Ein Unternehmen hatte die Mailadresse eines Kunden an das Newsletter-Tool Mailchimp weitergereicht, ohne weitere Prüfungen durchzuführen

Mit dem Ende von Privacy Shield wurden die Karten neu gemischt. Foto: Shutterstock, oatawa

Seit dem Ende von Privacy Shield sind in puncto Datenschutz und Datentransfer noch viele Fragen ausständig, zumindest in einem Punkt wurde mit einer Entscheidung des Bayerischen Landesamts für Datenschutzaufsicht nun aber Klarheit geschaffen: Die Übermittlung einer Mailadresse an das amerikanische Unternehmen Mailchimp ohne Zustimmung des Inhabers dieser Mailadresse ist unzulässig, wie es dort heißt. Das Urteil wurde dem STANDARD von der in Wien ansässigen Datenschutz-NGO Noyb zugespielt.

Der EU/US-Privacy-Shield hatte den Schutz personenbezogener Daten geregelt, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen werden, im Juli 2020 hat der EuGH das Abkommen im Sinne des Schrems-II-Urteils jedoch für ungültig erklärt. Datenschutzverantwortliche in europäischen Unternehmen können sich somit nicht mehr auf das Abkommen berufen, wenn sie Daten an unter dem Privacy Shield zertifizierte US-Unternehmen übertragen.

Beschwerde wegen Weitergabe der Mailadresse an Mailchimp

Konkret in der Causa Mailchimp war von einer betroffenen Privatperson eine entsprechende Beschwerde eingereicht worden, weil ein Unternehmen zum Versand von Newslettern dessen Mailadresse bei Mailchimp gespeichert hatte. Nach dem Ende von Privacy Shield bestehen keine ausreichenden Grundlagen, um ohne Zustimmung des Betroffenen personenbezogene Daten wie die E-Mail-Adresse an ein amerikanisches Unternehmen zu übergeben, so die Argumentation des Beschwerdeführers.

"Nach unserer Bewertung war der Einsatz von Mailchimp [...] – und somit auch die Übermittlung Ihrer E-Mail-Adresse an Mailchimp [...] – datenschutzrechtlich unzulässig", heißt es nun wörtlich in der Entscheidung der Behörde.

Mailchimp und die US-Nachrichtendienste

Die Begründung des Bayerischen Landesamts für Datenschutzaufsicht: Das Unternehmen hätte prüfen sollen, ob für die Übermittlung der Daten an Mailchimp zusätzlich zu den EU-Standarddatenschutzklauseln noch "zusätzliche Maßnahmen" im Sinne der EuGH-Entscheidung "Schrems II" notwendig sind, um die Übermittlung datenschutzkonform zu gestalten.

Das ist nicht geschehen – diese seien aber notwendig, da "zumindest Anhaltspunkte dafür bestehen, dass Mailchimp grundsätzlich Datenzugriffen von US-Nachrichtendiensten […] unterfallen kann und somit die Übermittlung nur unter Ergreifung solcher zusätzlicher Maßnahmen (sofern geeignet) zulässig sein konnte".

Beliebtes Newslettertool für Start-ups

Mailchimp hat sich zu einem der beliebtesten Tools für den Versand von Newslettern entwickelt und wird unter anderem von Start-ups gerne eingesetzt. Laut offizieller Presseseite hat das Unternehmen zwölf Millionen Kunden in aller Welt, die täglich rund eine Milliarde E-Mails verschicken. Das Unternehmen befindet sich zu 100 Prozent im Besitz der Gründer und beschäftigt rund 1.200 Mitarbeiter an fünf unterschiedlichen Standorten.

Auf einer speziellen Landing Page weist Mailchimp zudem auf die Konformität des Angebots mit der EU-Datenschutzgrundverordnung (DSGVO) hin. So können etwa die erforderlichen Double-Opt-ins für die Anmeldung in Newslettern erstellt und Kontaktprofile verwaltet werden. Auch soll es mit den Tools ermöglicht werden, auf Datenanfragen der Empfängerinnen und Empfänger – etwa in Bezug auf das Auskunftsrecht oder das Recht auf Vergessenwerden – zu reagieren. (stm, 23.3.2021)