Die Nutzung der beliebten E-Mail-Marketing-Software von Mailchimp war jüngst Gegenstand einer Entscheidung des Landesdatenschutzbeauftragten von Bayern. Im konkreten Fall verstiess ein Unternehmen gegen die DSGVO, weil es E-Mail-Adressen an Mailchimp in die USA gestützt auf Standardvertragsklauseln übermittelte, ohne zu prüfen, ob die Standardvertragsklauseln für den konkreten Transfer geeignet sind oder ob diese noch um zusätzliche Garantien ergänzt werden müssen.
Auch für Schweizer Unternehmen hielt der EDÖB jüngst fest, dass der Einsatz von Mailchimp immer einer sorgfältigen Einzelfallprüfung bedarf. Der Fall zeigt exemplarisch, dass seit dem Schrems II Entscheid des EuGH Unternehmen hohe Sorgfaltspflichten einhalten müssen, wenn sie Softwaretools von US-Anbietern datenschutzkonform nutzen wollen.
Im vorliegenden Fall stützten Mailchimp und das verantwortliche deutsche Unternehmen die Datenübermittlung auf eine Garantie nach Art. 46 DSGVO, in Form von EU-Standardvertragsklauseln. Aufgrund einer Beschwerde einer betroffenen Person musste der BayLDA prüfen, ob dies ausreichend ist. Der BayLDA verneinte dies. Der alleinige Abschluss von Standardvertragsklauseln sei keine ausreichende Rechtsgrundlage für die Übermittlung der Daten in die USA, weil:
«zumindest Anhaltspunkte dafür bestehen, dass Mailchimp grundsätzlich Datenzugriffen von US-Nachrichtendiensten auf Grundlage der US-Rechtsvorschrift FISA702 (50 U.S.C. § 1881) als möglicher sog. Electronic Communications Service Provider unterfallen kann und somit die Übermittlung nur unter Ergreifung solcher zusätzlicher Massnahmen (sofern geeignet) zulässig sein konnte.»
Es hätten daher vor dem Datentransfer weitere Massnahmen geprüft werden müssen, um ein der DSGVO gleichwertiges Datenschutzniveau zu gewährleisten. Dies war durch das Mailchimp nutzende Unternehmen nicht geschehen.