BayLfD (Bavaria) - LDA-1085.1-12159/20-IDV

From GDPRhub
BayLDA - LDA-1085.1-12159/20-IDV
Authority: BayLDA (Bavaria)
Jurisdiction: Germany
Relevant Law: Article 77 GDPR
Type: Complaint
Outcome: Upheld
Decided: 15.3.2021
Fine: None
Parties: [...]
National Case Number/Name: LDA-1085.1-12159/20-IDV
European Case Law Identifier: n/a
Appeal: n/a
Original Language(s): German
Original Source: GDPRhub (in DE)
Initial Contributor: n/a

The Bavarian DPA ("Bayrisches Landesamt für Datenschutzaufsicht" - BayLDA) held that the use of the newsletter tool Mailchimp by a German company was unlawful as Mailchimp receives email adresses of newsletter subscribers and might qualify as an "electronic communication service provider" under US surveillance law.

English Summary


The complainant lodged a complaint with the Bavarian DPA (BayLDA) regarding the use of the newsletter tool Mailchimp by the respondent, a German company. He argued that the transfer of email addresses of subscribers of the respondent's newsletter to the provider of Mailchimp (The Rocket Science Group LLC, an US based company) was unlawful under Article 44 et seqq. GPPR.

The respondent argues that the use of MailChimp was only occasional and it stopped using it.


The BayLDA held that the use of Mailchimp by the respondent and thus the transfer of the email addresses to the provider of Mailchimp was unlawful:

  • The data transfer was based on EU standard data protection clauses (Standard Contractual Clauses - SCCs).
  • According to the BayLDA, there were indications that the provider of Mailchimp qualifies as "electronic communication service provider" under US surveilliance law (FISA702 (50 U.S.C. § 1881)). Therefore, the transferred email addresses could be in danger of being accessed by US intelligence services.
  • In the light of the CJREU decision "Schrems II" (C-311/18) the respondent had failed to assess if there were additional measures in place to ensure that the transferred data was protected from US surveillance.

As the respondent declared to refrain from using Mailchimp with immediate effect, the BayLDA did not impose a fine.


Share your comments here!

Further Resources

English Machine Translation of the Decision

The decision below is a machine translation of the German original. Please refer to the German original for more details.

File no: LDA-1085.1-12159/20-IDV
Dear Mr. XXX,
We come back to your data protection complaint against [...], Munich concerning the use of "Mailchimp". As a result of our intervention, the company has now informed us that it had used Mailchimp twice to send newsletters. As a result of our intervention, the company has now informed us that it will no longer use Mailchimp with immediate effect.
The company also informed us that it had only transmitted e-mail addresses to Mailchimp in the context of the above-mentioned use. It had also stated that the recommendations of the European Data Protection Board on the so-called Supplementary Measures for transfers of personal data to third countries are not yet available in a final version, but are still the subject of a public consultation; this is true (cf. According to our, EDPB Recommendations 01/2021). 
According to our assessment, the use of Mailchimp by [...] in the two cases mentioned - and thus also the transfer of your email address to Maichimp, which is the subject of your complaint - was unlawful under data protection law because [...] had not examined whether, in addition to the EU standard data protection clauses (which were used), "additional measures" within the meaning of the ECJ decision "Schrems II" (ECJ, Rt. v. 16. 7.2020, C-311/18) are necessary to make the transfer compliant with data protection, and in the present case there are at least indications that Mailchimp may in principle be subject to data access by U.S. intelligence services on the basis of U.S. law FISA702 (50 U.S.C. § 1881) as a possible so-called Electronic Communications Service Provider and thus the transfer could only be permissible by taking such additional measures (if suitable). 
We informed the company that the above-mentioned transfers of personal data to the USA were therefore impermissible.
Beyond this determination of the inadmissibility of the above-mentioned data transfers, we do not consider supervisory measures pursuant to Article 58 (2) of the GDPR to be necessary in this specific case by way of a discretionary decision. We have made it clear to the company that the above-mentioned transmission of your e-mail address was illegal under data protection law. We do not consider it necessary to impose a fine - as requested by you. In this respect, we hereby inform you that, in our opinion, a data subject has no legal entitlement to the imposition of a fine in the event of a data protection violation, and in our opinion, no entitlement to a discretionary decision on the imposition of a fine.
This is because, unlike some of the other remedial powers referred to in Article 58(2) GDPR (such as the power to instruct the controller to comply with requests by the data subject to exercise his or her rights (Article 58(2)(c) GDPR), the power to impose a fine under Article 83 GDPR (Article 58(2)(i) GDPR) does not serve to safeguard the rights and freedoms of a data subject, but rather the public interest in enforcing the law. Consequently, a data subject does not have a subjective right against data protection supervisory authorities to decide on the imposition of a fine under Article 58(2)(i) GDPR. However, even if one were to recognize such a subjective right of a data subject, there would be no claim on your part for the imposition of a fine against [...] in the present case. Taking into account the relevant factors listed in Article 83 of the GDPR that play a role in this decision, it is within the scope of discretion to refrain from imposing a fine in the present case. This is particularly the case because in the present case only a few cases of inadmissible data were transmitted, and secondly because the data involved - in the form of e-mail addresses - is still relatively manageable in its sensitivity; the latter alone would not be sufficient to justify a waiver of the fine. As a result, however, the waiver of the fine is free of discretionary error in the present case, particularly in light of the fact that the above-mentioned recommendations of the European Data Protection Board have not been implemented.
Recommendations of the European Data Protection Board are declared to be still in a public consultation and therefore not yet available in the final version, so that the present infringement is still to be classified as minor with regard to its nature and gravity (Article 83 (2) (a) of the GDPR), and in particular only a slight degree of negligence at most is to be affirmed (Article 83 (2) (b) of the GDPR). 

