MailChimp und Schrems II

MailChimp reagiert auf Schrems II mit einer Anpassung des Auftragsverarbeitungsvertrages.

 

Der US-amerikanische Newsletter-Dienstleister "MailChimp" hat auf die Schrems-II - Entscheidung (EuGH C 311/18; 16.7.2020) nun mit einer Anpassung des Data Processing Agreements reagiert. 

 

Bis zum 16.7.2020 hat sich MailChimp im Empfang von personenbezogenen Daten aus EU auf das EU-US-Privacy Shield gestützt. Nun ist die Auftragsverarbeitungsvereinbarung in der Form abgeändert, dass die Standard-Datenschutz(vertrags)klauseln einbezogen werden. 

 

 

Es sind - nach der Schrems II - Entscheidung - auch weitere Maßnahmen zwischen den Vertragsteilen zu treffen, um ein angemessenes Datenschutzniveau in den USA erreichen zu können. 

 

Auch hier hat sich MailChimp etwas "einfallen" lassen, und zwar eine Informationspflicht gegenüber seinen Kunden bei einem Zugriff von Behörden auf die Daten bei Konten, von denen MailChimp davon ausgehen kann, dass es sich um europäische Kunden handelt.

 

Hier eine Übersetzung aus dem Addendum zum DPA:

 

Government data access requests

(MailChimp Addendum to the Data Processing Agreement)

Übersetzung des Absatzes bezüglich Anfragen der Regierung zum Zugriff auf Daten
(MailChimp Addendum zum Data Processing Agreement.

 

As a matter of general practice, Mailchimp does not voluntarily provide government agencies or authorities (including law enforcement) with access to or information about Mailchimp accounts (including Customer Data).

In der Regel gibt Mailchimp Regierungsbehörden oder Behörden (einschließlich Strafverfolgungs­behörden) nicht freiwillig Zugang zu oder Informationen über Mailchimp-Konten (einschließlich Kundendaten).

 

If Mailchimp receives a compulsory request (whether through a subpoena, court order, search warrant, or other valid legal process) from any government agency or authority (including law enforcement) for access to or information about a Mailchimp account (including Customer Data) belonging to a Customer whose primary contact information indicates the Customer is located in Europe, Mailchimp shall:

 

Wenn Mailchimp von einer Regierungsbehörde oder sonstigen Behörde (einschließlich Strafverfolgungsbehörden) eine verpflichtende Aufforderung (sei es durch Vorladung, Gerichtsbeschluss, Durchsuchungsbefehl oder ein anderes gültiges Mittel) für einen Zugriff auf oder zu Informationen über ein Mailchimp-Konto (einschließlich Kundendaten) bezüglich eines Kunden erhält, dessen primäre Kontaktinformationen darauf hinweisen, dass sich der Kunde in Europa befindet, wird Mailchimp:

(i)                        inform the government agency that Mailchimp is a processor of the data;

 

(ii)                       attempt to redirect the agency to request the data directly from Customer; and

(iii)                     notify Customer via email sent to Customer’s primary contact email address of the request to allow Customer to seek a protective order or other appropriate remedy.

 

 

(i)                        die Regierungsbehörde darüber informieren, dass Mailchimp ein

Auftragsverarbeiter ist;

(ii)                       versuchen, die Agentur aufzufordern die Daten direkt vom Kunden anzufordern; und

(iii)                     den Kunden per E-Mail an die primäre Kontakt-E-Mail-Adresse des Kunden über die Anfrage informieren, damit der Kunde eine Schutz­anordnung oder ein anderes geeignetes Rechtsmittel beantragen kann.

As part of this effort, Mailchimp may provide Customer’s primary and billing contact information to the agency.

Im Rahmen dieser Bemühungen kann Mailchimp der Behörde die primären und Rechnungskontaktinformationen des Kunden zur Verfügung stellen.

 

Mailchimp shall not be required to comply with this paragraph 2 if it is legally prohibited from doing so, or it has a reasonable and good-faith belief that urgent access is necessary to prevent an imminent risk of serious harm to any individual, public safety, or Mailchimp’s property, Sites, or Service.

Mailchimp ist nicht verpflichtet, diesen Absatz 2 einzuhalten, wenn dies gesetzlich verboten ist oder wenn nach vernünftigem Ermessen und nach Treu und Glauben ein dringender Zugang erforderlich ist, um das unmittelbare Risiko einer ernsthaften Schädigung der öffentlichen Sicherheit eines Einzelnen oder des Eigentums, der Websites oder der Leistungen von Mailchimp zu verhindern.

 

Ob diese "weitere Maßnahmen" ausreichend sind, um die Voraussetzungen zu erfüllen, einen Datentransfer in die USA auf Basis der Standard-Datenschutzklauseln durchführen zu können, ist mE damit nicht geklärt. 

Jedenfalls aber ist es ein Schritt in die "richtige Richtung", und Verantwortliche, die sich des US-Dienstleisters bedienen, sollten umgehend folgende Schritte setzen:

  • Risikoabschätzung des Datentransfers in die USA im Sinne einer TIA (Transfer Impact Analysis)

  • Sicherstellung der ausreichende Rechtsgrundlage iSd Art 46 ff DSGVO - dh mE Abschluss eine Data Processing Agreements mit Standard-Datenschutz(vertrags)klauseln sowie weiteren Maßnahmen ("supplementary meassures") iSd der Schrems II  Entscheidung 

  • Ergänzung der Einwilligungserklärung um einen Risikohinweis iSd Art 49 Abs 1 lit a DSGVO

  • Ergänzung / Abänderung der Datenschutzinformation "Newsletter"

  • Überprüfung und eventuell Anpassung des Verzeichnisses gem. Art 30 DSGVO


Wir unterstützen Sie gerne bei Ihrer Datentransferstrategie und in rechtlicher Hinsicht, zB bei der Erfüllung der Informationspflichten.

 

1.11.2020, Autor:
Michael Schweiger, zert. DSBA


Download
MailChimp und Schrems II.pdf
Adobe Acrobat Dokument 323.0 KB

Kommentar schreiben

Kommentare: 0