Die bayerische Datenschutzbehörde hat angeordnet, dass kein deutscher Verlag E- Mail-Adressen für den Versand von Newslettern an MailChimp in die USA übertragen darf. Dieses Urteil verdeutlicht deutlich die Hürden, denen ausländische Vermarkter im Rahmen der DSGVO gegenüberstehen. Eine der Hauptsorgen ist, dass US-Geheimdienste auf die Daten zugreifen können .
Eine beleidigte Partei protestierte bei der Behörde (dem BDPA) wegen der Datenübermittlung, was zu einer offiziellen Untersuchung und einem Urteil führte. Der Name des deutschen Unternehmens, das den Fall vor die BDPA gebracht hat, wurde nicht bekannt gegeben, aber es wird bestätigt, dass es MailChimp nur selten verwendet und seitdem eingestellt hat. Es gibt auch keine Berichte über rechtliche Schritte oder Bußgelder gegen das Unternehmen.
Die BDPA sagte am 15. März:
„Wir beziehen uns auf Ihre Datenschutzbeschwerde gegen …. bezüglich der Nutzung von „ Mailchimp „. Aufgrund unserer Intervention hat uns das Unternehmen darüber informiert, dass es Mailchimp zweimal zum Versenden von Newslettern verwendet hat. Aufgrund unserer Intervention hat uns das Unternehmen nun mitgeteilt, dass es Mailchimp ab sofort nicht mehr verwenden wird.
Das Unternehmen teilte uns zudem mit, dass es im Rahmen der oben genannten Nutzung lediglich E-Mail-Adressen an Mailchimp übermittelt habe. Es erwähnte auch, dass die Empfehlungen des Europäischen Datenschutzausschusses zu den sogenannten ergänzenden Maßnahmen für die Übermittlung personenbezogener Daten in Drittländer noch nicht in einer endgültigen Fassung vorliegen, aber noch Gegenstand öffentlicher Konsultationen sind; das ist richtig.
Nach unserer Einschätzung ist die Nutzung von Mailchimp durch …. in den beiden genannten Fällen – und damit auch die von Ihnen beanstandete Übermittlung Ihrer E-Mail-Adresse an Mailchimp – datenschutzrechtlich unzulässig war, weil …. hatte nicht geprüft, ob neben den (verwendeten) EU-Standarddatenschutzklauseln „zusätzliche Maßnahmen“ im Sinne der EuGH-Entscheidung „Schrems II“ (EuGH, Urteil vom 16.7.2020, C-311/18) erforderlich waren, um die Übertragung datenschutzkonform zu gestalten, und im vorliegenden Fall lagen zumindest Anhaltspunkte dafür vor, dass Mailchimp grundsätzlich einem Datenzugriff durch US-Geheimdienste unterliegen könnteDienste auf Grundlage der US-amerikanischen Rechtsnorm FISA 702 (50 USC § 1881) als möglicher sogenannter Electronic Communications Service Provider und damit die Übertragung nur dann rechtmäßig sein könnte, wenn solche zusätzlichen Maßnahmen (soweit möglich und ausreichend zur Behebung des Problems) ergriffen würden.“
Die Behörde kam zu dem Schluss, dass die Übermittlung, die unter EU-Standardvertragsklauseln (SCCs) erfolgte, gegen die Vereinbarungen verstößt, die im vorherigen Schrems-II-Datenschutzurteil in der EU getroffen wurden .
„Diese Art der Interpretation von Schrems II ist genau das Ergebnis, das viele multinationale Unternehmen befürchteten, als Schrems II die Verwendung von SCCs bestätigte, aber die Wirksamkeit von SCCs als Instrument für die Übermittlung von Daten in die Vereinigten Staaten verdächtigte“, kommentiert Lexology.
Im Urteil heißt es weiter: „Es gab Anzeichen dafür, dass MailChimp als Kommunikationsanbieter anerkannt wurde, der unter der US-Überwachungsgerichtsbarkeit arbeitet. Daher droht auf unbestimmte Zeit eine Gefahr in Form von US-Geheimdiensten, die auf diese E-Mail-Adressen zugreifen. Auch MailChimp äußerte sich nicht zu dem Urteil. Obwohl der Name des deutschen Unternehmens nie bekannt gegeben wurde, wird gemunkelt, dass es sich um das af ashion magazine handelt.
Laut Lexology sollten Unternehmen, die Datenverarbeiter außerhalb der EU einsetzen, die Standorte dieser Verarbeiter und die unterschiedlichen Gerichtsbarkeiten berücksichtigen, die auf sie Anwendung finden. Dies ist notwendig, um sicherzustellen, dass personenbezogene Daten und Informationen von keiner staatlichen Stelle verfügbar oder zugänglich sind.