten verwenden. Keinesfalls würde ich auf Mailjet umschwenken, wenn es bereits Abonnenten gibt. Mir wurde übrigens bekannt, dass eine Privatperson reihenweise Abmahnungen gegen Betreiber von Newsletter auf Basis von Mailjet erlässt. Die Kostennote dieser Abmahnungen beträgt jeweils ca. 1400 Euro. Ich halte dies für unangemessen. Wer einen Rechtsanwalt einschaltet, sollte jedenfalls aufpassen, dass dieser nicht annäherend so viel kostet. Für eine bessere Strategie halte ich es, bei Abmahnungen durch eine Person, die dies häufiger tut, der Abmahnung zunächst durch negativen Bescheid zu entgegnen (Gefahren: einstweilige Verfügung, höhere Kosten; Chance: keine Kosten, sofern man solche Entgegnungen selbst anfertigen kann).
Für neu konzipierte Newsletter-Systeme könnte man den Nutzer auf dem Registrierungsformular um Einwilligung bitten. Hierbei stellt sich aber die Schwierigkeit, dass man erst einmal genau recherchieren muss, in was eingewilligt werden soll. Ich habe oben einiges von dieser Arbeit erledigt. Vielleicht ist das als Ausgangsbasis geeignet. Was die Datenspeicherung durch die Google Cloud angeht, sehe ich keine rechtssichere Möglichkeit, dafür eine Einwilligung abzufragen. Vergleiche hierzu Art. 12 DSGVO, nach dem der Nutzer u.a. in transparenter Weise aufzuklären ist.
Wer Newsletter mit WordPress verschicken will, finden hier eine Anleitung für ein modifiziertes Plugin auf Basis von MailPoet.
Kernaussagen dieses Beitrags
Mailjet verwendet Google Produkte für Kundendaten, was aus Datenschutzgründen problematisch ist.
Mailjet ist kein sicherer Anbieter für Newsletter, da die Daten in den USA gespeichert werden und die USA ein unsicheres Drittland sind.
Es ist schwierig, die Datenspeicherung bei Google Cloud rechtssicher zuzulassen, da die Nutzer nicht transparent genug über die Datenverarbeitung informiert werden.
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Ich stehe für pragmatische Lösungen mit Mehrwert. Meine Firma, die 
Vielen Dank für die Recherchen und Erläuterungen.
In der Einleitung steht: "Darüber hinaus zeige ich, wie Mailjet gemäß DSGVO eingesetzt werden kann." Das habe ich in dem Artikel aber nicht gefunden, und ich kann es mir auch nicht vorstellen. Habe ich etwas übersehen?
Danke für Ihre Rückmeldung. Sie haben recht. Gemeint war eine DSGVO-konform Lösung mit „MailPoet“, nicht mit „Mailjet“.
Ich habe den Beitrag oben im Text angepasst und am Ende des Textes erweitert um den Link zu MailPoet.
Hallo,
danke für diesen Beitrag. Gibt es denn eine Empfehlung, welcher E-Mail Versender aktuell DSGVO Konform eingesetzt werden kann? (ggf. einer mit der kompletten Infrastruktur in Deutschland?)
Eine spezielle Empfehlung will ich nicht geben, auch weil meine Untersuchung einige Monate her ist und sich seitdem einiges getan hat.
Für bis zu ein paar tausend Mails im Monat kann ein eigener Mailserver verwendet werden, wie meine Erfahrung zeigt.
Ansonsten:
* deutscher oder europäischer Anbieter ohne Verbindung in die USA o. ä.
* Datenhaltung und -verarbeitung nur in DE oder EU
* Tracking Pixel in E-Mails deaktivierbar (hieran scheitern bereits viele ansonsten halbwegs gute Anbieter)
* Idealerweise: Webseite des Anbieters zeigt, dass der Anbieter sich mit Datenschutzregeln auskennt. Beispielsweise für einen ersten Anhaltspunkt meinen Website-Check nutzen: https://dr-dsgvo.de/webseiten-check/
Besten Dank für das schnelle Feedback!
Mailjet (und auch Mailgun) ist von Sinch übernommen worden: https://www.mailjet.com/blog/company/sinch-to-acquire-pathwire/
Website Sinch: https://www.sinch.com/
Sinch hat ihren Hauptsitz in Stockholm. Was ändert das an Ihrer Einschätzung betreffend Datenschutz bei Mailjet?
Die Chancen stehen somit besser. Allerdings muss man sich die Vertragsgestaltung mit Sinch ansehen. Auf der Sinch Webseite steht jedenfalls u.a.:
"Sinch may transfer your personal data to countries outside of the EU/EEA. If we do this, we take sufficient technical, organisational and contractual measures to ensure that an adequate level of data protection is provided."
Außerdem ist u.a. als Auftragsverarbeiter genannt: Sinch America Inc., 7000 Central Parkway Suite 1480. Atlanta, GA 30328 (USA).