Einhaltung von DSGVO und EU-Datenschutzregeln

Erfahren Sie mehr darüber, in wie weit die DSGVO für Ihre Mailgun-Nutzung gilt und was wir tun, um sie einzuhalten und Ihnen mehr Kontrolle über Ihre Daten zu geben.

Zuletzt überarbeitet am 28.08.2020

Einführung in die DSGVO

Mailgun ist ein starker Verfechter des Datenschutzes. Die Rechte unserer Nutzer sind uns sehr wichtig. Bereits im Vorfeld der Einführung der DSGVO (der seit dem 25. Mai 2018 gültigen EU-Datenschutzrichtlinie) haben wir hart an der Entwicklung neuer Funktionen gearbeitet, die Kunden eine bessere Kontrolle der auf unserer Plattform gespeicherten Daten ermöglichen. Diese Funktionen sind für alle unsere Kunden zugänglich, egal ob die Regelungen der DSGVO für sie gelten oder nicht.

Wir haben diese Informationen für Sie zusammengestellt, damit Sie sehen, wie sich die DSGVO auf Ihre Nutzung von Mailgun auswirkt und was wir getan haben, um DSGVO-Konformität sicherzustellen.

Bitte lesen Sie die folgenden Informationen sorgsam durch und stellen Sie sie Ihrem Datenschutzteam zur Verfügung.

Hinweis: EU-Datenschutzgesetze wie die DSGVO sind komplex. Dieser Leitfaden ist nicht als Rechtsberatung zu verstehen. Bitte wenden Sie sich an einen Rechtsexperten, um zu erfahren, wie sich die DSGVO auf Ihr Unternehmen auswirkt.

Was ist die Datenschutz-Grundverordnung (DSGVO)?

Die DSGVO ist eine EU-Verordnung, dank der die Datenschutzgesetze der gesamten Europäischen Union vereinheitlicht wurden. Diese neue Verordnung bietet Einwohnern der EU größere Transparenz und bessere Kontrolle über die Nutzung ihrer personenbezogenen Daten und nimmt Unternehmen, die diese verarbeiten, in die Verantwortung für ihre Entscheidungen. Auch Unternehmen, die ihren Sitz nicht in der EU haben, sind verpflichtet, die DSGVO einzuhalten, sofern sie personenbezogene Daten in der EU erfassen oder verarbeiten.

Ist Mailgun ein Datenverantwortlicher oder ein Auftragsverarbeiter?

Wenn Ihre Datenverarbeitungstätigkeiten in den Anwendungsbereich der DSGVO fallen, ist eine der ersten Fragen, die Sie sich stellen sollten: „Bin ich ein Verantwortlicher für die Datenverarbeitung oder ein Datenverarbeiter?“ Die Antwort auf diese Frage bestimmt, welche Verpflichtungen zur Einhaltung der DSGVO bestehen. Der Datenverantwortliche ist die Organisation, die die Zwecke und Mittel der Verarbeitung bestimmt. Als Kunde von Mailgun sind Sie Datenverantwortlicher, wenn Sie unsere Produkte und Dienstleistungen nutzen. Sie sind dafür verantwortlich, dass die von Ihnen erhobenen personenbezogenen Daten rechtmäßig verarbeitet werden und dass Sie Auftragsverarbeiter wie Mailgun einsetzen, die ausreichende Garantien für die Erfüllung der wichtigsten Anforderungen der DSGVO bieten.

Mailgun gilt als Auftragsverarbeiter. Wir handeln entsprechend der Anweisungen des Datenverantwortlichen (das sind Sie), die in Form von API- oder SMTP-Anfragen eingehen. Ähnlich wie bei den für die Datenverarbeitung Verantwortlichen wird von Auftragsverarbeitern erwartet, dass sie die Datenschutz-Grundverordnung einhalten.

Auf welcher rechtlichen Grundlage können Sie personenbezogene Daten erfassen und verarbeiten?

