Mailchimp, Schrems II: wat gebeurde er in Duitsland
De Beierse commissaris voor gegevensbescherming heeft zich uitgesproken tegen Mailchimp en het Schremps II-arrest over de doorgifte van gegevens naar de VS.
Dit is geen boete, noch een straf, maar een juridisch precedent dat in de toekomst tal van hefbomen zou kunnen vormen voor verdere moties in Europees verband. Maar waar gaat het precies over? En waarom zou deze uitspraak zo belangrijk kunnen zijn?
We hebben het over MailChimp, een van de bekendste bulk-e-mailtools op de markt, e van het verzenden van persoonsgegevens buiten het Europese grondgebiedmet name in de Verenigde Staten van Amerika. Een onwettige procedure, zelfs als deze gebaseerd is op bepaalde contractuele clausules - vooral als deze niet opgevolgd worden verdere maatregelen. En juist deze "nadere maatregelen", nooit echt gespecificeerd, zorgen voor discussie.
Schrems II-arrest: wat is er gebeurd?
La BaaiLDA, ofwel de Beierse gegevensbeschermingsautoriteit, de Beierse privacygarant, heeft onlangs een uitspraak gedaan tegen Mailchimp wegens het niet naleven van de in het Schrems II-arrest gevonden aanwijzingen met betrekking tot de doorgifte van gegevens naar de Verenigde Staten van Amerika.
De beslissing schept een zeer belangrijk precedent op het gebied van digitaal recht. Hoewel er geen geld- of gevangenisstraffen waren, is dit de eerste post-Schrems II-zaak die onderworpen is aan een formeel besluit van de autoriteiten. Maar laten we op volgorde gaan.
Wat is Schrems II, de uitspraak die het privacyschild ongeldig maakt?
Het HvJEU (Hof van Justitie van de EU) stuurde in 2015 een verzoek om opheldering over gegevensbescherming via de activistische advocaat Schrems. Het doel was om de Ierse toezichthouder voor gegevensbescherming te vragen Facebook te dwingen gegevens over te dragen van de EU naar de VS, op basis van de Standaard contractbepalingen.
We hebben het over de periode vóór de release van de AVG en alle clausules over gegevensverwerking. De uitspraak kwam op 16 juli 2020 en Schrems II maakte het Privacy Shield ongeldig als mechanisme voor gegevensoverdracht van de EU naar de VS, wat belangrijke richtlijnen biedt voor Amerikaanse bedrijven met betrekking tot Amerikaanse gegevens.
Kortom, om de overplaatsing naar de VS te kunnen verlenen was het noodzakelijk zorgen voor een adequaat niveau van gegevensbescherming. Hoe gaat het met u? Grote bedrijven, zoals Google en Microsoft, hebben datacenters op strategische locaties over de hele wereld. De wetten inzake persoonsgegevens in de VS verschillen echter van die in de EU. Met andere woorden: de NSA-beveiligingsdienst heeft er op elk moment toegang toe.
Daar zijn de uitzonderingen op de AVG voor: ze gaan over clausules goedgekeurd door de Europese Commissie en door de Toezichtautoriteit die op verzoek van de onderneming worden goedgekeurd, en hebben alleen een specifieke waarde voor de in de verordening beschreven activiteit. Onder de verschillende machines voor gegevensbescherming is er ook die van de SCC, of de Modelcontractbepalingen. In de praktijk moet zowel het bedrijf dat in Europa is gevestigd als het buitenlandse bedrijf akkoord gaan met het gebruik van een specifiek contract dat eerst moet worden goedgekeurd door de EU. Vervolgens moet de SCC worden ondertekend om de gegevensuitwisseling van kracht te laten worden.
Toch heeft de Schrems II-uitspraak op de een of andere manier verkleinde de standaardprocedures die normaal worden gebruikt en legde “verdere maatregelen op”. De vaagheid van deze kwestie heeft ertoe geleid dat veel bedrijven de knoop hebben omzeild en er gewoon omheen hebben gedaan om hem te negeren. De autoriteiten moeten echter iets doen en misschien kan met de BayLDA-uitspraak een nieuwe stap in de richting van het akkoord worden gezet.
Wat gebeurde er in Beieren? Hoe zit het met de "verdere maatregelen"?
