Die bayerische Aufsichtsbehörde hat im Fall eines Unternehmens entschieden, dass die Übermittlung von E-Mail-Adressen an die E-Mail-Plattform Mailchimp unzulässig sei, vgl. 1, 2.
Dem Vorgang lag die Beschwerde einer betroffenen Privatperson zugrunden, welche sich gegen den Versand von Newslettern mit dem Dienst Mailchimp richtete. Nach dem Ende von Privacy Shield bestehen keine ausreichenden Grundlagen, um ohne Zustimmung des Betroffenen personenbezogene Daten wie die E-Mail-Adresse an ein amerikanisches Unternehmen zu übergeben, so die Argumentation des Beschwerdeführers.
Die Behörde (BayLDA) schrieb hierzu „Nach unserer Bewertung war der Einsatz von Mailchimp […] – und somit auch die Übermittlung Ihrer E-Mail-Adresse an Mailchimp […] – datenschutzrechtlich unzulässig“.
Auch auf der Seite des EDSA kann man mittlerweile eine Veröffentlichung dazu finden https://edpb.europa.eu/news/national-news/2021/bavarian-dpa-baylda-calls-german-company-cease-use-mailchimp-tool_de Dort steht: Nach unserer Einschätzung war die Verwendung von Mailchimp durch …. in den beiden genannten Fällen – und damit auch die Übermittlung Ihrer E-Mail-Adresse an Mailchimp, die Gegenstand Ihrer Beschwerde ist – datenschutzrechtlich rechtswidrig, weil .. .. hatte nicht geprüft, ob zusätzlich zu den EU-Standard-Datenschutzklauseln (die verwendet wurden) „zusätzliche Maßnahmen“ im Sinne des EuGH-Beschlusses „Schrems II“ (EuGH, Urteil vom 16.7.2020, C-311 / 18) waren notwendig, um die Übermittlung mit den Datenschutzanforderungen in Einklang zu bringen, und im vorliegenden Fall gab es zumindest Hinweise darauf, dass Mailchimp grundsätzlich einem Datenzugriff durch US-Geheimdienste auf der Grundlage der US-Rechtsvorschrift FISA702 ( 50 USC § 1881) als möglicher sogenannter Electronic Communications Service Provider und damit die Übertragung nur dann rechtmäßig, wenn solche zusätzlichen Maßnahmen (wenn möglich und ausreichend zur Behebung des Problems) ergriffen würden. „ (Übersetzung durch Google Translation)
Einen lesenswerten Artikel zu dem Thema hat Dr. Schwenke geschrieben, der auch ein Beispiel für die Dokumentation der Prüfung des Einsatzes von Mailchimp enthält. Wer Mailchimp trotz aller Risiken weiter einsetzen möchte, sollte zumindest analog dem dort Beschriebenen verfahren.