Als Auftragsverarbeiter sind wir auf unsere Kunden angewiesen, damit personenbezogene Daten nur aus einem der in der DSGVO genannten rechtmäßigen Verarbeitungsgründen erhoben werden. Sie als Datenverantwortlicher können personenbezogene Daten auf einer der folgenden gesetzlichen Grundlagen erheben: (i) Einwilligung; (ii) die Verarbeitung ist für die Erfüllung eines Vertrags, den Sie mit der betroffenen Person geschlossen haben, erforderlich; (iii) die Verarbeitung ist für die Erfüllung einer rechtlichen Verpflichtung erforderlich; (iv) Sie müssen die lebenswichtigen Interessen der betroffenen Person oder einer anderen Person schützen; (v) Sie (oder ein anderer Dritter) haben ein berechtigtes Interesse an der Verarbeitung personenbezogener Daten und die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen nicht.

Welche personenbezogenen Daten sammelt Mailgun und wie werden sie verwendet?

Wir verpflichten uns zur Transparenz im Umgang mit personenbezogenen Daten und deren Verarbeitung. Als einer unserer Kunden sollten Sie wissen, wie wir in Ihrem Namen mit personenbezogenen Daten umgehen.

Wir speichern Ihre Daten nur so lange, wie diese benötigt werden, um Ihnen unsere Dienste bereitzustellen. Sofern möglich, verwenden wir Mechanismen, mit denen wir Daten automatisch entfernen, nachdem sie für die Bereitstellung unserer Dienste nicht mehr erforderlich sind.

Nachrichtentexte

Mailgun speichert die Nachrichtentexte bis zu sieben Tage lang, sowohl für eingehende als auch ausgehende Nachrichten. Dank der temporären Speicherung lassen sich bei unzugestellten Nachrichten erneute Zustellungsversuche durchzuführen. Kunden, die unsere Parsingfunktion nutzen, rufen damit eingehende Nachrichten ab.

Für einige Kunden kann der Aufbewahrungszeitraum für Nachrichten teilweise angepasst werden, auf der Grundlage schriftlicher Anweisungsübermittlung zwischen dem Kunden und Mailgun. Zusätzlich bieten wir Funktionen, die das programmatische Abrufen von Nachrichten verhindern oder das sichere Löschen der Nachrichten nach der Zustellung ermöglichen.

Zu guter Letzt können unsere Mitarbeiter auf Textkörper zugreifen, um Kunden bei der Behebung von Zustellungsproblemen oder als Reaktion auf eine mögliche Verletzung der Nutzungsrichtlinie zu unterstützen. Der Zugang der Mitarbeiter wird regelmäßig überprüft, und alle Mitarbeiter, die mit personenbezogenen Daten in Berührung kommen, unterliegen unseren Verschwiegenheitserklärung.

Metadaten der Nachricht

Die Metadaten einer Nachricht, die den Absender, den/die Empfänger, die Betreffzeile, die IP-Adresse des Absenders und andere Routing-Daten enthalten, werden katalogisiert und 30 Tage lang gespeichert.

Wenn Nachrichten von Mailgun verarbeitet werden, erstellen wir diskret Ereignisse von jedem Dienst, der Nachrichten verarbeitet. Diese Daten sind nützlich bei der Behebung von Verarbeitungs- und Zustellungsproblemen, die beim Nachrichtenversand auftreten. Alle diese Daten sind in unseren Protokollen und unserer Ereignis-API aufrufbar.

Zu guter Letzt können auch unsere Mitarbeiter auf diese Ereignisdaten zugreifen, um Kunden bei Supportanfragen oder als Reaktion auf eine mögliche Verletzung der Nutzungsrichtlinie zu unterstützen.

Unterdrückungen

Unterdrückungen sind E-Mail-Adressen die aufgrund eines Hard Bounce, einer Spambeschwerde oder einer Abmeldung dauerhaft gespeichert werden. Wir speichern Unterdrückungen für Sie, bis Sie sie entfernen oder Ihr Konto gelöscht wurde.

