Mailchimp, Schrems II: was in Deutschland passiert ist
Der bayerische Datenschutzbeauftragte hat sich gegen Mailchimp und das Schremps-II-Urteil zur Datenübermittlung in die USA ausgesprochen.
Dies ist keine Strafe, noch eine Bestrafung, sondern ein Präzedenzfall, der künftig zahlreiche Anknüpfungspunkte für weitere Anträge im europäischen Kontext geben könnte. Aber worum geht es genau? Und warum könnte dieses Urteil so wichtig sein?
Wir sprechen über Mailchimp, eines der bekanntesten Massen-E-Mail-Tools auf dem Markt, z der Übermittlung personenbezogener Daten außerhalb des europäischen Hoheitsgebietsspeziell in den Vereinigten Staaten von Amerika. Ein illegitimes Verfahren, selbst wenn es auf bestimmten Vertragsklauseln beruht – insbesondere, wenn diese nicht weiterverfolgt werden weitere Maßnahmen. Und gerade diese „weiteren Maßnahmen“, nie wirklich konkretisiert, sorgen für Diskussionen.
Schrems-II-Urteil: Was ist passiert?
La BayLDA, oder die bayerische Datenschutzbehörde, der bayerische Datenschutzgarant, hat kürzlich gegen Mailchimp entschieden, weil es den Hinweisen aus dem Schrems-II-Urteil zur Übermittlung von Daten in die Vereinigten Staaten von Amerika nicht nachgekommen ist.
Die Entscheidung stellt einen sehr wichtigen Präzedenzfall dar im Bereich des Digitalrechts. Es gab zwar keine Geld- oder Gefängnisstrafen, aber dies ist der erste Post-Schrems-II-Fall, der einer förmlichen Entscheidung der Behörden unterliegt. Aber gehen wir der Reihe nach vor.
Was ist Schrems II, das Urteil, das den Privacy Shield außer Kraft setzt?
Der EuGH (Gerichtshof der EU) sandte 2015 ein Ersuchen um Klärung des Datenschutzes durch den aktivistischen Anwalt Schrems. Ziel war es, die irische Datenschutzaufsicht aufzufordern, Facebook zu zwingen, Daten von der EU in die USA zu übertragen, basierend auf dem Standardvertragsklauseln.
Wir sprechen über den Zeitraum vor der Veröffentlichung der DSGVO und aller Klauseln zur Datenverarbeitung. Das Urteil kam am 16. Juli 2020 und Schrems II hat den Privacy Shield als Mechanismus für Datenübermittlungen aus der EU in die USA für ungültig erklärt und US-Unternehmen wichtige Orientierungshilfen in Bezug auf US-Daten gegeben.
Kurz gesagt, um die Überstellung in die USA zu gewähren, war es notwendig Gewährleistung eines angemessenen Datenschutzniveaus. Wie geht's? Große Unternehmen wie Google und Microsoft verfügen über Rechenzentren, die strategisch auf der ganzen Welt verteilt sind. Die Gesetze zu personenbezogenen Daten in den USA unterscheiden sich jedoch von denen in der EU. Mit anderen Worten: Der Sicherheitsdienst NSA kann jederzeit darauf zugreifen.
Dafür sind die Ausnahmen von der DSGVO da: Es geht darum von der Europäischen Kommission und der Aufsichtsbehörde genehmigte Klauseln, die auf Antrag des Unternehmens genehmigt werden, und haben nur für die in der Verordnung beschriebene Tätigkeit besonderen Wert. Unter den verschiedenen Maschinen zum Datenschutz gibt es auch die der SCC oder der Standardvertragsklauseln. In der Praxis müssen sich sowohl das in Europa ansässige als auch das ausländische Unternehmen auf einen bestimmten Vertrag einigen, der zuvor von der EU genehmigt werden muss. Der SCC muss dann unterzeichnet werden, damit der Datenaustausch wirksam wird.
Doch das Schrems-II-Urteil hat es irgendwie die normalerweise verwendeten Standardverfahren verkleinert und „zusätzliche Maßnahmen“ auferlegt“. Die Unbestimmtheit dieser Angelegenheit hat viele Unternehmen dazu veranlasst, den Knoten zu vermeiden und ihn einfach zu umgehen, um ihn zu ignorieren. Allerdings müssen die Behörden handeln und vielleicht kann mit dem BayLDA-Urteil ein neuer Schritt in Richtung Einigung erreicht werden.
Was ist in Bayern passiert? Was ist mit den „weiteren Maßnahmen“?
