Tyskland: Dataskyddsmyndighet förbjuder användning av Mailchimp på grund av Schrems II

Dataskyddsmyndigheten i Bayern, Das offizielle Informations- und Serviceangebot des Bayerischen Landesamts für Datenschutzaufsicht (“BayLDA”), har förelagt en modetidning att upphöra med att använda den amerikanska molntjänsten Mailchimp för marknadsföring via e-post. Bakgrunden till beslutet är att användning av Mailchimp innebär en otillåten överföring av personuppgifter till USA i strid med dataskyddsförordningen (“GDPR”). Beslutet, som fattades den 15 mars 2021, är en direkt följd av EU-domstolens dom i Schrems II-målet.

Mailchimp är en populär molntjänst för utskick av nyhetsbrev, marknadsföring m.m. som används av företag och offentliga verksamheter. Användning av Mailchimp innebär att personuppgifter, som exempelvis mottagarnas e-postadresser, överförs till USA (läs mer om tredjelandsöverföringar här).

BayLDA inledde in utredning av modetidningens användning av Mailchimp efter att en registrerad lämnat in ett klagomål om att modetidningen olagligen överförde personuppgifter till USA. Under utredningen kom det fram att modetidningen baserat överföringen på EU-kommissionens standardavtalsklausuler för tredjelandsöverföringar (“SCC”).

BayLDA ansåg att det var sannolikt att Mailchimp, i egenskap av amerikansk molntjänstleverantör, omfattades av den amerikanska övervakningslagstiftningen som pekades ut i Schrems II-målet, särskilt FISA 702. Vidare konstaterade BayLDA att överföringen endast kunde vara tillåten genom att modetidningen vidtog kompletterande åtgärder. Enligt BayLDA:s uppfattning hade modetidningen varken bedömt riskerna med överföringen eller vidtagit kompletterande åtgärder varför BayLDA ansåg att modetidningens överföring av personuppgifter till USA i samband med användning av Mailchimp var otillåten.

BayLDA:s argumentation i beslutet följer resonemanget i EDPB:s rekommendationer om åtgärder som komplement till överföringsverktyg för att säkerställa överensstämmelsen med EU-nivån för skydd av personuppgifter. Rekommendationerna har tagits fram till följd av Schrems II-målet och är fortfarande på remiss.

BayLDA bortsåg emellertid från att utfärda böter mot modetidningen då överträdelsen ansågs vara av mindre natur på grund av följande skäl:

  • BayLDA accepterade modetidningens argument att den slutliga versionen av EDPB:s rekommendationer ännu inte har fastställts.
  • Modetidningens användning av Mailchimps tjänster var begränsad till två utskick.
  • Personuppgifterna som överfördes (e-postadresser) var inte känsliga.
  • Modetidningen samarbetade med BayLDA och åtog sig att omedelbart sluta använda Mailchimp.

Mer information

Myndighet: Bayerischen Landesamts für Datenschutzaufsicht (BayLDA)

Land: Tyskland

Lagrum: Art. 58 GDPR, art. 77 GDPR, art. 78 GDPR, art. 83 GDPR

Sanktionsavgift: N/A

Mottagare: N/A

Beslutsnummer: LDA-1085.-12159/20 IDV

Beslutsdatum: 2021-03-15

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

09 MAR

Introduktion till dataskyddsförordningen

Lär dig om grunderna i GDPR och vad som gäller vid behandling av personuppgifter.

16 MAR

Molntjänster och tredjelandsöverföringar

Få en genomgång av reglerna för tredjelandsöverföringar vid användning av molntjänster.

23 MAR

Konsekvensbedömning avseende dataskydd

Lär dig att göra en konsekvensbedömning avseende dataskydd i praktiken.