Duitse toezichthouder: gebruik Mailchimp is een overtreding van de AVG

Dit artikel is ook verschenen op Marketingfacts.

De klacht in deze zaak werd ingediend door NOYB. Dit is de organisatie van de inmiddels bekende privacyactivist Max Schrems, die ook verantwoordelijk is voor de Schrems I en Schrems II–uitspraken van het Europese Hof van Justitie (HvJ-EU). In deze zaken werd het dataverkeer naar de VS op basis van respectievelijk de Safe Harbor- en de Privacy Shield regeling onrechtmatig verklaard. Aan doorgifte op basis van Standard Contractual Clauses (SCC) werden vergaande randvoorwaarden gesteld. De uitspraak van de Beierse toezichthouder geeft ons een interessante kijk op hoe deze uitspraken in de praktijk worden toegepast om het gebruik van marketingtools en cloudoplossingen van buiten de EU te verbieden. In de Explained: Data delen buiten de EU lees je meer over de precieze consequenties van de Schrems II–uitspraak.  

Het besluit van de Duitse toezichthouder is niet gepubliceerd, maar door NOYB zelf bekend gemaakt. In deze publicatie van de EDPB (koepel van Europese privacytoezichthouders) licht de Duitse toezichthouder wel toe wat er gebeurd is. De klacht van NOYB ging over een organisatie die verwerkingsverantwoordelijke is voor het gebruik van e-mailtool Mailchimp. Na ontvangst van de klacht heeft de toezichthouder de verwerkingsverantwoordelijke om opheldering gevraagd en de consequenties van de Schrems II–uitspraak uitgelegd. De organisatie heeft toen laten weten per direct gestopt te zijn met het gebruik van Mailchimp.  

Verweer van de organisatie

De aangesproken organisatie verweerde zich door uit te leggen dat het alleen e-mailadressen met Mailchimp had gedeeld voor het verzenden van e-mail. Ook gaf het aan de aanbevelingen van de EDPB voor aanvullende waarborgen bovenop SCC’s (nodig in landen waar het beschermingsniveau te laag is) niet had toegepast omdat die aanbeveling nog niet definitief is. Het zou willen wachten op de definitieve versie.  

Beoordeling toezichthouder

De toezichthouder ging hier niet mee akkoord. Het gaf aan dat er sprake was van doorgifte van persoonsgegevens buiten de EU. Omdat dit gebeurde op basis van de modelcontracten (SCC’s) had de organisatie moeten beoordelen of er aanvullende waarborgen nodig waren. Omdat het in dit geval ging om datadoorgifte naar de VS, waarvan bekend is dat inlichtingendiensten toegang kunnen hebben tot data van cloudpartijen, waren aanvullende waarborgen nodig om te zorgen voor rechtmatige doorgifte. Volgens de toezichthouder is er daardoor maar één conclusie mogelijk: de doorgifte van data kon alleen rechtmatig zijn als de verantwoordelijke organisatie ervoor had gezorgd dat er met aanvullende waarborgen voor had gezorgd dat het probleem (toegang door inlichtingendiensten) verholpen was. Op basis van de conceptversie van de EDPB–aanbevelingen weten we dat zo’n aanvullende maatregel bijvoorbeeld encryptie kan zijn, waardoor er bij Mailchimp geen toegang was geweest tot persoonsgegevens.  

Een voorbode voor meer handhaving?

Tot slot benadrukt de Duitse toezichthouder dat deze zaak exemplarisch is voor de manier waarop het de Schrems II–criteria zal toepassen bij handhaving. De toezichthouder stelt dat, ondanks herhaaldelijke kritiek op het uitblijven handhaving, de prioriteit wel degelijk bij handhaven ligt. Er zijn nog geen onderzoeken gepubliceerd, omdat de door hen aangesproken organisaties hun werkwijze hebben aangepast. Het gaat in dit geval om een Duitse toezichthouder, maar in Nederland hebben we uiteraard te maken met dezelfde AVG. Het zal spannend worden hoe onze toezichthouder omgaat met deze lastige situatie voor ondernemers.  

Wat betekent dit voor de data-driven marketingsector?

Data-driven marketing is sterk verweven met tools en cloudoplossingen die data verwerken buiten de EU. Dat de impact van de Schrems II–uitspraak op onze sector groot zou zijn was daarom verwacht. De situatie rondom Mailchimp in Beieren maakt echter duidelijk dat het op dit moment al impact heeft op de praktijk. Via onze koepelorganisatie FEDMA heeft DDMA input geleverd op de EDPB–aanbevelingen voor aanvullende waarborgen die data-doorgifte met Standard Contractual Clauses mogelijk moeten maken. We hopen dat de definitieve aanbevelingen van de EDPB een werkbare oplossing bieden waarbij ruimte is voor een risico-gebaseerde aanpak: hoe groter het risico voor de betrokkenen, hoe zwaarder de maatregelen die nodig zijn. Die aanpak wordt ook gesteund door de Europese Commissie, maar het is nu afwachten of de EDPB hier ook achter staat. 

Politiek de echte oplossing?

Terwijl organisaties in heel Europa gespannen in de gaten houden met welke aanbevelingen de EDPB komt kijken we met een schuin oog naar de onderhandelingen tussen de Europese Commissie en de Amerikaanse regering. Daar wordt gesproken over een opvolger van het Privacy Shield. Als dat lukt dan zijn we terug bij de oude situatie. Vanuit AVG-perspectief is doorgifte dan weer mogelijk naar gecertificeerde Amerikaanse organisaties. De vraag is dan hoe lang die afspraak standhoudt. De onderliggende problematiek van toegang door inlichtingendiensten is hiermee immers niet opgelost.  

We blijven je uiteraard op de hoogte houden van alle ontwikkelingen rondom doorgifte van data buiten de EU. Ben je DDMA-lid en heb je nu al een vraag? Stuur een mailtje naar legal@ddma.nl.  

Matthias de Bruyne

Voormalig Senior legal counsel bij DDMA