Das Schrems-II-Urteil zum Datentransfer in Drittländer wie die USA ist nun endgültig bei den Aufsichtsbehörden angekommen. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) untersagte nach einer Beschwerde die Weitergabe von E-Mailadressen an das beliebte Newsletter-Tool Mailchimp. Was auf den ersten Blick unscheinbar daher kommt, ist tatsächlich von enormer Tragweite für viele Unternehmen.
Warum die Weitergabe der Daten an Mailchimp nicht rechtskonform war
Grundsätzlich gibt es nichts am Einsatz eines Dienstleisters für den Versand von Newslettern auszusetzten, dies kann völlig rechtskonform gestaltet werden. Die Verarbeitung von E-Mailadressen für eine Newsletter, auch unter Einsatz eines Auftragsverarbeiters, ist über die Einwilligung der betroffenen Empfänger, durch einen eventuell bestehenden Vertrag oder auch über ein berechtigtes Interesse legitimiert. Details dazu finden Sie in unserer Anleitung für rechtskonformes E-Mailmarketing.
Komplizierter wird der Fall aber, sobald die Daten dafür in ein Drittland übersendet werden. Die DSGVO sieht für die Übermittlung personenbezogener Daten in ein Land außerhalb der EU besondere Regelungen vor. Erklärtes Ziel ist es, dass das Schutzniveau, welches die DSGVO für personenbezogene Daten vorsieht, nicht untergraben wird. Dafür sieht die DSGVO mehrere Möglichkeiten vor. Etwas vereinfacht dargestellt sind dies:
- Das Datenschutzniveau in einem Empfängerland wurde von der EU-Kommission durch einen sogenannten Angemessenheitsbeschluss als ausreichend eingestuft.
- Der Abschluss von Standardvertragsklauseln mit dem Empfänger im Drittland.
- Das Vorliegen eines besonderen Ausnahmetatbestandes nach Art. 49 DSGVO.
Am häufigsten – und auch im Fall von Mailchimp als US-Dienstleister relevant – ist die zweite Möglichkeit: der Abschluss von Standardvertragsklauseln (Standard Contractual Clauses, SCC). Bei diesen handelt es sich im Grunde um einen Vertrag, dessen Inhalt von der EU-Kommission vorgegeben ist, und dessen Einhaltung ein ausreichendes Datenschutzniveau garantieren soll.
Mit dem Schrems-II-Urteil hat der EuGH (Europäische Gerichtshof) den Abschluss von solchen Verträgen aber unter einen klaren Vorbehalt gestellt. Getreu dem Motto „Papier ist geduldig“ muss der für die Verarbeitung der Daten Verantwortliche prüfen, ob der Vertragspartner im Drittland die Vorgaben der Standardvertragsklauseln überhaupt einhalten kann. Gerade im Fall der USA ist das häufig nicht der Fall, da staatliche Einrichtungen auf Grundlage nationalen Rechts zum Teil uneingeschränkt personenbezogene Daten europäischer Bürger sammeln und nutzen (können). Für diese besteht keine Möglichkeit, sich gegen die Verarbeitung ihrer Daten durch US-Behörden gerichtlich zur Wehr zu setzen.
Standardvertragsklauseln alleine stellen daher regelmäßig keine Möglichkeit dar, den Datentransfer zu legitimieren. Der grundrechtsverletzende Zugriff muss ausgeschlossen sein.
Deshalb muss der Abschluss von Standardvertragsklauseln immer mit folgendem Prüfungsprozess verbunden sein:
- Kann der Empfänger im Drittland die Klauseln überhaupt einhalten?
- Wenn nein: Gibt es zusätzliche Maßnahmen (z.B. Datenverschlüsselung), die getroffen werden können und dann auch getroffen werden müssen, um die Einhaltung doch zu garantieren?
- Wenn nein: Der Transfer ist nicht erlaubt
Im Fall von Mailchimp hat der Verantwortliche diese notwendige Prüfung nicht durchgeführt. Da die Firma, die hinter Mailchimp steht, in den USA sitzt, hätte eine Prüfung stattfinden müssen. Das BayLDA schreibt dazu:
„Nach unserer Bewertung war der Einsatz von Mailchimp […] – und somit auch die Übermittlung Ihrer E-Mail-Adresse an Mailchimp, […] datenschutzrechtlich unzulässig, weil […] nicht geprüft hatte, ob für die Übermittlung an Mailchimp zusätzlich zu den (zum Einsatz gekommenen) EU-Standarddatenschutzklauseln noch “zusätzliche Maßnahmen” im Sinne der EuGH-Entscheidung “Schrems II” […] notwendig sind, um die Übermittlung datenschutzkonform zu gestalten, und vorliegend zumindest Anhaltspunkte dafür bestehen, dass Mailchimp grundsätzlich Datenzugriffen von US-Nachrichtendiensten auf Grundlage der US-Rechtsvorschrift FISA702 (50 U.S.C. § 1881) als möglicher sog. Electronic Communications Service Provider unterfallen kann und somit die Übermittlung nur unter Ergreifung solcher zusätzlicher Maßnahmen (sofern geeignet) zulässig sein konnte.
