Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
branchbob
BrickLink
Cardmarket
Cdiscount.com
Chrono24
commerce:seo
CosmoShop
Delcampe
Dienstleistungen
Discogs
Dropshipping-Marktplatz.de
eBay
eBay-Kleinanzeigen
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Facebook
FairFox
Fairmondo.de
galeria.de
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
GTC for Shopify
Handmade at Amazon
Homepages
Hood
Hosting-B2B
Hosting-B2B-B2C
Idealo-Direktkauf
Instagram
Jimdo
Joomla
JTL
Kasuwa
Kaufland.de
Kauflux
kayamo
Lightspeed
LinkedIn
Lizenzo
Magento 1 und Magento 2
manomano
Mediamarkt.de
meinOnlineLager
metro.de
modified eCommerce-Shops
Mädchenflohmarkt
Online-Shop
Online-Shop (Verkauf digitaler Inhalte)
Online-Shop - B2B
OpenCart
Otto.de
Oxid-Shops
Palundu
Pinterest
placeforvegans.de
plentymarkets
Praktiker.de
Prestashop
PriceMinister.com
productswithlove
RAIDBOXES
Restposten
restposten24.de
Ricardo.ch
Seminare
Shop - Online-Kurse (live/on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopgate
shopify
Shopware
Shpock+
shöpping.at
smartvie
Squarespace
STRATO
Teilehaber.de
TikTok-Präsenzen
Tumblr
Twitch
Twitter
TYPO3
Verkauf von Veranstaltungstickets
Verkauf über individuelle Kommunikation (B2B + B2C)
Verkauf über individuelle Kommunikation (B2B)
Verkauf über Printkataloge
Verkauf über stationären Handel
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
webador
Werky
Wix
WooCommerce
WooCommerce German Market
WooCommerce Germanized
WordPress
Wordpress-Shops
wpShopGermany
Xanario
XING
xt:Commerce
Yatego
YouTube
Zen-Cart
ZVAB
Österreichische Datenschutzerklärung
von RA Phil Salewski

Vorsicht bei Datentransfers an US-Dienste: BayLDA erklärt Nutzung von Mailchimp für grundsätzlich datenschutzwidrig

News vom 26.03.2021, 11:08 Uhr | Keine Kommentare

Ein Großteil der Online-Händler nutzt für Newsletter-Kampagnen die Dienste externer Serviceanbieter, welche die Organisation, Gestaltung und Versendung von Werbemails übernehmen. Fällt die Auswahl hier auf US-amerikanische Dienstleister, kann dies für europäische Online-Händler allerdings zum datenschutzrechtlichen Fallstrick werden. Nach Wegfall des EU-US-Privacy-Shield sind Datenübermittlungen an Newsletterversand-Dienstleister in den USA nicht mehr ohne Weiteres möglich. Dies belegt eindrucksvoll eine aktuelle Entscheidung des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) vom 15.03.2021, das einem Online-Händler aus Datenschutzgründen die Nutzung der Dienste von Mailchimp untersagte. Mehr zu den Details der Entscheidung und den Konsequenzen für den Online-Handel lesen Sie im folgenden Beitrag.

I. Was war passiert?

Am 16.07.2020 hatte der EuGH das sog. EU-US-Privacy Shield für ungültig erklärt. Dieses Datenschutzschild hatte bis dahin als Angemessenheitsbeschluss für die datenschutzrechtliche Konformität der Übermittlung personenbezogener Daten aus Europa in die USA gedient.

Hintergrund der Entscheidung war, dass selbst unter Beachtung aller Datensicherheitsbestimmungen des Datenschutzschildes ein Zugriff auf personenbezogene Datenbestände durch US-Behörden nicht ausgeschlossen werden konnte. Aufgrund nationalrechtlicher Ermächtigungen waren Datenauskunftsverlangen und deren Durchsetzung durch US-Nachrichtendienste möglich – ein großes Risiko für den Schutz von Daten aus Europa, wo entsprechende behördliche Ermächtigungsgrundlagen in dem Umfang nicht existieren.

