LDA Bayern verbietet Einsatz des Newsletter-Tools Mailchimp

Obwohl bisher seitens des BayLDA keine offizielle Pressemitteilung zu dem Fall vorliegt, so geht aus einer veröffentlichten E-Mail der Bayerischen Landesaufsichtsbehörde für Datenschutz (BayLDA) hervor, dass aus deren Sicht der Einsatz des doch sehr geläufigen Newsletter-Tools „Mailchimp“ als unzulässig angesehen wird. Die aufgeführten Grundsätze, die zu der Entscheidung führten, belegen eine interessante Entwicklung und zeigt auf, dass die Aufsichtsbehörde langsam ernst machen und konkrete Arten der Datenverarbeitung verbieten.

Ein Unternehmen nutzte die Dienste von Mailchimp für den Versand von Newslettern. Es wurden außer der E-Mail-Adressen von Nutzern keine weiteren Daten an Mailchimp übermittelt. Neben dem grundsätzlichen Erfordernis einer Einwilligung im sog. „Double-Opt-In“-Verfahren müssen für die Datenübermittlung in die USA, welches als sog. Drittland (Land außerhalb der EU) gilt, die spezifischen Anforderungen der Art. 45 ff. DSGVO beachtet werden. Im konkreten Fall Mailchimp wurde die Datenübermittlung auf eine Garantie nach Art. 46 DSGVO, in Form von Standardvertragsklauseln gestützt.

Nach der Beschwerde eines Nutzers hat das Bay LDA entschieden, dass die Nutzung von Mailchimp in diesem Fall unzulässig war. Der alleinige Abschluss von Standardvertragsklauseln sei keine ausreichende Rechtsgrundlage für die Übermittlung der Daten in die USA. Es hätten weitere Maßnahmen geprüft werden müssen, um das Datenschutzniveau zu gewährleisten.

Nach unserer Bewertung war der Einsatz von Mailchimp durch […] in den beiden genannten Fällen – und somit auch die Übermittlung Ihrer E-Mail-Adresse an Mailchimp, die Gegenstand Ihrer Beschwerde ist – datenschutzrechtlich unzulässig, weil […] nicht geprüft hatte, ob für die Übermittlung an Mailchimp zusätzlich zu den (zum Einsatz gekommenen) EU-Standarddatenschutzklauseln noch „zusätzliche Maßnahmen“ im Sinne der EuGH-Entscheidung „Schrems II“ (EuGH, Urt. v. 16.7.2020, C-311/18) notwendig sind, um die Übermittlung datenschutzkonform zu gestalten, und vorliegend zumindest Anhaltspunkte dafür bestehen, dass Mailchimp grundsätzlich Datenzugriffen von US-Nachrichtendiensten auf Grundlage der US-Rechtsvorschrift FISA702 (50 U.S.C. § 1881) als möglicher sog. Electronic Communications Service Provider unterfallen kann und somit die Übermittlung nur unter Ergreifung solcher zusätzlicher Maßnahmen (sofern geeignet) zulässig sein konnte.

Nach dem bekannten sog. „Schrems-II-Urteil“ des EuGH vom 16.07.2020 steht die Datenübermittlung in die USA auf sehr wackligen Beinen. Das Urteil kippte das bisher für Datenübermittlungen in die USA angewandten sog. „Privacy Shield“ als Rechtsgrundlage, nach dem die Datenübermittlung aus der EU in den U.S. Raum zertifizierten Unternehmen gestützt werden konnte. Seit dem Fall des Privacy Shields gelten die USA seitdem als sog. „unsicheres Drittland“, da kein Angemessenheitsbeschluss nach Art. 45 DSGVO für die Übertragung von personenbezogenen Daten besteht.

Neben einer ordnungsgemäßen Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten müssen zusätzlich Anforderungen nach Art. 45 ff. DSGVO erfüllt werden, die die Übermittlung in das entsprechende Drittland rechtfertigen. Zwar wurde im Urteil des EuGHs insbesondere angeführt, dass eine Datenübermittlung auf sog. Garantien nach Art. 46 DSGVO wie Standardvertragsklauseln (englisch: „Standard Contractual Clauses oder „SCCs“) gestützt werden kann, es muss dann jedoch nachgewiesen werden können, dass geprüft wurde, ob ein gleichwertiges Datenschutzniveau besteht und ob ggf. noch weitere Maßnahmen zu treffen sind.

Der Europäische Datenschutzausschuss (EDSA) hat hierzu ein Dokument veröffentlicht, das zwar grundsätzlich noch in der Konsultation steht, aber bereits als Grundlage für die Einschätzung dient. In diesem Dokument werden typische Szenarien („Use Cases“) und Hinweise gegeben, wie solche Maßnahmen aussehen können gegeben.

Die Entscheidung des BayLDA hat zunächst keine generelle Bindungswirkung, denn sie ist nur eine Einzelfallentscheidung und entfaltet nur gegenüber dem Betroffenen Bindungswirkung. Die Entscheidung hat dennoch weitreichende Relevanz, da sie aufzeigt, welche Rechtsmeinung eine Datenschutzaufsichtsbehörde vertritt. Und das lässt zumindest vermuten, dass zukünftig weitere ähnliche Entscheidungen mit ähnlichem Inhalt folgen werden.

Das BayLDA hat vor allem bemängelt, dass das Tool bzw. der Dienstleister „Mailchimp“ ungeprüft eingesetzt wurde.

… Übermittlung Ihrer E-Mail-Adresse an Mailchimp, die Gegenstand Ihrer Beschwerde ist – datenschutzrechtlich unzulässig, weil […] nicht geprüft hatte, ob für die Übermittlung an Mailchimp zusätzlich zu den (zum Einsatz gekommenen) EU-Standarddatenschutzklauseln noch „zusätzliche Maßnahmen“ im Sinne der EuGH-Entscheidung „Schrems II“ (EuGH, Urt. v. 16.7.2020, C-311/18) notwendig sind …

Die EU-Standardvertragsklauseln allein reichen nicht immer. Daher sollte man mindestens folgende Punkte prüfen:

1. Welche Arten von personenbezogenen Daten sind betroffen und welche Gefahr bzw. welche Risiken bestehen für diese?
2. Welche Maßnahmen trifft der Dienstleister in den USA, um die Daten zu schützen? Und welche weiteren Maßnahmen müssen ggf. noch ergriffen werden?
3. Welche Anbieter innerhalb der EU könnten alternativ eingesetzt werden? Und welchen Aufwand würde eine Umstellung auf einen anderen Anbieter bedeuten?

Die Behörde hat in diesem Fall erstmal nur die Nutzung untersagt. Es wurde kein Bußgeld ausgesprochen. Ob dies auch zukünftig so sein wird, bleibt offen. Unternehmen, die zurzeit auf Dienstleister in den USA setzen und die Datenübermittlung nur auf Standardvertragsklauseln stützen, sollten zumindest die obige Abwägung und Risikoeinschätzung durchführen und gut dokumentieren. Rechtssicherheit bietet freilich auch diese Abwägung nicht.

Ergänzend sei noch erwähnt, dass selbst Dienstleister mit Sitz in der EU ähnlich problematisch werden können, wenn diese Unterauftragnehmer (sog. „Sub-Dienstleister“) wie Rechenzentren in den USA nutzen.

Sie nutzen das Newsletter-Tool Mailchimp und wollen sich auf der sicheren Seite wissen? Kontaktieren Sie uns! Unsere Experten helfen Ihnen gerne.

Quelle: GDPRhub.eu