Aufsichtsbehörde in Bayern verbietet Mailchimp?

Die österreichische Newsseite Der Standard titelt: „Urteil in Deutschland: Unzulässige Weitergabe von Mailadressen an Mailchimp”. Es geht um die Untersagung der Übermittlung von E-Mail-Adressen an den beliebten US-Versanddienstleister Mailchimp durch die Bayrische Datenschutzbehörde (BayLDA). In diesem Beitrag ordnen wir die Meldung ein und geben Praxistipps zum Umgang mit US-Dienstleistern.

Sachverhalt

Der Beschwerdeführer reichte eine Beschwerde bei der Bayrischen Datenschutzbehörde (BayLDA) gegen ein deutsches Unternehmen (Beschwerdegegner) bezüglich der Datenverarbeitung durch den Versanddienstleiter Mailchimp als Newslettertool ein. Die Übermittlung von E-Mail-Adressen der Newsletter-Abonnenten an Mailchimp durch den Beschwerdegegner sei gemäß Art. 44 DSGVO rechtswidrig gewesen. Dies, weil die Datenübermittlung in die USA, ein Land ohne angemessenes Schutzniveau der Daten, erfolgte und keine hinreichenden Garantien hierfür vorlägen. Der Beschwerdegegner entgegnete, dass die Verwendung von Mailchimp lediglich gelegentlich erfolgte. Die BayLDA gab dem Beschwerdeführer Recht und stuft die vorliegende Übertragung von E-Mail-Adressen an Mailchimp im konkreten Fall als rechtswidrig ein. Von der Verhängung einer Geldbuße wurde seitens der Behörde abgesehen. Hierzu trug Folgendes bei:

• Der Datentransfer in die USA erfolgte unter Einbeziehung der EU-Standarddatenschutzklauseln. Nach Einschätzung des BayLDA bestehen jedoch Hinweise dafür, dass Mailchimp nach dem US-Versicherungsrecht als “elektronischer Kommunikationsdienstleister” qualifiziert ist und somit die übertragenen E-Mail-Adressen möglicherweise von US-Geheimdiensten abgerufen werden können.
• Die EuGH-Entscheidung “Schrems II” (EuGH, Urt. v. 16.7.2020, C-311/18) ( 62018CJ0311 (europa.eu)) zugrunde gelegt, hätte der Beschwerdegegner prüfen müssen, ob durch Mailchimp zusätzliche Maßnahmen ergriffen worden sind, um sicherzustellen, dass die übermittelten Daten vor Zugriffen von US-Behörden geschützt seien.

Einordnung

Zunächst ist eine Einordnung erforderlich. Entgegen der Überschrift von „Der Standard“ handelt es sich nicht um ein Urteil, sondern um eine Entscheidung einer Datenschutzbehörde.

Die Behörde hat nicht grundsätzlich entschieden, dass die Verwendung von Mailchimp unzulässig und rechtswidrig ist. Die Entscheidung sagt lediglich aus, dass die Datenverarbeitung durch Mailchimp nicht rechtmäßig ist, sofern dieser keine besondere Prüfung vorangeht und gegebenenfalls zusätzliche Maßnahmen ergriffen worden sind.

Dies hat den folgenden Grund:

Das Unternehmen Mailchimp verarbeitet die Daten in den USA, einem Drittland im Sinne der DSGVO. Sollen personenbezogene Daten von EU-Bürgern in Drittländer übermittelt werden, müssen Garantien vorliegen, dass diese Daten auch dort einem vergleichbar hohem Schutzniveau unterliegen. Eine dieser Garantien war eine Zertifizierung nach dem EU-U.S. Privacy-Shield-Abkommen für die Datenübertragung in die USA. Dieses Abkommen wurde mit EuGH-Urteil vom 16. Juli 2020 (https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:62018CJ0311) gekippt.

Alternativ kann ein Datentransfer in ein unsicheres Drittland auf sogenannte Standardvertragsklauseln gestützt werden. Dies jedoch nur, sofern deren Einhalt positiv überprüft wurde. Ein DSGVO-konformer Datentransfer in die USA, kann bei alleiniger Einbeziehung der durch die Europäische Kommission genehmigten Standardvertragsklauseln nicht vollständig gewährleistet werden, da die Eingriffsbefugnisse der ansässigen Behörden zu weitreichend sind und möglicherweise Rechtsbehelfe für die betroffene Person nicht vorhanden sind. Ein angemessener Schutz der Daten der betroffenen Personen ist somit nicht möglich. An dieser Stelle ist es wichtig klarzustellen, dass nach Ansicht des EuGHs allein die fehlende Möglichkeit, die Pflichten aus den Standardvertragsklauseln einzuhalten, nicht kausal zur Unzulässigkeit der Datenübermittlung in die USA führt. Nur wenn dann auch zusätzliche Garantien oder andere Maßnahmen nicht dazu beitragen, dass ein der die Daten ausreichend geschützt sind, muss die Aufsichtsbehörde die Datenübermittlung untersagen: „(…,) dass die Standardvertrags-Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann“ (s. EuGH, Urt. v. 16.7.2020, C-311/18 Rz. 146).