Folge des Wegfalls des Privacy Shield war nun unter anderem, dass der Einsatz sämtlicher US-Dienste, die sich zuvor auf das Datenschutzschild gestützt hatten, in Europa grundsätzlich rechtswidrig zu sein drohte. Es fehlten nämlich geeignete Datensicherheitsgarantien für transatlantische Datentransfers.

Diverse Diensteanbieter aus den USA versuchten in den Folgemonaten, die entstandene Datenschutzlücke durch die Implementierung sogenannter Standardvertragsklauseln zu schließen – ein grundsätzlich anstelle eines Angemessenheitsbeschlusses ebenfalls ausdrücklich (Art. 46 Abs. 2 lit. c DSGVO) anerkanntes Instrument für die notwendige Datensicherheit bei Datentransfers ins außereuropäische Ausland.

Speziell für die USA vermögen diese Klauseln das Kernproblem aber nicht zu beseitigen: Die Datenschutzklauseln verpflichten US-Diensteanbieter zur Einhaltung europäischer Datenschutzbestimmungen nur im Verhältnis zum Diensteempfänger, gelten also nur zwischen den Vertragsparteien. US-Behörden werden durch die Klauseln also nicht mitverpflichtet und können in ihren Zugriffsbefugnissen dadurch nicht beschränkt werden. Auch können die Standardklauseln Datenzugriffe der US-Behörden im Zweifel nicht verhindern. Sie können einem nach US-Recht legitimen Datenauskunftsverlangen einer US-Behörde nämlich nicht entgegengehalten werden.

Insofern besteht bei den EU-Datenschutzbehörden weitgehende Einigkeit darüber, dass die bloße Implementierung von Standardklauseln nicht ausreicht. Vielmehr wären weitergehende technische und organisatorische Maßnahmen erforderlich, mit denen die US-Anbieter Zugriffe auf EU-Datensätze verhindern. Diskutiert wird vor allem die hinreichende Verschlüsselung und/oder Pseudonymisierung von EU-Daten so, dass diese bei Zugriffen durch US-Behörden von jenen nicht ausgelesen werden könnten.

Standardvertragsklauseln nach EU-Vorbild allein sind in den USA also mehr Schein als Sein. Für sich genommen bieten sie die notwendige Datensicherheit gerade nicht.

Eben diese Schlussfolgerung wurde nun jüngst einem Münchner Online-Händler zum Verhängnis, der sich für den Versand von Newslettern der Dienste des US-Anbieters „Mailchimp“ bediente.

Im Zuge der Beauftragung von Mailchimp wurden Mailadressen von EU-Bürgern an Server von Mailchimp in den USA übertragen, damit von dort aus der Newsletterversand organisiert werden konnte.

Mailchimp berief sich für derartige Datentransfers auf Standardvertragsklauseln, nachdem das Privacy Shield zu Fall gebracht worden war.

An der fehlenden Datensicherheit stieß sich daraufhin das Bayerische Landesamt für Datenschutzaufsicht.

Banner Unlimited Paket

II. Die Entscheidung des BayLDA in Bezug auf Mailchimp

Das BayLDA befand am 15.03.2021 Datenübermittlungen an Mailchimp für unzulässig, weil durch die Implementierung von Standardvertragsklauseln allein nicht ausgeschlossen werden könne, dass Mailchimp Datenzugriffen von US-Nachrichtendiensten unterfallen könne.

Eine Zusammenfassung der Entscheidung ist hier einsehbar.

Nach Ansicht des BayLDA hätte der betroffene Online-Händler im Zuge der Beauftragung von Mailchimp prüfen müssen, ob neben den Standardklauseln noch weitere Maßnahmen für die Datensicherheit hätten getroffen werden müssen.

Laut der Behörde war also nicht die Inanspruchnahme der Mailchimp-Dienste an sich datenschutzwidrig, sondern das Fehlen einer vom Online-Händler vorzunehmenden Interessen- und Risikoabwägung mit dem Ergebnis einer Entscheidung über weitere datenschutzrechtliche Sicherheitsmaßnahmen.

Weil es hieran fehlte und sich der Händler allein auf die Standardvertragsklauseln verlassen hatte, wurde ihm die Nutzung von Mailchimp untersagt.

