BayLDA erklärt Mailchimp für unzulässig

Schon mehrfach haben wir an dieser Stelle über die Auswirkungen des „Schrems-II-Urteils“ des Europäischen Gerichtshofs (EuGH) berichtet. 

„Schrems-II“ kippte kürzlich das Privacy Shield über welches eine Datenübertragung in die USA in bestimmten Fällen möglich war. Seit der Urteilsverkündung gelten die USA als unsicheres Drittland und personenbezogene Daten dürfen in einem Drittland nur dann verarbeitet werden, wenn geprüft wurde, ob das Datenschutzniveau in dem Drittland dem Datenschutzniveau in der EU entspricht.

Nun hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) am Beispiel von Mailchimp ein Exempel statuiert, denn beim Versenden eines Newsletters über den e-mail-Marketing-Service Mailchimp werden die email Adressen der Nutzer an Mailchimp übertragen. Sitz des Unternehmens ist in den USA, damit handelt sich um einen klassischen Drittlandtransfer – die Daten werden in ein Land außerhalb der EU bzw des EWR weitergeleitet – weshalb Artikel 45 ff. der DSGVO zu beachten ist.

Das Bayrische Landesamt für Datenschutz hat nun entschieden, dass der alleinige Abschluss von Standardvertragsklauseln hier keine ausreichende Rechtsgundlage für die Übermittlung der Daten in die USA darstellt. Vielmehr hätten zur Sicherstellung des Datenschutzniveaus auch weitere Maßnahmen geprüft werden müssen. Zur Entscheidung der Aufsichtsbehörde gehört, dass E-Mail-Adressen nicht bei Mailchimp gespeichert werden dürfen, wenn die Zulässigkeit der Speicherung nicht zuvor gesondert geprüft wurde. Die Unterlassung der Prüfung bedeutete bereits einen Datenschutzverstoß.

Zwar handelt es sich bei der Entscheidung des Bayerischen Landesamtes um eine Einzelfallentscheidung, jedoch kann man vermuten, dass weitere Entscheidungen in diesem Zusammenhang erfolgen werden.

Wörtlich heißt es in der Begründung:
„Nach unserer Bewertung war der Einsatz von Mailchimp durch […] in den beiden genannten Fällen – und somit auch die Übermittlung Ihrer E-Mail-Adresse an Mailchimp, die Gegenstand Ihrer Beschwerde ist – datenschutzrechtlich unzulässig, weil […] nicht geprüft hatte, ob für die Übermittlung an Mailchimp zusätzlich zu den (zum Einsatz gekommenen) EU-Standarddatenschutzklauseln noch „zusätzliche Maßnahmen“ im Sinne der EuGH-Entscheidung „Schrems II“ (EuGH, Urt. v. 16.7.2020, C-311/18) notwendig sind, um die Übermittlung datenschutzkonform zu gestalten, und vorliegend zumindest Anhaltspunkte dafür bestehen, dass Mailchimp grundsätzlich Datenzugriffen von US-Nachrichtendiensten auf Grundlage der US-Rechtsvorschrift FISA702 (50 U.S.C. § 1881) als möglicher sog. Electronic Communications Service Provider unterfallen kann und somit die Übermittlung nur unter Ergreifung solcher zusätzlicher Maßnahmen (sofern geeignet) zulässig sein konnte.“

Was muss also beachtet werden?
Hat man Mailchimp für den Newsletterversand bisher genutzt, so sollte man folgende Details gut prüfen:

  • Bewertung des Gefährdunggrades: In Abhängigkeit von den Inhalten des Newsletters: welche personenbezogenen Daten werden übermittelt und welche Gefahren bestehen für diese, z. B. Könnten US Geheimdienste auf die Daten zugreifen?
  • Was wird für die Sicherung des Datenschutzniveaus getan? Welche Maßnahmen werden getroffen, um die Daten zu schützen – gibt es Verbesserungsbedarf?
  • Welche Alternativen gibt es? Kann ein Deutscher bzw. Europäischer Anbieter die Aufgabe in gleicher Weise erfüllen? Ist der der damit verbundene Aufwand bzw. sind die Kosten für einen Wechsel zu rechtfertigen? Oder sprechen Punkte dagegen (Einarbeitung des Teams, etc.)

Im hier vorliegenden Fall hat der BayLDA bemängelt, dass offenbar obige Prüfungen und die Suche nach Alternativen versäumt wurde. Die Behörde stellte die Unzulässigkeit der Datenübermittlung fest. Aufsichtsbehördliche Maßnahmen, bzw. Bußgelder wurden zwar nicht verhängt. Jedoch sollte in vergleichbaren Fällen künftig eine Dokumentation erfolgen und entsprechende Abwägungen durchgeführt werden. Rechtssicherheit aber bedeutet dies für die Zukunft bzw. vergleichbare Fälle nicht.

Zusammenfassend kann man sagen:
Werden Daten in die USA übermittelt, herrscht aufgrund des EuGH-Urteils „Schrems II“ immer noch Unsicherheit, ob und wie sich solche Transfers rechtlich legitimieren lassen. Entscheidet man sich dafür, Mailchimp weiter zu nutzen, so ist zu dokumentieren, warum ein Wechsel zu einem Dienst ohne US-Transferproblematik nicht möglich ist.
Entscheidet man sich dafür, einen Anbieter in der EU zu suchen, so aber auch dann zu prüfen, ob dieser ggf. mit Subdienstleistern arbeitet, die Ihren Sitz in den USA haben.