print logo
Mit dem Schrems II Urteil hat der EuGH den Angemessenheitsbeschluss der EU-Kommission für die USA – das US-Privacy-Shield – aufgehoben.
15.06.21 | Interessanter Artikel bei absolit
BayLDA untersagt Einsatz von Mailchimp © Freepik
 

Was war noch einmal Schrems II?


Das Schrems II Urteil des EuGHs vom 16. Juli 2020 (Az. C-311/18) hat die Übermittlung von personenbezogene Daten in die USA oder in andere Drittländer grundlegend geändert. Mit der Entscheidung hat der EuGH das US-Privacy-Shield aufgehoben.


Werden personenbezogene Daten –wie etwa E-Mail-Adresse – an ein Unternehmen übermittelt, welches außerhalb der EU sitzt, müssen zusätzliche Anforderungen beachtet werden. Idealerweise hat das Unternehmen seinen Sitz in einem Drittstaat, für den die EU-Kommission einen Angemessenheitsbeschluss verabschiedet hat, der besagt, dass das Datenschutzniveau in diesem Drittstaat mit dem in der EU vergleichbar ist. Dies ist etwa für die Schweiz der Fall.


Für die USA gilt dies allerdings nicht. Diese gelten datenschutzrechtlich als unsicherer Drittstaat. Um gleichwohl in der Praxis eine Datenübermittlung an US-Unternehmen einfach zu ermöglichen, wurde das Privacy-Shield eingesetzt. An US-Unternehmen, die sich unter diesem Privacy Shield zertifizierten, konnten in der Vergangenheit ohne weitere Anforderungen personenbezogene Daten übermittelt werden.


Mit Schrems II hat der EuGH den Beschluss der EU-Kommission aufgehoben. Fortan konnten Datenübermittlung an US-Unternehmen nicht mehr einfach hierauf gestützt werden.


Als Alternative werden seit dem Standarddatenschutzklauseln eingesetzt. Dabei handelt es sich um eine Art datenschutzrechtlicher Musterverträge in bisher drei verschiedenen Varianten. Eine davon muss mit dem betreffenden US-Unternehmen (z.B. Mailchimp) abgeschlossen werden. Allerdings hat der EuGH auch entschieden, dass der bloße Abschluss nicht ausreichend ist. Vielmehr müssen zusätzliche Maßnahmen geprüft werden, um einen Datentransfer datenschutzkonform zu gestalten. Welche Maßnahmen das sein sollen, wird seit dem heiß diskutiert, ohne dass es bisher eine klare Antwort darauf gibt.


Kein ungeprüfter Einsatz von Mailchimp


Auf der Schrems II-Entscheidung aufbauend hatte nun die Datenschutzbehörde in Bayern den Einsatz von Mailchimp untersagt. Ein Münchener Unternehmen hatte den bekannten E-Mail-Marketing-Dienst für eigene E-Mail-Marketing-Kampagnen eingesetzt. Hierüber hatten sich ein Newsletter-Empfänger bei der Aufsichtsbehörde beschwert.


Die Aufsichtsbehörde (BayLDA v. 15.03.2021 – LDA-1085.1-12159/20-IDV) bemängelte daraufhin, dass das Unternehmen das E-Mail-Marketing-Tool ohne weitere Prüfungen eingesetzt habe. Zwar wurden die erforderlichen Standarddatenschutzklauseln abgeschlossen. Allerdings habe das Unternehmen nicht geprüft, ob zusätzliche Maßnahmen im Sinne der Schrems II-Entscheidung notwendig seien. Dies sei insbesondere deswegen angebracht, weil zumindest Anhaltspunkte dafür bestünden, dass bei Mailchimp grundsätzlich Datenzugriffe von US-Nachrichtendiensten möglich sind.


Daher wurde der weitere (ungeprüfte) Einsatz von Mailchimp untersagt. Die Behörde beließ es bei der Untersagungsanordnung und verzichtete ausdrücklich auf ein Bußgeld.


 


Erfahren Sie im Blog, welche Konsequenzen dies für die Praxis hat.