Das Bayrische Landesdatenschutzamt (BayLDA) hat am 15. März 2021 festgehalten, dass der Einsatz von Mailchimp im beurteilten Fall unzulässig war (LDA-1085.1 – 12159/20-IDV).
Massgebend war, dass Mailchimp zwar die EU-Standardvertragsklauseln schliesst, aber als “Electronic Communications Service Provider” i.S.v. § 1881 (b) (4) des US-amerikanischen Foreign Intelligence Surveillance Act einzustufen sei – zumindest sah das BayDLA dafür “Anhaltspunkte” (und es entspricht auch der eigenen Auffassung von Mailchimp). Infolgedessen wären Daten unter der Kontrolle von Mailchimp ggf. Zugriffen von US-Behörden nach den Bestimmungen von §1881a FISA ausgesetzt, d.h. soweit sie mutmasslich “foreign intelligence information” enthalten, nach § 1801 (e) FISA
(1) information that relates to, and if concerning a United States person is necessary to, the ability of the United States to protect against—
(A) actual or potential attack or other grave hostile acts of a foreign power or an agent of a foreign power;
(B) sabotage, international terrorism, or the international proliferation of weapons of mass destruction by a foreign power or an agent of a foreign power; or
(C) clandestine intelligence activities by an intelligence service or network of a foreign power or by an agent of a foreign power; or
(2) information with respect to a foreign power or foreign territory that relates to, and if concerning a United States person is necessary to—
(A) the national defense or the security of the United States; or
(B) the conduct of the foreign affairs of the United States.
Dieses Szenario ist wohl nicht gerade wahrscheinlich, besonders an Mailchimp offenbar nur E‑Mail-Adressen übermittelt worden waren. Auch hatte Mailchimp nach eigenen Angaben 2018 in zwei und 2019 in keinem einzigen Fall Inhaltsdaten offengelegt und 2019 nur in neun Fällen Metadaten (für 2020 sind die Zahlen nicht bekannt), und dies bei bereits 2019 mehr als 10 Millionen Kunden:
Das BayLDA befand trotzdem, dass der Einsatz von Mailchimp unzulässig war (Zitate aus der Entscheidung nach GDPRhub):
Nach unserer Bewertung war der Einsatz von Mailchimp durch FOGS Magazin in den beiden genannten Fällen – und somit auch die Übermittlung Ihrer E‑Mail-Adresse an Maichimp, die Gegenstand Ihrer Beschwerde ist – datenschutzrechtlich unzulässig, weil [der Verantwortliche] nicht geprüft hatte, ob für die Übermittlung an Mailchimp zusätzlich zu den (zum Einsatz gekommenen) EU-Standarddatenschutzklauseln noch “zusätzliche Maßnahmen” im Sinne der EuGH-Entscheidung “Schrems II” (EuGH, Urt. v. 16.7.2020, C‑311/18) notwendig sind, um die Übermittlung datenschutzkonform zu gestalten […].
In der Sache folgt das BayLDA damit den Empfehlungen des EDSA, die bekanntlich – leider – keine Risikoprüfung einschliessen oder zulassen (“risk-based approach”), sondern aus dem in den USA als mangelhaft eingestuften Rechtsschutz direkt auf die Unzulässigkeit einer nicht ausreichend abgesicherten Datenbekanntgabe schliessen, ohne die Eintretenswahrscheinlichkeit und Folgen eines Zugriffs in Betracht zu ziehen (“rights-based approach”).
Das ist stossend:
- Ob dieser rights-based-Ansatz mit der DSGVO überhaupt vereinbar ist, ist sehr fraglich und wird noch viel zu reden geben. In der Praxis führen Unternehmen im Gegenteil häufig Risikoeinschätzungen durch (als “Transfer Impact Assessment” oder “Schrems-II-Assessments”) und prüfen dort in erster Linie die konkreten Risiken, die sich für den Betroffenen aus der Übermittlung ergeben.
- Die Empfehlungen des EDSA sind nicht nur nicht rechtsverbindlich, sondern auch erst ein Entwurf. Der betroffene Verantwortliche hatte sich vor dem BayLDA sogar darauf berufen, dass diese Empfehlungen erst als Entwurf vorliegen, aber leider erfolglos; immerhin half ihm dies, eine Busse abzuwenden.
Wenigstens sah das BayLDA von einer Busse ab. Zunächst habe die betroffene Person keinen Rechtsanspruch auf eine Busse zulasten des Verantwortlichen:
Über diese Feststellung der Unzulässigkeit der o.g. Datenübermittlungen hinausgehende aufsichtsbehördliche Maßnahmen nach Art. 58 Abs. 2 DSGVO halten wir im Wege einer Entscheidung nach pflichtgemäßem Ermessen im konkret vorliegenden Fall nicht für erforderlich. Dem Unternehmen ist durch uns deutlich gemacht worden, dass die o.g. Übermittlung Ihrer E‑Mail-Adresse datenschutzrechtlich unzulässig war. Eine Ahndung mit Geldbuße – wie von Ihnen beantragt – erachten wir nicht für erforderlich. Insoweit teilen wir Ihnen hiermit mit, dass nach unserer Auffassung einer betroffenen Person kein Rechtsanspruch auf Verhängung einer Geldbuße im Falle eines Datenschutzverstoßes zusteht, und nach hiesiger Auffassung auch kein Anspruch auf ermessensfehlerfreie Entscheidung über Ahndung mit Geldbuße. […]. Mithin steht einer betroffenem Person kein subjektives Recht gegen die Datenschutzaufsichtsbehörden auf Entscheidung über die Verhängung einer Geldbuße nach Art. 58 Abs. 2 Buchst. i DSGVO zu.
Vorliegend seien zudem nur E‑Mail-Adressen betroffen und damit Daten, “deren Sensibilität noch verhältnismäßig überschaubar ist”, und zudem seien die – aber dennoch angewandten! – Leitlinien des EDSA ja erst ein Entwurf:
Selbst aber wenn man aber ein solches subjektives Recht einer betroffenen Person anerkennen würde, wäre vorliegend kein Anspruch Ihrerseits auf Verhängung einer Geldbuße gegen FOGS Magazin gegeben. Denn bei Berücksichtigung der maßgeblichen in Art. 83 DSGVO aufgezählten Faktoren, die für diese Entscheidung eine Rolle spielen, entspricht es pflichtgemäßem Ermessen, vorliegend von einer Geldbuße abzusehen. Dies insbesondere, weil vorliegend lediglich in einigen wenigen Fällen unzulässig Daten übermittelt wurden, und zum anderen weil es sich – in der Gestalt von E‑Mail-Adressen – um Daten handelte, deren Sensibilität noch verhältnismäßig überschaubar ist; Letzteres für sich alleine gesehen würde zwar ein Absehen von Geldbuße noch nicht alleine zu rechtfertigen vermögen. Im Ergebnis ist das Absehen von Geldbuße aber vorliegend ermessensfehlerfrei insbesondere vor dem Hintergrund, dass sich die o.g.
Empfehlungen des Europäischen Datenschutzausschusses erklärtermaßen noch in einer öffentlichen Konsultation befinden und mithin noch nicht in der Endfassung vorliegen, so dass der vorliegende Verstoß mit Blick auf seine Art und Schwere (Art. 83 Abs. 2 lit. a DSGVO) noch als geringfügig einzustufen ist, und insbesondere nur ein allenfalls leichtes Maß an Fahrlässigkeit zu bejahen ist (Art. 83 Abs. 2 lit. b DSGVO).
datenrecht.ch verwendet weiterhin Mailchimp.