Ihre Kontakte
Die Nutzung der beliebten E-Mail-Marketing-Software von Mailchimp war jüngst Gegenstand einer Entscheidung des Landesdatenschutzbeauftragten von Bayern. Im konkreten Fall verstiess ein Unternehmen gegen die DSGVO, weil es E-Mail-Adressen an Mailchimp in die USA gestützt auf Standardvertragsklauseln übermittelte, ohne zu prüfen, ob die Standardvertragsklauseln für den konkreten Transfer geeignet sind oder ob diese noch um zusätzliche Garantien ergänzt werden müssen. Auch für Schweizer Unternehmen hielt der EDÖB jüngst fest, dass der Einsatz von Mailchimp immer einer sorgfältigen Einzelfallprüfung bedarf. Der Fall zeigt exemplarisch, dass seit dem Schrems II Entscheid des EuGH Unternehmen hohe Sorgfaltspflichten einhalten müssen, wenn sie Softwaretools von US-Anbietern datenschutzkonform nutzen wollen.
Mailchimp und Datenübermittlung in die USA im Fokus des BayLDA
Seit dem Schrems II Entscheid des EuGH (C-311/18) besteht viel Rechtsunsicherheit im Zusammenhang mit der grenzüberschreitenden Übermittlung von Personendaten. Gerade bei der Übermittlung von Personendaten in die USA ist unklar, welche Garantien diese Transfers noch ermöglichen können bzw. wann hierbei noch zusätzliche Massnahmen ergriffen werden müssen (siehe dazu MLL-News vom 5. Oktober 2020).
Vor diesem Hintergrund hatte der Landesdatenschutzbeauftragte von Bayern jüngst einen Fall der Datenübermittlung an Mailchimp zu beurteilen. Mailchimp ist eine der bekanntesten und am häufigsten verwendeten E-Mail-Marketing-Softwares. Aus Sicht des Datenschutzes ist relevant, dass beim Versenden eines Newsletters über Mailchimp E-Mail-Adressen der Nutzer an Mailchimp übertragen werden. Da Mailchimp seinen Sitz in den USA hat, handelt es sich im Anwendungsbereich der DSGVO um einen Drittstaatentransfer, bei dem die spezifischen Anforderungen der Art. 45 ff. DSGVO und die Schrems II Rechtsprechung hierzu beachtet werden müssen.
Im vorliegenden Fall stützten Mailchimp und das verantwortliche deutsche Unternehmen die Datenübermittlung auf eine Garantie nach Art. 46 DSGVO, in Form von EU-Standardvertragsklauseln. Aufgrund einer Beschwerde einer betroffenen Person musste der BayLDA prüfen, ob dies ausreichend ist. Der BayLDA verneinte dies. Der alleinige Abschluss von Standardvertragsklauseln sei keine ausreichende Rechtsgrundlage für die Übermittlung der Daten in die USA, weil:
«zumindest Anhaltspunkte dafür bestehen, dass Mailchimp grundsätzlich Datenzugriffen von US-Nachrichtendiensten auf Grundlage der US-Rechtsvorschrift FISA702 (50 U.S.C. § 1881) als möglicher sog. Electronic Communications Service Provider unterfallen kann und somit die Übermittlung nur unter Ergreifung solcher zusätzlicher Massnahmen (sofern geeignet) zulässig sein konnte.»
