Newslettertools als Datenschutzrisiko.

 

Die Bayerische Landesaufsicht für Datenschutz hat die Verwendung eines Newslettertools ohne Vorprüfung aufgrund von Datenübermittlungen in die USA für unzulässig erklärt.

Der Standard titelt am 23.03.2021:

 

Urteil in Deutschland: Unzulässige Weitergabe von Mailadressen an Mailchimp

 

Diese Aussage ist so nicht ganz zutreffend!

 

Im Rahmen eines Beschwerdeverfahrens hat sich die Bayerische Landesaufsicht für

Datenaufsicht mit der Frage von Newsletter-Tools und Datenübermittlungen in die USA - Stichwort: Schrems II und zusätzliche Maßnahmen beschäftigt. Eine "Untersagung" der Verwendung war nicht notwendig, da der Verantwortliche der Behörde mitgeteilt hat, die Verwendung des Newsletter-Tools einzustellen.

 

Das BayLfdA kommt zur Ansicht, dass die Verwendung von US-amerikanischen Auftragsverarbeitern als Newsletter-Tools unzulässig sein kann, da zumindest die E-Mail-Adressen der Empfänger des Newsletters vom Verantwortlichen ohne ausreichende Rechtsgrundlage in die USA übermittelt werden. 

 

Die Übermittlung von personenbezogenen Daten in due USA ist seit der Entscheidung Schrems II (16.7.2020), in der das US-EU-Privacy-Shield "für ungültig" erklärt wurde, nur unter erschwerten Hürden zulässig, da der EuGH der Ansicht ist, dass das Datenschutzniveau in den USA nicht angemessen ist. 

 

Den Volltext dieser Mitteilung (Aktenzeichen: LDA-1085.1-12159/20-IDV) finden Sie hier.

 

Die Übermittlung kann auf Basis der Rechtsgrundlagen der Art 44 ff DSGVO erfolgen. Auch die Standardvertragsklauseln (Standarddatenschutzklauseln) sind eine Möglichkeit, einen Transfer zu rechtfertigen. Notwendig ist aber nach Ansicht des EuGH, dass zusätzliche Maßnahmen zwischen dem Datenversender (Dataexporteur) und dem Datenempfänger (Datenimporteur) zum Schutz der personenbezogenen Daten festgelegt werden.

 

Meiner Ansicht nach wurde die Entscheidung der Aufsichtsbehörde deshalb so gefällt, weil der Verantwortliche nicht darlegen konnte, aus welchen (zusätzlichen Überlegungen) neben den verwendeten Standarddatenschutzklauseln (Standardvertragsklauseln) die Verarbeitung durch den US-amerikanischen Dienst weiterhin zulässig ist.

 

Wie kann nun die Verwendung von derartigen Newsletter-Tools die bisher bereits im Einsatz waren oder sind auf eine rechtlich zulässige Basis gestellt werden?

 

a) Prüfung von alternativen Tools.

Es ist notwendig, dass sich der Verantwortliche mit der Frage auseinandersetzt, ob es eine datenschutzrechtlich "sichere" Alternative zum verwendeten Tool gibt, die unter den gleichen Voraussetzungen eingesetzt werden kann (Performance). Es ist dann zu bewerten, mit welchem Aufwand (Einschulung Mitarbeiter, Umstiegsaufwand) der Wechsel verbunden wäre, und zu bewerten, ob dieser Aufwand in einem etwaigen Mißverhältnis zum Nutzen des Newsletters für die eigene Organisation hat.

 

b) Einschätzung des Risikos für die betroffenen Personen

Es ist zu beurteilen, welche konkreten Datenkategorien aus der EU in die USA "abfließen", und welches Risiko für die betroffenen Personen durch einen Zugriff der US-Geheimdienstbehörden sich ergeben kann. 

Bei Newsletter-Tools sind dies meist: Name, Vorname, Geburtsdatum, E-Mail-Adresse, sodann die Verkehrsdaten des Newsletters, das An- bzw. Abmeldedatum und die mit dem Tool verbundenen Analyse-Daten (Öffnen, Klicken).

