Bayerische Datenschutzaufsicht zeigt Mailchimp Anwender gelbe Karte – kein Bußgeld, aber letzte Warnung

13.04.2021

Während die große Schar der Datenschutzanwender in Deutschland immer noch auf ein Signal der Aufsichtsbehörden wartet, wie ein praktisch umsetzbarer Kompromiss zwischen modernen Cloud Services einerseits und dem Datenschutz andererseits aussehen könnte, ist nun die erste Entscheidung hierzu seitens des Bayerischen Landesaufsichtsamts für den Datenschutz (BayLDA) bekannt geworden. Mit Datum 15.3.2021 hat die Behörde einem Betroffenen gegenüber mitgeteilt, dass die Übermittlung von dessen E-Mail Adresse durch einen Verantwortlichen an den populären Newsletter Versender Mailchimp aufgrund fehlender zusätzlicher Datenschutzmaßnahmen unzulässig war (Az. LDA-1085.1-12159/20-IDV).

Der Sachverhalt

Der Betroffene hatte sich beim BayLDA bezüglich der Nutzung des Newsletter-Tools Mailchimp durch ein Münchner Unternehmen beschwert. Er gab an, dass die Weitergabe von E-Mail-Adressen von Abonnenten des Newsletters der Beschwerdegegnerin an den Anbieter von Mailchimp (The Rocket Science Group LLC, ein in den USA ansässiges Unternehmen) nach Art. 44 ff. DSGVO rechtswidrig sei und mit einem Bußgeld bestraft werden müsse. Demgegenüber hatte der Verantwortliche mitgeteilt, dass er Mailchimp nur zweimal genutzt habe und bereits die Nutzung eingestellt habe.

Die Übermittlung der E-Mail Adresse des Betroffenen an Mailchimp erfolgte auf Basis von EU-Standarddatenschutzklauseln (Standard Contractual Clauses - SCCs). Laut BayLDA gab es Anhaltspunkte dafür, dass der Anbieter von Mailchimp als „electronic communication service provider“ unter das US-Überwachungsrecht (FISA702 (50 U.S.C. § 1881)) fällt. Daher könnte die Gefahr bestehen, dass die übertragenen E-Mail Adressen von US-Geheimdiensten eingesehen werden. Vor dem Hintergrund der EuGH-Entscheidung „Schrems II“ (C-311/18) habe der Verantwortliche nicht geprüft, ob zusätzliche Maßnahmen zum Schutz der übertragenen Daten vor US-Überwachung getroffen worden seien. Allein die fehlende Prüfung ergänzender Schutzmaßnahmen war der Grund, aus dem die Aufsichtsbehörde einen Verstoß gegen die DSGVO feststellte.

Das BayLDA sah allerdings keine Veranlassung, den Verantwortlichen auch noch mit einem Bußgeld zu bestrafen. Die nur gelegentliche Nutzung und die Tatsche, dass nur die wenig sensiblen E-Mail Adressen in die USA übermittelt wurden, gemeinsam mit der Feststellung, dass noch immer keine finale Leitlinie der Aufsichtsbehörden zum internationalen Datentransfer vorliege, machten aus dem Verstoß für das BayLDA einen nur leicht fahrlässigen Verstoß, der keine Geldbuße rechtfertige. Das ist für Unternehmen (zumindest in Bayern) ebenso beruhigend wie der Hinweis des BayLDA, dass Bußgelder nicht der Durchsetzung der Rechte und Freigeiten einzelner Betroffener dienten und daher diese Betroffen auch nicht die Verhängung von Bußgeldern erzwingen könnten. Deren Wiedergutmachungsinteresse ist im Rahmen des Schadensersatzes nach Art. 82 DSGVO geltend zu machen.

Praxistipp:

Für die Kunden von Mailchimp ist die Feststellung wichtig, dass dessen Nutzung per se noch nicht datenschutzwidrig sein soll. Allerdings unterstreicht das BayLDA auch, dass allein vertragliche Maßnahmen (auch keine SCC) nicht als Schutz bei der Übermittlung personenbezogener Daten an US Service Provider ausreichen. Zusätzliche Maßnahmen technisch oder organisatorischer Art wie z.B. Verschlüsselung oder die Einwilligung der Betroffenen müssen jedenfalls geprüft werden. Auch die Bedeutung der Dokumentation der Prüfung wird durch die Entscheidung nochmal deutlich hervorgehoben. Für Neuanmeldungen zu Newslettern wäre zu prüfen, ob zusätzlich eine ausdrückliche und informierte Einwilligung nach Art. 49 Abs. 1 Buchst. a DSGVO eingeholt wird. Erfreulich ist auch der Umstand, dass das BayLDA allzu optimistischen Verbraucherklägern die Grenzen ihres Handelns aufgezeigt hat und insbesondere dem Einzelnen das Recht auf die Verhängung von Bußgeldern gegen Dritte verwehrt hat.