Tysk tillsynsmyndighet för dataskydd kritiserar användning av Mailchimp

E-marketingplattformen Mailchimp är en populär och välanvänd tjänst av bland företag. Nu hävdar tysk tillsynsmyndighet efter en granskning att tjänsten inte lever upp till GDPR och att användningen av tjänsten därmed ska upphöra hos det granskade bolaget.

Mailchimp ägs av det amerikanska bolaget Rocket Science Group och är en välanvänd tjänst för allt ifrån automatiserade marketingflöden till att prenumerera på och skicka ut nyhetsbrev.

Tillsynsmyndigheten i den tyska delstaten Bayern, Bavarian DPA BayLDA, har efter ett klagomål från en registrerad granskat ett tyskt företag och deras överföring av e-postadresser till USA som skett genom att det granskade företaget använt tjänster från Mailchimp.

Överföringen av e-postadresserna till USA olaglig

Det amerikanska företaget bakom Mailchimp antas av BayLDA lyda under en av de amerikanska säkerhetslagarna som var aktuella i Schrems II-målet, något som kräver att personuppgifterna (i detta fall e-postadresserna) skyddas av kompletterande skyddsåtgärder utöver till exempel standardavtalsklausuler.

Då några sådana kompletterande skyddsåtgärder inte fanns på plats bedömde BayLDA att överföringen av e-postadresserna till USA var olaglig och att användningen av e-posttjänsten därmed ska upphöra.

Granskningen avser ett förfarande för korrigerande åtgärder som genomförts utan formella tillsynsåtgärder. Det som framkommer i den tyska tillsynsmyndighetens granskning är intressant eftersom det avser en mycket populär tjänst som används av många företag även i Sverige.

Läs mer om händelsen hos Europeiska dataskyddsstyrelsen EDPB.