Datatilsynet i Bayern griber ind mod brugen af Mailchimp

I en dugfrisk sag har datatilsynet i Bayern vendt tommelfingeren nedad til en virksomheds brug af den amerikanske nyhedsbrevstjeneste Mailchimp, fordi virksomheden ikke havde vurderet risikoen ved at bruge tjenesten. Læs med, og bliv klogere på betydningen af afgørelsen, forholdet til Schrems II-dommen og anbefalingerne om tredjelandsoverførsler.

Brugen af Mailchimp var ulovlig

For nylig fastslog datatilsynet i Bayern, at en tysk virksomheds brug af nyhedsbrevstjenesten Mailchimp ikke var tilladt. Det afgørende var,  at virksomheden ikke havde vurderet, om det var sikkert nok at udsende nyhedsbreve fra tjenesten. Ifølge afgørelsen er Mailchimp underlagt den amerikanske efterretningslovgivning, som efter EU-Domstolen ikke overholder grundlæggende GDPR-rettigheder. 

Sagen fra Bayern skal ses som en direkte konsekvens af den såkaldte Schrems II-afgørelse.

 

Ingen straf til virksomheden

Tilsynet i Bayern valgte dog ikke at pålægge virksomheden en bøde. Tilsynet mente ikke, at overtrædelsen havde en sådan karakter og alvorlighed eller var begået med et sådant forsæt, at virksomheden skulle straffes. Det skyldtes primært, at det Europæiske Databeskyttelsesråds anbefalinger om supplerende foranstaltninger ikke er endeligt vedtaget.
 

Derudover henviste tilsynet til, at virksomheden kun havde anvendt Mailchimp til at udsende nyhedsbreve to gange, hvorefter virksomheden – i forbindelse med sagen – øjeblikkeligt stoppede med at bruge tjenesten. Ifølge tilsynet var der derfor tale om en relativt håndterbar risiko for klageren.
 

Læs mere om sagen.   

 

Hvad betyder sagen for din virksomhed?

Mailchimp er en ofte anvendt nyhedsbrevstjeneste, og det er derfor interessant for mange virksomheder at vide, om brugen af tjenesten kan være problematisk. Det danske datatilsyn har dog endnu ikke offentliggjort afgørelser, der tager stilling til sager om Mailchimp.

Selv om sagen i skrivende stund ikke er offentliggjort på det tyske tilsyns egen hjemmeside, kan du og din virksomhed alligevel bruge den som en indsigt i, hvad tilsynene tillægger vægt ved vurderingen af virksomhedernes arbejde med Schrems II-afgørelsen. Sagen understreger, at risikovurdering er et væsentligt element – også selvom data forekommer banale.

For god ordens skyld skal det dog bemærkes, at sagen udspringer af en klage fra en borger, og det tyske tilsyns reaktion skal derfor blot læses som afslutningen på den konkrete sagsbehandling. Der er altså ikke tale om en afgørelsessag.

 

Vores rådgivning

Kromann Reumerts specialister i persondata har stor erfaring med at rådgive om tredjelandsoverførsler i lyset af Schrems II-dommen. Du er velkommen til at kontakte os, hvis vi også skal hjælpe dig og din virksomhed.