Die Nutzung des US-Newsletter-Dienstes Mailchimp wurde in einem Fall durch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) für unzulässig erklärt. Lesen Sie hier, welche Auswirkungen dies auf die Nutzung von Mailchimp und anderen US-Anbietern hat.
Der Inhalt im Überblick
BayLDA erklärt Mailchimp für unzulässig
Ein Unternehmen nutzte die Dienste von Mailchimp, einem US-Anbieter für den Versand von Newslettern. Es wurden ausschließlich E-Mail-Adressen der Nutzer an Mailchimp übertragen. Neben dem grundsätzlichen Erfordernis einer Einwilligung im sog. „Double-Opt-In“-Verfahren müssen für die Datenübermittlung in die USA als sog. Drittland (Land außerhalb der EU/des EWR) die spezifischen Anforderungen der Art. 45 ff. DSGVO beachtet werden. Hier wurde die Datenübermittlung auf eine Garantie nach Art. 46 DSGVO, in Form von Standardvertragsklauseln, gestützt.
Nach der Beschwerde eines Nutzers hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) entschieden, dass die Nutzung von Mailchimp in diesem Fall unzulässig war. Der alleinige Abschluss von Standardvertragsklauseln sei keine ausreichende Rechtsgrundlage für die Übermittlung der Daten in die USA. Es hätten weitere Maßnahmen geprüft werden müssen, um das Datenschutzniveau zu gewährleisten.
„Nach unserer Bewertung war der Einsatz von Mailchimp durch […] in den beiden genannten Fällen – und somit auch die Übermittlung Ihrer E-Mail-Adresse an Mailchimp, die Gegenstand Ihrer Beschwerde ist – datenschutzrechtlich unzulässig, weil […] nicht geprüft hatte, ob für die Übermittlung an Mailchimp zusätzlich zu den (zum Einsatz gekommenen) EU-Standarddatenschutzklauseln noch „zusätzliche Maßnahmen“ im Sinne der EuGH-Entscheidung „Schrems II“ (EuGH, Urt. v. 16.7.2020, C-311/18) notwendig sind, um die Übermittlung datenschutzkonform zu gestalten, und vorliegend zumindest Anhaltspunkte dafür bestehen, dass Mailchimp grundsätzlich Datenzugriffen von US-Nachrichtendiensten auf Grundlage der US-Rechtsvorschrift FISA702 (50 U.S.C. § 1881) als möglicher sog. Electronic Communications Service Provider unterfallen kann und somit die Übermittlung nur unter Ergreifung solcher zusätzlicher Maßnahmen (sofern geeignet) zulässig sein konnte.“
Problem: Datenübermittlung in ein sog. Drittland
Nach dem „Schrems-II-Urteil“ des Europäischen Gerichtshofs (EuGH) vom 16.07.2020 steht die Datenübermittlung in die USA auf wackligen Beinen. Das Urteil kippte das sog. „Privacy Shield“ auf dem die Datenübermittlung in die USA mit zertifizierten Unternehmen gestützt werden konnte. Die USA sind damit seitdem ein sog. „unsicheres Drittland“, da kein Angemessenheitsbeschluss nach Art. 45 DSGVO für die Übertragung von personenbezogenen Daten besteht.
Neben der Rechtsgrundlage für die grundsätzliche Verarbeitung der Daten müssen zusätzlich die Anforderungen der Art. 45 ff. DSGVO erfüllt werden, die die Übermittlung in das Drittland rechtfertigt. In dem Urteil des EuGHs wurde insbesondere angeführt, dass eine Datenübermittlung auf sog. Garantien nach Art. 46 DSGVO, wie Standardvertragsklauseln, gestützt werden können. Es muss dann jedoch geprüft werden, ob ein gleichwertiges Datenschutzniveau besteht und ob ggf. noch weitere Maßnahmen zu treffen sind.
