Dienstag, 29. Juni 2021

Internationale Datentransfers - Dokumentieren statt abschaffen! Am Beispiel Mailchimp

Bereits am Datenschutz-Dienstag letzte Woche haben wir  über die derzeit laufende bundesweite Überprüfung internationaler Datentransfers am Beispiel Microsoft 365 berichtet. Heute möchten wir nochmal darauf eingehen, dass das radikale Abschaffen aller internationalen Dienste weder praktikabel noch notwendig ist. In vielen Fällen kann die Zusammenarbeit mit dem bewährten Partner fortgeführt werden - wenn die Datenverarbeitungsprozesse rechtskonform gestaltet und vollständig dokumentiert sind.


Werbeversprechen: "Mit Mailchimp ist DSGVO‑Konformität einfach" - Laut BayLDA eher nein?!
Werbeversprechen: "Mit Mailchimp ist DSGVO‑Konformität einfach" - Laut BayLDA eher nein?!

Im Folgenden erläutern wir nochmals, worauf es bei der Gestaltung und Dokumentation internationaler Datentransfers ankommt:


Vorsicht vor irreführender Werbung - nicht alles, was "DSGVO-konform" heißt ist auch tatsächlich rechtssicher!

Viele Anbieter von Software oder Clouddiensten werben auf ihren Websites mit Schlagworten wie "DSGVO-konform" oder "Datenschutz". Dabei werden zum Teil auch Dokumente für die Kunden zum Download bereitgestellt, mit denen man die Anforderungen an den Datenschutz angeblich schnell und einfach erfüllen können soll. Diese Dokumente enthalten oft u.a. die Standardvertragsklauseln der europäischen Kommission. 

Standardvertragsklauseln allein sind nicht genug!

Die bayrische Datenschutzaufsicht BayLDA hat im März 2021 einem Unternehmen die Nutzung des Newsletter-Services Mailchimp mit sofortiger Wirkung untersagt. Nicht unbedingt, weil Mailchimp ein US-Unternehmen ist. Auch nicht, weil die Zusammenarbeit zwischen dem bayrischen Unternehmen und Mailchimp nicht auf den EU-Standardvertragsklauseln beruht hätte. Sondern weil das bayrische Unternehmen es versäumt hatte, zu überprüfen (und zu dokumentieren) ob die Standardvertragsklauseln ausreichen, um ein der EU vergleichbares Datenschutzniveau sicherzustellen.


Werbeversprechen: Mailchimp Rechtliche Anforderungen genügen der EU-DSGVO nicht!
Werbeversprechen: Rechtliche Anforderungen von Mailchimp genügen der EU-DSGVO nicht!

Was empfiehlt das yourIT Datenschutz-Team?

Wir gehen zunächst einmal davon aus, dass es aus unternehmerischer Sicht für Sie am besten ist, mit ihrem bisherigen Anbieter weiterhin zusammen zu arbeiten. Unser Ziel ist es deshalb, diese Zusammenarbeit rechtskonform zu gestalten. Die Empfehlung, den Anbieter zu wechseln, ist für uns das letzte Mittel wenn alle anderen Wege versperrt sind.

Die erste Frage: Warum dieser Anbieter?

Sie haben sich für diesen Anbieter entschieden - mit guten Gründen. Warum? Der erste Schritt der Dokumentation ist es, zu begründen, warum alternativ kein europäischer Anbieter in Frage kam.

Die zweite Frage: Wie läuft der Geschäftsprozess ab?

Wir dokumentieren sehr präzise, wie Ihr individueller Geschäftsprozess abläuft - sehr viel präziser, als in den meisten Verzeichnissen von Verarbeitungstätigkeiten (VvV) üblich.

Der dritte Schritt: Was stellt der Anbieter zur Verfügung?

Auftragsverarbeitungsverträge mit großen Software- oder Cloudanbietern werden in der Praxis nicht individuell verhandelt. Die Anbieter - in unserem Beispiel oben Mailchimp - stellen die Vertragsdokumente online zum Download zur Verfügung. Verhandlungen über Änderungen sind in aller Regel nicht möglich.

