Mailchimp gehört zu den größten Teilnehmern auf dem Markt für eMail-Marketing. Das Unternehmen nutzt als Logo einen Affen mit einer US-Postbotenkappe. Mailchimp ist unter anderem deswegen so erfolgreich, weil bei kleineren Nutzerzahlen keine oder nur geringe Kosten entstehen. Bis heute ist es für Unternehmen mit bis zu 2.000 Empfänger kostenfrei nutzbar. Anstatt den ersparten Aufwand in die Einrichtung eines datenschutzkonformen eMail-Newsletters zu stecken, wird lieber der Affenkopf in den Sand gesteckt und auf eine Beschwerde eines Nutzers gewartet. So ist es diese Woche einem Unternehmen in Bayern ergangen. Das Bayerischen Landesamts für Datenschutzaufsicht hat einem Unternehmen die Nutzung von Mailchimp untersagt - völlig zu recht.
Hintergrund des durch die Landesdatenschutzbehörde ausgesprochenen "Verbots der Verarbeitung" ist, dass die Übermittlung der eMail-Adressen der Nutzer an Mailchimp datenschutzrechtlich unzulässig ist. Begründet wird dies damit, dass zusätzliche Maßnahmen (additional safeguards) entsprechend des EuGH-Urteils Schrems 2 notwendig seien, da Mailchimp Datenzugriffen von Strafverfolgungsbehörden im eigenen Land unterworfen sind. Nur mit Hilfe dieser zusätzlichen Maßnahmen ließe sich ein analog zur DSGVO notwendiges Datenschutzniveau herstellen.
Gehen Sie nach diesem Verbot durch das BayLDA davon aus, dass Sie bereits dann ordnungswidrig handeln, wenn Sie diese Prüfung (Transfer-Impact-Assessment) nicht vorab durchgeführt haben. Es spielt dabei keine Rolle, ob die Daten sicher sind oder nicht. Alleine die Untätigkeit führt sicherlich in den nächsten Fällen zu einem Bußgeld.
Treten Sie mit mir in Kontakt, falls Sie prüfen lassen wollen, ob das Datenschutzniveau bei Ihrem Auftragsverarbeiter in dem Drittland dem EU-Datenschutzniveau gemäß Art. 44 DSGVO entspricht.
Viele Grüße aus Bad Aachen
Ingo Goblirsch
Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Bad Aachen
Photo by Thanhy Nguyen on Unsplash - Thank you!