Nach der Beschwerde einer Privatperson hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) entschieden, dass die Nutzung des US-Providers Mailchimp im konkreten Fall unzulässig war. Der Nutzer hatte die Behörde kontaktiert, nachdem ein deutsches Unternehmen für den Versand von Newslettern auf den Cloud-Dienst zurückgegriffen und offenkundig E-Mail-Adressen an diesen übermittelt hatte. Über den Fall berichtete zuerst die österreichische Tageszeitung Der Standard.
Datenschützer kritisieren Datenübermittlung in „Drittland“
Bei der Datenübermittlung in die USA als sogenanntes Drittland müssen laut Datenschutzgrundverordnung (DSGVO) spezifische Anforderungen beachtet werden (Art. 45 DSGVO/ Art. 46 DSGVO). Im vorliegenden Fall hätte das Unternehmen laut BayLDA prüfen müssen, ob für die Übermittlung der E-Mailadressen an Mailchimp zusätzlich zu den EU-Standarddatenschutzklauseln noch „zusätzliche Maßnahmen“ im Sinne von „Schrems II“ notwendig seien. Der alleinige Abschluss von Standardvertragsklauseln sei keine ausreichende Rechtsgrundlage für die Übermittlung der Daten in die USA.
Wörtlich heißt es in der Antwort der Behörde:
Nach unserer Bewertung war der Einsatz von Mailchimp durch […] in den beiden genannten Fällen – und somit auch die Übermittlung Ihrer E-Mail-Adresse an Mailchimp, die Gegenstand Ihrer Beschwerde ist – datenschutzrechtlich unzulässig, weil […] nicht geprüft hatte, ob für die Übermittlung an Mailchimp zusätzlich zu den (zum Einsatz gekommenen) EU-Standarddatenschutzklauseln noch „zusätzliche Maßnahmen“ im Sinne der EuGH-Entscheidung „Schrems II“ (EuGH, Urt. v. 16.7.2020, C-311/18) notwendig sind, um die Übermittlung datenschutzkonform zu gestalten, und vorliegend zumindest Anhaltspunkte dafür bestehen, dass Mailchimp grundsätzlich Datenzugriffen von US-Nachrichtendiensten auf Grundlage der US-Rechtsvorschrift FISA702 (50 U.S.C. § 1881) als möglicher sog. Electronic Communications Service Provider unterfallen kann und somit die Übermittlung nur unter Ergreifung solcher zusätzlicher Maßnahmen (sofern geeignet) zulässig sein konnte.
Mit ihrer Stellungnahme hat die bayerische Landesbehörde die Unzulässigkeit der Datenübermittlung festgestellt, darüber hinaus dem Bericht zufolge jedoch zum aktuellen Zeitpunkt noch keine weiteren aufsichtsbehördlichen Maßnahmen verhängt.
Verantwortung auf europäische Unternehmen abgewälzt
Die Antwort zeigt, dass bei der Nutzung von US-Anbietern zunehmend europäische Firmen in die Verantwortung genommen werden, die datenschutzrechtliche Abwägung durchzuführen und zu dokumentieren. In der aktuellen Berichterstattung zum Thema wird zudem vielfach darauf verwiesen, dass selbst Provider mit Sitz in der EU weiterhin als problematisch eingestuft werden, wenn sie Sub-Dienstleister in den USA nutzen.
Wie Retarus als europäischer Anbieter für seinen Service Transactional Email die Einhaltung der DSGVO aus seinen eigenen lokalen Rechenzentren sicherstellt, lesen Sie unter anderem in unserem Blogpost „Der EuGH kippt „Privacy Shield“. Und jetzt?“.