Datenschutzanwalt

Der Wegfall des EU-US-Privacy-Shield war ein großer Paukenschlag für den E-Commerce Markt. Viele Dienste externer Serviceanbieter durften aus datenschutzrechtlichen Gründen plötzlich nicht mehr genutzt werden.

Insbesondere beim Versand von Newslettern bedienen sich viele Onlinehändler solcher externer Anbieter, die die Organisation, Gestaltung und Versendung von Werbemails übernehmen.

Da jedoch die Datenübermittlung an die USA ohne weiteres nicht mehr möglich ist, wurde die Nutzung solcher Dienstleister, die Daten nach USA übermitteln nun riskant.

Am 15.03.2021 hat das Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) einem Onlinehändler die Nutzung des Mailing-Dienstes Mailchimp untersagt.

Bei der Nutzung von Mailchimp werden Mailadressen der Mailingteilnehmer (also auch von EU-Bürgern) an Server von Mailchimp übertragen, die sich in den USA befinden.

Mailchimp hatte für derartige Datentransfers Standardvertragsklauseln aufgenommen. Dabei handelt es sich grundsätzlich um ein anerkanntes Instrument für die notwendige Datensicherheit bei Transfers von Daten in das europäische Ausland, das anstelle eines Angemessenheitsbeschlusses fungieren kann. Für die USA sind die Standardvertragsklauseln jedoch anscheinend kein adäquates Mitteln. Diese Klauseln verpflichten nämlich US Diensteanbieter zur Einhaltung europäischer Datenschutzbestimmungen im Verhältnis zum Diensteempfänger. Sie gelten also nur zwischen den Vertragsparteien, nämlich hier dem Händler und Mailchimp. Beispielsweise werden aber US-Behörden eben nicht durch diese Klauseln mitverpflichtet. Sie haben daher uneingeschränkte Zugriffsbefugnisse auf Daten und Server. Die Klauseln können Zugriffe von Behörden auch nicht verhindern. Daher sind sich die EU-Datenschutzbehörden weitestgehend einig darüber, dass die bloße Aufnahme von Standardvertragsklauseln nicht ausreicht. Es müssten weitergehende technische und organisatorische Maßnahmen getroffen werden, die den Zugriff von US-Behörden auf EU-Daten verhindern. Denkbar wäre etwas eine entsprechende Verschlüsselung, die nicht von US-Behörden ausgelesen werden kann.

Aufgrund dieses Defizits sieht das BayLDA das notwendige Datenschutzniveau bei der Nutzung von Mailchimp als nicht gegeben.

Das BayLDA hält die Datenübermittlungen an Mailchimp für unzulässig, weil durch die reine Implementierung von Standardvertragsklauseln nicht ausgeschlossen werden könne, dass US-Nachrichtendienste Zugriff auf Daten von Mailchimp bekommen könnten.

Doch das BayLDA ging noch weiter: der Händler hätte im Zuge des Einsatzes von Mailchimp überprüfen müssen, ob neben dem Einbezug von Standardvertragsklauseln noch weitere Maßnahmen für die Datensicherheit getroffen werden müssten. Es war also nicht der reine Einsatz von Mailchimp rechtswidrig, sondern die fehlende Interessen- und Risikoabwägung durch den Händler, die zum Ergebnis eine Entscheidung über weitere datenschutzrechtliche Sicherheitsmaßnahmen hätte.

Dem Händler wurde daher die Nutzung von Mailchimp untersagt, ein Bußgeld wurde ihm nicht auferlegt.

Nach unserer Ansicht ist jedoch eine Bewertung der Datensicherheit und damit auch eine Interessen-und Risikoabwägung durch den Händler nie möglich. Der Händler wird kaum Einsicht in die Datenverarbeitungsprozesse von den genutzten US-Diensten erhalten, jedenfalls nicht hinreichend detailliert. Damit kann er schon den ersten Schritt nicht erfüllen: die Erfassung des Umfangs und der Art aller Datenverarbeitungen. Außerdem hätte der Händler auch nicht die notwendige Expertise, um hier eine Bewertung mit einem tragfähigen Ergebnis zu erlangen.

Am Ende stehen auch noch die jeweiligen Dienste, die individuelle Maßnahmen vornehmen müssten, wozu sie sicher auch nicht bereit wären.

In der Konsequenz ist weiterhin davon abzuraten, Dienste in Anspruch zu nehmen, die Daten in das europäische Ausland, insbesondere USA, weiterleiten, dort verarbeiten oder speichern.

Weiterhin bleibt es bei der Auffassung, dass die Nutzung von US-Diensten, die sich bloß auf Standardvertragsklauseln berufen, nach wie vor grundsätzlich nicht zulässig.

 

Sie haben Fragen zum Datenschutz? Dann sind Sie bei uns richtig!

 

Die Datenschutzkonferenz des Bundes und der Länder (DSK) hat geprüft, ob der Einsatz von Microsoft Office 365 mit Artikel 28 der DSGVO vereinbar ist.

Unter dem Namen Microsoft 365 bündelt der Hersteller seine Cloud-basierte Büro-Suite, die bis Mitte 2020 als Office 365 vertrieben wurde. Enthalten sind die flächendeckend verbreiteten und kaum mehr wegzudenkenden Software-Lösungen Word für Textverarbeitung, Excel für Tabellenkalkulation, Powerpoint für Präsentationen sowie Outlook und Microsoft Teams für Kommunikation und Kollaborationen.

Am 22.09.2020 wurde nun entschieden, dass ein datenschutzkonformer Einsatz aktuell nicht möglich sei.  Beanstandet wurden gleich mehrere Punkte. So sei etwa Es unklar, ob Microsoft Nutzerdaten ausreichend schützt und wie lange diese gespeichert werden. Darüber hinaus bestehe außer dem Auftragsverarbeitungsvertrag keine Rechtsgrundlage für den Transfer von Telemetrie-Diagnosedaten von den Usern an Microsoft.

Wer 100 %  rechtssicher arbeiten will muss auf den Einsatz von Microsoft 365 verzichten. Dies dürfte allerdings für die Mehrheit der Unternehmen keine Option sein, da die Software nicht einfach ausgetauscht werden kann.

Mit einer entsprechenden Konfigurationen der Software kann der  Datenschutz verbessert werden. Ein Restrisiko kann aber nicht ausgeschlossen werden. Ob die Behörden der einzelnen Länder hier aktiv werden, ist aktuell nicht abschätzbar.

Verantwortliche sollten in jedem Fall aufmerksam verfolgen, ob der Einsatz von Microsoft 365 bei Prüfungen durch Aufsichtsbehörden bei anderen Unternehmen zukünftig bemängelt wird.

Gerne stehen wir Ihnen mit Rat und Tat zu Seite.

 

Dr. Stephan Schenk

Zertifizierter Datenschutzbeauftragter (DSB-TÜV)