LDA Bayern untersagt Einsatz von Mailchimp

HMDATA Datenschutz-Newsletter 04/2021, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024

Ende März wurde einem Unternehmen durch Unterlassungsaufforderung des bayerischen Landesamtes für Datenschutzaufsicht der Einsatz des beliebten E-Mail-Newsletter-Tools Mailchimp untersagt. Dies erfolgte im Zusammenhang mit dem als "Schrems-II-Urteils" des EuGH bekannt gewordenen Erlasses, die Verarbeitung von US-Dienstleistern nach dem Privacy-Shield-Abkommen als ungültig zu erklären.

Nun ist nichts gegen ein rechtskonformes E-Mail-Marketing oder einen Newsletter-Versand auszusetzen, solange die wenigen Voraussetzungen nach DSGVO eingehalten sind. Auch ist nicht grundsätzlich die Übermittlung an US-Dienstleister untersagt, allerdings ist hierfür die Einhaltung der sogenannten SCC (Standard-Vertragsklauseln) unabdingbar, und diese liegen im Nachweis- und Prüfungsbereich der jeweiligen Unternehmen.

Das heißt, zu prüfen wäre:

• ob das Datenschutzniveau im Empfängerland dem des Geltungsbereiches der EU-DSGVO entspricht
• Standard-Vertragsklauseln vereinbart werden können
• oder ein besonderer Ausnahmetatbestand nach Art. 49 DSGVO vorliegt

Im Falle von Mailchimp oder den meisten anderen US-Dienstleistern wird die Verarbeitung mit Standard-Vertragsklauseln rechtmäßig werden. Allerdings: die Verantwortung und das Ergebnis der Prüfung ist durch das jeweilige beauftragende Unternehmen durchzuführen. Und diese Prüfung wurde im oben genannten Fall nicht durchgeführt.

Das LDA Bayern schreibt hierzu: „Nach unserer Bewertung war der Einsatz von Mailchimp […] – und somit auch die Übermittlung Ihrer E-Mail-Adresse an Mailchimp, […] datenschutzrechtlich unzulässig, weil […] nicht geprüft hatte, ob für die Übermittlung an Mailchimp zusätzlich zu den (zum Einsatz gekommenen) EU-Standarddatenschutzklauseln noch „zusätzliche Maßnahmen“ im Sinne der EuGH-Entscheidung „Schrems II“ […] notwendig sind, um die Übermittlung datenschutzkonform zu gestalten, und vorliegend zumindest Anhaltspunkte dafür bestehen, dass Mailchimp grundsätzlich Datenzugriffen von US-Nachrichtendiensten auf Grundlage der US-Rechtsvorschrift FISA702 (50 U.S.C. § 1881) als möglicher sog. Electronic Communications Service Provider unterfallen kann und somit die Übermittlung nur unter Ergreifung solcher zusätzlicher Maßnahmen (sofern geeignet) zulässig sein konnte. Wir haben dem Unternehmen mitgeteilt, dass daher die o.g. Übermittlungen personenbezogener Daten in die USA unzulässig waren.“

Einschätzung:

Nun sagt uns dieser Fall mehrlerlei:

1. a) die Landsdatenschutzbehörden bleiben nicht untätig und prüfen Fälle der Verarbeitung, die bisher nach dem mittlerweile unrechtmäßigen "Privacy-Shield-Verfahren" beruhten
2. b) es wurde kein Bußgeld verhängt, sondern nur eine Unterlassung des Einsatzes ausgesprochen
3. c) Mailchimp steht nur stellvertretend für viele andere US-Dienstleister
4. d) Unternehmen sollten Ihrer Prüf- und Dokumentationspflicht bei Einsatz von Standardvertragsklauseln nachkommen

Insofern rentiert nur einmal mehr die Suche nach adäquaten Dienstleistern, die nach EU-DSGVO Ihre Dienstleistungen anbieten.