US-Anbieter Mailchimp: Nicht ohne Abwägung nutzbar
23. April 2021 | von Jakob Schlag
Mailchimp, der wohl bekannteste Anbieter für Newslettermanagement, darf von einem Münchner Unternehmen nicht weiter genutzt werden. Das entschied die für bayerische Unternehmen zuständige Aufsichtsbehörde.
Die Verwendung von Mailchimp wurde jedoch nicht grundsätzlich verboten. Grund dieser Einzelfallentscheidung war, dass durch das Münchner Unternehmen nicht geprüft wurde, ob statt dem US-Anbieter Mailchimp auch ein Unternehmen beauftragt werden könnte, dass die Daten nicht in ein Drittland übermittelt bzw. eine Übermittlung mit zusätzlichen Maßnahmen stattfinden kann. Die Entscheidung richtet sich also nicht gegen Mailchimp an sich, sondern allgemein gegen eine ungeprüfte Datenübermittlung in die USA. Damit ist diese Entscheidung für eine Vielzahl führender Auftragsverarbeiter relevant, die ihren Sitz in den USA haben.
Hintergrund ist, dass personenbezogene Daten grundsätzlich nur innerhalb des Geltungsbereichs der DSGVO übermittelt werden dürfen. Problemlos ist die Übermittlung auch in Nicht-EU-Staaten, die die DSGVO anwenden (Norwegen, Island, Liechtenstein) sowie Staaten, bei denen ein sogenannter „Angemessenheitsbeschluss“ besteht. Mit einem Angemessenheitsbeschluss stellt die EU-Kommission fest, dass im Zielland ein vergleichbares Datenschutzniveau besteht. Die Liste der Angemessenheitsbeschlüsse ist hier veröffentlicht.
Für die USA gab es im Rahmen des privacy shield zwar einen solchen (teilweisen) Angemessenheitsbeschluss, dieser wurde jedoch im vergangenen Jahr vom Europäischen Gerichtshof für ungültig erklärt, da in den USA Ermittlungsbehörden weitreichende Auskunftsrechte haben und die rechtlichen Möglichkeiten der Betroffenen zu gering sind – allein schon, da sie in der Regel nicht über Auskünfte informiert werden dürfen („Schrems II-Urteil“ vom 16.07.2020, C-311/18).
Da seit diesem Urteil kein Angemessenheitsbeschluss für Datenübertragungen in die USA mehr besteht, wird eine andere Rechtsgrundlage benötigt. Eine Möglichkeit ist, dass die sogenannten „Standardvertragsklauseln“ einbezogen werden, eine Einzelfallprüfung stattfindet und zusätzliche Sicherheitsmaßnahmen getroffen werden. Die Standardvertragsklauseln wurden von der EU-Kommission veröffentlicht und sind hier abrufbar. Da die Standardvertragsklauseln nicht bindend sind für US-Behörden, wie die CIA, muss in einer Einzelfallprüfung festgestellt werden, wie die tatsächliche Verwaltungspraxis der US-Behörden ist. Mit zusätzlichen Maßnahmen, wie einer Verschlüsselung, muss sichergestellt werden, dass die US-Behörden nicht auf die in die USA zu exportierenden Daten zugreifen können.
Vor dem Einsatz eines US-Dienstleisters wie Mailchimp muss daher geprüft werden, ob ein Zugriff von US-Behörden auf die Daten möglich ist und befürchtet werden muss. Im Zweifel ist von einer Übermittlung in die USA abzusehen und ein Anbieter auszuwählen, bei dem die Übermittlungsproblematik nicht vorliegt, beispielsweise, weil die Verarbeitung innerhalb der EU stattfindet.
Es empfiehlt sich daher, US-Anbieter nicht ungeprüft einzusetzen und Alternativen gründlich und dokumentiert abzuwägen.
Eine Orientierungshilfe zur Problematik des Datentransfers in die USA nach Ende des privacy shield bietet der Landesbeauftragte für Datenschutz und Informationsfreiheit des Lands Baden-Württemberg hier.
Ausführliche Empfehlungen des Europäischen Datenschutzausschusses zum Verfahren einer Einführung von Drittlandübermittlungen finden sich hier.
Rückfragen beantwortet das Team der Datenschutzbeauftragten gerne. Kontaktieren Sie uns einfach unter dsb@ur.de.
Quellen:
LDA: Entscheidung zu Aktenzeichen LDA-1085.1-12159/20-IDV im Originaltext.
