E-Mail-Service
22.06.2021, 15:11 Uhr
Bayerische Datenschutzbehörde untersagt Nutzung von Mailchimp
Es gehört zu den beliebtesten Newsletter-Softwarelösungen für kleine Unternehmen. Jetzt haben die Datenschützer in Bayern einem Unternehmen die Nutzung von Mailchimp untersagt. Der Grund: Verarbeitung personenbezogener Daten ausserhalb der DSGVO.
Die Trump-Ära wirkt immer noch nach: Das Verhältnis zwischen den USA und Europa hat sich zumindest im Bereich des Datenschutzes noch nicht wieder soweit normalisiert, dass eine Verarbeitung personenbezogener Daten von EU-Bürgern in den USA problemlos möglich wäre. Es fehlt noch ein gültiger Angemessenheitsbeschluss der EU, der festhalten würde, dass die Einhaltung des DSGVO-Datenschutzniveaus auch in den USA gewährleistet ist. Den letzten Beschluss dieser Art, der die Grundlage für das US-EU Privacy Shield bildete, hat der Europäische Gerichtshof 2020 kassiert.
Welche praktischen Folgen das hat, musste jetzt eine Firma aus Bayern feststellen, die für den Versand von Newslettern Mailchimp nutzte. Das 2001 in Atlanta/Georgia gegründete Unternehmen bietet eine automatisierte Marketing-Lösung an, die vor allem auf kleinere Websitebetreiber zugeschnitten ist.
Standardvertragsklauseln genügen nicht
In einer jetzt bekannt gewordenen Entscheidung des Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) vom März 2021, die auf dem Datenschutzwiki GDPRhub publiziert wurde, teilt die Behörde einem Antragsteller mit, dass sie die Übermittlung von E-Mail-Adressen an Mailchimp vor dem Hintergrund der EuGH-Entscheidung für unzulässig hält. Auch die Anwendung der sogenannten Standard-Vertragsklauseln im Datenverarbeitungsvertrag stelle nicht sicher, dass ein der DSGVO vergleichbares Datenschutzniveau gewahrt werde.
Für das vom Bescheid betroffene Unternehmen ging die Sache glimpflich aus. Es verpflichtete sich dem BayLDA gegenüber, auf die Übermittlung von Daten an Mailchimp zukünftig zu verzichten, das Amt sah von weiteren Massnahmen ab.
Das BayLDA ist datenschutzrechtlich für Unternehmen zuständig, die ihren Sitz im Freistaat haben. Inwieweit sich auch andere Datenschutzbehörden der bayerischen Position anschliessen, bleibt abzuwarten.