Widerspricht Mailchimp-Newsletter der DSGVO?

Widerspricht Mailchimp-Newsletter der DSGVO?

Widerspricht Mailchimp-Newsletter der DSGVO? 1920 1152 Stock // Gehrer Rechtsanwälte

Produkte von Google, Facebook, Mailchimp und Co. werden von einer Vielzahl von Unternehmen in Österreich genutzt, um ihre Kunden besser zu erreichen, Analysen durchzuführen oder am Markt präsenter zu sein. Diese Produkte laufern allerdings vielfach auf Servern außerhalb der EU, zB in den USA, an welche personenbezogene Daten europäischer Nutzer weitergeleitet werden. Eine Datenübertragung in Drittstaaten ist allerdings nach der DSGVO nur unter bestimmten Voraussetzungen zulässig, um zu gewährleisten, dass das europäische Datenschutzniveau im Sinne der DSGVO durch einen Datenexport in Drittstaaten nicht untergraben wird.
Bis Mitte Juli 2020 wurde beispielsweise ein Datentransfer in die USA von den meisten Anbietern mit einer Zertifizierung nach dem EU-US-Privacy Shield Durchführungsbeschluss der EU-Kommission (Privacy Shield) gerechtfertigt, welchen die EU mit den USA ausverhandelt hatte. Dieser Beschluss wurde jedoch am 16.7.2020 vom Europäischen Gerichtshof (EuGH) für ungültig erklärt.
Auslöser für die Entscheidung des EuGH war eine Beschwerde des Österreichers Maximillian Schrems gegen die Facebook Ireland Limited. Die Entscheidung des EuGH hat zu großer Verunsicherung bzgl. des Datentransfers in Drittstaaten geführt und wurde zeitweise sogar von einem Kollaps des internationalen Datenaustausches gewarnt. Der Kollaps ist jedoch bislang ausgeblieben, weil viele international tätige Unternehmen rasch reagiert und die Datenübermittlung auf Standardvertragsklauseln der EU-Kommission gestützt haben.
Eine Entscheidung des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) zum Newsletter-Tool Mailchimp hat nun wieder für Aufregung gesorgt. Eine Privatperson hat nach der Entscheidung des EuGH Beschwerde bei der BayLDA gegen ein Unternehmen eingebracht, das dessen E-Mail-Adresse im Rahmen der Verwendung des newslewtter-tools an Mailchimp weitergegeben habe. Durch diese Weitergabe sei es zu einer unzulässigen Datenübermittlung in die USA gekommen. Das BayLDA gab der Beschwerde mit der Begründung Folge, dass das Unternehmen prüfen hätte müssen, ob für die Datenübermittlung der personenbezogenen Daten an Mailchimp zusätzlich zu den Standardvertragsklauseln noch zusätzliche Maßnahmen notwendig sind, um die Übermittlung datenschutzkonform zu gestalten. Dies sei nicht geschehen.
Die Entscheidungen des EuGH und BayLDA zeigen deutlich, dass es für Unternehmen wichtig ist, die von ihnen eingesetzten Tools und Anbieter regelmäßig auf Konformität mit der DSGVO zu überprüfen oder überprüfen zu lassen.
In Österreich ist mit dem Verein NOYB, in dem Maximilian Schrems Ehrenvorsitzender ist, eine Organisation aktiv, die gezielt Datenschutzbeschwerden gegen Unternehmen einbringt bzw. diese unterstützt, um gegen aus ihrer Sicht vorliegende Datenschutzverstöße vorzugehen. Der Verein hat im Mai 2021 ein neues Projekt veröffentlicht, in dem er aktiv gegen rechtswidrige Cookie-Banner vorgehen will. In diesem Zusammenhang seien in einer ersten Welle 500 Beschwerden an Unternehmen verschickt worden.