Bayerische Datenschutzbehörde untersagt Nutzung von Mailchimp

 

Der Einsatz von US-Anbietern ist seit dem sogenannten „Schrems II Urteil“, das im Juli letzten Jahres ergangen ist, ein großes datenschutzrechtliches Thema, mit dem sich fast jedes Unternehmen schon beschäftigen musste. Eine Entscheidung des Bayerischen Landesamts für Datenschutzaufsicht (LDA) vom 15.3.2021 zeigt nunmehr, wie wichtig es für Unternehmen ist, die damit verbundenen Thematiken anzugehen. 

Das Urteil des Europäischen Gerichtshofs

Mit dem sogenannten „Schrems II Urteil“ wurde das EU-US-Privacy Shield aufgehoben. Mit diesem Abkommen konnten sich US-Unternehmen zertifizieren lassen. Die Datenübermittlung an diese zertifizierten Unternehmen galt damit aus Sicht der EU-Kommission als datenschutzrechtlich sicher. 
Nach der Aufhebung des Abkommens muss nunmehr auf anderem Wege die Datensicherheit bei einer Übermittlung in die USA als Drittland sichergestellt werden. In seinem Urteil nahm der Europäische Gerichtshof (EuGH) auch zu den sogenannten Standardvertragsklauseln Stellung und erklärte diese grundsätzlich für wirksam. Ein Abschluss dieser Klauseln allein genüge aber gegebenenfalls nicht, wenn nationale Vorschriften in dem Drittland der Einhaltung der DSGVO-Vorgaben entgegenstehen. Für die Datenübertragung in die USA sollen solche zusätzlichen Maßnahmen erforderlich sein.

Entscheidung des bayerischen Landesdatenschutzbeauftragten

Eine betroffene Person reichte beim bayerischen Landesdatenschutzbeauftragten (LDA) eine Beschwerde ein, dass ein Unternehmen mit Sitz in München für den Versand des Newsletters das Tool Mailchimp eines US-Anbieters nutzen würde und zu diesem Zweck auch seine E-Mail-Adresse in die USA übermittelt werde. 

Aus der veröffentlichten Behördenentscheidung ergibt sich, dass das bayerische Unternehmen zweimal das Tool Mailchimp genutzt haben soll, um den eigenen Newsletter zu versenden. Dabei soll das bayerische Unternehmen vor dem Einsatz von Mailchimp nicht geprüft haben, ob neben den Standardvertragsklauseln noch zusätzliche Maßnahmen getroffen werden müssten, um die Übermittlung in die USA datenschutzkonform zu gestalten. Als möglicher sogenannter Electronic Communications Service Provider könnte das US-Unternehmen als Betreiber des Tools von den US-Behörden verpflichtet werden, die Daten der Nutzer herauszugeben. Nicht-US-Bürgern stünden gegen solche behördlichen Anordnungen keine ausreichenden Rechtschutzmöglichkeiten zur Verfügung.

Die Aufsichtsbehörde teilte dem Unternehmen mit, dass eine solche Übermittlung in die USA unzulässig sei. Das Unternehmen gab gegenüber der Behörde an, mit sofortiger Wirkung auf den Einsatz von Mailchimp verzichten zu wollen. Auf die Ahndung mit einem Bußgeld verzichtete die Behörde, da sie dies im konkreten Fall nicht für erforderlich hielt. 

Was bedeutet diese Entscheidung?

Aus der Entscheidung der Behörde lässt sich kein grundsätzliches Verbot des Einsatzes von Mailchimp oder anderen US-Anbietern ableiten. Vielmehr wurde der Einsatz hier verboten, weil das Unternehmen zuvor nicht geprüft hatte, ob weitere Maßnahmen neben den Standardvertragsklauseln notwendig sind, um die Daten datenschutzkonform in die USA zu übermitteln. 

Diese Entscheidung sollte ein erneuter Anlass ein, sich mit den Konsequenzen des „Schrems II-Urteils“ auseinanderzusetzen und die Datenübermittlung in Drittländer zu prüfen. Gerne unterstützen wir Sie dabei. Sprechen Sie uns einfach an. 

Dr. Christian Lenz

Rechtsanwalt, Fachanwalt für Steuerrecht

Zum Profil von Dr. Christian Lenz

Kirsten Garling

Rechtsanwältin

Zum Profil von Kirsten Garling

Alexandra Hecht

Rechtsanwältin, Fachanwältin für Arbeitsrecht

Zum Profil von Alexandra Hecht

René Manz

IT-Prüfer und Berater

Zum Profil von René Manz

Kontakt

Nehmen Sie mit uns Kontakt auf

Breifumschlag Kontaktformular Breifumschlag +49 0228 81000 0 Breifumschlag Newsletter
Durch das Laden des YouTube Videos erklären Sie sich damit einverstanden, dass Cookies durch YouTube und Google gesetzt werden, und dadurch Daten an diese Anbieter übermittelt werden. Wir verarbeiten die Daten um die Zugriffe auf unsere YouTube-Videos analysieren zu können oder die Wirksamkeit unserer Werbung und Anzeigen auszuwerten. YouTube und Google verarbeiten die Daten auch zu eigenen Zwecken. Zudem erklären Sie sich auch damit einverstanden, dass Ihre Daten in die USA übermittelt werden, obwohl in den USA das Risiko besteht, dass US-Behörden zu Überwachungszwecken Zugriff auf Ihre Daten erhalten und Ihnen dagegen möglicherweise keine ausreichenden Rechtsschutzmöglichkeiten zustehen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
YouTube Video laden
Permalink