Die österreichische Tageszeitung „Der Standard“ titelte mit der beunruhigenden Überschrift „Urteil in Deutschland: Unzulässige Weitergabe von Mailadressen an Mailchimp“.
Dies wirft für Nutzer des Dienstleisters zur Versendung von Newsletter die Frage auf: Darf ich Mailchimp weiter nutzen? Muss ich mit Geldbußen rechnen, wenn ich es tue?
Ignorieren des EuGH ist keine Lösung
Hintergrund des Berichts der Tageszeitung ist eine Entscheidung des Bayerischen Landesamtes für Datenschutz (BayLDA) gegenüber einem Unternehmen in Bayern. Der Behörde lag eine Beschwerde vor, dass das Unternehmen Mailchimp einsetzt und E-Mailadressen an den Dienstleister weitersendet. Die Behörde prüfte den Vorgang und kam zu dem Ergebnis, dass Mailchimp tatsächlich eingesetzt wurde. Sie kam zu dem Ergebnis, dass der Einsatz von Mailchimp und damit die Weiterleitung von E-Mailadressen an Mailchimp unzulässig war, da nicht geprüft wurde, ob für die Übermittlung an Mailchimp in Hinblick auf das Urteil des EuGH zu Schrems II neben den EU-Standardvertragsklauseln noch „zusätzliche Maßnahmen“ für einen datenschutzkonformen Einsatz notwendig sind.
Dies verdeutlicht, dass der Einsatz von Mailchimp nicht per se einen Datenschutzverstoß darstellt, sondern die unterlassene Prüfung in Hinblick auf zusätzliche Maßnahmen zur Absicherung des Datenschutzniveaus bei Mailchimp.
Risikoabwägung durchführen
Wie solch eine Überprüfung aussehen könnte, hat die Aufsichtsbehörde Baden-Württemberg in einer Orientierungshilfe veröffentlicht. Danach sollte bspw. geprüft werden, ob es Alternativangebote von Dienstleistern gibt, die ihren Sitz nicht in unsicheren Drittländern wie den USA haben. Nur wenn es kein geeignetes Alternativangebot gibt, kann darüber nachgedacht werden, den ursprünglichen Dienstleister weiter zu nutzen. Dann sollte aber genau geprüft werden, welche zusätzlichen Maßnahmen der Dienstleister zur Absicherung des Datenschutzniveaus zur Verfügung gestellt. Auch dazu gibt die Orientierungshilfe Aufschluss.
Immer in Blick muss dabei der Schutzbedarf der Daten bleiben, die der Dienstleister erhält. Je sensibler die Daten sind, um so strenger müssen die zusätzlichen Maßnahmen ausfallen. Ansonsten könnte eine Aufsichtsbehörde zu dem Schluss kommen, dass der Einsatz des Dienstleisters ein Datenschutzverstoß darstellt und im Ergebnis wie die Aufsichtsbehörde Bayern die Nutzung untersagen.