Nachdem das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) die Nutzung des US-Newsletter-Dienstleisters Mailchimp in einem Fall für unzulässig erklärt hatte, fragen sich viele Unternehmen welcher konkrete Handlungsbedarf nun besteht.
Viele Unternehmen nutzen die Dienste des US-Anbieters Mailchimp für den Versand ihrer Newsletter. So auch in dem Fall, den das BayLDA auf Beschwerde der betroffenen Person hin zu überprüfen hatte. Das Unternehmen hatte Mailchimp für den Versand seiner Newsletter eingesetzt, wobei ausschließlich die E-Mail-Adressen an den Dienstleister in die USA übertragen wurden.
Für Übermittlungen in sog. «Drittländer» im Sinne der DSGVO, d.h. Länder, die nicht unter den Anwendungsbereich der DSGVO (EU/ EWR) fallen, wie vorliegend den USA, sind die Regelungen der Art. 44 ff. DSGVO einschlägig.
Die Übermittlung verlangt das Vorliegen entsprechender Garantien, die ein bestimmtes Maß an Datenschutzqualität sicherstellen soll. Nach Art. 45 DSGVO kann ein Angemessenheitsbeschluss der EU-Kommission, in welchem festgestellt wurde, dass das betreffende Land ein angemessenes Datenschutzniveau bieten kann, eine taugliche Rechtsgrundlage für eine Übermittlung in dieses Land sein. Für den vorliegenden Fall, bzw. soweit eine Übermittlung von personenbezogenen Daten vorgenommen werden soll, ist dies seit dem Schrems II-Urteil vergangenen Jahres (EuGH, Urt. v. 16.07.2020, C-311/18) bis heute nicht mehr möglich. Denn der Angemessenheitsbeschluss, der das Privacy Shield Abkommen zwischen der EU und den USA als Grundlage für ein angemessenes Datenschutzniveau heranzog, wurde vom EuGH für ungültig erklärt. Damit wurde die USA datenschutzrechtlich zu einem sog. «unsicheren Drittland» im Sinne der DSGVO.
Neben einem solchen Angemessenheitsbeschluss, bietet Art. 46 DSGVO die Möglichkeit, die Datenübermittlung vorbehaltlich anderer geeigneter Garantien (Art. 46 Abs. 2 lit. a – f DSGVO) rechtmäßig durchzuführen. Im vorliegenden Fall stützte das Unternehmen die Datenübermittlung neben der erforderlichen Einwilligung des Betroffenen, auf den Abschluss sog. Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
Dennoch urteilte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), dass die Nutzung des Dienstleisters Mailchimp unzulässig sei, da der Abschluss solcher Standardvertragsklauseln allein nicht ausreiche, um ein angemessenes Datenschutzniveau zu begründen.
Doch wieso, fragt man sich zurecht, denn das Unternehmen hatte doch mit Vorliegen von Standardvertragsklauseln genau eine jener in Art. 46 DSGVO geregelten Garantien geliefert?
Wie so oft müssen aber vertragliche Rechte und insbesondere Pflichten nicht nur zu Papier gebracht werden, sondern auch «gelebt» werden.
So sah es wohl auch das BayLDA, wenn es der Ansicht ist, dass das Unternehmen weitere Maßnahmen hätte prüfen müssen, um tatsächlich ein angemessenes Datenschutzniveau sicherzustellen. Mit diesen «weiteren Maßnahmen» bezieht sich das BayLDA auf die leitenden Feststellungen des Schrems II- Urteils, in welchem festgestellt wurde, dass geprüft werden müsse, ob auch tatsächlich ein (gelebtes) gleichwertiges Datenschutzniveau besteht und ob gegebenenfalls noch weitere Maßnahmen zu treffen sind.
Genau dies hatte das vorliegende Unternehmen indes versäumt, denn nach Ansicht des BayLDA könne bei der Übermittlung der E-Mail-Adressen an Mailchimp in die USA ein Zugriff auf die Daten von US-Sicherheitsbehörden nicht ausgeschlossen werden, da Mailchimp als «Electronic Communications Service Provider» einer US-Rechtsnorm unterliege, die einen solchen Zugriff ermögliche. Aufgrund dieser Zugriffsmöglichkeit wäre die Ergreifung weiterer (Prüfungs-)Maßnahmen angezeigt gewesen.
Fraglich ist, ob und, wenn ja, welche Konsequenzen sich für andere Unternehmen ergeben, die die Dienste von Mailchimp in Anspruch nehmen und auch in Zukunft nicht darauf verzichten wollen.
Entscheidend ist zunächst, dass die Entscheidung des BayLDA keine Bindungswirkung dergestalt entfaltet, dass es für all jene Unternehmen gilt, die Mailchimp aktuell verwenden oder verwenden möchten, sondern nur den vorliegenden Einzelfall.
Allerdings hat das BayLDA in dieser Entscheidung klar zum Ausdruck gebracht, dass der alleinige Abschluss der Standardvertragsklauseln nicht genügt. Unternehmen, die seit Schrems II ihre Datenübermittlung in die USA oder andere Drittländer, jedoch genau auf diese Weise fortführen, sollten die Entscheidung zumindest nun zum Anlass nehmen zu überprüfen, inwiefern die Regelungen in den Standardvertragsklauseln tatsächlich umgesetzt werden oder umgesetzt werden können. Hierbei sollte z.B. ermittelt werden, welche Maßnahmen der Dienstleister ergreift, um personenbezogene Daten zu schützen und welcher Anpassungsbedarf sich daher ergibt. Ferner sollten sich Unternehmen bewusst sein, welche personenbezogenen Daten betroffen sind und welches Risiko sich datenschutzrechtlich ergibt.
Unternehmen könnten diese Entscheidung ferner auch zum Anlass nehmen, sich über Alternativen Gedanken zu machen, indem eine Beauftragung von Dienstleistern innerhalb der EU erwogen werden könnte.
Falls Unternehmen Mailchimp verwenden, könnte zudem die Vorbereitung einer Stellungnahme hinsichtlich der Nutzung des Dienstes, inkl. der gegebenenfalls bereits vor und nach Abschluss von Standardvertragsklauseln ergriffenen Maßnahmen, sinnvoll sein, um einer möglichen Beschwerde einer betroffenen Person, durch zügige Beantwortung einer etwaigen Anfrage vorzugreifen.