Der US-amerikanische Dienstleister Mailchimp, bei dem es sich um einen cloudbasierten Service für Newsletter-Management handelt, stand schon früher in der Kritik. Vor Jahren schon hatte sich das Unternehmen bewusst dafür entschieden, die Anmeldung für E-Mail-Werbung – anders als der Trend in Europa – auf die Single-Opt-In-Methode umzustellen. Hierzulande hat sich aus Datenschutz- und Nachweisgründen das Double-Opt-In durchgesetzt. Dadurch setzte Mailchimp seine Verwender damals der Gefahr einer Abmahnung aus, wenn sie den Anbieter in Deutschland zur Versendung von Werbung nutzen.
Datenübertragung in die USA setzt Interessenabwägung voraus
Nach vielen Jahren setzt sich das Bayerische Landesamt für Datenschutz (BayLDA) mit dem Anbieter auseinander und erläutert, dass der ungeprüfte Einsatz datenschutzrechtlich problematisch sein kann. Im konkreten Fall war die Verwendung des Newsletter-Tools Mailchimp durch ein deutsches Unternehmen rechtswidrig. Knackpunkt war und ist die Übermittlung der E-Mail-Adressen der Abonnenten an den Anbieter von Mailchimp in ein Drittland (wie die USA), welche gemäß Artikel 44 DSGVO rechtswidrig war.
Problematisch war dabei, so das BayLDA, dass der US-Geheimdienst möglicherweise auf die übertragenen E-Mail-Adressen zugreifen könnte. Das betroffene Unternehmen argumentierte zwar, dass die Verwendung von Mailchimp nur gelegentlich vorkomme und nicht mehr verwendet werde. Ausschlaggebend war aber nicht die Nutzung von Mailchimp als solche, sondern der ungeprüfte und sorglose Transfer der E-Mail-Daten in die Vereinigten Staaten ohne gründliche Abwägung der Gefahren für die Betroffenen.
Ist Mailchimp noch sorglos und sicher einsetzbar?
In Anbetracht der Entscheidung des EuGH (C-311/18) hätte das Unternehmen also prüfen müssen, ob zusätzliche Maßnahmen zum Schutz der Daten vor US-amerikanischer Überwachung nötig sind. Letztendlich müssten diese Prüfung (sogenannte Interessenabwägung) jedoch alle Nutzer von Mailchimp machen und zu dem Ergebnis kommen, dass die Vorteile von Mailchimp eine Gefahr des Zugriffs der US-Geheimbehörden rechtfertigt – was in der Argumentation schwierig werden könnte...
Beschwert hatte sich ein Betroffener, dessen Mail-Adresse sich ebenfalls unter den übermittelten Adressen befand. Das betroffene Unternehmen erklärte, Mailchimp ab sofort nicht mehr zu verwenden. Eine Ahndung mit Geldbuße, wie beantragt, erachten die Datenschützer daher nicht mehr für erforderlich.
Kommentar schreiben