Aufsichtsbehörde untersagt Nutzung von Newsletter-Service Mailchimp
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat am 15.03.2021 die Nutzung des Newsletter-Tools Mailchimp durch ein deutsches Unternehmen aus München für rechtswidrig erklärt, da Mailchimp E-Mail-Adressen von Newsletter-Abonnenten empfängt und Mailchimp unter Umständen als „Electronic Communication Service Provider“ im Sinne des US-Überwachungsrechts (FISA702 (50 U.S.C. § 1881)) einzustufen ist. Daher könnte die Gefahr bestehen, dass die übertragenen E-Mail-Adressen von US-Geheimdiensten eingesehen werden. Das heißt allerdings nicht, dass Mailchimp grundsätzlich verboten ist.
Mailchimp ist ein Anbieter für einen cloudbasierten Newsletter-Service.
Der Beschwerdeführer beschwerte sich bei der Bayerischen Datenschutzbehörde (BayLDA) über die Nutzung des Newsletter-Tools Mailchimp durch das deutsches Unternehmen. Er machte geltend, dass die Weitergabe von E-Mail-Adressen von Abonnenten des Newsletters an den Anbieter von Mailchimp (The Rocket Science Group LLC, ein in den USA ansässiges Unternehmen) rechtswidrig im Sinne der Artikel 44 ff. DS-GVO sei.
Das Münchener Unternehmen nutze Mailchimp lediglich zweimal zur Versendung von Newslettern.
Der Datentransfer basierte zwar auf den EU-Standard-Datenschutzklauseln (Standard Contractual Clauses – SCCs), jedoch sind diese im Lichte der EuGH-Entscheidung „Schrems II“ (C-311/18) nicht immer geeignet, da geschaut werden muss, ob es zusätzliche Maßnahmen gibt, die sicherstellen, dass die übermittelten Daten vor einer Überwachung durch die USA geschützt sind.
Ein einfaches „wir brauchen das, weil es so toll, einfach und bequem ist“ reicht nicht aus. Das Datenschutzniveau muss gewährleistet sein. Zum Beispiel mit entsprechenden Maßnahmen zur Verschlüsselung und zusätzlichen Vereinbarungen mit dem Auftragsverarbeitern, dass die Daten nicht ohne rechtliche Grundlage herausgegeben werden. Es ist in diesem Zusammenhang immer zu Prüfen, ob es nicht ein milderes Mittel gibt. Also im Fall des Newsletter-Tools in Drittstaaten, ein anderes Tool, das die Daten nicht außerhalb der EU überträgt. Verfügt theoretisch kein anderes Tool über diese Funktionen, könnte ein berechtigtes Interesse gegeben sein. Aber auch dann wären zusätzliche Maßnahmen zu ergreifen um das Datenschutzniveau aufrechtzuerhalten.
Diese Entscheidung ist nur eine der ersten praktischen Auswirkungen des Schrems II Urteils. Deshalb sollte spätestens jetzt jedes Unternehmen die Übertragungen in Drittstaaten prüfen (Auftragsverarbeiter und Unterauftragnehmer nicht vergessen!). Im Zweifel könnte der Einsatz bestimmter Tools dann einfach nicht mehr möglich sein.
Das Unternehmen hat auf Verlangen der Aufsichtsbehörde die Nutzung mittlerweile eingestellt und ist durch seine Kooperation einer Ahndung entgangen.