Ein Bußgeld wurde gegen ihn aber nicht verhängt.

III. Das Unmögliche: Risikobewertungen durch Online-Händler selbst

Im Internet ist derzeit in vielen Artikeln zu lesen, dass die Entscheidung des BayLDA nicht missverstanden werden dürfe. Nicht die Nutzung von Mailchimp an sich, sondern erst eine fehlende Risikobewertung und die daraus folgende mangelnde Vornahme weiterer Maßnahmen machten die Datentransfers datenschutzwidrig.

Übersehen wird hierbei aber gerne, dass Online-Händler eine Datensicherheitsbewertung von US-Diensten nie möglich sein wird:

Einerseits halten sich die US-Dienste grundsätzlich bedeckt, was ihre Datenverarbeitungsprozesse angeht. Online-Händler haben also per se keine Möglichkeit, Art und Umfang aller Verarbeitungen korrekt zu erfassen.

Selbst aber, wenn dies im Einzelfall möglich wäre, fehlt Händlern andererseits jedoch die notwendige rechtliche Expertise, um die Bewertung zu einem tragbaren datenschutzkonformen Ergebnis zu bringen.

Schließlich ist zu befürchten, dass sich die US-Dienste, die im Vergleich zum Händler am deutlich längeren Druckhebel sitzen, kaum bereiterklären würden, auf Anfrage einzelner Akteure aus der Händlerschaft weitere Datenschutzmaßnahmen speziell für diese Individuen einzurichten.

IV. Konsequenz: Abstand von US-Diensten anzuraten

Ist Händlern die Risikobewertung einerseits und die Durchsetzung weiterer Datenschutzmaßnahmen gegenüber US-Diensten andererseits nicht möglich, entspricht die vom BayLDA bekundete Unzulässigkeit des „ungeprüften Einsatzes“ eines US-Dienstes dem „grundsätzlichen Einsatz“ desselben.

Das bedeutet: für Online-Händler sind Datenübermittlungen an US-Dienste, die sich allein auf Standardvertragsklauseln berufen, grundsätzlich unzulässig!

Die Entscheidung des BayLDA zu Mailchimp sollte also als unbedingter Anlass verstanden werden, Abstand von US-Services zu nehmen, die Datenübermittlungen voraussetzen.

Hierhin geht auch eine aktuelle Stellungnahme des Datenschutzbeauftragten des Landes Baden-Württemberg.

Datentransfers auf Basis von Standardvertragsklauseln in die USA sieht dieser nur dann als ausnahmsweise zulässig an, wenn eindeutig belegt werden kann, dass die US-Dienstleistung nicht kurz- oder mittelfristig durch eine zumutbare Alternative ohne Transferproblematik ersetzt werden kann, wenn also nicht kurz-oder mittelfristig eine gleichgelagerte Leistung eines EU-Anbieters oder eines Anbieters aus einem Land beauftragt werden kann, für das ein Angemessenheitsbeschluss vorliegt.

V. Fazit

Im Angesicht der jüngsten Entscheidung des BayLDA am Beispiel von „Mailchimp“ sei Online-Händlern zwingend empfohlen, Datentransfers an US-Dienste einzustellen.

Die Übermittlung von Daten an Diensteanbieter aus den USA nur auf Basis von Standardvertragsklauseln muss nämlich als grundsätzlich datenschutzwidrig eingestuft werden.

Etwas anderes kann im Einzelfall ausnahmsweise und nur dann gelten, wenn eindeutig nachgewiesen kann, dass sich der US-Service nicht zumutbar durch ein europäisches oder ein Pendant aus einem Land ersetzen lässt, für das ein DSGVO-Angemessenheitsbeschluss vorliegt.

Ist die Dienstleistung in zumutbarer Weise ersetzbar, sind Datentransfers an den US-Dienst grundsätzlich unzulässig.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Autor:
Phil Salewski
Rechtsanwalt

Besucherkommentare

Bisher existieren keine Kommentare.

Vielleicht möchten Sie der Erste sein?

© 2005-2021 · IT-Recht Kanzlei Keller-Stoltenhoff, Keller