linkedIn Logo   LINKEDIN
facebook LogoFACEBOOK
XING LogoXING

Bayerische Datenschutzaufsicht erklärt Mailchimp für unzulässig

Zahlreiche Unternehmen nutzen für den Versand von Newslettern den US-Anbieter Mailchimp. Vor kurzem wurde Mailchimp durch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in einem Fall für unzulässig erklärt.

Abschluss von Standardvertragsklauseln reicht nicht

Damit E-Mail-Adressen für den Versand von werblichen Informationen genutzt werden dürfen, ist eine Einwilligung der Newslettern-Abonnenten im sog. „Double-Opt-In“-Verfahren erforderlich.

Neben dieser allgemeinen Legitimationsgrundlage der Datenverarbeitung müssen für die Übermittlung von Daten (E-Mail-Adressen, ggf. Namensangaben) an die USA als sog. Drittland (Land außerhalb der EU/ des EWR) die spezifischen Anforderungen der Art. 45 ff. DSGVO beachtet werden. Das hier betroffenen Unternehmen hatte die Datenübermittlung auf Standardvertragsklauseln nach Art. 46 DSGVO gestützt.

Nach der Beschwerde eines Nutzers hatte sich die BayLDA mit der Nutzung des US-Dienstes in dem Unternehmen zu befassen. Das Landesamt entschied, dass die Nutzung von Mailchimp in diesem Fall unzulässig war. Der alleinige Abschluss von Standardvertragsklauseln sei keine ausreichende Rechtsgrundlage für die Übermittlung der Daten in die USA. Es hätten weitere Maßnahmen geprüft werden müssen, um das Datenschutzniveau zu gewährleisten.

Wörtlich führt das BayLDA aus:

„Nach unserer Bewertung war der Einsatz von Mailchimp durch […] in den beiden genannten Fällen – und somit auch die Übermittlung Ihrer E-Mail-Adresse an Mailchimp, die Gegenstand Ihrer Beschwerde ist – datenschutzrechtlich unzulässig, weil […] nicht geprüft hatte, ob für die Übermittlung an Mailchimp zusätzlich zu den (zum Einsatz gekommenen) EU-Standarddatenschutzklauseln noch „zusätzliche Maßnahmen“ im Sinne der EuGH-Entscheidung „Schrems II“ (EuGH, Urt. v. 16.7.2020, C-311/18) notwendig sind, um die Übermittlung datenschutzkonform zu gestalten, und vorliegend zumindest Anhaltspunkte dafür bestehen, dass Mailchimp grundsätzlich Datenzugriffen von US-Nachrichtendiensten auf Grundlage der US-Rechtsvorschrift FISA702 (50 U.S.C. § 1881) als möglicher sog. Electronic Communications Service Provider unterfallen kann und somit die Übermittlung nur unter Ergreifung solcher zusätzlicher Maßnahmen (sofern geeignet) zulässig sein konnte.“

„Schrems II“ und die Auswirkungen auf die Nutzung von Mailchimp

Die Aufsichtsbehörde hat nicht entschieden, dass der Einsatz von Mailchimp generell unzulässig ist. Sie hat aber entschieden, dass E-Mail-Adressen nicht bei Mailchimp gespeichert werden dürfen, wenn die Zulässigkeit der Speicherung nicht zuvor gesondert geprüft wurde.

Denn Mailchimp ist ein US-Unternehmen und die USA wiederum ein Drittland im Sinne der DSGVO. Personenbezogene Daten dürfen in einem Drittland jedoch nur dann verarbeitet werden, wenn geprüft wurde, ob das Datenschutzniveau in dem Drittland dem Datenschutzniveau in der EU entspricht.

Schon die unterlassene Prüfung des Einsatzes von Mailchimp im Hinblick auf das Datenschutzniveau, stellt bereits einen Datenschutzverstoß dar.

Die Prüfung des Einsatzes von Mailchimp als ein US-Dienst, besteht aus drei wesentlichen Schritten:

