Den bayerska dataskyddsmyndigheten har instruerat att alla tyska utgivare inte kan överföra e-postadresser till MailChimp i USA för att skicka nyhetsbrev. Denna dom illustrerar tydligt de hinder som utländska marknadsförare står inför under GDPR. En av de största problemen är att uppgifterna kan nås av amerikanska underrättelsetjänster.
En kränkt part protesterade till myndigheten (BDPA) angående dataöverföring, vilket resulterade i en officiell utredning och en dom. Namnet på det tyska företaget som väckte ärendet till BDPA har inte avslöjats men det bekräftas att det hade använt MailChimp sällan och har sedan dess slutat. Det finns inga rapporter om några rättsliga åtgärder eller böter mot företaget också.
BDPA sa den 15 mars:
"Vi hänvisar till ditt dataskyddsklagomål mot …. angående användningen av " Mailchimp ". Som ett resultat av vårt ingripande har företaget informerat oss om att det hade använt Mailchimp två gånger för att skicka nyhetsbrev. Som ett resultat av vårt ingripande har företaget nu informerat oss om att de inte längre kommer att använda Mailchimp med omedelbar verkan.
Företaget informerade oss också om att det endast hade överfört e-postadresser till Mailchimp i samband med ovan nämnda användning. Den nämnde också att rekommendationerna från Europeiska dataskyddsstyrelsen om de så kallade kompletterande åtgärderna för överföring av personuppgifter till tredjeländer ännu inte finns tillgängliga i en slutlig version, men fortfarande är föremål för offentligt samråd. detta är korrekt.
Enligt vår bedömning har användningen av Mailchimp av …. i de två nämnda fallen – och därmed också överföringen av din e-postadress till Mailchimp, som är föremål för ditt klagomål – var olagligt enligt dataskyddslagstiftningen, eftersom …. hade inte undersökt om, utöver EU:s standardklausuler om dataskydd (som användes), "ytterligare åtgärder" i den mening som avses i EG-domstolens beslut "Schrems II" (EG-domstolen, dom av den 16.7.2020, C-311/18) var nödvändiga för att göra överföringen förenlig med dataskyddskraven, och i det aktuella fallet fanns det åtminstone indikationer på att Mailchimp i princip kan bli föremål för dataåtkomst av amerikansk underrättelsetjänsttjänster baserade på den amerikanska lagbestämmelsen FISA 702 (50 USC § 1881) som en möjlig så kallad leverantör av elektroniska kommunikationstjänster och därmed kunde överföringen endast vara laglig om sådana ytterligare åtgärder (om möjligt och tillräckliga för att åtgärda problemet) vidtogs"
Myndigheten drog slutsatsen att överföringen, som genomfördes enligt EU:s standardavtalsklausuler (SCCs), bröt mot de överenskommelser som träffades i den tidigare Schrems II integritetsdomen i EU.
"Den här typen av tolkning av Schrems II är just resultatet som många multinationella företag fruktade när Schrems II upprätthöll användningen av SCC men misstänkliggjorde effektiviteten av SCC som ett verktyg för att transportera data till USA ," kommenterar Lexology.
Domen säger vidare: "Det fanns tecken på att MailChimp erkändes som en kommunikationsleverantör som arbetar under amerikansk övervakningsjurisdiktion. Därför hotar en fara i form av att amerikanska underrättelsetjänster kommer åt dessa e-postadresser på obestämd tid. MailChimp har inte heller lämnat några kommentarer om domen. Även om det tyska företagets namn aldrig avslöjades, ryktas det om att det är en af ashion magazine.
Enligt Lexology bör de företag som använder databehandlare utanför EU överväga var dessa processorer finns och de olika jurisdiktioner som gäller för dem. Detta är nödvändigt för att säkerställa att personlig information och information inte är tillgänglig eller tillgänglig för någon statlig enhet.