The processing of your complaint is thus completed on this side. This letter is the legally required information about the result of the processing of your complaint according to Art. 77 (2) DSGVO. 
Legal remedy information
With reference to Art. 77 and 78 of the GDPR, we would like to point out that you can appeal against this decision in writing or by having it recorded by the clerk of the court at the
Bavarian Administrative Court of Ansbach,
House address: Promenade 24 - 28, 91522 Ansbach, Germany
Postal address: P.O. Box 616, 91511 Ansbach, Germany
may bring an action. The complaint must name the plaintiff, the defendant and the subject of the complaint and should contain a specific request.
The facts and evidence used to substantiate the claim should be stated, and a copy of the contested decision should be enclosed.
The complaint and all pleadings should be accompanied by copies for the other parties if submitted in writing or for recording.
Yours sincerely
Division Manager
Bavarian State Office for Data Protection Supervision Data Protection Authority of Bavaria for the Private Sector Promenade 18, 91522 Ansbach Postfach 1349, 91504 Ansbach Deutschland / Germany

Original Text

The decision was not published, but is available here:

Aktenzeichen: LDA-1085.1-12159/20-IDV
Sehr geehrter Herr XXX,
Wir kommen zurück auf Ihre datenschutzrechtliche Beschwerde gegen [...], München betreffend den Einsatz von "Mailchimp". Das Unternehmen hat uns aufgrund unseres Tätigwerdens inzwischen mitgeteilt, Mailchimp zur Versendung von Newslettern zweimal genutzt zu haben. Aufgrund unserer Intervention hat das Unternehmen nunmehr mitgeteilt, auf den Einsatz von Mailchimp mit sofortiger Wirkung zu verzichten.
Das Unternehmen hat uns noch mitgeteilt, im Rahmen des o.g. Einsatzes lediglich E-Mail-Adressen an Mailchimp übermittelt zu haben. Es habe im Übrigen festgestellt, dass derzeit die Empfehlungen des Europäischen Datenschutzausschusses zu den sog. Supplementary Measures für Übermittlungen personenbezogener Daten in Drittländer noch nicht in einer Endfassung vorliegen, sondern noch Gegenstand einer öffentlichen Konsultation sind; dies trifft zu (vgl. Nach unser, EDPB Recommendations 01/2021). 
Nach unserer Bewertung war der Einsatz von Mailchimp durch [...] in den beiden genannten Fällen - und somit auch die Übermittlung Ihrer E-Mail-Adresse an Maichimp, die Gegenstand Ihrer Beschwerde ist - datenschutzrechtlich unzulässig, weil [...] nicht geprüft hatte, ob für die Übermittlung an Mailchimp zusätzlich zu den (zum Einsatz gekommenen) EU-Standarddatenschutzklauseln noch "zusätzliche Maßnahmen" im Sinne der EuGH-Entscheidung "Schrems II" (EuGH, Urt. v. 16.7.2020, C-311/18) notwendig sind, um die Übermittlung datenschutzkonform zu gestalten, und vorliegend zumindest Anhaltspunkte dafür bestehen, dass Mailchimp grundsätzlich Datenzugriffen von US-Nachrichtendiensten auf Grundlage der US-Rechtsvorschrift FISA702 (50 U.S.C. § 1881)  als möglicher sog. Electronic Communications Service Provider unterfallen kann und somit die Übermittlung nur unter Ergreifung solcher zusätzlicher Maßnahmen (sofern geeignet) zulässig sein konnte. 
Wir haben dem Unternehmen mitgeteilt, dass daher die o.g. Übermittlungen personenbezogener Daten in die USA unzulässig waren.
