Aus aktuellem Anlass möchten wir Sie über nachfolgenden Sachverhalt informieren und gleich hierzu unsere Handlungsempfehlung mit auf den Weg geben.

Sicherlich ist nun weitgehend bekannt, dass am 16.07.2020 der EuGH das Privacy Shield, (welches einige Zeit lang als Rechtsgrundlage genutzt wurde, um Daten in die USA zu übermitteln) für ungültig erklärt hatte. Seitdem ist jeder Datenübertragung in Drittstatten, allen voran in die USA, nicht ohne weiteres zulässig.  Aufgrund dessen, dass die Bayrische Landesdatenschutzaufsicht zu dem Ergebnis gekommen ist, dass die Nutzung von Mailchimp problematisch sein kann, bzw. im vorliegenden Fall die Nutzung untersagte, sehen wir es als erforderlich an, Ihnen diese Informationen auf dem Weg mitzugeben.

Was ist passiert?

Im vorliegenden Fall hatte ein Verantwortlicher Mailchimp eingesetzt. Mailchimp ist ein Marketingtool welches insb. E-Mail Services anbietet. So der Versand von Newslettern. Betreiber ist die Rocket Science Group mit Sitz in den USA. Dabei werden die E-Mailadressen zunächst in die USA übermittelt und von dort aus der Newsletter an den entsprechenden Abonnementen versandt. Diese Übermittlung stütze der Verantwortliche allein auf die Standardvertragsklauseln der EU.

Problematisch ist jedoch, so wie bei allen Übermittlungen in die USA, dass die Standardvertragsklauseln alleine keine geeignete datenschutzrechtliche Sicherheit darstellen, um eine Übermittlung zu rechtfertigen.

Wie in unserem Newsletter zum Privacy Shield dargelegt, sind für Übermittlungen in die USA weitere geeignete Garantien notwendig. Diese können zusätzliche vertragliche Verpflichtungen sein, in welchen der Dienstleister sich dazu verpflichtet, die Daten vor Zugriffen Dritter insb. von Behörden sichert. Dies kann zunächst eine Verschlüsselung sein. Aber auch die vertragliche Verpflichtung, im Falle von Anfragen der Behörden, jede Übermittlung zu verweigern und den Vertragspartner zu informieren sowie anschließend erst durch richterliche Anordnung die Daten zu übermitteln.

Dies ist zumindest in den USA unerlässlich, da die US Behörden durch u.a. den Patriot Act und den Foreign Surveillance Act unter Androhung hoher Geldbußen und ggf. sogar Haftstrafen Zugriff auf alle personenbezogenen Daten der US-Unternehmen erhalten, auch auf solche Daten, welche nicht in den USA gelagert werden. Die Zugriffe auf diese Daten erhalten die US-Behörden ohne richterlichen Beschluss oder gar nachträgliche Prüfung durch einen Richter. Diese Praxis widerspricht den Vorgaben der EU, sodass eine Datenübermittlung in die USA ein hohes Risiko bedeutet.

Was ist nun zu tun?

Um dieses Risiko in Bezug zu Mailchimp nun zu senken, ist es erforderlich entsprechende Maßnahmen zu ergreifen.

Selbsterklärend ist, die Nutzung von Dienstleistungen außerhalb der EU weitgehend zu meiden, jedoch nicht immer umsetzbar. Soweit Sie somit auf Leistungen aus Drittstatten zurückgreifen, ist zu empfehlen zusätzlich zu den Standardvertragsklauseln der EU wie auch die Auftragsdatenverarbeitungsverträge, weitere Vertragsergänzungen mit Blick auf Pflichten, technische und organisatorische Maßnahmen, aber auch der Haftung zu vereinbaren. Zuletzt sollten Sie, wie üblich, den Einsatz solcher und vergleichbarer Leistungen stets im Rahmen einer Datenschutzfolgeabschätzung (DFSA) geprüft haben. Hier sollten Sie somit darauf achten, mit entsprechenden Maßnahmen, das Risiko für die Freiheiten und Grundrechte der Betroffenen zu senken.

Wir können nur dringend empfehlen sich mit Ihrem Datenschutzbeauftragten in Verbindung zu setzen um entsprechende Maßnahmen zu ergreifen insb. auch, wenn Sie bereits Mailchimp einsetzen, noch eine DFSA und Vertragsergänzung durchzuführen.