Kann Mailchimp datenschutzrechtlich zulässig eingesetzt werden?

Passend zu meinem Artikel heute bzgl. Cloudflare (siehe hier) möchte ich aufgrund einer aktuellen Entscheidung des Bayerischen Landesamtes für Datenschutzaufsicht auch kurz das im Wordpress-Universum fast omnipräsente Mailchimp beleuchten, das immer noch sehr viele Anbieter nutzen, um E-Mailnewsletter zu versenden.

Nach Ansicht des BayLDA ist Mailchimp zumindest dann unzulässig, wenn man als Verwender nicht prüft, ob für die Übermittlung von E-Mail-Adressen an Mailchimp zusätzlich zu den (zum Einsatz gekommenen) EU-Standarddatenschutzklauseln noch “zusätzliche Maßnahmen” im Sinne der EuGH-Entscheidung “Schrems II” (EuGH, Urt. v. 16.7.2020, C-311/18) notwendig sind, um die Übermittlung datenschutzkonform zu gestalten, insbesondere weil nach Meinung des BayLDA Anhaltspunkte dafür bestehen, dass Mailchimp grundsätzlich Datenzugriffen von US-Nachrichtendiensten auf Grundlage der US-Rechtsvorschrift FISA702 (50 U.S.C. § 1881) als möglicher sog. Electronic Communications Service Provider unterfallen kann und somit die Übermittlung nur unter Ergreifung solcher zusätzlicher Maßnahmen (sofern geeignet) zulässig sein konnte.

Nachdem ich mir die Privacy-Erklärung von Mailchimp angesehen habe, ist dort nirgendwo etwas von einer Verschlüsselung zu sehen. Auch in dem Dokument, welches Mailchimp “GDPR-Compliance” nennt, und welches einzig in deutscher Sprache vorliegt,  findet sich nichts zur Verschlüsselung.

Der einzige Hinweis auf Verschlüsslung gibt ein Dokument, das sich “Data Export Bedingungen” nennt.

Mailchimp has, where and to the extent technically feasible, implemented encryption technologies across its infrastructure to help protect user data from unauthorized access when it’s processed internally by Mailchimp. For example, all Mailchimp production pages use transport layer security (TLS), a secure encryption protocol, and Mailchimp’s internal wireless network utilizes 128bit WPA2 encryption. Further, Mailchimp email (256bit), all VPN connections (256bit), and the internal chat application (256bit) are also encrypted. Login pages use TLS and have brute-force attack protection. This also applies to mobile Mailchimp applications and the Mailchimp API.

Übersetzt also:

Mailchimp hat, wo und soweit technisch machbar, Verschlüsselungstechnologien in seiner gesamten Infrastruktur implementiert, um Benutzerdaten vor unbefugtem Zugriff zu schützen, wenn sie intern von Mailchimp verarbeitet werden. Beispielsweise verwenden alle Produktionsseiten von Mailchimp Transport Layer Security (TLS), ein sicheres Verschlüsselungsprotokoll, und das interne drahtlose Netzwerk von Mailchimp verwendet eine 128bit WPA2-Verschlüsselung. Außerdem sind Mailchimp-E-Mails (256bit), alle VPN-Verbindungen (256bit) und die interne Chat-Anwendung (256bit) ebenfalls verschlüsselt. Login-Seiten verwenden TLS und haben einen Schutz vor Brute-Force-Angriffen. Dies gilt auch für mobile Mailchimp-Anwendungen und die Mailchimp-API.

Nimmt man es genau, ist das wohl keine ausreichende Versicherung, dass Nutzerdaten vollständig verschlüsselt sind, und zwar auch vor dem Zugriff von Mailchimp selber. Vielmehr schränkt Mailchimp ein, dass Daten vor “unbefugtem Zugriff” geschützt wären. Der Zugriff von US-Behörden beispielsweise wäre aber gerade NICHT unbefugt.

Die durch das erwähnte Verfahren beim BayLDA betroffene Magazin ist nur durch eine Angemessenheitserwägung einem Bußgeld entgangen.

Das BayLDA dazu:

Über diese Feststellung der Unzulässigkeit der o.g. Datenübermittlungen hinausgehende aufsichtsbehördliche Maßnahmen nach Art. 58 Abs. 2 DSGVO halten wir im Wege einer Entscheidung nach pflichtgemäßem Ermessen im konkret vorliegenden Fall nicht für erforderlich. Dem Unternehmen ist durch uns deutlich gemacht worden, dass die o.g. Übermittlung Ihrer E-Mail-Adresse datenschutzrechtlich unzulässig war. Eine Ahndung mit Geldbuße – wie von Ihnen beantragt – erachten wir nicht für erforderlich. Insoweit teilen wir Ihnen hiermit mit, dass nach unserer Auffassung einer betroffenen Person kein Rechtsanspruch auf Verhängung einer Geldbuße im Falle eines Datenschutzverstoßes zusteht, und nach hiesiger Auffassung auch kein Anspruch auf ermessensfehlerfreie Entscheidung über Ahndung mit Geldbuße.
Denn anders als einige andere der in Art. 58 Abs. 2 DSGVO genannten Abhilfebefugnisse (etwa die Befugnis, die den Verantwortlichen anzuweisen, Anträgen der betroffenen Person auf Ausübung ihrer Rechte zu entsprechen (Art. 58 Abs. 2 lit. c DSGVO) dient die Befugnis zur Verhängung einer Geldbuße nach Art. 83 DSGVO (Art. 58 Abs. 2 Buchst. i DSGVO) nicht der Wahrung der Rechte und Freiheiten einer betroffenen Person, sondern dem öffentlichen Interesse an der Durchsetzung der Rechtsordnung. Mithin steht einer betroffenem Person kein subjektives Recht gegen die Datenschutzaufsichtsbehörden auf Entscheidung über die Verhängung einer Geldbuße nach Art. 58 Abs. 2 Buchst. i DSGVO zu. Selbst aber wenn man aber ein solches subjektives Recht einer betroffenen Person anerkennen würde, wäre vorliegend kein Anspruch Ihrerseits auf Verhängung einer Geldbuße gegen XXXX gegeben. Denn bei Berücksichtigung der maßgeblichen in Art. 83 DSGVO aufgezählten Faktoren, die für diese Entscheidung eine Rolle spielen, entspricht es pflichtgemäßem Ermessen, vorliegend von einer Geldbuße abzusehen. Dies insbesondere, weil vorliegend lediglich in einigen wenigen Fällen unzulässig Daten übermittelt wurden, und zum anderen weil es sich – in der Gestalt von E-Mail-Adressen – um Daten handelte, deren Sensibilität noch verhältnismäßig überschaubar ist; Letzteres für sich alleine gesehen würde zwar ein Absehen von Geldbuße noch nicht alleine zu rechtfertigen vermögen. Im Ergebnis ist das Absehen von Geldbuße aber vorliegend ermessensfehlerfrei insbesondere vor dem Hintergrund, dass sich die o.g. Empfehlungen des Europäischen Datenschutzausschusses erklärtermaßen noch in einer öffentlichen Konsultation befinden und mithin noch nicht in der Endfassung vorliegen, so dass der vorliegende Verstoß mit Blick auf seine Art und Schwere (Art. 83 Abs. 2 lit. a DSGVO) noch als geringfügig einzustufen ist, und insbesondere nur ein allenfalls leichtes Maß an Fahrlässigkeit zu bejahen ist (Art. 83 Abs. 2 lit. b DSGVO).