Wir haben dem Unternehmen mitgeteilt, dass daher die o.g. Übermittlungen personenbezogener Daten in die USA unzulässig waren.“ (Quelle)
Was die Entscheidung des BayLDA für andere Unternehmen bedeutet
Der Bescheid des BayLDA zeigt vor allem eines sehr deutlich auf: Die Aufsichtsbehörden bleiben nicht untätig.
Verantwortliche, die bisher noch nichts unternommen haben und weiterhin unbedarft personenbezogene Daten in Drittländer wie die USA übermitteln, sollten spätestens jetzt wachgerüttelt sein und tätig werden.
Mailchimp ist dabei nur ein relevanter Fall von vielen und es ist wohl eher dem Zufall geschuldet, dass es den Einsatz dieses Dienstleisters getroffen hat. Betroffen sind alle Empfänger personenbezogener Daten in Drittländern. Es spielt auch keine Rolle ob die Server auf denen die Daten verarbeitet werden in Europa stehen. Viele Unternehmen in der EU unterliegen dem Irrtum, dass kein Zugriff amerikanischer Behörden droht, wenn der Server des jeweiligen US-Dienstleisters in Europa steht. Gerade große US-Firmen wie Google, Amazon und Microsoft werben gerne damit, eine europäische Tochtergesellschaft mit Serverstandort in Europa zu haben, und erwecken damit den irreführenden Eindruck, dass damit die Problematik gelöst wäre.
Ein Serverstandort in der EU schützt jedoch nicht vor US-Gesetzen: Der CLOUD Act ermächtigt US-Behörden auch auf Daten zuzugreifen, die US-amerikanische Dienstleister und deren Tochtergesellschaften außerhalb der USA speichern – selbst, wenn dies einen Konflikt mit dem nationalen Recht vor Ort darstellt.
Anleitung zur Prüfung Ihrer Datentransfers
Vor diesem Hintergrund möchten wir Unternehmen eine umfangreiche Schritt-für-Schritt Anleitung anbieten, die sich an den Empfehlungen des Europäischen Datenschutzausschusses (EDSA) orientieren. Für den Abschluss neuer Verträge fangen Sie direkt bei Schritt 2 an:
Prüfung Ihrer Drittlandstransfers
- Ermitteln Sie zunächst alle internationalen Datentransfers
Dazu sollte ein Blick in Ihr Verzeichnis der Verarbeitungstätigkeiten genügen – dort müssten alle relevanten Informationen zu finden sein. Wenn kein solches Verzeichnis besteht oder dieses die relevanten Informationen nicht enthält, haben Sie direkt das nächste To-Do gefunden, da es sich dabei um ein gesetzliches Erfordernis handelt. Hinweis: Beachten Sie dabei, dass es nicht auf den Serverstandort ankommt! - Standardvertragsklauseln zur Prüfung heraussuchen
Wichtig: Vielen Verantwortlichen ist der Abschluss der Klauseln oft gar nicht bewusst. Bei Onlinediensten werden diese meist mit dem Hauptvertrag und/oder dem Auftragsverarbeitungsvertrag zusammen abgeschlossen. - Prüfung ob die Klauseln vom Datenempfänger im Drittland einhaltbar sind
Es muss festgestellt werden, inwieweit das vermeintlich angemessene Datenschutzniveau beim Empfänger in rechtlicher oder tatsächlicher Hinsicht beeinträchtigt werden kann. Hier wird in der Tat von Ihnen verlangt, sich im Detail mit den örtlichen Gesetzen und Gegebenheiten für Ihren Kooperationspartner oder Dienstleister in einem Drittland auseinanderzusetzen. Sie haben festzustellen, welche Beeinträchtigungen des Datenschutzniveaus möglich sind und ob diese für die betroffene Verarbeitung unter Berücksichtigung aller Umstände relevant sind. Im Fall der USA bietet sich hierzu eine Abfrage beim Datenempfänger an, ob er von den relevanten Gesetzen betroffen ist. - Konsequenzen aus dem Ergebnis ziehen
In einem folgenden Schritt muss nun überlegt werden, inwieweit gefundenen Beeinträchtigungen des Datenschutzniveaus durch geeignete Maßnahmen technischer, tatsächlicher oder vertraglicher Art begegnet werden kann. Diese Maßnahmen sind zu ergreifen. - Regelmäßige Überprüfung
Zuletzt ist die Einhaltung der eigenen sowie vereinbarten Maßnahmen zu kontrollieren, und zwar – wie üblich – nicht nur einmalig, sondern regelmäßig während der gesamten Laufzeit. Das Gleiche gilt für die rechtlichen und tatsächlichen Umstände im Drittland, denen mit den zusätzlichen Maßnahmen begegnet wird. Ändern sich diese Umstände, muss reagiert werden.
