Mailchimp Datenschutz: Zulässigkeit & Schrems II | IT-Medienrecht

Erfahren Sie, ob Mailchimp datenschutzkonform eingesetzt werden kann. Alle Infos zum BayLDA-Urteil und Schrems II zu Mailchimp Datenschutz. Jetzt klicken!

Das Wichtigste in Kürze

  • Die Nutzung von Mailchimp kann ohne zusätzliche Maßnahmen datenschutzrechtlich unzulässig sein, insbesondere wegen möglicher Zugriffe von US-Nachrichtendiensten.
  • Mailchimp's eigene Verschlüsselungsangaben schützen nicht vor "befugten" Zugriffen durch US-Behörden.
  • Das BayLDA hat in einem konkreten Fall von einem Bußgeld abgesehen, obwohl die Datenübermittlung als unzulässig eingestuft wurde.
  • Betroffene Personen haben keinen Rechtsanspruch auf die Verhängung eines Bußgeldes bei Datenschutzverstößen.

Passend zu meinem Artikel heute bzgl. Cloudflare (siehe hier) möchte ich aufgrund einer aktuellen Entscheidung des Bayerischen Landesamtes für Datenschutzaufsicht auch kurz das im Wordpress-Universum fast omnipräsente Mailchimp beleuchten, das immer noch sehr viele Anbieter nutzen, um E-Mailnewsletter zu versenden.

Nach Ansicht des BayLDA ist Mailchimp zumindest dann unzulässig, wenn man als Verwender nicht prüft, ob für die Übermittlung von E-Mail-Adressen an Mailchimp zusätzlich zu den (zum Einsatz gekommenen) EU-Standarddatenschutzklauseln noch „zusätzliche Maßnahmen“ im Sinne der EuGH-Entscheidung „Schrems II“ (EuGH, Urt. v. 16.7.2020, C-311/18) notwendig sind, um die Übermittlung datenschutzkonform zu gestalten, insbesondere weil nach Meinung des BayLDA Anhaltspunkte dafür bestehen, dass Mailchimp grundsätzlich Datenzugriffen von US-Nachrichtendiensten auf Grundlage der US-Rechtsvorschrift FISA702 (50 U.S.C. § 1881) als möglicher sog. Electronic Communications Service Provider unterfallen kann und somit die Übermittlung nur unter Ergreifung solcher zusätzlicher Maßnahmen (sofern geeignet) zulässig sein konnte.

Nachdem ich mir die Privacy-Erklärung von Mailchimp angesehen habe, ist dort nirgendwo etwas von einer Verschlüsselung zu sehen. Auch in dem Dokument, welches Mailchimp „GDPR-Compliance“ nennt, und welches einzig in deutscher Sprache vorliegt,  findet sich nichts zur Verschlüsselung.

Der einzige Hinweis auf Verschlüsslung gibt ein Dokument, das sich „Data Export Bedingungen“ nennt.

  • Alle Mailchimp Produktionsseiten nutzen Transport Layer Security (TLS).
  • Das interne drahtlose Netzwerk von Mailchimp verwendet 128bit WPA2-Verschlüsselung.
  • Mailchimp E-Mails (256bit), alle VPN-Verbindungen (256bit) und die interne Chat-Anwendung (256bit) sind verschlüsselt.
  • Login-Seiten verwenden TLS und haben Schutz vor Brute-Force-Angriffen.
  • Dies gilt auch für mobile Mailchimp-Anwendungen und die Mailchimp API.

 

Übersetzt also:

Mailchimp hat, wo und soweit technisch machbar, Verschlüsselungstechnologien in seiner gesamten Infrastruktur implementiert, um Benutzerdaten vor unbefugtem Zugriff zu schützen, wenn sie intern von Mailchimp verarbeitet werden. Beispielsweise verwenden alle Produktionsseiten von Mailchimp Transport Layer Security (TLS), ein sicheres Verschlüsselungsprotokoll, und das interne drahtlose Netzwerk von Mailchimp verwendet eine 128bit WPA2-Verschlüsselung. Außerdem sind Mailchimp-E-Mails (256bit), alle VPN-Verbindungen (256bit) und die interne Chat-Anwendung (256bit) ebenfalls verschlüsselt. Login-Seiten verwenden TLS und haben einen Schutz vor Brute-Force-Angriffen. Dies gilt auch für mobile Mailchimp-Anwendungen und die Mailchimp-API.

 

Nimmt man es genau, ist das wohl keine ausreichende Versicherung, dass Nutzerdaten vollständig verschlüsselt sind, und zwar auch vor dem Zugriff von Mailchimp selber. Vielmehr schränkt Mailchimp ein, dass Daten vor „unbefugtem Zugriff“ geschützt wären. Der Zugriff von US-Behörden beispielsweise wäre aber gerade NICHT unbefugt.

Die durch das erwähnte Verfahren beim BayLDA betroffene Magazin ist nur durch eine Angemessenheitserwägung einem Bußgeld entgangen.

