To Chimp or not to Chimp? – BayLDA erklärt Mailchimp für unzulässig
Das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) hat infolge einer Beschwerde die Nutzung des US-Newsletter-Dienstes MailChimp durch ein Unternehmen in München für unzulässig erklärt. Wer seine Newsletter ebenfalls mit MailChimp versendet, sollte Alternativen in Betracht ziehen.
Was war da los?
MailChimp ist ein Cloud-basierter Dienst zur Versendung von E-Mail-Newslettern. Dahinter steht das Unternehmen The Rocket Science Group mit Sitz in den USA. Und hier steckt das Problem: mit der Entscheidung des Europäischen Gerichtshofs vom Juli 2020 gilt das Datenschutzniveau in den USA im Vergleich zum europäischen Standard als nicht mehr ausreichend.
Datenübermittlungen an Drittstaaten unterliegen gemäß der Datenschutzgrundverordnung (DSGVO) besonderen Anforderungen. Vor einer Übermittlung müssen laut Art. 46 (1) DSGVO „geeignete Garantien“ in Form von Verträgen oder Zertifizierungen bestehen. In den meisten Fällen werden deshalb die EU-Standarddatenschutzklauseln (SCC) als Ergänzung zu Auftragsverarbeitungsverträgen abgeschlossen. Diese werden tatsächlich auch von MailChimp angeboten. Das allein reicht aber nicht.
Im Antwortschreiben an den Beschwerdeführer begründet das BayLDA seine Entscheidung: … weil [das Unternehmen] nicht geprüft hatte, ob für die Übermittlung an Mailchimp zusätzlich zu den (zum Einsatz gekommenen) EU-Standarddatenschutzklauseln noch „zusätzliche Maßnahmen“ im Sinne der EuGH-Entscheidung „Schrems II“ notwendig sind, um die Übermittlung datenschutzkonform zu gestalten, …“
Der EuGH hatte insbesondere die in den USA bestehenden staatlichen Überwachungsprogramme im Sinn, als er das Datenschutzniveau in den USA als nicht adäquat erklärte. Aus diesem Grund hatte er gefordert, dass die SCC durch wirksame Mechanismen ergänzt werden, um das erforderliche Schutzniveau der personenbezogenen Daten zu erreichen.
Was sind wirksame Mechanismen?
Der Europäische Datenschutzausschuss hat im November 2020 ein Empfehlungspapier veröffentlicht, in dem er neben einer Vorgehensweise zur Bewertung der Datenübermittlung auch einige Positiv-Beispiele für technische Maßnahmen nennt, z.B. Verschlüsselung oder Pseudonymisierung.
Auch das BayLDA empfiehlt als geeignete technische Maßnahme für einen Datentransfer in unsichere Drittländer die Verwendung von kryptografischen Verfahren. Das wäre z. B. bei Cloud-Storage ein Schlüssel, der nur dem Eigentümer der Daten zugänglich ist.
Im vorliegenden Fall wurde vom BayLDA gerügt, dass MailChimp ohne eine vorausgehende Prüfung eingesetzt wurde und somit weder eine Dokumentation der Risiken aus der Datenübermittlung noch eine Bewertung von Maßnahmen zum Schutz derselben erfolgt ist.
Das Unternehmen hat daraufhin entschieden, MailChimp nicht mehr einzusetzen. Die Behörde hat in diesem Zusammenhang keine weiteren Maßnahmen ergriffen.
Bewertung und Empfehlung
Das BayLDA setzt mit dem Vorgehen ein klares Zeichen in Richtung der Industrie: wer US-Cloud-Anbieter einsetzt, muss die Datenübermittlung kritisch prüfen und zusätzliche Maßnahmen umsetzen. Im Fall von MailChimp stehen mit CleverReach und SendinBlue (ehemals Newsletter2Go) zudem europäische Alternativen zur Verfügung.
Unabhängig von der Diskussion um die Zugriffe von US-Behörden auf personenbezogene Daten ist es aus unserer Sicht sehr bedenklich, dass MailChimp die SCC zwar anbietet, diese aber zum Teil in den Nutzungsbedingungen wieder aushebelt. Dadurch wird einer Datenverwendung durch MailChimp u.a. für Forschungs- und Marketingzwecke zugestimmt, wobei die Daten auch an Dritte weitergegeben werden. Aus unserer Sicht kann ein Datenexporteur, sei es der Verantwortliche oder die beauftragte Marketingagentur, die Datenschutzgrundsätze der Zweckbindung und Transparenz hier kaum erfüllen.
Wir empfehlen generell, den Einsatz von US-Cloud-Diensten kritisch zu beleuchten. Folgende Fragen können bei dieser Risikoabwägung helfen:
-
- Welche Daten sollen übermittelt werden? Welche Risiken sind damit verbunden?
-
- Werden die betroffenen Personen über die mögliche Einsichtnahme durch US-Behörden oder weitere Datennutzung durch den Anbieter informiert (z.B. beim Einholen der Einwilligung)?
-
- Welche Maßnahmen werden zum Schutz der Daten getroffen? Müssen / können darüber hinaus noch weitere Maßnahmen getroffen werden?
-
- Bestehen zu dem Dienst rechtskonforme Alternativen, idealerweise innerhalb der EU?
Gerne unterstützen wir Sie bei der Risikobewertung.
Titelbild Quelle: iStock / Sompong Lekhawattana