Tysk datatilsyn dumper brugen af Mailchimp: Virksomhed manglede risikovurdering

München, Bayern, Tyskland
Illustration: Thomas Wolf via Wikipedia.
Tysk virksomhed havde ikke taget højde for, at amerikanske efterretningstjenester potentielt kigger med i nyhedsbreve udsendt via Mailchimp. Kendelsen stiller krav til, at danske virksomheder husker risikovurderingen, lyder det fra advokat.
6. april 2021 kl. 03:45
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

En tysk virksomhed skal stoppe med at bruge tjenesten Mailchimp til at sende nyhedsbreve ud. Sådan lyder konklusionen i en kendelse fra datatilsynet i den tyske delstat Bayern.

Virksomheden manglede nemlig at lave en risikovurdering, og det er et krav, ifølge GDPR. Reglerne sikrer europæeres data mod dårlig beskyttelse i usikre tredjelande som USA, hvor efterretningstjenesterne potentielt kan kigge med.

Selvom Det Bayerske Datatilsyn har besluttet, at den tyske virksomhed, hvis navn endnu ikke er offentliggjort, skal stoppe med at bruge Mailchimp, har tilsynet ikke taget stilling til, hvorvidt dataoverførslerne reelt er i strid med GDPR. Det forklarer Kristian Storgaard, der er advokat og partner hos advokatfirmaet Kromann Reumert, og som har nærstuderet kendelsen:

»Det Bayerske Datatilsyn siger sådan set ikke, at Mailchimp er ulovligt at bruge for europæiske virksomheder, men de går ind og kigger på, om virksomheden har foretaget en risikovurdering, og om de overvejet supplerende foranstaltninger. Hvis ikke, man har gjort det, så er virksomheden ikke berettiget til at foretage overførslen,« siger han.

Kendelsen sender dermed et klart signal til danske virksomheder om, at man skal have styr på juraen, uanset om man har to eller 2000 medarbejdere, forklarer Kristian Storgaard.

Log ind og få adgang
Du kan læse indholdet ved at logge ind eller oprette dig som ny bruger.
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
12
7. april 2021 kl. 10:31

Hvor er det dog et usagligt og fordummende indslag...</p>
<p>Samme argument kunne føres for at du skal beskytte dig selv mod overfald eller indbrud.

Faktum er at du skal beskytte dig selv mod indbrud, så jeg ser ikke noget fordummende i, at man skal tænke sig om hvad man giver væk af informationer.

Det er vel ikke staten/politiet der skal tænke for dig er det?

Det er jo lige netop det jeg skriver, du skal tænke selv, ikke tro at andre gør det. GDPR er kun en hjælp, ikke en garanti.

9
6. april 2021 kl. 23:39

Typisk vil modtageren selv være klar over dette og sikre sig. F.eks. ved ikke at bruge en amerikansk mailserver.

Det er da fuldstændig underordnet hvilken mailserver jeg bruger som modtager hvis afsender (e.g via mailchimp) har information om hvilke nyhedsbreve jeg har modtaget.

Nu er det ud fra artiklen svært at afgøre hvilken type nyhedsbreve der refereres til, men hvis der er tale om et firma som sender nyheder om dem selv og deres produkter (til de kunder som har "opted in" på dette), så har jeg svært ved at anlægge en anden risiko vurdering end at det må være ok også med Mailchimp...

Heldigvis har EU med GDPR gjort det til databehandlerens problem at sikre at mine præferencer og politiske holdninger (samt mine foretrukne værktøjsmærker) ikke bliver udleveret til andre end dem jeg har givet lov til.

Det er altså ikke mig som bruger der skal holde øje med hvilken service firma X bruger til nyhedsbreve og om de skifter dagen efter jeg har meldt mig til.

Alt det indebærer at data IKKE må sendes til USA da de har vist sig ude af stand til at holde snitterne fra personlige data. (læs: giver minimum samme databeskyttelse som i EU)

8
6. april 2021 kl. 23:17

Nu er det ud fra artiklen svært at afgøre hvilken type nyhedsbreve der refereres til, men hvis der er tale om et firma som sender nyheder om dem selv og deres produkter (til de kunder som har "opted in" på dette), så har jeg svært ved at anlægge en anden risiko vurdering end at det må være ok også med Mailchimp...

6
6. april 2021 kl. 20:37

Typisk vil modtageren selv være klar over dette og sikre sig. F.eks. ved ikke at bruge en amerikansk mailserver.

Som nævnt ovenfor, så kan det være vanskeligt at vide om det danske firma (eller et EU-firma) benytter sig af en amerikansk cloud-service, nede under motorhjelmen.

Det er langt fra alle firmaer som beskriver i detaljer, f.eks. hvilket firma som ejer det datacenter de benytter. Der skal kun en beskeden amerikansk ejer-andel til, før et firma er underlagt amerikansk lovgivning og dermed er tvunget til at udlevere data til amerikanske myndigheder. Også selvom data befinder sig fysisk i EU.

Et firma jeg talte med fornyligt, havde lavet en smart cloud-service som de hostede i et tysk datacenter, så de havde styr på datasikkerheden, mente de. Da jeg spurgte hvem de brugte, fik jeg svaret at det var velia.net. Sagen er bare at de er ejet af Godaddy, altså underlagt amerikansk lovgivning og dermed ikke tilladt at bruge for virksomheder i EU (til behandling af persondata).

Det er ikke nemt at navigere i det her rod og man skal spørge ind til detaljerne inden man vælger.

4
6. april 2021 kl. 18:31

Ja, naturligvis. Det havde jeg overset. God pointe!

3
6. april 2021 kl. 18:27

Tror du skal se det i et større perspektiv, hvilket nyhedsbrev du følger er IKKE ligegyldigt.

Hvad du abonnerer på kan være ulovligt i andre lande, og kan i den grad være personligt.

DERFOR skal det ikke til USA (eller andre 3d verdenslande)

2
6. april 2021 kl. 14:56

Umiddelbart er e-mailadressen i sig selv vel ikke det store problem, men måske er det fordi der ofte følger en del mere data med, når man bruger sådan én service.

Hvis man f.eks. bruger en Signup-formular fra Mailchimp, som også indeholder felter til navn, adresse og telefonnummer, så har vi balladen.

Når modtager interagerer med nyhedsbrevet, så opsamles der også en bunke data.

Når man skifter til en EU-baseret leverandør, skal man være vågen. Jeg har for nyligt haft debatten med MailerLite i Litauen, som har en masse fine features, men når de så hoster deres service hos Google, må de ikke bruges alligevel.

Det kommer til at gøre ondt på danske udbydere også - se f.eks. danske Marketingplatform.com, som stolt praler med at de passer særdeles godt på vores data og derefter fortæller at

"Alle data opbevares og behandles på vore sikrede, dedikerede servere i Google Cloud Platform, der fysisk står placeret i Holland. "

Man må altså heller ikke bruge et dansk firma, med data i Holland, fordi de bruger et amerikansk firma som databehandler. Man skal være grundig når man afsøger markedet!

1
6. april 2021 kl. 10:58

Jeg tror den store overraskelse her er, at nyhedsbreve er omfattet af GDPR.

Umiddelbart vil jeg mene, at en risikovurdering hurtigt vil konkludere at indholdet ikke er et problem.

Men e-mailadresserne kan være et problem.