{"id":1088,"date":"2021-05-25T11:44:39","date_gmt":"2021-05-25T09:44:39","guid":{"rendered":"http:\/\/blog.eprivacy.eu\/?p=1088"},"modified":"2021-05-25T11:52:47","modified_gmt":"2021-05-25T09:52:47","slug":"baylda-erklaert-mailchimp-fuer-unzulaessig","status":"publish","type":"post","link":"https:\/\/blog.eprivacy.eu\/?p=1088&lang=de","title":{"rendered":"BayLDA erkl\u00e4rt Mailchimp f\u00fcr unzul\u00e4ssig"},"content":{"rendered":"\n

Schon mehrfach haben wir an dieser Stelle \u00fcber die Auswirkungen des \u201eSchrems-II-Urteils\u201c des Europ\u00e4ischen Gerichtshofs (EuGH) berichtet. 

\u201eSchrems-II\u201c kippte k\u00fcrzlich das Privacy Shield \u00fcber welches eine Daten\u00fcbertragung in die USA in bestimmten F\u00e4llen m\u00f6glich war. Seit der Urteilsverk\u00fcndung gelten die USA als unsicheres Drittland und personenbezogene Daten d\u00fcrfen in einem Drittland nur dann verarbeitet werden, wenn gepr\u00fcft wurde, ob das Datenschutzniveau in dem Drittland dem Datenschutzniveau in der EU entspricht.

Nun hat das Bayerische Landesamt f\u00fcr Datenschutzaufsicht (BayLDA) am Beispiel von Mailchimp ein Exempel statuiert, denn beim Versenden eines Newsletters \u00fcber den e-mail-Marketing-Service Mailchimp werden die email Adressen der Nutzer an Mailchimp \u00fcbertragen. Sitz des Unternehmens ist in den USA, damit handelt sich um einen klassischen Drittlandtransfer – die Daten werden in ein Land au\u00dferhalb der EU bzw des EWR weitergeleitet – weshalb Artikel 45 ff. der DSGVO zu beachten ist.

Das Bayrische Landesamt f\u00fcr Datenschutz hat nun entschieden, dass der alleinige Abschluss von Standardvertragsklauseln hier keine ausreichende Rechtsgundlage f\u00fcr die \u00dcbermittlung der Daten in die USA darstellt. Vielmehr h\u00e4tten zur Sicherstellung des Datenschutzniveaus auch weitere Ma\u00dfnahmen gepr\u00fcft werden m\u00fcssen. Zur Entscheidung der Aufsichtsbeh\u00f6rde geh\u00f6rt, dass E-Mail-Adressen nicht bei Mailchimp gespeichert werden d\u00fcrfen, wenn die Zul\u00e4ssigkeit der Speicherung nicht zuvor gesondert gepr\u00fcft wurde. Die Unterlassung der Pr\u00fcfung bedeutete bereits einen Datenschutzversto\u00df.

Zwar handelt es sich bei der Entscheidung des Bayerischen Landesamtes um eine Einzelfallentscheidung, jedoch kann man vermuten, dass weitere Entscheidungen in diesem Zusammenhang erfolgen werden.

W\u00f6rtlich hei\u00dft es in der Begr\u00fcndung:<\/strong>
\u201eNach unserer Bewertung war der Einsatz von Mailchimp durch [\u2026] in den beiden genannten F\u00e4llen \u2013 und somit auch die \u00dcbermittlung Ihrer E-Mail-Adresse an Mailchimp, die Gegenstand Ihrer Beschwerde ist \u2013 datenschutzrechtlich unzul\u00e4ssig, weil [\u2026] nicht gepr\u00fcft hatte, ob f\u00fcr die \u00dcbermittlung an Mailchimp zus\u00e4tzlich zu den (zum Einsatz gekommenen) EU-Standarddatenschutzklauseln noch \u201ezus\u00e4tzliche Ma\u00dfnahmen\u201c im Sinne der EuGH-Entscheidung \u201eSchrems II\u201c (EuGH, Urt. v. 16.7.2020, C-311\/18) notwendig sind, um die \u00dcbermittlung datenschutzkonform zu gestalten, und vorliegend zumindest Anhaltspunkte daf\u00fcr bestehen, dass Mailchimp grunds\u00e4tzlich Datenzugriffen von US-Nachrichtendiensten auf Grundlage der US-Rechtsvorschrift FISA702 (50 U.S.C. \u00a7 1881) als m\u00f6glicher sog. Electronic Communications Service Provider unterfallen kann und somit die \u00dcbermittlung nur unter Ergreifung solcher zus\u00e4tzlicher Ma\u00dfnahmen (sofern geeignet) zul\u00e4ssig sein konnte.\u201c<\/em>

Was muss also beachtet werden?<\/strong>
Hat man Mailchimp f\u00fcr den Newsletterversand bisher genutzt, so sollte man folgende Details gut pr\u00fcfen:<\/p>\n\n\n\n