Zurück zur Übersicht
25.03.2021

Mailchimp: BayLDA untersagt Nutzung

Beschwerde gegen  Weitergabe der Mailadresse an Mailchimp führt zur Untersagung

Ein Abonnement eines Newsletters beschwerte sich bei der bayerischen Datenschutz-Aufsichtsbehörde (BayLDA) über die Weitergabe seiner E-Mail-Adresse an Mailchimp und die damit verbundene Speicherung seiner Daten in den USA. Seiner Meinung nach fehlt es für die Speicherung an der dafür notwendige Rechtsgrundlage, auf die die Übermittlung gestützt werden kann. Die Aufsichtsbehörde ist dieser Auffassung gefolgt und hat die Weitergabe als unzulässig bewertet und damit die Nutzung von Mailchimp praktisch untersagt. Nicht gefolgt ist die Aufsichtsbehörde der Forderung des Petenten, sofort ein Bußgeld zu verhängen. 

Wir erinnern uns. Im vergangenen Jahr hat der EuGH das „Privacy Shield“ gekippt und damit der Übermittlung die Rechtsgrundlage entzogen. Seither müssen für die Beauftragung von US-Anbietern die sogenannten „europäischen Standardvertragsklauseln“ nebst geeigneter Garantien abgeschlossen werden.


BayLDA: Das Unternehmen hätte prüfen sollen, ob für die Übermittlung der Daten an Mailchimp zusätzlich zu den EU-Standarddatenschutzklauseln noch „zusätzliche Maßnahmen“ im Sinne der EuGH-Entscheidung „Schrems II“ notwendig sind, um die Übermittlung datenschutzkonform zu gestalten.


Und genau an diesem Punkt wird es schwierig. Denn unserer Einschätzung nach kann eine solche Prüfung für geeignete Garantien zwar für Mailchimp durchgeführt und dokumentiert werden. Trotzdem wird die Aufsichtsbehörde fallbezogen und nach genauer Analyse entscheiden. Für die Masse an kleineren Unternehmen gehen wir davon aus, das diese Entscheidung aufgrund der in den meisten fällen unzureichenden Argumentation zu Kosten und Aufwand eines Wechsels nicht greifen werden. Auch die Begründung hinsichtlich eines geringem Risikos (nur Email-Adresse) der Verarbeitung und dem Wissen des Newsletter-Abonnenten um die Übermittlung (Einwilligung + Datenschutzbestimmungen) könnte nicht ausreichen. Auch haben US-Behörden trotzdem einen Zugriff auf Daten europäischer Nutzer, ohne die bei uns geltenden (für einen Zugriff notwendigen) Rechtsinstrumente.


Die eigentliche Frage ist doch neben der datenschutzrechtlichen Komponente: Will man sich in eine Auseinandersetzung mit der Aufsichtsbehörde begeben, die letztlich nur vor Gericht (Kosten ./. Nutzen) geklärt werden kann?


Es gibt aus unsererer Sicht nun folgende Handlungsmöglichkeiten für betroffene Unternehmen: Weiterbetrieb von Mailchimp ergänzt mit protokollierter Prüfung geeigneter Garantien. In der Hoffnung, eine solche Prüfung hält vor der Aufsichtsbehörde dann stand. Hierbei kann Sie Ihr Datenschutzbeauftragter unterstützen. Oder, weitere Nutzung ohne etwas zu tun. Unserer Einschätzung nach keine gute Idee aufgrund des beschriebenen Risikos einer sofortigen Untersagung. Dritte Möglichkeit und und von uns bevorzugt: Wechsel zu einem DSGVO-konformen Anbieter innerhalb der EU. Hierfür gibt es zwischenzeitlich eine gute Auswahl geeigneter Newsletter-Versender. -Wir werden weiter informieren und dieser Beitrag entsprechend aktualisiert.

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks