Duitse toezichthouder: gebruik Mailchimp is overtreding van de AVG
Afgelopen maand heeft één van de Duitse privacytoezichthouders geoordeeld dat het gebruik van Mailchimp een overtreding is van de AVG. Mailchimp is een marketingautomatiseringsplatform en e-mailmarketingdienst. De dienstverlening wordt aangeboden door The Rocket Science Group LLC, een bedrijf gevestigd in de Verenigde Staten (VS). Volgens de toezichthouder zou door het gebruik van Mailchimp onrechtmatig e-mailadressen worden doorgegeven buiten de Europese Economische Ruimte (EER). In deze blog gaan we dieper in op de uitspraak.
Doorgifte van persoonsgegevens naar de VS
Zoals inmiddels wel bekend is, is het Privacy Shield vorig jaar ongeldig verklaard. Desalniettemin kunnen persoonsgegevens worden doorgegeven aan organisaties in de VS op basis van de Standard Contractual Clauses (SCC’s). Het Europese Hof oordeelde namelijk in de Schrems II-zaak dat de SCC’s als mechanisme geldig blijven. Wel legde het Hof extra verantwoordelijkheid bij de Europese ondernemer en diens toezichthouders. Zij dienen te controleren en te bepalen of het recht van het ontvangende land niet afdoet aan het beschermingsniveau dat de SCC’s (behoren te) creëren. Voor de VS is dat wel het geval: door de Schrems ll-zaak werd duidelijk dat de VS onvoldoende bescherming biedt.
De Duitse toezichthouder
Hoe gaat men hier in de praktijk mee om? Afgelopen maand is het eerste oordeel van een privacytoezichthouder verschenen. In deze zaak maakte een Duitse uitgeverij gebruik van Mailchimp. Met het oog op de verspreiding van nieuwsbrieven heeft de Duitse uitgeverij in twee gevallen e-mailadressen aan Mailchimp in de VS doorgegeven. Deze gegevensoverdracht was gebaseerd op de SCC’s.
Een betrokkene die via Mailchimp een nieuwsbrief had ontvangen, diende een klacht in bij de lokale privacytoezichthouder (BayLDA) en verzocht de autoriteit een boete op te leggen. De autoriteit kwam tot de conclusie dat de doorgifte van het e-mailadres van de klager aan Mailchimp onrechtmatig was op grond van de AVG. De uitgeverij had niet onderzocht of er naast de SCC’s aanvullende maatregelen in de zin van het besluit van het Europese Hof nodig waren om ervoor te zorgen dat de doorgifte aan de AVG-vereisten voldoet.
Verder lezen bij de bronLees ons boek
Gemeenten. Bewustzijn. Privacy.
Nieuwsbrief
Deze versturen we 3-4x per jaar.
Recente blogs
Meer recente berichten
AP wijst politieke partijen op risico s persoonsgegevens rondom verkiezingen | Verder lezen | |
Delen videobeelden van misdragingen werknemer vormen geen inbreuk op AVG | Verder lezen | |
Onderzoek Cisco: slechts 3 procent organisaties volledig voorbereid op cyberaanval | Verder lezen | |
2030: Een cyberveiligheid roadmap voor een veranderende wereld | Verder lezen | |
Vriendelijker ontvangst en meer privacy op vernieuwd Werkplein in raadhuis Amstelveen | Verder lezen | |
Onduidelijke privacy instellingen Apple verwarren zelfs academici | Verder lezen | |
EC zint op soepelere soevereiniteitsregels cloudmarkt | Verder lezen | |
TNO lanceert open source tool voor geautomatiseerde cybersecurity | Verder lezen | |
Raadsleden verdeeld over inzet AI | Verder lezen | |
Hoe zit het bij Chinese auto s met privacy, spionage en garantie? | Verder lezen |