Der Wegfall des EU-US-Privacy-Shield war ein großer Paukenschlag für den E-Commerce Markt. Viele Dienste externer Serviceanbieter durften aus datenschutzrechtlichen Gründen plötzlich nicht mehr genutzt werden.

Insbesondere beim Versand von Newslettern bedienen sich viele Onlinehändler solcher externer Anbieter, die die Organisation, Gestaltung und Versendung von Werbemails übernehmen.

Da jedoch die Datenübermittlung an die USA ohne weiteres nicht mehr möglich ist, wurde die Nutzung solcher Dienstleister, die Daten nach USA übermitteln nun riskant.

Am 15.03.2021 hat das Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) einem Onlinehändler die Nutzung des Mailing-Dienstes Mailchimp untersagt.

Bei der Nutzung von Mailchimp werden Mailadressen der Mailingteilnehmer (also auch von EU-Bürgern) an Server von Mailchimp übertragen, die sich in den USA befinden.

Mailchimp hatte für derartige Datentransfers Standardvertragsklauseln aufgenommen. Dabei handelt es sich grundsätzlich um ein anerkanntes Instrument für die notwendige Datensicherheit bei Transfers von Daten in das europäische Ausland, das anstelle eines Angemessenheitsbeschlusses fungieren kann. Für die USA sind die Standardvertragsklauseln jedoch anscheinend kein adäquates Mitteln. Diese Klauseln verpflichten nämlich US Diensteanbieter zur Einhaltung europäischer Datenschutzbestimmungen im Verhältnis zum Diensteempfänger. Sie gelten also nur zwischen den Vertragsparteien, nämlich hier dem Händler und Mailchimp. Beispielsweise werden aber US-Behörden eben nicht durch diese Klauseln mitverpflichtet. Sie haben daher uneingeschränkte Zugriffsbefugnisse auf Daten und Server. Die Klauseln können Zugriffe von Behörden auch nicht verhindern. Daher sind sich die EU-Datenschutzbehörden weitestgehend einig darüber, dass die bloße Aufnahme von Standardvertragsklauseln nicht ausreicht. Es müssten weitergehende technische und organisatorische Maßnahmen getroffen werden, die den Zugriff von US-Behörden auf EU-Daten verhindern. Denkbar wäre etwas eine entsprechende Verschlüsselung, die nicht von US-Behörden ausgelesen werden kann.

Aufgrund dieses Defizits sieht das BayLDA das notwendige Datenschutzniveau bei der Nutzung von Mailchimp als nicht gegeben.

Das BayLDA hält die Datenübermittlungen an Mailchimp für unzulässig, weil durch die reine Implementierung von Standardvertragsklauseln nicht ausgeschlossen werden könne, dass US-Nachrichtendienste Zugriff auf Daten von Mailchimp bekommen könnten.

Doch das BayLDA ging noch weiter: der Händler hätte im Zuge des Einsatzes von Mailchimp überprüfen müssen, ob neben dem Einbezug von Standardvertragsklauseln noch weitere Maßnahmen für die Datensicherheit getroffen werden müssten. Es war also nicht der reine Einsatz von Mailchimp rechtswidrig, sondern die fehlende Interessen- und Risikoabwägung durch den Händler, die zum Ergebnis eine Entscheidung über weitere datenschutzrechtliche Sicherheitsmaßnahmen hätte.

Dem Händler wurde daher die Nutzung von Mailchimp untersagt, ein Bußgeld wurde ihm nicht auferlegt.

Nach unserer Ansicht ist jedoch eine Bewertung der Datensicherheit und damit auch eine Interessen-und Risikoabwägung durch den Händler nie möglich. Der Händler wird kaum Einsicht in die Datenverarbeitungsprozesse von den genutzten US-Diensten erhalten, jedenfalls nicht hinreichend detailliert. Damit kann er schon den ersten Schritt nicht erfüllen: die Erfassung des Umfangs und der Art aller Datenverarbeitungen. Außerdem hätte der Händler auch nicht die notwendige Expertise, um hier eine Bewertung mit einem tragfähigen Ergebnis zu erlangen.

Am Ende stehen auch noch die jeweiligen Dienste, die individuelle Maßnahmen vornehmen müssten, wozu sie sicher auch nicht bereit wären.

In der Konsequenz ist weiterhin davon abzuraten, Dienste in Anspruch zu nehmen, die Daten in das europäische Ausland, insbesondere USA, weiterleiten, dort verarbeiten oder speichern.

Weiterhin bleibt es bei der Auffassung, dass die Nutzung von US-Diensten, die sich bloß auf Standardvertragsklauseln berufen, nach wie vor grundsätzlich nicht zulässig.

 

Sie haben Fragen zum Datenschutz? Dann sind Sie bei uns richtig!