Zum Inhalt springen
Home » Datenschutz-News » Aufsichtsbehörde untersagt Nutzung von Mailchimp im Unternehmen

Aufsichtsbehörde untersagt Nutzung von Mailchimp im Unternehmen

Nachdem im letzten Jahr der EuGH das EU-US-Privacy-Shield gekippt hat, waren die Behörden lange untätig in der Umsetzung der Rechtsprechung. Nun hat das Bayrische Landesamt für Datenschutz (BayLDA) jedoch den Einsatz des Dienstes Mailchimp des US-Anbieters The Rocket Science Group untersagt. Die jüngste Entscheidung des BayLDA hat klargestellt, dass transatlantische Datentransfers, die sich allein auf EU-Standardvertragsklauseln als Rechtsgrundlage stützen, datenschutzrechtlich unzulässig sind.

Hintergrund

Wie bereits von uns berichtet, hatte der EuGH mit Urteil in der Rechtssache C-311/18 die Übermittlung personenbezogener Daten auf Grundlage des EU-US-Privacy Shields, dessen Einhaltung für ein angemessenes Datenschutzniveau speziell in den USA sorgen sollte, für rechtswidrig erklärt.

Begründet wurde dies mit dem nur unzureichenden Rechtschutz gegenüber den US-Sicherheitsbehörden und dem Nichtbestehen eines angemessenen Datenschutzniveaus in den USA. US-Geheimdienste könnten jederzeit auf die Daten, die aus der EU kommen, zugreifen und diese auch nutzen.

Seitdem kann die transatlantische Übermittlung personenbezogener Daten nicht mehr auf Basis des EU-US-Privacy-Shield erfolgen. EU-Standardvertragsklauseln könnten eine alternative Rechtsgrundlage für solche Datenübermittlungen darstellen. Jedoch stellen auch diese Standardschutzklauseln keine ausreichende Rechtsgrundlage dar. Denn zum einen werden durch diese Schutzklauseln US-Behörden zur Einhaltung europäischer Datenschutzbestimmungen nicht mitverpflichtet, da diese nur zwischen den Vertragsparteien selbst gelten. Zum anderen kann die USA aufgrund mehrerer nationalrechtlichen Ermächtigungen kein vergleichbares Datenschutzniveau für Datenübermittlungen in die USA gewährleisten.

Somit stellt die bloße Implementierung von Standardvertragsklauseln keine ausreichende Alternative dar.

Ergänzend zu diesen Klauseln müssen Unternehmen bei dem Datentransfer immer prüfen, ob weitere Garantien notwendig sind, wie z.B. die Pseudonymisierung oder Verschlüsselung von EU-Daten.

Aktuell könnten nur in den wenigsten Fällen Datenübermittlungen in die USA den Prüfungen der Aufsichtsbehörden standhalten.

Der EuGH hat in seiner „Schrems II“ – Entscheidung ebenfalls verdeutlicht, dass die Aufsichtsbehörden verpflichtet sind, Aufsichtsverfahren einzuleiten und Maßnahmen zu ergreifen, um entsprechende Datenverarbeitungen zu unterbinden. Jedoch sind die Aufsichtsbehörden bisher nicht tätig geworden.

Die erste Untersagungsverfügung einer nationalen Behörde

Das BayLDA hat in seiner Entscheidung vom 15.03.2021 (LDA-1085.1-12159/20-IDV) einem Online-Händler aus München die Nutzung der Dienste von Mailchimp aufgrund mangelnden Datenschutzes untersagt.

Mailchimp ist eine amerikanische Marketing-Automatisierungsplattform und ein E-Mail-Marketing-Service, die Online-Händler unter anderem für den Newsletter-Versand oder auch für die Organisation, Gestaltung und Versendung von Werbemails, nutzen. Zu diesem Zwecke wurden E-Mail-Adressen von EU-Bürgern an Server von Mailchimp in den USA übertragen. Dieser Datentransfer in die USA wurde auf die Standardvertragsklauseln gestützt, seitdem das EU-US-Privacy-Shield als Rechtsgrundlage entfiel.

Das BayLDA hat nicht den grundsätzlichen Einsatz solch eines externen Serviceanbieters untersagt, sondern den ungeprüften Einsatz durch eine fehlende Risiko- und Interessenbewertung und das Nichtergreifen geeigneter Maßnahmen. Denn allein das Berufen auf Standardvertragsklauseln könne nicht ausschließen, dass US-Nachrichtendienste auf Daten bei Mailchimp zugreifen. Der Online-Händler aus München hätte bei Beauftragung des US-Dienstes zusätzlich prüfen müssen, ob noch weitere Maßnahmen für die Datensicherheit hätten getroffen werden müssen. Dies hat er jedoch unterlassen. Die Datenübermittlung an US-Dienste wie Mailchimp auf Basis von Standardvertragsklauseln ist also nicht per se unzulässig, sondern wird erst durch eine mangelnde Risiko- und Interessenabwägung und dem Nichtergreifen von geeigneten Maßnahmen datenschutzwidrig.

Bedeutung für Unternehmen

Problematisch ist allerdings, dass häufig keine zusätzlichen technischen Maßnahmen umgesetzt werden können, die einen Zugriff der Sicherheitsbehörden auf die Daten verhindern. In den meisten Fällen kann eine Datenverarbeitung auf Grundlage der Standardvertragsklauseln daher nicht rechtmäßig gestaltet werden.

Zwar hat das BayLDA neben der Feststellung der Unzulässigkeit, kein Bußgeld verhängt, jedoch verdeutlicht insbesondere die große Anzahl an Beschwerden über Unternehmen, die Dienste von großen US-Anbietern einsetzen, die Relevanz dieser Entscheidung und die Dringlichkeit Datenübermittlungen an US-Dienste, allein auf der Basis von Standardvertragsklauseln zu unterlassen. Auch steht mit der Entscheidung ausdrücklich fest, dass der Einsatz von Mailchimp auf Grundlage der Standardvertragsklauseln ohne weitere Maßnahmen rechtswidrig ist. Ausnahmsweise kann die Übermittlung von Daten an US-Dienste auf Standardvertragsklauseln gestützt werden, wenn nach einer umfassenden Interessenabwägung ein ausreichender Datenschutz eindeutig gewährleistet werden kann und diese Dienstleistung nicht in zumutbarer Weise ausgetauscht werden kann. In den meisten Fällen kann der US-Dienstleister allerdings durch einen europäischen Mitwerber ersetzt werden, sodass der Datentransfer an einen US-Dienstleister wie Mailchimp unzulässig ist.

Bildernachweis für diesen Beitrag: @francescogosce-stock.adobe.com