Der Europäische Datenschutzausschuss (EDSA) hat hierzu ein Papier herausgegeben, das grundsätzlich noch in der Konsultation steht, aber bereits als Grundlage für die Einschätzung dient. Im Papier werden typische Szenarien („Use Cases“) und Hinweise gegeben, wie solche Maßnahmen aussehen können gegeben. Hier können Sie das Papier der EDSA aufrufen und ebenfalls eigene Anmerkungen dazu hochladen.
Was muss man beachten, wenn man US-Anbieter wie Mailchimp nutzt?
Die Entscheidung des Bayerischen Landesamt für Datenschutzaufsicht hat zunächst keine generelle Bindungswirkung, denn es ist nur eine Entscheidung für einen Einzelfall und entfaltet nur gegenüber dem Betroffenen Bindungswirkung. Die Entscheidung ist dennoch von Relevanz, da sie aufzeigt, welche Rechtsmeinung die Behörde vertritt und lässt zumindest vermuten, dass zukünftig weitere Entscheidungen mit ähnlichem Inhalt kommen werden.
Was kann nun aus dieser Entscheidung geschlossen werden? Das BayLDA hat vor allem bemängelt, dass das Unternehmen Mailchimp ungeprüft eingesetzt hatte.
„… Übermittlung Ihrer E-Mail-Adresse an Mailchimp, die Gegenstand Ihrer Beschwerde ist – datenschutzrechtlich unzulässig, weil […] nicht geprüft hatte, ob für die Übermittlung an Mailchimp zusätzlich zu den (zum Einsatz gekommenen) EU-Standarddatenschutzklauseln noch „zusätzliche Maßnahmen“ im Sinne der EuGH-Entscheidung „Schrems II“ (EuGH, Urt. v. 16.7.2020, C-311/18) notwendig sind …“
Es sollten daher zumindest folgende Punkte geprüft werden:
- Welche personenbezogenen Daten sind betroffen und welche Gefahr besteht für diese?
- Welche Maßnahmen trifft der Anbieter, um die Daten zu schützen? Und welche weiteren Maßnahmen müssen ggf. noch ergriffen werden?
- Welche alternativen Anbieter in der EU können eingesetzt werden? Und welchen Aufwand würde eine Umstellung auf einen anderen Anbieter bedeuten?
Die Behörde hat in diesem Fall die Unzulässigkeit der Datenübermittlung festgestellt, darüber hinaus jedoch keine weiteren aufsichtsbehördlichen Maßnahmen verhängt, wie etwa ein Bußgeld. Ob dies auch zukünftig so sein wird, ist fraglich. Unternehmen, die zurzeit auf US-Anbietern setzen und die Datenübermittlung auf Standardvertragsklauseln stützen, sollten zumindest die obige Abwägung durchführen und dokumentieren. Rechtssicherheit bietet freilich auch diese Abwägung nicht.
Anzumerken sei auch noch, dass selbst Anbieter mit Sitz in der EU problematisch sein können, wenn diese Sub-Dienstleister in den USA nutzen.
Der Satz „Die Behörde hat in diesem Fall nur die Nutzung untersagt und kein Bußgeld ausgesprochen.“ ist nicht korrekt. Die Behörde hat nur die Unzulässigkeit der Datenübermittlung festgestellt, aber gerade keine behördliche Maßnahme getroffen.
Zitat: „Wir haben dem Unternehmen mitgeteilt, dass daher die o.g. Übermittlungen personenbezogener Daten in die USA unzulässig waren. Das Unternehmen hat freiwillig auf den Einsatz von Mailchimp verzichtet.
Über diese Feststellung der Unzulässigkeit der o.g. Datenübermittlungen hinausgehende aufsichtsbehördliche Maßnahmen nach Art. 58 Abs. 2 DSGVO halten wir im Wege einer Entscheidung nach pflichtgemäßem Ermessen im konkret vorliegenden Fall nicht für erforderlich.“
Und: „Aufgrund unserer Intervention hat das Unternehmen nunmehr mitgeteilt, auf den Einsatz von Mailchimp mit sofortiger Wirkung zu verzichten.“
Vielen Dank für den Hinweis. Wir haben den Satz entsprechend angepasst.