Das bedeutet, die unterlassene Prüfung der Verwendung von Mailchimp in Bezug auf die positive Einhaltung der Standardvertragsklauseln und das Nichtergreifen von zusätzlichen Maßnahmen, stellt bereits einen Datenschutzverstoß dar. Der BayLDA musste folglich, die Unzulässigkeit der Nutzung von Mailchimp feststellen. Fraglich ist jedoch, ob die Behörde auch mit einer positiven Prüfung und der Integration von „zusätzlichen Maßnahmen“ zur Datensicherheit die Verwendung des Dienstes für unzulässig erklärt hätte.

Überprüfung in der Praxis

Die nach der aktuellen Rechtslage wohl sicherste Methode ist es, die Auftragsverarbeiter mit Sitz in einem Drittland ohne angemessenes Schutzniveau (z.B. USA, Russland, China) durch solche mit Sitz in der Europäischen Union oder in Staaten mit anerkanntem Datenschutzniveau (z. B. Kanada, Schweiz, Neuseeland, Israel, Japan) zu ersetzen.

Wenn Sie trotzdem weiterhin US-amerikanische Dienstleister nutzen möchten, sollten Sie oder Ihr Datenschutzbeauftragter diesen auf sein Datenschutzniveau gründlich überprüfen, dies bestenfalls dokumentieren und gegebenenfalls zusätzliche Maßnahmen zur Herstellung der größtmöglichen Datensicherheit einbeziehen.

Bevor Sie mit der Prüfung beginnen können, ist es wichtig die erforderlichen Informationen über den Anbieter und seinen Datenschutzstandard einzuholen. Diese sollten so umfangreich wie möglich sein. Es empfiehlt sich den Anbieter hierfür gesondert zu kontaktieren und sich nicht nur auf frei zugängliche Informationen zu stützen. Anschließend können Sie mit der Überprüfung des Dienstleisters auf dessen Datensicherheit beginnen.

Der EuGH hat in seinem Urteil (https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:62018CJ0311) grundsätzlich die Datensicherheit in den USA bewertet und musste dabei auch potenziell sensible Sachverhalte in seine Bewertung einbeziehen, beispielsweise die Datenverarbeitung von politischen oder vermögensbezogenen Angaben oder solche zur Sexualität oder Gesundheit. Hierbei ist zu beachten, dass je sensibler die verarbeiteten Daten sind, umso höher das Risiko ist. So lässt sich beispielsweise die Verarbeitung von Beschäftigtendaten in den USA mit möglichen personenbezogenen Daten zu Gesundheit, Adressen, Gewerkschafts- oder Religionszugehörigkeit und weiteren sensiblen Daten anders bewerten als die Nutzung von US-amerikanischen Newsletterdienstleistern, bei der ausschließlich die E-Mail-Adresse des Newsletterabonnenten verarbeitet wird. Diese Einschätzung teilt die BayLDA. Demnach handelt es sich bei personenbezogenen Daten in Form „von E-Mail-Adressen, um Daten deren Sensibilität noch verhältnismäßig überschaubar sind, so dass der vorliegende Verstoß (der im oben beschriebenen Fall) mit Blick auf seine Art und Schwere (Art. 83 Abs. 2 lit. a DSGVO) noch als geringfügig einzustufen ist, und insbesondere nur ein allenfalls leichtes Maß an Fahrlässigkeit zu bejahen ist (Art. 83 Abs. 2 lit. b DSGVO).“

Ungeachtet dessen ist auch bei einem vermeintlich geringeren Risiko ganz genau hinzuschauen. Werden neben der E-Mail-Adresse des Newsletterempfängers auch Daten zum Leseverhalten erhoben oder welche Links der Newsletterbeiträge geklickt wurden, ist das Risiko höher einzuschätzen.

Mögliche „zusätzliche Maßnahmen“ zum Schutz der Daten

Nach Abstecken des Risikos für die Verarbeitung in den USA sollten zusätzliche Maßnahmen für die größtmöglichen Schutz in Betracht gezogen werden. Je höher das Risiko eingeschätzt wurde, umso stärker sollte eine zusätzliche Maßnahme sein.

