„Egal ob Sie einen externen Datenschutzbeauftragten oder Beratung zu Datenschutz oder mehr IT Sicherheit benötigen. Durch meine langjährige Erfahrung als Datenschutzbeauftragter oder Berater im Betrieb hochsicherer Rechenzentren + IT Infrastrukturen mit den erforderlichen Schutzmaßnahmen auch in hochsensiblen Bereichen, stehe ich Ihnen mit meinem KnowHow und meiner umfassenden Erfahrung in Datenschutz und IT Security zur Verfügung. Dabei liegt mir immer Ihre Zufriedenheit am Herzen. Sprechen Sie mich an – gemeinsam finden wir die ideale Lösung.“
Obwohl bisher seitens des BayLDA keine offizielle Pressemitteilung zu dem Fall vorliegt, so geht aus einer veröffentlichten E-Mail der Bayerischen Landesaufsichtsbehörde für Datenschutz (BayLDA) hervor, dass aus deren Sicht der Einsatz des doch sehr geläufigen Newsletter-Tools „Mailchimp“ als unzulässig angesehen wird. Die aufgeführten Grundsätze, die zu der Entscheidung führten, belegen eine interessante Entwicklung und zeigt auf, dass die Aufsichtsbehörde langsam ernst machen und konkrete Arten der Datenverarbeitung verbieten.
Ein Unternehmen nutzte die Dienste von Mailchimp für den Versand von Newslettern. Es wurden außer der E-Mail-Adressen von Nutzern keine weiteren Daten an Mailchimp übermittelt. Neben dem grundsätzlichen Erfordernis einer Einwilligung im sog. „Double-Opt-In“-Verfahren müssen für die Datenübermittlung in die USA, welches als sog. Drittland (Land außerhalb der EU) gilt, die spezifischen Anforderungen der Art. 45 ff. DSGVO beachtet werden. Im konkreten Fall Mailchimp wurde die Datenübermittlung auf eine Garantie nach Art. 46 DSGVO, in Form von Standardvertragsklauseln gestützt.
Nach der Beschwerde eines Nutzers hat das Bay LDA entschieden, dass die Nutzung von Mailchimp in diesem Fall unzulässig war. Der alleinige Abschluss von Standardvertragsklauseln sei keine ausreichende Rechtsgrundlage für die Übermittlung der Daten in die USA. Es hätten weitere Maßnahmen geprüft werden müssen, um das Datenschutzniveau zu gewährleisten.
Nach unserer Bewertung war der Einsatz von Mailchimp durch […] in den beiden genannten Fällen – und somit auch die Übermittlung Ihrer E-Mail-Adresse an Mailchimp, die Gegenstand Ihrer Beschwerde ist – datenschutzrechtlich unzulässig, weil […] nicht geprüft hatte, ob für die Übermittlung an Mailchimp zusätzlich zu den (zum Einsatz gekommenen) EU-Standarddatenschutzklauseln noch „zusätzliche Maßnahmen“ im Sinne der EuGH-Entscheidung „Schrems II“ (EuGH, Urt. v. 16.7.2020, C-311/18) notwendig sind, um die Übermittlung datenschutzkonform zu gestalten, und vorliegend zumindest Anhaltspunkte dafür bestehen, dass Mailchimp grundsätzlich Datenzugriffen von US-Nachrichtendiensten auf Grundlage der US-Rechtsvorschrift FISA702 (50 U.S.C. § 1881) als möglicher sog. Electronic Communications Service Provider unterfallen kann und somit die Übermittlung nur unter Ergreifung solcher zusätzlicher Maßnahmen (sofern geeignet) zulässig sein konnte.