UPDATE 21.03.2021: Auf Basis von vielen Anfragen haben wir noch zwei FAQ am Ende des Artikels ergänzt.
Seit dem EuGH-Urteil im Juli 2020 und dem Ende von Privacy Shield stellen sich viele europäische Unternehmen die gleiche Frage: Bin ich von dem Urteil betroffen? Was ist nun mit dem Einsatz von amerikanischen Dienstleistern wie Mailchimp & Co.?
In unserem Artikel „Und was ist mit Mailchimp?“ haben wir uns ausführlich mit dieser Fragestellung beschäftigt und dazu auch ein Interview mit Max Schrems geführt. Unsere Meinung ist klar: Nach dem EuGH-Urteil Situation ist der Einsatz rechtlich kaum möglich – entgegen der Behauptungen von Mailchimp, dass (wegen der Standardvertragsklauseln) alles OK sei.
Die Unzulässigkeit ist nun auch amtlich
Um die Zulässigkeit bzw. Unzulässigkeit auch formell zu überprüfen, haben wir beim Bayerischem Landesamt für Datenschutzaufsicht eine Beschwerde gegen ein Unternehmen eingebracht, das einen Newsletter über Mailchimp an uns verschickt hatte.
Unser Argument: Nach dem Ende von Privacy Shield bestehen keine ausreichenden Grundlagen, um ohne Zustimmung des Betroffenen personenbezogenen Daten wie die E-Mail Adresse an ein amerikanisches Unternehmen zu übergeben.
Nach einer sorgfältigen Prüfung durch die Behörde liegt nun die Entscheidung vor:
„Nach unserer Bewertung war der Einsatz von Mailchimp […] – und somit auch die Übermittlung Ihrer E-Mail-Adresse an Mailchimp […] – datenschutzrechtlich unzulässig […].“
Die Begründung: Das Unternehmen hatte nicht geprüft, ob für die Übermittlung an Mailchimp zusätzlich zu den Standarddatenschutzklauseln noch „zusätzliche Maßnahmen“ im Sinne der EuGH-Entscheidung „Schrems II“ (EuGH, Urt. v. 16.7.2020, C-311/18) notwendig sind, um die Übermittlung datenschutzkonform zu gestalten.
Diese seien aber notwendig, da „zumindest Anhaltspunkte dafür bestehen, dass Mailchimp grundsätzlich Datenzugriffen von US-Nachrichtendiensten […] unterfallen kann und somit die Übermittlung nur unter Ergreifung solcher zusätzlicher Maßnahmen (sofern geeignet) zulässig sein konnte.“
Was bedeutet die Behörden-Entscheidung für die Praxis?
Für alle Verwender von Mailchimp und ähnlichen amerikanischen Systemen ist die Entscheidung keine gute Nachricht. Es ist damit nun auch amtlich, dass der Einsatz unzulässig ist, sofern nicht „zusätzliche Maßnahmen“ (zum Schutz der Daten) getroffen werden – was in der Praxis wohl überaus schwierig sein dürfte.
Damit hat ein Unternehmen im Grunde nur zwei Möglichkeiten:
- Wie bisher weitermachen: In diesem Fall sollte sich das Unternehmen jedoch das Risiko bewusst machen und zumindest einen Plan B in der Schublade haben.
- Zu einer europäischen Alternative wechseln: Aus unserer Sicht ist das die einzig sinnvolle Lösung. Denn es gibt genügend Newsletter-Anbieter in Europa, die ein gutes System anbieten.
Abschließend ein paar häufige Fragen zu dem Thema
Bedeutet das, dass man also Mailchimp auf keinen Fall mehr einsetzen darf?
Nein. Eine Möglichkeit wäre, eine Zustimmung durch die Betroffenen einzuholen. Dabei muss allerdings jeder Betroffene über das Risiko aufgeklärt werden, das eine Speicherung seiner Daten bei einem amerikanischen Unternehmen mit sich bringt, und dem ausdrücklich zustimmen. Dabei bleibt jedoch die Frage, ob das die User tatsächlich machen würden – und offen bleibt ohnehin das Problem, das von den bestehenden Newsletter-Empfängern eine solche Zustimmung nicht vorliegt. Auch könnten „zusätzliche Maßnahmen“ getroffen werden, um den Schutz der personenbezogenen Daten zu gewährleisten. Aber hier ist derzeit völlig unklar, wie solche Maßnahmen aussehen könnten und wie sie realisiert werden könnten.
Betrifft das nur Mailchimp oder auch andere amerikanischen Software-Anbieter?
Das EuGH-Urteil betrifft vermutlich die meisten amerikanischen Anbieter, die personenbezogene Daten von Europäern speichern. Das betrifft also nicht nur Mailchimp sondern auch viele andere Unternehmen.
Aber mein Dienstleister hat doch geschrieben, dass wegen der Standardvertragsklauseln alles OK ist?
Bereits in unserem Blog-Artikel „FAQ zum Ende von Privacy Shield“ haben wir uns mit dieser Frage beschäftigt. Kurze Antwort: Nein, die SCC (Standard Contractual Clauses) reichen nicht aus, genau darauf hat die Landesbehörde für Datenschutzaufsicht in der Entscheidung hingewiesen. Einerseits ist überhaupt fraglich, ob die SCC hier ein geeignetes Mittel sein können (weil die verantwortlichen Kunden überprüften müssen, ob der Anbieter diese überhaupt einhalten kann – was in der Praxis wohl kaum möglich ist); andererseits müssen eben „zusätzliche Maßnahmen“ getroffen werden.
Bin ich mit einem europäischen Anbieter also garantiert auf der sicheren Seite?
Nun, „garantiert“ natürlich nicht, aber das Risiko ist vermutlich deutlich geringer. Wichtig ist jedoch, dass Sie auch einen europäischen Anbieter überprüfen müssen: Wenn der beispielsweise einen amerikanischen Sub-Dienstleister einsetzt (wie Amazon Web Services) und über diesen „Umweg“ erst recht wieder personenbezogene Daten ohne Rechtsgrundlage in die USA transferiert werden, dann nützt Ihnen der europäische Firmensitz des Anbieters wenig.
Und wenn die Server in Europa stehen?
Das macht in den meisten Fällen keinen Unterschied. Denn amerikanische Behörden haben ja dennoch Zugriff auf die Daten über die verschiedenen Überwachungsgesetze der USA. Wo die Server physisch stehen, spielt dabei weder technisch noch faktisch eine Rolle.
Tipp: Weitere Antworten zu den Konsequenzen des EuGH-Urteils finden Sie in unserem Artikel „FAQ zum Ende von Privacy Shield“.