BayL­DA: Ein­satz von Mail­chimp ohne Prü­fung zusätz­li­cher Mass­nah­men DSGVO-widrig

Das Bay­ri­sche Lan­des­da­ten­schutz­amt (BayL­DA) hat am 15. März 2021 fest­ge­hal­ten, dass der Ein­satz von Mail­chimp im beur­teil­ten Fall unzu­läs­sig war (LDA-1085.1 – 12159/20-IDV).

Mass­ge­bend war, dass Mail­chimp zwar die EU-Stan­dard­ver­trags­klau­seln schliesst, aber als “Elec­tro­nic Com­mu­ni­ca­ti­ons Ser­vice Pro­vi­der” i.S.v. § 1881 (b) (4) des US-ame­ri­ka­ni­schen For­eign Intel­li­gence Sur­veil­lan­ce Act ein­zu­stu­fen sei – zumin­dest sah das BayD­LA dafür “Anhalts­punk­te” (und es ent­spricht auch der eige­nen Auf­fas­sung von Mail­chimp). Infol­ge­des­sen wären Daten unter der Kon­trol­le von Mail­chimp ggf. Zugrif­fen von US-Behör­den nach den Bestim­mun­gen von §1881a FISA aus­ge­setzt, d.h. soweit sie mut­mass­lich “for­eign intel­li­gence infor­ma­ti­on” ent­hal­ten, nach § 1801 (e) FISA

(1) infor­ma­ti­on that rela­tes to, and if con­cer­ning a United Sta­tes per­son is necessa­ry to, the abi­li­ty of the United Sta­tes to pro­tect against—
(A) actu­al or poten­ti­al attack or other gra­ve hosti­le acts of a for­eign power or an agent of a for­eign power;
(B) sabo­ta­ge, inter­na­tio­nal ter­ro­rism, or the inter­na­tio­nal pro­li­fe­ra­ti­on of wea­pons of mass dest­ruc­tion by a for­eign power or an agent of a for­eign power; or
(C) clan­de­sti­ne intel­li­gence acti­vi­ties by an intel­li­gence ser­vice or net­work of a for­eign power or by an agent of a for­eign power; or
(2) infor­ma­ti­on with respect to a for­eign power or for­eign ter­ri­to­ry that rela­tes to, and if con­cer­ning a United Sta­tes per­son is necessa­ry to—
(A) the natio­nal defen­se or the secu­ri­ty of the United Sta­tes; or
(B) the con­duct of the for­eign affairs of the United States.

Die­ses Sze­na­rio ist wohl nicht gera­de wahr­schein­lich, beson­ders an Mail­chimp offen­bar nur E‑Mail-Adres­sen über­mit­telt wor­den waren. Auch hat­te Mail­chimp nach eige­nen Anga­ben 2018 in zwei und 2019 in kei­nem ein­zi­gen Fall Inhalts­da­ten offen­ge­legt und 2019 nur in neun Fäl­len Meta­da­ten (für 2020 sind die Zah­len nicht bekannt), und dies bei bereits 2019 mehr als 10 Mil­lio­nen Kunden:

Das BayL­DA befand trotz­dem, dass der Ein­satz von Mail­chimp unzu­läs­sig war (Zita­te aus der Ent­schei­dung nach GDPRhub):

Nach unse­rer Bewer­tung war der Ein­satz von Mail­chimp durch FOGS Maga­zin in den bei­den genann­ten Fäl­len – und somit auch die Über­mitt­lung Ihrer E‑Mail-Adres­se an Mai­chimp, die Gegen­stand Ihrer Beschwer­de ist – daten­schutz­recht­lich unzu­läs­sig, weil [der Ver­ant­wort­li­che] nicht geprüft hat­te, ob für die Über­mitt­lung an Mail­chimp zusätz­lich zu den (zum Ein­satz gekom­me­nen) EU-Stan­dard­da­ten­schutz­klau­seln noch “zusätz­li­che Maß­nah­men” im Sin­ne der EuGH-Ent­schei­dung “Schrems II” (EuGH, Urt. v. 16.7.2020, C‑311/18) not­wen­dig sind, um die Über­mitt­lung daten­schutz­kon­form zu gestalten […].

In der Sache folgt das BayL­DA damit den Emp­feh­lun­gen des EDSA, die bekannt­lich – lei­der – kei­ne Risi­ko­prü­fung ein­schlie­ssen oder zulas­sen (“risk-based approach”), son­dern aus dem in den USA als man­gel­haft ein­ge­stuf­ten Rechts­schutz direkt auf die Unzu­läs­sig­keit einer nicht aus­rei­chend abge­si­cher­ten Daten­be­kannt­ga­be schlie­ssen, ohne die Ein­tre­tens­wahr­schein­lich­keit und Fol­gen eines Zugriffs in Betracht zu zie­hen (“rights-based approach”).

