Bayerische Datenschutzbehörde untersagt Nutzung von Mailchimp
Hintergrund
Der Einsatz von US-Anbietern ist seit dem sogenannten Schrems-II-Urteil, das im Juli 2020 ergangen ist, ein großes datenschutzrechtliches Thema, mit dem sich fast jedes Unternehmen schon beschäftigen musste. Eine Entscheidung des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) vom 15.3.2021 zeigt nunmehr, wie wichtig es für Unternehmen ist, die damit verbundenen Thematiken anzugehen.
Das Urteil des Europäischen Gerichtshofs
Mit dem sogenannten Schrems-II-Urteil wurde das EU-US-Privacy Shield aufgehoben. Mit diesem Abkommen konnten sich US-Unternehmen zertifizieren lassen. Die Datenübermittlung an diese zertifizierten Unternehmen galt damit aus Sicht der EU-Kommission als datenschutzrechtlich sicher.
Nach der Aufhebung des Abkommens muss nunmehr auf anderem Wege die Datensicherheit bei einer Übermittlung in die USA als Drittland sichergestellt werden. In seinem Urteil nahm der Europäische Gerichtshof (EuGH) auch zu den sogenannten Standardvertragsklauseln Stellung und erklärte diese grundsätzlich für wirksam. Ein Abschluss dieser Klauseln allein genüge aber gegebenenfalls nicht, wenn nationale Vorschriften in dem Drittland der Einhaltung der DSGVO-Vorgaben entgegenstehen. Für die Datenübertragung in die USA sollen solche zusätzlichen Maßnahmen erforderlich sein.
Entscheidung des bayerischen Landesdatenschutzbeauftragten
Eine betroffene Person reichte beim bayerischen Landesdatenschutzbeauftragten (BayLfD) eine Beschwerde ein, dass ein Unternehmen mit Sitz in München für den Versand des Newsletters das Tool Mailchimp eines US-Anbieters nutzen würde und zu diesem Zweck auch seine E-Mail-Adresse in die USA übermittelt werde.
Aus der veröffentlichten Behördenentscheidung ergibt sich, dass das bayerische Unternehmen zweimal das Tool Mailchimp genutzt haben soll, um den eigenen Newsletter zu versenden. Dabei soll das bayerische Unternehmen vor dem Einsatz von Mailchimp nicht geprüft haben, ob neben den Standardvertragsklauseln noch zusätzliche Maßnahmen getroffen werden müssten, um die Übermittlung in die USA datenschutzkonform zu gestalten. Als möglicher sogenannter Electronic Communications Service Provider könnte das US-Unternehmen als Betreiber des Tools von den US-Behörden verpflichtet werden, die Daten der Nutzer herauszugeben. Nicht-US-Bürgern stünden gegen solche behördlichen Anordnungen keine ausreichenden Rechtschutzmöglichkeiten zur Verfügung.
Die Aufsichtsbehörde teilte dem Unternehmen mit, dass eine solche Übermittlung in die USA unzulässig sei. Das Unternehmen gab gegenüber der Behörde an, mit sofortiger Wirkung auf den Einsatz von Mailchimp verzichten zu wollen. Auf die Ahndung mit einem Bußgeld verzichtete die Behörde, da sie dies im konkreten Fall nicht für erforderlich hielt.
Was bedeutet diese Entscheidung?
Aus der Entscheidung der Behörde lässt sich kein grundsätzliches Verbot des Einsatzes von Mailchimp oder anderen US-Anbietern ableiten. Vielmehr wurde der Einsatz hier verboten, weil das Unternehmen zuvor nicht geprüft hatte, ob weitere Maßnahmen neben den Standardvertragsklauseln notwendig sind, um die Daten datenschutzkonform in die USA zu übermitteln.
Diese Entscheidung sollte erneut Anlass sein, um sich mit den Konsequenzen des Schrems-II-Urteils auseinanderzusetzen und die Datenübermittlung in Drittländer zu prüfen. Gerne unterstützen wir Sie dabei. Sprechen Sie uns einfach an.