Es hätten daher vor dem Datentransfer weitere Massnahmen geprüft werden müssen, um ein der DSGVO gleichwertiges Datenschutzniveau zu gewährleisten. Dies war durch das Mailchimp nutzende Unternehmen nicht geschehen. Der BayLDA verwies diesbezüglich auch auf den Entwurf der Empfehlungen des Europäischen Datenschutzausschusses (EDSA) zur Umsetzung des Schrems II Entscheids, die sich detailliert zu den Prüfschritten im Zusammenhang mit Drittstaatentransfers äussern. Diese Empfehlungen lagen zum Entscheidungszeitpunkt erst im Entwurf vor, aber da die Pflicht zur Prüfung zusätzlicher Massnahmen sich aus der DSGVO bzw. deren Interpretation durch den EuGH im Schrems II Entscheid ergab, war dies wohl nicht entscheidend (siehe zu den EDSA Empfehlungen: MLL-News vom 7. März 2021; sowie zu der finalen Version MLL-News vom 12. August 2021). Der BayLDA verzichtete immerhin darauf, gegen das Unternehmen eine Busse auszusprechen.
Interessante Randnotiz: Obwohl dieser Entscheid sehr praxisrelevant ist, hat der BayLDA bis anhin keine Pressemitteilung hierzu veröffentlicht. Lediglich auf der Website des Europäischen Datenschutzausschusses findet sich eine kurze Pressemitteilung.
EDÖB verlangt risikobasierte Prüfung des Datentransfers
Für Schweizer Unternehmen stellen sich ähnliche Fragen, da auch in der Schweiz die Schrems II Rechtsprechung zu einer Anpassung der Praxis des EDÖB zur grenzüberschreitenden Datenübermittlung nach Art. 6 DSG führte (siehe dazu MLL-News vom 5. Oktober 2020). Interessanterweise äusserte sich der EDÖB kurz nach Bekanntwerden der Entscheidung des BayLDA ebenfalls zur Nutzung von Mailchimp durch Schweizer Unternehmen. Vom Branchenportal inside-it.ch auf die datenschutzkonforme Nutzung von Mailchimp angesprochen, riet der EDÖB Unternehmen zu einer Risikobewertung im Einzelfall:
«Ist das Risiko nach sorgfältiger Evaluierung vertretbar, kann Mailchimp genutzt werden (der Exporteur bleibt hingegen für eventuelle Konsequenzen verantwortlich).»
Dies ist bemerkenswert, ist der EDÖB doch mit Stellungnahmen zu einzelner Software ausserhalb von laufenden Verfahren eher zurückhaltend. In der Zwischenzeit hat der EDÖB darüber hinaus auch seine Empfehlungen zu Auslandsdatentransfers unter dem schweizerischen DSG angepasst und eine detaillierte Anleitung veröffentlicht, aus der sich ergibt, was bei dieser Prüfung im Einzelfall zu berücksichtigen ist.
Einschätzung
Die Entscheidung des BayLDA, den Einsatz von Mailchimp im vorliegenden Fall pauschal als Verstoss gegen die DSGVO zu bewerten, ist sehr streng. Wie das betroffene Unternehmen nämlich (erfolglos) geltend machte, werden lediglich E-Mail Adressen an Mailchimp in die USA übermittelt, weshalb der Datentransfer aufgrund der Art der Daten nicht besonders risikobehaftet scheint. Der entscheidende Punkt ist jedoch, dass vorliegend durch das Unternehmen gar nicht geprüft wurde, ob Standardvertragsklauseln im Lichte der Schrems II Rechtsprechung noch eine geeignete Garantie für diesen Datentransfer sind. Die Standardvertragsklauseln wurden ohne nähere Prüfung ihrer Eignung eingesetzt. Bereits hierin soll der beanstandete Verstoss gegen die DSGVO liegen. Wenn an Mailchimp nur E-Mail Adressen übermittelt werden, kann dies nach hier vertretener Auffassung im Einzelfall sehr wohl dafür sprechen, dass nebst der Vereinbarung von Standardvertragsklauseln keine zusätzlichen Garantien zu ergreifen sind. Aber Unternehmen müssen diese Prüfung immer im Einzelfall sorgfältig durchführen und dokumentieren. Nehmen sie diesen Aufwand nicht auf sich, kann bereits hierin ein Rechtsverstoss vorliegen.