Een Beierse burger, die namens een plaatselijk tijdschrift via Mailchimp een mailinglijst had ontvangen, besloot een klacht in te dienen bij de bevoegde autoriteit. Deze autoriteit heeft haar hand naar voren gestoken door te zeggen dat het verzenden van EU-gegevens naar de VS niet altijd onwettig is, maar dat is het wel als de voorschriften van de AVG zoals geïnterpreteerd door het Europese Hof van Justitie niet worden gerespecteerd. Kortom: Mailchimp heeft dit gedaan, maar er wordt niet gezegd dat de gegevensoverdracht naar de VS frauduleus was. Eerst moet je het aantonen, door de gebruikte overdrachtsmethoden te verdiepen.
Mailchimp, een Amerikaans bedrijf, heeft zijn eigen meegebracht interpretatie van “aanvullende maatregelen” waar we het eerder over hadden. Waarvan echter uit Schrems II, een definitieve versie is nog niet gepubliceerd.
Hoewel de toezichthoudende autoriteit op de een of andere manier de motie van Mailchimp heeft onderschreven, had het bedrijf op zijn minst het probleem van het verzenden van gegevens naar Amerikaans grondgebied moeten aanpakken en ten minste één DPIA moeten uitvoeren om de mate van risico van de operatie te beoordelen. Onnodig te zeggen dat deze beoordeling nooit is gemaakt.
Juist vanwege het niet volledig publiceren van deze "aanvullende maatregelen" heeft de Autoriteit besloten Mailchimp niet te bestraffen. En de verwerkingsverantwoordelijke ook niet.
Waarom is dit zo'n belangrijke beslissing?
De beslissing van Mailchimp is van fundamenteel belang, want als het in eerste lezing de voorloper lijkt van een heleboel frauduleuze acties, is het in plaats daarvan een eerste stap in de richting van de toepassing van de Schrems II-zin, die tot nu toe stof is blijven verzamelen.
Welk type boete is toegepast?
Zoals we al zeiden, heeft Mailchimp geen enkele boete ontvangen. De Autoriteit stelde echter vast dat, hoewel de gegevens werden overgedragen met behulp van ontoelaatbare methoden, de bevoegde persoon - d.w.z. de vrije burger - niet bevoegd was om de sanctie te vragen.
Kortom een particulier het kan geen instantie verplaatsen in een geval als Mailchimp. Het gaat in deze zaak immers niet om de rechten en vrijheden van de belanghebbende, maar om de behartiging van het algemeen belang bij rechtshandhaving.
Wat zijn de mogelijke toekomstscenario's van deze beslissing?
Het is moeilijk te zeggen wat de daadwerkelijke gevolgen van deze zin zullen zijn, die op dit moment alleen als een geldig precedent kan worden beschouwd. Het zou zelfs kunnen gebeuren dat andere autoriteiten neigen naar onwettige beslissingen die niet gepaard gaan met geldelijke sancties. Of de langverwachte ontwikkeling van deze "aanvullende maatregelen" zou kunnen plaatsvinden.
Het enige wat zeker is, is dat Mailchimp, ongeacht de boete, een slechte indruk heeft gemaakt bij zijn klanten en zijn imago heeft verloren.
Mogelijk bent u ook geïnteresseerd in:
“De patiënt centraal”: een grote hoop en een bijeenkomst in de Senaat
Het onderwerp van het belang van innovatie in medische hulpmiddelen voor de Europese gezondheidszorg zal op 15 mei in Rome worden onderzocht door experts en politici
Vier landen, één gigantische oceaan: de CMAR-zaak
Het is de mariene corridor van de oostelijke tropische Stille Oceaan: Panama, Ecuador, Colombia en Costa Rica, verenigd voor de bescherming van de zeeën en mariene soorten...
Lausanne, op het spoor van de vervuiling: het verhaal van een verbrandingsoven
Een team van wetenschappers heeft de gebeurtenissen in de afvalenergiecentrale van Vallon en de onzichtbare besmetting die het kanton Vaud schokte gereconstrueerd
Hoe de omgeving de eigenschappen van de kaas bepaalt
De proeverij benadrukt hoe, bij ongewijzigde productieregels, het klimaat en de voedergewassen verschillende organoleptische tonen beïnvloeden
//