Brugen af Mailchimp var ulovlig: Det tyske datatilsyn i Bayern – BayLDA – har i en ny afgørelse fastslået, at en virksomheds brug af marketingsplatformen Mailchimp var ulovlig. Der var ikke foretaget en risikovurdering af beskyttelsesniveauet ved overførsel af personoplysninger til Mailchimp. Mailchimp er en international organisation med base i USA. Der var som resultat af den manglende risikovurdering heller ikke truffet eventuelle supplerende foranstaltninger forud for virksomhedens overførsel af oplysningerne.
Afgørelsen er en følge af den såkaldte Schrems II-afgørelse, hvor EU-domstolen i sommeren 2020 ændrede rammerne for overførsel af personoplysninger til usikre tredjelande, herunder særligt USA, med tilsidesættelse af EU-US Privacy Shield ordningen. Du kan læse mere om vores vurdering af Schrems II-sagen her.
I kølvandet på Schrems II-afgørelsen udgav Det Europæiske Databeskyttelsesråd nye anbefalinger om overførsel af personoplysninger til usikre tredjelande.
I henhold til persondataforordningen er et usikkert tredjeland et land udenfor EU/EØS, som EU-Kommissionen ikke har vurderet som værende et ”sikkert” tredjeland.
Formålet med Det Europæiske Databeskyttelsesråds anbefalinger var at sætte rammerne for, hvordan en dataansvarlig, der ønsker at overføre personoplysninger til usikre tredjelande, skal vurdere de europæiske essentielle garantier og iværksætte eventuelle supplerende foranstaltninger.
Du kan læse vores vurdering af anbefalingerne her.
Brugen af Mailchimp var ulovlig
I sagen vedrørende Mailchimp overførte den tyske virksomhed, FOGS Magazin, mailadresser på abonnenter af virksomhedens nyhedsbrev til den amerikanske udbyder af Mailchimp, The Rocket Science Group LLC. Disse overførsler, der skete ved benyttelsen af EU-Kommissionens standardkontrakter for overførelse af personoplysninger udenfor EU.
BayLDA fandt, at Mailchimp potentielt udgjorde en ”serviceudbyder af elektronisk kommunikation” (”electronic communication service provider”) og dermed kunne være underlagt reglerne i US surveillance law (FISA702 (50 U.S.C. § 1881)), hvilket vil betyde, at Mailchimp kan blive underlagt adgangsanmodninger fra amerikanske efterretningstjenester og myndigheder og dermed være forpligtet til at udlevere personoplysninger til de amerikanske myndigheder.
Da FOGS Magazin ikke havde vurderet de forbundne risici ved overførslen eller behovet for eventuelle supplerende foranstaltninger forud for overførslerne, herunder i relation til reglerne i US surveillance law, fandt BayLDA, at overførelserne var i strid med reglerne om overførsel af personoplysninger til tredjelande udenfor EU/EØS (artikel 44 ff.).
Den tyske virksomhed erklærede i sagen, at de med øjeblikkelig effekt ville undlade at bruge Mailchimp og i stedet gå over til en europæisk udbyder af samme services. Derudover var overtrædelsens karakter ifølge BayLDA mindre grov under hensyn til antallet af registrerede, typen af personoplysninger og den udviste uagtsomhed. Som følge af disse konkrete omstændigheder pålagde BayLDA ikke virksomheden en bøde eller andre sanktioner.
Afgørelse om brug af Amazon Web Services
I Frankrig har den øverste forvaltningsdomstol, Conseil d’Etat, i en afgørelse fra 12. marts 2021 taget stilling til spørgsmålet om iværksættelse af supplerende foranstaltninger ved brugen af Amazon Web Services (AWS Sarl).
Den konkrete sag omhandlede e-sundhedsplatformen Doctolib’s anvendelse af AWS Sarl som hostingleverandør i forbindelse med håndtering af vaccinebooking for Covid-19 for det franske sundhedsministerium. AWS Sarl er et Luxembourgsk datterselskab til amerikanske Amazon Web Services Inc., hvilket hos flere fagorganisationer skabte tvivl om, hvorvidt de europæiske personoplysninger var tilstrækkeligt beskyttet ved hosting hos AWS Sarl. Dette resulterede I, at fagforeningerne indgav en klage til Conseil d’Etat om lovligheden af, at data blev hostet i datterselskabet, der er underlagt amerikansk lovgivning, og derfor potentielt kunne underlægges adgangsanmodninger fra de amerikanske myndigheder.
Den primære problematik i sagen var altså, om der var et tilstrækkeligt værn mod amerikanske myndigheders adgang til personoplysningerne behandlet i datterselskabet.
Conseil d´Estat fandt ikke behov for at tilsidesætte leverandøraftalen med AWS Sarl, selvom datterselskabet var underlagt amerikansk lovgivning.
Årsagen til dette var, at der efter Conseil d´Estat’s vurdering var implementeret passende supplerende foranstaltninger, som påbudt i Schrems II-afgørelsen.
Der var konkret tale om, at der var implementeret foranstaltninger, som indebar kryptering, hvor dekrypteringsnøglen udelukkende var hos en betroet tredjepart i Frankrig. Udover denne tekniske sikkerhedsforanstaltning var der i kontrakten mellem AWS Sarl og den dataansvarlige inkluderet en specifik procedure i tilfælde af en udenlandsk myndigheds adgangsanmodning. Efter denne kontraktbestemmelse forpligtede AWS Sarl sig til at udfordre enhver generel anmodning om adgang fra en offentlig myndighed. Retten vurderede derfor, at risikoen for at amerikanske myndigheder i medfør af de amerikanske overvågningsprogrammers artikel 702 i ”Foreign Intelligence Surveillance Act” kunne få adgang til personoplysningerne hostet hos AWS Sarl herved var imødekommet tilstrækkeligt.
CLEMENS’ bemærkninger
Afgørelsen fra BayLDA understreger de store krav, som de persondataretlige regler stiller til dataansvarlige i EU, som anvender internationale leverandører, som er baseret i usikre tredjelande, herunder særligt USA.
Når man sammenholder overførslernes karakter i Mailchimp-sagen med de ressourcer, der er forbundet med at foretage en tilstrækkelig vurdering af modtagerlandets beskyttelsesniveau, samt at identificere og pålægge leverandøren implementering af supplerende foranstaltninger, er det ikke fjernt at forestille sig, at brugen af amerikansk-baserede udbydere ikke længere er besværet værd for europæiske virksomheder.
Selvom det danske Datatilsyn ikke på nuværende tidspunkt har taget stilling til brugen af Mailchimp, er det CLEMENS’ vurdering, at udfaldet vil blive det samme i fold til den manglende risikovurdering og supplerende foranstaltninger.
Hertil kommer, at AWS Sarl-afgørelsen er en påmindelse om, at de forpligtelser, der følger af Schrems-II-afgørelsen også er relevante, når man benytter en databehandler, som kan karakteriseres som en international organisation, på trods af at oplysningerne bliver behandlet af et datterselskab i EU.
Overfører din virksomhed personoplysninger til lande eller internationale organisationer udenfor EU/EØS, og er du i tvivl om, hvorvidt dette sker på et lovligt grundlag, står vores team af persondataspecialister selvfølgelig også altid klar til at hjælpe.