BayLDA: Untersagung der Nutzung von Mailchimp (bei fehlender Interessenabwägung)

25.03.2021

Das Bayerische Landesamt für Datenschutz (BayLDA)  hat einem Unternehmen aus München den Einsatz des bekannten E-Mail-Anbieters Mailchimp  untersagt (LDA-1085.1-12159/20-IDV).

Hintergrund der Entscheidung ist der Umstand, dass spätestens seit der EuGH-Entscheidung "Schrems II"  ein Datentransfer in die USA nur noch bei Vorliegen besonderer Umstände möglich ist.

Die Firma hatte für ihre Zwecke Mailchimp  eingesetzt, ohne jedoch in eine tiefergehende Prüfung der betroffenen Interessen einzusteigen.

Kern der Beanstandung ist im vorliegenden Fall somit nicht der grundsätzliche Einsatz von Mailchimp, sondern vielmehr der ungeprüfte Einsatz dieses Tools:

"Nach unserer Bewertung war der Einsatz von Mailchimp durch (...) in den beiden genannten Fällen - und somit auch die Übermittlung Ihrer E-Mail-Adresse an Maichimp, die Gegenstand Ihrer Beschwerde ist - datenschutzrechtlich unzulässig, weil (...) nicht geprüft hatte, ob für die Übermittlung an Mailchimp zusätzlich zu den (zum Einsatz gekommenen) EU-Standarddatenschutzklauseln noch "zusätzliche Maßnahmen" im Sinne der EuGH-Entscheidung "Schrems II" (EuGH, Urt. v. 16.7.2020, C-311/18) notwendig sind, um die Übermittlung datenschutzkonform zu gestalten, und vorliegend zumindest Anhaltspunkte dafür bestehen, dass Mailchimp grundsätzlich Datenzugriffen von US-Nachrichtendiensten auf Grundlage der US-Rechtsvorschrift FISA702 (50 U.S.C. § 1881) als möglicher sog. Electronic Communications Service Provider unterfallen kann und somit die Übermittlung nur unter Ergreifung solcher zusätzlicher Maßnahmen (sofern geeignet) zulässig sein konnte.

Wir haben dem Unternehmen mitgeteilt, dass daher die o.g. Übermittlungen personenbezogener Daten in die USA unzulässig waren."

Das BayLDA  hat neben der Feststellung der Unzulässigkeit gegenüber dem betroffenen Unternehmen keine weitergehenden Maßnahmen ergriffen. Insbesondere hat es kein Bußgeld verhängt:

"Über diese Feststellung der Unzulässigkeit der o.g. Datenübermittlungen hinausgehende aufsichtsbehördliche Maßnahmen nach Art. 58 Abs. 2 DSGVO halten wir im Wege einer Entscheidung nach pflichtgemäßem Ermessen im konkret vorliegenden Fall nicht für erforderlich.

Dem Unternehmen ist durch uns deutlich gemacht worden, dass die o.g. Übermittlung Ihrer E-Mail-Adresse datenschutzrechtlich unzulässig war. Eine Ahndung mit Geldbuße - wie von Ihnen beantragt - erachten wir nicht für erforderlich. Insoweit teilen wir Ihnen hiermit mit, dass nach unserer Auffassung einer betroffenen Person kein Rechtsanspruch auf Verhängung einer Geldbuße im Falle eines Datenschutzverstoßes zusteht, und nach hiesiger Auffassung auch kein Anspruch auf ermessensfehlerfreie Entscheidung über Ahndung mit Geldbuße."

Anmerkung von RA Dr. Bahr:
Das BayLDA  hat aktuell nicht entschieden, dass Mailchimp  grundsätzlich verboten ist. Vielmehr betrifft die Entscheidung lediglich den konkreten Sachverhalt, dass ein Unternehmen Mailchimp  ohne eine Interessenabwägung eingesetzt hat.

Denn auch nach dem EuGH-Urteil ist nach Auffassung der Datenschutzbehörden in Ausnahmefällen ein US-Transfer von personenbezogenen Daten möglich. Und somit auch die Nutzung von Mailchimp.

Zumindestens theoretisch: Ein solcher Ausnahmefall liegt vor, wenn die betroffenen Interessen umfangreich miteinander abgewogen werden und am Ende zudem ein ausreichendes Datenschutzniveau für den Betroffenen ermöglicht wird.

Was das für die Praxis bedeutet, hat der Datenschutzbeauftragte von Baden-Württemberg vor einiger Zeit in einer lesenswerten Orientierungshilfe einmal sehr anschaulich näher ausgeführt:

"Im Zentrum des weiteren Vorgehens des LfDI Baden-Württemberg wird die Frage stehen, ob es neben dem von Ihnen gewählten Dienstleister/Vertragspartner nicht auch zumutbare Alternativangebote ohne Transferproblematik gibt.

Wenn Sie uns nicht davon überzeugen können, dass der von Ihnen genutzte Dienstleister/Vertragspartner mit Transferproblematik kurz- und mittelfristig unersetzlich ist durch einen zumutbaren Dienstleister/Vertragspartner ohne Transferproblematik, dann wird der Datentransfer vom LfDI Baden-Württemberg untersagt werden."

Es mag möglich sein, in besonderen Einzelfällen ein positives Prüfergebnis für den Einsatz von Mailchimp  zu erhalten, z.B. bei Nutzung bestimmter wichtiger Features, die es bei keinem anderen Anbieter gibt.

In den allermeisten Konstellationen wird es jedoch hingegen so sein, dass der US-Anbieter problemlos durch einen europäischen Mitbewerber ausgetauscht werden kann. Mit dem Ergebnis, dass Mailchimp  dann nicht weiter eingesetzt werden darf.