Über diese Feststellung der Unzulässigkeit der o.g. Datenübermittlungen hinausgehende aufsichtsbehördliche Maßnahmen nach Art. 58 Abs. 2 DSGVO halten wir im Wege einer Entscheidung nach pflichtgemäßem Ermessen im konkret vorliegenden Fall nicht für erforderlich. Dem Unternehmen ist durch uns deutlich gemacht worden, dass die o.g. Übermittlung Ihrer E-Mail-Adresse datenschutzrechtlich unzulässig war. Eine Ahndung mit Geldbuße - wie von Ihnen beantragt - erachten wir nicht für erforderlich. Insoweit teilen wir Ihnen hiermit mit, dass nach unserer Auffassung einer betroffenen Person kein Rechtsanspruch auf Verhängung einer Geldbuße im Falle eines Datenschutzverstoßes zusteht, und nach hiesiger Auffassung auch kein Anspruch auf ermessensfehlerfreie Entscheidung über Ahndung mit Geldbuße.
Denn anders als einige andere der in Art. 58 Abs. 2 DSGVO genannten Abhilfebefugnisse (etwa die Befugnis, die den Verantwortlichen anzuweisen, Anträgen der betroffenen Person auf Ausübung ihrer Rechte zu entsprechen (Art. 58 Abs. 2 lit. c DSGVO) dient die Befugnis zur Verhängung einer Geldbuße nach Art. 83 DSGVO (Art. 58 Abs. 2 Buchst. i DSGVO) nicht der Wahrung der Rechte und Freiheiten einer betroffenen Person, sondern dem öffentlichen Interesse an der Durchsetzung der Rechtsordnung. Mithin steht einer betroffenem Person kein subjektives Recht gegen die Datenschutzaufsichtsbehörden auf Entscheidung über die Verhängung einer Geldbuße nach Art. 58 Abs. 2 Buchst. i DSGVO zu. Selbst aber wenn man aber ein solches subjektives Recht einer betroffenen Person anerkennen würde, wäre vorliegend kein Anspruch Ihrerseits auf Verhängung einer Geldbuße gegen [...] gegeben. Denn bei Berücksichtigung der maßgeblichen in Art. 83 DSGVO aufgezählten Faktoren, die für diese Entscheidung eine Rolle spielen, entspricht es pflichtgemäßem Ermessen, vorliegend von einer Geldbuße abzusehen. Dies insbesondere, weil vorliegend lediglich in einigen wenigen Fällen unzulässig Daten übermittelt wurden, und zum anderen weil es sich - in der Gestalt von E-Mail-Adressen - um Daten handelte, deren Sensibilität noch verhältnismäßig überschaubar ist; Letzteres für sich alleine gesehen würde zwar ein Absehen von Geldbuße noch nicht alleine zu rechtfertigen vermögen. Im Ergebnis ist das Absehen von Geldbuße aber vorliegend ermessensfehlerfrei insbesondere vor dem Hintergrund, dass sich die o.g.
Empfehlungen des Europäischen Datenschutzausschusses erklärtermaßen noch in einer öffentlichen Konsultation befinden und mithin noch nicht in der Endfassung vorliegen, so dass der vorliegende Verstoß mit Blick auf seine Art und Schwere (Art. 83 Abs. 2 lit. a DSGVO) noch als geringfügig einzustufen ist, und insbesondere nur ein allenfalls leichtes Maß an Fahrlässigkeit zu bejahen ist (Art. 83 Abs. 2 lit. b DSGVO). 

Die Bearbeitung Ihrer Beschwerde ist diesseits damit abgeschlossen. Dieses Schreiben ist die nach Art. 77 Abs. 2 DSGVO gesetzlich vorgesehene Information über das Ergebnis der Bearbeitung Ihrer Beschwerde. 
Unter Bezugnahme auf Art. 77 und 78 DS-GVO weisen wir Sie darauf hin, dass Sie gegen diese Entscheidung schriftlich oder zur Niederschrift des Urkundsbeamten der Geschäftsstelle Klage beim
Bayerischen Verwaltungsgericht Ansbach,
Hausanschrift: Promenade 24 - 28, 91522 Ansbach
Postanschrift: Postfach 616, 91511 Ansbach
erheben können. Die Klage muss den Kläger, den Beklagten und den Gegenstand des Klagebegehrens bezeichnen und soll einen bestimmten Antrag enthalten.
Die zur Begründung dienenden Tatsachen und Beweismittel sollen angegeben, der angefochtene Bescheid soll in Abschrift beigefügt werden.
Der Klage und allen Schriftsätzen sollen bei schriftlicher Einreichung oder Einreichung zur Nieder-schrift Abschriften für die übrigen Beteiligten beigefügt werden.
Mit freundlichen Grüßen
Bayerisches Landesamt für Datenschutzaufsicht Data Protection Authority of Bavaria for the Private Sector Promenade 18, 91522 Ansbach Postfach 1349, 91504 Ansbach Deutschland / Germany