Der vierte Schritt: Sind die Maßnahmen des Anbieters ausreichend?

Jetzt kommen wir zu dem Punkt, den die Datenschutzaufsicht bei dem bayrischen Unternehmen bemängelt hatte: die Prüfung (und Dokumentation), ob die von Mailchimp angebotenen Maßnahmen zum Datenschutz für die konkrete Datenverarbeitung des Unternehmens ausreichend sind.

Nach Meinung des BayLDA unternimmt Mailchimp zu wenig, um die DSGVO einzuhalten
Nach Meinung des BayLDA unternimmt Mailchimp zu wenig, um die DSGVO einzuhalten


Der fünfte Schritt: Und wenn nicht? 

Stellt sich heraus, dass die angebotenen Maßnahmen nicht ausreichen, müssen Zusatzmaßnahmen getroffen werden, um ein dem Standard der EU-DSGVO entsprechendes Datenschutzniveau zu erreichen. Viele große US-Anbieter, u.a. Microsoft, haben bereits Zusatzmaßnahmen zu den Standardvertragsklauseln implementiert. Wir prüfen nun, ob diese für Ihre konkrete Verarbeitung ausreichen und empfehlen Ihnen bei Bedarf eigene, ergänzende Maßnahmen.

Der Abschluss: Eine vollständige Dokumentation

Sie haben nun den Datenverarbeitungsprozess vollständig dokumentiert:

  • welche Daten für welchen Zweck verarbeitet werden;
  • welches Risiko für die Betroffenen besteht;
  • was getan wurde, um dieses Risiko zu minimieren;
  • warum Sie der Überzeugung sind, dass diese Maßnahmen ausreichend sind, um ein der EU-DSGVO vergleichbares Datenschutzniveau zu erreichen.
Damit ist sichergestellt, dass Ihre Datentransfers nicht aus den selben Gründen untersagt werden, wie es dem bayrischen Unternehmen mit Mailchimp passiert ist - wegen unvollständiger Überprüfung und Dokumentation.

Datenschutz aktuell - die kostenlose yourIT Webinar-Reihe

Näheres zur korrekten Überprüfung und Dokumentation internationaler Datentransfers erfahren Sie in unserer Webinar-Reihe Datenschutz aktuell. Die nächsten Termine am

01.07.2021 um 13:30-14:30 Uhr und 08.07.2021 um 11:00-12:00 Uhr

befassen sich mit den populären Microsoft365 Paketen.

Hier geht es zur Anmeldung


Das könnte Sie auch interessieren:


Datenschutz-Dienstag, 13. Juli 2021
In der Cloud ist alles besser? Eine Geschichte über E-Mail-Server nach dem HAFNIUM-Angriff

Datenschutz-Dienstag, 06. Juli 2021
Internationale Datentransfers - Das How-To

Datenschutz-Dienstag, 29. Juni 2021
Internationale Datentransfers - Dokumentieren statt abschaffen! Am Beispiel Mailchimp

Datenschutz-Dienstag, 22. Juni 2021
Microsoft 365 rechtskonform einsetzen - auf die Konfiguration kommt es an!

Datenschutz-Dienstag, 15. Juni 2021
Datentransfer in die USA – eine Dauerbaustelle? Oder ein akuter Flächenbrand?!

Freitag, 4. Juni 2021
Achtung Kontrolle - Landesdatenschutzbeauftragte verschicken Fragebögen zu internationalen Datentransfers

Donnerstag, 8. April 2021
Office 365: Was sagt der Datenschutz?

Montag, 3. August 2020
Was sagen die Aufsichtsbehörden zum Aus für das Privacy Shield? Ein erster Überblick...

Samstag, 18. Juli 2020
Unternehmer-Tipps nach dem Aus für das "Privacy Shield" zwischen der EU und den USA

Freitag, 14. Juni 2019
EU-DSGVO - Das sollten Unternehmen bei der Nutzung von Public-Cloud-Diensten aus den USA beachten

Donnerstag, 9. Februar 2017
Was ist der Privacy Shield?