Mit dem Schrems II Urteil hat der EuGH den Angemessenheitsbeschluss der EU-Kommission für die USA – das US-Privacy-Shield – aufgehoben. Seit dem wird der Datenaustausch mit US-Dienstleistern in der Praxis auf sogenannten EU-Standarddatenschutzklauseln gestützt. Die Bayerische Datenaufsicht hat nun deutlich gemacht, dass Unternehmen es sich dabei nicht zu einfach machen dürfen.
Was war noch einmal Schrems II?
Das Schrems II Urteil des EuGHs vom 16. Juli 2020 (Az. C-311/18) hat die Übermittlung von personenbezogene Daten in die USA oder in andere Drittländer grundlegend geändert. Mit der Entscheidung hat der EuGH das US-Privacy-Shield aufgehoben.
Werden personenbezogene Daten –wie etwa E-Mail-Adresse – an ein Unternehmen übermittelt, welches außerhalb der EU sitzt, müssen zusätzliche Anforderungen beachtet werden. Idealerweise hat das Unternehmen seinen Sitz in einem Drittstaat, für den die EU-Kommission einen Angemessenheitsbeschluss verabschiedet hat, der besagt, dass das Datenschutzniveau in diesem Drittstaat mit dem in der EU vergleichbar ist. Dies ist etwa für die Schweiz der Fall.
Für die USA gilt dies allerdings nicht. Diese gelten datenschutzrechtlich als unsicherer Drittstaat. Um gleichwohl in der Praxis eine Datenübermittlung an US-Unternehmen einfach zu ermöglichen, wurde das Privacy-Shield eingesetzt. An US-Unternehmen, die sich unter diesem Privacy Shield zertifizierten, konnten in der Vergangenheit ohne weitere Anforderungen personenbezogene Daten übermittelt werden.
Mit Schrems II hat der EuGH den Beschluss der EU-Kommission aufgehoben. Fortan konnten Datenübermittlung an US-Unternehmen nicht mehr einfach hierauf gestützt werden.
Als Alternative werden seit dem Standarddatenschutzklauseln eingesetzt. Dabei handelt es sich um eine Art datenschutzrechtlicher Musterverträge in bisher drei verschiedenen Varianten. Eine davon muss mit dem betreffenden US-Unternehmen (z.B. Mailchimp) abgeschlossen werden. Allerdings hat der EuGH auch entschieden, dass der bloße Abschluss nicht ausreichend ist. Vielmehr müssen zusätzliche Maßnahmen geprüft werden, um einen Datentransfer datenschutzkonform zu gestalten. Welche Maßnahmen das sein sollen, wird seit dem heiß diskutiert, ohne dass es bisher eine klare Antwort darauf gibt.
Kein ungeprüfter Einsatz von Mailchimp
Auf der Schrems II-Entscheidung aufbauend hatte nun die Datenschutzbehörde in Bayern den Einsatz von Mailchimp untersagt. Ein Münchener Unternehmen hatte den bekannten E-Mail-Marketing-Dienst für eigene E-Mail-Marketing-Kampagnen eingesetzt. Hierüber hatten sich ein Newsletter-Empfänger bei der Aufsichtsbehörde beschwert.
Die Aufsichtsbehörde (BayLDA v. 15.03.2021 – LDA-1085.1-12159/20-IDV) bemängelte daraufhin, dass das Unternehmen das E-Mail-Marketing-Tool ohne weitere Prüfungen eingesetzt habe. Zwar wurden die erforderlichen Standarddatenschutzklauseln abgeschlossen. Allerdings habe das Unternehmen nicht geprüft, ob zusätzliche Maßnahmen im Sinne der Schrems II-Entscheidung notwendig seien. Dies sei insbesondere deswegen angebracht, weil zumindest Anhaltspunkte dafür bestünden, dass bei Mailchimp grundsätzlich Datenzugriffe von US-Nachrichtendiensten möglich sind.
Daher wurde der weitere (ungeprüfte) Einsatz von Mailchimp untersagt. Die Behörde beließ es bei der Untersagungsanordnung und verzichtete ausdrücklich auf ein Bußgeld.
Konsequenz für die Praxis
Die Behörde hat ganz auf der Linie des EuGH entschieden, dass der Einsatz von Mailchimp nicht grundsätzlich unzulässig sei. Die Untersagungsverfügung der Behörde betrifft also nur den konkreten Fall und führt nicht generell dazu, dass Mailchimp nicht eingesetzt werden darf.
Wichtig ist die dokumentierte Prüfung, ob zusätzliche Maßnahmen erforderlich seien. Im Rahmen dieser Bewertung kann es ganz entscheidend darauf ankommen, dass Alternativangebote geprüft wurden. Sodann ist zu dokumentieren, warum eine EU-Alternative zu Mailchimp nicht in Frage kommt.
Bei der Dokumentation ist zudem darauf einzugehen, warum Maßnahmen wie eine Pseudonymisierung oder der Einsatz von Verschlüsselungstechniken nicht zum Tragen kommen (oder doch?).
Unternehmen tun gut daran, sich nicht auf den bloßen Abschluss der Datenschutzklauseln zu beschränken. Derzeit kommt es zu abgestimmten und länderübergreifenden Kontrollen durch die Landesdatenschutzbehörden, inwieweit Schrems II in den Unternehmen umgesetzt wird. Oftmals wird es schon ausreichen, wenn vertretbar dokumentiert wurde, warum auf den Einsatz des US-Dienstleisters nicht verzichtet werden kann. Dies gilt insbesondere dann, wenn konkrete Anhaltspunkte für Zugriffe der Nachrichtendienste nicht bestehen.
Neue Standarddatenschutzklauseln
Im Übrigen besteht auch Handlungsbedarf hinsichtlich bereits abgeschlossener Standarddatenschutzklauseln. Am 4. Juni 2021 hat die EU-Kommission die lange erwartete Neufassung der Standarddatenschutzklauseln verabschiedet. In Klausel 14 werden dabei nun die Vorgaben des EuGH in die neuen Standarddatenschutzklauseln integriert, insbesondere zur verpflichtenden Daten-Transfer-Folgenabschätzung („Transfer Impact Asssessment“, kurz TIA).
Die neuen Klauseln ersetzen die bisherigen und folglich müssen Vertragspartner auf einen neuen Abschluss hinwirken.