Der Einsatz der Standardvertragsklauseln sind daher – durchaus etwas entgegen ihrer Bezeichnung – keine grundsätzliche Lösung, auf die in jeder Konstellation «standardmässig» zurückgegriffen werden kann. Die Standardvertragsklauseln wurden entsprechend auch kürzlich, nach dem Entscheid des BayLDA, revidiert. In den revidierten SCC müssen die Parteien explizit bestätigen, ein detailliertes, transferspezifisches Data Transfer Impact Assessment durchgeführt zu haben. Kommen sie in diesem zum Schluss, dass der Datenempfänger im Drittstaat einer Gesetzgebung unterliegt, die unverhältnismässige Eingriffe in die Grundrechte europäischer Bürger ermöglicht und können die Mechanismen der revidierten Standardvertragsklauseln oder andere Massnahmen diese Defizite nicht kompensieren, ist auf den Transfer zu verzichten (siehe dazu MLL-News vom 20. Juni 2021).
Der Entscheid des BayLDA macht vor diesem Hintergrund klar, dass Aufsichtsbehörden in jedem Fall von Unternehmen verlangen, dass sie ihre Datentransfers mit genügender Sorgfalt geprüft haben. Der damit verbundenen Aufwand ist durchaus kritisch zu sehen. Die Aufsichtsbehörden bemühen sich aber letztlich immerhin einerseits um eine konsequente Umsetzung der strengen Vorgaben des EuGH im Schrems II Urteil, andererseits aber auch, zu definieren, unter welchen Umständen ein Datentransfer in ein Land ohne Äquivalenz, nach Schrems II überhaupt noch möglich ist. Auch der EDSA ist sich der Kritik an seiner strengen Praxis durchaus bewusst, sieht aber keinen Anlass, grundsätzlich hiervon abzuweichen. In einem Kommentar zu dem BayLDA Entscheid wird dies explizit festgehalten:
«This case is exemplary for our supervisory enforcement of the requirements of the ECJ decision, which, contrary to recurring criticism, has already been taken up with a high degree of intensity even without publicly perceived investigations or sanctions and has so far succeeded with above-average frequency in reaching agreement.»
Es ist daher zu erwarten, dass Aufsichtsbehörden in der EU vermehrt Datentransfers in unsichere Drittstaaten untersagen werden, wenn die datenschutzrechtlichen Sorgfaltspflichten nicht eingehalten wurden. Eine derartige Verfügungskompetenz kommt dem schweizerischen EDÖB unter dem revidierten Datenschutzgesetz inskünftig ebenfalls zu (siehe MLL-News vom 19. Oktober 2020). Unternehmen in der EU und der Schweiz werden also ihre Datentransfers in Staaten ohne grundsätzlich angemessenes Datenschutzniveau einer entsprechenden Prüfung unterziehen müssen.
Weitere Informationen:
- EDSA/EDPB: Bavarian DPA (BayLDA) calls for German company to cease the use of ‹Mailchimp› tool
- BayLDA, LDA-1085.1-12159/20-IDV, veröffentlicht auf GDPRhub.com
- Urteil des EuGH vom 16. Juli 2020 (C‑311/18)
- Verordnung (EU) 2016/679 vom 27. April 2016, Datenschutz-Grundverordnung (DSGVO)
- MLL-News vom 5. Oktober 2020: EuGH: Privacy Shield ist ungültig, höhere Anforderungen an den Einsatz von Standardvertragsklauseln – Schrems II
- MLL-News vom 19. Oktober 2020: Neues Schweizer Datenschutzrecht: wichtigste Regelungen der DSG-Revision im Überblick
- MLL-News vom 7. März 2021: Datentransfer in Drittstaaten nach Schrems II: EDSA und EDPS veröffentlichen Joint Opinion zu revidierten Standardvertragsklauseln
- MLL-News vom 20. Juni 2021: Datentransfer in Drittstaaten nach Schrems II: EU-Kommission verabschiedet revidierte Standardvertragsklauseln