Bei der Entfernung von Unterdrückungen werden diese dauerhaft aus dem System gelöscht. Möglicherweise werden sie bis zu 30 Tage nach der Entfernung in einem Backup für die Wiederherstellung im Notfall gespeichert.

Empfängerdaten

Mailgun speichert die zu den E-Mail-Adressen gehörigen Daten zur Aktivität der Empfänger in einem gehashten (pseudonymisierten) Format. Diese Daten ermöglichen es uns, E-Mail-Adressen genauer vorzusortieren, potentiell riskante Absender zu erkennen, die sich negativ auf Ihre Reputation als Absender auswirken könnten, und Kunden bei der Optimierung ihrer Zustellprozesse behilflich zu sein.

Diese Empfängerdaten werden nur im Rahmen der Bereitstellung der Mailgun-Dienste verwendet.

Was haben wir unternommen, um DSGVO-konform zu sein?

Als Datenverarbeiter haben wir bestimmte Verpflichtungen im Rahmen der DSGVO. In diesem Abschnitt stellen wir Ihnen vor, wie wir Ihre personenbezogenen Daten verarbeiten und was wir tun, damit Sie und alle unsere Kunden uns guten Gewissens vertrauen können.

Um die DSGVO einzuhalten, haben wir eine umfassende Risikoanalyse aller Anwendungen durchgeführt, die möglicherweise personenbezogene Daten von Einzelpersonen in der EU verarbeiten. Auf der Grundlage der Ergebnisse haben wir dann geeignete Maßnahmen ergriffen, um die Vorschriften zu erfüllen.

Zunächst haben wir ein engagiertes Team aus Datenschutz- und Cybersicherheitsexperten zusammengestellt, das unsere Verarbeitung personenbezogener Daten beobachter und sicherstellt, dass wir stets den Schutz Ihrer Daten im Blick haben.

Unserem Team ist es zu verdanken, dass wir vorausschauend Schritte zur Einhaltung der DSGVO gegangen sind:

Wir haben neue Richtlinien und Prozesse eingeführt oder arbeiten an selbigen, damit wir die Anforderungen der DSGVO erfüllen, um Verletzungen des Schutzes personenbezogener Daten zu erkennen und unsere Kunden unverzüglich zu benachrichtigen. Wir haben Verfahren entwickelt, um die Anfragen betroffener Personen zu bearbeiten und Sie über solche Anfragen zu informieren. Wir haben unsere bestehenden Datenschutzregelungen und -kontrollen überprüft und angepasst. Diese werden kontinuierlich getestet und an sich ändernde Vorschriften und gesetzliche Regelungen angepasst. Wir haben einen Datenschutzbeauftragten ernannt, der für die Einhaltung der DSGVO in unserem gesamten Unternehmen verantwortlich ist. Wir führen regelmäßig Schulungen zum Thema Datenschutz für unsere Mitarbeiter und Angestellten durch. Wir haben eine Übersicht über die Aktivitäten erstellt, bei denen wir Daten verarbeiten, und pflegen diese auch weiterhin. Dies sind nur einige der Schritte auf unserem Weg zur Einhaltung der DSGVO, den wir nie als beendet sehen, da er uns sehr am Herzen liegt. Weitere Informationen zur GDPR finden Sie bei Mailjet.

Wie steht es um die Unterauftragsverarbeiter von Mailgun?

Auftragsverarbeiter greifen bei der Verarbeitung personenbezogener Daten möglicherweise wiederum auf Dritte zurück. Diese werden in der Regel als „Unterauftragsverarbeiter“ bezeichnet. Bei Mailgun nutzen wir Cloud-Infrastrukturanbieter wie Amazon Web Services, Rackspace, Softlayer und Google Cloud Platform zum Hosting von Mailgun. Wie in der DSGVO vorgeschrieben, haben wir mit unseren Unterauftragsverarbeitern angemessene Vereinbarungen getroffen, um die personenbezogenen Daten zu schützen, die wir in Ihrem Auftrag verarbeiten. Falls Sie bei uns Kunde sind, stellen wir Ihnen gerne eine vollständige Liste aller unserer Unterauftragsverarbeiter zur Verfügung.