Das BayLDA dazu:

Über diese Feststellung der Unzulässigkeit der o.g. Datenübermittlungen hinausgehende aufsichtsbehördliche Maßnahmen nach Art. 58 Abs. 2 DSGVO halten wir im Wege einer Entscheidung nach pflichtgemäßem Ermessen im konkret vorliegenden Fall nicht für erforderlich. Dem Unternehmen ist durch uns deutlich gemacht worden, dass die o.g. Übermittlung Ihrer E-Mail-Adresse datenschutzrechtlich unzulässig war. Eine Ahndung mit Geldbuße – wie von Ihnen beantragt – erachten wir nicht für erforderlich. Insoweit teilen wir Ihnen hiermit mit, dass nach unserer Auffassung einer betroffenen Person kein Rechtsanspruch auf Verhängung einer Geldbuße im Falle eines Datenschutzverstoßes zusteht, und nach hiesiger Auffassung auch kein Anspruch auf ermessensfehlerfreie Entscheidung über Ahndung mit Geldbuße.
Denn anders als einige andere der in Art. 58 Abs. 2 DSGVO genannten Abhilfebefugnisse (etwa die Befugnis, die den Verantwortlichen anzuweisen, Anträgen der betroffenen Person auf Ausübung ihrer Rechte zu entsprechen (Art. 58 Abs. 2 lit. c DSGVO) dient die Befugnis zur Verhängung einer Geldbuße nach Art. 83 DSGVO (Art. 58 Abs. 2 Buchst. i DSGVO) nicht der Wahrung der Rechte und Freiheiten einer betroffenen Person, sondern dem öffentlichen Interesse an der Durchsetzung der Rechtsordnung. Mithin steht einer betroffenem Person kein subjektives Recht gegen die Datenschutzaufsichtsbehörden auf Entscheidung über die Verhängung einer Geldbuße nach Art. 58 Abs. 2 Buchst. i DSGVO zu. Selbst aber wenn man aber ein solches subjektives Recht einer betroffenen Person anerkennen würde, wäre vorliegend kein Anspruch Ihrerseits auf Verhängung einer Geldbuße gegen XXXX gegeben. Denn bei Berücksichtigung der maßgeblichen in Art. 83 DSGVO aufgezählten Faktoren, die für diese Entscheidung eine Rolle spielen, entspricht es pflichtgemäßem Ermessen, vorliegend von einer Geldbuße abzusehen. Dies insbesondere, weil vorliegend lediglich in einigen wenigen Fällen unzulässig Daten übermittelt wurden, und zum anderen weil es sich – in der Gestalt von E-Mail-Adressen – um Daten handelte, deren Sensibilität noch verhältnismäßig überschaubar ist; Letzteres für sich alleine gesehen würde zwar ein Absehen von Geldbuße noch nicht alleine zu rechtfertigen vermögen. Im Ergebnis ist das Absehen von Geldbuße aber vorliegend ermessensfehlerfrei insbesondere vor dem Hintergrund, dass sich die o.g. Empfehlungen des Europäischen Datenschutzausschusses erklärtermaßen noch in einer öffentlichen Konsultation befinden und mithin noch nicht in der Endfassung vorliegen, so dass der vorliegende Verstoß mit Blick auf seine Art und Schwere (Art. 83 Abs. 2 lit. a DSGVO) noch als geringfügig einzustufen ist, und insbesondere nur ein allenfalls leichtes Maß an Fahrlässigkeit zu bejahen ist (Art. 83 Abs. 2 lit. b DSGVO).

 

Häufig gestellte Fragen

Kann Mailchimp datenschutzrechtlich zulässig eingesetzt werden?
Laut einer Entscheidung des BayLDA ist der Einsatz von Mailchimp zumindest dann unzulässig, wenn der Verwender nicht prüft, ob zusätzlich zu den EU-Standarddatenschutzklauseln weitere Maßnahmen nach "Schrems II" notwendig sind. Dies liegt an der Möglichkeit von Datenzugriffen durch US-Nachrichtendienste.
Schützen die von Mailchimp implementierten Verschlüsselungstechnologien meine Daten vollständig?
Mailchimp gibt an, Verschlüsselungstechnologien zum Schutz vor "unbefugtem Zugriff" einzusetzen. Allerdings schützt dies nicht vor "befugten" Zugriffen, wie sie beispielsweise durch US-Behörden auf Grundlage von US-Rechtsvorschriften erfolgen könnten.
Warum hat das BayLDA in dem erwähnten Fall kein Bußgeld verhängt, obwohl die Datenübermittlung unzulässig war?
Das BayLDA hat von einem Bußgeld abgesehen, da es sich um wenige Fälle handelte, die Sensibilität der E-Mail-Adressen als überschaubar galt und die Empfehlungen des Europäischen Datenschutzausschusses noch nicht in Endfassung vorlagen. Zudem wurde der Verstoß als geringfügig und die Fahrlässigkeit als allenfalls leicht eingestuft.
Habe ich als betroffene Person einen Anspruch auf die Verhängung eines Bußgeldes bei einem Datenschutzverstoß?
Nein, laut BayLDA steht einer betroffenen Person kein subjektives Recht gegen die Datenschutzaufsichtsbehörden auf Entscheidung über die Verhängung einer Geldbuße zu. Die Verhängung eines Bußgeldes dient dem öffentlichen Interesse an der Durchsetzung der Rechtsordnung, nicht der Wahrung individueller Rechte.