Datenschutzbehörde äußert sich zur Nutzung von Mailchimp

07.04.2021. 10:27

 

Die bayerische Aufsichtsbehörde hat im Fall eines Unternehmens entschieden, dass die Übermittlung von E-Mail-Adressen an die E-Mail-Plattform Mailchimp unzulässig sei, vgl. 1, 2.

Dem Vorgang lag die Beschwerde einer betroffenen Privatperson zugrunden, welche sich gegen den Versand von Newslettern mit dem Dienst Mailchimp richtete. Nach dem Ende von Privacy Shield bestehen keine ausreichenden Grundlagen, um ohne Zustimmung des Betroffenen personenbezogene Daten wie die E-Mail-Adresse an ein amerikanisches Unternehmen zu übergeben, so die Argumentation des Beschwerdeführers.

Die Behörde (BayLDA) schrieb hierzu "Nach unserer Bewertung war der Einsatz von Mailchimp [...] – und somit auch die Übermittlung Ihrer E-Mail-Adresse an Mailchimp [...] – datenschutzrechtlich unzulässig".

Auch auf der Seite des EDSA kann man mittlerweile eine Veröffentlichung dazu finden https://edpb.europa.eu/news/national-news/2021/bavarian-dpa-baylda-calls-german-company-cease-use-mailchimp-tool_de Dort steht: Nach unserer Einschätzung war die Verwendung von Mailchimp durch .... in den beiden genannten Fällen - und damit auch die Übermittlung Ihrer E-Mail-Adresse an Mailchimp, die Gegenstand Ihrer Beschwerde ist - datenschutzrechtlich rechtswidrig, weil .. .. hatte nicht geprüft, ob zusätzlich zu den EU-Standard-Datenschutzklauseln (die verwendet wurden) "zusätzliche Maßnahmen" im Sinne des EuGH-Beschlusses "Schrems II" (EuGH, Urteil vom 16.7.2020, C-311 / 18) waren notwendig, um die Übermittlung mit den Datenschutzanforderungen in Einklang zu bringen, und im vorliegenden Fall gab es zumindest Hinweise darauf, dass Mailchimp grundsätzlich einem Datenzugriff durch US-Geheimdienste auf der Grundlage der US-Rechtsvorschrift FISA702 ( 50 USC § 1881) als möglicher sogenannter Electronic Communications Service Provider und damit die Übertragung nur dann rechtmäßig, wenn solche zusätzlichen Maßnahmen (wenn möglich und ausreichend zur Behebung des Problems) ergriffen würden. „ (Übersetzung durch Google Translation)

Einen lesenswerten Artikel zu dem Thema hat Dr. Schwenke geschrieben, der auch ein Beispiel für die Dokumentation der  Prüfung des Einsatzes von Mailchimp enthält. Wer Mailchimp trotz aller Risiken weiter einsetzen möchte, sollte zumindest analog dem dort Beschriebenen verfahren.

 

 

 

 

Das könnte Sie auch interessieren

03 April 2024

Thüringer LfDI: Telefax…

Thüringer LfDI: Telefax ist kein sicheres Transportmittel

Mehr Erfahren
28 August 2023

BAG: Datenschutzbeauftragter…

BAG: Datenschutzbeauftragter und Betriebsratsvorsitzender sind nicht in Personalunion möglich

Mehr Erfahren
31 März 2023

VG Hannover: Datenerhebung…

VG Hannover: Datenerhebung bei Amazon in Winsen datenschutzrechtlich zulässig

Mehr Erfahren
27 März 2023

Koordinierte Prüfung…

Koordinierte Prüfung zu Stellung und Aufgaben von Datenschutzbeauftragten

Mehr Erfahren
27 März 2023

Anforderung der Prüfberichte…

Anlasslose aufsichtsbehördliche Prüfung: Anforderung der Prüfberichte des Datenschutzbeauftragten

Mehr Erfahren
20 Januar 2023

DSK zu den Datenschutzanforderungen…

DSK zu den Datenschutzanforderungen im Rahmen der wissenschaftliche Forschung mit Gesundheitsdaten

Mehr Erfahren