 

In diese Beurteilung ist auch einzubeziehen, ob eventuell durch die Art des Newsletters (zB Inhalt) oder Versender (zB Gay-Erotic-Versand, Selbsthilfegruppe für bestimmte Krankheit) auf Attribute, die zu den Daten des Art 9 DSGVO zählen für den/die Empfänger*In entstehen könnten, sodass ein Risiko eines Zugriffes durch die Sicherheitsbehörden in den USA ein höheres Risiko für die betroffenen Personen darstellen könnte, als zB bei einem Datenschutz-Newsletter

 

c) Festlegung der zusätzlichen Maßnahmen zur Erhöhung des Datenschutzniveaus im Empfängerland iSd Empfehlungen des EDSA

 

Der verwendete Dienstleister (Mailchimp) hat bereits Maßnahmen neben den Standardvertragsklauseln (Standarddatenschutzklauseln) gesetzt, und bietet ein "Data Processing Addendum" an, um eine Absicherung zu bieten. In diesem wird zB unter Punkt 2.6. darauf verwiesen, dass der Verantwortliche, der das Tool verwendet, keine "sensiblen Daten" in Bezug auf die betroffenen Personen offenlegt oder weitergibt.

 

Mailchimp informiert auch die Verantwortlichen mit welchen technischen Maßnahmen der Schutz der personenbezogenen erhöht wird, zB Verschlüsselung,  Anfragen von Behörden werden auf die Erforderlichkeit und auch die Zulässigkeit geprüft, Transparenzbericht. 

 

Dies wird u.a. in “Mailchimp and European Data Transfers“ folgt beschrieben (automatisierte Übersetzung):

 

 

(1) Verschlüsselung

Mailchimp hat, wo und soweit dies technisch machbar ist, Verschlüsselungstechnologien in seiner gesamten Infrastruktur implementiert, um Benutzerdaten vor unbefugtem Zugriff zu schützen, wenn sie intern von Mailchimp verarbeitet werden. Beispielsweise verwenden alle Mailchimp-Produktionsseiten TLS (Transport Layer Security), ein sicheres Verschlüsselungsprotokoll, und das interne drahtlose Netzwerk von Mailchimp verwendet eine 128-Bit-WPA2-Verschlüsselung. Außerdem werden Mailchimp-E-Mails (256 Bit), alle VPN-Verbindungen (256 Bit) und die interne Chat-Anwendung (256 Bit) verschlüsselt. Anmeldeseiten verwenden TLS und verfügen über einen Brute-Force-Angriffsschutz. Dies gilt auch für mobile Mailchimp-Anwendungen und die Mailchimp-API.

 

(2) Zugangskontrollen

Mailchimp beschränkt den Zugriff Dritter auf seine internen Tools und Infrastrukturen. Unser Rechtsteam bewertet alle Zugriffsanfragen, stellt sicher, dass die Anfrage für die auszuführenden Arbeiten geeignet ist, und stellt sicher, dass der Dritte alle in seinem Vertrag festgelegten Sicherheits- und Datenschutzbestimmungen einhält. Nach der Genehmigung gewährt Mailchimp nur über kontrollierte Konten Zugriff auf klar definierte Teile des Systems.

 

 

Schlussfolgerung

Wenn ein Verantwortlicher unter Berücksichtigung dieser Prüfkriterien den Schluss zieht, dass die weitere Verwendung des Newsletter-Tools zulässig ist, da zB keine gleichwertigen (kostenlosen (!)) Alternativen gegeben sind, und der Umstiegsaufwand bedeutend hoch ist, und keine Art 9 Daten in der Verarbeitung durch Mailchimp vorkommen, dann kann uU tatsächlich argumentiert werden, dass die zusätzlichen Maßnahmen, die gesetzt werden, ausreichend sind, um das Datenschutzniveau in den USA in Bezug auf die konkreten Datenarten auf ein angemessenes Maß anzuheben.