Für das Beispiel der Beschäftigtendaten wäre dies mitunter eine Verschlüsselung, durch die nur der Verantwortliche in der EU Zugriff auf die Daten erlangen kann, jedoch nicht der US-Anbieter. Dabei sind für die unterschiedlichen Datenverarbeitungen individuelle Schutzmaßnahmen zu ergreifen. Dies könnten beispielsweise die folgenden zusätzlichen Maßnahmen zur Datensicherheit sein:

• Ende-zu-Ende-Verschlüsselung, bei der es nur dem Verantwortlichen oder von ihm beauftragten Dritten möglich ist, die Daten zu entschlüsseln
• Vertragliche Vereinbarung mit dem US-amerikanischen Dienstleister zur Prüfung und möglicherweise gerichtlicher Abwehr von Anfragen durch US-Behörden
• Vertragliche Vereinbarung mit dem US-Dienstleister, dass Information über Behördenanfragen dem Verantwortlichen mitgeteilt werden, sofern dies nicht durch gesetzliche Bestimmungen untersagt ist. Dies trägt dazu bei, dass der Verantwortliche eigenständig Daten sichern und gegebenenfalls gerichtliche Schritte zur Abwehr der Anfrage einleiten kann.
• Ausführliche Aufklärung der Betroffenen über die Datenübermittlung und die Risiken
• Detaillierter Auftragsverarbeitungsvertrag, in dem die EU-Standardvertragsklauseln ausschließlich unverändert inkludiert sein dürfen
• In Ihrer Datenschutzerklärung über die Datenübermittlung, mögliche Risiken sowie über die von Ihnen getroffenen zusätzlichen Schutzmaßnahmen ausführlich zu informieren
• Regelmäßige erneute Überprüfung der Datensicherheit des US-Dienstleisters

Sofern Sie Dienstleister aus den USA nutzen, empfehlen wir zudem eine Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a) i.V.m. Art. 49 Abs. 1 S. 1 lit. a) DSGVO für die Datenübermittlung einzuholen. Hier entscheidet die betroffene Person eigenständig, dass sie damit einverstanden ist, dass ihre personenbezogenen Daten möglicherweise in den USA zu einem geringeren Schutzniveau verarbeitet werden können. Es sind jedoch spezifische Elemente für eine wirksame Einwilligung erforderlich, die unbedingt beachtet werden sollten:

• Eine Aufklärung der betroffenen Person über die Datenverarbeitung und mögliche Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien, sodass eine Einwilligung in Kenntnis der Sachlage erfolgt (insbesondere: Informationen zu Identität des Verantwortlichen, Zweck der Übermittlung, Art von Daten, Rechtsgrundlage für die Datenübermittlung Recht zum Widerruf der Einwilligung, Identität oder Kategorien der Empfänger, Empfängerland und mögliche Risiken)
• Eine ausdrückliche Einwilligung in die Datenübermittlung für den bestimmten Fall somit speziell für die bestimmte Datenübermittlung oder Reihe von Datenübermittlungen
• Die ausdrückliche Einwilligung ist zwingend vor der Datenübermittlung einzuholen und kann nicht nachträglich erfolgen

In Bezug auf die Einwilligung für die Datenübermittlung durch Mailchimp im Falle des Newsletters, empfehlen wir im Rahmen der Newsletteranmeldung einen entsprechenden Hinweis einzupflegen, sodass sich die betroffene Person bereits vor der Anmeldung zum Newsletter über eine entsprechende Datenübermittlung informieren und bezüglich der Einwilligung zum Newsletter entsprechende Informationen mit einbeziehen kann. Der Hinweis könnte hier wie folgt lauten:

„Hinweis zur Datenverarbeitung in den USA durch unseren Versanddienstleister MailChimp:
Indem Sie den Newsletter abonnieren, willigen Sie gem. Art. 6 Abs. 1 S. 1 lit. a) DSGVO ein, dass Ihre Daten durch unseren Versanddienstleister in den USA verarbeitet werden. Der Datenschutzstandard in den USA ist nach Ansicht des EuGHs unzureichend und es besteht die Gefahr, dass Ihre Daten durch die US-Behörden zu Kontroll- und Überwachungszwecken, möglicherweise auch ohne Rechtsbehelfsmöglichkeiten, verarbeitet werden. Eine erteilte Einwilligung kann jederzeit widerrufen werden. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung“

Eine Checkbox sollte die Kenntnisnahme des Hinweises sowie die Einwilligung in die Datenübermittlung abfragen. Wichtig ist, dass diese Checkbox nicht vorausgefüllt ist.

Fazit

Eine Datenverarbeitung in Ländern ohne angemessenes Schutzniveau birgt immer ein Risiko für die Datensicherheit des Betroffenen. Sie als Verantwortlicher tragen Sorge dafür, dass die Daten Ihrer Nutzer bestmöglich geschützt sind. Bitte ziehen Sie daher einen möglichen und zumutbaren Wechsel zu einem EU-Dienstleister oder einem solchen aus einem Land mit Angemessenheitsbeschluss der Europäischen Kommission immer in Betracht. Solange kein vereinfachter Prozess oder neue Garantien zur Überprüfung der Datensicherheit von US-amerikanische Dienstleitern durch die Europäische Kommission bereitgestellt wird, ist die grundsätzliche Zulässigkeit von US-Dienstleitern ungewiss. Seien Sie folglich umsichtig bei der Auswahl weiterer US-amerikanischer Dienstleister und ergreifen Sie alle erforderlichen Maßnahmen, um den größtmöglichen Schutz der Daten zu gewährleisten.

Wir sind Ihnen gern bei der Überprüfung eines Dienstleisters und der Beurteilung von zusätzlichen Schutzmaßnahmen behilflich.