Unzulässiger Einsatz des US-Dienstes „Mailchimp“ - Was Unternehmen nach dem ,,Schrems-II-Urteil“ des Europäischen Gerichtshofs beachten müssen

Im Juli 2020 erging das „Schrems-II-Urteil“ (EuGH, Urt. v. 16.7.2020, C-311/18) des Gerichtshofs der Europäischen Union (EuGH). Wir haben bereits darüber berichtet: EuGH erklärt EU-U.S. Privacy Shield für ungültig!. Mit diesem Urteil wurde mit großem Medienecho der Privacy Shield-Beschluss gekippt. Die Datenübermittlung in die USA ist seitdem nur noch auf Grundlage der EU-Standardvertragsklauseln oder anderer Garantien erlaubt. Nun hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) die Nutzung des US-Dienstes Mailchimp trotz Verwendung der EU-Standardvertragsklauseln für datenschutzrechtlich unzulässig erklärt. In diesem Artikel informieren wir Sie über die Entscheidung des BayLDA und was Sie bei bei der Nutzung von US-Anbietern wie Mailchimp beachten sollten.

Die Entscheidung des BayLDA 

Das BayLDA hatte in seiner Entscheidung vom 15.03.2021 anlässlich einer datenschutzrechtlichen Beschwerde die Unzulässigkeit der Datenübermittlung einer E-Mail-Adresse der betroffenen Person an Mailchimp festgestellt. Nach Bewertung des BayLDA war der Einsatz von Mailchimp trotz Verwendung der EU-Standardvertragsklauseln unzulässig. Das Unternehmen hatte nämlich nicht geprüft, ob weitere Maßnahmen im Sinne der ,,Schrems-II“ Entscheidung für den Datentransfer in die USA notwendig gewesen wären. Die Notwendigkeit der weiteren Überprüfung begründete das BayLDA damit, dass Mailchimp auf Grundlage des amerikanischen Rechts Datenzugriffen von US-Nachrichtendiensten ausgesetzt ist. Der Einsatz von Mailchimp ist damit nicht generell unzulässig, jedoch sind zusätzliche Maßnahmen erforderlich.

Was müssen Unternehmen bei der Nutzung von US-Anbietern beachten?

Die Entscheidung des BayLDA hat keine generelle Bindungswirkung gegenüber anderen Unternehmen, sondern bezieht sich nur auf den Einzelfall. Jedoch lässt sich hieran die Meinung der Behörde bezüglich der Nutzung von US-Anbietern gut einschätzen. Sie sollte zum Anlass genommen werden, nochmals den Einsatz von US-Anbietern im Unternehmen zu überprüfen. Auf die Vereinbarung der EU-Standardvertragsklauseln allein können sich die an der Verarbeitung der Daten beteiligten Unternehmen nicht verlassen.
Denn die Behörden des Drittlandes - wie hier der USA - werden durch die EU-Standardvertragsklauseln nicht gebunden. Sie haben möglicherweise weiterhin Zugriff auf personenbezogene Daten. Das Schutzniveau ist dann nicht mehr angemessen im Sinne der Datenschutz-Grundverordnung. Unternehmen müssen deshalb bei jedem US-Anbieter überprüfen, welche Maßnahmen der jeweilige Anbieter zum Schutz der Daten bereits ergreift und welche Maßnahmen noch ergriffen werden müssen, um ein angemessenes Datenschutzniveau zu gewährleisten.

Beispiele solcher Maßnahmen sind:

• Die Daten werden so verschlüsselt, dass die Verschlüsselung auch nicht von US-Nachrichtendiensten gebrochen werden kann.
• Die Daten werden anonymisiert oder pseudonymisiert. Die Zuordnung kann nur der Datenexporteuer vornehmen.

Weitere Informationen

Lesen Sie auch unseren Artikel mit weiteren Handlungsempfehlungen und Informationen zu diesem Thema: Übermittlung von Daten in Drittländer – Was müssen Unternehmen ab sofort beachten?

Auf der Webseite des Landesbeauftragten für Datenschutz und Informationssicherheit Baden-Württemberg findet sich zudem eine empfehlenswerte Orientierungshilfe zum Thema internationaler Datentransfer.