Seit der Schrems II-Entscheidung aus dem vergangenen Jahr müssen Unternehmen bei Datenübertragungen in Drittländer die Erforderlichkeit zusätzlicher Schutzmaßnahmen prüfen (wir berichteten). Dies ist insbesondere in den Fällen relevant, in denen US-Unternehmen als Dienstleister herangezogen werden. Wie wichtig diese Prüfung ist, zeigt ein aktueller Fall des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA), in dem die Behörde den ungeprüften Einsatz von Mailchimp als unzulässig angesehen hat.
Was war geschehen?
Ein Unternehmen nutzte die Dienste des US Anbieters Mailchimp für den Versand von Newslettern. Hierfür übermittelte das Unternehmen die E-Mail-Adressen der Empfänger an Mailchimp. Die Übermittlung in die USA erfolgte, wie bei Mailchimp üblich auf der Grundlage abgeschlossener EU-Standardvertragsklauseln. Auf diese Weise wurden in zwei Fällen Daten an Mailchimp übertragen. Ein Empfänger des Newsletters beschwerte sich daraufhin bei der Aufsichtsbehörde über den Einsatz des US-Dienstleisters. Diese entschied, dass die Nutzung von Mailchimp im konkreten Fall unzulässig sei. Der alleinige Abschluss von Standardvertragsklauseln sei keine ausreichende Rechtsgrundlage für die Übermittlung der Daten in die USA. Es hätten vielmehr zusätzliche Schutzmaßnahmen geprüft werden müssen, um das Datenschutzniveau zu gewährleisten.
„Nach unserer Bewertung war der Einsatz von Mailchimp durch […] in den beiden genannten Fällen – und somit auch die Übermittlung Ihrer E-Mail-Adresse an Mailchimp, die Gegenstand Ihrer Beschwerde ist – datenschutzrechtlich unzulässig, weil […] nicht geprüft hatte, ob für die Übermittlung an Mailchimp zusätzlich zu den (zum Einsatz gekommenen) EU-Standarddatenschutzklauseln noch „zusätzliche Maßnahmen“ im Sinne der EuGH-Entscheidung „Schrems II“ (EuGH, Urt. v. 16.7.2020, C-311/18) notwendig sind, um die Übermittlung datenschutzkonform zu gestalten, und vorliegend zumindest Anhaltspunkte dafür bestehen, dass Mailchimp grundsätzlich Datenzugriffen von US-Nachrichtendiensten auf Grundlage der US-Rechtsvorschrift FISA702 (50 U.S.C. § 1881) als möglicher sog. Electronic Communications Service Provider unterfallen kann und somit die Übermittlung nur unter Ergreifung solcher zusätzlicher Maßnahmen (sofern geeignet) zulässig sein konnte.“
Die Behörde teilte dem betroffenen Unternehmen ihre Einschätzung mit. Weitere aufsichtsrechtliche Maßnahmen, wie etwa die Verhängung eines Bußgeldes, wurden aufgrund der Umstände des konkreten Falls nicht ergriffen.
„Denn bei Berücksichtigung der maßgeblichen in Art. 83 DSGVO aufgezählten Faktoren, die für diese Entscheidung eine Rolle spielen, entspricht es pflichtgemäßem Ermessen, vorliegend von einer Geldbuße abzusehen. Dies insbesondere, weil vorliegend lediglich in einigen wenigen Fällen unzulässig Daten übermittelt wurden, und zum anderen weil es sich – in der Gestalt von E-Mail-Adressen – um Daten handelte, deren Sensibilität noch verhältnismäßig überschaubar ist; Letzteres für sich alleine gesehen würde zwar ein Absehen von Geldbuße noch nicht alleine zu rechtfertigen vermögen. Im Ergebnis ist das Absehen von Geldbuße aber vorliegend ermessensfehlerfrei insbesondere vor dem Hintergrund, dass sich die […] Empfehlungen des Europäischen Datenschutzausschusses erklärtermaßen noch in einer öffentlichen Konsultation befinden und mithin noch nicht in der Endfassung vorliegen, so dass der vorliegende Verstoß mit Blick auf seine Art und Schwere (Art. 83 Abs. 2 lit. a DSGVO) noch als geringfügig einzustufen ist, und insbesondere nur ein allenfalls leichtes Maß an Fahrlässigkeit zu bejahen ist (Art. 83 Abs. 2 lit. b DSGVO).“
Aufgrund der Intervention der Behörde teilte das betroffene Unternehmen mit, auf den Einsatz von Mailchimp mit sofortiger Wirkung verzichten zu wollen.
Folgen für die Praxis
Vorliegend handelt es sich lediglich um eine Einzelfallentscheidung, die als solche keine Allgemeingültigkeit besitzt, sondern lediglich Bindungswirkung gegenüber dem betroffenen Unternehmen. Die Entscheidung lässt dennoch erahnen, welche Rechtsauffassung die Behörde vertritt, weshalb ähnliche Entscheidungen künftig nicht ausgeschlossen sind. Zwar hat das BayLDA im vorliegenden Fall von der Verhängung eines Bußgelds abgesehen, da es sich jedoch stets um eine Einzelfallentscheidung handelt, ist dieses in künftigen Fällen trotzdem durchaus im Bereich des Möglichen.
Der Knackpunkt im vorliegenden Fall war für die Behörde, dass das betroffene Unternehmen Mailchimp eingesetzt hatte, ohne das Erfordernis zusätzlicher Schutzmaßnahmen zu prüfen. Unternehmen, die US-Dienstleister nutzen, sollten eine solche Prüfung daher zwingend durchführen und diese hinreichend dokumentieren.
Stand: 08.04.2021