Ein bayerischer Bürger, der über Mailchimp eine Mailingliste für eine lokale Zeitschrift erhalten hatte, beschloss, eine Beschwerde bei der zuständigen Behörde einzureichen. Diese Behörde weist darauf hin, dass die Übermittlung von EU-Daten in die USA nicht immer rechtswidrig ist, jedoch dann, wenn die Vorschriften der DSGVO in der Auslegung des Europäischen Gerichtshofs nicht eingehalten werden. Kurz gesagt: Mailchimp hat diese Sache gemacht, aber es wird nicht gesagt, dass die Datenübertragung in die USA betrügerisch war. Zuerst müssen Sie es demonstrieren, indem Sie die verwendeten Transfermethoden vertiefen.
Mailchimp, ein amerikanisches Unternehmen, hat seine eigene mitgebracht Interpretation von „zusätzlichen Maßnahmen“ worüber wir vorhin gesprochen haben. Davon aber von Schrems II, eine endgültige Version wurde noch nicht veröffentlicht.
Obwohl die Aufsichtsbehörde den Antrag von Mailchimp in gewisser Weise unterstützt hat, hätte das Unternehmen zumindest das Problem der Übermittlung von Daten auf US-Territorium angehen und mindestens eine DSFA durchführen müssen, um das Risiko des Vorgangs zu bewerten. Es ist unnötig zu erwähnen, dass diese Bewertung nie vorgenommen wurde.
Gerade weil diese „zusätzlichen Maßnahmen“ nicht vollständig veröffentlicht wurden, hat die Behörde beschlossen, Mailchimp nicht zu sanktionieren. Und der Datenverantwortliche auch nicht.
Warum ist das eine so wichtige Entscheidung?
Die Entscheidung von Mailchimp ist von grundlegender Bedeutung, denn obwohl sie auf den ersten Blick wie der Vorläufer für eine Menge betrügerischer Handlungen erscheinen mag, ist sie stattdessen ein erster Schritt in Richtung der Anwendung des Schrems-II-Satzes, der bisher Staub angesetzt hat.
Welche Art von Bußgeld wurde verhängt?
Wie gesagt, Mailchimp hat keinerlei Bußgeld erhalten. Die Behörde stellte jedoch fest, dass, obwohl die Daten mit unzulässigen Methoden übermittelt wurden, die berechtigte Person – also der freie Bürger – keine Befugnis hatte, die Sanktion zu beantragen.
Kurz gesagt, eine Privatperson In einem Fall wie Mailchimp kann es keine Instanz verschieben. Schließlich geht es in diesem Fall nicht um die Rechte und Freiheiten des Betroffenen, sondern um die Durchsetzung des öffentlichen Interesses an der Rechtsdurchsetzung.
Was sind die möglichen Zukunftsszenarien dieser Entscheidung?
Es ist schwer zu sagen, was die tatsächlichen Folgen dieses Urteils sein werden, das im Moment nur als gültiger Präzedenzfall angesehen werden kann. Tatsächlich könnte es vorkommen, dass andere Behörden zu rechtswidrigen Entscheidungen neigen, die nicht mit Geldstrafen einhergehen. Oder die viel erhoffte Entwicklung dieser „zusätzlichen Maßnahmen“ könnte eintreten.
Sicher ist nur, dass Mailchimp trotz des Bußgelds einen schlechten Eindruck bei seinen Kunden hinterlassen hat und sein Image verloren hat.
Das könnte Sie auch interessieren:
„Der Patient im Mittelpunkt“: eine große Hoffnung und eine Sitzung im Senat
Das Thema der Bedeutung von Innovationen bei Medizinprodukten für die europäische Gesundheitsversorgung wird am 15. Mai in Rom von Experten und Politikern beleuchtet
Vier Länder, ein riesiger Ozean: der Fall CMAR
Es handelt sich um den Meereskorridor des östlichen tropischen Pazifiks: Panama, Ecuador, Kolumbien und Costa Rica verbünden sich zum Schutz der Meere und Meeresarten ...
Lausanne, der Umweltverschmutzung auf der Spur: die Geschichte einer Verbrennungsanlage
Ein Team von Wissenschaftlern hat die Ereignisse um die Müllverbrennungsanlage Vallon und die unsichtbare Kontamination rekonstruiert, die den Kanton Waadt schockierte
Wie die Umgebung die Eigenschaften des Käses bestimmt
Die Verkostung zeigt, wie Klima und Futterpflanzen bei unveränderten Produktionsregeln unterschiedliche organoleptische Noten beeinflussen
//