Nieuws

Vorige maand oordeelde de Beierse toezichthouder (“BayLDA”) dat het gebruik van Mailchimp voor de verspreiding van e-mail nieuwsbrieven door een Duitse uitgever in strijd is met de AVG. De toezichthouder had het onderzoek naar het gebruik van Mailchimp ingesteld naar aanleiding van een klacht van een ontvanger van de e-mail nieuwsbrief.

Voor de verspreiding van de e-mail nieuwsbrieven had de Duitse uitgever e-mail adressen aan Mailchimp verstrekt. De overdracht van deze persoonsgegevens aan het in Amerika gevestigde bedrijf was gebaseerd op de zogenaamde EU Standard Contractual Clauses (“SCC’s”). De BayLDA oordeelde echter dat de uitgever had nagelaten om te onderzoeken of aanvullende maatregelen/waarborgen nodig waren om de privacyrechten van de Europese betrokkenen te garanderen. Dergelijk aanvullend onderzoek, en wellicht ook de aanvullende maatregelen, was in het licht van de uitspraak van het Europees Hof in de Schrems II zaak noodzakelijk. Er zijn immers indicaties dat de Amerikaanse inlichtingendiensten toegang zouden kunnen vragen tot de door Mailchimp verwerkte persoonsgegevens.

Naar aanleiding van het onderzoek heeft de uitgever besloten om het gebruik van Mailchimp te staken. De BayLDA heeft geen boete opgelegd.

De uitspraak laat zien dat de gevolgen van de Schrems II uitspraak groot zijn. Het gebruik van diensten van Amerikaanse leveranciers is voor de meeste Europese organisaties niet te vermijden. Aanvullend onderzoek naar de risico’s van de verwerking van persoonsgegevens en de extra waarborgen/maatregelen is daarbij steeds noodzakelijk. Hiervoor kan gebruik worden gemaakt van de richtsnoeren van de Europese Data Protection Board (“EDPB”). Deze richtsnoeren zijn weliswaar nog niet definitief en geven bovendien geen pasklaar antwoord, maar bieden voorlopig enig houvast.