Wenn eine Prüfung nicht stattgefunden hat, nicht möglich ist oder zum Ergebnis kommt, dass das Datenschutzniveau nicht einhaltbar ist, ist die Verarbeitung zu unterlassen. Bei schon bestehenden Verträgen kommt bei Nichteinhaltbarkeit durch den Empfänger ein Sonderkündigungsrecht in Betracht.
Im Fall der Untersagung von Mailchimp war der Grund, dass schon der grundlegende dritte Schritt unserer Übersicht, die notwendige Überprüfung, ob der Transfer grundsätzlich zulässig ist, nicht durchgeführt wurde. Wäre Sie durchgeführt worden, wäre aller Voraussicht nach ein negatives Ergebnis herausgekommen. Darauf lassen auch die Ausführungen des BayLDA schließen. Für Mailchimp-Nutzer heißt das konkret, dass es dringend empfehlenswert ist, sich zu überlegen ob nicht eine datenschutzkonforme europäische Alternative besser wäre.
Die enorme Tragweite der Entscheidung
Der Bescheid des BayLDA wirkt erst mal unscheinbar. Nur ein Newsletter-Tool und unmittelbare Wirkung nur gegenüber einem Verantwortlichen und statt Bußgeld nur eine Untersagung. Dahinter verbirgt sich aber datenschutzrechtlicher Sprengstoff. Denn weitere Überprüfungen werden folgen. Den Behörden liegen schon jede Menge Beschwerden vor, denen sie nachgehen müssen und es werden sicher immer mehr folgen.
Dass nur eine Untersagung des Einsatzes herausgekommen ist und kein Bußgeld verhängt wurde dürfte auch damit zusammenhängen, dass man zunächst milde Mittel zur Durchsetzung des geltenden Datenschutzrechts wählt. Ziel der Aufsichtsbehörden ist nicht das Strafen, sondern das Erreichen eines guten Datenschutzniveaus in ihrem Aufgabenbereich. Wenn die Problematik aber nach einer gewissen Zeit immer noch regelmäßig auftritt, Verantwortliche also trotz der bekannten Anforderungen nicht tätig werden, dürften Bußgelder die unweigerliche Folge sein.
Wie Sie jetzt Rechtssicherheit für sich schaffen können
Unserer Erfahrung nach sind viele Unternehmen noch nicht gut aufgestellt was den rechtskonformen Drittlandstransfer angeht. Mangels echter Alternativen oder auch mangels Kenntnis der Problematik wird immer noch auf Dienstleister aus Drittländern gesetzt, deren Einsatz nicht konform möglich ist oder zusätzliche Maßnahmen, die den Einsatz konform machen würden, wurden nicht getroffen.
Hier sei wegen seiner Relevanz als Beispiel der US-Dienstleister Microsoft mit seiner Office-Suite Microsoft 365 (ehemals: Office 365) genannt. Viele Verantwortliche setzen auf diese allgegenwärtigen Microsoftlösungen, ohne sich überhaupt Gedanken um die datenschutzrechtliche Umsetzung zu machen.
Noch tiefer greift das Problem, wenn ein Datentransfer nicht nur aus Gründen der Drittlandtransferproblematik nicht konform ist, sondern schon in seinen Grundsätzen nicht konform geregelt ist. Gerade im Fall der Auftragsverarbeitung werden notwendige Verträge häufig gar nicht oder nur ungeprüft geschlossen – die Risiken sind den Verantwortlichen oft nicht bewusst. Im Rahmen der Überprüfungen nach den Beschwerden zum Drittlandstransfer werden auch solche bußgeldbewehrten Versäumnisse aufgedeckt werden.
Eine dokumentierte Prüfung von Verträgen und Klauseln zum Datentransfer bedeutet natürlich oft den Verzicht auf favorisierte Dienstleister. Im Gegenzug gewinnt man aber an Rechtskonformität – heute ein oft wichtiger Wettbewerbsfaktor. Die Firma hinter Mailchimp wird das jetzt wahrscheinlich nicht zu knapp zu spüren bekommen. Und regelmäßig lässt sich mit Dienstleistern verhandeln und durch Änderungen der vorgelegten Verträge oder durch das Vereinbaren von zusätzlichen Maßnahmen eine konforme Lösung finden. Wenn Sie dabei Unterstützung suchen, beraten Sie unsere erfahrenen Experten gerne.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!