Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat die Nutzung des US-Newsletter-Dienstes Mailchimp im Fall vom sog. „FOGS Magazin“ für unzulässig erklärt.
Im konkreten Fall nutzte das FOGS Magazin für seinen Newsletterversand den US-Dienst Mailchimp und übertrug in diesem Zusammenhang die E-Mail-Adressen seiner Newsletter-Abonnenten an das US-Unternehmen. Ein Nutzer beschwerte sich nach Kenntnisnahme darüber bei der zuständigen Datenschutzbehörde.
Das FOGS Magazin setzte auf Standardvertragsklauseln als Legitimationsgrundlage für den Datentransfer. Laut Aussage des BayLDA sei der alleinige Abschluss der Standardvertragsklauseln aber keine ausreichende Rechtsgrundlage für die Übermittlung der Daten in die USA. So hätte das FOGS Magazin z.B. prüfen müssen, ob bei Mailchimp auch in der Praxis ein den EU-Anforderungen als gleichwertig einzustufendes Datenschutzniveau besteht oder ob ggf. noch weitere Maßnahmen zu treffen sind, um die zu übertragenden Daten entsprechend abzusichern. Beim Abschluss der Standardvertragsklauseln als Legitimationsgrundlage für US-Datentransfers ist es folglich nicht damit vollbracht, die Vertragsgrundlagen abzuschließen und bei der Gegenseite auf deren Einhaltung zu vertrauen. Hier geht die Verantwortung des Verantwortlichen weit darüber hinaus, weshalb es grundsätzlich schwer ist, den Anforderungen der Datenschutzbehörden und anderer Parteien (z.B. Auftraggeber) gerecht zu werden. Darüber hinaus ist die Erstellung und Verhandlung der vertraglichen Grundlagen im Zusammenhang mit US-Diensten ein immenser Aufwand, der bei einigen Diensten auch faktisch nicht umsetzbar ist.
Zwar kam das FOGS Magazin aufgrund weiterer Faktoren mit einer Verwarnung davon und wurde mit keinem Bußgeld belegt, allerdings hat das BayLDA mit dieser Entscheidung die Unzulässigkeit der Datenübermittlung auf alleiniger Grundlage der Standardvertragsklauseln festgestellt. Weitere Entscheidungen dieser Art sind zu erwarten.
Generell sollten Unternehmen auch beachten, dass nicht nur die Übertragung von Daten an US-Dienste, sondern auch an EU-Anbieter ggf. problematisch werden können, insofern diese wiederum US-Sub-Dienstleister nutzen.
Quellenangabe:
- Artikel „Unzulässiger Einsatz von Mailchimp und die Folgen“, abgerufen am 23.09.2021 unter https://www.dr-datenschutz.de/unzulaessiger-einsatz-von-mailchimp-und-die-folgen/