Wie unterstützen wir Sie im Umgang mit Datenschutzrechten?

Im Rahmen der DSGVO haben EU-Einwohner Zugriff auf ihre personenbezogenen Daten sowie das Recht auf ihre Korrektur, Löschung und Export. Sie sind ebenfalls dazu berechtigt, die Verarbeitung Ihrer personenbezogenen Daten einzuschränken.

Wir haben unsere Plattform mit mehreren Selbstbedienungsfunktionen ausgestattet, die unsere Kunden nutzen, um die auf unserer Plattform gespeicherten personenbezogenen Daten zu überprüfen und auf Anfragen zu personenbezogenen Daten zu reagieren.

Diese Funktionen wahren insbesondere das Recht auf Datenübertragbarkeit, das Recht auf Auskunft und das Recht auf Vergessenwerden.

Wenn wir als Auftragsverarbeiter direkt eine Anfrage von einer betroffenen Person erhalten, fordern wir den jeweiligen Kunden innerhalb von sieben Tagen auf, der Anfrage der betroffenen Person nachzukommen (sofern nicht anderweitig gesetzlich vorgeschrieben).

Was ist eine Vereinbarung zur Datenverarbeitung und brauchen Sie eine?

Als Verantwortlicher für die Datenverarbeitung sind Sie laut der DSGVO verpflichtet, eine Vereinbarung mit Ihren Datenverarbeitern zu unterzeichnen. Diese wird als „Auftragsverarbeitungsvertrag“ („AV-Vertrag“) bezeichnet und bestimmt die erforderlichen Handlungsweisen des für die Datenverarbeitung Verantwortlichen und des Datenverarbeiters, um die Anforderungen der DSGVO zu erfüllen.

Um Ihnen die Arbeit zu erleichtern, haben wir einen AV-Mustervertrag zur Unterzeichnung für unsere Kunden bereitgestellt. Unsere Vereinbarung über die Datenverarbeitung erfüllt die Anforderungen des Artikels 28 der DSGVO. Sie umfasst die jeweiligen Verpflichtungen von Mailgun als Datenverantwortlichem und unseren Kunden als Datenverarbeitern.

Mailguns AV-Vertrag ansehen

Wie stellen wir sicher, dass personenbezogene Daten nur rechtmäßig außerhalb des EWR transferiert werden?

Die Datenschutz-Grundverordnung (DSGVO) schreibt nicht vor, dass Datenverarbeitungsaktivitäten auf die EU beschränkt sein müssen, sondern regelt die Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums (EWR). Zu diesem Zweck sieht die DSGVO verschiedene Übermittlungsmechanismen vor.

Wir haben uns im Rahmen des EU-US Privacy Shield Framework des US-Handelsministeriums (Privacy Shield) zertifiziert. Sie können unsere Zertifizierung in der Privacy-Shield-Liste des US-Handelsministeriums einsehen, indem Sie hier nach „Mailgun“ suchen: https://www.privacyshield.gov/list.

Zusätzlich zum Privacy Shield (und insbesondere seitdem dieser durch den EU-Gerichtshof als ungültig erklärt wurde) haben wir als weiteren rechtmäßigen Mechanismus für die Übermittlung von Daten zwischen der EU und den USA Standardvertragsklauseln aufgesetzt, die Teil unserer Vereinbarung zur Datenverarbeitung sind. Die Standardvertragsklauseln sind von der EU-Kommission veröffentlichte Musterklauseln, die die Übermittlung personenbezogener Daten zwischen einem Datenexporteur im EWR und einem Datenimporteur außerhalb des EWR erleichtern sollen.

Zuletzt überarbeitet am 28.08.2020