  • Erwägung einer Alternative – Begründung, warum keine andere gleichwertige Alternative statt Mailchimp eingesetzt wird (z.B. Kosten und Risiken der Umstellung, Einarbeitung Team, etc.).
  • Bewertung des Gefährdungsgrades für die Abonnenten – Der Gefährdungsgrad hängt davon ab, welche möglichen Folgen für die Abonnenten mit welcher Wahrscheinlichkeit drohen, falls US-Geheimdienste auf deren Daten zugreifen. Dabei wird es maßgeblich auf die mögliche Brisanz des Newsletters aus dem Blickwinkel der USA ankommen. Vor allem Newsletter, die politisch den Ansichten der USA entgegenstehen oder auf eine ansteckende Krankheit hindeuten, könnten z.B. zu Einreiseerschwernissen oder -verboten führen. Bei einem reinen Marketing-Newsletter wären solche Folgen dagegen nicht zu erwarten.
  • Sicherung des Datenschutzniveaus – Der Anspruch an das Datenschutzniveau hängt von dem zuvor beschriebenen Gefährdungsgrad der Abonnenten ab. So sichert Mailchimp mittels der Standardvertragsklauseln die Einhaltung des nötigen Datenschutzniveaus zu. Ferner legt Mailchimp dar, wie der Zugang zu den Nutzerdaten verhindert wird (Verschlüsselung, Prüfung von Anfragen auf Erforderlichkeit und Zulässigkeit sowie Veröffentlichung eines Transparenzberichts).

Schon beim ersten Prüfungspunkt ließe sich einwenden, dass es viele EU-Alternativen zu Mailchimp gibt. Allein deshalb könnte die Prüfung zu Ungunsten von Mailchimp ausgehen. Allerdings lässt sich nicht von der Hand weisen, dass manche Unternehmen schon seit Jahren mit Mailchimp arbeiten, die Mitarbeiter angelernt und mit dem Programm vertraut sind und möglicherweise bereits entsprechende Schnittstellen programmiert worden sind. Aus diesem Blickwinkel wäre ein Wechsel zu einem EU-Anbieter ggf. unzumutbar.

Beachten Sie auch, dass es selbst bei einem Anbieter mit Sitz in der EU nicht ausgeschlossen ist, dass Daten in die USA übermittelt werden. Den auch EU-Unternehmen können Subunternehmer einsetzen, die Daten in den USA verarbeiten.

Fazit

Werden Daten in die USA übermittelt, herrscht aufgrund des EuGH-Urteils „Schrems II“ derzeit große Unsicherheit, wie sich solche Transfers rechtlich legitimieren lassen. Generell gilt: Bei der Übermittlung personenbezogener Daten in die USA ist seit dem Urteil besondere Vorsicht geboten. Insbesondere reicht es nicht mehr aus, Standardvertragsklauseln abzuschließen. Im Falle eines unzureichenden Datenschutzniveaus in dem Drittstaat müssen über die Standardvertragsklauseln hinaus weitere Maßnahmen getroffen werden. Speziell für die USA muss mit Blick auf die dortige Überwachungs-Gesetzgebung FISA und die diesbezüglichen Aussagen des EuGHs davon ausgegangen werden, dass kein angemessenes Datenschutzniveau besteht.

Der Europäische Datenschutzausschuss (EDSA) ist daher der Ansicht (PDF der „Recommendations01/2020on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data), dass eine Übermittlung personenbezogener Daten allein auf Basis von Standardvertragsklauseln in Drittstaaten in vielen Fällen nicht mehr möglich ist, sodass zusätzliche Sicherungsmaßnahmen erforderlich sind. Dabei sind nach Empfehlung des EDSA allein technische Maßnahmen wie Ende-zu-Ende-Verschlüsselung oder Pseudonymisierung geeignet, den Zugriff durch Sicherheitsbehörden auf die übermittelten Daten zu verhindern. Organisatorische und vertragliche Zusicherungen eines Dienstleisters allein genügen hingegen nicht.

Unternehmen, die Mailchimp und andere US-Dienste einsetzen, können Risiken zumindest minimieren, indem sie nachvollziehbar dokumentieren, warum sie diesen Dienst einsetzen und warum ein Wechsel zu einem Dienst ohne US-Transferproblematik nicht in Betracht kommt bzw. im konkreten Fall unzumutbar wäre. Die zuständige Aufsichtsbehörde kann die Nutzung des Dienstes zwar immer noch stoppen. Bei möglichen Maßnahmen, einschließlich Bußgelder, wird sie jedoch berücksichtigen, dass sich Unternehmen im Rahmen einer Vorprüfung zumindest Gedanken über mögliche Alternativen gemacht haben.

 

Quellen:

GDPRhub: BayLDA – LDA-1085.1-12159/20-IDV

Datenschutz-Generator vom 24. März 2021: Untersagung der Nutzung von Mailchimp durch bayerische Datenschutzbehörde?

Der Standard vom 23. März 2021: Urteil in Deutschland: Unzulässige Weitergabe von Mailadressen an Mailchimp

Datenleck bei Wiener Start-up: 130.000 ungeschützte Corona-TestergebnisseEU-Kommission veröffentlicht neue Standardvertragsklauseln