Das Bayrische Landesaufsichtsamt hat am 15.03.2021 entschieden, wie der Kompromiss zwischen einem Cloud Service und dem Datenschutz auszusehen hat. (Az. LDS-1085.1-12159/20-IDV)

Alles was Sie zu diesem Thema wissen müssen, erfahren Sie in diesem Artikel!

Was ist Mailchimp?

Mailchimp ist eine bekannte und häufig verwendete E-Mail Marketing-Automation-Software. Das Ziel von Direktmarketing ist es, eine persönliche Ansprache Ihrer Kunden, Partner und Interessenten zu ermöglichen, ohne dabei den Aufwand einer persönlichen E-Mail zu haben. Dafür lässt sich MailChimp mit verschiedenen CRM- und Shop-Systemen wie Magento verbinden, um die Informationen daraus direkt in Ihre Kommunikation einfließen zu lassen. Außerdem können Sie Kunden manuell oder automatisiert dank Segmentierung in Zielgruppen einteilen. 

Rechtstipp: Achtung ist geboten, da alle Daten von MailChimp auf Servern in den USA gespeichert werden. Deshalb müssen Sie die Bestimmungen, die für die Datenspeicherung in den USA gelten, erfüllen und keine europäischen Bestimmungen!

Sachverhalt

Der Betroffene hatte sich beim BayLDA bezüglich der Nutzung des Newsletter-Tools Mailchimp durch ein Unternehmen beschwert. Er gab an, dass die Weitergabe von E-Mail-Adressen von Abonnenten des Newsletters der Beschwerdegegnerin an den Anbieter von Mailchimp nach Art. 44 ff. DSGVO rechtswidrig und mit einem Bußgeld Zu bestrafen ist . 

Der Verantwortliche teilte daraufhin mit, dass er Mailchimp nur zweimal genutzt habe und bereits die Nutzung eingestellt hat.

Übermittlung der E-Mail Adresse gem. EU-Standarddatenklauseln 

Die Übermittlung der E-Mail Adresse des Betroffenen an Mailchimp erfolgte auf Basis von EU-Standarddatenschutzklauseln. Es gab aber Anhaltspunkte dafür, dass der Anbieter von Mailchimp als „electronic communication service provider“ unter das US-Überwachungsrecht fällt.

Rechtstipp: Es besteht hier dann die Gefahr, dass die übertragenen E-Mail Adressen von US-Geheimdiensten eingesehen werden können.

Lesen Sie hier unseren Beitrag zum Thema: “Privacy Shield – Das muss man nun wissen

Der Datenverantwortliche hat nicht geprüft, ob zusätzliche Maßnahmen zum Schutz der übertragenen Daten vor US-Überwachung getroffen werden.

Rechtstipp: Allein die fehlende Prüfung ergänzender Schutzmaßnahmen stellt einen Verstoß gegen die DSGVO dar.

Fazit

Spätestens seit dem Schrems-II-Urteil des EuGH vom Juli 2020 ist klar, dass es zurzeit an einer Rechtsgrundlage für die Mehrheit aller Übermittlungen fehlt. 

Die Nutzung von Mailchimp ist aktuell noch nicht rechtswidrig. Jedoch sollten Verwender aufpassen, da allein vertragliche Maßnahmen (auch keine SCC) nicht als Schutz bei der Übermittlung personenbezogener Daten an US Service Provider ausreichen.

Rechtstipp: Wir raten Verwendern von Mailchimp zusätzliche technische Maßnahmen wie z.B. Verschlüsselung oder die Einwilligung der Betroffenen vorzunehmen. Hierbei stehen wir Ihnen beratend zur Seite!

Unternehmen mit betroffenen Systemen der Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) müssen umgehend gepatcht und dann umfassend überprüft werden. Bei Unternehmen, die bis dato untätig geblieben sind, muss von einer meldepflichtigen Datenschutzverletzung ausgegangen werden.

Wann besteht die Meldepflicht nach Art. 33 DSGVO bei der zuständigen Datenschutzaufsichtsbehörde? 

Folgende Punkte sind dabei besonders zu beachten:

Unternehmen, die die Sicherheitspatches vom 03.03.2022 nicht zeitnah oder noch nicht eingespielt haben und deren Exchange-Server aus dem Internet ohne weitere Schutzmaßnahmen (wie etwa VPN) erreichbar sind, müssen davon ausgehen, dass ihre Systeme mittlerweile kompromittiert sind und somit massive Sicherheits- und Datenschutzrisiken bestehen.

Rechtstipp: Sollten Unternehmen die erforderlichen Maßnahmen nicht ergreifen, kann es zu aufsichtsrechtlichen Maßnahmen kommen, die von der Datenschutzbehörde eingeleitet werden können! Sollten Sie die Risiken für die Daten nicht ausschließen können, müssen Sie dieses gem. Art. 33 DSGVO melden.

Für Neuanmeldungen zu Newslettern müssten Sie prüfen, ob zusätzlich eine ausdrückliche Einwilligung nach Art. 49 Abs. 1 Buchst. a DSGVO eingeholt wurde.

Sie haben Fragen zu diesem Thema? Melden Sie sich bei uns! Unser im Datenschutz- und IT-Recht spezialisiertes Team steht Ihnen gerne schnell und unkompliziert zur Seite und berät Sie gern.