Dataskyddsmyndigheten i Bayern, Das offizielle Informations- und Serviceangebot des Bayerischen Landesamts für Datenschutzaufsicht (“BayLDA”), har förelagt en modetidning att upphöra med att använda den amerikanska molntjänsten Mailchimp för marknadsföring via e-post. Bakgrunden till beslutet är att användning av Mailchimp innebär en otillåten överföring av personuppgifter till USA i strid med dataskyddsförordningen (“GDPR”). Beslutet, som fattades den 15 mars 2021, är en direkt följd av EU-domstolens dom i Schrems II-målet.
Mailchimp är en populär molntjänst för utskick av nyhetsbrev, marknadsföring m.m. som används av företag och offentliga verksamheter. Användning av Mailchimp innebär att personuppgifter, som exempelvis mottagarnas e-postadresser, överförs till USA (läs mer om tredjelandsöverföringar här).
BayLDA inledde in utredning av modetidningens användning av Mailchimp efter att en registrerad lämnat in ett klagomål om att modetidningen olagligen överförde personuppgifter till USA. Under utredningen kom det fram att modetidningen baserat överföringen på EU-kommissionens standardavtalsklausuler för tredjelandsöverföringar (“SCC”).
BayLDA ansåg att det var sannolikt att Mailchimp, i egenskap av amerikansk molntjänstleverantör, omfattades av den amerikanska övervakningslagstiftningen som pekades ut i Schrems II-målet, särskilt FISA 702. Vidare konstaterade BayLDA att överföringen endast kunde vara tillåten genom att modetidningen vidtog kompletterande åtgärder. Enligt BayLDA:s uppfattning hade modetidningen varken bedömt riskerna med överföringen eller vidtagit kompletterande åtgärder varför BayLDA ansåg att modetidningens överföring av personuppgifter till USA i samband med användning av Mailchimp var otillåten.
BayLDA:s argumentation i beslutet följer resonemanget i EDPB:s rekommendationer om åtgärder som komplement till överföringsverktyg för att säkerställa överensstämmelsen med EU-nivån för skydd av personuppgifter. Rekommendationerna har tagits fram till följd av Schrems II-målet och är fortfarande på remiss.
BayLDA bortsåg emellertid från att utfärda böter mot modetidningen då överträdelsen ansågs vara av mindre natur på grund av följande skäl:
- BayLDA accepterade modetidningens argument att den slutliga versionen av EDPB:s rekommendationer ännu inte har fastställts.
- Modetidningens användning av Mailchimps tjänster var begränsad till två utskick.
- Personuppgifterna som överfördes (e-postadresser) var inte känsliga.
- Modetidningen samarbetade med BayLDA och åtog sig att omedelbart sluta använda Mailchimp.