Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
Ergebnis in wenigen Sekunden sehen

Ist Mailjet datenschutzkonform nutzbar?

0

Mailjet bietet einen wahrscheinlich zuverlässigen SMTP Server für den Versand zahlreicher Mails an. Sogar ein großzügiges kostenfreies Kontingent gibt es. Die spannende Frage lautet: Ist Mailjet DSGVO-konform nutzbar?

Einleitung

Damit ein Mail-Dienstleister wie Mailjet datenschutzkonform sein kann, müssen zahlreiche Bedingungen erfüllt sein. Die wichtigste Bedingung ist aus meiner Sicht der Standort aller beteiligten Firmen inklusive der Muttergesellschaft. Der Grund ist der Datentransfer in unsichere Drittländer, der erst nach Einwilligung erlaubt ist. Natürlich könnte man die Einwilligung von Nutzern abfragen, wenn diese sich zum Newsletter registrieren. Daraus wird aber ein Problem, wenn der Newsletter bereits existiert. Bestehende Abonnenten können nur schwerlich um Einwilligung gefragt werden, wo sie doch schon den Registrierungsprozess durchlaufen haben.

Mailjet weist sich auf der deutschen Webseite https://www.mailjet.de/impressum/ als deutsche Firma namens Mailjet GmbH mit Sitz in Berlin aus. Zusätzlich ist noch eine französische Firma genannt:

Impressum der Webseite mailjet.de

Daraus wird man nicht so ganz schlau. Deutschland als Standort ist aus Datenschutzsicht sehr gut, Frankreich ist auch gut, weil der DSGVO unterworfen.

Prüfung von Mailjet

Nun wollte ich es genauer wissen und registrierte mich für das kostenfreie Kontingent für einen Versand von bis zu 6000 Mails pro Monat per SMTP-Server. Im deutschsprachigen Kundenbereich ist ordnungsgemäß eine Datenschutzerklärung verlinkt. Ruft man diese auf, erscheint:

Datenschutzerklärung von Mailjet

Dort ist als verantwortliche Firma Mailgun Technologies genannt. Ein Klick auf Terms of Service zeigt in Abschnitt 11:

Verantwortlicher bei Mailjet für die Datenverarbeitung

Auch die deutsche Version enthält die gleichen Informationen. Lediglich die vorige Version der Geschäftsbedingungen weist Mailjet SAS in Frankreich als Verantwortliche Stelle aus.

Ich fragte per Mail bei Mailjet nach, welche Firmen wohl in die Datenverarbeitung involviert sind:

Anfrage von mir an Mailjet (23.02.2021)

Die Antwort von Mailjet per E-Mail kam kurz nach meiner Anfrage. Sie war richtig, aber nicht vollständig und enthielt gerade die Information nicht, die kritisch ist. In der Antwortmail wurde keine Firmenangabe gemacht:

Signatur der Mail von Mailjet

Alleine dies würde mir ausreichen, um stutzig zu werden. Jede Firmen-Email hat selbstverständlich eine Angabe zur Firmierung. Zumindest gilt das in Deutschland und auf jeden Fall für einen Erstkontakt. Anscheinend möchte Mailjet nicht kundtun, um welche Firm es sich handelt.

In der Antwort-Mail wurde auf einen Auftragsverarbeitungsvertrag (AVV) hingewiesen. Dieser AVV enthält eine Angabe zur Vertragspartei von Mailjet.

Mailgun Technologies, Inc.
112 E Pecan St #1135
San Antonio, TX 78205
legal@mailgun.com

Vertragspartner laut AVV auf https://www.mailjet.de/av-vertrag/

Mailjet wurde von Mailgun übernommen, was auch auf der Webseite von Mailjet steht.

Auch wenn eine Länderangabe zur Firma Mailgun Technologies, Inc. fehlt. Man kann unschwer erkennen, dass es sich um die USA handelt (TX = Texas).

Damit scheidet für mich Mailjet als sicherer Mail-Versender aus, weil das Problem mit Art. 44 DSGVO existiert. Die USA sind ein unsicheres Drittland und werden es meiner Einschätzung nach für alle Zeiten bleiben.

In der Antwort war ebenfalls der Hinweis enthalten, dass die Daten mit der Google Cloud Plattform in Rechenzentren in Frankfurt und Saint-Ghislain (Belgien) gehalten werden. Was Google angeht, gilt fast das gleiche wie für Mailjet, nur dass Google an Intransparenz kaum zu überbieten ist.

Fazit

Mailjet ist einer amerikanischen Muttergesellschaft unterworfen. Der Datenzugriff aus Amerika durch dortige Geheimdienste kann jederzeit stattfinden und lässt sich nicht ausschließen. Weiterhin gelten die Betroffenenrechte gemäß Art. 15 DSGVO in den USA nicht.

Wer dieses Restrisiko in Kauf nehmen möchte und keine Angst vor Abmahnungen hat, kann diesen Dienstleister ohne Einwilligung durch Newsletter-Abonnenten verwenden. Keinesfalls würde ich auf Mailjet umschwenken, wenn es bereits Abonnenten gibt. Mir wurde übrigens bekannt, dass eine Privatperson reihenweise Abmahnungen gegen Betreiber von Newsletter auf Basis von Mailjet erlässt. Die Kostennote dieser Abmahnungen beträgt jeweils ca. 1400 Euro. Ich halte dies für unangemessen. Wer einen Rechtsanwalt einschaltet, sollte jedenfalls aufpassen, dass dieser nicht annäherend so viel kostet. Für eine bessere Strategie halte ich es, bei Abmahnungen durch eine Person, die dies häufiger tut, der Abmahnung zunächst durch negativen Bescheid zu entgegnen (Gefahren: einstweilige Verfügung, höhere Kosten; Chance: keine Kosten, sofern man solche Entgegnungen selbst anfertigen kann).

Für neu konzipierte Newsletter-Systeme könnte man den Nutzer auf dem Registrierungsformular um Einwilligung bitten. Hierbei stellt sich aber die Schwierigkeit, dass man erst einmal genau recherchieren muss, in was eingewilligt werden soll. Ich habe oben einiges von dieser Arbeit erledigt. Vielleicht ist das als Ausgangsbasis geeignet. Was die Datenspeicherung durch die Google Cloud angeht, sehe ich keine rechtssichere Möglichkeit, dafür eine Einwilligung abzufragen. Vergleiche hierzu Art. 12 DSGVO, nach dem der Nutzer u.a. in transparenter Weise aufzuklären ist.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie als Quelle für diesen Artikel oder die Verwendung von Ergebnissen aus diesem Artikel folgende Angabe (leichte Variationen sind erlaubt):
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/ist-mailjet-datenschutzkonform-nutzbar
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Bullshit-Rückblick Februar und Vorschau