Das ist stossend:

  • Ob die­ser rights-based-Ansatz mit der DSGVO über­haupt ver­ein­bar ist, ist sehr frag­lich und wird noch viel zu reden geben. In der Pra­xis füh­ren Unter­neh­men im Gegen­teil häu­fig Risi­ko­ein­schät­zun­gen durch (als “Trans­fer Impact Assess­ment” oder “Schrems-II-Assess­ments”) und prü­fen dort in erster Linie die kon­kre­ten Risi­ken, die sich für den Betrof­fe­nen aus der Über­mitt­lung ergeben.
  • Die Emp­feh­lun­gen des EDSA sind nicht nur nicht rechts­ver­bind­lich, son­dern auch erst ein Ent­wurf. Der betrof­fe­ne Ver­ant­wort­li­che hat­te sich vor dem BayL­DA sogar dar­auf beru­fen, dass die­se Emp­feh­lun­gen erst als Ent­wurf vor­lie­gen, aber lei­der erfolg­los; immer­hin half ihm dies, eine Bus­se abzuwenden.

Wenig­stens sah das BayL­DA von einer Bus­se ab. Zunächst habe die betrof­fe­ne Per­son kei­nen Rechts­an­spruch auf eine Bus­se zula­sten des Ver­ant­wort­li­chen:

Über die­se Fest­stel­lung der Unzu­läs­sig­keit der o.g. Daten­über­mitt­lun­gen hin­aus­ge­hen­de auf­sichts­be­hörd­li­che Maß­nah­men nach Art. 58 Abs. 2 DSGVO hal­ten wir im Wege einer Ent­schei­dung nach pflicht­ge­mä­ßem Ermes­sen im kon­kret vor­lie­gen­den Fall nicht für erfor­der­lich. Dem Unter­neh­men ist durch uns deut­lich gemacht wor­den, dass die o.g. Über­mitt­lung Ihrer E‑Mail-Adres­se daten­schutz­recht­lich unzu­läs­sig war. Eine Ahn­dung mit Geld­bu­ße – wie von Ihnen bean­tragt – erach­ten wir nicht für erfor­der­lich. Inso­weit tei­len wir Ihnen hier­mit mit, dass nach unse­rer Auf­fas­sung einer betrof­fe­nen Per­son kein Rechts­an­spruch auf Ver­hän­gung einer Geld­bu­ße im Fal­le eines Daten­schutz­ver­sto­ßes zusteht, und nach hie­si­ger Auf­fas­sung auch kein Anspruch auf ermes­sens­feh­ler­freie Ent­schei­dung über Ahn­dung mit Geld­bu­ße. […]. Mit­hin steht einer betrof­fe­nem Per­son kein sub­jek­ti­ves Recht gegen die Daten­schutz­auf­sichts­be­hör­den auf Ent­schei­dung über die Ver­hän­gung einer Geld­bu­ße nach Art. 58 Abs. 2 Buchst. i DSGVO zu.

Vor­lie­gend sei­en zudem nur E‑Mail-Adres­sen betrof­fen und damit Daten, “deren Sen­si­bi­li­tät noch ver­hält­nis­mä­ßig über­schau­bar ist”, und zudem sei­en die – aber den­noch ange­wand­ten! – Leit­li­ni­en des EDSA ja erst ein Ent­wurf:

Selbst aber wenn man aber ein sol­ches sub­jek­ti­ves Recht einer betrof­fe­nen Per­son aner­ken­nen wür­de, wäre vor­lie­gend kein Anspruch Ihrer­seits auf Ver­hän­gung einer Geld­bu­ße gegen FOGS Maga­zin gege­ben. Denn bei Berück­sich­ti­gung der maß­geb­li­chen in Art. 83 DSGVO auf­ge­zähl­ten Fak­to­ren, die für die­se Ent­schei­dung eine Rol­le spie­len, ent­spricht es pflicht­ge­mä­ßem Ermes­sen, vor­lie­gend von einer Geld­bu­ße abzu­se­hen. Dies ins­be­son­de­re, weil vor­lie­gend ledig­lich in eini­gen weni­gen Fäl­len unzu­läs­sig Daten über­mit­telt wur­den, und zum ande­ren weil es sich – in der Gestalt von E‑Mail-Adres­sen – um Daten han­del­te, deren Sen­si­bi­li­tät noch ver­hält­nis­mä­ßig über­schau­bar ist; Letz­te­res für sich allei­ne gese­hen wür­de zwar ein Abse­hen von Geld­bu­ße noch nicht allei­ne zu recht­fer­ti­gen ver­mö­gen. Im Ergeb­nis ist das Abse­hen von Geld­bu­ße aber vor­lie­gend ermes­sens­feh­ler­frei ins­be­son­de­re vor dem Hin­ter­grund, dass sich die o.g.
Emp­feh­lun­gen des Euro­päi­schen Daten­schutz­aus­schus­ses erklär­ter­ma­ßen noch in einer öffent­li­chen Kon­sul­ta­ti­on befin­den und mit­hin noch nicht in der End­fas­sung vor­lie­gen, so dass der vor­lie­gen­de Ver­stoß mit Blick auf sei­ne Art und Schwe­re (Art. 83 Abs. 2 lit. a DSGVO) noch als gering­fü­gig ein­zu­stu­fen ist, und ins­be­son­de­re nur ein allen­falls leich­tes Maß an Fahr­läs­sig­keit zu beja­hen ist (Art. 83 Abs. 2 lit. b DSGVO).

datenrecht.ch ver­wen­det wei­ter­hin Mailchimp.