Datenschutzaufsicht untersagt Einsatz von Mailchimp

Einführung

Die Datenschutzgesetzgebung der USA steht seit Jahren im Fokus europäischer Datenschützer. Über die Schrems-II Entscheidung und den Wegfall des EU-US Privacy Shields als wirksame Rechtsgrundlage für eine Übermittlung von Daten in die USA haben wir bereits im August 2020 in unserem Newsletter Nr. 6 berichtet.

Aufgrund einer Entscheidung des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA), die Ende März 2021 bekannt wurde, hat dieses Thema erneut an Brisanz gewonnen. Das BayLDA hat festgestellt, dass der Einsatz des vielfach genutzten Dienstleisters Mailchimp nicht mehr ohne weiteres zulässig ist.

Unzulässigkeit des Einsatzes von Mailchimp

Mailchimp ist ein von einer Vielzahl von Unternehmen eingesetzter Dienstleister mit Sitz in den USA für den Versand von E-Mail-Newslettern. Aufgrund einer Beschwerde gegen ein in Bayern ansässiges Unternehmen sah sich das BayLDA nun veranlasst, diesen Anbieter genauer unter die Lupe zu nehmen.

Bei der Verwendung von Mailchimp werden personenbezogene Daten aus der EU in die USA übermittelt. Nach der Feststellung der Unwirksamkeit des EU-US Privacy Shields aufgrund des Schrems-II Urteils ist eine Übermittlung von personenbezogenen Daten in die USA auf dieser Grundlage nicht mehr  zulässig. Möglich (und mindestens notwendig) ist daher insbesondere der Abschluss der sog. EU-Standardvertragsklauseln. Dabei darf es ein Verantwortlicher aber nicht bewenden lassen: Erforderlich ist darüber hinaus  eine ausführliche Überprüfung und Dokumentation des Risikos der Datenübermittlung in die USA, an deren Schluss die Feststellung stehen kann, dass weitere Maßnahmen zum Schutz der übermittelten Daten zu ergreifen sind.

Im Fall von Mailchimp hatte das Unternehmen es laut BayLDA unterlassen, überhaupt zu prüfen, ob weitere Maßnahmen zusätzlich zu den Standardvertragsklauseln nötig sind – und damit keine ausreichende Risikoanalyse und -dokumentation  vorgenommen. Da mit den Standardvertragsklauseln behördliche Zugriffsbefugnisse durch US-Behörden nicht ausgeschaltet werden können, sei es, so das BayLDA, in vielen Fällen notwendig, zusätzliche Schritte zu unternehmen.

Das BayLDA untersagte deshalb dem betroffenen Unternehmen, MailChimp weiterhin zu nutzen. Ein Bußgeld wurde nicht verhängt.

Bewertung

Das Risiko von Datentransfers in die USA ist seit der Schrems-II Entscheidung des EuGH mit einem hohen Risiko verbunden und diese Risikobewertung hat angesichts der bekannt gewordenen Entscheidung des BayLDA noch einmal an Brisanz gewonnen. Zwar wurde dem betroffenen bayerischen Unternehmen „nur“ die Nutzung des Dienstes Mailchimp untersagt. Es ist jedoch recht sicher davon auszugehen, dass Datenschutzaufsichtsbehörden künftig noch weitreichendere Untersuchungen von Übermittlungsprozessen in die USA vornehmen und auch härtere Sanktionen bei Missachtung der derzeit geltenden „Best Practices“ verhängen werden. Es besteht daher dringender Handlungsbedarf für Unternehmen, die im Rahmen einer Zusammenarbeit mit US-Dienstleistern oder auch innerhalb eines Konzerns Daten in die USA übermitteln.

Praxisempfehlungen

• Verträge mit US-Unternehmen, die eine Übermittlung von Daten an diese Unternehmen beinhalten, müssen auf den Prüfstand gestellt werden. Verantwortliche sollten eine auf den Einzelfall zugeschnittene Analyse vornehmen, aus der hervorgeht, auf welcher Rechtsgrundlage die Datenübermittlung erfolgt und ob – zusätzlich zum Abschluss der Standardvertragsklauseln – weitere Schutzmaßnahmen zu ergreifen sind. Nach derzeitigem Stand dürften weitergehende technische und vertragliche Schutzmaßnahmen erforderlich sein. Die praktische Umsetzung erweist sich hier aber gerade bei IT-Dienstleistern aus den USA nicht selten als schwierig, da diesen oftmals die Problematik gar nicht bewusst ist.
• Da derzeit unklar ist, ob weitere Schutzmaßnahmen im Hinblick auf die umfangreichen Zugriffsmöglichkeiten von US-Behörden überhaupt wirksam veranlasst werden können, sollte langfristig auf die Dienste deutscher oder europäischer Anbieter zurückgegriffen werden.
• Bei konzerninternen Übermittlungsprozessen sollten die in den USA ansässigen Konzerngesellschaften für die Notwendigkeit zusätzlicher technischer und vertraglicher Maßnahmen sensibilisiert werden.