De Beierse gegevensbeschermingsautoriteit (DPA) verklaarde dat de overdracht van e-mailadressen door een Duits bedrijf naar de in de VS gevestigde e-maildienst Mailchimp onwettig was in het licht van de 2020-beslissing ‘Schrems II’ van het Hof van Justitie van de Europese Unie . Deze verklaring staat in de reactie van de DPA van 15 maart 2021 op een betrokkene die een klacht had ingediend bij de DPA over de doorgifte. De DPA vaardigde geen boete of een formele beschikking uit omdat het Duitse bedrijf het gebruik van Mailchimp stopte toen de DPA de kwestie aan de orde stelde.
In de meeste gevallen vereist de GDPR dat bedrijven adequate bescherming bieden als zij persoonlijke gegevens delen met bedrijven in landen waarvan de Europese Commissie niet heeft bepaald dat ze een passend beschermingsniveau bieden voor persoonlijke gegevens. Dit geldt dus ook voor de Verenigde Staten. Het Schrems II-besluit maakte de EU-VS Privacyshield als middel om een dergelijke bescherming te bieden ongeldig. Voortzetting van het uitvoeren van de gegevens naar Amerikaanse bedrijven blijft mogelijk met standaardcontractbepalingen (SCC’s), maar alleen indien de SCC’s een voldoende niveau van bescherming bieden voor de betreffende gegevens. Het Hof van Justitie van de Europese Unie benadrukte dat partijen mogelijk aanvullende waarborgen moeten nemen om te voorkomen dat gegevens worden bekendgemaakt aan Amerikaanse inlichtingendiensten.
De Beierse gegevensbeschermingsautoriteit oordeelde dat het bedrijf dat Mailchimp gebruikt, niet had beoordeeld of het aanvullende voorzorgsmaatregelen moest nemen. Het bedrijf deelde de e-mailadressen van Duitse klanten met Mailchimp via SCC’s. De gegevensbeschermingsautoriteit verklaarde echter dat Mailchimp kan worden onderworpen aan verzoeken om gegevenstoegang van Amerikaanse inlichtingendiensten. Dat zou Mailchimp verhinderen om een passend beschermingsniveau voor de gegevens te bieden. Daarom stelde betreffende autoriteit dat het bedrijf had moeten onderzoeken of het aanvullende waarborgen moest implementeren om een adequate gegevensbescherming te waarborgen.
Deze ontwikkeling benadrukt het aanhoudende risico van gegevensoverdrachten tussen de EU en de VS als gevolg van Schrems II.
zie ook de berichtgeving van de European Data Protection Board (EDPB) hierover.